บ้าน Securitywatch การทดสอบไวรัส 101

การทดสอบไวรัส 101

วีดีโอ: Настя и сборник весёлых историй (ธันวาคม 2024)

วีดีโอ: Настя и сборник весёлых историй (ธันวาคม 2024)
Anonim

ในสถานที่ต่าง ๆ ทั่วโลกทีมนักวิจัยโดยเฉพาะได้วางผลิตภัณฑ์ป้องกันไวรัสหลายสิบชนิดผ่านการทดสอบที่ทรหด ห้องปฏิบัติการทดสอบต่อต้านไวรัสเหล่านี้บางแห่งใช้ขั้นตอนที่ใช้เวลาหลายเดือน คนอื่นท้าทายผลิตภัณฑ์ป้องกันไวรัสเพื่อตรวจจับตัวอย่างนับแสนตัวอย่าง ไม่มีผู้วิจารณ์คนเดียวที่ฉันสามารถทำซ้ำความพยายามเหล่านั้นได้ แต่ฉันยังคงทำการทดสอบเชิงปฏิบัติสำหรับการตรวจสอบไวรัสทุกครั้ง ทำไม? มีสาเหตุหลายประการ

ทันเวลาคือเหตุผลหนึ่ง ฉันพยายามอย่างเต็มที่ในการตรวจสอบผลิตภัณฑ์ความปลอดภัยใหม่แต่ละชิ้นทันทีที่เปิดตัว ห้องปฏิบัติการทำการทดสอบตามกำหนดเวลาที่ไม่ค่อยตรงกับความต้องการของฉัน ความครอบคลุมเป็นอีกหนึ่ง บริษัท รักษาความปลอดภัยไม่ได้เข้าร่วมกับทุกห้องปฏิบัติการ บางคนไม่เข้าร่วมเลย สำหรับผู้ที่ไม่เข้าร่วมผลลัพธ์ของฉันคือทั้งหมดที่ฉันต้องทำ ในที่สุดการทดสอบภาคปฏิบัติให้ฉันรู้สึกว่าผลิตภัณฑ์และ บริษัท จัดการกับสถานการณ์ที่ยากลำบากเช่นมัลแวร์ที่ป้องกันการติดตั้งซอฟต์แวร์ป้องกัน

เพื่อให้ได้การเปรียบเทียบที่สมเหตุสมผลฉันจำเป็นต้องเรียกใช้ผลิตภัณฑ์ป้องกันไวรัสแต่ละชนิดจากตัวอย่างชุดเดียวกัน ใช่นั่นหมายความว่าฉันไม่เคยทดสอบกับมัลแวร์แบบ zero-day และไม่เคยเห็นมาก่อน ฉันพึ่งพาห้องปฏิบัติการด้วยทรัพยากรที่มากขึ้นของพวกเขาเพื่อทำการทดสอบชนิดนั้น การสร้างระบบการทดสอบที่รบกวนชุดใหม่ใช้เวลานานดังนั้นฉันสามารถทำได้เพียงปีละครั้งเท่านั้น เนื่องจากตัวอย่างของฉันไม่ใช่ของใหม่จากระยะไกลคุณคิดว่าผลิตภัณฑ์ความปลอดภัยทั้งหมดจะจัดการกับมันได้ดี แต่นั่นไม่ใช่สิ่งที่ฉันสังเกต

รวบรวมตัวอย่าง

ห้องปฏิบัติการอิสระขนาดใหญ่ดูแลรักษานาฬิกาบนอินเทอร์เน็ตตรวจจับตัวอย่างมัลแวร์ใหม่อยู่เสมอ แน่นอนว่าพวกเขาต้องประเมินผู้ต้องสงสัยหลายร้อยคนเพื่อระบุตัวบุคคลที่เป็นอันตรายอย่างแท้จริงและกำหนดพฤติกรรมที่เป็นอันตรายที่พวกเขาแสดง

