O que é detecção baseada em assinaturas?

O que é detecção baseada em assinaturas?

“artigo retirado do AVG Official Blogs”

por Adrian Bridgwater

 

Assim como existem muitas variantes e formas de malware eletrônico e ameaças baseadas na Internet em todo o mundo, existem também muitas formas de proteção contra essas ameaças. A detecção baseada em assinaturas é uma das formas variadas de defesa que foram desenvolvidas a fim de manter-nos seguros de conteúdo malicioso.

 

Pode-se argumentar que a detecção baseada em assinaturas tenha sido ofuscada por métodos mais sofisticados de proteção em alguns ambientes, mas ela permanece como um núcleo “técnico” apresentado nos controles de pacotes e suítes de antivírus que trabalham para proteger o sistema de um usuário hoje.

 

Como funciona a detecção baseada em assinaturas?

 

A detecção baseada em assinaturas trabalha varrendo o conteúdo de arquivos do computador e cruzando seus conteúdos com as “assinaturas de código” pertencentes a vírus conhecidos. Uma biblioteca de assinaturas de códigos conhecidos é atualizada e renovada constantemente pelo fornecedor do software antivírus.

 

Se uma assinatura viral é detectada, o software atua para proteger o sistema do usuário contra danos. Arquivos suspeitos normalmente são colocados em quarentena e/ou criptografados, a fim de torná-los inoperantes e inúteis.

 

Claro que sempre haverá novos e emergentes vírus com suas próprias assinaturas de códigos únicos. Então, mais uma vez, o fornecedor de software antivírus trabalha constantemente para avaliar e assimilar novos dados de detecção baseados em assinaturas para que eles possam se tornar disponíveis, muitas vezes em tempo real, e para que as atualizações possam ser enviadas para os usuários imediatamente e vulnerabilidades zero-day  possam ser evitadas.

 

Próxima geração de detecção baseada em assinaturas

 

Novas variantes de vírus de computador são naturalmente desenvolvidas a cada dia e as empresas de segurança agora trabalham para também proteger os usuários de malware que tenta se disfarçar da detecção com base em assinatura tradicional. Os autores de vírus têm tentado evitar que seu código malicioso seja detectado escrevendo vírus “oligomorphic“,”polymorphic” e mais recentemente “metamorphic” com assinaturas que são disfarçadas ou então alteradas daqueles que podem ser mantidos em um diretório assinatura.

 

Apesar destes desenvolvimentos, a Internet em geral, é claro, ainda funciona em uma base diária. Povoada por usuários que não apenas atualizam seu software de segurança instalado, mas também por aqueles que educaram a si mesmos sobre os tipos de riscos discutidos aqui.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *