Approfondiamo la tecnologia di scansione Emsisoft

140527_eek_icon_256x256Il nostro team di sviluppatori qui ad Emsisoft lavora sodo per rilasciare miglioramenti consistenti sul piano delle scansioni e dell’ottimizzazioni. Puoi scoprire come utilizzare i nostri scanner grazie ai nostri video tutorial, ma sai realmente come funziona la tecnologia dei nostri scanner? Facciamo un salto nel mondo nascosto della tecnologia utilizzata dai prodotti Emsisoft. 

  1. Due motori di scansione sono meglio di uno
  2. Metodi di scansione disponibili
  3. Impostazioni avanzate di scansione
  4. Impostazioni di produttività
  5. Rimozione delle infezioni

1. Due motori di scansione sono meglio di uno

La parte fondamentale delle ottime prestazioni di Emsisoft è il suo doppio motore di scansione. Abbiamo il compito di creare la miglior tecnologia di scansione possibile, ecco perchè abbiamo creato il nostro software flessibile abbastanza da utilizzare un motore di scansione di terze parti.

Potrai ricordare che abbiamo cambiato il nostro secondo motore di scansione Ikarus con Bitdefender nel 2012. Una combinazione vincente tra i nostri sviluppi tecnologici ed un occhio sul futuro degli sviluppi di antivirus sul mercato.

Rilevazioni basate su firme avanzate antivirali

Il motore che abbiamo creato completa il secondo motore di BitDefender, al fine di essere combinati per massimizzare l’efficienza.

Un metodo per rilevare i programmi potenzialmente indesiderati è quello di utilizzare firme antivirali per la rilevazione. Questo significa che cerchiamo programmi con firme uniche, che sono come le impronte digitali, al fine di scansionare il tuo computer per trovare riscontri di minacce.

Qui ad Emsisoft, il nostro laboratorio è impegnato nella ricerca costante di PUP (programmi potenzialmente indesiderati) ed è impegnato nella rimozione di infezioni specifiche. Abbiamo diagnosticato che nei primi mesi di quest’anno più del 74% dei PUP rilevati è stato bloccato dal nostro primo motore (Emsisoft).

Massimizziamo le performance con un doppio motore di scansione

Utilizzando due motori sarai più equipaggiato contro le nuove minacce – il prima possibile, così velocemente che entrambi i produttori antivirus inseriranno la stessa rilevazione nel proprio database, anche nella stessa ora! Con Emsisoft questo non accade.

Massimizziamo le performance con un doppio motore di scansione

Massimizziamo le performance con un doppio motore di scansione

Se sei preoccupato che ciò aumenti l’utilizzo di memoria, non temere. Abbiamo ideato un sistema per ripulire il database dalle doppie firme al fine di ridurre l’utilizzo di memoria. Il 90% delle firme create dal motore di Emsisoft sono duplicare e non utilizzate nella rilevazione di malware.

E non ti dovrai preoccupare nemmeno del tempo perso: i file sul tuo hard disk sono solo letti una volta e successivamente scansionati dai due motori. Questo assicura che non ci sia una perdita di tempo durante le scansioni, anche se utilizziamo due motori di scansione. Non è una coincidenza se il nostro doppio motore di scansione funziona più veloce di alcuni software concorrenti dotati di un solo motore!

Come vengono tradotte le informazioni?

Semplice: tutte le rilevazioni con la terminologia (A) appartengono al nostro motore e quelle con la (B) al motore di BitDefender.

In poche parole: Noi crediamo che due motori di scansione sono meglio di uno, e utilizziamo la nostra tecnologia al fine di rilevare tutte le minacce possibili. In questo processo non compromettiamo l’efficienza – Emsisoft lavora al fine di mantenere la tua memoria pulita al fine di rilevare le minacce al massimo della velocità. Guarda tu stesso qualche numero che spiega la vera potenza del secondo motore di scansione nei nostri prodotti in questo articolo.

2. Metodi di scansione disponibili

Qui puoi trovare una descrizione veloce dei metodi di scansione di Emsisoft Emergency Kit, come quelli di Emsisoft Anti-malware ed Emsisoft Internet Security:

Panoramica di scansione

Scansione veloce

La scansione veloce ti da un’ampia rilevazione sulle infezioni attive del tuo computer. Questo avviene tramite la scansione di tutti i programmi attivi e dei loro moduli. La scansione veloce esegue anche la cosiddetta “Scansione delle tracce”. Le tracce sono file o elementi di registro utilizzati dalle infezioni. In altre parole, è una scansione al fine di rilevare le tracce lasciate dai malware al fine di rintracciarli.

