Відео: Сумасшедший лягушка - Аксель F (Официальное видео) (Вересень 2024)
Своєчасність - одна з причин. Я намагаюся переглянути кожен новий продукт безпеки, як тільки він виходить. Лабораторії виконують свої тести за розкладом, який рідко відповідає моїм потребам. Комплексність - це інше. Не кожна охоронна компанія бере участь у кожній лабораторії; деякі взагалі не беруть участі. Для тих, хто не бере участі, мої власні результати - це все, що мені потрібно продовжувати. Нарешті, практичне тестування дає мені відчути, як виріб та компанія вирішують складні ситуації, як зловмисне програмне забезпечення, яке перешкоджає встановленню захисного програмного забезпечення.
Для отримання розумного порівняння мені потрібно запустити кожен антивірусний продукт на одному і тому ж наборі зразків. Так, це означає, що я ніколи не тестую зловмисне програмне забезпечення, яке ніколи не бачило. Я покладаюся на лабораторії з їхніми більшими ресурсами для проведення такого випробування. Створення нового набору заражених тест-систем займає багато часу, тому я можу дозволити собі це робити лише раз на рік. З огляду на те, що мої зразки не є новими, ви можете подумати, що всі захисні вироби з ними добре поправляться, але це не те, що я спостерігаю.
Збір зразків
Великі незалежні лабораторії підтримують годинник в Інтернеті, постійно фіксуючи нові зразки шкідливих програм. Звичайно, їм доведеться оцінити сотні підозрюваних, щоб виявити справді шкідливих та визначити, яку зловмисну поведінку вони проявляють.
Для власного тестування я покладаюся на допомогу експертів у багатьох різних охоронних компаніях. Я прошу кожну групу надати реальні URL-адреси для десяти або більше «цікавих» загроз. Звичайно, не кожна компанія хоче брати участь, але я отримую репрезентативну вибірку. Захоплення файлів з їхнього реального місцезнаходження має дві переваги. По-перше, мені не доводиться мати справу з захистом електронної пошти чи обміну файлами, витираючи зразки під час руху. По-друге, це виключає можливість того, що одна компанія може грати в систему, надаючи разову загрозу, яку може виявити лише їхній продукт.
Автори шкідливих програм постійно переміщуються та перетворюють програмне зброю, тому я завантажую запропоновані зразки одразу після отримання URL-адрес. Тим не менш, деякі з них уже зникли до того моменту, коли я намагаюся їх схопити.
Відпустіть вірус!
Наступний крок, важкий, полягає у запуску кожного запропонованого зразка у віртуальній машині, під пильним контролем програмного забезпечення для моніторингу. Не надаючи занадто багато деталей, я використовую інструмент, який записує всі зміни файлів і реєстру, інший, який виявляє зміни за допомогою до і після знімків системи, і третій, який звітує про всі запущені процеси. Я також запускаю кілька сканерів rootkit після кожної установки, оскільки теоретично руткіт може ухилятися від виявлення іншими моніторами.
Результати часто невтішні. Деякі зразки виявляють, коли вони працюють у віртуальній машині, і відмовляються від встановлення. Інші бажають певної операційної системи або конкретного коду країни, перш ніж вжити заходів. Інші ж можуть чекати інструкції від центру командно-контрольної роботи. І кілька пошкоджує тестову систему до того, що вона більше не працює.
З моїх останніх наборів пропозицій, 10 відсотків уже втратили час, коли я намагався їх завантажити, а приблизно половина решти з тієї чи іншої причини була неприйнятною. З тих, що залишилися, я вибрав три десятки, шукаючи, щоб отримати різноманітні типи зловмисних програм, запропоновані сумішшю різних компаній.
Чи є там?
Вибір зразків шкідливих програм - це лише половина роботи. Мені також доводиться проходити через рейки та папки файлів журналів, створених під час моніторингу. Засоби моніторингу фіксують все, включаючи зміни, не пов’язані зі зразком зловмисного програмного забезпечення. Я написав пару програм фільтрації та аналізу, щоб допомогти мені дізнатися конкретні файли та сліди реєстру, додані інсталятором зловмисного програмного забезпечення.
Після встановлення трьох зразків за дванадцять ідентичних віртуальних машин я запускаю ще одну маленьку програму, яка читає мої остаточні журнали та перевіряє, чи наявні запущені програми, файли та сліди реєстру, пов’язані із зразками. Досить часто мені доводиться коригувати свої журнали, тому що поліморфний троянець встановлений з використанням інших імен файлів, ніж він використовувався, коли я виконував аналіз. Насправді, більше третини моєї колекції потребувала корекції для поліморфізму.
Це пропало?
Коли ця підготовка завершена, аналіз успіху очищення конкретного антивірусного продукту - справа проста. Я встановлюю продукт на всі дванадцять систем, запускаю повне сканування і запускаю свій інструмент перевірки, щоб визначити, які (якщо такі є) сліди залишаються позаду. Продукт, який видаляє всі виконувані сліди і щонайменше 80 відсотків невиконаного мотлоху, набирає десять балів. Якщо він видаляє щонайменше 20 відсотків мотлоху, це коштує дев'ять балів; менше 20 відсотків отримує вісім балів. Якщо виконувані файли залишаються позаду, продукт набирає п'ять балів; що знижується до трьох балів, якщо якийсь із файлів все ще працює. І звичайно, загальна промах не отримує балів взагалі.
Усереднення балів за кожен з трьох десятків зразків дає мені досить гарне уявлення про те, наскільки добре виріб справляється з тестовими системами, що заражаються зловмисними програмами. Крім того, я отримую практичний досвід процесу. Припустимо, два вироби отримують однакові бали, але один встановлюється та сканується без проблем, а інший вимагає годин роботи за допомогою технічної підтримки; перший явно кращий.
Тепер ви знаєте, що входить до діаграми видалення зловмисного програмного забезпечення, яку я включаю в кожен антивірусний огляд. Це тонна роботи один раз на рік, але ця робота окупається лопатами.
