El mundo de antivirus

jueves, 6 de abril de 2017

Una pregunta, al parecer, fácil: ¿cómo un antivirus detecta los virus? Pero al contestarla, mucha gente, hasta muchos expertos en IT, dicen que es un núcleo antivirus, y no es así.

¡Un mito Todas las posibilidades de un antivirus están en su núcleo.

Las consecuencias de este mito son:

• Un alto interés por varios tests de antivirus;
• La opinión que basta con comprar la licencia para la protección segura, que contiene un solo componente – el antivirus mismo.

En un producto antivirus moderno todo es mucho más difícil e interesante.

Primero, hay que entender que el núcleo antivirus y las bases de virus son componentes pasivos. Sí, el núcleo es en cierto grado el cerebro del antivirus. Pero el cerebro por sí mismo está pasivo, la información que llega desde fuera lo activa. Esta información el cerebro la percibe a través de los ojos, oídos, manos etc. La información recibida el cerebro la analiza y entrega el resultado — las instrucciones para actuar.

El antivirus detecta los programas nocivos, así mismo (pero no solamente), a base de las entradas en las bases de virus — un conjunto de entradas que contienen varios tipos de información sobre los programas nocivos, y que, así mismo, permiten detectar los programas nocivos similares a los ya conocidos.

El antivirus detecta los programas nocivos, así mismo (pero no solamente), a base de las entradas en las bases de virus — un conjunto de entradas que contienen varios tipos de información sobre los programas nocivos, y que, así mismo, permiten detectar los programas nocivos similares a los ya conocidos.

Por lo tanto, los componentes más importantes de los productos de protección son varios esquemas de intercepción de la actividad nociva o sospechosa. Sin “ojos”, “oídos” y otros órganos del sentido hasta un “cerebro” más potente (núcleo) no podrá dar comandos correctos al cuerpo (el programa antivirus) para afrontar la amenaza.

Vamos a ver dos componentes de este tipo que aparecieron en la versión 11 Dr.Web para Windows:

• Dr.Web HyperVisor — funciona a nivel de controladores lo que proporciona el control de todos los programas, procesos, e impide la intercepción del control del sistema protegido por Dr.Web por programas nocivos.
• Dr.Web ShellGuard — se implementa en los procesos controlados del sistema protegido y permite detectar el código nocivo, hasta si su funcionamiento no se detecta fuera del proceso dañado por las acciones del programa nocivo. Este componente protege contra el uso por los exploits tanto de vulnerabilidades conocidas como aún desconocidas.

Por muy perfecto que sea el núcleo antivirus, sin tecnologías extra similares no serviría para mucho. Por ejemplo, un antivirus durante un test demostró un conocimiento perfecto de todas las muestras del conjunto del tester en su disco. Pero no siempre podrá detectarlas en caso de iniciar las mismas.

Es por eso que los líderes del mercado de detección y desinfección de programas nocivos activos modernos desde hace más de 20 años son las empresas antivirus que desarrollan sus propias tecnologías y no prestan sus licencias a otras empresas.