È vero che più vecchi sono i file, più è probabile che siano puliti se i nuovi scanner non rilevano nulla?

I fornitori e gli amministratori di antivirus tendono a disabilitare le routine di scansione e il rilevamento di schemi per generazioni di malware precedenti. Di solito lo fanno per ragioni di prestazioni. La legittimazione è che quel vecchio malware potrebbe comunque essere eliminato nel frattempo perché c'erano così tanti meccanismi di rilevamento stabiliti per così tanto tempo che renderebbero impossibile la sopravvivenza di un malware antico. Ho fatto un analisi dei filtri di protezione predefiniti di HP TippingPoint e ho rivelato lo stesso nel settore IDS / IPS.

Il problema è che il ragionamento è sbagliato. Il malware più vecchio potrebbe essere sopravvissuto perché tutti pensavano che fosse estinto. C'è un problema simile quando si tratta di vaccinazione.

Inoltre potrebbe essere possibile che un utente malintenzionato / malware manipoli i timestamp di un file. Senza il controllo dell'integrità non puoi stabilire se questo è veramente il file che ti aspetti da un precedente momento.

Un teorema fondamentale dell'informatica teorica va così: Sia π un predicato non banale dei programmi. Quindi per ogni algoritmo A che, data la descrizione di un programma P come output di input π ( P ), ci sono input per i quali A non può terminare in tempo limitato.

Una proprietà banale è una che è vera o falsa per tutti i programmi. Poiché alcuni programmi sono malware e altri no, se un dato programma è malware è un predicato non banale. Detto questo, non esiste un perfetto strumento di analisi del malware da un punto di vista teorico. In pratica, questa misura che inevitabilmente ci sarà una corsa agli armamenti tra autori di malware e strumenti di rilevamento del malware. Concedi a ciascuna parte un tempo aggiuntivo per avanzare in una corsa agli armamenti mentre il suo concorrente è costretto a stare fermo e alla fine guadagnerà un vantaggio strategico.

Penso che anche queste siano le premesse non scritte della tua domanda. E non posso dubitarne. Tuttavia, nessuno sano di mente ti dirà numeri specifici su quanto "probabile" sia che un file analizzato da un determinato strumento non contenga malware.

Dal momento che un approccio generale all'analisi del malware è teoricamente impossibile, gli strumenti pratici utilizzano un mix di euristiche diverse. Una tecnica consiste nell'utilizzare un database di modelli di exploit noti. Ovviamente, un tale database può contenere solo pattern conosciuti al momento. Di conseguenza, un nuovo strumento di analisi trarrà profitto dai modelli rilevati nel tempo tra il malware e lo strumento sono stati rilasciati. Ovviamente nessuno può sapere quanti pattern sono stati ancora scoperti non . Quindi il meglio che possiamo dire è che gli strumenti probabilmente non diventeranno peggiori con il passare del tempo. Questa non è una dichiarazione troppo strong.

In rari casi, gli autori di strumenti di analisi potrebbero rimuovere modelli dalle loro librerie perché causano troppi falsi positivi, sono troppo inefficienti o si ritiene che l'exploit sia obsoleto. Il tempo che un utente è disposto a investire nella gestione di un'analisi è limitato ei produttori di strumenti devono spendere saggiamente quel budget. D'altra parte, i computer tendono a diventare più veloci nel tempo, quindi analisi più complesse diventano fattibili.

Oltre a cercare modelli conosciuti, gli strumenti di analisi possono anche cercare segni sospetti più generali. Queste analisi potrebbero anche trovare malware che non erano noti in modo specifico al produttore di utensili. È prevedibile che, con il passare del tempo e della tecnologia, queste euristiche migliorino e trovino più malware. Mi sembra improbabile che un venditore rimuova un'analisi di lavoro dal proprio strumento, ma ovviamente le regressioni si verificano nella pratica. Gli strumenti di analisi dei malware sono solo software come gli altri e le persone che li scrivono commettono errori.

Forse il vantaggio più strong che hai nei confronti dei vecchi file è che la vulnerabilità che stavano sfruttando avrebbe potuto essere risolta nel frattempo. Naturalmente, puoi sfruttare questo vantaggio solo se stai utilizzando i file in un ambiente che ha ricevuto aggiornamenti nel frattempo. È probabile che alcune vulnerabilità che sono state sfruttate dal malware in un determinato momento siano state corrette. Naturalmente altri potrebbero essere stati introdotti, ma è molto improbabile che un file contenga un exploit funzionante per una vulnerabilità futura. Di solito, gli autori di malware si avvicinano ai loro obiettivi con molta conoscenza intima e non puoi sapere qualcosa che non esiste ancora. Tieni presente che non tutto il malware funziona sfruttando le vulnerabilità, però.

Un'eccezione non convenzionale, ma non del tutto plausibile, agli "strumenti di analisi migliorano col passare del tempo", si verifica naturalmente se i creatori di utensili deliberatamente paralizzano i loro prodotti. Potrebbero farlo a causa della pressione del governo o di altri motivi discutibili. Dato che la maggior parte degli strumenti di analisi del malware sono software proprietario, poche persone effettivamente sanno cosa fanno realmente. E quelli che sanno che molto probabilmente non te lo diranno.

Quello che puoi sempre fare è analizzare un file con più strumenti di analisi (vecchi e nuovi) e quindi aumentare le tue possibilità che alcuni di loro troveranno qualcosa. Si avverta, tuttavia, che gli strumenti di analisi possono contenere anche bug e malware che attacca specificamente l'analizzatore non è inaudito.

Soprattutto le considerazioni teoriche, c'è sempre la domanda pratica che tu consideri veramente come malware. Se un browser web invia i registri della tua attività a società pubblicitarie, chiamerei sicuramente il malware e si rifiuta di usarlo. Altre persone potrebbero non farlo. Alla fine, nessuno strumento sarà in grado di prendere quella decisione personale per te.