视频: ä¸è¦å²ç¬æåçæ§ (十一月 2024)
及时性是原因之一。 我会尽力在每个新的安全产品发布后对其进行审查。 实验室按很少能满足我需求的时间表进行测试。 全面性是另一个。 并非每个安全公司都参与每个实验室。 有些根本不参加。 对于那些不参加的人,我自己要做的就是继续努力。 最后,动手测试使我对产品和公司如何处理严峻情况感到满意,例如阻止安装保护性软件的恶意软件。
为了进行合理的比较,我需要针对同一组样本运行每种防病毒产品。 是的,这意味着我永远都不会使用零日制,前所未有的恶意软件进行测试。 我依靠具有更多资源的实验室来进行这种测试。 创建一套新的受感染的测试系统需要很长时间,因此我每年只能做一次。 鉴于我的样本并非遥不可及,您会认为所有安全产品都可以很好地处理它们,但这不是我观察到的。
收集样品
大型的独立实验室在互联网上保持监视,不断捕获新的恶意软件样本。 当然,他们必须评估成百上千的嫌疑人,以识别那些真正恶意的人,并确定他们表现出何种恶意行为。
对于我自己的测试,我依靠许多不同安全公司的专家的帮助。 我请每个小组提供真实的URL,以应对十种左右的“有趣”威胁。 当然,并不是每个公司都想参加,但是我得到了代表样本。 从实际位置抓取文件有两个好处。 首先,我不必处理电子邮件或文件交换安全性,从而消除了运输中的样本。 其次,它消除了一个公司通过提供仅其产品可以检测到的一次性威胁来对系统进行游戏的可能性。
恶意软件编写者一直在移动和改进其软件武器,因此,我在收到URL后立即下载建议的示例。 即使这样,当我尝试抓住它们时,它们中的一些已经消失了。
释放病毒!
下一步是一项艰巨的任务,需要在监视软件的监督下,在虚拟机中启动每个建议的样本。 在不遗漏过多细节的情况下,我使用了一个工具来记录所有文件和注册表更改,另一个工具使用系统快照之前和之后检测更改,第三个工具报告所有正在运行的进程。 每次安装后,我还会运行几个rootkit扫描程序,因为从理论上讲,rootkit可能会逃避其他监视器的检测。
结果经常令人失望。 一些示例检测它们何时在虚拟机中运行,并拒绝安装。 其他人则需要采取特定的操作系统或特定的国家/地区代码,然后才能采取行动。 还有一些人可能正在等待命令和控制中心的指令。 还有一些损坏测试系统,使其不再工作。
在我最近的建议中,当我尝试下载这些建议时,已经有10%的建议已经消失了,其余的大约一半由于某种原因而无法接受。 从剩下的那些中,我选择了三打,以寻求由不同公司组合建议的各种恶意软件类型。
有吗
选择恶意软件样本只是工作的一半。 我还必须仔细检查监视过程中生成的日志文件。 监控工具会记录所有内容,包括与恶意软件样本无关的更改。 我编写了一些过滤和分析程序,以帮助我弄清恶意软件安装程序添加的特定文件和注册表跟踪。
在三个相同的虚拟机中分别安装了三个样本后,我运行另一个小程序,读取最终日志并检查与这些样本相关联的正在运行的程序,文件和注册表跟踪是否确实存在。 通常,我必须调整日志,因为安装的多态特洛伊木马使用的文件名与运行分析时使用的文件名不同。 实际上,我当前收藏中的三分之一以上需要针对多态性进行调整。
消失了吗?
完成所有准备工作后,分析特定防病毒产品的清除成功是一件简单的事情。 我将产品安装在所有十二个系统上,运行全面扫描,然后运行我的检查工具以确定是否保留了哪些(如果有)跟踪。 删除所有可执行痕迹的产品,至少80%的非可执行垃圾得分为10分。 如果它消除了至少20%的垃圾,那将价值9分; 少于20%的人可获得8分。 如果可执行文件仍然保留,则该产品得分为5分; 如果任何文件仍在运行,则下降到三点。 当然,总的失误一点都没有。
对三个打样中的每一个进行平均,可以使我很好地了解产品如何处理感染了恶意软件的测试系统。 另外,我获得了该过程的动手经验。 假设两种产品获得相同的分数,但是其中一种安装和扫描没有问题,而另一种需要技术支持工作时间; 首先显然更好。
现在您知道了我在每次防病毒评论中都包含的恶意软件清除表中包含的内容。 每年一次的工作量很大,但是那笔工作会成倍地回报。
