Title: Como funciona um anti-vírus?
Post by: Anonymous on 06 de June , 2006, 07:23:52 PM
Post by: Anonymous on 06 de June , 2006, 07:23:52 PM
Os Antivirus vem evoluindo (de forma a sempre fazer mais e mais dinheiro) mas o básico do funcionamento dos antivirus são detecção atraves de assinaturas e alguns usam Heuristica (só na teoria, pois a heuristica em geral dos AV é uma porcaria).
O funcionamento básico para criar uma assinatura é assim:
* Recebe um arquivo que é o virus ou infectado com o virus.
* A equipe de response da empresa de AV (em geral tem de 4 a 6 horas) para analisar o executavel. Essa analise geralmente é disasembla-lo e debuga-lo para compreender seu funcionamento.
* O proximo estagio é identificar "partes" do codigos que não são mutaveis ou as mutações são previseveis (entretanto fugindo um pouco do assunto por mais que todos os doutores, mestres, whatever do forum discorde todos os numeros podem ser previstos, mas isso é outra historia), apartir dessas "partes do codigo" que geralmente são salvas em Hexadecimal parecendo uma string, como por exemplo "AA234E7A8B985F9E998376A75A42" se define a "assinatura de identificação" do virus, apartir dai se armazena tambem o offset onde esse codigo inicia (ou seja, em qual parte do codigo essa string começa), geralmente se adiciona tambem o formato do arquivo (PE FILE, ELF, TEXT, DOC, whatever), aramazena tambem o nome do virus. O basico seria mais ou menos o seguinte:
offset|assinatura em Hexa| Formato do arquivo | Nome do Virus
Essa lista é o básico para detecção, muitas empresas de AV incrementam a lista (como por exemplo campo tamanho, checksum, etc) para maior detecção ou em alguns casos velocidade no scaneamento, mas isso já são melhorias, o básico é isso. Vale lembrar que o arquivo não precissa ter essa ordem, a ordem é o fabricante quem escolhe. Essas assinaturas costumam ficar armazenadas em arquivos .dat em windows. ;-)
Wendel Guglielmetti Henrique- a.k.a dum_dum
http://www.h2hc.com.br- (//http://) Hackers 2 Hackers Conference
http://cdm.frontthescene.com.br- (//http://) Clube Dos Mercenários
http://www.frontthescene.com.br (http://www.frontthescene.com.br) - Front The Scene
http://ws.frontthescene.com.br (http://ws.frontthescene.com.br) - Pagina Pessoal
O funcionamento básico para criar uma assinatura é assim:
* Recebe um arquivo que é o virus ou infectado com o virus.
* A equipe de response da empresa de AV (em geral tem de 4 a 6 horas) para analisar o executavel. Essa analise geralmente é disasembla-lo e debuga-lo para compreender seu funcionamento.
* O proximo estagio é identificar "partes" do codigos que não são mutaveis ou as mutações são previseveis (entretanto fugindo um pouco do assunto por mais que todos os doutores, mestres, whatever do forum discorde todos os numeros podem ser previstos, mas isso é outra historia), apartir dessas "partes do codigo" que geralmente são salvas em Hexadecimal parecendo uma string, como por exemplo "AA234E7A8B985F9E998376A75A42" se define a "assinatura de identificação" do virus, apartir dai se armazena tambem o offset onde esse codigo inicia (ou seja, em qual parte do codigo essa string começa), geralmente se adiciona tambem o formato do arquivo (PE FILE, ELF, TEXT, DOC, whatever), aramazena tambem o nome do virus. O basico seria mais ou menos o seguinte:
offset|assinatura em Hexa| Formato do arquivo | Nome do Virus
Essa lista é o básico para detecção, muitas empresas de AV incrementam a lista (como por exemplo campo tamanho, checksum, etc) para maior detecção ou em alguns casos velocidade no scaneamento, mas isso já são melhorias, o básico é isso. Vale lembrar que o arquivo não precissa ter essa ordem, a ordem é o fabricante quem escolhe. Essas assinaturas costumam ficar armazenadas em arquivos .dat em windows. ;-)
Wendel Guglielmetti Henrique- a.k.a dum_dum
http://www.h2hc.com.br- (//http://) Hackers 2 Hackers Conference
http://cdm.frontthescene.com.br- (//http://) Clube Dos Mercenários
http://www.frontthescene.com.br (http://www.frontthescene.com.br) - Front The Scene
http://ws.frontthescene.com.br (http://ws.frontthescene.com.br) - Pagina Pessoal
Title: Re: Como funciona um anti-vírus?
