ウイルス対策およびマルウェア対策プログラムはどのようにして自分自身を保護しますか?
A/V製品は、このような悪意のある環境で引き続き実行できるようにするために、クレンジングしようとしているソフトウェアと同じ種類の手法を採用する必要があると思います。ただし、A/V製品は最もステルス性が高いわけではありません。Windowsマシン全体でその証拠を見つけることができます。
A/V製品は、整合性と可用性を保護するために何をしていますか?
自己保護メカニズムだけを見た場合、その価値のあるアンチウイルスアプリケーションはマルウェアとほとんど区別がつかなくなります。軽快になりたければ、不正なセキュリティツールと正当なセキュリティツールの唯一の違いは、ツールの設計者の意図であると言えます。
AVは通常、concealシステムへの存在を(ルートキットのように)隠そうとはしませんが、willデザイナーがアプリケーションに脅威を与えると感じるシステムコールを遮断します(マルウェアの多くの最新の例のように) TerminateProcess または CreateRemoteThreadのような呼び出し は自己保護スキームの明らかなターゲットです。別の適切なターゲットは CreateFile です。これは、おそらく最も使用されているWindows API関数であるためです(そして、ファイルを作成するだけではありません)。AVプログラムは、これらの呼び出しをフックして、彼らはAVプログラムを脅かすことはありません。 AVはカーネルモードドライバーをインストールして、カーネルを直接操作し、悪意のあるカーネル変更の試みを妨害することもできます。自己防衛メカニズムの多くは、マルウェアに対する一般的な防御の一部として、二重の役割を果たします。
皮肉なことに、一部のマルウェア対策プログラムは、ほとんどのマルウェアよりも削除が困難です。
ほとんどの場合"integrity"は、安全なサーバーを使用したベストケースのシナリオで、セルフハッシングとその検証によってチェックされます。
"availability"は、Antivirごとに異なるアプローチを使用しているため、回答するのに少し問題があります。
覚えておかなければならないことが1つあります。Antivirはニュースをあまり頻繁に広めませんが(明らかな理由により)、 "integrity"と「可用性」チェックは、マシンが低レベルで感染している場合(ルートキットなど)、障害の検出に失敗する可能性が高いです。それでも、Antivirは(既知および未知の)ルートキットをある程度までチェックするオプションをすでに取得しています。
通常、インストール段階で環境が安全かどうかを理解しようとします。彼らがこのフェーズを克服すれば、環境は安全であると想定できるからです。
下位のレバーでは、読み取り/書き込みをインターセプトするカーネルフックをインストールするときに、syscallカーネルテーブルをチェックして、他のソフトウェアがr/w OS syscallをインターセプトしたかどうかを確認します。これは、ルートキット対策ソフトウェアが使用する手法と同じです。
彼らもウイルスやワームからメモリをスキャンし、SHA1やMD5などの一種のフィンガープリントでコアファイルの整合性をチェックしていると思います。
しかし、マシンがルートキットの下(敵の手の中)にいる場合は、自分を保護するのに十分なことはできません。彼らは、何かがうまくいっていないことをユーザーに知らせるほど十分に生き残ることができますが、敵対的な環境では永遠に生き残ることはできません。