Πώς λειτουργεί ένα Antivirus

Πριν ξεκινήσετε το ταξίδι για να μάθετε πώς να αποφεύγετε τον εντοπισμό σας από τα AV, είναι σημαντικό να κατανοήσετε πρώτα πώς λειτουργεί ένα AV. Σε αυτή τη σύντομη δημοσίευση, θα εξετάσουμε τις πρωταρχικές μεθόδους που χρησιμοποιούν οι προγραμματιστές antivirus για τον εντοπισμό κακόβουλου λογισμικού

antivirus

Τα περισσότερα προϊόντα προστασίας από ιούς σήμερα χρησιμοποιούν έναν μόνο από τους πολλούς Engines. Κάθε μία από αυτές τις μηχανές έχει συγκεκριμένους στόχους. Οι τέσσερις κύριες μηχανές είναι οι εξής,

  1. A Static Engine

  2. Dynamic Engine

  3. Heuristic Engine

  4. Unpacking Engine

Στατική ανάλυση

Κάθε ένας από αυτούς τους Engines έχει έναν συγκεκριμένο στόχο και ο καθένας έχει τα δικά του πλεονεκτήματα και αδυναμίες. Για παράδειγμα, οι στατικές μηχανές, με τις οποίες οι περισσότεροι άνθρωποι είναι εξοικειωμένοι, αναζητούν απλώς υπογραφές γνωστού κακόβουλου λογισμικού. Οι πιο γνωστές από αυτές είναι οι υπογραφές YARA που ενημερώνονται σχεδόν καθημερινά.

Η στατική μηχανή απλά συγκρίνει αρχεία με μια βάση δεδομένων με υπογραφές γνωστού κακόβουλου λογισμικού. Αυτό μπορεί να είναι πιο δύσκολο από ό,τι φαίνεται, καθώς είναι σχετικά απλό να γίνουν τροποποιήσεις στο κακόβουλο λογισμικό (δημιουργώντας μια διαφορετική υπογραφή) και έτσι να παρακάμψετε αυτή τη στατική ανάλυση.

Δυναμική ανάλυση

Η δυναμική ανάλυση είναι λίγο πιο προηγμένη. Προσδιορίζει το κακόβουλο λογισμικό από τη συμπεριφορά του. Η πρώτη συμπεριφορά που αναζητά η δυναμική ανάλυση είναι οι κλήσεις API (διεπαφή προγραμματισμού εφαρμογών).

Η δυναμική ανάλυση χρησιμοποιεί system hooks για να αναζητήσει κακόβουλη συμπεριφορά. Επιπλέον, η δυναμική ανάλυση χρησιμοποιεί sandboxing. Το λογισμικό AV δημιουργεί ένα εικονικό περιβάλλον ξεχωριστό από τη μνήμη του κεντρικού υπολογιστή και εκτελεί το ύποπτο κακόβουλο λογισμικό. Με αυτόν τον τρόπο, η εφαρμογή AV μπορεί να αναλύσει το ύποπτο αρχείο σε ασφαλές περιβάλλον χωρίς κίνδυνο για τον φυσικό host.

antivirus1

 

 

Ευρετική ανάλυση

Οι περισσότερες εφαρμογές AV χρησιμοποιούν πλέον μια ευρετική μηχανή. Για να σας το κάνουμε πιο από, οι ευρετικές μηχανές χρησιμοποιούν τον παλιό κανόνα “αν περπατάει σαν πάπια και αν κουρνιάζει σαν πάπια, είναι μάλλον πάπια”. Η εφαρμογή AV δημιουργεί μια βαθμολογία για κάθε αρχείο με βάση διάφορους παράγοντες και στη συνέχεια, μέσω στατιστικής ανάλυσης, καθορίζει την πιθανότητα να πρόκειται για κακόβουλο λογισμικό.

Για παράδειγμα, η ευρετική ανάλυση θα αναζητήσει διεργασίες που αλληλεπιδρούν με τη διεργασία LSASS.exe, διεργασίες με υπογραφή από αξιόπιστο προμηθευτή λογισμικού, μια διεργασία που προσπαθεί να γίνει μόνιμη και μια διεργασία που προσπαθεί να επικοινωνήσει με έναν διακομιστή C&C.

Το μεγαλύτερο μειονέκτημα των ευρετικών μεθόδων είναι τα ψευδώς θετικά αποτελέσματα, όπου η εφαρμογή AV καθορίζει ότι ένα αρχείο είναι κακόβουλο, ενώ δεν είναι.

antivirus2

Ανάλυση Un-Packed

Ένας από τους σημαντικότερους τρόπους που χρησιμοποιούν οι προγραμματιστές κακόβουλου λογισμικού για να αποφύγουν τις εφαρμογές AV είναι να συσκευάζουν ή να συμπιέζουν τον κώδικά τους.

Με αυτόν τον τρόπο, μπορούν να αποφύγουν τη στατική ανίχνευση δημιουργώντας μια διαφορετική υπογραφή που δεν αναγνωρίζεται από την εφαρμογή AV κατά την ανάλυση υπογραφής/στατικής ανάλυσης.

Ο προμηθευτής AV πρέπει να αναπτύξει έναν αποσυμπιεστή για κάθε packer που είναι διαθέσιμος στους προγραμματιστές κακόβουλου λογισμικού. Αυτή μπορεί να είναι μια πολύ αργή και κουραστική διαδικασία, αλλά είναι απαραίτητη εάν το AV πρόκειται να ανιχνεύσει τα κακόβουλα αρχεία που είναι κατασκευασμένα.

Σύνοψη

Κρίσιμη προϋπόθεση για την ανάπτυξη τεχνικών για την αποφυγή των antivirus είναι η καλή κατανόηση του τρόπου λειτουργίας των antivirus. Τώρα που έχετε μια ιδέα για τη λειτουργία αυτών των συστημάτων, είστε έτοιμοι να αρχίσετε να αποφεύγετε τα antivirus.

iGuRu.gr The Best Technology Site in Greeceggns

Get the best viral stories straight into your inbox!















Written by Anastasis Vasileiadis

Οι μεταφράσεις είναι σαν τις γυναίκες. Όταν είναι ωραίες δεν είναι πιστές και όταν είναι πιστές δεν είναι ωραίες.

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).