Video: Yavaş Bilgisayarı Hızlandırma ve Virüsleri Temizlemek 2020 (Eylül 2024)
Bilgisayar virüsleri yıllarca var olmuştur. İlk günlerde, algılama, bilinen bir imza kümesine karşı dosyaları eşleştirmenin basit bir sorunuydu. Hatta bazı antivirüs programları tespit edebilecekleri tüm tehditlerin bir listesini bile içeriyordu. Bu günlerde işler oldukça farklı, kötü amaçlı yazılım yazarları morph ve gelişen kötü amaçlı yazılım oluşturmak için çok çalışıyorlar, bu nedenle imza tabanlı algılama tarafından yakalanamazlar. ICSA Laboratuarları için Gelişmekte Olan Tehdit Araştırmacısı Şefi Roger Thompson ile kötü amaçlı yazılımdan koruma programlarının nasıl değişmesi gerektiği ve bu ürünlerin test edilmesinin nasıl değişmesi gerektiği hakkında konuştum.
İşlerin Olduğu Yol
Rubenking : ICSA Laboratuarlarının tam olarak ne olduğu ve ne işe yaradığı hakkında birkaç söz söyleyebilir misiniz?
Thompson : Antivirüs ürünlerini üzerinde anlaşılan tarihsel kriterlere göre sertifikalandırıyoruz. 90'lı yılların başında, antivirüs yutturmaca ve gerçek, gerçek dünya sonuçları arasında bir ayrım yapmak gerekiyordu. Siz hatırladığınızda, o zamanlar insanlar ürünlerinden hoşlandıkları her şeyi söyleyebilirlerdi ve kimse bunu ispatlayamaz ya da ispatlayamazdı. Beynine sahip birisinin, "Bu işe yarıyor, bu işe yaramıyor, söylediklerini yapmıyor" demesine ihtiyaç vardı.
Satıcılar bunu yapmak için tarafsız bir üçüncü tarafa ihtiyaç duyduklarını kabul ettiler. Elbette, vahşi doğada var olan virüsleri test etmek her zaman bilinen bir "hayvanat bahçesine" göre daha önemlidir. Böylece, vahşi liste bu ihtiyaçtan büyüdü - bilinen bir zararlı yazılım satıcısının tarafsız bir bileşimi.
Ayrıca 90'lı yılların başlarında, Alan Solomon herkesi kötü amaçlı yazılımları tespit etmenin genel tür yöntemlerinin kötü bir fikir olduğuna ikna etti. Bunun yerine aranan, tam olarak hangi virüsün mevcut olduğunu ve tam olarak nasıl temizleneceğini belirleyebilecek bazı tarayıcılardı. Dünya kabul etti ve bu tür tarayıcıları desteklemek için cüzdanlarıyla oy kullandı.
Genel algılama ile ilgili sorun, tarihsel olarak destek çağrılarına neden olmasıdır. Antivirüs, sisteminizdeki bazı işlemlerin yürütülebilir dosyaları değiştirdiğini veya bazı çalıştırılabilir dosyaların değiştiğini söylüyor; değiştirdin mi Bu bir destek çağrısıyla sonuçlanır ve Fortune 500'ler onaylamaz. İmza tabanlı bir virüsten koruma yazılımı ya "bu bir virüs!" ya da hiçbir şey demiyor.
Nasıl olacak
Thompson : Hala devam etmelerini sağlamak için imza tabanlı tarayıcıları test etmek için hala temel bir ihtiyaç var. Algılayabilirler mi? İşte bu yapıldı ve hala bir ihtiyaç var. Bununla birlikte, sayılar çok değişti, her gün çok sayıda tüy kabarcığı oluşuyor. Şimdi gerekli olan, anti-malware’lerin daha önce hiç görmedikleri şeyleri tespit etme yeteneklerini test etmektir.
Rubenking : Havalı şeyler? Sadece bununla ne demek istiyorsun?
