Quota:
Inviato da filipsnew
"da poco sto leggendo cose inerenti a questa materia e ho appreso dell esistenza della tecnica del tunneling che sfrutta gli interrupt del processore..."
---
"...- un virus caricato in memoria per un'azione piu' o meno accidentale da parte dell'utente, nel momento in cui cominciasse autonomamente ad avviare l'esecuzione del proprio codice maligno, potrebbe essere intercettato dal sistema tramite riconoscimento del processo del virus come qualcosa di estraneo all archivio di cui sopra e quindi fermato sul nascere, senza che nessuna istruzione venga eseguita"
---
"se e' l utente a installarlo, magari anche solo per distrazione oppure perche' il virus annidato in un programma in apparenza sicuro ?"
|
Hai citato il tunneling e l'hooking della interrupt chain: bravo, molto interessante.
Devi considerare, però, che un virus deve poter far accesso senza restrizioni imposte alle funzionalità più invasive messe a disposizione dall'interfaccia del S.O. (che sono poi le stesse utilizzate in fase d'installazione e configurazione del S.O. al primo avvio) e che questa "pericolosità" è mitigata dal fatto che all'utente è data possibilità di fruire del S.O. in condizioni restrittive più ampie, con possibilità di infezione limitata o assente.
Molto dipende dallo stato di salute del S.O. al momento dell'installazione dell'antimalware, il quale deve essere eseguito con privilegi elevati e che spesso aggiunge drivers di sistema appositamente prediposti per tenere traccia dei tentativi di accesso non consentiti da parte di qualunque applicativo, indipendentemente dal suo comportamento ritenuto virulento o meno a carico dell'utente.
Non è, quindi, impensabile che la tecnica utilizzata per indurre l'utente ad elevare i privilegi faccia perno sull'inganno e che questo vettore affligga quelli meno smaliziati ed attenti.