بيت Securitywatch اختبار مكافحة الفيروسات 101

اختبار مكافحة الفيروسات 101

فيديو: في مشهد طريف، مجموعةٌ من الأشبال يØاولون اللØاق بوالده (شهر نوفمبر 2024)

فيديو: في مشهد طريف، مجموعةٌ من الأشبال يØاولون اللØاق بوالده (شهر نوفمبر 2024)
Anonim

في مواقع مختلفة حول العالم ، وضعت فرق من الباحثين المتفانين العشرات من منتجات مكافحة الفيروسات من خلال اختبارات مرهقة. تعمل بعض مختبرات اختبار مكافحة الفيروسات هذه على اتخاذ إجراءات تستغرق أشهر. يتحدى آخرون منتجات مكافحة الفيروسات للكشف عن مئات الآلاف من العينات. لا توجد طريقة لاستعراض مثل المراجع الوحيد مثلي تلك الجهود ، لكنني أصر على إجراء اختبار عملي لكل مراجعة لمكافحة الفيروسات. لماذا ا؟ هناك عدة أسباب.

التوقيت هو أحد الأسباب. أبذل قصارى جهدي لمراجعة كل منتج أمان جديد بمجرد إصداره. تجري المعامل اختباراتها وفق جدول زمني نادراً ما يتناسب مع احتياجاتي. الشمولية شيء آخر. ليس كل شركة أمنية تشارك مع كل مختبر. البعض لا يشارك على الإطلاق. بالنسبة لأولئك الذين لا يشاركون ، فإن كل ما عندي من نتائج يجب أن أستمر فيه. أخيرًا ، يعطيني اختبار التدريب العملي شعورًا حول كيفية تعامل المنتج والشركة مع المواقف الصعبة ، مثل البرامج الضارة التي تمنع تثبيت البرنامج الوقائي.

للحصول على مقارنة معقولة ، أحتاج إلى تشغيل كل منتج من برامج مكافحة الفيروسات مقابل نفس مجموعة العينات. نعم ، هذا يعني أنني لا أجرب اختبارًا على الإطلاق مع البرامج الضارة التي لم يتم مشاهدتها مطلقًا. أنا أعتمد على المختبرات ، بمواردها الأكبر ، لإجراء هذا النوع من الاختبارات. يستغرق إنشاء مجموعة جديدة من أنظمة الاختبار المصابة وقتًا طويلاً ، لذلك لا يمكنني تحمل تكاليف ذلك إلا مرة واحدة في السنة. نظرًا لأن عيناتي ليست جديدة عن بُعد ، فأنت تعتقد أن جميع منتجات الأمان ستتعامل معها بشكل جيد ، ولكن هذا ليس ما أشاهده.

جمع العينات

تحتفظ المختبرات المستقلة الكبرى بمراقبة على الإنترنت ، حيث تلتقط باستمرار عينات جديدة من البرامج الضارة. بالطبع يتعين عليهم تقييم المئات من المشتبه بهم لتحديد من هم ضارون حقًا ، وتحديد نوع السلوك الخبيث الذي يظهرونه.

بالنسبة لاختباراتي الخاصة ، فأنا أعتمد على مساعدة من خبراء في العديد من شركات الأمان المختلفة. أطلب من كل مجموعة توفير عناوين URL في العالم الحقيقي لعشرة تهديدات "مثيرة للاهتمام". بالطبع لا تريد كل شركة المشاركة ، لكن أحصل على عينة تمثيلية. الاستيلاء على الملفات من موقعها في العالم الحقيقي له فوائد اثنين. أولاً ، لست مضطرًا للتعامل مع أمان البريد الإلكتروني أو تبادل الملفات الذي يقوم بمسح العينات أثناء النقل. ثانياً ، إنه يلغي إمكانية قيام شركة واحدة بلعب النظام من خلال توفير تهديد لمرة واحدة لا يمكن إلا لمنتجها اكتشافه.

يتحرك مؤلفو البرامج الضارة باستمرار ويتحولون إلى أسلحة البرمجيات الخاصة بهم ، لذلك أقوم بتنزيل العينات المقترحة فور تلقي عناوين URL. ومع ذلك ، فقد اختفى بعضهم بالفعل بحلول الوقت الذي أحاول فيه الاستيلاء عليهم.

الافراج عن الفيروس!

