El AV tradicional basado en firmas funciona según un principio básico de que cada archivo (.exe, .txt, .bat, etc.) tendrá un valor hash (MD5 / SHA 256) y AV contendrá una lista de valores hash conocidos (firmas / definiciones) para comparar si el valor hash no se encuentra en su firma, el archivo se marcará como malicioso, pero las posibilidades de falso positivo son altas
Los motores AV modernos usan algoritmos heurísticos / de comportamiento para detectar infecciones, por ejemplo, si un archivo .exe no tiene una GUI visible asociada o está empaquetado o no carga registros al visor de eventos, lo más probable es que sea malicioso, generalmente se usa un emulador para realizar análisis de comportamiento
La tecnología más popular actual se basa en la reputación, donde se recopila información de millones de clientes en línea para calificar un archivo
- ¿Cuál fue el primer pirateo informático simple que hiciste que te hizo sentir como un hacker?
- ¿Sería una buena idea tener una clave ssh privada en mi teléfono inteligente para conectarme a mi servidor?
- ¿Qué herramientas matemáticas están disponibles para los profesionales de seguridad cibernética?
- ¿La reutilización de contraseñas para cuentas de baja importancia (reddit, foro de discusión) comprometerá mis cuentas de alta importancia (banco, correo electrónico)?
- ¿Qué significa esto? ¿Qué tipo de virus / malware recibió mi cuñado esta vez? ¿Cómo puede deshacerse de él?
PD: todas las tecnologías mencionadas anteriormente generalmente se encuentran solo en productos AV de nivel empresarial que no se encuentran en el software de descarga gratuita