İçindekiler:
- Geniş bir Ağın Dökülmesi
- Dupes ve Algılamalar
- Hashes İçin Başka Bir Kullanım
- Koş ve izle
- Durulayın ve tekrarlayın
- Son Dakika Ayarlamaları
- Fidye Yazılım İstisnası
- Bu Örnekler Ne Değildir?
Video: AVG Antivirus Free | Review and Ransomware Test (Mayıs 2024)
Burada, PCMag'de, ürünleri incelediğimizde, onları sıkma makinesine koyarız, çalıştıklarını doğrulamak için tüm özellikleri kullanırız ve sorunsuz çalışırız. Örneğin, yedek ürünler için, dosyaları doğru şekilde yedeklediklerini ve yedeklemeden geri yüklemeyi kolaylaştırdıklarını kontrol ederiz. Video düzenleme ürünleri için, oluşturma süresi gibi faktörleri ölçeriz. Sanal özel ağlar veya VPN'ler için, kıtalara yayılan performans testleri gerçekleştiriyoruz. Hepsi tamamen güvenli ve basit. Antivirüs araçlarına gelince işler biraz farklılaşıyor, çünkü gerçekten çalıştıklarını doğrulamak onları gerçek kötü amaçlı yazılımlara maruz bırakmak zorunda olduğumuz anlamına geliyor.
Zararlı Yazılımlara Karşı Test Standartları Örgütü (AMTSO) bir özellik kontrol sayfası koleksiyonu sunar; böylece virüsten koruma yazılımınızın kötü amaçlı yazılımları ortadan kaldırmak, sürücü indirmelerini engellemek, kimlik avı saldırılarını önlemek vb. İçin çalıştığından emin olabilirsiniz. Ancak, gerçek bir kötü amaçlı yazılım bulunmuyor. Katılan virüsten koruma şirketleri, AMTSO'nun simüle saldırılarını algılamak için virüsten koruma ve güvenlik paketi ürünlerini yapılandırmayı kabul eder. Ve her güvenlik şirketi katılmayı seçmez.
Dünyanın dört bir yanındaki antivirüs test laboratuvarları, sonuçları periyodik olarak raporlayan yorucu testler yoluyla güvenlik araçları kullanmaktadır. Bir ürün için laboratuvar sonuçları mevcut olduğunda, bu puanlara o ürünün incelemesinde ciddi ağırlık veririz. Takip ettiğimiz laboratuvarların dördü de bir ürün için en yüksek derecesini verirse, mükemmel bir seçim olacağından emin olabilirsiniz.
Ne yazık ki, test ettiğimiz şirketlerin ancak dörtte biri dört laboratuara da katılıyor. Başka bir çeyrek iş sadece bir laboratuarda çalışıyor ve yüzde 30'u dört kişiden hiçbirine katılmıyor. Açıkçası, uygulamalı test bir zorunluluktur.
Laboratuvarlar, kapsadığımız tüm ürünler hakkında rapor vermiş olsalar bile, yine de uygulamalı testler yaparız. Hiç deneme sürüşü yapmamış bir yazarın araba incelemesine güvenir miydiniz? Hayır!
Geniş bir Ağın Dökülmesi
Sırf ürün rapor ettiği için, "Hey, bir kötü amaçlı yazılım örneği yakaladım!" başarılı olduğu anlamına gelmez. Aslında, testlerimiz genellikle antivirüsün bir kötü amaçlı yazılım bileşenini yakaladığı, ancak diğerinin çalışmasına izin verdiği örnekleri ortaya çıkarır. Sistemde yaptığımız değişiklikleri dikkate alarak örneklerimizi ayrıntılı bir şekilde analiz etmemiz gerekir, böylece antivirüsün iddia ettiği şeyi yaptığını doğrulayabiliriz.
Bağımsız laboratuvarlarda, en son örnekleri toplamaya ve analiz etmeye adanmış araştırmacı ekipleri bulunur. PCMag, sadece kötü amaçlı yazılım toplamaktan ve analiz etmekten çok daha fazla sorumlu olan birkaç güvenlik analistine sahiptir. Yılda yalnızca bir kez yeni bir grup numuneyi analiz etmek için zaman ayırabiliriz. Numuneler aylarca kullanılmaya devam edeceğinden, daha sonra test edilen ürünler aynı numuneyi tespit etmek için daha fazla zaman avantajına sahip olabilir. Haksız bir avantajdan kaçınmak için, birkaç ay önce ortaya çıkan örneklerle başlıyoruz. Süreci başlatmak için MRG-Effitas'ın sağladığı günlük beslemeleri diğerleri arasında kullanıyoruz.
İnternete bağlı ancak yerel ağdan izole edilmiş sanal bir makinede, URL'lerin listesini alan ve ilgili örnekleri indirmeye çalışan basit bir yardımcı program kullanıyoruz. Çoğu durumda, URL elbette artık geçerli değildir. Bu aşamada 400 ila 500 örnek istiyoruz, çünkü örnek seti belirlediğimizde ciddi bir yıpranma oranı var.
