I programmi antivirus potrebbero non solo eseguire la scansione di tutti i file al momento della creazione?

No, la scansione antivirus solo al momento della creazione è non sicura per diversi motivi:

1. L'euristica e le firme anti-virus si aggiornano continuamente, quindi qualcosa potrebbe essere perso durante la creazione ma verrà catturato al momento dell'esecuzione.

2. Il sistema anti-virus potrebbe non essere caricato quando il file è stato creato:

   • Forse A / V è stato temporaneamente disabilitato per qualche motivo
   • Forse è un'unità rimovibile e il file è stato creato altrove
   • Forse il sistema è stato avviato in un altro sistema operativo
3. Il "tempo di creazione" include le modifiche?
4. Che dire del codice eseguito in linea che non viene mai creato come un file?

Ci sono anche scenari più complicati. Ad esempio: si ottiene un carico utile crittografato (contenente il virus). A / V non può rilevarlo perché non può decodificarlo. Molto più tardi, arriva un secondo file. Questo file non è tecnicamente dannoso, ma decodifica il primo file, che quindi esegue e infetta il tuo sistema. Questo è un trucco sempre più comune per evitare il rilevamento sia in A / V tradizionale che in sandbox del malware come < a href="https://www.fireeye.com/solutions/small-and-midsize-business.html"> FireEye .

Un sistema che blocca i file e controlla tali hash rispetto a un servizio di reputazione dei file aggiornato dovrebbe solo eseguire la scansione degli hash sconosciuti. I sistemi cloud sandbox come Cisco AMP fanno questo.

Dovresti comunque eseguire la scansione durante le letture ogni volta che la fonte non è affidabile: memoria rimovibile, unità di rete, ecc.

In linea di massima, se hai sempre scansionato i file durante la creazione / modifica, sarebbe sicuro leggere i file locali senza eseguire la scansione. Non conosco alcun software AV per desktop che abbia questo comportamento. Sarebbe un miglioramento delle prestazioni, non per sicurezza, dato che hai (più o meno) gli stessi punti ciechi in entrambi i casi.

In effetti, ho visto questo comportamento nei sistemi reali: alcuni file server eseguono la scansione AV solo sulle scritture. In tal caso, la scansione non protegge il server, ma protegge i client che accedono alle condivisioni, nel caso in cui il loro desktop AV salti qualcosa. I vantaggi in termini di prestazioni possono essere significativi qui, quindi questa sembra una mossa abbastanza intelligente.

Tale approccio potrebbe in qualche modo aprire un altro vettore di attacco. Se è possibile eseguire il codice dannoso senza essere prima sul disco, eseguirlo da un supporto rimovibile (in cui il codice infetto esiste già e quindi non verrebbe controllato) o eseguire un file apparentemente dannoso. Per propagare il virus è sufficiente creare un file vuoto e successivamente aggiornarlo con codice dannoso che consentirà l'esecuzione futura (eseguito all'avvio, eseguito su richiesta dell'utente, eseguito su evento come avvio, ecc.)

Il virus probabilmente inizierà a diffondersi in due fasi. Innanzitutto come un file apparentemente buono (1. una sorta di host trasportato), con il codice malevolo nascosto dalla crittografia / qualsiasi altra cosa). E di The virus avrebbe creato il file e dopo l'aggiornamento con il codice dannoso (2. Copia di virus).

Questo approccio / tecnica nella scansione AV fallirà in caso di file con meno infezioni, minacce basate sui comportamenti, infector dei file, hijacker e backdoor ecc.

Inoltre, l'importanza del rilevamento delle minacce basato sulle firme sta diventando sempre più basso a causa delle sofisticate tecnologie coinvolte nella creazione, analisi, rilevamento delle minacce e nel tempo intercorso tra rilevamento delle minacce e consegna delle firme.

Anche se la scansione dei file durante la creazione migliora altre tecniche di rilevamento, questo ha un tasso di successo molto basso come tecnica autonoma.