Видео: Маша и Медведь (Masha and The Bear) - Подкидыш (23 Серия) (Октября 2024)
Своевременность является одной из причин. Я прилагаю все усилия, чтобы проверить каждый новый продукт безопасности, как только он будет выпущен. Лаборатории проводят свои тесты по графику, который редко соответствует моим потребностям. Полнота это другое. Не каждая охранная компания участвует в каждой лаборатории; некоторые вообще не участвуют. Для тех, кто не участвует, мои собственные результаты - это все, что мне нужно. Наконец, практическое тестирование дает мне представление о том, как продукт и компания справляются с такими сложными ситуациями, как вредоносное ПО, препятствующее установке защитного программного обеспечения.
Чтобы получить разумное сравнение, мне нужно запустить каждый антивирусный продукт для одного и того же набора образцов. Да, это означает, что я никогда не тестирую вредоносные программы нулевого дня. Я полагаюсь на лаборатории с их большими ресурсами для проведения такого рода тестирования. Создание нового набора зараженных тестовых систем занимает много времени, поэтому я могу позволить себе делать это только один раз в год. Принимая во внимание, что мои образцы не являются новыми, вы можете подумать, что все продукты безопасности будут хорошо с ними справляться, но это не то, что я наблюдаю.
Сбор образцов
Крупные независимые лаборатории постоянно следят за интернетом, постоянно собирая новые образцы вредоносных программ. Конечно, им приходится оценивать сотни подозреваемых, выявлять действительно злонамеренных и определять, какое вредоносное поведение они проявляют.
Для собственного тестирования я полагаюсь на помощь экспертов из многих компаний, занимающихся вопросами безопасности. Я прошу каждую группу предоставить реальные URL-адреса для десяти или около того «интересных» угроз. Конечно, не каждая компания хочет участвовать, но я получаю представительный образец. Извлечение файлов из их реального местоположения имеет два преимущества. Во-первых, мне не нужно заниматься защитой электронной почты или обмена файлами, уничтожая образцы в пути. Во-вторых, это исключает возможность того, что одна компания может использовать систему, предоставляя разовую угрозу, которую может обнаружить только их продукт.
Авторы вредоносных программ постоянно перемещают и трансформируют свое программное обеспечение, поэтому я загружаю предложенные образцы сразу же после получения URL-адресов. Тем не менее, некоторые из них уже исчезли, когда я пытаюсь их схватить.
Выпустите Вирус!
Следующий трудный этап включает запуск каждого предлагаемого образца на виртуальной машине под контролем программного обеспечения для мониторинга. Не отдавая слишком много подробностей, я использую инструмент, который записывает все изменения файлов и реестра, другой, который обнаруживает изменения с использованием снимков системы до и после, и третий, который сообщает обо всех запущенных процессах. Я также запускаю пару сканеров руткитов после каждой установки, так как теоретически руткит может избежать обнаружения другими мониторами.
Результаты часто разочаровывают. Некоторые образцы обнаруживают, когда они работают на виртуальной машине, и отказываются устанавливать. Другие хотят конкретную операционную систему или код страны, прежде чем они предпримут действия. Третьи могут ожидать инструкций от командно-контрольного центра. И несколько повредили тестовую систему до такой степени, что она больше не работает.
Из моего последнего набора предложений 10 процентов уже исчезли к тому времени, когда я пытался загрузить их, и около половины остальных были неприемлемы по той или иной причине. Из оставшихся я выбрал три десятка, пытаясь найти множество типов вредоносных программ, предложенных различными компаниями.
Это там?
Выбор образцов вредоносного ПО - это только половина работы. Я также должен пройти через наборы журналов, сгенерированные в процессе мониторинга. Инструменты мониторинга записывают все, включая изменения, не связанные с образцом вредоносного ПО. Я написал несколько программ фильтрации и анализа, чтобы помочь мне определить конкретные файлы и следы реестра, добавленные установщиком вредоносных программ.
После установки трех образцов на каждом из двенадцати идентичных виртуальных машин, я запускаю еще одну маленькую программу, которая считывает мои окончательные журналы и проверяет, действительно ли присутствуют запущенные программы, файлы и трассировки реестра, связанные с образцами. Довольно часто мне приходится корректировать свои журналы, потому что полиморфный троян, установленный с использованием имен файлов, отличных от того, который использовался при запуске анализа. Фактически, более трети моей нынешней коллекции нуждается в корректировке для полиморфизма.
Это ушло?
После завершения всей этой подготовки анализ успеха очистки конкретного антивирусного продукта становится простым делом. Я устанавливаю продукт на все двенадцать систем, запускаю полное сканирование и запускаю инструмент проверки, чтобы определить, какие (если они есть) следы остались. Продукт, который удаляет все исполняемые следы и по меньшей мере 80 процентов неисполняемого мусора, получает десять баллов. Если он удаляет не менее 20 процентов мусора, это стоит девять очков; менее 20 процентов получают восемь очков. Если исполняемые файлы остаются позади, продукт получает пять баллов; это сводится к трем пунктам, если какой-либо из файлов все еще работает. И, конечно, полная мисс не получает очков вообще.
Усреднение баллов для каждого из трех десятков образцов дает мне довольно хорошее представление о том, насколько хорошо продукт справляется с очисткой вредоносных тестовых систем. Кроме того, я получаю практический опыт процесса. Предположим, что два продукта получили одинаковые оценки, но один из них установлен и отсканирован без проблем, а другой - часов технической поддержки; первое явно лучше.
Теперь вы знаете, что входит в таблицу удаления вредоносных программ, которую я включаю в каждый обзор антивируса. Это тонна работы раз в год, но эта работа окупается пиками.
