Anti-Virüs korumasının Süper Kullanıcı olmayan bir kullanıcı için nasıl çalıştığını nasıl açıklayabilirim?

Anti-Virus yazılımlarının tam olarak nasıl çalıştığını biraz ayrıntılı olarak anlatan bu soruyu buldum . Ama sadece bir müvekkilimin bana bunu sormasını istedim ve ona gerçekten iyi, basit ve anlaşılması kolay bir cevap veremedim. Gelebileceğim en iyi şey, her virüsün belirli bir "parmak izi" olması ve yazılımın onlar için bilinen virüslü alanları taramasıydı.

Bunu kolay anlaşılır bir şekilde nasıl açıklayabilirim?

Algılama mekanizması veya nasıl daha derin bir seviyede?

İnsanlar bana kötü amaçlı yazılımların makinelerine nasıl girdiğini ve sisteme girdikten sonra neden her zaman kaldırmak mümkün olmadığını ve kötü amaçlı yazılımla ilgili hemen hemen her şeyi bu metafora benzer bir kombinasyonla / benzeri bir şeyle cevapladığımı söylediğinde:

(Ve bunu yazdığımda, biraz aptal gibi gelmeliyim, ama umarım beğenirsin!)

Evinizin bilgisayar olduğunu düşünün, bir anti virüs programı birkaç farklı güvenlik mekanizmasıdır.

İndirme / Yeni Dosya oluşturma:

Ön kapınızda bir fedai düşünün - eve gelen herkes (makinenize gelen dosyalar) onun içinden geçer ve temiz olduklarını kontrol eder *. Kötü bir şey bulursa, genellikle size ne yapmanız gerektiğini sunar.

Aktif Tarayıcı

Evinizdeki herkesi (aktif süreçler) izlediklerini, dokundukları herhangi bir nesnenin (dosyaların) temiz olduklarından emin olmak için baktığını bir dahili güvenlik ekibi düşünün *

Pasif / Manuel Tarama

Yapacak başka bir şey olmadığında veya seçtiğinizde, güvenlik ekibinin en son tehditlere karşı temiz olduklarından emin olmak için evdeki her nesneyi kontrol etmesini sağlayabilirsiniz.

Rootkit / bir kez enfekte

Ev güvenliğiniz her zaman en iyisini yapacak olsa da, hiçbir şey% 100 etkili değildir. Birisi eve girdikten sonra, durmazlarsa istediklerini yapabilirler. Onları temizlemek ve çoğu durumda tüm hasarları geri almak mümkün olsa da, kendi güvenlik ekibini geride bırakıp kendi müdahalenizi engelleyebilirler.

* * Randolph'un cevabında söylediği gibi, bu genellikle bir parmak izi ve buluşsal yöntem karışımıdır )

Bulamıyorum, ancak Microsoft AV yazılımı oluşturma hakkında bir API belgesine sahipti, sadece MS Office / IE API kılavuzuna bir bağlantı bulabilirim . Sahte AV / Root kitleri nedeniyle bu bilgileri kaldırdıklarını tahmin ediyorum.

(Ayrıca, Symantec'in daha fazla okumak için ilginç bir makalesi var )

Düzenle - Sadece bir intersting Yığın Taşması Soru bulundu ... Windows antivirüs dosya erişim sürecine nasıl kanca?

Aşağıdakiler de dahil olmak üzere çeşitli seviyelerde çalışırlar:

• Belirttiğiniz gibi, bir veritabanıyla eşleşen etkinliği veya dosya imzalarını kontrol eden parmak izi tanımı

• Şüpheli davranış, örneğin, önyükleme sektörü tanınmayan bir şey tarafından değiştirilir veya erişimin olmaması gereken bir işlem tarafından belleğin üzerine yazılır

• AV'nin neredeyse bir virüs olarak çalışmasını gerektiren Rootkit algılama (* bu yüzden AVG ComboFix'i sevmez, örneğin - virüs davranışından ayırt edilemeyen şeyler yapar), çünkü kendisini rootkit'ten gizlemek zorundadır.

Bu kesinlikle tam bir liste değil ve cevabın düzenlemelerini memnuniyetle karşılıyorum.

