Firme per un antivirus

1

Quando il software anti-virus confronta una firma MD5 per malware, esegue il malware sul mio computer per generare la firma appropriata da confrontare?

[QUESTIONE ORIGINALE] MD5 è stato utilizzato per rilevare il malware per molto tempo. So che ora è tranquillo e obsoleto a causa di diverse tecniche avanzate come il polimorfismo, il cambio di bit ecc.,

Ma quando uno usa MD5 eseguirà il malware per generare un valore hash ?? mi sembra che stia eseguendo l'applicazione sulla generazione del valore hash?

Recentemente, ho trovato che "trovare una stringa specifica" è la sostituzione di MD5 ma con la consapevolezza di programmare come ottenere gli strigs in un file eseguibile o qualcosa del genere ?? L'antivirus ha il proprio decompilatore o qualcosa del genere?

Sono ben consapevole delle tecnologie euristiche e sandbox ....

NOTA: questo forum contiene 100 domande come questa (ad esempio, come scrivere firme AV) ma non trovo risposta per questo ...

    
posta VISWESWARAN NAGASIVAM 21.02.2016 - 19:09
fonte

3 risposte

2

No. A meno che non ci sia una vulnerabilità nel lettore di File Stream (improbabile), non eseguirai mai il malware per convalidare l'hash. Stai semplicemente leggendo il contenuto dell'eseguibile per verificare se l'hash MD5 è o meno una corrispondenza.

La lettura è non uguale all'esecuzione, e nessuno dei due sta scrivendo.

Tieni presente che è possibile falsificare il valore hash MD5 a causa di collisioni. Questo non aiuta nemmeno un utente malintenzionato che aggiunge / rinomina i metodi nel codice sorgente di un programma antivirus e che ricompila l'eseguibile, producendo in tal modo un output hash completamente diverso.

    
risposta data 21.02.2016 - 19:24
fonte
2

No, i sistemi antivirus basati sulle firme non hanno bisogno di eseguire il malware per generare una firma specifica. Leggono il contenuto del file, senza eseguirlo.

Tuttavia, i sistemi antivirus basati sul comportamento possono eseguire malware utilizzando una sandbox, monitorando il comportamento dell'applicazione e utilizzandoli per determinare se un'applicazione è sicura da eseguire normalmente.

    
risposta data 21.02.2016 - 19:26
fonte
0

La firma MD5 di un malware che il tuo antivirus lo riceve aggiornando è un hash e quando hai un nuovo file (Dati nell'immagine) nel tuo computer, simile all'immagine qui sotto:

il tuo antivirus ha hash il nuovo file (Dati) (come il checksum del file scaricato) e confronta il risultato con tutti gli hash salvati che il tuo antivirus ha ricevuto aggiornando, e questo lavoro non ha bisogno di eseguire il file (immagina checksum del download del file)

NOTA: il tuo antivirus riceve l'hash di tutti i nuovi malware rilevati nella forma che stanno firmando con la tua azienda antivirus e con una funzione hash resistente alle collisioni, ogni file ha un hash univoco, quindi questo hash può essere simile a una firma.

    
risposta data 22.02.2016 - 00:18
fonte

Leggi altre domande sui tag