สำหรับการทดสอบของฉันฉันพึ่งความช่วยเหลือจากผู้เชี่ยวชาญใน บริษัท รักษาความปลอดภัยหลายแห่ง ฉันขอให้แต่ละกลุ่มจัดหา URL ในโลกแห่งความจริงสำหรับการคุกคามที่ "น่าสนใจ" สิบรายการ แน่นอนว่าไม่ใช่ทุก บริษัท ที่ต้องการมีส่วนร่วม แต่ฉันได้รับตัวอย่างตัวแทน การรับไฟล์จากที่ตั้งจริงนั้นมีประโยชน์สองประการ ก่อนอื่นฉันไม่ต้องจัดการกับความปลอดภัยของอีเมลหรือการแลกเปลี่ยนไฟล์กำจัดตัวอย่างระหว่างการขนส่ง ประการที่สองมันกำจัดความเป็นไปได้ที่ บริษัท หนึ่งอาจเล่นเกมระบบโดยส่งภัยคุกคามแบบครั้งเดียวซึ่งมีเพียงผลิตภัณฑ์ของตนเท่านั้นที่สามารถตรวจจับได้

ผู้เขียนมัลแวร์เคลื่อนไหวอยู่ตลอดเวลาและปรับเปลี่ยนอาวุธของซอฟต์แวร์ดังนั้นฉันจึงดาวน์โหลดตัวอย่างที่แนะนำทันทีที่ได้รับ URL ถึงกระนั้นบางคนก็หายไปเมื่อฉันพยายามคว้าพวกเขา

ปล่อยไวรัส!

ขั้นตอนต่อไปที่ยากลำบากนั้นเกี่ยวข้องกับการเปิดตัวทุกตัวอย่างที่แนะนำในเครื่องเสมือนภายใต้การตรวจสอบซอฟต์แวร์การตรวจสอบ ฉันใช้เครื่องมือที่บันทึกการเปลี่ยนแปลงไฟล์และรีจิสตรีทั้งหมดอีกอันหนึ่งที่ตรวจจับการเปลี่ยนแปลงโดยใช้ก่อนและหลังสแน็ปช็อตของระบบและที่สามที่รายงานเกี่ยวกับกระบวนการทำงานทั้งหมด ฉันยังใช้สแกนเนอร์รูทคิทสองตัวหลังจากการติดตั้งแต่ละครั้งเนื่องจากในทางทฤษฎีแล้วรูทคิตอาจหลบเลี่ยงการตรวจจับโดยจอภาพอื่น ๆ

ผลลัพธ์มักจะน่าผิดหวัง ตัวอย่างบางส่วนตรวจพบเมื่อพวกเขากำลังทำงานในเครื่องเสมือนและปฏิเสธที่จะติดตั้ง คนอื่นต้องการระบบปฏิบัติการที่เฉพาะเจาะจงหรือรหัสประเทศเฉพาะก่อนที่จะดำเนินการ คนอื่น ๆ อาจรอคำแนะนำจากศูนย์ควบคุมและสั่งการ และความเสียหายเล็กน้อยสำหรับระบบทดสอบจนถึงจุดที่มันไม่ทำงานอีกต่อไป

จากคำแนะนำชุดล่าสุดของฉัน 10 เปอร์เซ็นต์หายไปแล้วเมื่อฉันพยายามดาวน์โหลดพวกเขาและประมาณครึ่งหนึ่งที่เหลือไม่สามารถยอมรับได้ด้วยเหตุผลใดเหตุผลหนึ่ง จากที่เหลือฉันเลือกสามโหลเพื่อหามัลแวร์หลากหลายประเภทที่แนะนำโดย บริษัท ต่าง ๆ

มันอยู่ที่นั่นหรือไม่?

