Una mirada en profundidad a la tecnología de escáner Emsisoft

Nuestro equipo de desarrolladores aquí en Emsisoft trabaja duro para entregar grandes mejoras en el ámbito de la velocidad de escaneo y optimización. Es posible que sepas cómo utilizar nuestros escáneres , pero ¿sabes cómo funciona nuestra tecnología de escáner? Vamos a levantar el capó para aprender sobre la tecnología subyacente que impulsa todos los productos de Emsisoft.

1. Dos motores de exploración son mejores que uno

Parte de lo que da a nuestro escáner su poder de detección avanzado es su motor dual. Estamos comprometidos a proporcionar la mejor tecnología de escáner posible, por eso hemos construido nuestro software para ser lo suficientemente flexible como para intercambiar motores de terceros según sea necesario.

Usted puede recordar que cambiamos nuestro motor de Ikarus a Bitdefender en 2012. Un emparejamiento de gran alcance entre nuestros progresos tecnológicos y un ojo afilado en el futuro de los progresos de vanguardia del antivirus nos mantiene delante de la curva.

Detección avanzada basada en firmas

El motor que hemos construido complementa el segundo motor Bitdefender, y se combinan sin problemas para maximizar la eficiencia.

Una de las formas en que detectamos programas no deseados es mediante la detección basada en firmas. Lo que esto significa es que buscamos programas para sus firmas únicas, que son como huellas dactilares, y escanear su computadora para detectar estas amenazas.

Aquí en Emsisoft, la mayor parte de nuestro tiempo de laboratorio se dedica a crear firmas de detección para PUP (programas potencialmente no deseados) y al código personalizado de eliminación de malware para infecciones específicas. Hicimos algunos números a principios de este año y descubrimos que más del 74% de los PUPs detectados totales son detectados por nuestro componente interno del motor de exploración construido.

Maximizar el rendimiento con un escáner de motor dual

Tener dos motores significa que estamos mejor equipados para proporcionar nuevas firmas para las amenazas lo más rápido posible - tan rápidamente, que a menudo los tiempos los dos vendedores tienen firmas hechas para la misma amenaza dentro de la hora!

 

Dos motores son más eficientes que uno

Si le preocupa el uso creciente de la memoria, no tema. Tenemos estas firmas duplicadas limpiadas a intervalos regulares para mantener el uso de memoria bajo. El 90% de las firmas creadas por el motor de Emsisoft son duplicados y no se usan en la detección de malware.

Y tampoco tiene que preocuparse por el tiempo perdido: los archivos de su disco duro sólo se leen una vez y luego son escaneados por ambos motores. Esto garantiza que no haya pérdida significativa de tiempo de exploración, aunque utilizamos dos motores. ¡No es casualidad que nuestro escáner de motor dual funcione más rápido que muchas marcas grandes con sólo un motor disponible!

Entonces, ¿cómo se traduce la información a su propio uso práctico?

Simple: todas las detecciones con un postfix (A) son de nuestro propio motor y aquellas con (B) son de Bitdefender.

En pocas palabras: Creemos que dos motores son mejores que uno, y utilizamos nuestra propia tecnología para detectar amenazas a su computadora que de lo contrario podrían perderse. Pero no vamos a comprometer la eficiencia en este proceso - Emsisoft trabaja para mantener su memoria limpia y despejada, y para detectar amenazas a velocidades óptimas.

2. Métodos de exploración disponibles

Aquí hay un rápido resumen de los métodos de escaneo disponibles en Emsisoft Emergency Kit, así como Emsisoft Anti-malware:

 

 

Tres tipos de exploración diferentes

Análisis rápido

La exploración rápida rápidamente le ofrece una visión general de cualquier infección activa en su computadora. Lo hace mediante la exploración de todos los programas en ejecución y sus módulos. La exploración rápida también completa algo llamado "rastreo de rastreo". Las huellas son archivos conocidos y rutas de registro de la infección de malware. En términos más simples, es una exploración antivirus que busca un rastro dejado por el malware para localizarlo.

Además, la exploración rápida comprueba los controladores instalados para los rootkits activos. Un rootkit es un tipo de software malicioso que oculta ciertos archivos o claves del registro de los métodos normales de detección para que siga teniendo acceso a su computadora. Discutiremos los rootkits y cómo funcionan más cuando revisamos las características de análisis personalizadas.

Recomendamos una exploración rápida para las exploraciones automatizadas / planificadas tras el arranque o en los inicios de sesión del usuario. Por lo general, se tarda unos treinta segundos en completarse, por lo que no tiene que preocuparse por interrumpir su día!

