Los mecanismos para detectar virus son:
Por Firma de virus:
El antivirus tiene de una base de datos en las que almacena firmas de virus.
Antes estas firmas eran hashes con los que se intentaba ajustar todos los ficheros del equipo.
Esto es fácil de eludir cambiando alguna instrucción del código y el hash resultante no coincidiría con ninguna de las firmas que hay en la base de datos.
Se empezó a intentar buscar una secuencia de bytes concreta en cada muestra de malware que lo identificara, así tendrías que saber que parte del código es con la que han identificado tu binario para cambiarla para no ser detectable.
Para luchar contra estas firmas en los malware se utilizaron codificadores que cambiaban todo el código del binario.
Después surgieron los packers que encapsulaban el código dentro del binario y lo cifraban, por lo que las firmas no eran capaces de ser útiles.
La debilidad de estos sistemas es que en el código hay que agregar instrucciones para el desempaquetado del código y eso puede generar firmas que identifiquen un binario como muy malicioso.
Detección heurística:
Escanean los archivos buscando patrones de código que se parecen a los que se usan en los virus.
Ya no se necesita una coincidencia exacta con una firma de virus almacenada si no que se buscan parecidos más generales empleando algoritmos.
Detección de virus por comportamiento:
Se escanea el sistema al detectar un fallo o mal funcionamiento.
Por lo general, de esta forma se pueden detectar software ya identificado o no, pero es una medida que se usa después de la infección.
Detección de virus por caja de arena:
Se ejecuta el software en máquinas virtuales y determina si el software ejecuta instrucciones maliciosas o no.
Este mecanismo es seguro, lleva mucho tiempo ejecutar las pruebas antes de ejecutar el software en la máquina real.
Detección de virus por inteligencia artificial:
Se usan de tecnologías de inteligencia artificial para detectar comportamiento malicioso.
Los antivirus se ejecutan en el sistema analizado, utiliza la red para actualizar sus datos y software.
Los antivirus en la nube delegan la mayor parte del procesamiento del antivirus en la nube.
Puede ser interesante: