Integriteit Controle bij de verdediging tegen virussen


  Share  
|

Bij de verdediging tegen virussen, hebben we te maken met wezens die wijzigen hun gastheer programma's als ze te verspreiden. Daarom is een manier om de aanwezigheid van een virus te detecteren is het ontdekken van bestanden die onverwacht zijn gewijzigd. De integriteit verificatie proces is erop gericht om dit doel te bereiken door de volgende stappen:

  1. Terwijl de machine in een ongerepte staat, vingerafdrukken te berekenen (in de vorm van checksums of cryptografische hashes) van bestanden die moeten worden gecontroleerd, en hen registreren in een baseline database.

  2. Bij het scannen van het bestandssysteem voor verdachte wijzigingen, berekenen vingerafdrukken van gemonitorde bestanden en vergelijk de waarden die in het referentiescenario.

  3. Als onverklaarbare verschillen tussen de huidige toestand en de baseline worden ontdekt, een signalering.

Er zijn verschillende commerciële en gratis applicaties die zijn gewijd aan de toepassing van dergelijke integriteit controle. De beroemdste van deze tools is waarschijnlijk Tripwire (beschikbaar op www.tripwire.com), Die in staat is geweest het opsporen van onbevoegde wijzigingen aan het bestand systeem is omdat het voor het eerst werd uitgebracht in 1992. Tripwire en andere software van dit type virus checkers zijn niet per se-dergelijke programma's gericht op het waarschuwen van beheerders van verdachte veranderingen in staat van de machine, ongeacht of de aanval werd uitgevoerd door malware of is uitgevoerd via een ander kanaal. .

Integriteit verificatie benaderingen kunnen ook gebruikt worden door antivirussoftware, hoewel leveranciers zelden aanstaande zijn over de mate waarin zij hebben uitgevoerd dergelijke mechanismen. Sophos AntiVirus is bekend dat checksums gebruiken om te bepalen of een bestand moet meer zorgvuldig worden onderzocht via andere detectiemethoden. Bij het scannen van een bestand, Sophos AntiVirus berekent checksum van het bestand en vergelijkt dit met de waarde eerder berekend. Als de checksums niet overeenkomen, dan is er een kans dat het bestand is geïnfecteerd, en het antivirusprogramma kan nodig zijn om deze nader te onderzoeken.

Een antivirus-product probeert te maken van de meest van technieken integriteit verificatie is waarschijnlijk selectief over de delen van het bestand dat zijn vingerafdrukken voor baseline vergelijkingen. Zo kan het wel goed voor de inhoud van een Microsoft Word-document te veranderen wanneer de gebruiker bewerkingen haar tekst, maar het is veel minder vaak voor dat de macro's ingebed in het document worden gewijzigd. Daarom kan antivirussoftware meer verdacht van veranderingen geconstateerd in de macro gedeelte van het document.

De belangrijkste beperking van de integriteit verificatie methode is dat het detecteert de infectie pas na het zich voordoet. Het is echter een nuttige aanvulling op de toolkit die bestaat uit benaderingen die op zoek naar handtekeningen van bekende malware exemplaren en degenen die gebruik maken van heuristiek schadelijke code op te sporen. Helaas, zelfs antivirus-software dat elk van deze detectie implementeert

een artikel afkomstig van Levi D. Johnson

Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions