Как Антивирус знает, что не нужно обнаруживать не вредоносный код?
Допустим, я создал библиотеку сжатия файлов, и эта библиотека использовалась в 1000 (не вредоносных) программах. Но теперь разработчик вредоносного ПО решил создать вредоносное ПО и использовать мою библиотеку для сжатия некоторых файлов.
Основываясь на моих небольших знаниях о том, как работает антивирус, он выбирает группу строк байтов из вредоносной программы и сохраняет ее в своей базе данных. Теперь, когда Антивирус сканирует программу с этими строками байтов, он предупреждает пользователя, что это вредоносная программа.
Но что, если Антивирус выбрал строку байтов, которая соответствует части кода моей библиотеки, не означает ли это, что моя библиотека теперь определяется как вредоносная программа (и, следовательно, 1000 не вредоносных программ теперь определяются как вредоносная программа)?
Решение
Если антивирусная программа пометит широко используемый фрагмент кода как вредоносный, то да, он (неправильно) определит множество программ как вредоносные. Но сигнатуры вредоносных программ выбираются не случайно; они разработаны аналитиками-людьми, которые изучают вредоносное ПО, чтобы узнать, что оно делает и как оно работает. Эти аналитики стараются создать сигнатуру, основанную на чем-то, что на самом деле является специфическим для вредоносного ПО, а не на части неопасного библиотечного кода, который случайно включается в него.
Другие решения
Существует два вида методов обнаружения вредоносных программ. Первый — по сигнатуре файла, например, Kaspersky каждый день получает огромное количество вредоносного кода, который будет проанализирован его экспертами, а затем сгенерирует сигнатуру для каждого из них. Таким образом, когда файл анализируется антивирусом, он сравнивает сигнатуру со всеми сигнатурами в своей базе данных. и затем верните результат пользователю.
Второй способ определить, является ли программное обеспечение вредоносным, заключается в использовании методов интеллектуального анализа данных. который принимает в качестве входа статический & динамический анализ результатов программного обеспечения, а затем вернуть результат. В этом случае он может вернуть ложноположительный результат в зависимости от антивируса.
Если вы являетесь автором легальной библиотеки и некоторые пользователи вредоносных программ используют вашу библиотеку, тогда AVs начинают обнаруживать чистые программы, использующие вашу библиотеку, единственный способ справиться с этим — связаться с AV-компаниями и попросить их удалить обнаружение из Lib. Они могут обнаружить вредоносный код, а не код библиотеки.
Проверьте каждый веб-сайт AV-компании на наличие жалоб или свяжитесь с их отделом поддержки.
detector