Un virus de la cavidad en teoría es sorprendente porque no se detecta cuando se usa el método más básico, es decir, la firma del archivo. El método normal es obtener el hash (principalmente MD5) del archivo y compararlo con una base de datos de hash para verificar si pertenece a algún otro virus conocido. Pero el método no funcionará ya que el virus se empuja a un espacio libre en el archivo existente y luego reprograma el archivo para ejecutar el virus. Cuando tomamos el hash del archivo, no producirá la misma firma que el archivo de virus.
Si bien esto parece realmente inteligente, este método no hace que el virus sea completamente seguro, ya que los métodos aplicados en un escáner de virus no siempre son tan sencillos como Hash y comparar. Hay tantos métodos implementados en los escáneres actuales que pueden detectarlo muy fácilmente.
El método original podría verse como el “método de metabuscador” en el que los motores de búsqueda solían indexar las metaetiquetas en una página y mostrar el resultado cuando lo busca, pero los motores de detección de virus actuales son más parecidos a Google. pueden leer todo el archivo y entender lo que contiene, observar cómo funciona y aprender de una manera muy inteligente, incluso pueden engañar al etc., etc.
- ¿Qué quieres decir con virus informático?
- ¿Tiene alguna sugerencia para escribir SOP para una Maestría en Seguridad Cibernética? ¿Cómo retrato mis experiencias laborales y la experiencia de Bug Bounty?
- ¿Cuál es el mejor producto de firewall de próxima generación? ¿Cuál es la diferencia con la próxima generación de IPS? ¿Quién probablemente ganará? Sourcefire? Cisco? ¿Control? ¿Palo Alto?
- ¿Cuál es el mejor antivirus gratuito?
- Cómo evitar que alguien espíe mi actividad en línea
Métodos Estáticos:
Método de escaneo de cadenas : busca la secuencia de bytes (cadenas) que son
típico de un virus específico, pero no es probable que se encuentre en otros programas.
Método de comodines: permite omitir bytes o rangos de bytes. Por ejemplo “?”
se omiten los caracteres y el comodín% significa que el escáner intentará
coincidir con el siguiente byte.
Método de desajustes : permite que cualquier número dado de bytes en una cadena sea de
valor arbitrario, independientemente de su posición.
Método de detección genérico : esta técnica utiliza una cadena común para detectar
varias o todas las variantes conocidas de una familia de virus.
Método de marcadores : calcula la distancia entre el inicio del virus.
cuerpo y la cadena de detección.
Escaneo inteligente : el escaneo inteligente podría omitir instrucciones basura, como NOP,
en el archivo host y tampoco los almacenó en la firma del virus. Para mejorar
la probabilidad de detectar variantes relacionadas de virus, un área del cuerpo del virus
fue seleccionado que no tenía referencias a datos u otras subrutinas.
Detección de esqueleto : el escáner analiza las declaraciones del virus línea por línea
y descarta todas las declaraciones no esenciales. Lo que queda es el esqueleto del cuerpo.
que solo tiene un código macro esencial común en el virus de macro.
Análisis heurístico : el análisis heurístico es un análisis basado en expertos que
determina la susceptibilidad de un sistema a una amenaza / riesgo particular usando
varias reglas de decisión o métodos de pesaje. El análisis MultiCriteria (MCA) es
Uno de los medios de pesaje.
Detección específica de virus : hay casos en los que el algoritmo estándar de
El escáner de virus no puede tratar con un virus. En casos como este, un nuevo código de detección
debe introducirse para implementar un algoritmo de detección específico de virus. Esta
El método incluye filtrado, detección de descifrador y escaneo de rayos X.
Casi todos estos pueden atrapar fácilmente un virus, independientemente de qué tipo sea, porque generalmente se usa más de un método para detectar y luego verificar y confirmar.
Pero luego está el método más rudo.
Método dinámico
En este simple truco, el antivirus bloquea el programa en un entorno seguro y simplemente lo ejecuta, y observa el programa para ver qué está haciendo si el programa comienza a comportarse como un virus, bham, atrapado # FF0000 entregado.
