Stavo usando una vecchia versione di Norton Anti Virus e il Live Update non funzionava. La soluzione era rinominare un file. Questo mi ha fatto pensare che un virus potrebbe sostituire un database anti-virus con il suo falso e far sembrare che le definizioni siano sempre aggiornate, il sistema anti-virus potrebbe essere intrappolato? Come potrebbe essere protetto contro?
Il software antivirus è utile solo come misura preventiva.
Quando il tuo computer è pulito, sono in grado di rilevare e prevenire qualsiasi tentativo da parte di malware di eseguire sul tuo sistema. Fanno affidamento sul proprio database di malware per farlo. Il malware nuovo e non ancora scoperto non verrà rilevato in questo modo.
Se un malware riesce a essere eseguito sul tuo sistema, non puoi più fidarti del sistema. Non c'è modo di garantire che il malware sia stato rimosso con successo. Esistono troppi modi in cui un pezzo di malware può nascondersi. La soluzione migliore sarebbe cancellare il sistema e ricominciare da capo in una situazione del genere.
Per rispondere alla tua domanda - sì, si può fare, è stato fatto.
La prevenzione è sempre meglio che curare. Prendi i soliti passi per proteggerti: non eseguire file non fidati e così via.
Alcuni virus hanno semplicemente disabilitato i programmi antivirus. Quindi succede. Un'altra tattica di malware consiste nell'installare un rootkit che impedisce a qualsiasi altro programma di rilevare il virus.
I "virus" della vecchia scuola erano uno scherzo malevolo, che alla fine avrebbe fatto qualcosa di interessante da mostrare, anche se l'anti-virus non li poteva rilevare. La minaccia moderna è il software botnet che sfrutta il tuo computer per fare soldi, quindi c'è un grande incentivo per evitare di essere scoperto.
I venditori di anti-virus hanno risposto a questo sabotaggio in una classica corsa agli armamenti. Hanno usato tutti i tipi di trucchi di basso livello per rilevare quando un virus li stava inibendo. Questa non era una gara che da una parte o dall'altra poteva "vincere" di sicuro; sono solo due programmi che possono usare gli stessi poteri, lottando per il controllo dello stesso computer.
Windows moderno ha il supporto integrato per l'anti-virus. Speriamo che questo significhi che Windows riservi effettivamente alcuni poteri solo per l'anti-virus, quindi potrebbe ottenere un vantaggio un po 'più strong del semplice essere stato installato per primo.
Modern Windows ha anche un programma di firma dei driver, che dovrebbe rendere molto più difficile caricare codice dannoso come rootkit nel "kernel".
Windows 8 fornisce supporto per l'avvio sicuro. Questa funzione (una volta che tutti gli errori di implementazione sono stati chiusi ...) impedisce ai virus di modificare il percorso di avvio di caricarsi (e quindi di sabotare l'AV). Windows già tenta di impedire ai virus di farlo mentre è in esecuzione. Cioè scrivere nel settore di avvio è uno di questi poteri che Windows tenta di riservare. Ma ad es. se un virus si è scritto ad es. un dispositivo di archiviazione USB e l'hai lasciato collegato, il BIOS potrebbe avviarsi da quel dispositivo e tu verrai protetto. L'avvio sicuro dovrebbe impedirlo.
Tutti questi sono soggetti alle vulnerabilità escalation di privilegi locali . Per esempio. se c'è un bug nel kernel, un virus può sfruttarlo per caricarsi nel kernel. Questi sono in parte attenuati da NX e ASLR ... ma almeno in Linux, a cui sono più familiare, continuano a venire.
Non mi fiderei mai completamente di AV, e vale sempre la pena prestare attenzione a quale software si sceglie di eseguire.
La maggior parte delle soluzioni AV lo impedisce firmando digitalmente il proprio database. Ciò comporta il calcolo di un hash crittografico del database, quindi la crittografia con una chiave privata asimmetrica. La chiave pubblica corrispondente è incorporata nell'applicazione, che viene quindi utilizzata per verificare l'autenticità del database.
Qui ci sono due potenziali attacchi:
La soluzione al primo attacco consiste nell'utilizzare un hash strong, ad es. Famiglia SHA-2. Ciò garantisce che il database sia protetto contro le collisioni di hash.
La soluzione al secondo attacco è un po 'più difficile. Impedire la modifica del file eseguibile su disco è solo un caso di firma digitale. Tuttavia, le mod in memoria sono più difficili da proteggere. Molti AV tentano di risolvere questo problema agganciando le API di accesso alla memoria a livello del kernel, per evitare modifiche in memoria dei loro processi AV. Funziona abbastanza bene, ma non è una panacea.
Un altro problema è che un rootkit potrebbe modificare il buffer che contiene il contenuto dell'eseguibile mentre viene letto dal disco, agendo come un driver del filtro di archiviazione di massa. Ancora una volta, ci sono alcuni metodi che hanno ragionevolmente successo nel sconfiggere questo, ma non sono efficaci al 100%.
Alla fine della giornata, una volta che il malware viene eseguito sul tuo computer, non è più il tuo computer. L'AV è molto utile per identificare il malware prima che abbia la possibilità di essere eseguito, ma è relativamente poco efficace nel mitigare il danno una volta che il malware è in esecuzione. Vorrei davvero che i produttori di dispositivi AV accettassero questo aspetto e si concentrassero sull'esecuzione dell'identificazione prima , invece di cercare di spingere i rimedi del petrolio per il malware già in esecuzione su una scatola.
Penso che non dovresti mai fare affidamento su un solo software AV.
Assicurati di avere un utente amministratore, che possiede il file utilizzato da Norton.
Avere un utente normale, che usi normalmente, che non può cambiare questo file.
Dal menu Start, fai clic su Pannello di controllo. Nota: se questo non corrisponde a ciò che vedi, fai riferimento a Informazioni sulle impostazioni di navigazione in Windows.
Fare doppio clic su Account utente, fare clic su Gestisci account utente e quindi fare clic su Aggiungi ....
Immettere un nome per l'account dell'amministratore. Fai clic su Avanti > .
Seleziona il pulsante di opzione intitolato Altro:, e dal menu a discesa, scegli Amministratori.
Fai clic su Fine, che ti riporterà alla finestra di dialogo Account utente. Fai clic su OK.
Assicurati che il file possa essere modificato solo dall'account amministratore
Nella scheda Generale posiziona il segno di spunta sull'attributo di sola lettura, per gli account non amministratore e TUTTI, che si trova accanto all'etichetta Attributi.
Controlla il segno di controllo completo per l'account amministratore.