¡Vd. usa un navegador obsoleto!

Es posible que la página no se visualice correctamente.

  • añadir a favoritos
    Añadir a marcadores

La autopsia lo revelará todo

Consultas: 1380 Comentarios: 1 Ranking: 41

Al decir “antivirus”, muchos suponen “firmas”. Pero no basta solo con detectar a un delincuente, también hay que encontrar a sus cómplices y víctimas. En otras palabras, no basta con que un antivirus detecte el archivo nocivo, también debe detectar los recursos usados por este archivo. Esta posibilidad, en particular, la necesita el analizador heurístico – el conocimiento de las peculiaridades características podrá prevenir otra infección por las modificaciones más nuevas de programas nocivos, ayudar a configurar el antispam, las listas negras del Control parental y las reglas del Firewall.

Y si normalmente se puede recibir las firmas bastante rápido (por supuesto, para los programas nocivos que las tienen), el análisis heurístico es un proceso largo, y al leer una noticia sobre un programa nocivo más nuevo hay que entender que a veces se trata no solo de una pequeña noticia, sino de un trabajo semanal de analistas.

Para analizar los archivos nocivos se usan programas especiales – tanto los de acceso público como los creados para analistas en laboratorios antivirus. Hay muchos programas de este tipo y vamos a ver solo algunos tipos de los mismos.

El análisis primario del comportamiento del programa está disponible para cualquiera (aunque no recomendamos realizarlo). Por ejemplo, la utilidad gratuita Procmon (Process Monitor) se usa para saber en tiempo real qué recursos usa algún programa.

#drweb

Así mismo, para el análisis se usa un desensamblador. Casi cualquier archivo analizado (excepto los de script) – es un conjunto de instrucciones para el procesador.

El desensamblador recibe un archivo ejecutable o un búfer con un código de entrada. Una etapa muy importante para el desensamblador es encontrar el punto de entrada, un sitio desde el cual hay que empezar a analizar el archivo – por ejemplo, un sitio desde el cual empieza el código implementado por un virus en un archivo anteriormente limpio.

A partir del punto de entrada, el desensamblador detecta qué instrucción es, su longitud en bytes, si es una instrucción de cambio, qué registros usa, para qué direcciones en la memoria tiene referencias etc. Al haber analizado una instrucción, el desensamblador pasa a la siguiente y, si la instrucción analizada era una instrucción de cambio, se mueve donde indica la dirección de cambio. Si la instrucción es un cambio condicional, el desensamblador marca dos direcciones siguientes a la vez para analizar — la dirección de la instrucción siguiente y la dirección a la cual es posible cambiar. Si la combinación de bytes no se reconoce, el proceso de desensamblar esta rama se para.

El desensamblador convierte la secuencia de bytes de un código en una estructura única cada nodo de la cual guarda la información sobre las acciones realizadas, los datos usados, los sitios de donde se inicia la instrucción en cuestión.

https://habrahabr.ru/company/mailru/blog/240655

#drweb

https://ru-sf.ru/threads/delaem-svoj-virlab-vvedenie.3162

Una desventaja del desensamblador es que el mismo necesita un código para el análisis, y este código puede no estar disponible antes de ser ejecutado. Solo un depurador puede ayudar a analizar este código.

El depurador controla el programa iniciado y, en cuanto el mismo realiza alguna acción, lo para. El depurador puede funcionar en dos modos – esperando que llegue el momento establecido anteriormente para un análisis detallado de las acciones del programa, o en modo de depuración por pasos, lo que recuerda las acciones del desensamblador. La diferencia entre estos programas es que el desensamblador funciona con un código del programa no iniciado, es decir, con su archivo, y el depurador analiza el proceso activo (aunque también le servirán los datos adicionales para conocer la estructura del programa analizado). Como resultado, en caso de un cambio condicional, el desensamblador solo lo indicará, y luego el analista decidirá la ruta posterior para ejecutar el código, y el depurador cambiará automáticamente a la rama del código necesario, y el analista podrá entender por qué se realizó un cambio así.

#drweb

https://ru-sf.ru/threads/delaem-svoj-virlab-vvedenie.3162 #antivirus #tecnologías_Dr.Web

Dr.Web recomienda

Un antivirus moderno es un sistema muy complejo que se desarrollaba afrontando varias generaciones de programas nocivos. Hoy día pocas empresas son capaces de crear un antivirus.

Reciba los puntos Dr.Web por valorar la edición (1 voto = 1 punto Dr.Web)

Inicie sesión y obtenga 10 puntos Dr.Web por publicar un enlace a la edición en una red social.

[Twitter]

Por causa de restricciones técnicas de Vkontakye y Facebook, lamentamos no poder ofrecerle los puntos Dr.Web. Pero Vd. puede compartir un enlace a esta edición sin obtener los puntos Dr.Web. Es decir, gratis.

Nos importa su opinión

10 puntos Dr.Web por un comentario el día de emisión de la edición, o 1 punto Dr.Web cualquier otro día. Los comentarios se publican automáticamente y se moderan posteriormente. Normas de comentar noticias Doctor Web.

Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.

Comentarios de usuarios