Назад | Перейти на главную страницу

Антивирус и сетевые порты?

Я думаю, что антивирус сможет определить вирус еще до того, как он попадет в ОС (Windows / Linux), путем фильтрации на самом порте сетевого интерфейса. Правильно?

Но как вирусы также избегают этой фильтрации?

Заранее спасибо,
Картик Балагуру

Конечно, возможно, да, некоторые настольные компьютеры имеют / имеют AV на основе BIOS, но выполнение этого `` в сетевой карте '' потребует гораздо больше логики в сетевой карте, что будет стоить больше, плюс механизм для их хранения, обычно довольно большого , определения вирусов тоже на чипе. Да, и эта система не обязательно будет более безопасной или более быстрой, чем ее использование в процессоре, но почти наверняка замедлит работу сетевой карты. То, что могут делать многие, если не все продукты AV, - это смотреть на трафик, поступающий через IP-стек, и искать вирусы - это быстро и легко обновить defs, поскольку это специфично для AV-продукта, а не для AV-продукта и сетевой карты. .

Надеюсь, я разъяснил, почему антивирус на основе сетевой карты - плохая идея, и почему, если она будет реализована, новые вирусы не будут обнаружены устаревшими определениями на основе сетевых адаптеров.

Кстати, это звучит как вопрос домашнего задания - если да, то можете ли вы вернуться к нам с полученной оценкой;)

Хотя можно обнаружить некоторые вирусы, попадающие в систему через порт, на самом деле это возможно только с помощью системы сигнатур. Это означает, что избежать обнаружения будет очень легко. Он может быть полезен в качестве дополнения к другим методам обнаружения, но совершенно бесполезен как единственный метод обнаружения.

Например, наблюдение за трафиком порта не приведет к обнаружению вируса, встроенного в зашифрованный файл, что многократно использовалось с большим успехом (с точки зрения тех, кто распространяет вирус). Перед обнаружением надежды на успех необходимо ввести и расшифровать весь файл.

В конечном итоге проблема заключается в Алан Ньюэллс знаменитое доказательство того, что в истинной системе Тьюринга невозможно отличить злонамеренное от безвредного. (Отчасти из-за неоднозначности того, что такое «хорошие» данные, а что «плохие»).

Но на самом деле уже существует множество систем, которые это делают - антивирусные сканеры часто запускаются на SMTP-реле вашего провайдера. Системы IPS / IDS содержат множество вредоносных сигнатур, которые могут уведомить администратора.

Вредоносное ПО может контролировать самое ядро ​​вашей системы. Это называется руткит и их можно использовать для сокрытия файлов, сетевого трафика и запущенных процессов.