Taula de continguts:
- Emetre una àmplia xarxa
- Dúplex i Deteccions
- Un altre ús per als hashes
- Córrer i veure
- Esbandir i repetir
- Ajustaments d'última hora
- L’excepció de Ransomware
- Què no són aquestes mostres
Vídeo: Тестирование Comodo Antivirus 2019 ver. 12.1 (Setembre 2024)
Aquí a PCMag, quan revisem els productes, els posem a través de la pell, exercitant totes les funcions per confirmar que funcionen i funcionen sense problemes. Per exemple, per als productes de còpia de seguretat, comprovem que realitzen una còpia de seguretat de fitxers correctament i faciliten la restauració de còpia de seguretat. Per als productes d’edició de vídeo, mesurem factors com ara el temps de renderització. Per a xarxes privades virtuals o VPN, fem proves de rendiment que s'estenen en continents. Tot això és perfectament segur i senzill. Les coses es diferencien una mica a l’hora d’eines antivirus, perquè verificar el seu funcionament significa que hem de sotmetre-les a programari maliciós real.
L’organització de proves d’anti-malware (AMTSO) ofereix una col·lecció de pàgines de comprovació de funcions, de manera que us assegureu que el vostre antivirus treballa per eliminar programari maliciós, bloquejar les descàrregues drive-by, evitar atacs de phishing, etc. Tot i això, no hi ha programari maliciós real . Les empreses antivirus participants només acorden configurar els seus productes antivirus i suite de seguretat per detectar els atacs simulats de AMTSO. No totes les empreses de seguretat decideixen participar-hi.
Els laboratoris de proves antivirus de tot el món posen eines de seguretat mitjançant proves esgotadores, que informen periòdicament de resultats. Quan els resultats de laboratori estiguin disponibles per a un producte, donem un pes seriós a la revisió d'aquest producte. Si tots els laboratoris que seguim donen la seva màxima qualificació a un producte, és segurament una elecció excel·lent.
Malauradament, a penes una quarta part de les empreses que testem participen amb els quatre laboratoris. Un altre trimestre treballa amb un sol laboratori i un 30 per cent del total no participa amb cap dels quatre. És evident que les proves pràctiques són imprescindibles.
Tot i que els laboratoris informessin de tots els productes que cobrim, encara faríem proves pràctiques. Confiaríeu en una revisió de cotxes d’un escriptor que mai no va fer un test? No, no.
Emetre una àmplia xarxa
Només perquè el producte informa: "Hola, he capturat una mostra de programari maliciós!" no vol dir que tingui èxit. De fet, la nostra prova sovint revela casos en què l’antivirus va capturar un component de programari maliciós, però permetia executar-ne un altre. Hem d’analitzar minuciosament les nostres mostres, assenyalant els canvis que fan al sistema, de manera que podem confirmar que l’antivirus va fer allò que reclamava.
Els laboratoris independents tenen equips d’investigadors dedicats a la recollida i anàlisi de les darreres mostres. PCMag té només uns analistes de seguretat, que són els responsables de molt més que només recopilar i analitzar programari maliciós. Només podem estalviar el temps per analitzar un nou conjunt de mostres un cop a l’any. Com que les mostres es mantindran en ús durant mesos, els productes provats després podrien tenir l'avantatge de més temps per detectar la mateixa mostra al wile. Per evitar qualsevol avantatge injust, comencem amb mostres aparegudes diversos mesos abans. Fem servir els feeds diaris subministrats per MRG-Effitas, entre d’altres, per iniciar el procés.
En una màquina virtual, connectada a Internet però aïllada de la xarxa local, executem una senzilla utilitat que pren la llista d’URL i intenta descarregar les mostres corresponents. En molts casos, l’URL ja no és vàlid. En aquesta fase, volem entre 400 i 500 mostres, perquè hi ha un índex d’atritòria greu a mesura que descendim pel conjunt de mostres.
