家评论我们如何收集恶意软件以进行动手防病毒测试

我们如何收集恶意软件以进行动手防病毒测试

2024

视频: ä¸è¦å²ç¬æåçæ§ (十月 2024)

在PCMag上，当我们审查产品时，我们将它们放入绞拧器中，行使所有功能以确认它们正常工作并正常工作。例如，对于备份产品，我们检查它们是否正确备份了文件，并使从备份中还原变得容易。对于视频编辑产品，我们测量渲染时间等因素。对于虚拟专用网络或VPN，我们运行跨大洲的性能测试。这一切都非常安全和简单。涉及防病毒工具时，情况会有所不同，因为要真正验证其是否有效就意味着我们必须对它们进行真正的恶意软件处理。

反恶意软件测试标准组织（AMTSO）提供了功能检查页面的集合，因此您可以确保防病毒软件正在消除恶意软件，阻止偷渡式下载，防止网络钓鱼攻击等。但是，没有涉及到实际的恶意软件。参与其中的防病毒公司只是同意配置其防病毒和安全套件产品，以检测AMTSO的模拟攻击。并非每个安全公司都选择参加。

全世界的防病毒测试实验室通过严苛的测试对安全工具进行了测试，并定期报告结果。当有产品可用的实验室结果时，我们会在该产品的评论中给予那些分数以重大的重视。如果我们遵循的所有四个实验室都将其产品评为最高等级，那么它肯定是一个绝佳的选择。

不幸的是，我们测试的公司中仅有四分之一参与了所有四个实验室。另外四分之一的工作只与一个实验室进行，而全部30％的实验室则不参与其中的四个实验室。显然，必须进行动手测试。

即使实验室报告了我们涵盖的所有产品，我们仍然会进行动手测试。您会相信甚至从未参加过试驾的作家的汽车评论吗？不。

查看我们如何测试防病毒和安全软件

铸网

仅仅因为该产品报告“嘿，我捕获了一个恶意软件样本！” 并不意味着成功。实际上，我们的测试通常会发现防病毒软件捕获了一个恶意软件组件但又允许另一个恶意软件组件运行的实例。我们需要彻底分析样本，注意它们对系统所做的更改，因此我们可以确认防病毒软件是否达到了要求。

独立实验室拥有一批研究人员，致力于收集和分析最新样本。 PCMag只有几个安全分析师，他们不仅负责收集和分析恶意软件，还承担更多责任。我们每年只能花时间分析一组新样本。由于样品将保持使用数月，因此以后测试的产品可能具有更多时间来检测花蕾中相同样品的优点。为了避免任何不公平的优势，我们从几个月前出现的样本开始。我们使用MRG-Effitas等提供的每日饲料来启动该过程。

在连接到Internet但与本地网络隔离的虚拟机中，我们运行一个简单的实用程序，该实用程序获取URL列表并尝试下载相应的示例。当然，在许多情况下，URL不再有效。在此阶段，我们需要400到500个样本，因为随着我们逐渐减少样本集，损耗率会很高。

第一次风选通过消除了不可能很小的文件。少于100字节的内容显然是未完成下载的片段。

接下来，我们将测试系统与互联网隔离开来，并简单地启动每个样本。由于与Windows版本不兼容或缺少所需文件，因此某些示例无法启动。繁荣，他们走了。其他显示错误消息，指示安装失败或其他问题。我们已经学会了将它们混在一起。通常，恶意的后台进程在所谓的崩溃后仍然可以正常工作。

重复和检测

仅仅因为两个文件具有不同的名称并不意味着它们就不同。我们的收集方案通常会发现很多重复项。幸运的是，无需比较每对文件以查看它们是否相同。相反，我们使用哈希函数，这是一种单向加密。哈希函数对于相同的输入总是返回相同的结果，但是即使输入稍有不同也会产生截然不同的结果。此外，没有办法将哈希从原始值还原到原始值。具有相同散列的两个文件是相同的。