Birkaç kez insanlara AV yazılımına ihtiyaç duyduklarını söylerken, AV yazılımının "değersiz" olduğu için gönüllü "uzman" eleştirisini savunduğumu söylüyorum çünkü yeni, yazdırılmamış virüsler durmayacak ve Wil'in dediği gibi, geride bir şeyler bırakabilirler gerçek temizliği imkansız hale getirir.

Süper olmayan kullanıcıların bu son iki noktayı anlamaları önemlidir, ancak AV yazılımının değersiz olduğunu düşünmüyorum. Ayrıca üçüncü bir noktayı da anlamalıdırlar. Sistemin silindiği ve işletim sisteminin bilinen iyi yedeklemelerden yeniden kurulduğu "yörüngeden çek, emin olmanın tek yolu" temizliğine dikkat ederek dikkatli bir yedekleme planının gerekli olduğunu anlamalıdırlar.

İşletim sisteminiz bir bina ve virüs bir hırsız

Windows bir ofis binasıdır

Herkesin içeri ve dışarı girmesine izin verilirken, çantalarının kontrol edildiği güvenlikten geçmeleri ve bir röntgenden geçmeleri gerekiyor. Bu, etkin bir tarayıcının eşdeğeri olacaktır . Her şey kontrol edilir, böylece her şeyin ön kapıdan alınma şansı azdır.

Tesis genelinde şüpheli etkinlik aramak için onları izleyen kameralar ve güvenlik görevlileri var. Bu Pasif Tarama . Güvenlik görevlileri, her gün insanları izlemek için harcadıkları için yaygın yaramaz davranışları saptamak konusunda oldukça iyidir.

Kicker, eğer alacağınız röntgen tarayıcısından korkak tavuk dansı yaparsanız, soru sormadı.

Bir enfeksiyon böyle gider. Hırsız, korkak tavuk cephesinde muhafızdan sonra dans eder. İçeri girdiklerinde ve istediklerini aldıklarında, mallarla çıkmak için bir arka kapı bulmaları (veya yaratmaları) yeterlidir.

Hırsızlar karmaşık değilse, pasif tarayıcılar alarm verir ve onlardan sonra güvenlik gönderir, ancak son zamanlarda Oceans Eleven'ı izlediyseniz, dediğimde ne demek istediğimi anlayacaksınız, "bütün hırsızlar karmaşık değil". Esasen, kötü bir adam içeri girdikten sonra, eğer iyi olursa, gözetleme sisteminizden nasıl kaçacağını ve yıkılacağını bilir, böylece orada olduğunu bile bilmezsiniz. Sonra verilerinizle ücretsiz bir oyun.

Daha da kötüsü, etkilidirler. Sisteminizde arkadaş ediniyorlar (diğer uygulamaları enfekte ediyorlar), bu yüzden önyükleme yapma konusunda başarılı olsanız bile, onları geri almak için bir arkadaş çağırabilirler. Pasif tarayıcılar sadece kötü adamları izlemez, herkesin davranışını izleyin ama mükemmel değiller.

Truva atı, acil çıkışlardan biri tarafından saklanan gizli bir hırsız gibidir, eğer dışarıdaki arkadaşlarından birinden gizli bir vuruş duyarsa, kapıyı içeriden açar. Bunlardan birini binanızda gerçekten istemiyorsunuz çünkü çok yetenekliler.

Mac bir Ofis Binasıdır, ancak bir anahtar kart sistemine sahiptir

Binaya girdikten sonra, pasınızı almak için muhafızla oturum açmanız gerekir. Ancak, bir kez girdiğinizde, dolaşım iznine sahip olduğunuz alanlar hakkında hareket etme özgürlüğüne sahipsiniz. Şirket envanterine erişmeniz gerekiyorsa, daha yüksek düzeyde bir geçişin devam etmesi için tekrar oturum açmanız gerekir. Her güvenlik seviyesinden ayrıldığınızda, şifrenizi kaybedersiniz, böylece tekrar girmeniz gerektiğinde oturum açmanız gerekir.

Buradaki güvenlik açığı, erişim izni verdiğiniz kişinin izin verileceğini bildiğinizden emin olun.

Linux askeri üs gibidir

Kapıya girmek için güvenlikten geçmeniz gerekiyor, ancak üssün bölümlerine erişmek için rütbe / unvana da ihtiyacınız var. Örneğin, pilot değilseniz (ve üst düzey bir subay değilseniz) hava alanına giremezsiniz, alt bir adam değilseniz denizaltına giremezsiniz.

