Verificação da integridade ao defender de encontro aos vírus

Share

|

Ao defender de encontro aos vírus, nós estamos tratando das criaturas que modificam seus programas do anfitrião enquanto espalham. Conseqüentemente, de sentido único detectar a presença de um vírus é descobrir as limas que foram modificadas inesperada. O processo da verificação da integridade aponta conseguir este objetivo depois destas etapas:

1. Quando a máquina estiver em um estado pristine, as impressões digitais do cálculo (no formulário das somas de controle ou cryptographic hashes) das limas essa necessidade ser monitorado, e gravam-nas em uma base de dados da linha de base.

2. Ao fazer a varredura do sistema de lima para modificações suspicious, compute impressões digitais de limas monitoradas e compare os valores àqueles na linha de base.

3. Se as diferenças unexplained entre o estado atual e a linha de base forem detectadas, emita um alerta.

Há diversas aplicações comerciais e livres que são dedicadas a executar tais procedimentos da verificação da integridade. O mais famoso destas ferramentas é provavelmente Tripwire (disponível em www.tripwire.com), que foi capaz de detectar mudanças desautorizadas ao sistema de lima desde que foi liberado primeiramente em 1992. Tripwire e o outro software deste tipo não são verificadores do vírus por si mesmo que—tais programas visam alertar administradores de mudanças suspicious ao estado da máquina não obstante se o ataque estêve executado pelo malware ou executado através de alguma outra canaleta.

As aproximações da verificação da integridade podem também ser usadas pelo software do antivirus, embora os vendedores sejam raramente forthcoming sobre a extensão a que executaram tais mecanismos. Sophos AntiVirus é conhecido para usar somas de controle ajudar determinar se uma lima necessita ser examinada mais com cuidado através de outros métodos de deteção. Ao fazer a varredura de uma lima, Sophos AntiVirus computa a soma de controle da lima e compara-a ao valor calculado mais cedo. Se as somas de controle não combinarem, a seguir há uma possibilidade que a lima infected, e o programa do antivirus pôde necessitar examiná-la mais completamente.

Um produto do antivirus que tenta fazer o a maioria de técnicas da verificação da integridade é provável ser seletivo sobre as parcelas da lima que fingerprinted para comparações da linha de base. Para o exemplo, poderia ser aprovado para os índices de um original da palavra de Microsoft mudar quando o usuário edita seu texto; entretanto é mais menos comum distante para os macros encaixados no original a ser modificado. Conseqüentemente, o software do antivirus pôde ser mais suspicious das mudanças detectadas na seção dos macros do original.

A limitação principal do método da verificação da integridade é que detecta a infecção somente depois que ocorre. Entretanto, é uma adição útil às aproximações consistindo do toolkit que procuram assinaturas de espécimes sabidos do malware e àquelas que usam o heuristics detectar o código prejudicial. Infelizmente, software uniforme do antivirus que executa cada um dos estes deteção