Malware Scan

La exploración de malware es similar a la exploración rápida, pero analiza archivos en todas las carpetas que se sabe que alojan infecciones activas de malware. Nuestro escáner identifica alrededor de un centenar de áreas comunes en las que el malware tiene gusto de golpear. Una ventaja aquí es que el malware es realmente predecible en donde elige instalar - pero no creo que el equipo Emsisoft es complaciente! Nuestro equipo de análisis está constantemente avanzando para detectar nuevas áreas comunes, y son capaces de actualizar el software en cuestión de minutos para mantener sus aplicaciones Emsisoft actualizadas.

Recomendamos una exploración de software malicioso como exploración predeterminada cuando sospecha que hay una infección activa en su sistema. La detección de malware no detecta archivos maliciosos inactivos, pero afortunadamente los archivos inactivos son amenazas no activas. Estos archivos simplemente se pueden eliminar con un trazo de una clave, como el documento de Word para una reunión de largo pasado o una foto de vacaciones poco halagüeño.

Análisis personalizado

Dado que el modo predeterminado de exploración personalizada está configurado para realizar una exploración completa y completa, use esta opción si desea realizar una búsqueda exhaustiva de malware y escanear todos los archivos de todas las unidades de su computadora. La exploración personalizada tarda una cantidad significativa de tiempo para completar, y no se recomienda para el uso frecuente o diario. Es el tipo de análisis que debe ejecutar un par de veces al año para estar absolutamente seguro de nada se esconde en su computadora.

3. Funciones avanzadas de escáner

Una de las grandes características de una exploración personalizada es que puede controlar la configuración de escaneado. Si observa el cuadro de diálogo de configuración de escaneo personalizado, verá todas sus opciones. Algunos de ellos están habilitados de forma predeterminada y otros no. El conocimiento es la clave para saber lo que necesita y lo que no, pero tenemos las mejores opciones seleccionadas para el usuario cotidiano. Vamos a detallar las opciones a continuación para que pueda familiarizarse con lo que puede o no ser apropiado para sus necesidades de escaneo.

 

Funciones avanzadas del escáner

Escaneo de virus del tipo rootkit

Un análisis de archivos normal utiliza las API de Windows (Application Program Interface) para leer archivos. Piense en una API como la base para la construcción de aplicaciones de software, que está construido de rutinas y protocolos.

Desafortunadamente, aunque el uso de una API de Windows puede ser óptimo para la velocidad y el rendimiento en ciertos aspectos, estas API pueden ser manipuladas por rootkits.

¿Qué son los rootkits?

Los rootkits son como soldados en camuflaje. Se mezclan en los sistemas a través de un número de diferentes medios, y una forma muy común de hacer esto es mediante la modificación de listas y tablas que le dicen a un sistema donde encontrar el código (esto se llama "enganchar").

Cuando el software antivirus accede a esta lista de archivos disponibles, el rootkit ha manipulado la lista para omitir un archivo: un archivo de malware. Una vez que un archivo se hace invisible como esto, es difícil para su escáner de malware para encontrar.

Para encontrar rootkits ocultos, nuestro escáner utiliza su propio código de analizador de sistema de archivos NTFS al buscar rootkits. Este código no se basa en las API comunes de Windows, lo que nos da una ventaja sobre rootkits furtivos.

Si el rootkit tiene camuflaje, el escáner Emsisoft tiene super visión!

Limpieza de rootkits

Limpieza rootkits correctamente es muy complicado. A veces los rootkits pueden incluso ocultarse dentro de ciertas regiones del disco duro de su computadora, como el sector de arranque. Simplemente eliminar estos archivos maliciosos a menudo resulta en un equipo que no arranca.

Nuestros especialistas ayudan a muchas víctimas de intentos descuidados de limpieza por otros productos anti-malware, por lo que sabemos de primera mano lo importante que es usar una fuente confiable.

Los rootkits generalmente requieren limpieza manual. Nuestro escáner le indicará que consulte a nuestros expertos en eliminación de malware para limpiar los rootkits. Ellos analizarán e identificarán el tipo de rootkit que afectan su sistema, y ​​le proporcionarán instrucciones detalladas paso a paso para eliminarlo sin arriesgar la estabilidad de su sistema informático.

Es posible que se pregunte por qué todas las exploraciones no dependen de nuestro propio escáner: esto se debe a que leer directamente desde el sistema de archivos (acceso directo al disco) suele ser muy difícil y típicamente mucho más lento que usar las API de Windows. Si fuera diferente, tenga la seguridad de que usaríamos nuestro propio sistema de archivos NTFS para todas las exploraciones.

