In sostanza la sicurezza su windows si può avere attraverso diverse tecniche e metodi anche intrinsechi al sistema operativo. Va da sè che serve un pò di impegno e di testa da parte dell'utente che non può permettersi il lusso di accendere il pc e collegarsi alla rete e basta..quando si dice che il miglior AV è la testa dell'utente si intende anche questo IMHO.
Ma la maggior parte degli utenti purtroppo pensa che il pc sia un elettrodomestico come tenti altri.
Però questo è il topic dedicato agli AV e quindi è giusto, anche per non andare OT, che qui si parli degli AV e che ognuno esprima il proprio parere in merito. :ciaociao:
Si, infatti è comunque per quello che siamo qui, per condividere esperienze e parlare di antivirus :asd: ...
In realtà fino a qualche anno fa ne capivo molto poco della questione. Non che ora sia esperto, ma almeno sono venuto a conoscenza dei meccanismi più semplici e diffusi.
E, purtroppo, è un tipo di conoscenza che son riuscito ad avere solo stando "dall'altra parte della barricata", anche se per un breve periodo e per motivi strettamente personali.
Ci sono forum, senza andare necessariamente a cercarli dove non batte il sole, che son visualizzabili solo dopo iscrizione e verifica.
Dopo qualche ricerca mirata mi si è aperto un mondo e mi son messo a lavoro, per un paio di mesetti direi.
A scopo ottenuto e a conoscenza acquisite ho mollato tutto e buttato tutto, comprese licenze di software non proprio lecito del valore complessivo di più di qualche centinaio di euro.
Non ho mai fatto nulla di "realmente" male, ma non posso scendere più nello specifico qui sul forum di Tom's.
Tornando all'argomento:
Per farti un esempio, ora Essential non esiste più (è diventato praticamente Defender ma è un altro discorso) e ricordo benissimo che c'erano implementazioni apposite di codice in vb.net ma anche in diversi altri linguaggi, con tanto di guide, per disattivarlo al momento dell'infezione tramite registro. Così come su win7, vista e xp per disattivare lo UAC e conoscevo anche diversi exploit appunto che variavano a seconda dell'AV che aveva installato la vittima, tipo appunto per ingannare la runtime di AVG Free, quello era un exploit. Per quello parlo di "mirato". Un malware criptato con tante di queste procedure messe tutte assieme a seconda del software della vittima è difficile da realizzare perché se non è completamente "nuovo" quindi FUD di suo, oltre ad essere pesante e quindi reso sospetto (se io faccio spoofing su un altro formato e all'utente non torna è ovvio si insospettisca, se ha poco poco cervello) perde sicuramente in una o più delle sue funzionalità.
Anche per le scansioni online dei file bastava infettare il file hosts in system32/driver/etc modificandolo e blacklistando ip e url di tutti i siti che volevi la vittima non visitasse.
Tornando alle funzionalità, anche il metodo per il grab dei cookies dai browser richiedeva check e check di versione di browser installata. In più è un tipo di funzionalità che, perlomeno in vb.net, senza net.framework 2.0 (almeno) installato sulla macchina della vittima non funzionava ed era inevitabile far comparire l'errore su schermo, l'unica cosa che potevi fare era settare la rimanenza della finestra a 0.1 sec in modo che l'utente non la notasse :lol: ...
Un problema più recente è che Java e C# in particolare hanno davvero moolti più sviluppatori di prima ora :asd: ...
E molti tipi di virus con funzioni conosciute, se replicate con altro di "proprio pugno" son completamente FUD perché spesso implementate in modo abbastanza diverso. Ma in generale è sempre così, più le cose si diffondono e più si è esposti.
Già 3 anni fa stavano replicando una versione custom di un trojan builder tipo darkcomet. Penso che ora sia perfettamente finito e funzionante, forse ce n'è più di una versione, non ne ho idea perché son "fuori dal mondo". La particolarità è che rilasciava RAT da source nativi in Java quindi al periodo tutti fud, senza bisogno di criptarli o di fare hex editing.
Beh, è tardi, non vorrei scrivere troppo poi :) ... Ma è un argomento interessante.
Buona notte!
eDit: rispondendo sopra, la sandbox ti isola e basta. Se un installer, ad esempio, è infetto non riesce a pulirlo magicamente. Potrebbe riuscirci l'antivirus solo se la parte infetta è stata bindata e non completamente integrata. Diversamente nada :sisi: ...
