Domov Securitywatch Antivírusové testovanie 101

Antivírusové testovanie 101

Video: Testovanie pohybových predpokladov žiakov ZŠ - vytrvalostný člnkový beh (November 2024)

Video: Testovanie pohybových predpokladov žiakov ZŠ - vytrvalostný člnkový beh (November 2024)
Anonim

Tímy špecializovaných výskumníkov umiestnili na rôznych miestach po celom svete desiatky antivírusových produktov pomocou vyčerpávacích testov. Niektoré z týchto antivírusových testovacích laboratórií vykonávajú postupy, ktoré trvajú mesiace. Iní vyzývajú antivírusové produkty na detekciu stoviek tisícov vzoriek. Osamelý recenzent, ako som ja, nedokáže zdvojnásobiť tieto snahy, ale stále vykonávam praktické testovanie pri každej antivírusovej kontrole. Prečo? Existuje niekoľko dôvodov.

Včasnosť je jedným z dôvodov. Snažím sa skontrolovať každý nový produkt zabezpečenia hneď po jeho vydaní. Laboratóriá vykonávajú svoje testy podľa harmonogramu, ktorý málokedy zodpovedá mojim potrebám. Komplexnosť je ďalšia. Nie každá bezpečnostná spoločnosť sa zúčastňuje na každom laboratóriu; niektorí sa vôbec nezúčastňujú. Pre tých, ktorí sa nezúčastňujú, sú moje vlastné výsledky všetko, čo musím pokračovať. Nakoniec mi praktické testovanie poskytne pocit, ako produkt a spoločnosť zvládajú ťažké situácie, ako je malware, ktorý bráni inštalácii ochranného softvéru.

Na získanie primeraného porovnania je potrebné spustiť každý antivírusový produkt proti rovnakej skupine vzoriek. Áno, to znamená, že nikdy netestujem s nulovým, nikdy predtým nevídaným škodlivým softvérom. Spolieham sa na laboratóriá, ktoré majú väčšie zdroje, aby som vykonal tento druh testovania. Vytvorenie novej sady zamorených testovacích systémov trvá dlho, takže si to môžem dovoliť len raz za rok. Vzhľadom na to, že moje vzorky nie sú vzdialene nové, mali by ste si myslieť, že so všetkými bezpečnostnými produktmi by sa s nimi zaobchádzalo dobre, ale to nie je to, čo pozorujem.

Zhromažďovanie vzoriek

Veľké nezávislé laboratóriá udržiavajú hodinky na internete a neustále zachytávajú nové vzorky škodlivého softvéru. Samozrejme musia vyhodnotiť stovky podozrivých, aby identifikovali tých, ktorí sú skutočne škodliví, a určili, aké škodlivé správanie prejavujú.

Pri vlastnom testovaní sa spolieham na pomoc odborníkov z mnohých rôznych bezpečnostných spoločností. Žiadam každú skupinu, aby poskytla adresy URL skutočných svetov pre asi takzvané „zaujímavé“ hrozby. Samozrejme, že nie každá spoločnosť sa chce zúčastniť, ale mám reprezentatívnu vzorku. Získanie súborov z ich skutočného umiestnenia má dve výhody. Najprv sa nemusím zaoberať bezpečnosťou elektronickej pošty ani výmeny súborov, ktorá by počas prenosu vymazávala vzorky. Po druhé, vylučuje možnosť, že by jedna spoločnosť mohla hrať na systém tým, že bude poskytovať jednorazovú hrozbu, ktorú dokáže odhaliť iba jej produkt.

Spisovatelia malwaru neustále vyvíjajú a menia svoje softvérové ​​zbrane, takže odporúčané vzorky sťahujem okamžite po prijatí adries URL. Napriek tomu niektoré z nich už zmizli, keď sa ich snažím chytiť.

Vydajte vírus!

