Sto esaminando il software di sicurezza e sembra che il prossimo Big Thing sia un antivirus comportamentale. Mi piacerebbe provare a creare il mio "AV comportamentale di prossima generazione", così posso acquisire una migliore comprensione del suo funzionamento interno e così posso vedere quanto posso avvicinarmi a prodotti consolidati in termini di falsi negativi e tassi falsi positivi. Anche se capisco che probabilmente non raggiungerò mai i risultati che i grandi giocatori possono avere a causa della mancanza di accesso al tipo di dati e forza lavoro e competenza che hanno, mi piacerebbe almeno vedere quanto vicino posso ottenere.
Comprendo l'essenza di come funziona l'AV comportamentale (AV monitora l'API del sistema operativo e installa un driver di filtro per monitorare i cambiamenti del filesystem), ma sono interessato a scoprire quali sono esattamente i tipi di cose che questi antivirus cercano . Ci sono alcune cose che mi vengono in mente: l'iniezione di processo, le connessioni ai server con reputazioni scadenti o inesistenti, il software che si imposta all'avvio, il software che interagisce con un gruppo di file nella directory C: / System, ecc. - ma mi piacerebbe vedere se qualcuno ha altre idee su cosa dovrei provare a cercare.
Finora, ho trovato questo:
Ma guarda solo alcune azioni. Qualcuno ha qualche informazione su che altro dovrei includere nel mio kludgy, non-così-enterprise AV?