Esta crónica ha sido probado por expertos para que tengas la garantía de la exactitud de esta división.
Solución:
La mayoría de las soluciones antivirus utilizan una variedad de técnicas para identificar el malware.
El enfoque más simple (y más antiguo) es usar firmas de malware conocido, como hash MD5/SHA1, o cadenas específicas en archivos binarios. Esta técnica funcionó mejor con malware más antiguo que no tenía la cantidad de variantes que vemos hoy.
A continuación tenemos heurística static análisis. Esto funciona al escanear archivos y buscar características sospechosas como empaquetadores, código oculto, importaciones de bibliotecas específicas, etc. Se podría decir que esto es lo más cercano a los “patrones” de los que está hablando. Uno podría escribir malware y modificarlo hasta que no sea detectado por las heurísticas de malware más comunes. Estos patrones y algoritmos son secretos muy bien guardados por cada proveedor de antivirus y es poco probable que los compartan más allá de las explicaciones genéricas.
La última forma de identificación de malware es a través del análisis heurístico dinámico. Aquí es cuando el malware se ejecuta en un entorno limitado y el antivirus analiza lo que hace el software. Observa las bibliotecas a las que llama, las acciones que realiza, si intenta ocultarse, si realiza entradas de registro, etc. Hay muchas formas de evitar la identificación a través del análisis dinámico que son demasiado profundos para esta respuesta, basta con decir que se puede pasar por alto.
TL;RD Nadie puede decirle exactamente cuáles son los patrones para cada programa antivirus. Hay algunas cosas genéricas que todos buscan, pero los detalles son secretos.
Una línea de investigación fructífera para esto probablemente sería ver cómo otros marcos de evasión AV manejan el problema. AFAIK Los proveedores de AV no hacen que sea totalmente abierto lo que buscan y es probable que esto varíe de un proveedor a otro.
Veil Framework es un ejemplo reciente de eludir AV, también AVoid, también vea esta publicación
Valoraciones y comentarios
Si piensas que ha sido de utilidad nuestro post, sería de mucha ayuda si lo compartieras con más programadores y nos ayudes a extender nuestra información.