¿Por qué los Antivirus no comprueban los módulos de la biblioteca del exe para detectar el enganche?

7

Escribo un keylogger simple por C # en Windows (usando el método de Hook SetWindowsHookEx ). Revisé mi aplicación con la mayoría de los programas antivirus y antispyware, pero ninguno lo detectó.

¿Por qué estos programas antivirus o antispyware no desensamblan el ejecutable para encontrar el uso de SetWindowsHookEx ? Leí que más del 80% de los keyloggers utilizan este método de conexión.

    
pregunta Mehdi Amrollahi 24.09.2015 - 10:46
fuente

1 respuesta

8

Esto es para evitar lo que se llama un false positivo , es decir, cuando el usuario recibe una alerta sobre un peligro mientras que en realidad no había ningún peligro en absoluto.

¿Recuerda esta época rica cuando, mientras navegaba por Internet, se enfrentaba a una docena de veces al día con un arco de alerta que decía algo como " ¡Alerta! La página web que está viendo contiene algunos elementos seguros y ¡Algunos elementos no asegurados! ¿Está seguro de que desea continuar? ". El resultado de esto fue que las personas fueron capacitadas para ignorar el mensaje de alerta de su navegador y hacer clic ciegamente en el botón Aceptar, que era totalmente contraproducente desde el punto de vista de la seguridad.

Ahora esto es lo mismo con su llamada a API SetWindowsHookEx . Un antivirus no tiene forma de determinar la intención de un software, solo puede confiar en un subconjunto de hechos. Entonces, tal vez el uso de esta llamada a la API ingrese como parte de una heurística que tenga en cuenta varios otros parámetros que ayudan al antivirus a determinar cuándo un software tiene un comportamiento sospechoso, pero la presencia exclusiva de esta llamada a la API no es suficiente, ya que también es utilizado por muchas aplicaciones autorizadas (lo mismo si escribe un archivo Batch simple eliminando todos sus documentos: su antivirus no evitará que lo ejecute).

Estas son las razones por las que, si bien los antivirus ofrecen un buen nivel de protección contra programas maliciosos conocidos, nunca pueden ser una protección a prueba de balas y la primera y mejor línea de defensa sigue siendo el usuario que debe ser el adecuado. educado para reconocer y abstenerse de abrir archivos sospechosos.

    
respondido por el WhiteWinterWolf 24.09.2015 - 12:05
fuente

Lea otras preguntas en las etiquetas