Wie erkennt ein Antivirus nicht bösartigen Code?

Question

Angenommen, ich habe eine Dateikomprimierungsbibliothek erstellt, und diese Bibliothek wurde in 1000 (nicht bösartigen) Programmen verwendet. Aber jetzt hat ein Malware-Entwickler beschlossen, eine Malware zu erstellen und einige Dateien mit meiner Bibliothek zu komprimieren.

Basierend auf meinem Wissen, wie ein Antivirus funktioniert, wählt er eine Gruppe von Bytestrings aus der Malware aus und speichert sie in seiner Datenbank. Wenn der Antivirus ein Programm scannt, das diese Zeichenfolgen enthält, warnt der Benutzer, dass es sich um eine Malware handelt.

Aber was ist, wenn der Antivirus eine Bytefolge auswählt, die einem Teil des Codes meiner Bibliothek entspricht, würde das nicht bedeuten, dass meine Bibliothek jetzt als Malware erkannt wird (und somit die 1000 nicht bösartigen Programme als erkannt werden) eine Malware)?

Answer 1

Wenn ein Antivirenprogramm einen weit verbreiteten Code als bösartig kennzeichnen würde, dann würde er (fälschlicherweise) viele Programme als Malware erkennen. Malware-Signaturen werden jedoch nicht zufällig ausgewählt. Sie werden von menschlichen Analysten entwickelt, die die Malware untersuchen, um zu lernen, was sie tut und wie sie funktioniert. Diese Analysten erstellen die Signatur basierend auf etwas, das tatsächlich spezifisch für die Malware ist, und nicht ein Stück nicht bösartigen Bibliothekscode, der zufällig darin enthalten ist.

Answer 2

Es gibt zwei Arten von Techniken, um Malware zu entdecken. Die erste ist durch die Datei Signatur, zum Beispiel erhält Kaspersky jeden Tag eine riesige Menge von bösartigem Code, der von seinen Experten analysiert wird und dann eine Signatur für jeden von erzeugen Sie. Wenn also eine Datei von einem Antivirenprogramm analysiert wird, vergleicht sie die Signatur mit allen Signaturen in ihrer Datenbank. und dann das Ergebnis an den Benutzer zurückgeben. Der zweite Weg zu bestimmen, ist eine Software ist bösartig, ist mit Data-Mining-Techniken. das ist, nehmen Sie als eine Eingabe die statischen & dynamischen Analyseergebnisse der Software, und geben Sie dann ein Ergebnis zurück. In diesem Fall kann es je nach Antivirenprogramm ein falsch positives Ergebnis liefern.

Answer 3

Wenn Sie der Autor der legit lib sind, und einige Malware-Typen Ihre lib verwenden, dann beginnen AVs die sauberen Programme mit Ihrer lib zu erkennen, die einzige Möglichkeit, damit umzugehen, ist AV-Unternehmen zu kontaktieren und ihnen zu sagen entferne die Erkennung aus deiner lib. Sie können den bösartigen Code erkennen, anstatt den Code der Bibliotheken. Überprüfen Sie jede AV-Website auf Beschwerdeformulare oder wenden Sie sich an die Supportabteilung.