Alisa Shevchenko, Senior Analyst Kaspersky Lab illustra le tecniche e le tecnologie utilizzate per rilevare un virus non ancora inserito all’interno del created_atbase delle definizioni di virus

Kaspersky Lab ha pubblicato uno studio condotto da Alisa Shevchenko, Senior Analyst Kaspersky Lab, in cui vengono spiegate le tecniche e le tecnologie utilizzate per rilevare un virus “sconosciuto”, ovvero non ancora inserito all’interno del created_atbase delle definizioni di virus.
All’inizio dell’articolo, Alisa Shevchenko sottolinea che qualsiasi tecnologia utilizzata, è composta da due componenti: una componente tecnica ed una analitica. La componente tecnica non è altro che la summa di tutti gli algoritmi che servono a fornire alla componente analitica tutti i dati necessari per l’analisi vera e propria. Quest’ultima, infatti, fornisce il verdetto finale su un file o su un programma sulla base dei dati ricevuti e analizzati.

La componente tecnica
La componente tecnica di un sistema serve a raccogliere i dati necessari alla fase analitica.

Ci sono molti metodi per raccogliere tali dati, poiché ogni virus, oltre ad essere un normale file, è anche la somma degli effetti che quel file ha sul sistema operativo. Tutti questi metodi, possono essere elencati in ordine di astrazione, dove con astrazione si intende il punto di vista utilizzato per osservare il programma sospetto: come un normale file (ovvero come un insieme di bytes), come un comportamento (concetto più astratto rispetto ad un file inteso come semplice insieme di bytes) o come somma degli effetti che il programma o il file ha sul sistema operativo. Le tecnologie antivirus hanno, più o meno, seguito un percorso di astrazione simile: inizialmente si lavorava sui file, successivamente sulle azioni compiute dai file ed infine sull’intero ambiente in cui il file è inserito. Per questa ragione, la lista segue in un certo senso anche un ordine cronologico.