Traces Scan

Un rastreo de rastreo (un rastreo que busca las huellas que el malware deja atrás) puede ser uno de tres tipos:

- Rastreos de archivos : son rutas conocidas de archivos ejecutables en el disco duro que son utilizados exclusivamente por software malicioso. Se trata esencialmente de trazas que existen por sí solas en el disco duro, independientemente de las carpetas de cualquier otro programa.

Ejemplo: C: \ windows \ explore.exe (se puede mezclar con explorer.exe).

-Trazos de soporte: Estos son similares a los archivos de seguimiento, pero existen dentro de la carpeta de otras aplicaciones comunes, como una carpeta de configuración de Google Chrome.

Ejemplo: c: \ archivos de programa (x86) \ PUP Folder \.

-Recursos de registro : son entradas en la base de datos del registro del sistema que indican una infección de malware. Un rastreo de registro señala una infección dentro de la configuración real del equipo. Estas son las huellas más peligrosas, y el virus relacionado puede ralentizar significativamente la velocidad de su computadora.

Ejemplo: HKLM \ Software \ Windows \ CurrentVersion \ Run.

Es importante tener en cuenta que si se detecta un rastreo de malware, no significa necesariamente que existe una infección activa. Puede ser sobras de un intento previo de limpieza incompleta. Las infecciones de rastreo le dicen que sea consciente e investigue.

Generalmente cuando hay una infección activa, los rastros suelen encontrarse junto a los hallazgos de los archivos. Puede limpiarlos en cualquier momento.

Detección de PUPs

Por razones legales, no podemos llamar a todos los programas no deseados "malware" en nuestras interfaces de usuario. El término PUP fue inventado por la industria de antivirus hace varios años, que significa Programa Potencialmente Indebido. Generalmente, los PUPs existen para obtener a sus creadores un poco de dinero extra mediante la visualización de anuncios, el cambio de su proveedor de motores de búsqueda predeterminado, o mediante la recopilación de datos privados para vender a los anunciantes.

 

Detección de Programas Potencialmente No Deseados (PUPs)

La detección de PUP debe estar habilitada en la primera instalación de nuestro software. En Emsisoft Anti-Malware y Emsisoft Internet Security se puede activar después en el cuadro de diálogo Configuración de Guardia de archivos.

Escanear archivos comprimidos

Los archivos comprimidos son archivos que contienen un número de otros archivos y reducen su tamaño.Algunos ejemplos comunes son ZIP, RAR o 7Z, pero hay cientos de otros archivos comprimidos menos conocidos. Incluso un programa como EXE puede ser un archivo autoextraíble, lo que significa que contiene otros archivos (generalmente esto es para una transferencia de datos más eficiente).

Un archivo de malware que está envuelto dentro de un archivo de archivo no puede iniciar directamente desde dentro de un archivo comprimido, ya que necesita ser desempaquetado primero. Debido a esto, los archivos no suelen considerarse peligrosos por sí solos. Como resultado, muchos escáneres excluyen los archivos de escaneo o limitan la exploración de archivos a tamaños de archivo de aproximadamente 200 MB.

Desembalar archivos es increíblemente lento y requiere muchos recursos del sistema. Puede desactivar la función de análisis de archivos si ya entiende lo que está sucediendo dentro de sus propios archivos y sabe que no existe la posibilidad de infección.

Escanear en flujos de datos alternativos NTFS

En 1993, con la introducción del sistema de archivos NTFS (New Technology File System) como sistema de archivos por defecto de Windows NT (predecesor de 2000, XP, 7, 8, etc.), se introdujo una nueva característica denominada Alternate Data Streams. Los archivos eran ahora capaces de almacenar metadatos en capas ocultas.

Lamentablemente, estos flujos también se pueden utilizar para almacenar otros tipos de datos nocivos, como programas de malware completo - y todo dentro de un archivo de texto de 0 bytes.

Avance rápido hasta hoy, y una extensión de archivo de aspecto inofensivo puede contener código peligroso que se puede iniciar automáticamente a través de claves de registro de autorun.

Cuando se habilita la opción de escaneo de flujos de datos alternativos de NTFS, el escáner busca todas las capas de datos en busca de amenazas ocultas.

Uso del filtro de extensión de archivo

Con el filtro de extensión de archivos, puede limitar el número de archivos escaneados según su tipo de archivo. Muchos tipos de archivos no se pueden utilizar para alojar código peligroso, por lo que muchas personas podrían pensar inicialmente que es una pérdida de tiempo analizar ciertos archivos.

