top of page
Cerca

Come funzionano gli antivirus?

Aggiornamento: 12 gen

Gli antivirus sono programmi estremamente complessi perché in tempo reale hanno il compito di identificare e bloccare l'esecuzione di un programma, che, a seguito di una sua adeguata formazione, sta eseguendo un comportamento dannoso.


Ricordo, infatti, che il computer esegue delle istruzioni e non ha la capacità, meramente umane, di distinguere un comando da dannoso o utile: il computer esegue e basta; ci vuole una specie di intelligenza artificiale per identificare l'azione di un programma come qualcosa di buono per il contesto in cui è oppure no (vi ricordo che cancellare un file non è dannoso; ma cancellare il file che serve, si !)


Pertanto quali sono le strade seguite dagli antivirus (ricordo in tempo reale) per identificare un comportamento potenzialmente dannoso di un programma per classificarlo come virus ?


  • Utilizzando la firma del virus (Signature-Based Detection):

    Questo metodo si basa su un database di "firme" o identificatori univoci associati a malware noti. Ogni volta che un nuovo virus viene scoperto, gli sviluppatori di antivirus aggiornano il database con la sua firma. Nella fattispecie concreta l'antivirus confronta i file sul sistema con questo database per cercare corrispondenze. Se un file corrisponde a una firma nota, l'antivirus lo classifica come malware. Questo sistema ha però un limite : funziona solo con minacce conosciute e richiede aggiornamenti frequenti per mantenere il database aggiornato.


  • il comportamento euristico di un programma (Heuristic-Based Detection) Questo metodo è più avanzato e cerca di identificare minacce che non hanno ancora una firma conosciuta. L'antivirus analizza il comportamento dei file, cercando modelli o caratteristiche sospette (ad esempio, tentativi di modificare il registro di sistema o di auto-replicarsi, di modificare un programma, etc...). Il limite di questa tecnologia consta nel fatto che può produrre falsi positivi, rilevando come malware file legittimi che mostrano comportamenti simili a quelli di un virus.


  • analisi comportamentale (Behavioral Detection):

    L'antivirus monitora in tempo reale il comportamento dei programmi in esecuzione sul sistema. Se un programma esegue azioni sospette o pericolose (ad esempio, tentativi di criptare file senza il consenso dell'utente), l'antivirus interviene bloccando o isolando il programma.

    È particolarmente utile per rilevare minacce come i ransomware, che possono agire rapidamente una volta installati.


  • sandboxing:

    Alcuni antivirus utilizzano una tecnica chiamata "sandboxing", che consiste nell'eseguire i file in un ambiente isolato e sicuro (sandbox) per osservare il loro comportamento. Se il file tenta di compiere azioni dannose, viene classificato come malware.


Alcuni antivirus utilizzano il concetto dei digest dei file come parte del loro meccanismo di rilevamento delle minacce. I digest sono valori univoci generati da algoritmi di hashing (come MD5, SHA-1 o SHA-256) applicati a un file. L'idea alla base dell'uso dei digest è che ogni file ha un "impronta digitale" unica, e se anche solo un byte di un file cambia, il digest cambia in modo significativo.


Per prima cosa l'antivirus calcola l'hash di un file, trasformando l'intero contenuto del file in una stringa numerica unica (il digest): questo valore hash rappresenta una firma digitale del file che è estremamente difficile da falsificare o replicare senza alterare il file stesso.

Secondariamente, salva questo digest all'interno di un suo database che consulterà all'occorrenza: se il nuovo digest ricalcolato su un file non corrisponde a quanto salvato nella sua memoria, molto probabilmente si tratta di un file compromesso da un virus. Il limite consta nel fatto che questa tecnologia può creare molti falsi positivi.


Una volta che una minaccia viene rilevata, l'antivirus deve impedire che possa infettare il sistema, con:


  • il blocco dell'accesso ai file sospetti o pericolosi prima che possano essere eseguiti.

  • l'isolamento (quarantena) del file infetto, dove viene spostato in un'area sicura dove non può causare danni.

  • la rimozione automatica o richiesta all'utente di eliminare il file sospetto.





 
 
 

Commenti

© 2024 texservice.tech   -  facilitatore informatico  -   mail: texservice13@gmail.com Tel: 353-468-73-15

bottom of page