Ministero dell'Istruzione, dell'Università e della Ricerca
Formazione degli insegnanti sulle Tecnologie dell'Informazione e della Comunicazione
For TIC
Percorso C
Modulo 1
Infrastrutture informatiche all'interno di un istituto scolastico
Approfondimento: Virus e antivirus
Rilevamento

Le attività di rilevamento effettuate dagli antivirus hanno lo scopo di verificare se il computer è o no affetto da un virus e, se sì, da quale.

L'antivirus cerca il virus, verificando la presenza sulla macchina dell' impronta virale , che identifica il virus univocamente e che consente dunque di decidere quali politiche di rimozione applicare. L'antivirus deve essere aggiornato continuamente in modo da avere un insieme di impronte da ricercare il più completo possibile.

L'attività di rilevamento viene fatta con diverse tecniche:

  • scanning, ovvero ricerca dell'impronta virale all'interno della memoria, centrale e di massa. Tipicamente l'antivirus verifica spesso la memoria centrale e solo su richiesta i dischi. Lo scanning può utilizzare anche tecniche euristiche per individuare virus la cui impronta non sia ancora censita nell'insieme delle sequenze da cercare;
  • monitoraggio delle attività pericolose o sospette, come per esempio la scrittura in alcune directory o di alcuni tipi di file;
  • detection, ovvero meccanismi di verifica dell'integrità dei dati che calcolano periodicamente il checksum dei file critici e rilevano così eventuali modifiche indesiderate.

I meccanismi euristici inseriti nelle versioni più efficaci degli antivirus possono scambiare per impronte virali sequenze di byte del tutto innocue, evidenziando dunque un falso positivo ovvero un caso in cui una porzione di codice o di dati qualunque viene scambiata per virus. Tutte le rilevazioni di potenziali nuovi virus vengono solitamente comunicate dal software antivirus al suo produttore che risponde entro breve all'utente, sia in caso di falso positivo che in caso di nuovo virus appena identificato.

Indice