Ne, skenování na viry pouze v době vytvoření není bezpečné z několika důvodů:

1. Heuristika antiviru a signatury se neustále aktualizují, takže něco může chybět při vytvoření, ale byl by chycen v době spuštění.

2. Antivirový systém se nemusí načíst, když je soubor vytvořen:

   • Možná A / V byl dočasně deaktivováno z nějakého důvodu
   • Možná se jedná o vyměnitelnou jednotku a soubor byl vytvořen jinde
   • Možná byl systém zaveden do jiného operačního systému
3. Zahrnuje „čas vytvoření“ úpravy?
4. A co kód spuštěný in-line, který se nikdy nevytvoří jako soubor?

Existuje také více komplikované scénáře. Například: Získáte šifrované užitečné zatížení (obsahující virus). A / V to nemůže detekovat, protože to nemůže dešifrovat. Mnohem později dorazí druhý soubor. Tento soubor není technicky nebezpečný, ale dešifruje první soubor, který se poté spustí a infikuje váš systém. Jedná se o stále běžnější trik, jak se vyhnout detekci jak v tradičních A / V, tak v malwarových karanténách, jako je FireEye.

Systém, který hašuje soubory a kontroluje tyto hashe oproti aktuální službě reputace souborů, která by musela skenovat pouze neznámé hashe. Dokážou to cloudové sandboxové systémy, jako je Cisco AMP.

Při čtení byste stále museli skenovat, kdykoli je nedůvěryhodný zdroj - vyměnitelné úložiště, síťové jednotky atd.

Pokud v zásadě skenujete soubory vždy při vytváření / úpravách, bylo by bezpečné číst místní soubory bez skenování. Nevím však o žádném softwaru pro stolní počítače, který by měl takové chování. Bylo by to vylepšení výkonu, ne kvůli bezpečnosti, protože máte (víceméně) stejná slepá místa v obou směrech.

Ve skutečnosti jsem toto chování viděl ve skutečných systémech: některé souborové servery dělají AV skenování pouze při zápisu. V takovém případě by skenování nemělo chránit server, ale spíše chránit klienty, kteří přistupují ke sdíleným složkám, v případě, že jejich AV na ploše něco chybí. Výkonové výhody zde mohou být značné, takže se to zdá být docela chytrý krok.

Ano, to by bylo velmi bezpečné. Stále nechá projít nějaké špatné věci, protože je stále založeno na podpisu, ale větší obavou je, že by to srazilo jakýkoli systém na kolena.

Pro svou práci analyzuji forenzní řešení pro infikované počítače a jsem v MFT a USN Journal a LOT . Soubory a mutexy se vytvářejí, mění a odstraňují neustále ze všech částí operačního systému. Spouštět každý jednotlivý objekt prostřednictvím AV enginu každou mikrosekundu každého dne je hrozný nápad.

Tento přístup by mohl nějakým způsobem otevřít další vektor útoku. Pokud můžete spustit škodlivý kód, aniž byste byli nejprve na disku, spusťte jej z vyměnitelného média (kde infikovaný kód již existuje, a proto by nebyl zkontrolován), nebo spusťte zjevně škodlivý soubor. K šíření viru by stačilo vytvořit prázdný soubor a poté jej aktualizovat škodlivým kódem, který umožní budoucí spuštění (spuštění při spuštění, spuštění na žádost uživatele, spuštění při události jako spuštění atd.).

Virus by se pravděpodobně začal šířit ve dvou fázích. Nejprve jako zjevně dobrý soubor (1. druh přepravovaného hostitele), se škodlivým kódem skrytým šifrováním / cokoli jiného). Virus by pak vytvořil soubor a po aktualizaci škodlivým kódem (2. Kopírování virů).

Tento přístup / technika při AV skenování selže v případě méně infikovaných souborů, hrozeb založených na chování, infektorů souborů, únosců a zadních vrátek atd.

A ve skutečnosti je důležitý podpis založený na detekce hrozeb je stále nižší díky sofistikovaným technologiím podílejícím se na tvorbě, analýze, detekci hrozeb a také časové prodlevě mezi detekcí hrozeb a doručením podpisu.

Přestože skenování souborů při vytváření vylepšuje další techniky detekce , to má velmi nízkou úspěšnost jako samostatná technika.