İlk winnowing pass imkansız küçük dosyaları ortadan kaldırır. 100 bayttan daha az bir şey açık bir şekilde tamamlanmamış bir indirme işleminin bir parçasıdır.
Daha sonra, test sistemini internetten ayırıyoruz ve her örneği basitçe başlatıyoruz. Örneklerden bazıları, Windows sürümüyle uyumsuzluk veya gerekli dosyaların bulunmaması nedeniyle başlamıyor; Boom, gittiler. Diğerleri kurulum hatası veya başka bir problem olduğunu belirten bir hata mesajı gösteriyor. Bunları karışım içerisinde tutmayı öğrendik; Genellikle, kötü niyetli bir arka plan işlemi iddia edilen kazadan sonra çalışmaya devam ediyor.
Dupes ve Algılamalar
İki dosyanın farklı isimleri olması, farklı oldukları anlamına gelmez. Koleksiyon şemamız tipik olarak birçok kopya çıkarır. Neyse ki, aynı olup olmadıklarını görmek için her bir dosyayı karşılaştırmaya gerek yok. Bunun yerine, bir tür tek yönlü şifreleme olan bir karma işlevi kullanıyoruz. Karma işlevi her zaman aynı giriş için aynı sonucu verir, ancak biraz farklı bir giriş bile çok farklı sonuçlar verir. Ayrıca, karma durumdan orijinal haline geri dönmenin bir yolu yoktur. Aynı hash'a sahip iki dosya aynıdır.
NirSoft'un saygın HashMyFiles yardımcı programını bu amaç için kullanıyoruz. Aynı karma dosyaya sahip dosyaları otomatik olarak tanımlar ve kopyalardan kurtulmayı kolaylaştırır.
Hashes İçin Başka Bir Kullanım
VirusTotal, araştırmacıların kötü amaçlı yazılımlarla ilgili notlarını paylaşabilmeleri için bir web sitesi olarak oluşturuldu. Şu anda bir Alfabe'nin (Google'ın ana şirketi) bağlı ortaklığı, takas odası olarak çalışmaya devam ediyor.
Herkes analiz için VirusTotal'a bir dosya gönderebilir. Site, 60'tan fazla güvenlik şirketinden antivirüs motorlarını geçiyor ve örneği kaç kişinin kötü amaçlı yazılım olarak işaretlediğini bildiriyor. Aynı zamanda dosyanın karmasını da korur, bu yüzden aynı dosya tekrar belirirse, bu analizi tekrar etmesi gerekmez. Elverişli bir şekilde, HashMyFiles, bir dosyanın karma'sını VirusTotal'a göndermek için tek tıklatma seçeneğine sahiptir. Bu ana kadar yapılan örnekleri inceledik ve VirusTotal'un her biri hakkında ne söylediğini not alın.
Elbette, en ilginç olanları, VirusTotal'un hiç görmediği şeylerdir. Tersine, 60 motordan 60'ı bir dosyaya temiz bir sağlık faturası verirse, kötü amaçlı yazılım olmaması ihtimali iyidir. Algılama rakamlarını kullanmak, numuneleri büyük olasılıkla en düşük olasılıkla sıraya koymamıza yardımcı olur.
VirusTotal'un kendisini, gerçek bir antivirüs motoru yerine kimsenin kullanmaması gerektiğini açıkça belirtti. Buna rağmen, kötü amaçlı yazılım koleksiyonumuz için en iyi fırsatların belirlenmesinde büyük bir yardım.
Koş ve izle
Bu noktada, uygulamalı analiz başlar. Her örneği çalıştırmak ve izlemek için bir şirket içi program (zekice RunAndWatch) kullanırız. InCtrl (Kurulum Denetiminin kısaltması) adlı bir PCMag yardımcı programı, kötü amaçlı yazılımın başlatılmasından önce ve sonra Kayıt Defteri'nin ve dosya sisteminin anlık görüntüsünü alır ve neyin değiştiğini bildirir. Elbette, bir şeyin değiştiğini bilmek kötü amaçlı yazılım örneğinin onu değiştirdiğini kanıtlamaz.
Microsoft'un ProcMon İşlem İzleyicisi, tüm etkinlikleri gerçek zamanlı olarak izler ve her işlem tarafından Kayıt Defteri ve dosya sistemi eylemlerini (diğer şeylerin yanı sıra) kaydeder. Filtrelerimizde bile günlükleri çok büyük. Ancak InCtrl5 tarafından bildirilen değişiklikleri, bu değişiklikleri yapan işlemlerle ilişkilendirmemize yardımcı olurlar.
Durulayın ve tekrarlayın
Büyük kütükleri önceki adımdan işe yarar bir şey haline getirmek zaman alır. Başka bir kurum içi program kullanarak, kopyaları elimine ediyoruz, ilgi çekici görünen girişleri topluyoruz ve kötü amaçlı yazılım örneğiyle açıkça ilgisi olmayan verileri siliyoruz. Bu bir bilim kadar bir sanattır; gereksiz maddeleri hızlı bir şekilde tanımak ve önemli girişleri yakalamak çok fazla tecrübe gerektirir.
