W jaki sposób program antywirusowy nie wykrywa nieuczciwego kodu?

Question

Załóżmy, że utworzyłem bibliotekę kompresji plików i ta biblioteka była używana w 1000 (nie złośliwych) programach. Ale teraz twórca złośliwego oprogramowania postanowił stworzyć złośliwe oprogramowanie i użyć mojej biblioteki do kompresowania niektórych plików.

Na podstawie mojej niewielkiej wiedzy na temat działania programu antywirusowego, wybiera on grupę ciągów bajtów ze szkodliwego oprogramowania i zapisuje go w swojej bazie danych. Teraz, gdy program antywirusowy skanuje program zawierający te ciągi bajtów, powiadamia użytkownika, że ​​jest to złośliwe oprogramowanie.

Co jednak, jeśli program antywirusowy wybierze ciąg bajtów odpowiadający fragmentowi kodu mojej biblioteki, nie oznacza to, że moja biblioteka zostanie wykryta jako złośliwe oprogramowanie (i dlatego te 1000 złośliwych programów jest obecnie wykrywanych jako złośliwe oprogramowanie)?

Answer 1

Jeśli program antywirusowy oznaczył powszechnie używany fragment kodu jako złośliwy, wówczas tak (błędnie) wykryłby wiele programów jako złośliwe oprogramowanie. Ale sygnatury złośliwego oprogramowania nie są wybierane losowo; są opracowywane przez ludzkich analityków, którzy badają złośliwe oprogramowanie, aby dowiedzieć się, co robi i jak działa. Analitycy ci ostrożnie budują sygnaturę w oparciu o coś, co jest właściwe dla szkodliwego oprogramowania, a nie fragment niezłośliwego kodu bibliotecznego, który jest w nim zawarty.

Answer 2

Istnieją dwa rodzaje technik wykrywania złośliwego oprogramowania. Pierwszym z nich jest sygnatura pliku, na przykład Kaspersky codziennie otrzymuje ogromną ilość złośliwego kodu, który zostanie przeanalizowany przez jego ekspertów, a następnie wygeneruje podpis dla każdego z nich. im. Tak więc, gdy plik jest analizowany przez program antywirusowy, porównuje on sygnaturę ze wszystkimi sygnaturami w bazie danych. a następnie zwróć wynik użytkownikowi. Drugi sposób ustalenia, czy oprogramowanie jest złośliwe, to użycie technik wyszukiwania danych. który jako dane wejściowe przyjmuje statyczne wyniki analizy dynamicznej oprogramowania, a następnie zwraca wynik. W takim przypadku może zwrócić wynik fałszywie dodatni, w zależności od programu antywirusowego.

Answer 3

Jeśli jesteś autorem legalnej biblioteki lib, a niektórzy złośliwi użytkownicy używają twojej biblioteki, to AVy zaczynają wykrywać czyste programy za pomocą twojej biblioteki, jedynym sposobem, aby sobie z tym poradzić, to skontaktować się z firmami AV i powiedzieć im usuń wykrywanie z twojej biblioteki. Mogą wykryć złośliwy kod zamiast kodu biblioteki. Należy sprawdzić na każdej stronie internetowej firmy AV formularze reklamacyjne lub skontaktować się z działem obsługi klienta.