Supporrei che i prodotti A / V avrebbero bisogno di impiegare lo stesso tipo di tecniche utilizzate dal software che stanno cercando di ripulire per garantire che possano continuare a girare in ambienti così ostili. Tuttavia, i prodotti A / V non sono esattamente i più furtivi: è possibile trovarli su una macchina Windows.
Che cosa fanno i prodotti A / V per proteggere la loro integrità e disponibilità?
Qualsiasi applicazione antivirus che valga la pena risiedere sarà quasi indistinguibile dal malware se si guarda al suo meccanismo di auto-protezione. Se volessimo essere irriverenti, potremmo dire che l'unica differenza tra uno strumento di sicurezza canaglia e uno strumento di sicurezza legittimo è l'intento dello strumento progettista.
Mentre generalmente gli AV non cercano di nascondere la loro presenza su un sistema (come fanno i rootkit), interconnetteranno qualsiasi chiamata di sistema che i progettisti ritengono presenta una minaccia all'applicazione (come molti, molti esempi moderni di malware fanno). Chiamate come TerminateProcess o CreateRemoteThread sono obiettivi ovvi per uno schema di autoprotezione; un altro buon target potrebbe essere CreateFile poiché è probabilmente la più utilizzata funzione API di Windows di tutti (e può fare molto di più che creare semplicemente file). Un programma AV può agganciare queste chiamate e consentire loro di procedere solo se non minacciano il programma AV. Un AV può anche installare un driver in modalità kernel in modo che possa manipolare direttamente il kernel e interferire con tentativi malevoli di modificare il kernel. Molti dei meccanismi di autodifesa servono a doppio dovere come parte delle difese fornite contro il malware in generale.
Da parte ironica: alcuni programmi anti-malware sono più difficili da rimuovere rispetto alla maggior parte dei malware.
La maggior parte delle volte "integrità" è controllata da self hashing e verifica che ... in uno scenario migliore con un server sicuro.
"disponibilità" è un po 'più problematico per rispondere, poiché diversi antivir utilizzano approcci diversi.
Una cosa va ricordata: sebbene gli antivir non diffondano le notizie troppo spesso (per ovvi motivi), entrambi gli "integrity" e "availability" hanno un alto potenziale di non riuscire a rilevare guasti se la macchina è infetta ad un livello basso (come i rootkit). Tuttavia, gli antivir hanno già acquisito la possibilità di controllare (noto e sconosciuto) i rootkit fino a un certo punto.
In genere cercano di capire se l'ambiente è sicuro in fase di installazione. Perché se superano questa fase puoi presupporre che l'ambiente sia sicuro.
A una leva inferiore, quando installano i ganci del kernel per intercettare la lettura / scrittura, controllano la tabella del kernel syscall per vedere se altri software hanno intercettato r / w OS syscall. È la stessa tecnica utilizzata dal software antirootkit.
Immagino che scannerizzino anche la memoria da virus e worm e controllino l'integrità dei loro file core con una sorta di impronta digitale come SHA1 o MD5.
Ma certo, se la macchina si trova sotto un rootkit (nelle mani dei nemici) non può fare abbastanza per proteggersi. Possono sopravvivere abbastanza da segnalare all'utente che qualcosa è andato storto, ma non sopravvivere per sempre in un ambiente ostile.
Leggi altre domande sui tag antivirus antimalware