In aggiunta, la scansione veloce verifica i driver al fine di identificare rootkit attivi. Un rootkit è un tipo di software malevolo che nasconde certi file o chiavi di registro al fine di nascondersi dai tradizionali metodi di scansione. Discuteremo dei rootkit e del loro funzionamento quando parleremo delle impostazioni della scansione personalizzata.

Consigliamo di eseguire la scansione veloce in maniera automatica ad ogni avvio del sistema. Generalmente impiega circa trenta secondi per essere completata, perciò non ti dovrai preoccupare di interrompere il tuo lavoro quotidiano!

Scansione Malware

La scansione malware è molto simile alla scansione veloce, ma scansiona tutti i file e cartelle che solitamente vengono infettate da malware. Il nostro motore identifica centinaia di aree da controllare. Un punto a favore in questo settore è che è molto prevedibile dove si insidierà un malware – non credere che Emsisoft sia compiaciuto! Il nostro team di analisi è costantemente al lavoro al fine di scovare nuove aree comuni ed utilizzate al fine di aggiornare costantemente in meno di pochi minuti i prodotti Emsisoft.

Consigliamo di utilizzare la scansione malware come preferita al fine di rilevare e rimuovere le infezioni nel tuo sistema. La scansione malware non è in grado di rilevare i malware inattivi, ma fortunatamente i malware non attivi non sono una minaccia attiva.

Scansione Personalizzata

Fino a che la modalità default della scansione programmata non viene cambiata, essa è settata su scansione completa, al fine di scansionare tutti i dischi ed i file del tuo computer. La scansione personalizzata impiega molto tempo al fine di essere completata e non è consigliata per un utilizzo giornaliero. E’ un tipo di scansione che dovresti eseguire qualche volta all’anno per essere assolutamente sicuro che non ci sia nulla di nascosto sul tuo computer.

3. Ipostazioni avanzate di scansione

Una delle impostazioni della scansione personalizzata è quella che puoi modificare le impostazioni di scansione. Se dai un’occhiata alla finestra delle impostazioni noterai tutte le opzioni che si possono modificare. Alcune di esse sono abilitate di default, altre non lo sono. Essere informati è la chiave per sapere ciò che si ha e non si ha, ma abbiamo selezionato le migliori impostazioni per l’utente di tutti i giorni. Abbiamo aggiunto note di dettagli al fine di familiarizzare con il prodotto e comprendere ciò che significano certe impostazioni.

Scansione personalizzata

Scansione Rootkit

Una normale scansione dei file utilizza le API di Windows (Application Program Interface) per leggere i file. Pensa alle API come la parte fondamentale per creare un software, esse sono necessarie per routine e protocolli.

Sfortunatamente anche se l’utilizzo delle API di Windows ottimizza la velocità di scansione in certi casi, queste API possono essere manipolate dai rootkit.

Cosa sono i rootkits?

I rootkit sono potenti nel nascondersi. Si nascondono in diversi punti del sistema con diversi nome, un metodo comune per fare ciò è modificando liste e tabelle che indicano al sistema dove cercare codice (questa tecnica è chiamata “hooking”).

Quando un antivirus accede a questa lista di file disponibili, il rootkit ha manipolato la lista per saltare un file – un file malware. Una volta che viene effettuata questa procedura, al tuo scanner è difficile rilevare il malware.

Al fine di rilevare i rootkit nascosti, il nostro scanner utilizza il proprio NTFS codice per rootkit. Questo codice non si basa sulle API di Windows, perciò abbiamo un vantaggio sui rootkit invisibili.

Se il rootkit si nasconde, Emsisoft ha una super-vista per scovarlo!

Rimozione dei rootkits

La pulizia dei rootkit è veramente difficile. Alcune volte i rootkit possono nascondersi in certe zone del tuo computer come ad esempio nella sezione di avvio. Eliminando questi file si andrà a compromettere anche l’avvio del computer.

I nostri specialisti aiutano le vittime dei metodi di pulizia di altri anti-malware, sappiamo bene quanto è importanta utilizzare una fonte fidata.

Generalmente i rootkit richiedono una pulizia manuale. Il nostro scanner ti informerà qualora sarà necessario l’intervento di un nostro esperto. Identificheremo il tipo di rootkit che ha infettato il tuo sistema e ti invieremo una guida step-by-step da seguire al fine di rimuovere con successo e con sicurezza la minaccia.