Por ejemplo, todos los archivos de Windows ejecutables comienzan con la secuencia de bytes "MZ" que le dice al sistema operativo que el archivo puede ser ejecutado por el ordenador. Comprobar estas secuencias de bytes (o "bytes mágicos") es un método confiable, y casi tan rápido como simplemente comprobar la extensión de archivo en sí.

Pero es importante tener en cuenta: hay una razón importante por la que esta función está realmente deshabilitada en la configuración predeterminada. Esto se debe a que el escáner no sólo mira el tipo de extensión de archivo por nombre, sino que busca los marcadores de tipo de archivo específicos dentro del archivo. Las extensiones de archivo se pueden cambiar fácilmente para engañar a un escáner, pero el contenido no se puede.

Modo de acceso directo al disco

Como se mencionó anteriormente, el escáner es capaz de buscar archivos que están ocultos por los rootkits activos mediante la utilización de nuestro propio analizador de sistema de archivos NTFS en lugar de las API de Windows. El modo de acceso directo al disco permite al escáner Emsisoft evitar las comprobaciones de seguridad e ir directamente a una ubicación de archivo para encontrar el malware protegido.

La desventaja de este método es lo inmensamente lento que puede ser. Por lo tanto, sólo se debe utilizar para carpetas específicas que pueden contener rootkits. No hay mucho que ganar al utilizar esta función para analizar todo el disco, por eso esta opción está desactivada de forma predeterminada. El análisis de rootkit siempre utiliza la función de modo de acceso directo al disco, así que asegúrese de que está configurado automáticamente para ser utilizado cuando sea necesario.

Configuración de rendimiento

Cuando vea el área de escaneado del software, verá una pequeña opción "Configuración de rendimiento" debajo de los 3 métodos principales de escaneado. Si hace clic en él, abre un pequeño menú emergente con funciones avanzadas para ajustar la velocidad del escáner:

 

Configuración de rendimiento

- Procesadores

De forma predeterminada, todos los procesadores disponibles de la CPU se utilizan para la digitalización.Tenga en cuenta que las CPU cuádruples se muestran normalmente como 8 procesadores virtuales. Es posible que desee desactivar uno o dos de ellos si está planeando una exploración de larga duración y necesita ejecutar un programa de consumo de recursos pesados ​​al mismo tiempo.

- Número de amenazas

Los hilos se pueden visualizar como tareas de ejecución que se ejecutan en paralelo. Imagine los hilos como caminos que la información toma para llegar al núcleo.

Si el escáner debía ser de un solo hilo (un límite de hilo), se leería un archivo desde el disco, luego se escaneaba y luego se leía y analizaba el siguiente archivo, etc. Mediante la tecnología multi-threading, cada procesador virtual puede escanear un archivo al mismo tiempo sin interrumpir a los demás.

Por defecto, el número de subprocesos es el número de procesadores disponibles + 1. La razón de esto es que un hilo con bajos requisitos de CPU se utiliza para leer los datos desde el disco duro (ya que la lectura paralela normalmente no es una opción) Y luego los archivos se distribuyen a través de todos los procesadores para el escaneo simultáneo. Esta es la parte más pesada para una CPU.

- Prioridad del hilo de exploración

De forma predeterminada, Windows define qué programas obtienen qué porcentaje de los recursos de hardware disponibles totales (tiempo de CPU). Sin embargo, puede definir una prioridad superior o inferior para el escáner Emsisoft. Utilice un valor superior al estándar para asegurarse de que las exploraciones se terminen en el menor tiempo (incluso si se están ejecutando otros programas). Utilice un valor inferior al estándar si su trabajo se basa en otros programas que requieren mayor prioridad. Esto es mejor si no te importa cuánto dura la exploración, siempre y cuando no interfiera con tu trabajo.

- Utilizar almacenamiento en caché avanzado

Caché significa que los archivos que han demostrado ser seguros no son escaneados una y otra vez. Por ejemplo, si un archivo ha estado en su computadora por un tiempo muy largo y ya ha escaneado muchas veces sin ninguna conclusión, es muy poco probable que sea malicioso. Una lógica inteligente calcula la probabilidad de que un archivo sea seguro y, a continuación, lo salte para una exploración posterior.

4. Funciones de productividad

Exploración del menú contextual en el Explorador (No disponible en el kit de emergencia de Emsisoft)

La web está repleta de troyanos y spamware, esperando para entrar en su sistema. Pero un escaneo de menú contextual puede actuar como un gran método preventivo para contraer virus en primer lugar.

