视频: Английский язык для малышей - Мяу-Мяу - сборник серий - 1- 5 серии - учим английский (十一月 2024)
计算机病毒已经存在很多年了。 在早期,检测只是将文件与一组已知签名进行匹配的简单问题。 一些防病毒程序甚至还列出了可以检测到的所有威胁。 如今情况已经大不相同,恶意软件编写者一直在努力创建可变形和发展的恶意软件,因此它无法被基于签名的检测所捕获。 我与ICSA Labs的首席新兴威胁研究员Roger Thompson进行了交谈,谈到如何更改反恶意软件程序以及如何更改这些产品的测试。
事情发生的方式
鲁本金(Rubenking) :您能否说一说ICSA Labs的确切含义及其作用?
汤普森 :我们根据商定的历史标准对防病毒产品进行认证。 上世纪90年代,有必要区分防病毒炒作和实际的实际结果。 您还记得,那时人们可以说出自己喜欢的产品,而没人能证明或反驳它。 需要一个有头脑的人说:“这行之有效,这行不通,这行不通。”
供应商同意他们需要一个中立的第三方来做到这一点。 当然,针对野外实际存在的病毒进行测试要比对已知的“动物”进行测试总是更加重要。 因此,野外列表是从这种需求中发展出来的,即一种与厂商无关的已知恶意软件组合。
同样在90年代,艾伦·所罗门(Alan Solomon)说服所有人,检测恶意软件的通用类型方法不是一个好主意。 相反,需要的是一些扫描仪,可以 准确 确定存在的病毒以及 确切的 清除方法。 全世界都同意了,并投票支持他们的钱包以支持这种扫描仪。
从历史上看,通用检测的问题是它会导致支持电话。 防病毒软件说,我们发现您系统上的某些进程正在修改可执行文件,或者某些可执行文件已更改。 你改变了吗? 这导致了支持电话,而《财富》 500强公司则不予批准。 基于签名的防病毒要么说“这是病毒!” 或什么也没说。
将会如何
汤普森 :仍然基本需要测试基于签名的扫描仪,以确保它们跟上潮流。 他们能检测到吗? 这就是已经做的事情,仍然有需要。 但是,数字变化很大,每天都会创建大量的绒毛东西。 现在还需要测试反恶意软件检测其从未见过的事物的能力。
鲁本金 :绒毛的东西? 那是什么意思?
汤普森 :您知道,没有人知道真实的数字。 ESET伙计们用啤酒告诉我,他们每天看到600, 000个新的独特恶意软件样本。 我记得赛门铁克的一份报告称每天有100万个新的独特物品。 但事实是,大多数是通过算法创建的。 坏人只是更改了一些不重要的代码,重新编译,重新打包和重新加密。 然后他们检查当前的扫描仪是否检测到新版本。 如果没有,他们将其释放。
检测您已经知道的内容真的很容易。 就像股票市场; “只是”低买高卖。 问题是,使用这些独特的病毒,基本行为不会改变,只是蓬松的位。 活动,注册表修改,更改文件…该行为不会改变。 因此,测试必须采取行动,将行为阻止纳入交易的一部分。
Rubenking :您会很快添加此下一代测试吗?
汤普森 :我们正在努力让供应商同意这是一件好事。 他们通常都同意,但是实际上进行测试并非易事。
Rubenking :您的新流程是什么样的?
汤普森 :很难。 这就是为什么人们不想这样做。 您从一个干净的系统开始,运行恶意软件,然后查看是否已安装。 之后,您必须能够进行司法鉴定。 恶意软件是否感染了系统? 是否更改了注册表项? 它是否具有持久性,以便能够在重新启动后生存下来? 然后,您必须还原到干净的基准才能再次执行此操作。
Rubenking :听起来很像AV-Comparatives进行的动态测试。
汤普森 :是的,非常相似。
鲁本金 :您已经准备好出发了,但是供应商还没有呢? 因此,您不知道新测试何时生效?
汤普森 :我们准备出发了。 我不太了解供应商的状况。 我们会尽快与您联系。]此外,问题的一部分是找到我们自己的恶意软件来源,收集垃圾邮件源等。 我们需要知道那里到底有什么。
让坏人生活艰难
汤普森 :这是正确的前进方向。 我们不能停止做我们一直做的事情,但是当反恶意软件供应商添加基于行为的阻止时,恶意分子就很难被击败。 他们可以通过调整不重要的内容来击败签名,但是要击败行为阻止者,他们必须实际更改行为,并处理不同的行为定义。
Rubenking :因此,各种具有不同行为阻止类型的反恶意软件供应商将使坏人的生活变得艰难吗?
汤普森 :是的。 就像瑞士奶酪的比喻。 一块奶酪有孔,但是如果您在另一层上分层,它就会掩盖孔。 戴上足够的钻头,不留孔。
鲁本金 :谢谢,罗杰!
