È possibile che i programmi antivirus non eseguano solo la scansione di tutti i file man mano che vengono creati anziché utilizzare la scansione di accesso. Questo tipo di approccio non sarebbe molto più accurato?
È possibile che i programmi antivirus non eseguano solo la scansione di tutti i file man mano che vengono creati anziché utilizzare la scansione di accesso. Questo tipo di approccio non sarebbe molto più accurato?
No, la scansione antivirus solo al momento della creazione è non sicura per diversi motivi:
Il sistema anti-virus potrebbe non essere caricato quando il file è stato creato:
Ci sono anche scenari più complicati. Ad esempio: si ottiene un carico utile crittografato (contenente il virus). A / V non può rilevarlo perché non può decodificarlo. Molto più tardi, arriva un secondo file. Questo file non è tecnicamente dannoso, ma decodifica il primo file, che quindi esegue e infetta il tuo sistema. Questo è un trucco sempre più comune per evitare il rilevamento sia in A / V tradizionale che in sandbox del malware come < a href="https://www.fireeye.com/solutions/small-and-midsize-business.html"> FireEye .
Un sistema che blocca i file e controlla tali hash rispetto a un servizio di reputazione dei file aggiornato dovrebbe solo eseguire la scansione degli hash sconosciuti. I sistemi cloud sandbox come Cisco AMP fanno questo.
Dovresti comunque eseguire la scansione durante le letture ogni volta che la fonte non è affidabile: memoria rimovibile, unità di rete, ecc.
In linea di massima, se hai sempre scansionato i file durante la creazione / modifica, sarebbe sicuro leggere i file locali senza eseguire la scansione. Non conosco alcun software AV per desktop che abbia questo comportamento. Sarebbe un miglioramento delle prestazioni, non per sicurezza, dato che hai (più o meno) gli stessi punti ciechi in entrambi i casi.
In effetti, ho visto questo comportamento nei sistemi reali: alcuni file server eseguono la scansione AV solo sulle scritture. In tal caso, la scansione non protegge il server, ma protegge i client che accedono alle condivisioni, nel caso in cui il loro desktop AV salti qualcosa. I vantaggi in termini di prestazioni possono essere significativi qui, quindi questa sembra una mossa abbastanza intelligente.
Sì, sarebbe molto sicuro. Continuerà a lasciare passare alcune cose cattive, dal momento che è ancora basato sulla firma, ma la preoccupazione più grande è che porterà qualsiasi sistema in ginocchio.
Per il mio lavoro analizzo forensics per computer infetti e sono dentro e fuori MFT e USN Journal a LOT . File e mutex vengono creati, modificati e cancellati costantemente da tutte le parti del sistema operativo. Eseguire ogni singolo oggetto attraverso un motore AV ogni microsecondo di ogni giorno è una pessima idea.
Tale approccio potrebbe in qualche modo aprire un altro vettore di attacco. Se è possibile eseguire il codice dannoso senza essere prima sul disco, eseguirlo da un supporto rimovibile (in cui il codice infetto esiste già e quindi non verrebbe controllato) o eseguire un file apparentemente dannoso. Per propagare il virus è sufficiente creare un file vuoto e successivamente aggiornarlo con codice dannoso che consentirà l'esecuzione futura (eseguito all'avvio, eseguito su richiesta dell'utente, eseguito su evento come avvio, ecc.)
Il virus probabilmente inizierà a diffondersi in due fasi. Innanzitutto come un file apparentemente buono (1. una sorta di host trasportato), con il codice malevolo nascosto dalla crittografia / qualsiasi altra cosa). E di The virus avrebbe creato il file e dopo l'aggiornamento con il codice dannoso (2. Copia di virus).
Questo approccio / tecnica nella scansione AV fallirà in caso di file con meno infezioni, minacce basate sui comportamenti, infector dei file, hijacker e backdoor ecc.
Inoltre, l'importanza del rilevamento delle minacce basato sulle firme sta diventando sempre più basso a causa delle sofisticate tecnologie coinvolte nella creazione, analisi, rilevamento delle minacce e nel tempo intercorso tra rilevamento delle minacce e consegna delle firme.
Anche se la scansione dei file durante la creazione migliora altre tecniche di rilevamento, questo ha un tasso di successo molto basso come tecnica autonoma.
Leggi altre domande sui tag antivirus