Ti chiederai il perchè non tutte le scansioni si affidano al nostro motore: questo avviene perchè utilizzando l’accesso diretto al disco è generalmente impegnativo e più lento rispetto l’utilizzo delle API di windows. Se ci fossero state differenze avremmo utilizzato il nostro sistema NTFS per tutte le scansioni.

Scansione delle tracce

La scansione delle tracce (la scansione cerca le tracce lasciate dai malware) può essere di questi tre tipi:

-Tracce di File: Questi sono percorsi di file eseguibili che sono utilizzati esclusivamente da malware. Sono essenzialmente tracce che esistono sull’hard disk, indipendentemente da ogni altra cartella o programma.

Esempio: C:\windows\explore.exe (che può essere confuso con exploreR.exe).

-Tracce di Cartelle: Sono simili alle tracce dei file, ma appartengono ad altre cartelle di applicazioni comuni, come nella cartella delle impostazioni di Google Chrome.

Esempio: c:\program files (x86)\PUP Folder\.

-Tracce di Registro: These are entries in the system registry database that indicate a malware infection. A registry trace points to an infection inside the actual settings of the computer. These are the most dangerous traces, and the related virus may significantly slow down the speed of your computer.

Esempio: HKLM\Software\Windows\CurrentVersion\Run.

E’ importante segnalare che se viene rilevata una traccia di malware, non è detto che è presente un’infezione attiva. Potrebbe significare che l’infezione era passata, e non era stata rimossa completamente. Le tracce di infezioni ci indicano quando e se è necessario investigare.

Generalmente quando c’è un’infezione attiva, le tracce vengono rilevate vicino al file rilevato. Puoi pulirle quando e come vorrai.

Rilevazione PUP

Per ragioni legali, non possiamo chiamare i programmi indesiderati come “Malware” nella nostra interfaccia. Il termine PUP è stato inventato dall’industria antivirus qualche anno fa, esso sta per Programma Potenzialmente Indesiderato. Generalmente i PUP esistono per far guadagnare ai loro creatori mostrandoti pubblicità, cambiando la pagina principale del browser, collezionando dati privati al fine di venderli ad aziende di pubblicità.

Emsisoft Anti-Malware - Potentially Unwanted Programs (PUPs)

Potentially Unwanted Programs (PUPs) detection

La rilevazione dei PUP deve essere abilitata durante l’istallazione del nostro software. In Emsisoft Anti-Malware ed Emsisoft Internet Security può essere abilitata nelle impostazioni della Protezione dei File.

Scansione degli archivi compressi

Gli archivi compressi sono file che comprendono un numero di altri file al fine di comprimere il loro peso. Alcuni esempi possono essere ZIP, RAR, o 7Z, ma ce ne sono centinaia di altri poco conosciuti. Anche programmi EXE possono contenere un archivio auto-estraente, ciò significa contenere altri file (generalmente questo è molto più efficiente di trasferire dei dati).

Un malware che è insito in un archivio di file, non può avere accesso diretto, ma deve essere prima estratto. Perciò gli archivi non vengono considerati pericolosi di per se. Come risultato, alcuni scanner escludono la scansione degli archivi o limitano la scansione a solo quelli che pesano meno di 200 MB.

Estrarre archivi compressi è dispendioso di tempo e prende molte risorse al sistema. Puoi disabilitare la scansione degli archivi se sai che non ci possono essere infezioni negli archivi e conosci cosa sta succedendo nel tuo sistema.

Scansione NTFS

Nel 1993, con l’introduzione del sistema NTFS (New Technology File System) come default di Windows NT (predecessore di 2000, XP, 7, 8, etc.), è stata introdotta una nuova impostazione chiamata Alternate Data Streams. I file sono ora in grado di archiviare metadati in strati nascosti.

Sfortunatamente, questi torrenti possono essere utilizzati per archiviare dati malevoli, come malware — e tutto ciò che può essere o contenere un file di test.

Andando velocemente ad oggi, un file con estensione che sembrerebbe innocua può contenere codice malevolo che può essere eseguito tramite le autorun del registro.

Quando l’NTFS è abilitato, lo scanner cercherà tutte le parti di data per minacce nascoste.

Utilizzo del filtro per le estensioni

Con il filtro delle estensioni puoi limitare i file da scansionare in base alla loro estensione. Alcuni tipi di file non possono essere usati per conservar codice maligno, perciò molte persone pensano che è una perdita di tempo scansionarli.