El primer passatge de guanyar elimina els fitxers que són impossible. Qualsevol cosa inferior a 100 bytes és clarament un fragment d’una descàrrega que no s’ha completat.
A continuació, aïllem el sistema de prova d’internet i simplement iniciem cada mostra. Algunes de les mostres no es llancen per incompatibilitat amb la versió de Windows o per absència de fitxers necessaris; auge, han desaparegut. Altres mostren una missatgeria d’error que indica un error d’instal·lació o algun altre problema. Hem après a mantenir-los en la barreja; sovint, un procés de fons maliciós continua funcionant després del presumpte accident.
Dúplex i Deteccions
El fet que dos fitxers tinguin noms diferents no vol dir que siguin diferents. El nostre esquema de recollida sol presentar diversos duplicats. Afortunadament, no és necessari comparar els dos fitxers per veure si són iguals. En lloc d'això, utilitzem una funció hash, que és una mena de xifratge d'un sol sentit. La funció hash sempre retorna el mateix resultat per a la mateixa entrada, però fins i tot una entrada lleugerament diferent obté resultats salvatges. A més, no hi ha manera de passar del hash a l'original. Dos fitxers que tenen el mateix hash són els mateixos.
Utilitzem la venerable utilitat HashMyFiles de NirSoft amb aquesta finalitat. Identifica automàticament fitxers amb el mateix hash, fent més fàcil desfer-se dels duplicats.
Un altre ús per als hashes
VirusTotal es va originar com a lloc web perquè els investigadors compartissin notes sobre programari maliciós. Actualment, filial d’Alphabet (empresa matriu de Google) continua funcionant com a centre d’assessorament.
Qualsevol persona pot enviar un fitxer a VirusTotal per a la seva anàlisi. El lloc administra l'exemple de motors antivirus anteriors de més de 60 companyies de seguretat i informa de quants van marcar la mostra com a programari maliciós. També desa l'hash del fitxer, de manera que no ha de repetir l'anàlisi si es torna a mostrar el mateix fitxer. HashMyFiles té una opció d'un clic per enviar el hash del fitxer a VirusTotal. Trobem les mostres que han arribat fins ara i observem què diu VirusTotal sobre cadascuna.
Els més interessants, per descomptat, són els que VirusTotal no ha vist mai. Per contra, si 60 dels 60 motors ofereixen un fitxer net de salut, el més probable és que no sigui programari maliciós. Utilitzar les xifres de detecció ens ajuda a posar les mostres en ordre del més probable al menys probable.
Tingueu en compte que el mateix VirusTotal afirma clarament que ningú l'hauria d'utilitzar en lloc d'un motor antivirus real. Tot i així, és una gran ajuda per identificar les millors perspectives per a la nostra col·lecció de programari maliciós.
Córrer i veure
Arribats a aquest punt, s’inicia l’anàlisi pràctica. Utilitzem un programa propi (anomenat intel·ligentment RunAndWatch) per executar i veure cada mostra. Una utilitat PCMag anomenada InCtrl (abreviatura de Control d’instal·lació) captura el sistema i el sistema d’arxius abans i després del llançament de programari maliciós, informant del que ha canviat. Per descomptat, saber que alguna cosa ha canviat no demostra que la mostra de programari maliciós l’hagi canviat.
El ProcMon Process Monitor de Microsoft supervisa totes les activitats en temps real, registrant les accions del registre i del sistema de fitxers (entre altres coses) per cada procés. Fins i tot amb els nostres filtres, els seus registres són enormes. Però ens ajuden a lligar els canvis reportats per InCtrl5 als processos que van fer aquests canvis.
Esbandir i repetir
Comprimir els grans registres del pas anterior en alguna cosa utilitzable es necessita temps. Utilitzant un altre programa intern, eliminem duplicats, recollim entrades que semblen d'interès i esborrem dades clarament no relacionades amb la mostra de programari maliciós. Aquest és un art i una ciència; necessita molta experiència per reconèixer ràpidament articles no essencials i capturar entrades d’importància.