Bazen bu filtreleme işleminden sonra, geriye kalan hiçbir şey kalmaz, yani numunenin yaptığı her şeyi basit analiz sistemimiz kaçırmıştır. Bir örnek bu adımı aştığında, başka bir şirket içi filtreden geçer. Bu, kopyalara daha yakından bakar ve günlük verilerini test sırasında kötü amaçlı yazılım izlerini kontrol eden son araç tarafından kullanılan bir formata koymaya başlar.
Son Dakika Ayarlamaları
Bu sürecin doruk noktası NuSpyCheck yardımcı programımızdır (casus yazılımların daha yaygın olduğu bir zaman önce adlandırılmış). Tüm numuneler işlenmiş halde NuSpyCheck'i temiz bir test sisteminde çalıştırıyoruz. Sıklıkla, kötü amaçlı yazılım izleri olduğunu düşündüğümüz bazılarının sistemde zaten bulunduğunu kanıtlar. Bu durumda, NuSpyCheck'i düzenleme moduna çevirip bunları kaldırıyoruz.
Bir tane daha slogan var ve önemli bir tanesi. Sanal makineyi testler arasında temiz bir anlık görüntüye sıfırlayarak, her örneği başlattık, bitmesine izin verin ve sistemi NuSpyCheck ile kontrol edin. Burada yine, veri yakalama sırasında ortaya çıkan bazı izler vardır, ancak test zamanında görünmezler, belki de geçici oldukları için. Ayrıca, pek çok kötü amaçlı yazılım örneği, her seferinde farklı olan dosyalar ve klasörler için rasgele oluşturulmuş adlar kullanır. Bu polimorfik izler için, "sekiz basamaklı çalıştırılabilir ad" gibi deseni açıklayan bir not ekledik.
Birkaç numune daha alanı bu son aşamada terk eder, çünkü tüm veri noktalarının tıraş edilmesiyle ölçülecek hiçbir şey kalmamıştır. Kalanlar bir sonraki zararlı yazılım örnekleri haline geldi. Orijinal 400’den 500’e kadar URL’lerden, genellikle yaklaşık 30’a yaklaşıyoruz.
Fidye Yazılım İstisnası
Ünlü Petya gibi sistem kilidi fidye yazılımı, sabit diskinizi şifreleyerek, fidyeyi ödeyene kadar bilgisayarı kullanılamaz hale getirir. Daha yaygın dosya şifreleme ransomware türleri, dosyalarınızı arka planda şifreler. Kirli senetleri yaptıklarında, fidye için büyük bir talep açarlar. Antivirüsün bunlardan birini özlediğini tespit etmek için bir yardımcı programa ihtiyacımız yok; kötü amaçlı yazılım kendini düz yapar.
Pek çok güvenlik ürünü, temel antivirüs motorlarının ötesinde fazladan fidye yazılımı koruması katıyor. Bu mantıklı. Antivirüsünüz bir Trojan saldırısını kaçırırsa, yeni imzaları aldıktan birkaç gün sonra muhtemelen temizleyecektir. Ama fidye yazılımını kaçırırsa, şansın kalmaz. Mümkün olduğunda, temel antivirüs bileşenlerini devre dışı bırakırız ve fidye yazılımı koruma sisteminin tek başına dosyalarınızı ve bilgisayarınızı güvende tutabildiğini test ederiz.
Bu Örnekler Ne Değildir?
Büyük antivirüs test laboratuarları statik dosya tanıma testleri için binlerce dosya ve dinamik testler için yüzlerce dosya kullanabilir (yani örnekleri başlatırlar ve antivirüsün ne yaptığını görürler). Bunun için çalışmıyoruz. 30 garip örneğimiz, virüsten koruma yazılımının saldırının nasıl işlediğine dair bir fikir edinmemizi sağlar ve laboratuvarlardan sonuç alınmadığında, geri çekilecek bir şeyimiz olur.
Fidye yazılımı, Truva atları, virüsler ve daha fazlası dahil olmak üzere birçok kötü amaçlı yazılım türünün karışımını sağlamaya çalışıyoruz. Ayrıca, gerekirse test edilen üründe PUA algılamayı açtığınızdan emin olarak bazı istenmeyen uygulamalar (PUA'lar) da içerir.
Bazı kötü amaçlı yazılım uygulamaları sanal bir makinede çalıştıklarını algılar ve kötü faaliyetlerden kaçınırlar. Bu iyi; biz sadece bunları kullanmıyoruz. Bazıları aktifleşmeden önce saatler veya günler bekler. Bir kez daha, bunları kullanmıyoruz.
Umarız, uygulamalı kötü amaçlı yazılımlara karşı koruma testlerimizdeki perde arkasına bakarken, virüsten koruma korumasını ne kadar zaman harcayacağımıza dair size bazı bilgiler verir. Daha önce de belirtildiği gibi, büyük laboratuvarların yaptıkları gibi sadık bir virüsten koruma araştırmacısı ekibimiz yok, ancak başka hiçbir yerde bulamayacağınızı bildiren siperlerinizi getiriyoruz.
