Trang Chủ Đồng hồ an ninh Kiểm tra chống vi-rút 101

Kiểm tra chống vi-rút 101

Video: Toán học lớp 10 - Hình học - Kiểm tra 1 tiết chương 1 (Tháng mười một 2024)

Video: Toán học lớp 10 - Hình học - Kiểm tra 1 tiết chương 1 (Tháng mười một 2024)
Anonim

Tại nhiều địa điểm khác nhau trên thế giới, các nhóm các nhà nghiên cứu chuyên dụng đã đưa hàng chục sản phẩm chống vi-rút thông qua các thử nghiệm mệt mỏi. Một số phòng thí nghiệm kiểm tra chống vi-rút này chạy các thủ tục mất vài tháng. Những người khác thách thức các sản phẩm chống vi-rút để phát hiện hàng trăm ngàn mẫu. Không có cách nào một người đánh giá đơn độc như tôi có thể nhân đôi những nỗ lực đó, nhưng tôi vẫn kiên trì thực hiện kiểm tra thực hành cho mọi đánh giá chống vi-rút. Tại sao? Có một số lý do.

Tính kịp thời là một lý do. Tôi làm hết sức mình để xem xét từng sản phẩm bảo mật mới ngay khi phát hành. Các phòng thí nghiệm thực hiện các bài kiểm tra của họ theo một lịch trình hiếm khi phù hợp với nhu cầu của tôi. Toàn diện là khác. Không phải mọi công ty bảo mật đều tham gia với mọi phòng thí nghiệm; một số không tham gia gì cả. Đối với những người không tham gia, kết quả của riêng tôi là tất cả những gì tôi phải tiếp tục. Cuối cùng, kiểm tra thực hành cho tôi cảm giác về cách sản phẩm và công ty xử lý các tình huống khó khăn, như phần mềm độc hại ngăn chặn cài đặt phần mềm bảo vệ.

Để có được sự so sánh hợp lý, tôi cần chạy từng sản phẩm chống vi-rút với cùng một bộ mẫu. Vâng, điều đó có nghĩa là tôi không bao giờ thử nghiệm với phần mềm độc hại 0 ngày, chưa từng thấy. Tôi dựa vào các phòng thí nghiệm, với nguồn lực lớn hơn của họ, để thực hiện loại thử nghiệm đó. Việc tạo ra một bộ hệ thống kiểm tra bị nhiễm mới mất nhiều thời gian, vì vậy tôi chỉ có thể đủ khả năng để thực hiện nó mỗi năm một lần. Cho rằng các mẫu của tôi không phải là từ xa mới, bạn nghĩ rằng tất cả các sản phẩm bảo mật sẽ xử lý chúng tốt, nhưng đó không phải là những gì tôi quan sát được.

Tập hợp các mẫu

Các phòng thí nghiệm độc lập lớn duy trì một chiếc đồng hồ trên Internet, liên tục nắm bắt các mẫu phần mềm độc hại mới. Tất nhiên họ phải đánh giá hàng trăm nghi phạm để xác định những kẻ thực sự độc hại và xác định loại hành vi độc hại nào mà chúng thể hiện.

Đối với thử nghiệm của riêng tôi, tôi dựa vào sự giúp đỡ từ các chuyên gia tại nhiều công ty bảo mật khác nhau. Tôi yêu cầu mỗi nhóm cung cấp URL trong thế giới thực cho mười mối đe dọa "thú vị". Tất nhiên không phải mọi công ty đều muốn tham gia, nhưng tôi lấy một mẫu đại diện. Lấy các tập tin từ vị trí trong thế giới thực của họ có hai lợi ích. Đầu tiên, tôi không phải đối phó với email hoặc bảo mật trao đổi tập tin quét sạch các mẫu trong quá trình. Thứ hai, nó loại trừ khả năng một công ty có thể chơi trò chơi trên hệ thống bằng cách cung cấp mối đe dọa một lần mà chỉ sản phẩm của họ có thể phát hiện.

Các nhà văn phần mềm độc hại liên tục di chuyển và biến đổi vũ khí phần mềm của họ, vì vậy tôi tải xuống các mẫu được đề xuất ngay khi nhận được URL. Mặc dù vậy, một số trong số chúng đã biến mất khi tôi cố lấy chúng.

Phát hành Virus!

