Антивирусы могут распознавать в DLL-файлах угрозы?

Question

[Sanikyer]

Здравствуйте!
Если DLL-файл просканировать антивирусом без экзешника, который этот файл использует, то антивирус сможет распознать в нем угрозу?

Answer 1

[Владимир Дубровин]

Возможно, ты путаешь анализ файла и анализ процесса.
DLL и EXE имеют одинаковый формат (PE executable), поэтому на уровне анализа файла DLL практически ничем не отличается от анализа EXE. Ищутся известные сигнатуры - хеши, последовательности байт или поведенческие, например определенная последовательность или сочетание инструкций или системных вызовов. Декомпиляция нужна только для ручного анализа. Сможет или не сможет антивирус распознать угрозу зависит от того, будет ли нужная сигнатура или эвристика в базах. Для анализа поведения на уровне файла может применяться что-то типа псевдо-выполнения кода, но это не то же самое, что анализ процесса, при котором в реальном времени перехватываются и анализируются системные вызовы, в частности к каким файлам и какое обращение идет.

Comments

[Sanikyer]

Благодарю за развернутый ответ.

[Sanikyer]

Забыл задать главный вопрос. Не могли бы вы и на него ответить?
Допустим, есть игра, она имеет полный доступ к сети. Потом установили модификации на эту игру в виде нескольких файлов DLL. Если эти файлы имеют в себе инструкции через интернет загрузить ПО, то этому не помешать, коли антивирус будет думать, что все это делается через лицензионную игру (все цифровые подписи + разрешения в брандмауэре имеются)?
Пример

[Владимир Дубровин]

Это опять путаница между контролем файлов и контролем процессов. При подмене DLL на диске и затем при запуске приложения антивирус будет проверять файл DLL, потому что к нему будет обращение. Если вредоноса в нем не обнаружено, то игра запустится, но антивирус будет контролировать активность процесса. Если процесс начнет выполнять действия характерные для мелвари - антивирус может быть сумеет эти действия обнаружить и блокировать, ему не важно каким именно образом мелварь попала внутрь процесса. Если процесс загрузит файл (т.е. создаст новый файл на диске), этот файл опять же будет проверяться как файл. Если и в нем не обнаружено мелвари, то его можно будет запустить и антивирус будет контролировать активность процесса и обнаруживать характерную для мелвари активность процесса. В целом, антивирус обычно ничего не знает о цифровых подписях и лицензионности игры, он ищет известные ему вредоносы, Или антивирус умеет детектить этот вредонос или не умеет (если он новый и не похож на другие по повеению). В случае подмены или заражения файла совершенно все равно что именно заразили - EXE или DLL.

Подмена DLL может обойти инструменты/политики Windows (иногда используемые в корпоративных сетях) для ограничения запуска приложений, при которых контролируется путь и подпись исполняемого файла, антивирусу на нее в общем-то наплевать. Вряд ли эти инструменты используются на тех компьютерах, на которых игры установлены.

Answer 2

[Рональд Макдональд]

Да, сможет.

Comments

[Sanikyer]

Благодарю за ответ.
Не могли бы вы вкратце рассказать, как это происходит?
Как я понимаю, происходит декомпиляция и антивирус анализирует, какие файлы затрагивает или к каким файлам получает доступ библиотека и на основании этого делает выводы?
Если кое-какие термины использую не к месту, не судите строго, просто я не программист.

[Рональд Макдональд]

Sanikyer, честно говоря, не в курсе насчёт декомпиляции, антивирусы обычно проверяют по сигнатуре.