Видео: NNN - The Orange-Green War Continues (Ноември 2024)
Навременността е една от причините. Правя всичко възможно да прегледам всеки нов продукт за сигурност веднага след излизането му. Лабораториите извършват тестовете си по график, който рядко отговаря на моите нужди. Изчерпателността е друго. Не всяка охранителна компания участва с всяка лаборатория; някои изобщо не участват. За тези, които не участват, моите собствени резултати са всичко, което трябва да продължа. И накрая, практическото тестване ми създава усещане за това как продуктът и компанията се справят с трудни ситуации, като злонамерен софтуер, който предотвратява инсталирането на защитния софтуер.
За да получа разумно сравнение, трябва да стартирам всеки антивирусен продукт срещу един и същ набор от проби. Да, това означава, че никога не тествам с нулев ден, никога не виждан зловреден софтуер. Разчитам на лабораториите с техните по-големи ресурси, за да извърша такъв вид тестване. Създаването на нов набор от заразени тестови системи отнема много време, така че мога да си позволя да го правя само веднъж годишно. Като се има предвид, че моите проби не са отдалечено нови, бихте си помислили, че всички защитни продукти ще се справят добре с тях, но не това наблюдавам.
Събиране на проби
Големите независими лаборатории поддържат часовник в Интернет, като постоянно заснемат нови проби от зловреден софтуер. Разбира се, те трябва да оценят стотици заподозрени, за да идентифицират тези, които са наистина злонамерени, и да определят какъв вид злонамерено поведение проявяват.
За собственото си тестване разчитам на помощ от експерти в много различни охранителни компании. Моля всяка група да предостави реални URL адреси за десет или повече „интересни“ заплахи. Разбира се, не всяка компания иска да участва, но получавам представителна извадка. Хващането на файловете от тяхното местоположение в реалния свят има две предимства. Първо, не е нужно да се занимавам с електронна поща или защита на обмена на файлове, изтривайки проби в транзит. Второ, тя премахва възможността една компания да играе в системата, като предоставя еднократна заплаха, която само техният продукт може да открие.
Писателите на зловреден софтуер непрекъснато се движат и преобразуват своите софтуерни оръжия, така че изтеглям предложените образци веднага след получаване на URL адресите. Въпреки това, някои от тях вече са изчезнали от времето, когато се опитвам да ги грабна.
Пуснете вируса!
Следващата стъпка, трудна, включва стартирането на всяка предложена проба във виртуална машина, под контрол на софтуера за мониторинг. Без да предоставям твърде много подробности, използвам инструмент, който записва всички файлове и промени в регистъра, друг, който открива промените, използващи преди и след моментни снимки на системата, и трети, който отчита за всички работещи процеси. Аз също пускам няколко скенера на rootkit след всяка инсталация, тъй като на теория rootkit може да избегне откриването от други монитори.
Резултатите често са разочароващи. Някои проби откриват, когато работят във виртуална машина и отказват да инсталират. Други искат конкретна операционна система или конкретен код на държавата, преди да предприемат действия. Други може да чакат инструкции от командно-контролен център. И няколко повреди тестовата система до степен, че тя вече не работи.
От най-новия ми набор от предложения, 10 процента вече бяха изчезнали до момента, в който се опитах да ги изтегля, а около половината от останалите бяха неприемливи по една или друга причина. От тези, които останаха, избрах три дузини, като исках да получа най-различни видове злонамерен софтуер, предложени от комбинация от различни компании.
Има ли го?
Изборът на образци на зловреден софтуер е само половината от работата. Аз също трябва да премина през reams и reams на лог файлове, генерирани по време на процеса на наблюдение. Инструментите за мониторинг записват всичко, включително промени, които не са свързани с извадката на зловреден софтуер. Написах няколко програми за филтриране и анализ, за да ми помогнат да разбера конкретните файлове и следи от системния регистър, добавени от инсталатора на зловреден софтуер.
След като инсталирах три проби на брой на дванадесет иначе идентични виртуални машини, пускам друга малка програма, която чете моите окончателни дневници и проверява дали работещите програми, файлове и следи в регистъра, свързани с пробите, действително присъстват. Доста често се налага да коригирам регистрационните си файлове, тъй като полиморфен троянец, инсталиран с използване на различни имена на файлове, отколкото се използва, когато проведох анализа си. Всъщност над една трета от сегашната ми колекция се нуждаеше от корекция за полиморфизма.
Изчезна ли?
С цялата тази подготовка завършена, анализът на успеха на почистване на определен антивирусен продукт е прост въпрос. Инсталирам продукта на всички дванадесет системи, пускам пълно сканиране и пускам инструмента за проверка, за да определя какви (ако има) следи остават зад. Продукт, който премахва всички изпълними следи и най-малко 80 процента от неизпълними боклуци, отбелязва десет точки. Ако премахне поне 20 процента от боклуците, това струва девет точки; по-малко от 20 процента получава осем точки. Ако изпълними файлове останат назад, продуктът отбелязва пет точки; това намалява до три точки, ако някой от файловете все още работи. И разбира се тотална пропуска няма точки изобщо.
Средната оценка на точките за всяка от три дузини проби ми дава доста добър поглед върху това колко добре продуктът се справя с почистващите зловредни програми тестови системи. В допълнение получавам практически опит от процеса. Да предположим, че два продукта получават еднакви оценки, но единият е инсталиран и сканиран без проблеми, а другият изисква часове работа с техническа поддръжка; първата е очевидно по-добра.
Сега знаете какво влиза в диаграмата за премахване на злонамерен софтуер, която включвам във всеки антивирусен преглед. Това е тон работа веднъж годишно, но тази работа се отплаща в пика.