Thompson : Biliyorsun, kimse gerçek rakamları bilmiyor. ESET çalışanları bana bir biranın üzerinde, her gün 600.000 yeni, benzersiz kötü amaçlı yazılım örneği gördüklerini söyledi. Symantec'in her gün milyonlarca yeni ve benzersiz eşya olduğunu iddia eden bir raporunu hatırlıyorum. Ancak gerçek şu ki, çoğunluk algoritmik olarak oluşturuldu. Kötü adamlar sadece önemsiz bazı kodları değiştirir, yeniden derler, yeniden paketler ve yeniden şifreler. Ardından mevcut tarayıcıların yeni sürümü algılayıp algılamadığını kontrol ederler. Değilse, serbest bırakırlar.
Zaten bildiklerini anlamak çok kolay. Borsa gibi; "sadece" düşük al ve sat. Mesele şu ki, bu eşsiz virüslerle altta yatan davranış değişmiyor, sadece kabarık bitler. Etkinlik, Kayıt defteri değişikliği, dosyaları değiştirme … bu davranış değişmez. Bu nedenle test, anlaşmanın bir parçası olarak davranış engellemeyi içerecek şekilde hareket etmelidir.
Rubenking : Bu yeni nesil testi yakında ekleyecek misiniz?
Thompson : Satıcıların iyi bir şey olduğu konusunda hemfikir olmaya çalışıyoruz. Genelde hemfikirdirler, ancak aslında testi yapmak o kadar kolay değildir.
Rubenking : Yeni süreciniz nasıl?
Thompson : Çok zor; bu yüzden insanlar bunu yapmak istemiyor. Temiz bir sistemle başlar, kötü amaçlı yazılımı çalıştırır ve kurulup kurulmadığına bakın. Daha sonra sistemi adli olarak inceleyebilmelisiniz. Kötü amaçlı yazılım sistemi etkiledi mi? Kayıt defteri anahtarlarını değiştirdi mi? Yeniden başlatmaya devam edebilmek için kalıcı mı oldu? O zaman tekrar yapmak için temiz bir taban çizgisine geri yüklemelisiniz.
Rubenking : AV-Comparatives tarafından gerçekleştirilen dinamik testlere çok benziyor.
Thompson : Evet, çok benzer.
Rubenking : Gitmeye hazırsın, ama satıcılar öyle değil mi? Yeni testin ne zaman yürürlüğe gireceğini bilmiyor musunuz?
Thompson : Gitmeye hazırız. Satıcılarla durumun ne olduğunu tam olarak bilmiyorum; bu konuda size geri döneceğiz. ] Ayrıca, sorunun bir kısmı kendi kötü amaçlı yazılım kaynaklarımızı bulmak, spam yayınlarını toplamak ve benzeri bir şey. Dışarıda gerçekte ne olduğunu bilmemiz gerek.
Kötü Adamlar İçin Hayatı Zorlaştırın
Thompson : Bu doğru yol. Her zaman yaptığımız şeyi yapmayı bırakamayız, ancak kötü amaçlı yazılımdan koruma yazılımı satıcıları davranışa dayalı engelleme eklediğinde, kötü adamların dövmesi çok zorlaşır. Önemsiz şeyleri çimdikleyerek imzaları yenebilirler, ancak davranış engellemenin üstesinden gelmek için davranışları gerçekten değiştirmeleri ve farklı davranış tanımları ile uğraşmaları gerekir.
Rubenking : Öyleyse, farklı davranış engelleme türlerine sahip çeşitli anti-malware satıcıları grubu kötü adamlar için hayatı zorlaştıracak mı?
Thompson : Kesinlikle. İsviçre peyniri analojisi gibi. Bir parça peynirin delikleri vardır, ancak başka bir bitin üzerine katlarsanız delikleri kaplar. Yeterince bit koyun ve hiç delik kalmadı.
Rubenking : Teşekkürler Roger!
