Si ha instalado un software de seguridad en su PC o teléfono inteligente (¡gran idea!), Puede preguntarse cómo funciona un antivirus. ¡Echemos un vistazo bajo el capó de los antivirus para comprender cómo funcionan y por qué necesitamos instalar un antivirus!
Firmas virales: tendrás lo básico
Cuando funciona correctamente, el software de seguridad debe poder identificar y bloquear un virus. ¿Cómo lo hace? El primer nivel es el reconocimiento de su firma. Como cualquier archivo, un virus se compone de bytes. Generalmente hablamos de un "byte" (o byte) de 8 bits, pero su tamaño puede estar entre 1 y 48 bits.Un sitio como Fileformat.info le permite crear un "volcado" y mostrar un archivo como una serie de bytes, representados en formato hexadecimal. Traerá recuerdos a los mayores de ustedes.
La firma de un archivo es una serie de bytes sucesivos que le son específicos y que permiten identificarlo. No es una ciencia exacta, pero es posible reconocer patrones recurrentes en uno o más malware y así detectarlos.
La base de datos de firmas agrupa todas las firmas de software malicioso conocidas en un momento dado y durante mucho tiempo fue el único componente que permitía la detección de virus o malware. La simple descripción de su funcionamiento es suficiente para identificar sus deficiencias: para que el malware sea detectado solo por este proceso, ya debe ser conocido.
Durante los últimos diez años aproximadamente, los métodos para actualizar estas bases de datos de firmas han mejorado considerablemente, utilizando en particular técnicas de "empuje" para ofrecer nuevas firmas al usuario lo más rápido posible, en lugar de actualizaciones. regular a intervalos más distantes.
Involucrar a los usuarios en la detección de archivos maliciosos a través de la nube también ha ayudado a acelerar la entrega de firmas de virus. Sin embargo, las bases de datos de firmas, si todavía se utilizan, son solo uno de los componentes de la protección moderna.
Bajo el capó del motor
Es en este contexto que hablamos de un motor de análisis. El motor reúne todas las tecnologías necesarias para detectar y eliminar malware. Esto incluye la base de firmas, pero también los componentes necesarios para otras técnicas más modernas, como el análisis heurístico o conductual. Aquí, ya no solo detectaremos archivos conocidos, sino que analizaremos su comportamiento en el sistema, lo que permite superar las limitaciones de la base de datos de firmas y, por lo tanto, también detectar amenazas que aún no se han identificado.El escaneo heurístico puede consistir en "descompilar" un archivo malicioso para analizarlo y comparar su estructura con el código ya conocido, buscando similitudes que puedan identificarlo como una nueva amenaza desconocida. Otro método más complejo ejecuta el archivo en una caja de arena, buscando un comportamiento sospechoso.
El llamado análisis de comportamiento, por otro lado, monitorea el sistema operativo para detectar comportamientos sospechosos conocidos, como modificaciones anormales de archivos. Luego, el antivirus bloquea el comportamiento. El motor antivirus incluirá así componentes como un emulador que permitirá ejecutar el código malicioso en un entorno seguro, un módulo para descomprimir los archivos o incluso un descompactador encargado de diseccionar los archivos ejecutables.
Un componente central pero modular
El motor de un antivirus o una suite de seguridad está diseñado para ser modular. Está en el corazón de todas las soluciones de un editor y debemos ser capaces de injertarle los otros componentes y la interfaz de usuario. Sin embargo, si un antivirus "básico", una suite de seguridad o una solución de "seguridad total" tienen diferentes funcionalidades, todos usan el mismo motor.Algunos proveedores de software de seguridad también venden su motor como marca blanca, por lo que podemos encontrarlos en varias soluciones de diferentes proveedores. Una suite de seguridad puede incluso utilizar dos motores, alternativamente o en combinación, para optimizar su detección y eliminación de archivos maliciosos.
