Innholdsfortegnelse:
- Å støpe et bredt nett
- Dupes og oppdagelser
- En annen bruk for Hashes
- Løp og se på
- Skyll og gjenta
- Siste minutt justeringer
- Unntaket fra Ransomware
- Hva disse prøvene ikke er
Video: FREE programs that EVERY PC should have... (Oktober 2024)
Her på PCMag, når vi gjennomgår produkter, legger vi dem gjennom wringer, og utøver alle funksjoner for å bekrefte at de fungerer og fungerer jevnt. For sikkerhetskopieringsprodukter, for eksempel, kontrollerer vi at de sikkerhetskopierer filer korrekt og gjør det enkelt å gjenopprette fra sikkerhetskopiering. For videoredigeringsprodukter måler vi faktorer som gjengivelsestid. For virtuelle private nettverk, eller VPN-er, kjører vi ytelsestester for kontinenter. Det hele er helt trygt og enkelt. Ting blir litt annerledes når det gjelder antivirusverktøy, fordi det å verifisere at de fungerer betyr at vi må utsette dem for ekte malware.
Anti-Malware Testing Standards Organization (AMTSO) tilbyr en samling funksjonssjekkesider, slik at du kan sørge for at antivirusprogrammet ditt jobber for å eliminere skadelig programvare, blokkere nedlastningsdrivere, forhindre phishing-angrep og så videre. Imidlertid er det ingen faktisk skadelig programvare involvert. Deltakende antivirusbedrifter godtar ganske enkelt å konfigurere antivirus- og sikkerhetssuiproduktene sine for å oppdage AMTSOs simulerte angrep. Og ikke hvert sikkerhetsselskap velger å delta.
Antivirus-testlaboratorier rundt om i verden setter sikkerhetsverktøy gjennom utmattende tester, og rapporterer periodisk resultater. Når laboratorieresultater er tilgjengelige for et produkt, gir vi disse poengene alvorlig vekt i det produktets gjennomgang. Hvis alle de fire laboratoriene vi følger gir den høyeste karakteren på et produkt, er det sikkert et utmerket valg.
Dessverre deltar knapt en fjerdedel av selskapene vi tester med alle de fire laboratoriene. Nok et kvarter jobber med bare en laboratorium, og hele 30 prosent deltar ikke med noen av de fire. Det er klart, hands-on testing er et must.
Selv om laboratoriene rapporterte om alle produktene vi dekker, vil vi fortsatt gjøre praktiske tester. Vil du stole på en bilanmeldelse fra en forfatter som aldri en gang tok en prøvekjøring? Nei.
Å støpe et bredt nett
Bare fordi produktet rapporterer: "Hei, jeg har fått en malware-prøve!" betyr ikke at det var vellykket. Faktisk avslører testene våre ofte tilfeller der antiviruset fanget en skadelig komponent, men lot en annen kjøre. Vi må analysere prøvene våre grundig og legge merke til endringene de gjør i systemet, slik at vi kan bekrefte at antiviruset gjorde det det hevdet.
De uavhengige laboratoriene har team av forskere dedikert til å samle og analysere de siste prøvene. PCMag har bare noen få sikkerhetsanalytikere, som er ansvarlige for mye mer enn bare å samle og analysere skadelig programvare. Vi kan bare spare tid på å analysere et nytt sett med prøver en gang i året. Siden prøvene vil være i bruk i flere måneder, kan produkter som testes senere ha fordelen med mer tid til å oppdage den samme prøven i wile. For å unngå urettferdig fordel, starter vi med prøver som dukket opp flere måneder tidligere. Vi bruker de daglige feeds levert av MRG-Effitas blant annet for å starte prosessen.
I en virtuell maskin, koblet til internett, men isolert fra det lokale nettverket, kjører vi et enkelt verktøy som tar listen over nettadresser og prøver å laste ned de tilsvarende eksemplene. I mange tilfeller er URL-en selvfølgelig ikke lenger gyldig. I denne fasen vil vi ha 400 til 500 prøver, fordi det er en alvorlig nedbrytningshastighet når vi vinner ned prøvesettet.
