Антивирусная программа — программа специализированная для проверки файлов находящихся в системе или только попавших на устройство на предмет вредоносного воздействия.

Я буду рассказал основываясь не на том, что пишут в интернете сами разработчики, а основываясь на реальных фактах работы с ними. Объясню почему использовать подобные средства защиты не только бесполезно и не безопасно.

Я поделю проверку загруженного файла на несколько пунктов.

[1] Scantime — первая и начальная проверка файла на предмет угроз, проверка происходит на основе сверки с файлами уже ранее попавшими и категоризированными как вредоносные в базу антивирусной программы.

Частое решение для начинающих вирусописателей, это использовать сторонний файл загрузчик, ведь таким образом он позволит загрузить файл без последствий на устройство «жертвы». От части да, но только если вы не изучали тему немного подробнее и не знаете про пункт 2.

[2] Runtime — если программа прошла проверку на первый этап, наступает проверка файла на непосредственную угрозу, программа изучает файлы над которыми проводятся операции. Файл hosts? +90% к угрозе. Записи в реестр? +50% к угрозе. Компиляция на устройстве которое уже использовалось для создании вредоносных программ? +100% к угрозе. Этих факторов очень много, самые безумные идеи могут не вызвать срабатывания антивируса, например переименовывать файл cookie перед отправкой на сервер.

Проверка входящего и исходящего трафика
Если были открыты например через UPNP, NAT-PMP, позволяющие получить последующий доступ к системе, скорее всего это вирус.

Проверка на поддельную цифровую лицензию
Раньше пользовались спросом программы подделывающие цифровые сертификаты, спрос на них упал после добавления в браузеры оповещение о подделке. Ведь сертификат это огромный бонус и авторитет для антивируса при сканировании файла.

Проверка на майнеры
Увеличилось потребление ресурсов компьютера без GUI? Ответ практически очевиден.

Ну вот и все, возможно про многое забыл сказать, а может про многое и не знаю. Предлагайте дополнения в нашем телеграм канале @infosec_team

И помните, что создание и распространение вредоносного ПО — 273 УК РФ.