Como funcionam os antivírus
O artigo abaixo foi atualizado em 2019 com informações adicionais a atualizadas deste vídeo publicado em 2017:
Nesse artigo eu abordo em detalhes como funcionam os antivírus, mostrando as várias técnicas que eles utilizam para detectar malwares: assinatura, heurística, HIPS, proteção na nuvem e Inteligência Artificial.
A heurística analisa as características do programa e procura por padrões internos que possam indicar que o programa é um malware. Cada vez que um padrão é encontrado, é atribuída uma pontuação para ele, e se na soma total essa pontuação for superior a um determinado valor, o antivírus considera esse programa sendo um malware desconhecido.
Tanto o método de assinatura quanto de heurística permitem analisar o programa sem que esse programa seja executado pelo usuário.
O melhor exemplo disso acontece quando você baixa um arquivo para o seu computador, e assim que ele é baixado o seu antivírus já te avisa que ele é um malware e apaga ele.
Isso acontece pois o módulo de assinatura ou de heurística já detectaram pelo código do programa que ele é um malware, sem necessidade de executar o programa pra comprovar isso.
Só que às vezes você baixa um programa e o antivírus não fala nada, e assim que esse programa é executado, daí sim o antivírus bloqueia ele falando que é um malware.
Por que isso acontece?
Isso acontece porque quando o programa é aprovado pela verificação da assinatura e da heurística, assim que esse programa for executado pelo usuário, entra em ação o módulo de comportamento do antivírus, que também é conhecido por HIPS (Host Intrusion Prevention System ou Sistema de Prevenção de Intrusão).
Com esse módulo o antivírus monitora o que um programa está fazendo ou o que ele vai fazer em seguida, e se esse programa apresentar um comportamento suspeito, o antivírus bloqueia ele informando que ele é malicioso.
Exemplo simples: se você executa um programa e o antivírus detecta que ele está começando a criptografar os arquivos da pasta Documentos e a próxima instrução do programa (instrução essa que já está carregada na memória RAM) é para ele apagar os arquivos originais, isso indica o comportamento de um ransomware, e nesse caso o antivírus bloqueia a execução desse programa.
O mesmo acontece quando um programa é executado e o antivírus detecta que esse programa está injetando código adicional em outros programas, quando o programa altera o arquivo HOSTS, quando ele instala um driver que monitora o teclado (indicando ser um keylogger), etc.
Como funcionam os antivírus: além dessas três proteções, os antivírus também utilizam proteção na nuvem e mais recentemente inteligência artificial, que são abordados nas próximas páginas.