Supongo que los productos de A / V tendrían que emplear los mismos tipos de técnicas utilizadas por el software que intentan limpiar para garantizar que puedan continuar ejecutándose en entornos tan hostiles. Sin embargo, los productos de A / V no son exactamente los más sigilosos: puede encontrar evidencia de ellos en una máquina con Windows.
¿Qué hacen los productos de A / V para proteger su integridad y disponibilidad?
Cualquier aplicación antivirus que valga la pena será casi indistinguible del malware si solo se analiza su mecanismo de autoprotección. Si quisiéramos ser frívolos, podríamos decir que la única diferencia entre una herramienta de seguridad deshonesta y una herramienta de seguridad legítima es la intención del diseñador de la herramienta.
Aunque los AV generalmente no intentan ocultar su presencia en un sistema (como hacen los rootkits), interceptarán cualquier llamada al sistema que los diseñadores consideren una amenaza a la aplicación (como hacen muchos, muchos ejemplos modernos de malware). Llamadas como TerminateProcess o CreateRemoteThread son objetivos obvios para un esquema de autoprotección; otro buen objetivo sería CreateFile ya que es posiblemente la función API de Windows más utilizada de todas (y puede hacer mucho más que crear archivos). Un programa de AV puede enganchar estas llamadas y permitirles continuar si no amenazan al programa de AV. Un AV también puede instalar un controlador de modo Kernel para que pueda manipular el Kernel directamente e interferir con los intentos maliciosos de modificar el kernel. Muchos de los mecanismos de autodefensa cumplen una doble función como parte de las defensas contra el malware en general.
Aparte de lo irónico: algunos programas antimalware son más difíciles de eliminar que la mayoría de los maliciosos.
La mayoría de las veces "integridad" se revisa por sí mismo y se verifica que ... en el mejor de los casos con un servidor seguro.
"disponibilidad" es un poco más problemático de responder, ya que diferentes antivirs utilizan diferentes enfoques.
Hay que recordar una cosa: aunque los antivirs no difunden las noticias con demasiada frecuencia (por razones obvias), tanto los controles de "integridad" como de "disponibilidad" tienen un alto potencial de no detectar fallas si la máquina está infectada en un nivel bajo (como los rootkits). Sin embargo, los antivirs ya obtuvieron la opción de verificar hasta cierto punto los rootkits (conocidos y desconocidos).
Por lo general, intentan comprender si el entorno es seguro en la fase de instalación. Porque si superan esta fase, puedes asumir que el entorno es seguro.
En una palanca inferior, cuando instalan ganchos de kernel para interceptar lectura / escritura, verifican la tabla de kernel de syscall para ver si otro software ha interceptado syscall de OS r / w. Es la misma técnica que utiliza el software antirootkit.
Supongo que también escanean la memoria en busca de virus y gusanos y comprueban la integridad de sus archivos principales con un tipo de huella digital como SHA1 o MD5.
Pero claro, si la máquina está bajo un rootkit (en las manos del enemigo) no pueden hacer lo suficiente para protegerse. Pueden sobrevivir lo suficiente como para indicar al usuario que algo está mal, pero no sobrevivir para siempre en un entorno hostil.
Lea otras preguntas en las etiquetas antivirus antimalware