为此，我们使用NirSoft古老的HashMyFiles实用程序。它会自动识别具有相同哈希值的文件，从而轻松消除重复项。

散列的另一种用途

VirusTotal最初是一个网站，供研究人员共享有关恶意软件的注释。目前，Alphabet的子公司（谷歌的母公司）继续充当票据交换所。

任何人都可以将文件提交给VirusTotal进行分析。该站点运行来自60多家安全公司的防病毒引擎样本，并报告有多少样本将该样本标记为恶意软件。它还会保存文件的哈希，因此，如果再次显示同一文件，则不必重复该分析。方便地，HashMyFiles具有一键式选项，可将文件的哈希发送到VirusTotal。我们浏览了到目前为止的示例，并注意VirusTotal对每个示例的看法。

当然，最有趣的是VirusTotal从未见过的。相反，如果60个引擎中有60个为文件提供了清晰的健康清单，则很有可能不是恶意软件。使用检测数字有助于我们按最有可能到最不可能的顺序对样本进行排序。

请注意，VirusTotal本身明确指出，没有人可以使用它代替实际的防病毒引擎。即使这样，对于确定我们的恶意软件收集的最佳前景还是很有帮助的。

跑步和观看

此时，动手分析开始。我们使用内部程序（统称为RunAndWatch）来运行和观看每个样本。一个名为InCtrl（安装控制程序的缩写）的PCMag实用程序在恶意软件启动前后对注册表和文件系统进行快照，以报告更改内容。当然，知道有所更改并不能证明恶意软件样本对其进行了更改。

Microsoft的ProcMon Process Monitor实时监视所有活动，并记录每个进程的注册表和文件系统操作（除其他外）。即使使用我们的过滤器，其日志也很大。但是它们可以帮助我们将InCtrl5报告的更改与进行这些更改的进程联系起来。

冲洗并重复

将上一步中的大量日志整理成可用的东西需要花费时间。使用另一个内部程序，我们将消除重复项，收集似乎令人感兴趣的条目，并清除显然与恶意软件样本无关的数据。这是一门艺术，也是一门科学。快速识别不必要的项目并捕获重要条目需要大量的经验。

有时，在此过滤过程之后，什么也没剩下，这意味着无论样品做什么，我们的简单分析系统都会错过它。如果样品经过此步骤，则将通过另一个内部过滤器。这将仔细检查重复项，然后开始将日志数据转换为最终工具使用的格式，该工具会在测试过程中检查恶意软件的踪迹。

最后时刻的调整

这个过程的高潮是我们的NuSpyCheck实用程序（在间谍软件更加流行之前就已被命名为古老）。处理完所有样本后，我们在干净的测试系统上运行NuSpyCheck。通常，我们会发现我们认为某些恶意软件踪迹已被证明已经存在于系统中。在这种情况下，我们将NuSpyCheck置于编辑模式并删除它们。

还有一个口号，这很重要。在两次测试之间将虚拟机重置为干净的快照，我们启动每个示例，使其运行完毕，然后使用NuSpyCheck检查系统。同样，这里总是有一些痕迹似乎在数据捕获期间显示，但在测试时没有显示，可能是因为它们是暂时的。此外，许多恶意软件样本使用随机生成的文件和文件夹名称，每次都不同。对于那些多态痕迹，我们添加了描述模式的注释，例如“八位数的可执行名称”。

在此最后阶段，还有更多的样本离开该领域，因为所有数据点都被刮掉了，没有什么可测量的了。剩下的将成为下一组恶意软件样本。从最初的400个到500个URL，我们通常会增加到30个左右。

勒索软件异常

像臭名昭著的Petya这样的系统锁定勒索软件会加密您的硬盘驱动器，从而使计算机无法使用，直到您支付赎金为止。更常见的文件加密勒索软件类型在后台加密您的文件。当他们做了肮脏的事时，他们对赎金的需求很大。我们不需要实用程序来检测杀毒软件是否错过了其中一种病毒。该恶意软件使自己显得很普通。

除了基本的防病毒引擎之外，许多安全产品还增加了勒索软件保护的额外层。那讲得通。如果您的防病毒软件错过了Trojan攻击，它可能会在获得新特征后的几天内将其清除。但是，如果它错过了勒索软件，那您就不走运了。在可能的情况下，我们会禁用基本的防病毒组件并测试勒索软件保护系统是否可以单独保护您的文件和计算机安全。