Kök hesabı Genel olarak düşünün. Hiçbir yere gitme iznine ihtiyacı yok çünkü üssün en üst düzey subayı. Bu nedenle, generalinizin etrafta dolaşmasına izin vermek istemezsiniz (çünkü sorgulamadan itaat edilecektir).

Linux ile ilgili püf nokta, kendinizi General yapmayın. Kendinizi işini saygıyla yapan küçük bir subay olun. Sonra, bu küçük subay işini yapmak için bazı ek kaynaklara ihtiyaç duyduğunu keşfettiğinde, işleri geçici olarak yükseltin (geçici kök erişimi sağlayan linux'da yükseltilmiş ayrıcalıklar için komut sudo olur), şeyleri hareket ettirmek ve sallamak için General'e.

Gerçekte Linux ve Unix, ayrıcalıklar için aynı güvenlik modelini kullanır. Mac'ler sistemi daha kullanıcı dostu hale getirmek için Linux'un yaptığı gibi bölümlere ayırmazlar.

Tüm bu sistemlerle ilgili en büyük sorun, hırsızlar bir yol bulduğunda, güvenlikten geçmeden daha sonra geri dönmek için bir arka kapı oluşturabilirler.

Gerçekten güvenli olan tek sistem güvenliği daha sofistike bir sisteme sahip olmak olacaktır. Gibi, her günün sonunda günün başlangıcına geri dönün. Bu, sanal alan sanallaştırmasına eşdeğerdir . İşletim sistemini her yüklediğinizde yeni, katıksız bir kopya yükler. Arka kapı olmayacak çünkü OS, hırsızlar içeri girmeden önceki durumuna geri dönecek. Bu yöntemin sınırlamaları var, ancak burada ele alınamayacak kadar ayrıntılı / karmaşık.

Çoğu insanın (bazıları uygun) gözden kaçırdığı hiledir. Birinin binaya girmesine ve onlara erişim ayrıcalıkları vermesine izin verdikten sonra, başkalarının içeri girmesine izin verebilirler. Yani, siyah ve beyaz çizgili gömlek giyen adamın (ve bazı durumlarda kuantum mekaniği kitabına sahip küçük kızın) ilk etapta ön kapı. Korkak tavuk dansı dışında, izin vermedikçe içeri giremezler.

Virüs tarayıcılarla ilgili sorun, insanların onlara çok fazla güvenmesidir. Aktif veya pasif tarayıcınızın korkak tavuk hilesi hakkında bilgi sahibi olmadığını düşünün. Kötü bir adamın sisteminize serbestçe girmesine izin verdiniz. Şanslıysanız, pasif tarayıcının dikkatini çekecek bir şey yapacak. Eğer şanslı değilsen, sisteminizde tahribat yaratarak gölgeden gölgeye geçer ve orada olduğunu bile bilemezsiniz.

0 günlük yazılım güvenlik açıkları (henüz yamalanmamış bir güvenlik açığı açığa çıkaran bilinen yazılım hataları), korkak tavuk dansı ile eşdeğerdir. Bunlar için de sorumlu olan tek taraf Microsoft değil; Bir Adobe Flash hackinin 15 saniyeden kısa bir sürede sistemimi onarılamayacak şekilde tamir ettiğini gördüm.

Windows / Linux korkak tavuk sorununa sahip değildir, çünkü erişim ayrıcalıklarınızı (anahtar kartı, rütbe) sistem boyunca gittiğiniz her yere taşırsınız.

Bir rootkit , bu adamlardan birinin yönetici güvenlik görevlinizi kaçırmasına, dolaba kilitlemesine ve kimliğine bürünmesine benziyor. Güvenlik başkanı olarak, kimseyi işe alma / kovma ve kaprisindeki politikayı değiştirme gücüne sahiptir. Ona ulaşırlarsa, tüm güvenlik personelini işten çıkarabilir veya güvenlik personelini ayaklarına bakmaya ve kovulma tehdidine ellerine oturmaya zorlayan politikalar uygulayabileceğinden gerçekten mahvoldunuz. Yani. Eğer gerçekten bu adam tehlikeye istemiyoruz.

Umarım bu yardımcı olur.