וִידֵאוֹ: Portal - Это Aperture! (נוֹבֶמבֶּר 2024)
זמניות היא אחת הסיבות. אני עושה כמיטב יכולתי לבדוק כל מוצר אבטחה חדש ברגע שהוא יוצא. המעבדות מבצעות את הבדיקות שלהן בלוח זמנים שמתאים לעיתים רחוקות לצרכים שלי. היקיפה היא אחרת. לא כל חברת אבטחה משתתפת בכל מעבדה; חלקם לא משתתפים כלל. עבור אלה שלא משתתפים, התוצאות שלי הן כל מה שעלי להמשיך. לבסוף, בדיקות מעשיות נותנות תחושה כיצד המוצר והחברה מתמודדים עם מצבים קשים, כמו תוכנות זדוניות המונעות התקנת תוכנת ההגנה.
כדי לקבל השוואה סבירה, עלי להריץ כל מוצר אנטי-וירוס כנגד אותה קבוצת דגימות. כן, זה אומר שאני אף פעם לא בודק עם תוכנות זדוניות שאף פעם לא ראו. אני סומך על כך שהמעבדות, עם המשאבים הגדולים שלהם, יבצעו בדיקות מהסוג הזה. יצירת מערכת חדשה של מערכות בדיקה שורצת אורכת זמן רב, ולכן אני יכול להרשות לעצמי לעשות זאת פעם בשנה. בהתחשב בכך שהדגימות שלי אינן חדשות מרחוק, הייתם חושבים שכל מוצרי האבטחה יטפלו בהן טוב, אבל זה לא מה שאני רואה.
איסוף דוגמאות
המעבדות הגדולות והעצמאיות מקפידות על שעון באינטרנט, ומצלמות כל העת דגימות זדוניות חדשות. כמובן שהם צריכים להעריך מאות חשודים כדי לזהות את אלה שהם באמת זדוניים, ולקבוע איזה סוג של התנהגות זדונית הם מפגינים.
לבדיקות שלי אני מסתמך על עזרה ממומחים מחברות אבטחה רבות ושונות. אני מבקש מכל קבוצה לספק כתובות אתרים בעולם האמיתי בעשרה איומים "מעניינים" בערך. כמובן שלא כל חברה רוצה להשתתף, אבל אני מקבלת מדגם מייצג. לתפוס את הקבצים ממיקומם בעולם האמיתי יש שני יתרונות. ראשית, אני לא צריך להתמודד עם דוא"ל או אבטחת החלפת קבצים מחיקת דגימות במעבר. שנית, זה מבטל את האפשרות שחברה אחת עשויה לשחק במערכת על ידי אספקת איום חד פעמי שרק המוצר שלהם יכול לגלות.
כותבי תוכנות זדוניות עוברים ומעבירים ללא הרף את נשק התוכנה שלהם, ולכן אני מוריד דוגמאות מוצעות מייד עם קבלת כתובות האתר. אף על פי כן, חלקם כבר נעלמו כשאני מנסה לתפוס אותם.
שחרר את הנגיף!
השלב הבא, מפרך, כרוך בהשקת כל דוגמא שהוצעה במכונה וירטואלית, תחת בחינת תוכנת הניטור. מבלי למסור פרטים רבים מדי, אני משתמש בכלי שמתעד את כל שינויי הקבצים והרישום, אחר שמגלה שינויים המשתמשים לפני ואחרי תצלומי מערכת, ושלישית המדווחת על כל התהליכים הפועלים. אני גם מפעיל כמה סורקי rootkit אחרי כל התקנה, שכן בתיאוריה ערכת rootot עשויה להתחמק מגילוי על ידי צגים אחרים.
התוצאות מאכזבות לעיתים קרובות. דוגמאות מסוימות מגלות מתי הן פועלות במכונה וירטואלית ומסרבות להתקין. אחרים רוצים מערכת הפעלה ספציפית, או קוד מדינה ספציפי, לפני שהם יבצעו פעולה. ייתכן שאחרים מחכים להדרכה ממרכז פיקוד ובקרה. וכמה מהם פוגעים במערכת הבדיקה עד שהיא כבר לא עובדת.
מתוך קבוצת ההצעות האחרונות שלי, 10 אחוזים כבר נעלמו בזמן שניסיתי להוריד אותם, וכמחצית מהשאר לא היו מקובלים מסיבה זו או אחרת. מבין אלה שנותרו, בחרתי בשלושה תריסר, מחפש לקבל מגוון סוגים של תוכנות זדוניות שהציעו שילוב של חברות שונות.
האם זה שם?
בחירת דגימות זדוניות היא רק מחצית העבודה. עלי גם לעבור קצוות וקצוות של קבצי יומן שנוצרו במהלך תהליך הניטור. כלי הניטור מתעדים את הכל, כולל שינויים שאינם קשורים לדוגמה של תוכנות זדוניות. כתבתי כמה תוכניות סינון וניתוח שיעזרו לי למחוק את הקבצים והעקבות הספציפיים שנוספו על ידי מתקין התוכנות הזדוניות.
לאחר התקנת שלוש דוגמאות בכל אחת מ -12 מכונות וירטואליות זהות אחרת, אני מפעיל עוד תוכנית קטנה שקוראת את היומנים הסופיים שלי ובודקת שהתוכניות, הקבצים והעקבות הרשומים המשויכים לדגימות קיימים למעשה. לעתים קרובות למדי, עלי להתאים את היומנים שלי מכיוון שטרויאני פולימורפי הותקן בשמות קבצים שונים ממה שהוא נהג כאשר ביצעתי את הניתוח שלי. למעשה, למעלה משליש מהאוסף הנוכחי שלי היה זקוק להתאמה לפולימורפיזם.
האם זה חלף?
עם השלמת כל ההכנות הזו, ניתוח ההצלחה של ניקוי מוצר אנטי-וירוס מסוים הוא עניין פשוט. אני מתקין את המוצר בכל שתים-עשרה המערכות, מריץ סריקה מלאה ומריץ את כלי הבדיקה שלי כדי לקבוע אילו עקבות (אם קיימות) נשארו מאחור. מוצר שמסיר את כל עקבות ההפעלה ולפחות 80 אחוז מהאשפה שאינה ניתנת להפעלה מביא עשר נקודות. אם זה מסיר לפחות 20 אחוז מהזבל, זה שווה תשע נקודות; פחות מ -20 אחוזים מקבלים שמונה נקודות. אם קבצי ההפעלה נשארים מאחור, המוצר מביא חמש נקודות; זה יורד לשלוש נקודות אם אחד מהקבצים עדיין פועל. וכמובן שפספוס מוחלט לא מקבל נקודות כלל.
ממוצע הנקודות של כל אחת משלושה תריסר דגימות נותן לי תצפית די טובה על האופן שבו המוצר מטפל בניקוי מערכות בדיקה שנגועות בתוכנה זדונית. בנוסף, אני זוכה לחוויה מעשית על התהליך. נניח ששני מוצרים מקבלים ציונים זהים, אך אחד מותקן וסורק ללא בעיות והשני נדרש שעות עבודה על ידי תמיכה טכנית; הראשון טוב יותר בבירור.
עכשיו אתה יודע מה נכנס לתרשים להסרת תוכנות זדוניות שאני כלול בכל סקירת אנטי-וירוס. זה המון עבודה פעם בשנה, אבל העבודה הזו משתלמת באגדים.