Per esempio, tutti i file eseguibili di Windows che iniziano con la sequenza “MZ” possono essere usati dal computer. Cercando la sequenza di questi byte (o “byte magici”) è un metodo affidabile, e anche veloce al fine di ricercare le estensioni dei file.

E’ importante segnalare: c’è una ragione importante per cui questa impostazione è disabilitata di default. Questo perchè lo scanner non guarda solo il tipo di estensione, ma anche al tipo specifico del file. Le estensioni possono essere facilmente cambiate, ma il contenuto non può esserlo.

Modalità di accesso diretto al disco

Come descritto sopra, lo scanner è in grado di scovare rootkit attivi utilizzando il proprio NTFS al posto delle API di Windows. L’accesso diretto al disco consente allo scanner di Emsisoft di bypassare i controlli di sicurezza e di accedere direttamente alla locazione dei file al fine di scovare malware protetti.

L’utilizzo di questo metodo occupa ovviamente più tempo. Deve essere usato solamente per cartelle specifiche che possono contenere rootkit. Non c’è beneficio nell’utilizzarlo sull’intero disco, ecco perchè questa opzione è disabilitata di default. La scansione rootkit utilizza sempre l’accesso diretto al disco, perciò stai tranquillo che quando utilizzerai la scansione rootkit, questa funzione sarà utilizzata di default.

Impostazioni delle prestazioni

Quando visiti l’aria di scansione, noterai una piccola opzione “Impostazioni delle prestazioni” sotto i 3 principali metodi di scansione. Se clicchi su essa, aprirà una piccola finestra con impostazioni avanzate di scansione, includendo la velocità di scansione:

Impostazioni delle prestazioni

– Processori

Di default, vengono utilizzati tutti i processori della tua CPU per le scansioni. Nota che quattro core della tua CPU vengono mostrati come 8 processori virtuali. Puoi disabilitare l’utilizzo di uno di essi al fine di ottenere una scansione più lenta, ma maggiori prestazioni per il tuo sistema se necessiti di eseguire altre operazioni nello stesso momento.

– Numero di threads

Si possono visualizzare il numero di thread che vengono eseguiti in parallelo. Immagina i thread come strade piene di informazioni diretti al processore.

Se lo scanner è settato in singolo thread, il file verrà letto dal disco e successivamente scansionato, letto e scansionato e così via. Utilizzando più thread, ogni processore virtuale scansiona un file allo stesso tempo senza interrompere gli altri.

Di default, il numero dei thread è uguale al numero di processori liberi + 1. La ragione di ciò si spiega poichè un thread con una CPU che richiede poche risorse è utilizzato per leggere dati dall’hard disk, e successivamente vengono distribuiti a tutti i processori simultaneamente. Questa è la parte più faticosa per la CPU.

– Priorità del motore di scansione

By default, Windows defines which programs get which percentage of the overall available hardware resources (CPU time). But you may define a higher or lower priority for the Emsisoft scanner. Use a higher than standard value to make sure that scans are finished in the shortest time (even if other programs are running). Use a lower than standard value if your work relies on other programs that require higher priority. This is best if you don’t care how long the scan takes, as long as it doesn’t interfere with your work.

– Usa caching avanzato

Il chaching significa tenere traccia dei file scansionati e che risultano sicuri per non scansionarli nuovamente un’altra volta. Per esempio, se un file è stato scansionato sul tuo computer tanto tempo fa ed è stato scansionato più e più volte senza essere stato rilevato, è molto probabile che non sia malevolo. Per risparmiare tempo questi file verranno bypassati dalle scansioni future.

4. Impostazioni di produttività

Scansione dal menu contestuale di Explorer (non disponibile in Emsisoft Emergency Kit)

Il web è bombardato da trojan e pericoli digitali, non aspettano altro che entrare nel tuo sistema. Ma la scansione dal menu contestuale è un ottimo aiuto per prevenire l’arrivo di malware.

Emsisoft Anti-Malware e Emsisoft Internet Security si integrano perfettamente con Windows Explorer e perciò ti faranno risparmiare un sacco di tempo con le scansioni frequenti. Facendo click col tasto destro su ogni file o cartella e selezionando “Scansiona con Emsisoft” farai partire una scansione personalizzata degli elementi selezionati.

