Als u beveiligingssoftware op uw pc of smartphone heeft geïnstalleerd (geweldig idee!), Vraagt u zich misschien af hoe een antivirusprogramma werkt? Laten we een kijkje nemen onder de motorkap van antivirusprogramma's om te begrijpen hoe ze werken en waarom we een antivirusprogramma moeten installeren!
Virale handtekeningen: je hebt de basis
Als beveiligingssoftware correct functioneert, moet deze een virus kunnen identificeren en blokkeren. Hoe doet hij het? Het eerste niveau is de herkenning van zijn handtekening. Zoals elk bestand bestaat een virus uit bytes. Meestal spreken we over een "byte" (of byte) voor 8 bits, maar de grootte kan in feite tussen de 1 en 48 bits liggen.Met een site als Fileformat.info kun je een "dump" maken en een bestand weergeven als een reeks bytes, weergegeven in hexadecimaal formaat. Het zal herinneringen oproepen bij de oudste van jullie.
De handtekening van een bestand is een reeks opeenvolgende bytes die er specifiek voor is en waarmee het kan worden geïdentificeerd. Het is geen exacte wetenschap, maar het is mogelijk om terugkerende patronen in een of meer malware te herkennen en zo te detecteren.
De database met handtekeningen groepeert alle handtekeningen van kwaadaardige software die op een bepaald moment bekend zijn en was lange tijd het enige onderdeel dat de detectie van een virus of malware mogelijk maakte. De eenvoudige beschrijving van hoe het werkt, is voldoende om de tekortkomingen te identificeren: om malware alleen door dit proces te detecteren, moet het al bekend zijn.
In de afgelopen tien jaar zijn de methoden voor het bijwerken van deze handtekeningdatabases aanzienlijk verbeterd, waarbij in het bijzonder "push" -technieken worden gebruikt om de gebruiker zo snel mogelijk nieuwe handtekeningen aan te bieden, in plaats van updates. regelmatig met tussenpozen op grotere afstand.
Door gebruikers te betrekken bij het detecteren van kwaadaardige bestanden via de cloud, is ook de levering van virushandtekeningen versneld. Handtekeningdatabases, als ze nog steeds worden gebruikt, zijn echter slechts een van de componenten van moderne bescherming.
Onder de motorkap
In deze context spreken we van een analyse-engine. De engine brengt alle technologieën samen die nodig zijn voor het detecteren en verwijderen van malware. Dit omvat de handtekeningdatabase, maar ook de componenten die nodig zijn voor andere modernere technieken, zoals heuristische of gedragsanalyse. Hier zullen we niet langer alleen bekende bestanden detecteren, maar hun gedrag in het systeem analyseren, wat het mogelijk maakt om de beperkingen van de handtekeningendatabase te omzeilen en dus ook om bedreigingen te detecteren die nog niet zijn geïdentificeerd.Heuristisch scannen kan bestaan uit het "decompileren" van een kwaadaardig bestand om het te analyseren en de structuur ervan te vergelijken met reeds bekende code, op zoek naar overeenkomsten die het als een nieuwe, onbekende bedreiging kunnen identificeren. Een andere, meer complexe methode voert het bestand uit in een sandbox, op zoek naar verdacht gedrag.
Zogenaamde gedragsanalyse daarentegen controleert het besturingssysteem op bekend verdacht gedrag, zoals abnormale bestandsaanpassingen. Het gedrag wordt vervolgens geblokkeerd door de antivirus. De antivirus-engine zal dus componenten bevatten zoals een emulator die het mogelijk maakt om de kwaadaardige code in een beveiligde omgeving uit te voeren, een module voor het decomprimeren van de archieven, of zelfs een decompactor die verantwoordelijk is voor het ontleden van de uitvoerbare bestanden.
Een centraal maar modulair onderdeel
De engine van een antivirus- of beveiligingssuite is modulair ontworpen. Het vormt de kern van alle oplossingen van een uitgever en we moeten de andere componenten en de gebruikersinterface erop kunnen enten. Als een "basis" antivirusprogramma, een beveiligingssuite of een "totale beveiligings" -oplossing echter verschillende functionaliteiten heeft, gebruiken ze allemaal dezelfde engine.Sommige leveranciers van beveiligingssoftware verkopen hun engine ook onder een wit label, dus we kunnen ze vinden in verschillende oplossingen van verschillende leveranciers. Een beveiligingssuite kan zelfs twee engines gebruiken - als alternatief of in combinatie - om de detectie en verwijdering van kwaadaardige bestanden te optimaliseren.