الخطوة التالية ، وهي خطوة شاقة ، تتضمن إطلاق كل عينة مقترحة في جهاز افتراضي ، تحت تدقيق برنامج المراقبة. بدون إعطاء الكثير من التفاصيل ، يمكنني استخدام أداة تسجل كل تغييرات الملف وتغيير السجل ، وأخرى تكتشف التغييرات التي تستخدم قبل وبعد لقطات النظام ، والثالثة التي تقدم تقارير عن جميع العمليات الجارية. أقوم أيضًا بتشغيل ماسحات ضوئية لـ rootkit بعد كل عملية تثبيت ، لأنه من الناحية النظرية قد تتفادى الجذور الخفية من الكشف عن شاشات أخرى.

النتائج مخيبة للآمال في كثير من الأحيان. تكتشف بعض العينات عند تشغيلها في جهاز افتراضي وترفض التثبيت. يريد الآخرون نظام تشغيل معين ، أو رمز بلد معين ، قبل أن يتخذوا إجراءً. لا يزال البعض الآخر في انتظار التعليمات من مركز القيادة والسيطرة. وهناك عدد قليل من الأضرار التي لحقت نظام الاختبار لدرجة أنه لم يعد يعمل.

من بين أحدث مجموعة من الاقتراحات التي قدمتها ، كان 10 في المائة قد اختفت بالفعل بحلول الوقت الذي حاولت تنزيله ، وحوالي نصف الباقي كان غير مقبول لسبب أو لآخر. من بين تلك التي بقيت ، اخترت ثلاثة عشرات ، أتطلع إلى الحصول على مجموعة متنوعة من أنواع البرامج الضارة التي اقترحتها مجموعة من الشركات المختلفة.

هل هي هناك؟

اختيار عينات البرامج الضارة هو مجرد نصف العمل. أنا أيضا يجب أن أذهب من خلال reams و reams من ملفات السجل التي تم إنشاؤها أثناء عملية المراقبة. تسجل أدوات المراقبة كل شيء ، بما في ذلك التغييرات التي لا تتعلق بعينة البرامج الضارة. لقد كتبت بضع برامج للتصفية والتحليل لمساعدتي في معرفة الملفات المحددة وآثار السجل التي أضافها مثبت البرامج الضارة.

بعد تثبيت ثلاثة عينات لكل منها في اثني عشر جهازًا ظاهريًا متطابقًا على خلاف ذلك ، أشغِّل برنامجًا صغيرًا آخر يقرأ سجلاتي النهائية ويتحقق من وجود البرامج قيد التشغيل والملفات وآثار السجل المرتبطة بالعينات. في كثير من الأحيان ، لا بد لي من ضبط سجلاتي لأن طروادة متعددة الأشكال مثبتة باستخدام أسماء ملفات مختلفة عن تلك المستخدمة عندما أجريت تحليلي. في الواقع ، كان أكثر من ثلث مجموعتي الحالية بحاجة إلى تعديل لتعدد الأشكال.

هل ذهب؟

مع اكتمال كل هذا الإعداد ، يعد تحليل نجاح تنظيف منتج مكافحة فيروسات معين أمرًا بسيطًا. أقوم بتثبيت المنتج على جميع الأنظمة الاثني عشر ، وأجري فحصًا كاملاً ، وقم بتشغيل أداة الفحص الخاصة بي لتحديد الآثار (إن وجدت) المتبقية. يسجل المنتج الذي يزيل كافة الآثار القابلة للتنفيذ و 80 في المائة على الأقل من البريد العشوائي غير القابل للتنفيذ عشر نقاط. إذا كان يزيل ما لا يقل عن 20 في المائة من القمامة ، فإن ذلك يستحق تسع نقاط ؛ أقل من 20 في المئة يحصل على ثماني نقاط. إذا بقيت الملفات القابلة للتنفيذ متأخرة ، فسوف يسجل المنتج خمس نقاط ؛ التي تنخفض إلى ثلاث نقاط إذا كان أي من الملفات لا يزال قيد التشغيل. وبالطبع لا تحصل أي ملكة جمال على أية نقاط على الإطلاق.

يتيح لي الحصول على نقاط لكل عينة من ثلاث وعشرين صورة جيدة حول كيفية معالجة المنتج لتنظيف أنظمة الاختبار الموبوءة بالبرامج الضارة. بالإضافة إلى ذلك ، أحصل على الخبرة العملية لهذه العملية. افترض أن هناك منتجين يحصلان على درجات متماثلة ، لكن أحدهما تم تثبيته ومسحه ضوئيًا دون مشاكل وساعات العمل الأخرى المطلوبة من خلال الدعم الفني ؛ الأول هو أفضل بشكل واضح.

أنت تعرف الآن ما الذي يدخل في مخطط إزالة البرامج الضارة الذي أدرجه في كل مراجعة لمكافحة الفيروسات. إنه طن من العمل مرة واحدة كل عام ، ولكن هذا العمل يؤتي ثماره في البستوني.

اختبار مكافحة الفيروسات 101