Como funciona um anti-vírus?

Anonymous · 06 de June , 2006, 07:23:52 PM

Os Antivirus vem evoluindo (de forma a sempre fazer mais e mais dinheiro) mas o básico do funcionamento dos antivirus são detecção atraves de assinaturas e alguns usam Heuristica (só na teoria, pois a heuristica em geral dos AV é uma porcaria).

O funcionamento básico para criar uma assinatura é assim:

* Recebe um arquivo que é o virus ou infectado com o virus.
* A equipe de response da empresa de AV (em geral tem de 4 a 6 horas) para analisar o executavel. Essa analise geralmente é disasembla-lo e debuga-lo para compreender seu funcionamento.
* O proximo estagio é identificar "partes" do codigos que não são mutaveis ou as mutações são previseveis (entretanto fugindo um pouco do assunto por mais que todos os doutores, mestres, whatever do forum discorde todos os numeros podem ser previstos, mas isso é outra historia), apartir dessas "partes do codigo" que geralmente são salvas em Hexadecimal parecendo uma string, como por exemplo "AA234E7A8B985F9E998376A75A42" se define a "assinatura de identificação" do virus, apartir dai se armazena tambem o offset onde esse codigo inicia (ou seja, em qual parte do codigo essa string começa), geralmente se adiciona tambem o formato do arquivo (PE FILE, ELF, TEXT, DOC, whatever), aramazena tambem o nome do virus. O basico seria mais ou menos o seguinte:

offset|assinatura em Hexa| Formato do arquivo | Nome do Virus

Essa lista é o básico para detecção, muitas empresas de AV incrementam a lista (como por exemplo campo tamanho, checksum, etc) para maior detecção ou em alguns casos velocidade no scaneamento, mas isso já são melhorias, o básico é isso. Vale lembrar que o arquivo não precissa ter essa ordem, a ordem é o fabricante quem escolhe. Essas assinaturas costumam ficar armazenadas em arquivos .dat em windows. ;-)

Wendel Guglielmetti Henrique- a.k.a dum_dum
http://www.h2hc.com.br- Hackers 2 Hackers Conference
http://cdm.frontthescene.com.br- Clube Dos Mercenários
http://www.frontthescene.com.br - Front The Scene
http://ws.frontthescene.com.br - Pagina Pessoal

Anonymous · 06 de June , 2006, 07:45:05 PM

Bem interessante...

HadeS · 07 de June , 2006, 08:58:54 PM

Muito básico, mas de qualquer modo, rasoável.

A heuristica do NOD32 é uma porcaria?!?

HadeS

_Dr4k0_ · 13 de June , 2006, 09:56:44 AM

Quote from: "HadeS"Muito básico, mas de qualquer modo, rasoável.

A heuristica do NOD32 é uma porcaria?!?

HadeS

Por que seria..?não entendi o que voce quis dizer

Skayler · 13 de June , 2006, 10:49:03 AM

Drako: "mas o básico do funcionamento dos antivirus são detecção atraves de assinaturas e alguns usam Heuristica (só na teoria, pois a heuristica em geral dos AV é uma porcaria)."
No começo do tutorial, hehe...

Muito interessante

Inté

Kratos · 13 de June , 2006, 11:52:08 AM

Quote from: "HadeS"Muito básico, mas de qualquer modo, rasoável.

A heuristica do NOD32 é uma porcaria?!?

HadeS

http://www.darkers.com.br/smf/index.php ... 447.0.html

\./
++

HadeS · 13 de June , 2006, 12:26:19 PM

Vamos explicar.

Isso foi uma ironia, não acho que o melhor Anti-Vírus do mundo tenha um sistema de heurística ruim. Eu sei o que é heurística.

E o PyroMaker diz o seguinte:

Quote[...]e alguns usam Heuristica (só na teoria, pois a heuristica em geral dos AV é uma porcaria).

Eu discordo. Acho a heurística do NOD32 ótima, e dúvido que alguém que possua um conhecimento rasoável discorde.

HadeS

Skayler · 13 de June , 2006, 01:41:52 PM

Hey! HadeS, qual AV você acha o melhor do mundo?
Caso seja o NOD32, eu discordo e nunca irei concordar.
Pois se a pessoa souber usar um computador, tiver conhecimentos básicos/intermedário em operaçao de sistemas, ela com até o AVG ( Eu não gosto, e tbm nunca vi nenhum pior, só o AntiVir, haha ) tira muitos virus perigosos, de alta periculosidade, hahaha.
Inté

HadeS · 13 de June , 2006, 05:30:40 PM

Eu, e muitos testes de AVs mundialmente famosos, acho que o NOD32 é o melhor sim.

Se não usasse um sistema Unix, seria NOD32 com certeza.

HadeS

rog · 13 de June , 2006, 06:11:22 PM

tambem tem que diferenciar deteçao e proteçao

tem antivirus que detectam muito mas nao bloqueam direito (o kav me fez isso varias vezes)

na proxima versao do meu binder vou acrescentar um forcing

==> um loop que podera ir ate 100 de escritura e tentativa de lançamente do thread

tipo assim virus1.exe ate virus100.exe

eu tem certeza que eu infecto todos antes do numero 100

rog

darknesshack · 13 de June , 2006, 10:48:48 PM

Acredito eu que apenas um AV na máquina não e o suficiente, todos ai sabemos a propagação de Vírus hoje em dia, na minha opnião em caso de sistemas MS, e aconselhavel realmente usar um pacote de proteção AV, Firewall, Anti-Spy... e velha técnica de arrancar na unha mesmo hehe! vlw!

Skayler · 14 de June , 2006, 12:20:18 PM

Sim Darknesshack, mas a maioria do pessoal se infecta por entrar em sites perigosos, como é um exemplo, sites pornográficos, existe muitos virus e spywares...
Antigamente ( qndo eu tinha 10 anos ) eu usava só o AVG, hehe, dificilmente eu me infectava.
Mas sim, concordo, um bom Anti Virus, Firewall, um Anti Spyware é um grande auxilio.
Teh +

rodweb · 14 de June , 2006, 01:19:30 PM

Quote from: "Skayler"dificilmente eu me infectava.

Mais os vírus que o AVG não detecta ia passar batido...

Na época que eu usava AVG tbm achava que não tinha sido infectado...depois que passei o NOD32 ai ele pegou 22...

Skayler · 14 de June , 2006, 04:06:34 PM

Sim, mas eu não bobeava muito, pelo menos o AVG "nunca" detecto :X
Teh +

Como funciona um anti-vírus?

Anonymous

Anonymous