Videó: Baidu Antivírus (November 2024)
Az időszerűség az egyik oka. Minden tőlem telhetőt megteszek, hogy minden új biztonsági terméket felülvizsgáljak, mihelyt megjelenik. A laboratóriumok olyan ütemtervben végzik a teszteket, amely ritkán felel meg az igényeimnek. Az átfogó képesség egy másik. Nem minden biztonsági cég vesz részt minden laboratóriumban; egyesek egyáltalán nem vesznek részt. Azok számára, akik nem vesznek részt, a saját eredményeim vannak, amiket tovább kell folytatnom. Végül a gyakorlati tesztelés érzi, hogy a termék és a vállalat hogyan kezelje a nehéz helyzeteket, például olyan rosszindulatú programokat, amelyek megakadályozzák a védőszoftver telepítését.
Az ésszerű összehasonlítás érdekében minden vírusvédelmi terméket ugyanazon mintasorral kell futtatnom. Igen, ez azt jelenti, hogy soha nem teszteltem a nulla napos, soha nem látott rosszindulatú szoftvert. Bízom a laboratóriumokban, nagyobb erőforrásokkal, hogy elvégezzem az ilyen típusú teszteket. Egy új fertőzött tesztrendszer létrehozása hosszú időt vesz igénybe, ezért csak évente engedhetem meg magamnak, hogy megcsináljam. Tekintettel arra, hogy a mintám nem távolról új, akkor azt gondolja, hogy az összes biztonsági termék jól kezeli őket, de nem ezt veszem észre.
Mintagyűjtés
A nagy, független laboratóriumok folyamatosan figyelik az internetet, folyamatosan rögzítve az új malware-mintákat. Természetesen fel kell mérniük a gyanúsítottak százait, hogy azonosítsák azokat, amelyek valóban rosszindulatúak, és meg kell határozniuk, milyen rosszindulatú viselkedést mutatnak ki.
Saját tesztelésemre különféle biztonsági társaságok szakértőinek segítségére támaszkodom. Kérem az egyes csoportokat, hogy nyújtsanak be valós URL-eket körülbelül tíz "érdekes" fenyegetéshez. Természetesen nem minden vállalat akar részt venni, de reprezentatív mintát kapok. A fájloknak a valós helyükről történő megragadása két előnnyel jár. Először is, nem kell foglalkoznom az e-mail vagy fájlcsere-biztonsággal, a minták átvágásával. Másodszor, kiküszöböli annak a lehetőségét, hogy egy társaság játékkal játssza le a rendszert egy olyan egyszeri fenyegetéssel, amelyet csak a termékük képes felismerni.
A rosszindulatú programok írói folyamatosan mozognak és morfizálják szoftverfegyvereiket, tehát a javasolt mintákat azonnal letöltöm, miután megkaptam az URL-eket. Még így is, néhányuk már eltűnt, mire megpróbálom megragadni őket.
Engedje el a vírust!
A következő, fáradságos lépés magában foglalja minden javasolt minta elindítását egy virtuális gépen, a megfigyelő szoftver ellenőrzése alatt. Anélkül, hogy túl sok részletet elmondanék, olyan eszközt használok, amely rögzíti az összes fájl- és rendszerleíró adatbázis-változást, az egyiket a rendszer pillanatképeinek előtti és utáni változások észlelésére, a harmadik pedig az összes futó folyamatról. Mindegyik telepítés után pár rootkit szkennert is futok, mivel elméletileg a rootkit elkerülheti más monitorok észlelését.
Az eredmények gyakran kiábrándítóak. Néhány minta felismeri, amikor virtuális gépen futnak, és megtagadják a telepítést. Mások egy konkrét operációs rendszert vagy egy adott országkódot akarnak, mielőtt cselekszenek. Mások is várhatnak utasításokat a parancsnoki központból. És néhányan annyira megrongálják a tesztrendszert, hogy az már nem működik.
A legfrissebb javaslataim közül 10% -uk már akkor eltűnt, amikor megpróbáltam letölteni őket, a többinek mintegy fele valamilyen okból elfogadhatatlan. A fennmaradók közül három tucatot választottam, hogy különféle típusú malware szoftvereket szerezzenek, amelyeket különféle társaságok javasolnak.
Ott van?
A rosszindulatú programok mintáinak kiválasztása csak a munka fele. Ezenkívül át kell mennem a megfigyelési folyamat során generált naplófájlok reams és reams formáin. A megfigyelő eszközök mindent rögzítenek, beleértve a rosszindulatú program mintájához nem kapcsolódó változásokat is. Írtam egy pár szűrő és elemző programot, amelyek segítenek a konkrét fájlok és a regisztrációs nyomok kinyerésében a rosszindulatú programok telepítője által.
Miután darabonként három mintát telepítettem tizenkét különféleképpen azonos virtuális gépen, futok egy másik kis programot, amely elolvassa a végleges naplóimat és ellenőrzi, hogy a mintákhoz kapcsolódó futó programok, fájlok és regisztrációs nyomok valóban vannak-e. Gyakran módosítanom kell a naplóimat, mert egy polimorf trójai különféle fájlnevekkel telepített, mint amit az elemzésem során használtam. Valójában jelenlegi kollekcióm több mint egyharmadánál kiigazításra szorult a polimorfizmus.
Elment?
Az összes előkészítés befejezése után egy adott víruskereső termék tisztítási sikerének elemzése egyszerű. Telepítem a terméket mind a tizenkét rendszerre, teljes szkennelést futtatom, és futtatom az ellenőrző eszközemet, hogy meghatározzam, hogy mely nyomok maradnak (ha vannak). Egy termék, amely eltávolítja az összes végrehajtható nyomkövetést, és a nem végrehajtható szemét legalább 80% -a tíz pontot szerez. Ha eltávolítja a szemét legalább 20% -át, akkor kilenc pontot érdemes; kevesebb, mint 20 százalék nyolc pontot kap. Ha a végrehajtható fájlok hátramaradnak, a termék öt pontot kap; ez három pontra csökken, ha az egyik fájl továbbra is fut. És természetesen a teljes hiányzás egyáltalán nem kap pontot.
A három tucat minta pontszámainak átlagolása nagyon jó képet ad nekem arról, hogy a termék hogyan kezeli a rosszindulatú programok által fertőzött tesztrendszereket. Ezen felül gyakorlati tapasztalatokat szereztem a folyamatról. Tegyük fel, hogy két termék azonos pontszámot kap, de az egyiket probléma nélkül telepítik és szkennelik, a másik pedig a műszaki támogatás által megkövetelt munkaidőt; az első egyértelműen jobb.
Most már tudja, hogy mi megy bele a rosszindulatú programok eltávolítási táblázatába, amelyet minden vírusvédelmi áttekintéshez belefoglalok. Ez egy rengeteg munka évente egyszer, de ez a munka kifizetődik pikk.
