Esiste un anti virus che protegge i processi dall'essere codice iniettato?

0

Come dice il titolo, c'è un av che lo fa?

E se no, c'è qualche altro programma che protegge processi come lsass in windows, a parte l'utilità di processo protetta in win8.1?

    
posta NirPes 10.04.2014 - 13:13
fonte

1 risposta

3

La maggior parte degli antivirus prova per proteggere i processi dall'iniezione di codice. Tuttavia, questo è in ultima analisi euristico: l'unica chiara distinzione tra l'iniezione di codice dannoso e il normale comportamento del processo è a livello umano: l'utente umano voleva davvero che ciò accadesse, oppure no. Il software in generale, l'AV in particolare, non è in grado di sondare gli intricati processi psicologici nell'anima dell'utente umano.

Quindi il software AV si basa comunemente sul riconoscimento del noto "carico utile ostile" e cerca di coglierne le varianti. È un delicato compromesso tra sicurezza e funzionalità: l'AV dovrebbe consentire il normale flusso di dati, ma individuare e distruggere in modo affidabile dati maliziosamente predisposti. Quindi i venditori di AV devono fare tap-dance tra i falsi positivi (bloccando i dati normali, interrompendo così le funzionalità) e i falsi negativi (non riuscendo a bloccare i dati dannosi). Inoltre, AV dovrebbe essere efficiente: non possono permettersi di utilizzare tutte le risorse della CPU della macchina per giungere a una decisione di blocco / passaggio.

L'AV comune rileva tutte le comunicazioni di rete per applicare i filtri automatici su tutti i flussi di dati. Alcuni cercano anche di essere particolarmente attenti e severi per i dati che arrivano a processi specifici "sensibili" come, appunto, lsass.exe.

Riepilogo: sì, l'AV lo fa. Ma non aspettarti miracoli.

    
risposta data 10.04.2014 - 15:01
fonte

Leggi altre domande sui tag