Politicas de cookies

Gracias por visitar mi blog. En función de lo establecido en el artículo 22.2 de la Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSI) y en adecuación con la Directiva Europea 2009/136/CE, Este Blog le informa que usted presta su consentimiento para la utilización de cookies de terceros: analíticas, de seguimiento, publicitarias... en nuestro portal, ya sea mediante la aceptación expresa realizada en el aviso emergente o por la mera navegación.



martes, 19 de julio de 2022

La Deteccion Basada En Firmas - Antivirus - Resumen Basico

 




La Detección Basada En Firmas

-      Antivirus -


-------------------  ---------------------  ----------------------

Es un método de funcionamiento de los antivirus y sistemas de detección de intrusos, en el que un programa, al buscar un archivo o paquete, consulta un diccionario de virus conocidos compilado por los autores del programa. Si alguna parte del código del programa que se está viendo coincide con el código conocido ( firma ) del virus en el diccionario, el programa antivirus puede tomar una de las siguientes acciones:

 

·        Eliminar el archivo infectado.

·        Envíe el archivo a "cuarentena" (es decir, haga que no esté disponible para su ejecución a fin de evitar una mayor propagación del virus).

·        Intente restaurar el archivo eliminando el virus del cuerpo del archivo.

 

Para lograr un éxito a largo plazo al utilizar este método, es necesario actualizar periódicamente el diccionario de virus conocidos con nuevas definiciones (principalmente en línea ).

Los usuarios con mentalidad cívica y con conocimientos técnicos, después de haber descubierto un nuevo virus "en vivo", pueden enviar el archivo infectado a los desarrolladores de software antivirus, quienes estudiarán el virus, extraerán su firma y luego incluirán la firma recibida del nuevo virus en el diccionario.

 

Los programas antivirus, basados ​​en la definición de virus del diccionario, generalmente analizan archivos cuando el sistema informático crea, abre, cierra o envía archivos por correo electrónico. Por lo tanto, los virus pueden detectarse inmediatamente después de que ingresan a la computadora y antes de que puedan causar algún daño. Cabe señalar que el administrador del sistema puede configurar un programa para el programa antivirus, según el cual se pueden ver (analizar) todos los archivos en el disco duro.

 

Aunque los programas antivirus basados ​​en la definición del diccionario de un virus pueden, en circunstancias normales, ser bastante efectivos para detener los ataques informáticos, los creadores de virus intentan mantenerse medio paso por delante de dichos programas antivirus mediante la creación de "oligomorfos", " polimórficos " y los virus " metamórficos " » más nuevos, en los que partes del código se reescriben, modifican, cifran o distorsionan de modo que es imposible coincidir con la definición en el diccionario de virus.

 

Uno de los métodos de escaneo de hardware es escanear el flujo de datos en el camino con un dispositivo especial llamado coprocesador de contexto.

 

 

Creación y distribución de firmas.

 

Las firmas antivirus se crean como resultado de un análisis minucioso de varias copias de un archivo que pertenece a un virus. La firma debe contener solo líneas únicas de este archivo, tan específicas como para garantizar la mínima posibilidad de falsos positivos , la principal prioridad de cualquier empresa de antivirus.

 

El desarrollo de firmas es un proceso manual que es difícil de automatizar. A pesar de mucha investigación sobre la generación automática de firmas,  el creciente polimorfismo (y "metamorfismo") de virus y ataques hace que las firmas sintácticas carezcan de sentido. Las empresas de antivirus se ven obligadas a liberar una gran cantidad de firmas para todas las variantes del mismo virus, y si no fuera por la ley de Moore, ninguna computadora moderna sería capaz de terminar de escanear una gran cantidad de archivos con tal masa de firmas en un tiempo razonable. Así, en marzo de 2006, el escáner Norton Antivirus detectó 72.131 virus y la base de datos del programa contenía unas 400.000 firmas.

 

En su forma actual, las bases de datos de firmas deben actualizarse regularmente, ya que la mayoría de los antivirus no pueden detectar nuevos virus por sí mismos. Cualquier propietario de software basado en firmas está condenado a depender periódicamente de las actualizaciones de firmas, que es la base del modelo de negocio de los fabricantes de antivirus e IDS.

        IDS.- sistemas de detección de intrusos

La entrega oportuna de nuevas firmas a los usuarios también es un desafío importante para los proveedores de software. Los virus y gusanos modernos se propagan a tal velocidad que, cuando se libera una firma y se envía a las computadoras de los usuarios, es posible que la epidemia ya haya llegado a su clímax y haya envuelto al mundo entero. Según los datos publicados, la entrega de la firma tarda entre 11 y 97 horas, según el fabricante,  mientras que, en teoría, un virus puede apoderarse de Internet en menos de 30 segundos.

 

En la mayoría del software de seguridad, la base de datos de firmas es el núcleo del producto, la parte más valiosa y que consume más tiempo. Esta es la razón por la que la mayoría de los proveedores prefieren mantener sus firmas en privado, aunque hay una serie de software de código abierto en esta área (por ejemplo, ClamAV ), así como investigaciones sobre ingeniería inversa de firmas propietarias.  The Virus Bulletin publicó regularmente nuevas firmas de virus hasta el año 2000.

Desventajas y ventajas de las firmas sintácticas

 

·        Le permite determinar un ataque específico con alta precisión y una pequeña proporción de llamadas falsas

·        Vulnerable a virus polimórficos y versiones modificadas del mismo virus

·        Requiere actualizaciones regulares y extremadamente rápidas

·        Requiere un minucioso análisis manual de virus

·        No se pueden detectar nuevos ataques

 

El método de escaneo heurístico está diseñado para mejorar la capacidad de los escáneres para aplicar firmas y reconocer virus modificados en los casos en que la firma no coincida con el cuerpo de un programa desconocido en un 100 %. Sin embargo, esta tecnología se usa con mucho cuidado en los programas modernos, ya que puede aumentar el número de falsos positivos.

 

Firma De Ataque

Firma de ataque (virus): rasgos característicos de un virus informático utilizado para detectarlos. La mayoría de los antivirus, escáneres de vulnerabilidades y sistemas de detección de intrusos (IDS) modernos utilizan firmas de " sintaxis " tomadas directamente del cuerpo del ataque ( un archivo de virus o un paquete de red que pertenece a un exploit ). También hay firmas basadas en comportamiento o anomalías, por ejemplo, acceder a un puerto de red en una computadora de manera demasiado agresiva.

 

Un ejemplo de firma del cuerpo del virus Email-Worm.Win32.Happy, publicado en la revista Virus Bulletin :

 

    feliz año nuevo 1999











--------------------------------------------------- -------------------- ------------------------




Bibliografia:

Enciclopedia Moderna, Enciclopedia Britanica® 2011
Nueva Enciclopedia Tematica Grolier 2012
Enciclopedia Microsoft® Encarta® 2009.
https://www.ecured.cu 
www.wikipedia.org
 Enciclopedia de Conocimientos Fundamentales - UNAM - Siglo XXI

--------------------------  -----------------------