Virus e antivirus, l'eterna lotta fra il bene e il male

Virus e antivirus, l'eterna lotta fra il bene e il male

Virus e antivirus, temi caldi del panorama informatico fin dagli anni 80, giunti ai giorni nostri assumendo via via sempre più importanza e causando preoccupazioni molto spesso fondate. Analisi tecnica e breve cronistoria dell'eterna lotta fra il bene e il male all'interno dei nostri PC

di pubblicato il nel canale Sicurezza
 

Antivirus: scansione on-access

Il secondo modulo di scansione di un software antivirus è il modulo on-access, o scansione in real time (tempo reale). Detto in modo semplice per chi non segue con assiduità il settore, la scansione on-access è solitamente rappresentata dall'icona del software antivirus che compare sempre nella System Tray, quello spazio vicino all'orologio in basso a destra.

Quando sull'icona si può vedere una croce rossa, oppure l'icona non è più a colori ma in bianco e nero, oppure qualunque altro aspetto differente dall'originale, significa che la scansione in tempo reale è disattivata o non funzionante correttamente. Come abbiamo detto nei paragrafi precedenti, la differenza fondamentale tra la scansione on-access e la scansione on-demand sta proprio nel fatto che la prima comincia a proteggere il pc dell'utente da eventuali infezioni in modo automatico mentre la seconda viene attivata solo se espressamente richiesta.

Ma come funziona la scansione on-access? Come riesce a bloccare automaticamente i virus che tentano di entrare nel pc? Il modulo di scansione on-access è un modulo residente in memoria, che viene caricato nello stesso periodo in cui Windows si avvia. In alcuni software è solamente una semplice applicazione che, una volta attivata, prende il controllo di tutte le possibili vie di accesso al sistema - interrupts di lettura/scrittura files per esempio, come priorità.

In altri casi invece vengono sviluppati come drivers veri e propri che prendono il controllo dell'attività sui file system, controllando l'attività sui vari dischi. Per esempio in Windows NT/2000/XP/2003 spesso i monitor on-access vengono sviluppati in quest'ultima maniera. Quando un file viene aperto, letto, scritto, il modulo di scansione on-access controlla il file - più o meno con gli stessi metodi spiegati nel paragrafo precedente, e in caso di infezione blocca l'attività e segnala la presenza di un malware.

Oltre a questo tipo di scansione dei files molti software antivirus hanno aggiunto altre caratteristiche nel modulo on-access, tipo la scansione della posta in arrivo e in uscita - il modulo si mette in ascolto sulle porte TCP relative e controlla il traffico prima che venga scritto sull'hard disk; in caso il traffico sia infetto è possibile bloccare il trasferimento - e la scansione dei software di messaggistica istantanea quali MSN, ICQ e AIM.

 
^