web-dev-qa-db-ja.com

署名ベースのアンチウイルス

シグネチャベースのアンチウイルスは、データベースにあるシグネチャとウイルスのシグネチャの完全一致を検索して分析しますか?

私がこの質問をするのは、署名ベースのアンチウイルスだけが古くなっているとよく読まれるのはこのためかと思います。

5
user45139

シグネチャベースのアンチウイルスは、データベースにあるシグネチャとウイルスのシグネチャの完全一致を検索して分析しますか?

私は彼らがそうしないことを望みます。 AVには通常、いくつかの異なるスキャン技術があり、署名ベースのスキャンはその1つにすぎません。悪意のある可能性があることがわかっているシグネチャの数を数える最も単純なシナリオには、ある種のしきい値があると思います。カウンターが臨界質量に達すると、実行可能ファイルにフラグが立てられます。現実の世界では、それよりもはるかに複雑だと思います。 Clam AVに精通している誰かがより良い答えを与えるかもしれません(あなたは コードを見ることができます もできます)

この質問をするのは、署名ベースのアンチウイルスだけが古くなっているとよく読まれるのはこのためかと思います。

ウイルスを書くとしたら、突然変異や難読化を体内に埋め込むでしょう。ペイロードが実行されるたびに、ウイルスの本体は大きく変化するため、以前の署名は機能しません。

あるいは、暗号を使用して本体を暗号化できます。新しい暗号化ラウンドにより、新しいランダムジャンクが生成されます(通常、初期シード番号と日付に基づいてランダムドメインを通じて配布される復号化キーがない場合)。

ポリモーフィックウイルス は、署名ベースのアプローチの影響を受けない可能性が最も高いです。

そのようなウイルスを作成するのがどれほど簡単かを考えると、署名ベースのAVは時代遅れで効果がないと人々が言っ​​ている理由に私は驚きません。

3
oleksii

AVシグネチャセットが古くなるのを防ぐためにできることはあまりありません。できるだけ多くの人に感染させることを目的としたマルウェアを作成するとします。ウイルススキャナーで検出されたくないのは確かですよね。それで、あなたは何をしますか?マルウェアに遭遇する可能性のあるすべてのウイルススキャナーを許可し、それらがそれを検出するかどうかを確認します。いつ検出されるかを確認して、マルウェアが変更され難読化されないようにします。

これでマルウェアは検出されなくなります... AVスキャナーがマルウェアを検出して更新するまで、マルウェアは再び検出されます。

これでどうしますか?更新されたウイルススキャナーを入手し、マルウェアが再び検出できなくなり、再び解放するまで、マルウェアの変更と難読化を再開します。その後、サイクルが繰り返されます。

それはAVベンダーとブラックハッカーの間の無限の猫とマウスのゲームです。どちらにも商業的利益があります。ある製品が他の製品を凌駕するように製品の更新を停止すると、非常に有利なビジネスを失うことになります。

4
Philipp