Ďalší náročný krok predstavuje spustenie každej navrhovanej vzorky vo virtuálnom stroji pod kontrolou monitorovacieho softvéru. Bez toho, aby som rozdával príliš veľa detailov, používam nástroj, ktorý zaznamenáva všetky zmeny súborov a registrov, ďalší, ktorý zisťuje zmeny pomocou pred a po systémových snímok, a tretí, ktorý podáva správy o všetkých spustených procesoch. Po každej inštalácii spustím aj niekoľko skenerov rootkit, pretože teoreticky by sa rootkit mohol vyhnúť detekcii inými monitormi.

Výsledky sú často sklamaním. Niektoré vzorky zistia, kedy beží na virtuálnom počítači, a odmietnu ich nainštalovať. Iní požadujú konkrétny operačný systém alebo kód konkrétnej krajiny skôr, ako začnú konať. Iní môžu čakať na pokyn z veliteľského a riadiaceho strediska. A niekoľko poškodí testovací systém do tej miery, že už nefunguje.

Z môjho najnovšieho súboru návrhov už 10 percent zmizlo v čase, keď som sa ich pokúsil stiahnuť, a asi polovica zvyšku bola z jedného alebo druhého dôvodu neprijateľná. Z tých, ktoré zostali, som si vybral tri desiatky a hľadal som rôzne typy škodlivého softvéru, ktoré navrhla zmes rôznych spoločností.

Je to tam?

Výber vzoriek škodlivého softvéru je iba polovicou práce. Musím prejsť aj balíky a súbory protokolov generovaných počas procesu monitorovania. Monitorovacie nástroje zaznamenávajú všetko vrátane zmien, ktoré sa netýkajú vzorky škodlivého softvéru. Napísal som niekoľko programov na filtrovanie a analýzu, ktoré mi pomôžu zistiť konkrétne súbory a stopy registra pridané inštalátorom škodlivého softvéru.

Po inštalácii troch vzoriek za kus do dvanástich inak identických virtuálnych počítačov spustím ďalší malý program, ktorý prečíta moje posledné protokoly a skontroluje, či sú skutočne spustené programy, súbory a záznamy registra spojené s vzorkami. Pomerne často musím svoje denníky upravovať, pretože polymorfný trójsky kôň bol nainštalovaný pomocou rôznych názvov súborov, ako sa používali pri vykonávaní analýzy. V skutočnosti viac ako tretina mojej súčasnej zbierky potrebovala úpravu na polymorfizmus.

Je to preč?

Po dokončení tejto prípravy je analýza úspechu čistenia konkrétneho antivírusového produktu jednoduchá záležitosť. Nainštalujem produkt do všetkých dvanástich systémov, spustím úplné skenovanie a spustím môj kontrolný nástroj, aby som zistil, aké (ak vôbec) stopy zostávajú pozadu. Produkt, ktorý odstráni všetky spustiteľné stopy a najmenej 80 percent nevykonateľného odpadu obsahuje 10 bodov. Ak odstráni najmenej 20 percent nevyžiadanej pošty, stojí to za deväť bodov; menej ako 20 percent získa osem bodov. Ak zostanú spustiteľné súbory pozadu, produkt získa päť bodov; ktorá klesá na tri body, ak niektorý zo súborov stále beží. A samozrejme, totálna slečna nezískava vôbec žiadne body.

Priemerovanie bodov pre každú z troch desiatok vzoriek mi dáva celkom dobrý prehľad o tom, ako dobre produkt zvláda čistenie testovacích systémov napadnutých škodlivým softvérom. Okrem toho mám praktické skúsenosti s týmto procesom. Predpokladajme, že dva produkty získajú rovnaké skóre, ale jeden je nainštalovaný a naskenovaný bez problémov a druhý vyžaduje technickú podporu; prvý je jednoznačne lepší.

Teraz viete, čo sa týka grafu na odstránenie škodlivého softvéru, ktorý zahrnem do každej antivírusovej kontroly. Raz ročne sa jedná o tonu práce, ale táto práca sa oplatí v piky.

Antivírusové testovanie 101