Mi chiedo che tipo di infezioni il software AV sia in grado di rilevare:
- solo se il file è stato firmato?
- anche se il punto di ingresso non è cambiato?
- ha anche hash per file non di sistema?
- Cosa succede se la firma viene semplicemente rimossa?
Diversi pacchetti software antivirus hanno diverse capacità e meccanismi di rilevamento. Praticamente tutti supportano quello che viene chiamato un meccanismo basato sulla firma, in cui una particolare serie di byte funge da impronta digitale che attiva un rilevamento positivo.
È importante capire che l'uso della parola "firma" è completamente diverso da una firma digitale, che è un valore crittografico che prova matematicamente l'origine di un documento digitale. Un file AV di stringhe di rilevamento malware dovrebbe essere più correttamente definito "file di impronte digitali" o "lista nera di impronte digitali di virus", ma la firma di parole è stata utilizzata molto tempo fa e si è bloccata.
Il software AV utilizza le firme digitali effettive, tuttavia, per verificare che i loro file di aggiornamento non siano stati manomessi.
Il problema con le stringhe di rilevamento è che sono statici. Se un autore di malware si rende conto che il suo codice è rilevabile, cambia solo un po 'il suo codice, che cambia le impronte digitali, causando così che non sia più nella lista nera.
Per aiutare con questo, il software AV usa anche comunemente l'euristica, che è la logica che rileva il comportamento tipico dei virus. Tale comportamento potrebbe essere "cercare di comportarsi come un debugger" o "installare un hook in un programma diverso". Qualsiasi software che tenta di eseguire queste attività potrebbe attivare un avviso di rilevamento. L'euristica è una buona aggiunta perché può lavorare su nuovi virus che non sono mai stati nemmeno inventati.
Meglio della rilevazione di malware, tuttavia, sono strumenti AV che utilizzano le white-list delle applicazioni. Questi programmi semplicemente rifiutano di consentire l'esecuzione di un'applicazione che non ha un checksum valido in archivio nella whitelist. Sono difficili da utilizzare, tuttavia, poiché richiedono un'impostazione sofisticata e una manutenzione costante man mano che il software viene aggiunto e aggiornato.
Un'altra soluzione è configurare un sistema operativo per richiedere le firme digitali su tutto il codice prima di consentirne l'esecuzione. Questo è il modo in cui iOS di Apple blocca tutto tranne il software approvato, e perché gli iPhone sono più sicuri senza un pacchetto AV (i pacchetti AV si sono dimostrati occasionalmente vulnerabili o instabili e sono stati sfruttati dagli autori di attacchi.)
Ma niente è perfetto. Sia le whitelist che i file firmati sono ancora vulnerabili agli autori di attacchi creativi che possono ancora sfruttare buffer overflow nelle applicazioni firmate e che utilizzano tecniche come la programmazione orientata al contrario per eseguire il malware da applicazioni esistenti.
Leggi altre domande sui tag antivirus antimalware infection-vector