In che modo l'anti-malware decide se la mia applicazione è innocua o no?

1

Supponiamo di aver creato un'applicazione che effettui connessioni remote e funzioni, in che modo un programma antivirus / antimalware decide se la mia app è dannosa?

So che c'è una firma che controllano per identificare un programma come buono o cattivo, ma mi sembra che si tradurrebbe in molti falsi positivi perché un sacco di codice sarà una pratica comune.

Voglio dire, in che modo Team Viewer è diverso dalla mia ipotetica applicazione backdoor?

    
posta senaps 21.04.2018 - 07:13
fonte

4 risposte

6

Non lo sa, si basa su un insieme di regole.

Alcune regole, basate sulla somiglianza con malware conosciuti, danno vantaggi ragionevolmente affidabili. Il malware si muta e si nasconde, quindi i negativi sono meno affidabili.

Alcune regole sono basate sul comportamento, come l'apertura della connessione su determinate porte.

Alcune regole sono basate su firme crittografiche; i programmi firmati da bravi ragazzi non possono essere cattivi, e viceversa.

Esistono molti altri tipi di regole, ma nessuna è infallibile o estremamente efficace contro minacce precedentemente sconosciute.

    
risposta data 21.04.2018 - 08:50
fonte
3

Per lo più, sa che Team Viewer e programmi noti simili non sono malware perché i venditori hanno un database di hash crittografici di programmi che sono stati controllati manualmente e Team Viewer si troverà su quel database.

Il fatto che l'euristica usata da questo tipo di software abbia spesso falsi positivi è nascosta alla vista dall'uso di tali whitelist, ma può essere un problema serio per le persone che usano sistemi meno conosciuti.

    
risposta data 21.04.2018 - 11:05
fonte
2

Come hai giustamente intuito, sì lo strumento di amministrazione remota (RAT) legittimo come TeamViewer o sshd è tecnicamente indistinguibile dal malware. Infatti, il malware spesso spedisce e configura un RAT regolare e non modificato, firmato dall'autore originale del RAT, anziché dal RAT personalizzato, per rendere difficile agli anti malware distinguerlo dall'uso legittimo del RAT.

Come normalmente gli antimalware rilevano questo caso è quello di rilevare la configurazione piuttosto che il programma. Ad esempio, se un RAT legittimo è stato configurato per accettare la chiave pubblica di un utente malintenzionato o connettersi a una botnet conosciuta, allora possiamo essere certi che questo RAT non sia configurato dall'utente legittimo.

    
risposta data 23.04.2018 - 00:37
fonte
1

Dipende, il codice personalizzato probabilmente non verrà taggato a meno che non acceda alle risorse che richiedono i privilegi di amministratore. Il codice personalizzato è la ragione per cui le minacce persisitenti avanzate sono così difficili da rilevare. L'utilizzo del rilevamento basato sull'anomalia può portare a falsi positivi come quello che hai menzionato. È più probabile che tu riceva un messaggio di avviso.

    
risposta data 21.04.2018 - 13:17
fonte

Leggi altre domande sui tag