Verifica di integrità quando difendono contro i virus


  Share  
|

Nel difendere contro i virus, stiamo trattando con le creature che modificano i loro programmi ospite mentre si spargono. Di conseguenza, unidirezionale rilevare la presenza di un virus è di scoprire le lime che sono state modificate inatteso. Il processo di verifica di integrità mira a realizzare questo obiettivo dopo da questi punti:

  1. Mentre la macchina è in un pristine dichiari, computi le impronte digitali (sotto forma d'i totali di controllo o crittografico hashes) delle lime quella necessità di essere controllato e registrile in una base di dati della linea di base.

  2. Nell'esplorare il sistema di lima per le modifiche sospettose, computi le impronte digitali delle lime controllate e confronti i valori a quelli nella linea di base.

  3. Se le differenze non spiegate fra la corrente dichiarano e la linea di base è rilevata, pubblichi un allarme.

Ci sono parecchie applicazioni commerciali e libere che sono dedicate ad effettuare tali procedure di verifica di integrità. Il più famoso di questi attrezzi è probabilmente Tripwire (disponibile a www.tripwire.com), che è stato capace di rilevazione dei cambiamenti non autorizzati al sistema di lima da quando in primo luogo è stato liberato in 1992. Tripwire e l'altro software di questo tipo non sono ispettori del virus per se che—tali programmi puntino su avvisare i coordinatori dei cambiamenti sospettosi alla macchina dichiarino senza riguardo a se l'attacco è stato realizzato da malware o è stato eseguito attraverso una certa altra scanalatura.

I metodi di verifica di integrità possono anche essere usati dal software di antivirus, anche se i fornitori sono raramente prossimi circa il limite a cui hanno effettuato tali meccanismi. Sophos AntiVirus è conosciuto per usare i totali di controllo per contribuire a determinare se una lima debba essere esaminata più con attenzione via altri metodi di rilevazione. Nell'esaminare una lima, Sophos AntiVirus computa il totale di controllo della lima e lo confronta al valore calcolato più presto. Se i totali di controllo non abbinano, quindi ci è una probabilità che la lima è stata infettata ed il programma di antivirus potrebbe avere bisogno di di esaminarla più completamente.

Un prodotto di antivirus che prova a fare il la maggior parte delle tecniche di verifica di integrità è probabile essere selettivo circa le parti della lima che fingerprinted per i confronti della linea di base. Per esempio, potrebbe essere giusto per il contenuto di un documento di parola del Microsoft da cambiare quando l'utente pubblica il relativo testo; tuttavia è comune molto per le macro incluse nel documento da modificare. Di conseguenza, il software di antivirus ha potuto essere più sospettoso dei cambiamenti rilevati nella sezione di macro del documento.

La limitazione principale del metodo di verifica di integrità è che rileva l'infezione solo dopo che accade. Tuttavia, è un'aggiunta utile ai metodi consistenti del toolkit che cercano le firme degli esemplari conosciuti del malware ed a quelli che usano l'euristica per rilevare il codice nocivo. Purtroppo, software uniforme di antivirus che effettua ciascuno dei questi rilevazione

ciò è un articolo aggiunto da Levi D. Johnson


Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions