Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Estático (no)
Escáner
Comprobador de integridad
Dinámico (sí)
Monitor/Bloqueador de
comportamiento
Emulador
Escáner (Estático)
Firma: secuencia de bytes que caracteriza cada código malicioso
Ej: 0400 B801 020E 07BB 0002 33C9 8BD1 419C + nº de diferencias
0400 B801 020E 07BB ?? 02 %3 33C9 8BD1 419C
Tipos
Anticodigo malicioso 1
Supone consumo de recursos → Rendimiento de máquina
disminuye
Pasos
Recolección de datos
...
Análisis
Procedimiento
Tipos
Anticodigo malicioso 2
Necesario modificarlos (mecanismo parecido a virus)
Algoritmos
Emulador (Dinámico)
Código analizado se ejecuta en entorno emulado. Evita daño real
Tipos
Heurísticas dinámicas
Anticodigo malicioso 3
Descifrado general
Optimización de emulador
Comparación de técnicas
Escáner
Comprobador de integridad
Anticodigo malicioso 4
Contras: Muchos falsos positivos, código detectado no es identificado
por lo que si es desinfectado usa métodos genéricos, valor de
verificación almacenado debe corresponder a estado limpio, no
aconsejable para archivos de datos ...
Monitor/bloqueador de comportamiento
Emulador
Mejoras de rendimiento
Reducir cantidad analizada en archivo: Búsqueda en localización específica
según suposiciones sobre
comportamiento viral
Cambiar algoritmo
Anticodigo malicioso 5
Hacerlo específico para tipo de archivo
Parada
Hacer que código malicioso deje de ejecutarse (y replicarse)
Identificación
Para
Funcionamiento
Alternativas
Anticodigo malicioso 6
Comparar valor de verificación con el de código malicioso
conocido
Cuarentena
Cifrarlo
Desinfección
Alternativas
No restaura
Anticodigo malicioso 7
Bases de datos de firmas
Información por registro Actualización es
fundamental
Identificador
Amenazas
Nombre imprimible para presentar a
usuario Posible ataque a
máquina de vendedor
Datos de verificación
Posible suplantación de
Si firma en claro, otro anti código
vendedor
maliciosos puede detectar base de
datos como infectada Posible interceptación
y modificación durante
distribución
Posible ataque
(interno) a base de
datos
Instrucciones de desinfección
Técnicas:
Matar los procesos que casan con lista de procesos usados por anti
código malicioso
Hacer que anti código malicioso no tenga tiempo de CPU → Evitar que
se ejecute
Poco eficaz
Anticodigo malicioso 8
Evitar actualización de anti código malicioso y su base de datos
Detectar depurador:
Preguntar a sistema
Tunelado
Soslaya monitorización
Anticodigo malicioso 9
residentes (incluido monitor)
Antiemulación
Sobrevivir/durar más que emulación
Anticodigo malicioso 10
Ofuscación de punto de entrada
No muy eficaz
Elusión/evitación
Ubicar (esconder) código malicioso donde no mira anti código malicioso
Poco eficaz
Anticodigo malicioso 11