Как Антивирус не может обнаружить не вредоносный код?

Question

Предположим, я создал библиотеку сжатия файлов, и эта библиотека использовалась в 1000 (не вредоносных) программах. Но теперь разработчик вредоносных программ решил создать вредоносное ПО и использовать мою библиотеку для сжатия некоторых файлов.

Основываясь на моих небольших знаниях о том, как работает Antivirus, он выбирает группу строк байтов из вредоносной программы и сохраняет ее в своей базе данных. Теперь, когда Антивирус сканирует программу с этими строками байтов, она предупреждает пользователя о том, что это вредоносная программа.

Но что, если Антивирус выбрал строку байтов, которая соответствует части кода моей библиотеки, не означает ли это, что моя библиотека теперь обнаружена как вредоносное ПО (и, следовательно, 1000 не вредоносных программ теперь обнаруживаются как вредоносное ПО)?

Answer 1

Если антивирусная программа помечена как широко распространенная часть кода как злонамеренная, то да, она (неправильно) обнаруживает множество программ как вредоносное ПО. Но сигнатуры вредоносных программ не выбираются случайным образом; они разрабатываются человеческими аналитиками, которые изучают вредоносное ПО, чтобы узнать, что он делает и как это работает. Эти аналитики стараются создать подпись, основанную на том, что на самом деле специфично для вредоносного ПО, а не на фрагменте кода, не относящегося к вредоносным библиотекам, который входит в него.

Answer 2

Существует два типа методов обнаружения вредоносных программ: первая - подписи файла, например, Kaspersky получает каждый день огромное количество вредоносного кода, который будет анализироваться его экспертами, а затем сгенерировать подпись для каждого из них их. Таким образом, когда файл анализируется антивирусом, он сравнивает подпись со всеми сигнатурами в своей базе данных. а затем вернуть результат пользователю. Второй способ определения программного обеспечения вредоносный - это использование методов интеллектуального анализа данных. который берет в качестве входа статические результаты динамического анализа программного обеспечения &, а затем возвращает результат. В этом случае он может вернуть ложноположительный результат, в зависимости от антивируса.

Answer 3

Если вы являетесь автором законной библиотеки lib, а некоторые вредоносные программы используют вашу библиотеку, тогда AV-файлы начинают обнаруживать чистые программы, используя ваш lib, единственный способ справиться с этим - это связаться с компаниями AV и сообщить им удалить обнаружение из вашей библиотеки. Они могут сделать обнаружение по вредоносному коду, а не по коду библиотек. Проверьте каждый веб-сайт компании AV для жалоб или обратитесь в службу поддержки.