L’antivirus è uno degli elementi di base della vita informatica di moltissimi utenti. Ma siamo certi di conoscere come funziona? Oggi vi darò una piccola infarinatura sui metodi usati dagli antivirus per difendervi dal malware.
Firme
Le firme sono la base delle tecniche antivirali. Usate da tempi immemori, consistono in pratica in delle estrazioni di codice saliente e più unico possibile dall’eseguibile virale. Le firme devono essere scelte non bene: Benissimo. Firme troppo generiche rischierebbero di creare troppi falsi positivi, firme troppo restrittive non bloccherebbero varianti ben congegnate.
La maggior limitazione di questo sistema è che non scova virus nuovi. Ad esempio se l’Antivirus A scova il virus Sciking.A molto probabilmente scoverà anche la variante Sciking.B, ma non scoverà un altro virus, in quanto non ha le firme.
E quindi, cosa mettono in campo questi software per proteggerci ulteriormente? Ecco a voi:
Euristica
Come avete probabilmente capito il metodo di cui parlo sopra, da solo, non è molto sicuro. Per fare un paragone, l’antivirus è la dogana per il vostro PC: Se vede un passaporto di un brutto ceffo lo espelle, altrimenti lo ammette. Una dogana euristica invece indagherebbe e fermerebbe anche altre persone con intenzioni non cristalline. L’antivirus euristico analizza il comportamento del file: Se fa operazioni sospette (cerca di moltiplicarsi, cancellazione irregolare di file), lo ritiene virus e lo blocca. Tornando al paragone doganale: Se trovassero un uomo armato verrebbe espulso, non ammesso sulla fiducia.
Analisi della RAM
Un programma per essere eseguito deve essere salvato sulla RAM. Alcuni virus sono furbi e criptano il loro contenuto. Per l’antivirus sono legittimi, dato che non contengono nulla di pericoloso. Ma quando vengono eseguiti… Si decriptano e mostrano il contenuto malevolo. L’analisi della RAM riesce a intercettare questi contenuti e a bloccarli.
Sandbox
La sandbox è l’evoluzione del metodo precedente. Poco usata, consiste nel creare una “scatola chiusa” in cui far girare l’eseguibile. Se tenta di fare azioni malevole viene bloccato. Essendo molto pesante viene usato poco, più che altro dalle case antivirus per determinare o meno la pericolosità dell’eseguibile.
Se volete saperne di più non abbiate paura di commentare!