Emsisoft Anti-Malware y Emsisoft Internet Security vienen con una integración útil de Windows Explorer que le puede ahorrar mucho tiempo si está realizando análisis frecuentes. Simplemente haga clic derecho en cualquier archivo o carpeta en el Explorador y seleccione la opción "Escanear con Emsisoft" en el menú contextual para iniciar su exploración personalizada.

Escáner de línea de comandos

Un escáner de línea de comandos es el mejor para los profesionales que no necesitan una interfaz gráfica de usuario para realizar sus escaneos. Si no está seguro de lo que esto significa, no se preocupe! Este no es un programa que usted necesitará.

El Emsisoft Commandline Scanner es una completa interfaz de línea de comandos que incluye todas las características del escáner basado en Windows. Se utiliza principalmente para las exploraciones automatizadas, iniciadas por otros programas o secuencias de comandos que requieren un valor de retorno para el procesamiento posterior.

5. Limpieza de las infecciones

Detectar una amenaza activa es sólo una parte del viaje a una computadora limpia. La limpieza es en realidad un proceso más difícil que encontrar PUP, porque el malware trabaja duro para evitar la extracción. Aquí hay un par de mecanismos de prevención de limpieza que el malware usa para alojarse en su computadora:

- Bloquear el archivo

Algunos malware es capaz de bloquear un archivo. Si un archivo está bloqueado, no se puede eliminar. Las cerraduras se pueden lograr asegurando que un programa esté siempre funcionando.

Guardias

Este es un método de infección en el que el malware viene en un par de dos programas. Si mata a un programa, el otro se dará cuenta y volverá a iniciar inmediatamente. Si mata al segundo, el primero se reinicia, y así sucesivamente.

Ocultamiento

Como se mencionó anteriormente, los rootkits manipulan las API del sistema para que permanezcan ocultas.Si un archivo no se puede ver que no se puede quitar, ahora puede?

Autorun como componente del sistema

Algunas amenazas se cargan en programas que su sistema operativo se ejecuta automáticamente (se ejecuta automáticamente) al iniciar el equipo. Si intentas matarlos, obtendrás la temida pantalla azul, y todo se detendrá. Si quita la entrada de autorun, el malware se recupera instantáneamente.

Cómo Emsisoft limpia las infecciones

Para hacer frente a estos trucos de malware, hemos desarrollado nuestro propio motor de limpieza sofisticado. Limpia alrededor de 100 ubicaciones en el registro y el sistema de archivos que puede ser abusado para cargar automáticamente el malware en el inicio del sistema.

Si un archivo está bloqueado, nuestro motor de limpieza programa la eliminación del malware en cuestión para el próximo arranque del sistema a través de un método que deshabilita el malware de bloquear la eliminación de nuevo. Además, nuestro motor restaura los valores predeterminados de varias ubicaciones autorun que harían que el sistema no se pueda utilizar cuando acaba de eliminar las entradas de software malicioso. Durante la eliminación, se guarda una copia de cuarentena de cada amenaza para su posterior análisis o restauración (a menos que seleccione la opción "eliminar" en lugar de "cuarentena").

Entonces, ¿qué significa cuando un archivo está en "cuarentena"? Esto significa que un archivo se envuelve en un archivo de contenedor seguro encriptado donde no puede dañar a otros archivos y aplicaciones de su sistema. Siempre recomendamos el uso de la función de cuarentena, ya que hay una pequeña posibilidad de que el archivo que se detectó es inofensivo (un falso positivo), o que el archivo podría ser necesario para la investigación adicional o forense. Usted puede eliminar los archivos de cuarentena después de un par de semanas si resulta que el archivo es de hecho inofensivo.

Exploración y limpieza de archivos en los recursos compartidos de red

Aunque es posible escanear archivos en los recursos compartidos de red que se encuentran en otras máquinas, no lo recomendamos en absoluto. Podría ahorrarle un poco de tiempo para caminar hacia él, o conectar a distancia a una máquina de destino, pero tenga en cuenta que escanear archivos remotos tiene algunas limitaciones graves por diseño:

  • Las exploraciones de memoria, rootkit y rastreo no son posibles, ya que requieren API del sistema operativo que sólo se puede acceder localmente. Usted está limitado a escanear archivos a través de procedimientos estándar de lectura de archivos, lo que significa que no hay acceso directo al disco disponible.
  • La limpieza no es posible en absoluto, ya que la eliminación de un archivo de malware activo detectado sin eliminar las entradas de ejecución automática que le acompañan podría bloquear el equipo y dejarlo en un estado que no arranca.