In che modo un antivirus sa di non rilevare il codice non dannoso?

Question

Diciamo che ho creato una libreria di compressione file e questa libreria è stata utilizzata in 1000 (non dannosi) programmi. Ma ora uno sviluppatore di malware ha deciso di creare un malware e utilizzare la mia libreria per comprimere alcuni file.

Sulla base delle mie poche conoscenze su come funziona un antivirus, seleziona un gruppo di stringhe di byte dal malware e lo memorizza nel suo database. Ora, quando l'antivirus esegue la scansione di un programma che contiene queste stringhe di byte, avvisa l'utente che si tratta di un malware.

Ma cosa succede se l'Antivirus ha selezionato una stringa di byte che corrisponde a una porzione del codice della mia biblioteca, questo non significa che la mia libreria ora viene rilevata come malware (e quindi i 1000 programmi non dannosi ora vengono rilevati come un malware)?

Answer 1

Se un programma antivirus ha contrassegnato come malevolo una parte di codice ampiamente utilizzata, allora sì (erroneamente) rileva molti programmi come malware. Ma le firme del malware non vengono scelte a caso; sono sviluppati da analisti umani che studiano il malware per imparare cosa fa e come funziona. Questi analisti fanno attenzione a creare la firma in base a qualcosa che è specifico del malware, non a un codice di libreria non dannoso che è incluso in esso.

Answer 2

Esistono due tipi di tecniche per rilevare i malware, il primo è tramite la firma del file, ad esempio Kaspersky riceve ogni giorno un'enorme quantità di codice dannoso che verrà analizzato dai suoi esperti e quindi genererà una firma per ognuno di loro. Quindi, quando un file viene analizzato da un antivirus, confronta la firma con tutte le firme nel suo database. e quindi restituire il risultato all'utente. Il secondo modo per determinare è un software è dannoso, è utilizzando tecniche di data mining. che prende come input i risultati dell'analisi dinamica statica & del software e quindi restituisce un risultato. In questo caso, può restituire un risultato falso positivo, a seconda dell'antivirus.

Answer 3

Se sei l'autore della lib legittima e alcuni tipi di malware usano la tua lib, AVs inizia a rilevare i programmi puliti usando la tua lib, l'unico modo per gestirli è contattare le compagnie AV e dirgli di rimuovere il rilevamento dalla tua lib. Possono rilevare il codice malevolo piuttosto il codice della libreria. Controllare ogni sito Web di società AV per i moduli di reclamo o contattare il proprio dipartimento di supporto.