Post by: Anonymous on 06 de June , 2006, 07:45:05 PM
Post by: Anonymous on 06 de June , 2006, 07:45:05 PM
Bem interessante...
Title: Re: Como funciona um anti-vírus?
Post by: HadeS on 07 de June , 2006, 08:58:54 PM
Post by: HadeS on 07 de June , 2006, 08:58:54 PM
Muito básico, mas de qualquer modo, rasoável.
A heuristica do NOD32 é uma porcaria?!?
HadeS
A heuristica do NOD32 é uma porcaria?!?
HadeS
Title: Re: Como funciona um anti-vírus?
Post by: _Dr4k0_ on 13 de June , 2006, 09:56:44 AM
Post by: _Dr4k0_ on 13 de June , 2006, 09:56:44 AM
Quote from: "HadeS"Muito básico, mas de qualquer modo, rasoável.
A heuristica do NOD32 é uma porcaria?!?
HadeS
Por que seria..?não entendi o que voce quis dizer
Title: Re: Como funciona um anti-vírus?
Post by: Skayler on 13 de June , 2006, 10:49:03 AM
Post by: Skayler on 13 de June , 2006, 10:49:03 AM
Drako: "mas o básico do funcionamento dos antivirus são detecção atraves de assinaturas e alguns usam Heuristica (só na teoria, pois a heuristica em geral dos AV é uma porcaria)."
No começo do tutorial, hehe...
Muito interessante
Inté
No começo do tutorial, hehe...
Muito interessante
Inté
Title: Re: Como funciona um anti-vírus?
Post by: Kratos on 13 de June , 2006, 11:52:08 AM
Post by: Kratos on 13 de June , 2006, 11:52:08 AM
Quote from: "HadeS"Muito básico, mas de qualquer modo, rasoável.
A heuristica do NOD32 é uma porcaria?!?
HadeS
http://www.darkers.com.br/smf/index.php ... 447.0.html (http://www.darkers.com.br/smf/index.php/topic,1447.0.html)
\./
++
Title: Re: Como funciona um anti-vírus?
Post by: HadeS on 13 de June , 2006, 12:26:19 PM
Post by: HadeS on 13 de June , 2006, 12:26:19 PM
Vamos explicar.
Isso foi uma ironia, não acho que o melhor Anti-Vírus do mundo tenha um sistema de heurística ruim. Eu sei o que é heurística.
E o PyroMaker diz o seguinte:
Eu discordo. Acho a heurística do NOD32 ótima, e dúvido que alguém que possua um conhecimento rasoável discorde.
HadeS
Isso foi uma ironia, não acho que o melhor Anti-Vírus do mundo tenha um sistema de heurística ruim. Eu sei o que é heurística.
E o PyroMaker diz o seguinte:
Quote[...]e alguns usam Heuristica (só na teoria, pois a heuristica em geral dos AV é uma porcaria).
Eu discordo. Acho a heurística do NOD32 ótima, e dúvido que alguém que possua um conhecimento rasoável discorde.
HadeS
Title: Re: Como funciona um anti-vírus?
Post by: Skayler on 13 de June , 2006, 01:41:52 PM
Post by: Skayler on 13 de June , 2006, 01:41:52 PM
Hey! HadeS, qual AV você acha o melhor do mundo?
Caso seja o NOD32, eu discordo e nunca irei concordar.
Pois se a pessoa souber usar um computador, tiver conhecimentos básicos/intermedário em operaçao de sistemas, ela com até o AVG ( Eu não gosto, e tbm nunca vi nenhum pior, só o AntiVir, haha ) tira muitos virus perigosos, de alta periculosidade, hahaha.
