Qual è la differenza precisa tra un antivirus basato sulla firma e il comportamento?

8

Non capisco molto bene la differenza tra gli antivirus basati sulla firma e sul comportamento. Si prega di chiarire la distinzione tra i due.

    
posta karanb192 28.07.2015 - 19:12
fonte

3 risposte

8

L'AV basato sulla firma mette a confronto gli hash (firme) dei file su un sistema con un elenco di file dannosi noti. Guarda anche all'interno dei file per trovare le firme di codice dannoso.

Processi di orologi AV basati sul comportamento per segni rivelatori di malware, che vengono confrontati con un elenco di comportamenti dannosi noti.

Il motivo per cui molti prodotti AV aggiungono un rilevamento basato sul comportamento è dovuto al fatto che molti creatori di malware hanno iniziato a utilizzare segmenti di codice polimorfici o crittografati per i quali è molto difficile creare una firma. Un modo più semplice per rilevare questi è quello di osservare un particolare modello di comportamento per identificare il malware.

    
risposta data 28.07.2015 - 19:16
fonte
1

Il rilevamento dei virus basato sulla firma ha esito positivo solo con i vecchi virus perché non esistevano in diverse varianti poiché si verifica al giorno d'oggi. Ad esempio, la firma può essere hash MD5 / SHA1. Vedi questo post per maggiori informazioni: Quali modelli fa un look anti-virus basato sulla firma? . Mentre il rilevamento basato sul comportamento (chiamato anche sul rilevamento euristico ) funziona creando un contesto completo attorno ad ogni processo percorso di esecuzione in tempo reale.

    
risposta data 28.07.2015 - 19:18
fonte
0

Bene, lascia che provi a spiegarlo nel modo più accurato possibile. Queste scansioni basate su "firma" e "comportamento" tendono ad essere offerte come funzionalità antivirus. I virus hanno firme come te. Alcuni tendono ad avere le firme statiche mentre altri tendono ad avere quelli polimorfici. Immagina di poter cambiare la tua firma e provare a farla franca (dalla tua banca o da qualsiasi altro istituto).

Nelle firme statiche, l'antivirus ha un database predefinito di firme note e quindi durante la scansione, crea la firma appropriata per ogni file (usando MD5 o altri hash) e le confronta con l'elenco predefinito. Se corrispondono, il file viene considerato come una "minaccia". Questo database antivirus viene aggiornato facendo clic sul pulsante di aggiornamento nell'interfaccia AV che fornisce un elenco di firme conosciute e lo aggiunge al database esistente proteggendoti così contro le ultime minacce.

Gli hacker sono diventati più intelligenti e cercano di eludere le tecniche di rilevamento delle firme statiche codificando il virus in modo tale da poter cambiare la sua firma. Gli esperti di protezione dalle minacce iniziano quindi a utilizzare le tecniche "euristiche" per identificare i virus. Ad es. Immagina di essere un ladro e stai pianificando di entrare in una casa. Cerchi di ottenere quante più informazioni possibili sulla casa e sui suoi abitanti usando la sorveglianza. Poi vai in un negozio di armi per prendere un'arma che può essere usata "per ogni evenienza". Raggiungi il negozio e c'è la polizia con le manette. L'antivirus basato sul comportamento funziona allo stesso modo. Cerca di identificare il "comportamento" di un file. Per esempio. un file mp3 che tenta di modificare un file di sistema o qualcosa di simile che è inaccettabile in circostanze normali. Questo viene quindi considerato come "comportamento pericoloso" e quindi l'antivirus lo classifica nella categoria "minaccia".

@schroeder: Tratta la polizia come l'antivirus e il ladro come il virus. Il ladro sta progettando di attaccare una casa. Immaginate se la polizia stesse sorvegliando tutti i cittadini e segnalasse questo particolare "ladro potenziale" in uno scenario di "possibile minaccia" poiché mostra segni di "potere eseguire un furto". Fa un giro attorno alla stessa casa ogni sera alle 9:00 e poi chiama lo stesso numero con alcune idee. Lo intendevo in quel modo. L'antivirus tiene traccia del "comportamento" che il file sta esibendo. Troppa RAM, connessioni frequenti a IP casuali, accesso non autorizzato per modificare un file ecc.

    
risposta data 28.07.2015 - 19:36
fonte

Leggi altre domande sui tag