La differenza tra un programma che svolge azioni leggittime ed un malware non è ben marcata, e le metodologie impiegate per la loro individuazione varia molto dalla piattaforma su cui gira il programma e dalla serie di azioni che svolge.
Per un antivirus sarebbe difficile capire se un programma che effettua operazioni di scrittura su file stia effettivamente scrivendo dei dati che il programma andrà ad utilizzare per se, oppure se sta criptando il file (ransomware), solitamente questi programmi quando sono privi di una firma digitale vengono sempre rilevati come malware.
@JunkCoder tempo fa scrisse questa guida, a mio parere niente male dato che non richiede conoscenze di reverse engineering, quindi ottima per chi inizia, nel quale illustra dei metodi per individuare vari tipi di malware su windows.
Per un antivirus sarebbe difficile capire se un programma che effettua operazioni di scrittura su file stia effettivamente scrivendo dei dati che il programma andrà ad utilizzare per se, oppure se sta criptando il file (ransomware), solitamente questi programmi quando sono privi di una firma digitale vengono sempre rilevati come malware.
@JunkCoder tempo fa scrisse questa guida, a mio parere niente male dato che non richiede conoscenze di reverse engineering, quindi ottima per chi inizia, nel quale illustra dei metodi per individuare vari tipi di malware su windows.