web-dev-qa-db-ja.com

アンチウイルスは、トロイの木馬と通常のリモートデスクトップアプリケーションソフトウェアをどのように区別できますか?

[〜#〜] rat [〜#〜] (リモートアクセスツール、たとえば Sub7 )は、ウイルス対策ソフトウェアによって悪意があると見なされます。そのようなパッチと NetSupport School のような商用ソフトウェアのクライアントアプリケーションをどのように区別できますか?

8
HSN

一部のアンチウイルスは、RATとNetSupportツールを区別します。これは、アンチウイルスが使用している検出メカニズムのタイプによって異なります。

アンチウイルスが署名ベースの検出を使用している場合、特定のコード行を探しているため、RATとNetSupportを区別する必要があります。このタイプの保護は、データベース内の署名の品質に依存します。ウイルスがデータベースにない場合、ウイルスは検出されません。

アンチウイルスがヒューリスティックベースの検出を使用している場合、疑わしいアプリケーションの動作を探すため、RATとNetSupportツールを区別できない場合があります。

1

逆に、とんでもないマーケティングの主張にもかかわらず、ウイルス対策ソフトウェアは賢くないスマートです。アンチウイルスは、「mmh ...これはRATのツールのように見えます」のように、ソフトウェアの「タイプ」を認識しません。 強力な理論的理由 なぜこの種の検出は、一般的には達成が不可能であり、それに対応して実際に実行するのが非常に難しいのかです。

アンチウイルスが行うことは、「既知の悪質なソフトウェア」の大きなデータベースで、彼らが見るソフトウェア(最終的にはバイトのシーケンス)を検索することです。アンチウイルスベンダーは、毎日、データベースにマルウェアが含まれるように懸命に取り組んでいます。つまり、遭遇する可能性が高いほとんどのマルウェアですが、ネットサポートスクールソフトウェアではありませんhumanアンチウイルスベンダーは「悪ではない」と見なされます。

11
Thomas Pornin

ほとんどの場合、ITサポートツールを開発するベンダーは、リモート管理ツールをホワイトリストに登録するためにAV企業と協力しています。

AVのヒューリスティックエンジンである動作検出は、利用可能な署名がない場合でも、トロイの木馬やその他のマルウェアを検出する非常に優れたメカニズムとして、ウイルス対策会社によって販売されています。技術的なヒューリスティックエンジンは、DLLプロセスがVirtualAlloc()、VirtualProtect()、GetProcAddress()、LoadLibrary()などを呼び出すときを検出するためのフック)に過ぎません。

したがって、ウイルス対策の観点からは、正規のリモート管理ツールと悪意のあるリモート管理ツールの間に違いはありません。両方のコードはほとんど同じです。 AVが探す唯一のことは、ソフトウェアが許可されたアプリケーションリストにあるかどうかを確認することです。そうであれば、許可されます。それ以外の場合、ツールは疑わしい/悪意のあるものとしてフラグが立てられます。

3
void_in

Afaikはホワイトリストの署名に基づいています。私は Teamviewer に基づいて推測を危険にさらしています(AVの製造元についてかなり知りたいと思っています)。

1
Dr.Ü