Portas antivírus e de rede?

2

Acho que o antivírus seria capaz de determinar o vírus antes mesmo de entrar no sistema operacional (Windows / Linux), filtrando-o na própria porta da interface de rede. Certo?

Mas como os vírus escapam dessa filtragem também?

Obrigado antecipadamente,
Karthik Balaguru

    
por Karthik Balaguru 13.02.2010 / 11:17

4 respostas

2

Certamente é possível sim, algumas máquinas desktop tiveram / tiveram AV baseado em BIOS, mas fazê-lo em NIC exigiria muito mais lógica na placa de rede, custando mais, além de um mecanismo para manter geralmente muito grandes, definições de vírus no chip também. Ah, e este sistema não seria necessariamente mais seguro ou mais rápido do que fazê-lo "in-cpu", mas quase certamente desaceleraria a NIC. O que muitos, se não todos os produtos antivírus, podem fazer é olhar para o tráfego vindo através do IP-stack e procurar por vírus - isso é rápido e fácil de atualizar os defs, pois é específico do produto antivírus e não específico do AV-product-AND-NIC .

Espero ter esclarecido por que o AV baseado em NIC seria uma idéia muito ruim e por que, se implementado, seria muito fácil que os vírus mais recentes não fossem detectados por defs baseados em NIC desatualizados.

Aliás, isso soa como uma questão de lição de casa - se é que você pode voltar para nós com a marca que você recebe;)

    
por 13.02.2010 / 11:31
1

Embora seja possível detectar alguns vírus entrando no sistema na porta, isso só seria possível com um sistema de assinatura. Isso significa que seria muito fácil evitar a detecção. Pode ser útil como um complemento para outros métodos de detecção, mas completamente inútil como o único método de detecção.

Por exemplo, observar o tráfego de porta não detectaria um vírus incorporado em um arquivo criptografado, que é um método usado com grande sucesso muitas vezes (do ponto de vista de quem espalha o vírus). O arquivo inteiro deve ser inserido e descriptografado antes que a detecção possa ter uma chance de sucesso.

    
por 13.02.2010 / 23:57
0

O malware pode controlar o núcleo do seu sistema. É chamado de um rootkit e eles podem ser usados para ocultar arquivos, tráfego de rede e processos em execução.

    
por 13.02.2010 / 11:44
0
Em última análise, o problema está na prova famosa de Alan Newell de que é impossível diferenciar entre o que é malicioso e o que é é benigno em um verdadeiro sistema de Turing. (Em parte devido à ambigüidade do que é um dado "bom" e o que é um dado "ruim").

Mas, de fato, já existem vários sistemas que fazem isso - scanners antivírus frequentemente são executados no redirecionamento SMTP do seu ISP. Os sistemas IPS / IDS contêm muitas assinaturas maliciosas que podem notificar o administrador.

    
por 15.02.2010 / 02:25