|
|||||
|
|
INFORMÁTICA Softwares, dicas, macetes, dúvidas e outras informações. |
|
Opções do Tópico | Modos de Exibição |
14/04/2010, 09:30:10 | #1 |
Usuário Diamante
Registrado em: 20/02/2006 Location : Manhuaçu/MG Posts: 1,852
Agradecimentos: 604
Agradecido 1,963 vez em 557 Posts
|
Como funciona um Antivirus?
Como funciona um Antivírus - Parte 1
Como o software antivírus sabe que determinado arquivo é um vírus? Existem várias maneiras de determinar que um software é um arquivo malicioso, também conhecido como malware ou, mais popularmente, vírus (ou cavalos de troia, worm, diallers, jokers etc.); vamos começar pelo mais antigo dos métodos: a detecção por assinatura. A detecção de vírus por assinatura usa um método muito simples de ser compreendido por leigos. Após receber uma cópia do arquivo e verificar o que ele faz no computador (suas ações, APIs que executam, processos que iniciam) e encontrar indícios, um laboratório de análise de vírus determina que aquele artefato é malicioso. Então, o laboratório de vírus tira um hash do arquivo, uma identificação única do mesmo (como uma assinatura eletrônica) e adiciona esse hash à lista de definições da aplicação antivírus. Uma vez assinado, podemos alterar o nome do arquivo e sua extensão, mas o hash será sempre o mesmo. Um hash usando o MD5, por exemplo, tem a seguinte forma: B1A8997C82880EC6BCE98F3E8A144E67.EXE BA43AB1FE371AE1DE4E60676FB840458.EXE BC960035FB37F8FC07C45036DC78B67F.EXE BC960035FB37F8FC07C45036DC78B67F.COM BC960035FB37F8FC07C45036DC78B67F.JPG Note que o arquivo BC960035FB37F8FC07C45036DC78B67F tem várias extensões e a mesma assinatura MD5. Portanto, é o mesmo arquivo com várias extensões diferentes; apesar disso, para o antivírus não importa. Se for classificado como malware, será detectado independentemente da extensão, pois o que vale é a sua assinatura. Para efeitos didáticos, usei o MD5, mas ele não é eficiente para ser usado em um antivírus. As empresas usam algoritmos próprios que aceleram a detecção de potenciais arquivos maliciosos. Além disso, é feita uma otimização do processo de varredura de arquivos; em milissegundos, o sistema de detecção deve comparar o hash dos arquivos em um diretório com milhões de assinaturas conhecidas. Algoritmos próprios evitam o mais terrível dos problemas: falsos positivos. Quando uma empresa detecta "por engano" um arquivo válido, situações muito ruins podem acontecer. Imagine detectar o "explorer.exe" como vírus? O computador nem vai entrar em operação, devido à remoção do arquivo. Pense em um administrador de rede com 5.000 máquinas com o "explorer.exe" indo para a quarentena devido a um erro. Chega a ser mais problemático do que o vírus em si. Há um método que simplesmente funciona bem e ocupa menos memória/processador que os outros métodos. Certa empresa tem uma parceria com diversos bancos brasileiros e são enviados, diariamente, cerca de 60 novos artefatos para detecção por assinatura nos laboratórios de vírus da AVG. A AVG também tem um laboratório no Brasil, em parceria com o CTI-Cenpra de Campinas, onde dezenas de arquivos são analisados diariamente. Somente no Brasil, 60 artefatos são enviados para detecção por dia. Imagine quantos não são detectados aqui e no mundo? Para isso, teríamos de fazer as análises heurísticas e análises de comportamento, a nova fronteira de análise de arquivos maliciosos - assuntos que serão tratados em artigos posteriores. Se há uma dica possível, ela é simples. Mantenha o antivírus atualizado e passe verificações regulares no disco de seu computador. Saiba que tem muita gente trabalhando para que você fique protegido, mas o trabalho nunca acabará. Leandro Mantovam, formado em Direito em 1998, trabalha na área de segurança em TI há 15 anos. Desde 1999 é sócio diretor da Winco Sistemas Ltda, escritório associado da AVG Technologies no Brasil |