De vegades després d’aquest procés de filtratge, no queda res, és a dir, que el que féssim la mostra, el nostre senzill sistema d’anàlisi ho trobava a faltar. Si un exemple supera aquest pas, passa per un altre filtre propi. Aquesta fa una ullada més detallada als duplicats i comença a posar les dades del registre en un format que utilitza l'eina final, la que comprova els rastres de programari maliciós durant les proves.
Ajustaments d'última hora
La culminació d’aquest procés és la nostra utilitat NuSpyCheck (anomenada antigament quan els programes espia eren més prevalents). Amb totes les mostres processades, executem NuSpyCheck en un sistema de prova net. Molt sovint trobarem que alguns dels que creiem que eren rastres de programari maliciós ja són presents al sistema. En aquest cas, voltem NuSpyCheck al mode d’edició i n’eliminem.
Hi ha un altre eslògan i és important. Restablint la màquina virtual a una instantània neta entre proves, iniciem cada mostra, la deixem executar fins a la finalització i comprovem el sistema amb NuSpyCheck. Un cop més, sempre hi ha alguns rastres que semblen aparèixer durant la captura de dades, però que no apareixen a la prova, potser perquè eren temporals. A més, moltes mostres de programari maliciós utilitzen noms generats aleatòriament per a fitxers i carpetes, diferents cada vegada. A aquells rastres polimorfs, afegim una nota que descriu el patró, com ara "nom executable amb vuit dígits".
Algunes mostres més surten del camp en aquesta fase final, ja que amb tota la depilació dels punts de dades no quedava res a mesurar. Els que queden es converteixen en el següent conjunt de mostres de programari maliciós. De les 400 a les 500 URL originals, normalment acabem amb uns 30.
L’excepció de Ransomware
El ransomware com a notorietat Petya xifra el vostre disc dur, fent que l'ordinador no es pugui utilitzar fins que no pagueu la rescat. Els tipus de ransomware de xifratge de fitxers més comuns xifren els fitxers en segon pla. Quan han fet la brutícia, apareixen una gran demanda de rescat. No necessitem cap utilitat per detectar que l'antivirus va perdre un d'aquests; el malware deixa clar.
Molts productes de seguretat estan afegint capes addicionals de protecció contra ransomware, més enllà dels motors antivirus bàsics. Això té sentit. Si el vostre antivirus falla un atac de Troia, probablement s'esborrarà d'aquí a uns quants dies després de rebre noves signatures. Però si trobe a faltar el ransomware, no teniu sort. Quan sigui possible, desactivem els components antivirus bàsics i comprovem si el sistema de protecció ransomware només pot mantenir els teus fitxers i el seu equip segur.
Què no són aquestes mostres
Els grans laboratoris de proves antivirus poden utilitzar molts milers d’arxius per a proves de reconeixement de fitxers estàtics i molts centenars per a proves dinàmiques (el que significa que llancen les mostres i veuen què fa l’antivirus). No ho intentem per això. Els nostres 30 exemplars estranys ens permeten donar-nos a conèixer com atacen els antivirus i, quan no tenim resultats dels laboratoris, ens queda alguna cosa.
Intentem garantir una barreja de molts tipus de programari maliciós, inclosos ransomware, troians, virus i molt més. També incloem algunes aplicacions potencialment no desitjades (PUA), per assegurar-se que activeu la detecció PUA en el producte que s’està provant.
Algunes aplicacions de programari maliciós detecten quan s’executen en una màquina virtual i s’abstenen de desagradable activitat. Està bé; simplement no els utilitzem. Alguns esperen hores o dies abans d’activar-se. Una vegada més, no n'utilitzem.
Esperem que aquest cop d’esquena en el test de protecció contra programari contra programari contra el malware us ha proporcionat una visió clara de fins a quin punt anirem a experimentar la protecció antivirus en acció. Com s'ha assenyalat, no tenim un equip dedicat d'investigadors antivirus com fan els grans laboratoris, però us portem informacions que no trobareu en cap altre lloc.
