Why Antiviruses non controlla i moduli della libreria di exe per rilevare hook?

7

Scrivo un semplice keylogger da C # in Windows (usando il metodo Hook SetWindowsHookEx ). Ho controllato la mia applicazione con la maggior parte dei programmi antivirus e antispyware, ma nessuno la rileva.

Perché questi programmi antivirus o anti-spyware non disassociano il file eseguibile per trovare l'utilizzo di SetWindowsHookEx ? Ho letto che oltre l'80% dei keylogger utilizza questo metodo di hooking.

    
posta Mehdi Amrollahi 24.09.2015 - 10:46
fonte

1 risposta

8

Questo per evitare quello che viene chiamato un falso positivo , cioè quando l'utente riceve un avviso su un pericolo mentre in realtà non c'era alcun pericolo.

Ti ricordi questa ricca era quando, mentre stavi navigando su Internet, dovevi affrontare una dozzina di volte al giorno un avviso che indicava qualcosa come " Avviso!" La pagina web che stai visualizzando contiene alcuni elementi protetti e alcuni elementi non protetti! Sei sicuro di voler procedere! ". Il risultato è stato che le persone sono state addestrate a ignorare il messaggio di avviso del browser e fare clic ciecamente sul pulsante OK, che era completamente controproducente dal punto di vista della sicurezza.

Ora è lo stesso con la tua chiamata API SetWindowsHookEx . Un anti-virus non ha modo di determinare l'intento di un software, può basarsi solo su un sottoinsieme di fatti. Quindi, forse l'uso di questa chiamata API entra come parte di un euristico prendendo in considerazione diversi altri parametri che aiutano l'anti-virus a determinare quando un software ha un comportamento sospetto, ma la sola presenza di questa chiamata API non è sufficiente poiché è anche utilizzato da molte applicazioni autorizzate (stessa cosa se si scrive un semplice file batch che cancella tutti i tuoi documenti: il tuo anti-virus non ti impedirà di eseguirlo).

Questa è la ragione per cui, mentre l'anti-virus fornisce un buon livello di protezione contro malware ben noti, non può mai essere una protezione a prova di proiettile e la prima e migliore linea di difesa rimane l'utente che dovrebbe essere correttamente educato a riconoscere e astenersi dall'aprire file sospetti.

    
risposta data 24.09.2015 - 12:05
fonte

Leggi altre domande sui tag