(Foto: Divulgação/BBC)
O Windows 10 aumentará a proteção oferecida pelos antivírus por meio da Interface de Verificação Antimalware (AMSI, na sigla em inglês), um novo recurso anunciado nesta terça-feira (9). O AMSI permitirá a qualquer aplicativo "chamar" o antivírus instalado no sistema. A novidade facilitará a análise da memória, pois inverte o funcionamento tradicional dos programas: hoje, é o antivírus que tenta determinar a melhor hora de analisar uma informação, e esse momento é normalmente o da leitura do arquivo.
Para realizar a proteção em tempo real, o antivírus precisa desenvolver mecanismos para intermediar operações de leitura de arquivos e de acesso à rede. Só assim o antivírus pode evitar que um aplicativo leia uma informação maliciosa.
O AMSI dará a aplicativos um canal para "chamar" o antivírus antes de iniciar o processamento dos dados. Com isso, os programas podem garantir a verificação pelo programa de segurança. Ao mesmo tempo, técnicas criadas por programadores de vírus para burlar softwares de segurança podem ser evitadas.
Qualquer programa antivírus pode se registrar no sistema para fornecer essa proteção. Isso significa que um app criado para "chamar" o antivírus por meio desse recurso será capaz de funcionar com qualquer programa de segurança compatível.
Criadores de vírus 'reciclam' códigos
Quando um código é reconhecido por um antivírus, ele não pode mais ser usado. Programadores de vírus usam técnicas de "ofuscação de código" para contornar a proteção e reciclar o mesmo código diversas vezes, deixando o arquivo irreconhecível para o antivírus.
Os antivírus precisam então simular a leitura do arquivo que será feita pelo programa. Se o antivírus verifica uma página web, por exemplo, ele tenta ler a página da mesma forma que o navegador. Essas simulações, porém, não são perfeitas.
Usando o AMSI, o próprio software "chama" o antivírus no momento que considerar ideal para a análise, reduzindo a necessidade de simulações por parte do antivírus e facilitando a identificação de códigos reciclados.
Complemento da restrição de aplicativos
O Windows 10 será capaz de realizar um controle de aplicativos e bloquear qualquer programa não autorizado por meio de um recurso chamado de Device Guard.
O Device Guard, que a Microsoft chamou de "a mais avançada proteção de malware já oferecida na plataforma Windows", não é capaz de bloquear códigos externos executados por programas já autorizados. Esses códigos, chamados de "scripts", são os mais reciclados pela ofuscação de código combatida pelo AMSI.