Antivirus |
Un antivirus e' un programma che serve per rivelare la presenza dei virus, ed, eventualmente a tentare di porre rimedio. Gli antivirus monitorizzano le attivita' svolte nel sistema, ed individuano tutte quelle sospette. Vengono ad esempio intercettate tutte le attivita' che modificano i settori di avvio, o che scrivono su files eseguibili. Inoltre possiedono un motore di scansione, per verificare il sistema (i files, la memoria e i settori di avvio). Questo motore si avvale di un database interno dell' antivirus, dove sono registrate tutte le stringhe di identificazione di tutti i virus conosciuti. Questo database viene aggiornato periodicamente con il rilascio di nuove stringhe di identificazione di nuovi virus scoperti. Ovviamente il solo motore di scansione non puo' evidenziare la presenza di eventuali virus criptati o di tipo polimorfico. Vengono adottate percio' delle tecniche di ricerca di tipo euristico. Vengono cioe' esaminati i files per evidenziare l' eventuale presenza di serie di istruzioni di tipo sospetto. Vengono cioe' ricercate le routines di crittografia/decrittografia, le chiamate di sitema non documentate, gli accessi diretti su disco e cosi' via. Il problema fondamentale di queste tecniche, e' la generazione di molti falsi allarmi (vengono cioe' considerate attivita' virali delle azioni perfettamente lecite). Per evidenziare la presenza di virus criptati, gli antivirus creano una macchina virtuale in memoria (un po' come una finestra Dos in ambiente windows) completamente isolata dal resto del sistema. All' interno di questa macchina virtuale, gli antivirus possono esaminare liberamente l' attivita del programma potenzialemente infetto, in quanto ogni eventuale azione virale, non puo' danneggiare il sistema. Quando un virus criptato viene eseguito, la routine di decrittogafia decifra il corpo del virus, che viene quindi rivelato dall' antivirus. Il difetto di questa tecnica e' la lentezza, in quanto il programma deve essere eseguito molte volte all' interno della macchina virtuale per potersi manifestare. Un' altra azione svolta dagli antivirus e' il controllo di integrita' dei files. Per ogni file viene creato un numero (generato da calcoli effettuati da appositi algoritmi) che identifica univocamente la sua struttura. Questi numeri vengono memorizzati, e, periodicamente viene confrontata la struttura dei files con i numeri relativi per evidenziare eventuali differenze. Il difetto di questa tecnica e' l' inefficacia contro quei virus che non modificano la struttura dei files. Inoltre, i virus vengono identificati solamente quando il danno e' stato gia' fatto.
Copyright (c) 1998-2006 Wowarea