Det første vinnende passet eliminerer filer som er umulig små. Alt under 100 byte er helt klart et fragment fra en nedlasting som ikke fullførte.
Dernest isolerer vi testsystemet fra internett og starter bare hver prøve. Noen av prøvene starter ikke på grunn av inkompatibilitet med Windows-versjonen eller fravær av nødvendige filer; boom, de er borte. Andre viser en feilmelding som indikerer installasjonsfeil eller et annet problem. Vi har lært å holde de i blandingen; ofte fortsetter en ondsinnet bakgrunnsprosess etter det påståtte krasjet.
Dupes og oppdagelser
Bare fordi to filer har forskjellige navn, betyr ikke det at de er forskjellige. Vår innsamlingsordning viser ofte mange duplikater. Heldigvis er det ikke nødvendig å sammenligne hvert filpar for å se om de er like. I stedet bruker vi en hasjfunksjon, som er en slags enveiskryptering. Hashfunksjonen gir alltid det samme resultatet for den samme inngangen, men selv en litt annen inngang gir veldig forskjellige resultater. I tillegg er det ingen måte å gå fra hasj tilbake til originalen. To filer som har samme hasj er de samme.
Vi bruker det ærverdige HashMyFiles-verktøyet fra NirSoft til dette formålet. Den identifiserer filer automatisk med samme hasj, noe som gjør det enkelt å bli kvitt duplikater.
En annen bruk for Hashes
VirusTotal oppstod som et nettsted for forskere å dele notater om skadelig programvare. For tiden et datterselskap av Alphabet (Googles morselskap) fortsetter det å fungere som et clearinghouse.
Hvem som helst kan sende inn en fil til VirusTotal for analyse. Nettstedet kjører prøven forbi antivirusmotorer fra mer enn 60 sikkerhetsselskaper og rapporterer hvor mange som har flagget prøven som skadelig programvare. Den lagrer også filens hasj, så den trenger ikke å gjenta analysen hvis den samme filen dukker opp igjen. Beleilig har HashMyFiles et alternativ med ett klikk for å sende en fils hasj til VirusTotal. Vi kjører gjennom prøvene som har gjort det så langt og legger merke til hva VirusTotal sier om hver enkelt.
De mest interessante, selvfølgelig, er de som VirusTotal aldri har sett. Motsatt, hvis 60 av 60 motorer gir en fil en ren helse regning, er sjansen stor for at det ikke er skadelig programvare. Å bruke påvisningstallene hjelper oss å sette prøvene i orden fra mest sannsynlig til minst sannsynlige.
Legg merke til at VirusTotal selv sier tydelig at ingen skal bruke den i stedet for en faktisk antivirusmotor. Likevel er det en stor hjelp å identifisere de beste mulighetene for samlingen av skadelig programvare.
Løp og se på
På dette tidspunktet begynner den praktiske analysen. Vi bruker et eget program (smart kalt RunAndWatch) for å løpe og se på hver prøve. Et PCMag-verktøy kalt InCtrl (forkortelse av Install Control) viser øyeblikksbilde av registeret og filsystemet før og etter malware-lanseringen, og rapporterer hva som endret seg. Å vite at noe endret seg beviser selvfølgelig ikke at malware-prøven endret det.
Microsofts ProcMon Process Monitor overvåker all aktivitet i sanntid, logger register- og filsystemhandlinger (blant annet) etter hver prosess. Selv med våre filtre er loggene store. Men de hjelper oss å knytte endringene rapportert av InCtrl5 til prosessene som har gjort disse endringene.
Skyll og gjenta
Å koke ned de enorme loggene fra forrige trinn til noe brukbart tar tid. Ved å bruke et annet internt program eliminerer vi duplikater, samler oppføringer som ser ut til å være av interesse, og utslette data som helt klart ikke har noen sammenheng med malware-prøven. Dette er en kunst så vel som en vitenskap; det krever mye erfaring å raskt gjenkjenne ikke-viktige elementer og fange oppføringer av betydning.
