Detecção de Virus por Heuristica

[Athos]

E ae pessaol....sou novo no forum e me interesso muito pela area de segurança da informação e gostaria de saber se alguem sabe fazer a detecção de um virus por heuristica, sem antivirus no caso....e se possivel gostaria que me explicasse...vlw

[Birkoff]

Eu não tenho muito conhecimento na área de anti-vírus, mas quando fala em heurística em informática me lembro de algoritmos heurísticos, aproximativos, e aplicando isso a anti-vírus, em anti-vírus que não acham apenas os vírus através da assinatura deles, mas também através de algoritmos que tentam encontrar vírus mesmo que eles tenham sido modificados e não estejam ainda na base de assinaturas de vírus.

Dito isto, não entendi direito o que você quer... muitos antivírus já fazem detecção por heurística, mas você fala que quer sem anti-vírus? Você quer implementar um método heurístico de detecção de vírus próprio? Por favor, explique melhor o que quer... ;)

[Athos]

Quero saber se tem como eu fazer a detecção manualmente.....tipo....pego um arquivo q estou desconfiado e verificar......é possivel....como fazer???

[mmachado]

Athos,

Existem ferramentas que te ajudam a isolar um artefato (como se costuma chamar o objeto da análise) e te permitem investigar de diversas formas. São duas divisões básicas de investigação:

1. Análise estática: O artefato (geralmente um arquivo binário) é aberto (aberto mesmo, NÃO executado) com editores especiais, programas de engenharia reversa ou de debug e é feita uma leitura de como programa pretende agir quando for executado.
   
   Esta análise requer um bom conhecimento de programação de baixo nível. Os programadores de malware costumam usar técnicas para ofuscar o código, dando bastante trabalho para quem tenta entender sua lógica. (me lembrei de um professor que tirava 1 ponto na prova para cada "GOTO" usado no programa...)
   
   Considere também estudar sobre "packers", sem os quais sua análise estática não dará frutos.
   .
2. Análise de execução: O artefato é executado em um ambiente rigidamente controlado. É preparado um "subsistema" do sistema operacional, uma máquina virtual ou mesmo uma máquina real isolada da rede (melhor opção, pois alguns malware podem identificar uma execução monitorada e mudar de comportamento).
   
   Este controle é feito com relação a system calls que o artefato usa, como criação, apagamento e leitura de arquivos, abertura de sockets, etc. O objetivo é identificar, por exemplo, o download de algum arquivo, a modificação de entradas no registro, a criação de outros processos etc.
   
   Aqui também existem artimanhas empregadas pelos programadores para dificultar a análise. Por exemplo, o artefato pode esperar algumas horas (ou um determinado dia) até que comece a fazer alguma coisa maligna, imaginando que o perito vá desistir por achar que ele já fez tudo o que tinha para fazer.

Essas análises não vão te dar um veredicto sobre o fato de ser ou não um vírus. Vai caber a você chegar a essa conclusão baseado no seu conhecimento do que o programa faz. Aliás, é mais ou menos isso o que as fabricantes de anti-vírus fazem ao decidirem se determinado artefato deve ou não entrar na sua lista de assinaturas.

A propósito, algumas soluções anti-vírus que detectam por heurística usam o conceito de sandbox para executar o arquivo suspeito e fazer uma análise do seu comportamento, comparando com uma lista de comportamentos normalmente encontrados em malware. Isso pode levar a muitos falsos-positivos, dependendo dessa lista.

Se quiser começar a brincar de uma forma bastante indolor, comece pelo site da Sunbelt. Eles desenvolvem sistemas de forense para análise deste tipo de artefato e oferecem uma análise básica online, bastando fazer o upload do arquivo:

http://research.sunbelt-software.com/submit.aspx

Caso não tenha um malware para testar, veja este exemplo de análise:
http://research.sunbelt-software.com...spx?id=3267774

Não deixe de explorar o relatório. A opção Technical Details é onde está o mais interessante.

No mais, estamos aí para dúvidas mais específicas.

[]s, MM

[Athos]

Brigadaum velho.....a proposito trabalhas na area???

[mmachado]

Com esse tipo de análise, especificamente, nunca trabalhei (leia-se "nunca me pagaram para fazer"). Só sou curioso mesmo...

[]s, MM