Bước tiếp theo, một bước khó khăn, liên quan đến việc khởi chạy mọi mẫu được đề xuất trong một máy ảo, dưới sự xem xét kỹ lưỡng của phần mềm giám sát. Không đưa ra quá nhiều chi tiết, tôi sử dụng một công cụ ghi lại tất cả các thay đổi của tệp và Registry, một công cụ khác phát hiện các thay đổi sử dụng trước và sau khi chụp nhanh hệ thống và thứ ba báo cáo về tất cả các quy trình đang chạy. Tôi cũng chạy một vài máy quét rootkit sau mỗi lần cài đặt, vì về lý thuyết, một rootkit có thể trốn tránh sự phát hiện của các màn hình khác.

Kết quả thường xuyên gây thất vọng. Một số mẫu phát hiện khi chúng chạy trong máy ảo và từ chối cài đặt. Những người khác muốn có một hệ điều hành cụ thể hoặc mã quốc gia cụ thể trước khi họ hành động. Vẫn còn những người khác có thể đang chờ chỉ dẫn từ một trung tâm chỉ huy và kiểm soát. Và một số ít làm hỏng hệ thống kiểm tra đến mức nó không còn hoạt động nữa.

Trong số các đề xuất gần đây nhất của tôi, 10 phần trăm đã biến mất khi tôi cố tải xuống và khoảng một nửa số còn lại không thể chấp nhận được vì lý do này hay lý do khác. Từ những thứ còn lại, tôi đã chọn ba tá, mong muốn nhận được nhiều loại phần mềm độc hại được đề xuất bởi sự kết hợp của các công ty khác nhau.

Nó có ở đó không?

Chọn mẫu phần mềm độc hại chỉ là một nửa công việc. Tôi cũng phải trải qua các ram và các tệp nhật ký được tạo trong quá trình giám sát. Các công cụ giám sát ghi lại mọi thứ, bao gồm các thay đổi không liên quan đến mẫu phần mềm độc hại. Tôi đã viết một vài chương trình lọc và phân tích để giúp tôi biết được các tệp và dấu vết Registry cụ thể được thêm bởi trình cài đặt phần mềm độc hại.

Sau khi cài đặt ba mẫu apiece trong mười hai máy ảo giống hệt nhau, tôi chạy một chương trình nhỏ khác đọc nhật ký cuối cùng của mình và kiểm tra xem các chương trình, tệp và dấu vết đăng ký liên quan đến các mẫu có thực sự hiện diện hay không. Rất thường xuyên, tôi phải điều chỉnh nhật ký của mình vì một Trojan đa hình được cài đặt sử dụng các tên tệp khác với tên được sử dụng khi tôi chạy phân tích. Trong thực tế, hơn một phần ba bộ sưu tập hiện tại của tôi cần điều chỉnh cho đa hình.

Có phải nó đã qua?

Với tất cả sự chuẩn bị này đã hoàn tất, việc phân tích thành công dọn dẹp của một sản phẩm chống vi-rút cụ thể là một vấn đề đơn giản. Tôi cài đặt sản phẩm trên tất cả mười hai hệ thống, chạy quét toàn bộ và chạy công cụ kiểm tra của mình để xác định dấu vết (nếu có) còn sót lại. Một sản phẩm loại bỏ tất cả dấu vết thực thi và ít nhất 80 phần trăm của rác không thể thực thi được mười điểm. Nếu nó loại bỏ ít nhất 20 phần trăm rác, thì đáng giá chín điểm; ít hơn 20 phần trăm được tám điểm. Nếu các tập tin thực thi vẫn ở phía sau, sản phẩm ghi được năm điểm; giảm xuống còn ba điểm nếu bất kỳ tệp nào vẫn đang chạy. Và tất nhiên một tổng số bỏ lỡ không có điểm nào cả.

Tính trung bình các điểm cho mỗi ba chục mẫu cho tôi một cái nhìn khá tốt về việc sản phẩm xử lý việc làm sạch các hệ thống kiểm tra bị nhiễm phần mềm độc hại tốt như thế nào. Ngoài ra, tôi có được kinh nghiệm thực hành của quá trình. Giả sử hai sản phẩm có điểm số giống hệt nhau, nhưng một sản phẩm được cài đặt và quét mà không gặp sự cố và các giờ làm việc cần thiết khác của bộ phận hỗ trợ kỹ thuật; đầu tiên rõ ràng là tốt hơn

Bây giờ bạn biết những gì đi vào biểu đồ loại bỏ phần mềm độc hại mà tôi đưa vào mỗi bài đánh giá chống vi-rút. Đó là một tấn công việc mỗi năm một lần, nhưng công việc đó được đền đáp trong các thuổng.

Kiểm tra chống vi-rút 101