Inté
Caso seja o NOD32, eu discordo e nunca irei concordar.
Pois se a pessoa souber usar um computador, tiver conhecimentos básicos/intermedário em operaçao de sistemas, ela com até o AVG ( Eu não gosto, e tbm nunca vi nenhum pior, só o AntiVir, haha ) tira muitos virus perigosos, de alta periculosidade, hahaha.
Inté
Title: Re: Como funciona um anti-vírus?
Post by: HadeS on 13 de June , 2006, 05:30:40 PM
Post by: HadeS on 13 de June , 2006, 05:30:40 PM
Eu, e muitos testes de AVs mundialmente famosos, acho que o NOD32 é o melhor sim.
Se não usasse um sistema Unix, seria NOD32 com certeza.
HadeS
Se não usasse um sistema Unix, seria NOD32 com certeza.
HadeS
Title: Re: Como funciona um anti-vírus?
Post by: rog on 13 de June , 2006, 06:11:22 PM
Post by: rog on 13 de June , 2006, 06:11:22 PM
tambem tem que diferenciar deteçao e proteçao
tem antivirus que detectam muito mas nao bloqueam direito (o kav me fez isso varias vezes)
na proxima versao do meu binder vou acrescentar um forcing
==> um loop que podera ir ate 100 de escritura e tentativa de lançamente do thread
tipo assim virus1.exe ate virus100.exe
eu tem certeza que eu infecto todos antes do numero 100
rog
tem antivirus que detectam muito mas nao bloqueam direito (o kav me fez isso varias vezes)
na proxima versao do meu binder vou acrescentar um forcing
==> um loop que podera ir ate 100 de escritura e tentativa de lançamente do thread
tipo assim virus1.exe ate virus100.exe
eu tem certeza que eu infecto todos antes do numero 100
rog
Title: Re: Como funciona um anti-vírus?
Post by: darknesshack on 13 de June , 2006, 10:48:48 PM
Post by: darknesshack on 13 de June , 2006, 10:48:48 PM
Acredito eu que apenas um AV na máquina não e o suficiente, todos ai sabemos a propagação de Vírus hoje em dia, na minha opnião em caso de sistemas MS, e aconselhavel realmente usar um pacote de proteção AV, Firewall, Anti-Spy... e velha técnica de arrancar na unha mesmo hehe! vlw!
Title: Re: Como funciona um anti-vírus?
Post by: Skayler on 14 de June , 2006, 12:20:18 PM
Post by: Skayler on 14 de June , 2006, 12:20:18 PM
Sim Darknesshack, mas a maioria do pessoal se infecta por entrar em sites perigosos, como é um exemplo, sites pornográficos, existe muitos virus e spywares...
Antigamente ( qndo eu tinha 10 anos ) eu usava só o AVG, hehe, dificilmente eu me infectava.
Mas sim, concordo, um bom Anti Virus, Firewall, um Anti Spyware é um grande auxilio.
Teh +
Antigamente ( qndo eu tinha 10 anos ) eu usava só o AVG, hehe, dificilmente eu me infectava.
Mas sim, concordo, um bom Anti Virus, Firewall, um Anti Spyware é um grande auxilio.
Teh +
Title: Re: Como funciona um anti-vírus?
Post by: rodweb on 14 de June , 2006, 01:19:30 PM
Post by: rodweb on 14 de June , 2006, 01:19:30 PM
Quote from: "Skayler"dificilmente eu me infectava.
Mais os vírus que o AVG não detecta ia passar batido...
Na época que eu usava AVG tbm achava que não tinha sido infectado...depois que passei o NOD32 ai ele pegou 22...
Title: Re: Como funciona um anti-vírus?
Post by: Skayler on 14 de June , 2006, 04:06:34 PM
Post by: Skayler on 14 de June , 2006, 04:06:34 PM
Sim, mas eu não bobeava muito, pelo menos o AVG "nunca" detecto :X
Teh +
Teh +