Perché gli «hacker» (o, più esattamente, i «creatori di virus») non si limitano a riconfezionare il proprio malware con il software antivirus di sorpasso? Perché risolve il problema della firma del virus (tipo di hash), vero? In che modo il software antivirus può rilevare questo tipo di modifiche semplici?
Gli hash dei file non sono di gran lunga il metodo più utile per rilevare il malware (a differenza di un paio di decenni fa). Oggi, il riconoscimento del malware (e talvolta la classificazione) è strongmente basato sull'analisi euristica in tempo reale delle sue operazioni. Questa analisi riguarda molti dati, che consistono principalmente nelle chiamate di sistema eseguite dall'applicazione e nel loro ordine. Le chiamate di sistema vengono tracciate tramite una tecnica chiamata agganciando .
Naturalmente, altre cose sono prese in considerazione. Ad esempio, la maggior parte degli autori di malware là fuori fallisce drammaticamente con i loro packer e crittografatori, rendendo ovvio che un file era, ben confezionato / criptato. E alcuni usano solo packer / cryptor noti che generano file facilmente riconoscibili dagli antivirus.
Lo fanno, puoi cercare codice metamorfico ( link ) e codice polimorfico ( link ). Sono tecniche per rendere il malware più difficile da rilevare modificando il codice ogni volta che viene eseguito.
La maggior parte dei prodotti AV si basano su hash, l'altro modo per rilevare il malware è utilizzando la scansione euristica dove si guarda a come si comporta il software, questo tuttavia non è perfetto e può dare molti falsi positivi.
Leggi altre domande sui tag virus hash antivirus antimalware