Emsisoft Commandline Scanner

Emsisoft Commandline Scanner

Commandline Scanner

Commandline scanner è la miglior scelta per professionisti che non necessitano di interfaccia grafica per eseguire le scansioni. Se non sai cosa significa, non preoccuparti! Questo non è un programma di cui avrai bisogno.

Emsisoft Commandline Scanner è uno scanner senza interfaccia grafica che include tutte le impostazioni degli scanner basati su Windows. E’ utilizzato principalmente per scansioni automatizzate, inizializzate da altri programmi o script che richiedono un ritorno di valore per successivi processi. Puoi scoprire i parametri di comando necessari di questo prodotto in questa pagina.

5. Rimozione delle infezioni

Rilevare una minaccia attiva è semplicemente una delle tante cose da fare per un computer. Il processo di pulizia è molto più difficile di rilevare un PUP, poichè un malware cercherà di non farsi rimuovere con facilità. Ecco alcuni meccanismi che utilizzano i malware al fine di insidiarsi nel tuo computer:

– Sblocca il file

Alcuni malware sono in grado di insidiarsi a tal punto da doverli sbloccare. Se un file è bloccato non può essere rimosso. Un programma che è bloccato è sempre avviato.

– I guarda-spalle

Questo è un metodo di infezione che avviene quando ci sono due programmi. Se tenti di eliminarne uno, l’altro lo nota e lo riavvierà immediatamente. Se tenti di eliminare il secondo, il primo lo riavvierà e così via.

– File nascosti

Come descritto, i Rootkit manipolano le API di Windows al fine di rimanere nascosti. Se un file non può essere individuato, non può essere rimosso, non credi?

Autorun ha un componente di sistema

Alcune minacce si copiano nella sezione Autorun del sistema al fine di avviarsi automaticamente quando il tuo computer si avvia. Se provi ad eliminarli, riceverai un crash del sistema, e tutto rimarrà invariato. Se eliminerai l’autorun infetta, il malware la ricreerà in maniera istantanea.

Come pulisce le infezioni Emsisoft

eek_lifebAl fine di contrastare questi giochetti dei virus, abbiamo creato un sistema sofisticato di pulizia. Pulisce oltre 100 aree nel registro e nelle cartelle di sistema, utilizzate dai malware per avviarsi automaticamente all’avvio del sistema.

Se il file è bloccato, il nostro motore di pulizia pianifica la rimozione quando il sistema si riavvierà al fine di sbloccare il malware e rimuoverlo con successo. In aggiunta, il nostro motore ripristina i valori di alcune autorun che, se modificate dai malware, potrebbero rendere il sistema inutilizzabile. Durante il processo di rimozione, viene salvata una copia del malware in quarantena al fine di ulteriori analisi o al fine di ripristinare l’elemento (a meno che tu non decida di eliminarlo definitivamente dalla quarantena).

Cosa significa avere un file in quarantena? Significa che il file è criptato in un container sicuro dove i file o le applicazioni non possono danneggiare il tuo sistema. Consigliamo sempre di utilizzare la quarantena, perché c’è sempre una minima percentuale che il programma sia benevolo (falso positivo), o che siano necessarie maggiori indagini. Puoi eliminare il file dalla quarantena dopo un paio di settimane.

Scansione dei file e pulizia tramite network condivisi

Anche se è possibile scansionare i file che sono locati su altre macchine tramite la condivisione di rete, non la consigliamo troppo. Potrebbe farti risparmiarti un po ti tempo, o tramite l’accesso remoto alla macchina, ma ti avvisiamo che la scansione di file da remoto ha diverse limitazioni di struttura:

  • Non è possibile eseguire la scansione della memoria, dei rootkit e delle tracce, poichè necessitano l’esecuzione delle API di windows che possono essere accedute solo localmente. Sarai limitato a scansionare i file via le procedure standard di lettura dei file, ciò significa che non si potrà utilizzare neanche l’accesso diretto al disco.
  • La rimozione non è possibile, poichè provando a rimuovere un malware attivo senza eliminare l’autorun collegato ad esso causerà instabilità del sistema con possibili crash.

Scansiona e rimuovi sempre localmente. Se preferisci non avere programmi installati, utilizza Emsisoft Emerngency Kit che è un tool completamente portable e non richiede alcuna installazione.

Che tu sia un esperto antivirus o un utente medio, speriamo che queste informazioni ti abbiano aiutato a comprendere esattamente come funziona la tecnologia di Emsisoft al fine di proteggere il tuo computer dai malware.

Ti auguriamo una buona giornata, libera dai malware ovviamente! ;)