¿Los conjuntos de reglas de detección de malware son públicamente detectables?

Question

¿Los conjuntos de reglas de detección de malware son públicamente detectables?

#1 de Ángel (1 votos)
#2 de ShaalabaZ HACK (-2 votos)

6

No estoy seguro de cómo son los conjuntos de reglas públicas de detección de malware. Por "conjunto de reglas" me refiero a las reglas, generalmente escritas en Yara, que los motores de detección de malware usan para determinar si un archivo o secuencia de memoria es potencialmente malware.

Sé que diferentes detectores definitivamente usan diferentes conjuntos de reglas, porque si usa Virus Total o algún servicio similar, puede ver que para un binario dado, algunos de los proveedores marcarán el binario y otros no. Espero que el conjunto de reglas de un proveedor sea una "salsa secreta" que no se divulgaría públicamente.

Sin embargo, no puedo ver cómo sería secreto. Por ejemplo, tengo Symantec Endpoint ejecutándose en mi escritorio, por lo que, en teoría, tiene un archivo en algún lugar donde está leyendo el que tiene el conjunto de reglas. Por lo tanto, obtener las reglas debe ser tan simple como encontrar ese archivo. Por supuesto, existe la posibilidad de que el conjunto de reglas de mi escritorio sea diferente al que tiene Symantec en sus servidores. Por lo tanto, en el escritorio podría estar obteniendo lo "antiguo" que todos saben, y todas las reglas realmente valiosas están solo en sus servidores y, por lo tanto, son inaccesibles.

Entonces, ¿estos conjuntos de reglas se consideran "secretos" o están disponibles públicamente o en algún lugar intermedio?

malware antivirus

pregunta Tyler Durden 04.09.2014 - 01:10

fuente

2 respuestas

Lea otras preguntas en las etiquetas malware antivirus

¿Por qué volver a verificar con CAPTCHA en una entrada de formulario fallida? bloques de Google 100000..100000 [cerrado]

score 1 · Answer 1

Encontrar las firmas es generalmente fácil. Por lo general, se identifican como tales, y los archivos descargados al actualizar las firmas AV obviamente contienen firmas.

Ahora, obtener un archivo binario que de alguna manera se usa para detectar, no sirve de mucho a menos que también sepa cómo está estructurado (el "lenguaje" que usan). Lo que normalmente no está documentado.

Le recomiendo que eche un vistazo a ClamAV . Este es un antivirus de código abierto, por lo que tiene las las reglas y el código que lo utiliza. Cuidadosamente documentado .

Finalmente, incluso si tiene una regla y lo entiende, significa que «los bytes 34 28 50 5e 29 37 43 43 29 37 7d 24 45 49 43 41 52 son maliciosos en la posición 0x10 de un archivo», eso no incluye el conocimiento detrás de tratarlo como tal. ¿Es parte de una rutina de infección? Un empacador? ¿Una instrucción que intenta detectar máquinas virtuales?

score -2 · Answer 2

Realmente creo que la base de datos de firmas (que contiene firmas de malware y dns y dominios incluidos en la lista negra) que tienen todos los antivirus está en el dispositivo en el que se instaló el software, pero esto no es un gran problema ya que la mayoría de ellos tienen las MISMAS amenazas, pero con diferentes identificaciones, nombres y métodos de eliminación (depende de cómo lo hicieron en sus laboratorios) {literalmente se engañan unos a otros}

PERO LO GRANDE está relacionado con las tecnologías AUTO-PROTECT y Sandboxing y, por supuesto, con DETECCIÓN DE INTRUSIÓN y TIEMPO REAL y PUNTO FINAL y funciones de FIREWALL y funciones ANTI-EXPLOITING. Todos los mencionados son códigos privados que realmente les costaron mucho trabajo. Estos ya son algoritmos y umbrales implementados y las funciones de prueba realizadas al programar el software en sí tienden a actualizarlos de vez en cuando. Los mencionados anteriormente (que son bases de datos de firmas y sitios web) se actualizan diariamente a medida que se identifican nuevas amenazas cada día.

Básicamente, puedes encontrar la base de datos en tu computadora con algunas excavaciones ... Incluso creo que puedes obtener esa lista (nueva) en algún lugar de internet o darknet ... no puedo recordar su nombre ... pero am Seguro que está en alguna parte.

De todos modos, es inútil a menos que necesite asegurarse de que sus códigos no sean identificados como maliciosos O estás pensando en construir tu propio AV.