Come lavorano gli antivirus?

[topix93]

vorrei sapere in che modo un programma antivirus può scovare un file infetto, o il virus stesso. Si capisce a livello di byte e c'è uno specifico algoritmo??

[!fazz]

google ti è amico
http://en.wikipedia.org/wiki/Antivirus_software

[topix93]

eccellente... quindi se voglio fare una ricerca per trovare dei file infetti potrei semplicemente controllare la loro firma con quella presente tipo in un database...

[Eress]

C'è anche la scansione comportamentale dei processi definita HIPS

[topix93]

Invece come funziona la quarantena?

[xcdegasp]

la quarantena è una zona circoscritta in cui l'antivirus archivia il file virale e tutte le informazioni necessarie per l'eventuale ripristino.
mettere un file in quarantena equivale a eliminare il file dal sistema, l'unica differenza è che la quarantena garantisce di poter ripristinare il file in caso si notassero anomalie nel pc.

[topix93]

in modo più specifico in che modo il file viene reso inutilizzabile ma allo stesso tempo ripristinabile?... se volete postatemi anche pezzi di codice per chiarirne il significato

[xcdegasp]

per rendere il file inaccessibile basta spostarlo all'interno di una directory criptata o protetta da password.
per salvare invece le informazioni che lo riguardano di solito si salvano le chiavi di registro che puntano a quel file e si memorizza il percorso in cui era collocato originariamente

[topix93]

altra domanda... come si riesce a ricavare la firma del virus?

[xcdegasp]

per cosa intendi la firma del virus?

[topix93]

Gli antivirus si basano quindi su questa propria firma ad ogni virus per rilevarli. Si tratta del metodo di ricerca della firma (scanning), il metodo più vecchio usato dagli antivirus.
Questo metodo è affidabile soltanto se l'antivirus ha una base virale aggiornata, cioè con le firme di tutti i virus conosciuti.

Fonte: http://it.kioskea.net/contents/virus/virus.php3

[xcdegasp]

visto che hai fatto il compitino ora dicci che cosa volevi sapere

[topix93]

?? ... non ho capito, cosa vuoi dire?

[xcdegasp]

se non argomenti e riporti un semplice estratto di un testo con relativo link forse le persone non possono comprendere a cosa vuoi arrivare.
di sicuro non è nemmeno un compito mio fare il psicologo e comprendere le parole lasciate intentate dalle tue mani.
questa premessa è d'obbligo visto che non siamo seduti in un tavolo uno di fronte all'altro e nemmeno fianco a fianco, ma siamo perfetti sconosciuti che si scambiano frasi e argomenti per la prima volta.

ad ogni modo presumo volessi sapere più dettagliatamente come agisca la firma digitale.

i virus informatici traggono le loro caratteristiche dai virus che esistono in natura, ne imitano il comportamento e l'adattamento. così come in natura esiste la firma di un virus, che non è altro che il genoma costituito da rna o dna distintivo che lo marchia rendendolo unico, viene usato per infettare il corpo ospitante e trasporta l'informazione ereditaria, così anche in informatica è caratterizzato da codice virale che viene iniettato nei file per dare corso all'infezione, tale codice lo identifica e determina le azioni del virus.

il modo con cui agisce è definito dai creatori e può inglobare le tecniche più variegate questo per renderlo il più duttile e il più versatile possibile, ma sopratuutto per garantire la maggior efficacia e durata. quindi oltre alle procedure di ricerca, dei file da infettare e di eventuali tracce virali precedenti o di virus già attivi, e oltre alle procedure infettive (tutta la sequenza di operazioni automatizzate da compiere per rendere il sistema un pc zombie pronto a ricere comandi dal burattinaio della botnet di cui è entrato a far parte con l'infezione virale), può contenere anche procedure di cifratura, decifratura e mutazione.

ovviamente il virus migliore è quello che riesce a non mostrare segnali ambigui al legittimo proprietario e utilizzatore del pc, che non viene identificato con facilità dagli antivirus e programmi di sicurezza, che riesce a mietere più vittime e rimane attivo nel pc vittima il più a lungo possibile, ed infine che porta più incassi possibili al virus writer.

[Nicodemo Timoteo Taddeo]

Quote:

Originariamente inviato da topix93

altra domanda... come si riesce a ricavare la firma del virus?

Analizzando, da parte dei produttori di antivirus, un file che è sicuramente infetto o un file malware lui stesso, da esso si ricava una firma virale che viene messa nell'archivio delle firme virali dell'antivirus.

La firma virale è in poche e semplici parole una stringa caratteristica del malware. Gli antivirus analizzano il codice del file e una volta che verificano l'esistenza di una stringa contenuta nel proprio database di firme virali, segnalano la presenza di un possibile malware. Anche da qui derivano i problemi relativi ai falsi positivi se la stringa è presente anche in file "legittimi" e l'innovazione apportata qualche tempo fa dai virus polimorfici programmati per cambiare continuamente il codice in modo da non rendere possibile rintracciare una firma univoca.