การเลือกตัวอย่างมัลแวร์เป็นเพียงครึ่งเดียวของการทำงาน ฉันต้องผ่านรีมและรีมไฟล์บันทึกที่สร้างขึ้นในระหว่างกระบวนการตรวจสอบ เครื่องมือตรวจสอบจะบันทึกทุกอย่างรวมถึงการเปลี่ยนแปลงที่ไม่เกี่ยวข้องกับตัวอย่างมัลแวร์ ฉันเขียนโปรแกรมการกรองและการวิเคราะห์สองสามรายการเพื่อช่วยฉันในการกำจัดไฟล์เฉพาะและร่องรอยของรีจิสทรีที่เพิ่มโดยตัวติดตั้งมัลแวร์

หลังจากติดตั้งสามตัวอย่างต่อชิ้นในเครื่องเสมือนที่เหมือนกันสิบสองเครื่องฉันเรียกใช้โปรแกรมเล็ก ๆ อีกอันหนึ่งที่อ่านบันทึกสุดท้ายของฉันและตรวจสอบว่ามีการรันโปรแกรมไฟล์และการติดตามรีจิสทรีที่เกี่ยวข้องกับตัวอย่างจริง บ่อยครั้งที่ฉันต้องปรับบันทึกของฉันเพราะโทรจัน polymorphic ติดตั้งโดยใช้ชื่อไฟล์ที่แตกต่างจากที่ใช้เมื่อฉันทำการวิเคราะห์ ที่จริงแล้วหนึ่งในสามของคอลเลกชันปัจจุบันของฉันต้องการการปรับเปลี่ยนสำหรับความหลากหลาย

มันหายไปหรือไม่

เมื่อการเตรียมการทั้งหมดนี้เสร็จสมบูรณ์การวิเคราะห์ความสำเร็จในการล้างข้อมูลผลิตภัณฑ์ป้องกันไวรัสโดยเฉพาะจึงเป็นเรื่องง่าย ฉันติดตั้งผลิตภัณฑ์ในทั้งสิบสองระบบทำการสแกนเต็มรูปแบบและเรียกใช้เครื่องมือตรวจสอบของฉันเพื่อตรวจสอบร่องรอย (ถ้ามี) ที่เหลืออยู่ ผลิตภัณฑ์ที่ลบร่องรอยการปฏิบัติการทั้งหมดและอย่างน้อย 80 เปอร์เซ็นต์ของคะแนนขยะที่ไม่สามารถดำเนินการได้สิบคะแนน ถ้ามันกำจัดขยะอย่างน้อย 20 เปอร์เซ็นต์นั่นเท่ากับเก้าแต้ม น้อยกว่า 20 เปอร์เซ็นต์ได้รับแปดคะแนน หากไฟล์ที่ปฏิบัติการได้ยังคงอยู่ด้านหลังผลิตภัณฑ์จะได้คะแนนห้าคะแนน ซึ่งลดลงเหลือสามคะแนนหากไฟล์ใดไฟล์หนึ่งยังคงทำงานอยู่ และแน่นอนว่าการพลาดทั้งหมดนั้นไม่ได้รับคะแนนเลย

การเฉลี่ยคะแนนสำหรับตัวอย่างแต่ละสามโหลทำให้ฉันมีมุมมองที่ดีเกี่ยวกับวิธีการที่ผลิตภัณฑ์จัดการกับการทำความสะอาดระบบการทดสอบที่รบกวนมัลแวร์ได้ดีเพียงใด นอกจากนี้ฉันได้รับประสบการณ์ตรงของกระบวนการ สมมติว่าผลิตภัณฑ์สองรายการมีคะแนนเท่ากัน แต่มีหนึ่งผลิตภัณฑ์ที่ติดตั้งและสแกนโดยไม่มีปัญหาและเวลาทำงานอื่น ๆ ที่ต้องการโดยฝ่ายสนับสนุนด้านเทคนิค ครั้งแรกดีกว่าอย่างชัดเจน

ตอนนี้คุณรู้แล้วว่าอะไรจะเกิดขึ้นในชาร์ตการกำจัดมัลแวร์ที่ฉันมีอยู่ในทุกการตรวจสอบไวรัส มันเป็นงานตันปีละครั้ง แต่งานนั้นทำออกมาเป็นจอบ

การทดสอบไวรัส 101