Gli antivirus basati su firme cercano le corrispondenze esatte delle firme che hanno nel loro database con quelle dei virus da analizzare?
Chiedo questa domanda perché mi chiedo se è il motivo per cui spesso leggo che solo gli antivirus basati su firme sono obsoleti.
Do signature-based antiviruses search for the exact matches of the signatures they have in their database with those of viruses to analyse ?
Spero che non lo facciano. Di solito AV ha diverse tecniche di scansione e la scansione basata sulle firme è solo una di queste. Penso che ci sia una sorta di soglia nello scenario più semplice, in cui contiamo il numero di firme che sappiamo essere dannose. Quando il contatore raggiunge la massa critica, l'eseguibile viene contrassegnato. Nel mondo reale penso che sia molto più complesso di così. Qualcuno che abbia familiarità con Clam AV può dare una risposta migliore (puoi consultare anche il codice )
I ask this question because I wonder if it is the reason why I often read that signature-based only antiviruses are outdated.
Se dovessi scrivere un virus, incorporerei la mutazione e l'offuscamento all'interno del corpo. Ogni volta che viene eseguito un carico utile, il corpo di un virus si modifica in modo tale che nessuna firma precedente potrebbe funzionare.
In alternativa si può usare la crittografia per crittografare il corpo. Un nuovo ciclo di crittografia produce una nuova posta indesiderata casuale (a meno che non si disponga di una chiave di decrittografia, che di solito viene distribuita attraverso domini casuali in base al numero iniziale di seme e alla data).
I virus polymorphic hanno più probabilità di essere imune a qualsiasi approccio basato sulla firma.
Considerato quanto sia facile creare tali virus non mi sorprende il motivo per cui le persone affermano che gli AV basati sulle firme sono obsoleti e inefficaci.
Non c'è molto che puoi fare per evitare che un set di firme AV diventi obsoleto. Immagina di voler creare un pezzo di malware con l'obiettivo di infettare quante più persone possibile. Certamente non vorresti che venisse rilevato da qualche antivirus, vero? Allora cosa fai? Puoi consentire a tutti gli antivirus di eseguire il malware, vedere se lo rilevano e quando modificano e nascondono il tuo malware fino a quando non lo fanno.
Ora il tuo malware non è rilevabile ... fino a quando gli scanner AV lo scopriranno e lo aggiorneranno in modo che lo rilevino di nuovo.
Che cosa fai adesso? Otterrai gli scanner antivirus aggiornati e di nuovo inizierai a modificare e offuscare il tuo malware fino a quando non potranno più rilevarlo e tu lo libererai di nuovo. Quindi il ciclo si ripete.
È un gioco infinito di gatti e topo tra venditori di AV e hacker black hat. Entrambi hanno interessi commerciali. Quando si interrompe l'aggiornamento del proprio prodotto per superare in astuzia l'altro, perderebbe un'attività molto redditizia.
Leggi altre domande sui tag antivirus antimalware