Da Come funziona il software antivirus? (AntivirusWorld):
Un programma software antivirus è un programma per computer che può essere utilizzato per scansionare i file per identificare ed eliminare virus informatici e altri software dannosi (malware).
Il software antivirus in genere utilizza due diverse tecniche per raggiungere questo obiettivo:
- Esame dei file per la ricerca di virus noti mediante un dizionario dei virus Identificazione di comportamenti sospetti da qualsiasi programma per computer che potrebbe indicare un'infezione
- La maggior parte dei software antivirus commerciali utilizza entrambi questi approcci, con particolare attenzione all'approccio del dizionario dei virus.
Approccio
del dizionario dei virus Nell'approccio del dizionario dei virus, quando il software antivirus esamina un file, si riferisce a un dizionario di virus noti identificati dall'autore del software antivirus. Se un pezzo di codice nel file corrisponde a qualsiasi virus identificato nel dizionario, il software antivirus può quindi eliminare il file, metterlo in quarantena in modo che il file sia inaccessibile ad altri programmi e il suo virus non sia in grado di diffondersi o tentare per riparare il file rimuovendo il virus stesso dal file.
Per avere successo a medio e lungo termine, l'approccio del dizionario dei virus richiede download periodici online delle voci aggiornate del dizionario dei virus. Man mano che vengono identificati nuovi virus "allo stato brado", gli utenti con mentalità civica e tecnicamente inclini possono inviare i loro file infetti agli autori di software antivirus, che quindi includono informazioni sui nuovi virus nei loro dizionari.
Il software antivirus basato su dizionario in genere esamina i file quando il sistema operativo del computer li crea, li apre e li chiude; e quando i file vengono inviati per e-mail. In questo modo, un virus noto può essere rilevato immediatamente dopo la ricezione. In genere, il software può essere programmato per esaminare regolarmente tutti i file sul disco rigido dell'utente.
Sebbene l'approccio del dizionario sia considerato efficace, gli autori di virus hanno cercato di stare un passo avanti rispetto a tale software scrivendo "virus polimorfici", che crittografano parti di se stessi o si modificano in altro modo come metodo di mascheramento, in modo da non corrispondere alla firma del virus nel dizionario.
Approccio al comportamento
sospetto L' approccio al comportamento sospetto, al contrario, non tenta di identificare virus noti, ma monitora invece il comportamento di tutti i programmi. Se un programma tenta di scrivere dati in un programma eseguibile, ad esempio, questo viene contrassegnato come comportamento sospetto e l'utente viene avvisato di ciò e gli viene chiesto cosa fare.
Diversamente dall'approccio del dizionario, l'approccio del comportamento sospetto fornisce quindi protezione contro i virus nuovi di zecca che non esistono ancora in nessun dizionario di virus. Tuttavia, sembra anche un gran numero di falsi positivi e gli utenti probabilmente diventano desensibilizzati a tutti gli avvisi. Se l'utente fa clic su "Accetta" su ogni avviso, il software antivirus è ovviamente inutile per quell'utente. Questo problema è stato in particolare aggravato negli ultimi 7 anni, poiché molti altri progetti di programmi non dannosi hanno scelto di modificare altri .exes senza riguardo a questo falso problema positivo. Pertanto, la maggior parte dei moderni software antivirus utilizza questa tecnica sempre meno.
Altri modi per rilevare virus
Alcuni software antivirus tentano di emulare l'inizio del codice di ogni nuovo eseguibile che viene eseguito prima di trasferire il controllo all'eseguibile. Se il programma sembra utilizzare un codice che si modifica da solo o appare in altro modo come un virus (tenta immediatamente di trovare altri eseguibili), si potrebbe supporre che l'eseguibile sia stato infettato da un virus. Tuttavia, questo metodo comporta molti falsi positivi.
Ancora un altro metodo di rilevamento sta usando un sandbox. Una sandbox emula il sistema operativo ed esegue l'eseguibile in questa simulazione. Al termine del programma, il sandbox viene analizzato per le modifiche che potrebbero indicare un virus. A causa di problemi di prestazioni, questo tipo di rilevamento viene normalmente eseguito solo durante le scansioni su richiesta.
Problemi di preoccupazione
I macro virus, probabilmente i virus informatici più distruttivi e diffusi, potrebbero essere prevenuti in modo molto più economico ed efficace e senza la necessità di tutti gli utenti di acquistare software antivirus, se Microsoft risolvesse i difetti di sicurezza in Microsoft Outlook e Microsoft Office relativi al esecuzione del codice scaricato e capacità dei documenti macro di diffondersi e provocare il caos.
La formazione degli utenti è importante quanto il software antivirus; semplicemente addestrare gli utenti a pratiche informatiche sicure, come non scaricare ed eseguire programmi sconosciuti da Internet, rallenterebbe la diffusione dei virus, senza la necessità di software antivirus.
Gli utenti di computer non devono sempre eseguire l'accesso come amministratore al proprio computer. Se semplicemente funzionassero in modalità utente, alcuni tipi di virus non sarebbero in grado di diffondersi.
L'approccio del dizionario alla rilevazione dei virus è spesso insufficiente a causa della continua creazione di nuovi virus, tuttavia l'approccio del comportamento sospetto è inefficace a causa del problema dei falsi positivi; pertanto, l'attuale comprensione del software antivirus non conquisterà mai i virus informatici.
Esistono vari metodi per crittografare e impacchettare software dannoso che renderà anche i virus noti non rilevabili dal software antivirus. Rilevare questi virus "mimetizzati" richiede un potente motore di decompressione, che può decrittografare i file prima di esaminarli. Sfortunatamente, molti popolari programmi antivirus non hanno questo e quindi spesso non sono in grado di rilevare virus crittografati.
Le aziende che vendono software anti-virus sembrano avere un incentivo finanziario per la scrittura e la diffusione dei virus e per il pubblico nel panico della minaccia.
(Mi piace questo articolo e ho appena copiato e incollato da AntivirusWorld.)