Por vezes quando executamos um qualquer script no Windows seja ele VBscript ou JSscript recebemos uma mensagem do antivirus a avisar da exploração de alguma falha do sistema, como é que isso é possivel uma vez que o interpretador destas linguagens são respectivamente VBScript.dll e JScript.dll e muito dificilmente um antivirus conseguiria fazer roolback das acções de um script malicioso, porque teria que ter sempre o estado anterior do sistema guardado de alguma forma o que num script mais longo implicaria uma degradação considerável do desempenho… o que os antivirus fazem para detectar este género de exploração de falhas é alterar o registo do sistema e “dizer” que o interpretador destes scripts é outra dll que é um proxy fornecido pelo antivirus e para onde são enviadas as instruções contidas no script de forma a poderem ser analisadas e comparadas com uma base de dados de exploração de falhas conhecidas, de forma a rastrear possiveis tentativas de execução de código malicioso, e se for o caso bloquear as mesmas, se o código for “limpo” as instruções passam para o respectivo interpretador.
Se quiserem ver um caso mais prático e a inspiração para este artigo visitem este site …