Se você instalou um software de segurança em seu PC ou smartphone (ótima ideia!), Você pode se perguntar como funciona o antivírus? Vamos dar uma olhada nos bastidores dos antivírus para entender como eles funcionam e por que precisamos instalar um antivírus!
Assinaturas virais: você terá o básico
Quando funcionando corretamente, o software de segurança deve ser capaz de identificar e bloquear um vírus. Como ele faz isso? O primeiro nível é o reconhecimento de sua assinatura. Como qualquer arquivo, um vírus é feito de bytes. Geralmente, falamos de um "byte" (ou byte) para 8 bits, mas seu tamanho pode na verdade ser entre 1 e 48 bits.Um site como Fileformat.info permite criar um "dump" e exibir um arquivo como uma série de bytes, representados em formato hexadecimal. Isso trará de volta memórias para o mais velho de vocês.
A assinatura de um arquivo é uma série de bytes sucessivos que lhe são específicos e que permitem sua identificação. Não é uma ciência exata, mas é possível reconhecer padrões recorrentes em um ou mais malware e, assim, detectá-los.
O banco de dados de assinaturas agrupa todas as assinaturas de softwares maliciosos conhecidos em um determinado momento, sendo por muito tempo o único componente que permitia a detecção de um vírus ou malware. A simples descrição de como funciona é suficiente para identificar suas deficiências: para que o malware seja detectado apenas por esse processo, ele já deve ser conhecido.
Nos últimos dez anos ou mais, os métodos para atualizar esses bancos de dados de assinaturas melhoraram consideravelmente, usando em particular técnicas de "push" para oferecer novas assinaturas ao usuário o mais rápido possível, em vez de atualizações. regular em intervalos mais distantes.
Envolver os usuários na detecção de arquivos maliciosos por meio da nuvem também ajudou a acelerar a entrega de assinaturas de vírus. No entanto, os bancos de dados de assinaturas, se ainda forem usados, são apenas um dos componentes da proteção moderna.
Sob o capô do motor
É neste contexto que falamos de um motor de análise. O motor reúne todas as tecnologias necessárias para a detecção e remoção de malware. Isso inclui o banco de dados de assinaturas, mas também os componentes necessários para outras técnicas mais modernas, como análise heurística ou comportamental. Aqui, deixaremos de apenas detectar ficheiros conhecidos, mas analisaremos o seu comportamento no sistema, o que permite ultrapassar as limitações da base de dados de assinaturas e, assim, também detectar ameaças que ainda não foram identificadas.A varredura heurística pode envolver a “descompilação” de um arquivo malicioso para analisá-lo e comparar sua estrutura com o código já conhecido, em busca de semelhanças que possam identificá-lo como uma ameaça nova e desconhecida. Outro método mais complexo executa o arquivo em uma sandbox, procurando por comportamentos suspeitos.
A chamada análise comportamental, por outro lado, monitora o sistema operacional em busca de comportamentos suspeitos conhecidos, como modificações anormais de arquivos. O comportamento é então bloqueado pelo antivírus. O motor antivírus incluirá assim componentes como um emulador que permite executar o código malicioso em ambiente seguro, um módulo para descomprimir os arquivos, ou ainda um descompactador responsável pela dissecção dos ficheiros executáveis.
Um componente central, mas modular
O mecanismo de um antivírus ou suíte de segurança é projetado para ser modular. É o cerne de todas as soluções de um editor e devemos ser capazes de enxertar os outros componentes e a interface do usuário nele. No entanto, se um antivírus "básico", um pacote de segurança ou uma solução de "segurança total" tiverem funcionalidades diferentes, todos usam o mesmo mecanismo.Alguns fornecedores de software de segurança também vendem seu mecanismo com etiqueta branca, portanto, podemos encontrá-los em várias soluções de diferentes fornecedores. Um pacote de segurança pode até usar dois mecanismos - alternativamente ou em combinação - para otimizar sua detecção e remoção de arquivos maliciosos.
