martes, 22 de abril de 2014

COMPROBACIÓN DE INTEGRIDAD

Como ya habíamos anticipado los comprobadores de integridad verifican que algunos sectores sensibles del sistema no sean alterados sin el consentimiento del usuario. Estas comprobaciones pueden aplicarse tanto a archivos como al sector de arranque de las unidades de almacenamiento.
Para poder realizar las comprobaciones el antivirus, primero, debe tener una imagen del contenido de la unidad de almacenamiento desinfectada con la cual poder hacer después las comparaciones. Se crea entonces un registro con las características de los archivos, como puede ser su nombre, tamaño, fecha de creación o modificación y, lo más importante para el caso, el checksum, que es aplicar un algoritmo al código del archivo para obtener un valor que será único según su contenido (algo muy similar a lo que hace la función hash en los mensajes). Si un virus inyectara parte de su código en el archivo la nueva comprobación del checksum sería distinta a la que se guardó en el registro y el antivirus alertaría de la modificación. En el caso del sector de booteo el registro puede ser algo diferente. Como existe un MBR por unidad física y un BR por cada unidad lógica, algunos antivirus pueden guardarse directamente una copia de cada uno de ellos en un archivo y luego compararlos contra los que se encuentran en las posiciones originales.
Una vez que el antivirus conforma un registro de cada uno de los archivos en la unidad podrá realizar las comprobaciones de integridad. Cuando el comprobador es puesto en funcionamiento cada uno de los archivos serán escaneados. Nuevamente se aplica la función checksum y se obtiene un valor que es comparado contra el que se guardó en el registro. Si ambos valores son iguales, el archivo no sufrió modificaciones durante el período comprendido entre el registro de cheksum antiguo y la comprobación reciente. Por el otro lado, si los valores checksum no concuerdan significa que el archivo fue alterado y en ciertos casos el antivirus pregunta al usuario si quiere restaurar las modificaciones. Lo más indicado en estos casos sería que un usuario con conocimientos sobre su sistema avale que se trata realmente de una modificación no autorizada –y por lo tanto atribuible a un virus-, elimine el archivo y lo restaure desde la copia de respaldo.

Publicadas por a la/s

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)