Extraido de http://blogs.eset-la.com/
La mayoría de nosotros tenemos hoy en día instalado un software antivirus en nuestro equipo. Con ello nos aseguramos que el sistema operativo y nuestra información se encuentren protegidos contra posibles amenazas. Una vez que que instalamos el software antivirus encomendamos la protección de nuestros datos al mismo. Ahora la pregunta es: ¿sabemos cómo funciona un software antivirus? ¿Qué es lo que hace mientras nosotros utilizamos nuestro equipo? ¿Cómo es que nos protege de las distintas amenazas que circulan por la red?
La mayoría de nosotros tenemos hoy en día instalado un software antivirus en nuestro equipo. Con ello nos aseguramos que el sistema operativo y nuestra información se encuentren protegidos contra posibles amenazas. Una vez que que instalamos el software antivirus encomendamos la protección de nuestros datos al mismo. Ahora la pregunta es: ¿sabemos cómo funciona un software antivirus? ¿Qué es lo que hace mientras nosotros utilizamos nuestro equipo? ¿Cómo es que nos protege de las distintas amenazas que circulan por la red?
Para responder estas preguntas primero hay que entender cómo funciona un antivirus, cómo es que detecta las amenazas o cómo es que detecta que un archivo podría ser peligroso para nuestro sistema. Básicamente todo software antivirus posee dos métodos para analizar los archivos y así detectar las amenazas.
- Detección mediante base de firmas
- Heurística
El método de detección mediante base de firmas es el más común y tal vez el que la mayoría de nosotros conocemos. Este método funciona de la siguiente manera: cada archivo que se crea en una PC, posee un identificador único e irrepetible, dicho identificador es conocido como MD5. El método de detección mediante base de firmas, lo que hace es comparar el MD5 de un archivo con la base de firmas del antivirus; si el MD5 se encuentra dentro de la misma, entonces se trata de una amenaza. Es por esto que la base de firmas puede llegar a actualizarse varias veces durante el día mediante una conexión a Internet. Ahora bien, este método nos permite mantener nuestro equipo protegido ante las últimas amenazas que surjan, pero…. ¿qué ocurre si ingresa en un nuestro sistema una amenaza la cual todavía no ha sido agregada en una base de firmas? Ahí es cuando entra en juego la heurística.
La heurística al contrario de una base de firmas, no compara datos contra una base de datos, sino que lo que hace es realizar un pequeño análisis del “comportamiento” de los archivos para de esta manera detectar de forma proactiva las posibles amenazas. Para comprender mejor, supongamos que en nuestro sistema ingresa un archivo y al ejecutarse el mismo realiza las siguientes modificaciones:
- Modificaciones de llaves del registro
- Modificación del archivo Msconfig
- Apertura de puertos
- Cambio de atributos sobre archivos del sistema operativo
Para cada una de estas acciones la heurística asigna un puntaje: si las acciones de un archivo alcanzan un puntaje determinado, entonces el mismo es considerado como una posible amenaza. En este punto el software antivirus nos informará lo que está ocurriendo y nos solicitará que tomemos una acción ante el hecho.
Como acabamos de ver, estos son los métodos que utilizan los productos antivirus para detectar posibles amenazas, si bien son dos métodos totalmente distintos y que pueden funcionar de manera separada, es indispensable que nuestra solución antivirus cuente con ambos métodos para asegurar un mayor nivel de protección, tal como lo hacen los productos de ESET que gracias a la Heurística Avanzada de su motor ThreatSense® que garantiza la detección de códigos maliciosos conocidos y desconocidos con un mínimo impacto en el sistema.
No hay comentarios:
Publicar un comentario