Noen ganger etter denne filtreringsprosessen er det bare ingenting igjen, noe som betyr at det enkle analysesystemet savnet det uansett hva prøven gjorde. Hvis en prøve kommer forbi dette trinnet, går det gjennom enda et eget filter. Denne ser nærmere på duplikater, og begynner å sette loggdataene i et format som brukes av det endelige verktøyet, det som ser etter spor etter skadelig programvare under testing.
Siste minutt justeringer
Høydepunktet av denne prosessen er vårt NuSpyCheck-verktøy (som ble kalt for aldre siden da spionprogrammer var mer utbredt). Med alle prøvene behandlet kjører vi NuSpyCheck på et rent testsystem. Ganske ofte vil vi finne at noe av det vi trodde var spor etter skadelig programvare, allerede viser seg å være til stede i systemet. I så fall vender vi NuSpyCheck til redigeringsmodus og fjerner dem.
Det er enda et slagord, og det er en viktig. Tilbakestiller den virtuelle maskinen til et rent øyeblikksbilde mellom testene, vi starter hver prøve, lar den løpe til fullførelse og sjekker systemet med NuSpyCheck. Her igjen er det alltid noen spor som så ut til å vises under datafangst, men dukker ikke opp på testtid, kanskje fordi de var midlertidige. I tillegg bruker mange malware-prøver tilfeldig genererte navn for filer og mapper, forskjellige hver gang. For de polymorfe sporene legger vi til en merknad som beskriver mønsteret, for eksempel "kjørbart navn med åtte sifre."
Noen flere prøver forlater feltet i denne sluttfasen, for med all barbering fra datapunkter var det ingenting igjen å måle. De som blir igjen blir det neste settet med malware-prøver. Fra de opprinnelige 400 til 500 URL-ene slutter vi vanligvis med rundt 30.
Unntaket fra Ransomware
Ransomware for system-skap som den beryktede Petya krypterer harddisken din, noe som gjør datamaskinen ubrukelig til du betaler løsepenger. De mer vanlige filkryptering ransomware-typer krypterer filene dine i bakgrunnen. Når de har gjort den skitne gjerning, dukker de opp et stort krav om løsepenger. Vi trenger ikke et verktøy for å oppdage at antiviruset savnet en av disse; skadelig programvare gjør seg selv tydelig.
Mange sikkerhetsprodukter legger til ekstra lag med ransomware-beskyttelse, utover de grunnleggende antivirusmotorene. Det er fornuftig. Hvis antiviruset ditt går glipp av et trojansk angrep, vil det sannsynligvis fjerne det i løpet av noen dager etter at det har fått nye signaturer. Men hvis det går glipp av ransomware, er du heldig. Når det er mulig, deaktiverer vi de grunnleggende antiviruskomponentene og tester om ransomware-beskyttelsessystemet alene kan holde filene og datamaskinen din trygge.
Hva disse prøvene ikke er
De store antivirus-testlaboratoriene kan bruke mange tusen filer til statisk filgjenkjenningstesting, og mange hundre for dynamisk testing (noe som betyr at de starter prøvene og ser hva antiviruset gjør). Vi prøver ikke på det. Våre 30-odde prøver lar oss få en følelse av hvordan antivirushåndtakene angriper, og når vi ikke har noen resultater fra laboratoriene, har vi noe å falle tilbake på.
Vi prøver å sikre en blanding av mange typer skadelig programvare, inkludert ransomware, trojanere, virus og mer. Vi inkluderer også noen potensielt uønskede applikasjoner (PUAer), og sørger for å slå på PUA-deteksjon i produktet som testes, om nødvendig.
Noen malware-applikasjoner oppdager når de kjører i en virtuell maskin og avstår fra ekkel aktivitet. Det er greit; vi bruker bare ikke disse. Noen venter timer eller dager før de aktiveres. Nok en gang bruker vi bare ikke disse.
Vi håper dette kikket bak kulissene ved vår praktiske testing av skadelig programvare har gitt deg litt innsikt i hvor langt vi skal gå for å oppleve antivirusbeskyttelse i aksjon. Som nevnt har vi ikke et hengiven team av antivirusforskere slik de store laboratoriene gjør, men vi tar deg i skyttergravene som rapporterer at du ikke finner andre steder.