Dal riuscire o meno ad avere un database di firme virali più esteso della concorrenza, e dal riuscire ad avere un programma che riesce a limitare il numero dei falsi positivi, si ricava la bontà o meno di un antivirus.

Come già scritto si tratta di descrizione terra terra, l'argomento è vasto e difficilmente lo si può racchiudere in un post su un forum, comunque penso possa darti un'idea di base della problematica.


Saluti.

[topix93]

Quote:

Originariamente inviato da Nicodemo Timoteo Taddeo

Analizzando, da parte dei produttori di antivirus, un file che è sicuramente infetto o un file malware lui stesso, da esso si ricava una firma virale che viene messa nell'archivio delle firme virali dell'antivirus.

La firma virale è in poche e semplici parole una stringa caratteristica del malware. Gli antivirus analizzano il codice del file e una volta che verificano l'esistenza di una stringa contenuta nel proprio database di firme virali, segnalano la presenza di un possibile malware. Anche da qui derivano i problemi relativi ai falsi positivi se la stringa è presente anche in file "legittimi" e l'innovazione apportata qualche tempo fa dai virus polimorfici programmati per cambiare continuamente il codice in modo da non rendere possibile rintracciare una firma univoca.

Dal riuscire o meno ad avere un database di firme virali più esteso della concorrenza, e dal riuscire ad avere un programma che riesce a limitare il numero dei falsi positivi, si ricava la bontà o meno di un antivirus.

Come già scritto si tratta di descrizione terra terra, l'argomento è vasto e difficilmente lo si può racchiudere in un post su un forum, comunque penso possa darti un'idea di base della problematica.

hai ragione xcdegasp scusami, spiego meglio dove voglio arrivare... faccio 5 informatica e mi sto informando per il mio progetto che ho intenzione di realizzare per la tesina. ciò che voglio fare è un antivirus e quindi volevo appunto informarmi il più possibile per tutto ciò che è necessario sapere... per iniziare volevo implementare nel mio codice il metodo sicuramente utilizzato da tutti gli antivirus ovvero quello del confronto delle firme... quindi estrapolare la firma che caratterizza il file che devo scansionare e andare a confrontarla con quelle presenti in un database... quello che mi stavo chiedendo è come fare a estrapolare la firma da un file, cosa che non sono ancora riuscito a capire...

[xcdegasp]

creare un antivirus e relativa enciclopedia virale non è una cosa così semplice e immediata sopratutto per ottenere un programma efficace.
devi già essere in grado di fare il reverse engineering e devi già avere dimestichezza con i virus.

fosse così semplice i virus non esisterebbero dagli anni '80

mi permetto di darti un parere, forse potrebbe essere più istruttivo (a llivello di tesina/tesi) partire da un progetto OpenSource già collaudato e lavorare su questo per realizzare la tesina, che non sarà più "creare un antivirus" fine a se' stesso ma sarà qualcosa di più specialistico tipo "realizzazione di un antivirus per l'ambiente ..." . detto in altri termini adattare l'antivirus a quella rete, azienda, sistema informativo, magari con nuove funzionalità appartenenti proprio a questo scopo e non solo completare la tesi/tesina con qualcosa di funzionante e ampiamente superato ma proprio dare vita a un qualcosa di realmente utilizzabile e realmente utile alla collettività qualcosa che attualmente di fatto non è attualmente presente.
la possibilità di fare questo c'è e sicuramente ha un peso maggiore di un qualcosa che poi viene cestinato e di cui hai speso inutilmente risorse e tempo (può essere un lavoro per conseguire poi uno stage o il risultato di uno stage svolto presso la ditta ...).

[topix93]

hai anche ragione, cmq ovviamente se dovessi trovarmi le firme di tutti i virus ci impiegherei ua vita, ma io una file con migliaia e migliaia di firme già ce l'ho...
diversamente se volessi applicare la tua idea il problema resterebbe comunque in che "ambiente" voglio applicare il mio programma

[xcdegasp]

ovviamente devi già ora (in ogni caso) muoverti per progettare il tuo futuro e la tesi non dovrebbe essere vista come un qualcosa fine a se' stessa ma come un opportunità per il proprio futuro, il tassello conclusivo di un percorso formativo che può benissimo già inglobare lo stage (nessuno obbliga a fare lo stage dopo la tesi).
quindi è ora il momento giusto per organizzare le necessità e adoperarsi in tal senso

un altra idea che mi è venta ora in mente pensando a qualcosa che ti serva come biglietto da visita è quello di seguire il mercato e quindi studiare un antivirus cloud e quindi realizzare l'infrastruttura necessaria.
questa potrebbe benissimo essere un lavoro da svolgere con altri studenti dove ognuno realizzerà una componente.
del resto se l'università deve tagliare i costi la virtualizzazione potrebbe essere la strada giusta per risparmio energetico e gestionale.

[topix93]

sarebbe molto interessante, anche perche è un qualcosa che non si vede ancora molto in giro... ma come funziona piu o meno un antivirus del genere