manualmente - ¿Cómo detectan los virus los programas antivirus?
tipos de antivirus (6)
¿Cómo detectan los programas antivirus si algo es un virus o un troyano?
Soy de Turquía, por favor mantenga el inglés simple si es posible, gracias.
Existen diferentes tipos de detección de virus. Algunas de las diferentes técnicas que utilizan son
1) Observe la composición binaria del archivo para una coincidencia o una coincidencia parcial en la base de datos de virus y troyanos conocidos (técnica más común)
2) Observe qué hace el programa y vea si alguna vez hace algo similar a los virus / troyanos
3) Analice el código del programa (a veces desmonte el código del programa) y busque cosas maliciosas. Esto suele ser muy difícil y generalmente solo los programas de detección avanzados hacen esto.
Hay tres formas básicas de encontrar virus. Puede escanear archivos para ver si tienen un código de virus de virus conocidos. Puedes escanear archivos para ver si el código hará cosas parecidas a virus. Puede esperar hasta que un programa haga algo que no debería hacer y marcar el programa como infectado.
Usted escanearía los archivos cuando se crearon por primera vez, y también lo haría en un horario después de eso. Tendría que instalar un controlador de kernel para ver qué hacen los programas y evitar que hagan cosas maliciosas.
Muchos programas anti-spyware funcionan exactamente de la misma manera. Por ejemplo, Spybot S&D puede observar los cambios en el Registro que podrían ser instalaciones de spyware.
Los antivirus detectan virus observando el registro, observando el código de un programa, revisando su lista de virus comunes o incluso buscando en Internet para ver si otras personas / software lo han clasificado como virus.
Usan firmas o definiciones de cómo se ve un virus y las comparan con los archivos que analiza.
Vea este artículo de SciAm para una buena explicación.
http://www.google.com/search?q=how+does+antivirus+work
El primer enlace fue bastante bueno:
- diccionario de virus : busca firmas conocidas, por ejemplo, el algoritmo de compresión ejecutable UPX es popular para hacer que la carga útil sea realmente pequeña.
- comportamiento sospechoso : detecta cosas que no ocurren en el trabajo diario, como escribir en otro ejecutable.
Detección basada en firmas : se detecta comparando una firma de virus (un patrón binario de virus conocidos) con los archivos que se analizan.
Detección basada en heurística : detecta el comportamiento y los patrones de código que indican que un virus puede estar presente. El código sospechoso se ejecuta en un entorno virtual de tiempo de ejecución para realizar pruebas adicionales del comportamiento del virus. Esto puede encontrar nuevos virus que no están en las definiciones de virus.
Detección basada en el comportamiento: detecta virus cuando se ejecutan según el comportamiento que muestra el virus
Detección de sandbox : similar al comportamiento, este método ejecuta un virus potencial en un entorno de ejecución y monitorea el comportamiento