كيف نقوم بتجميع البرامج الضارة لإجراء اختبارات مكافحة الفيروسات العملية

هنا في PCMag ، عندما نقوم بمراجعة المنتجات ، نضعها في الجهاز العصبي ونمارس جميع الميزات للتأكيد على أنها تعمل وتعمل بسلاسة. بالنسبة لمنتجات النسخ الاحتياطي ، على سبيل المثال ، نتحقق من عمل نسخ احتياطية للملفات بشكل صحيح وجعل عملية الاستعادة من النسخة الاحتياطية سهلة. بالنسبة إلى منتجات تحرير الفيديو ، نقيس عوامل مثل وقت العرض. بالنسبة إلى الشبكات الخاصة الافتراضية ، أو شبكات VPN ، فإننا نجري اختبارات أداء على مستوى القارة. هذا كل شيء آمن وبسيط تماما. تختلف الأمور بعض الشيء عندما يتعلق الأمر بأدوات مكافحة الفيروسات ، لأن التحقق من أنها تعمل حقًا يعني أنه يتعين علينا إخضاعها لبرامج ضارة حقيقية.

تقدم منظمة معايير مكافحة البرامج الضارة (AMTSO) مجموعة من صفحات التحقق من الميزات ، حتى تتمكن من التأكد من أن برنامج مكافحة الفيروسات يعمل على التخلص من البرامج الضارة ، وحظر التنزيلات من محرك الأقراص ، ومنع هجمات الخداع ، وما إلى ذلك. ومع ذلك ، ليس هناك برامج ضارة الفعلية المعنية. توافق شركات مكافحة الفيروسات المشاركة ببساطة على تكوين منتجات الحماية من الفيروسات ومجموعة برامج الأمان الخاصة بها للكشف عن الهجمات المحاكاة من AMTSO. وليس كل شركة أمنية تختار المشاركة.

تضع مختبرات اختبار مكافحة الفيروسات في جميع أنحاء العالم أدوات الأمان من خلال اختبارات مرهقة ، وتقدم نتائج دورية. عندما تكون نتائج المعمل متاحة لأحد المنتجات ، فإننا نعطي هذه النتائج وزنا خطيرا في مراجعة هذا المنتج. إذا كانت جميع المعامل الأربعة التي نتبعها تمنح أعلى تصنيف لها على منتج ما ، فمن المؤكد أنه سيكون اختيارًا ممتازًا.

لسوء الحظ ، بالكاد ربع الشركات التي نختبرها تشارك مع جميع المختبرات الأربعة. الربع الآخر يعمل مع مختبر واحد فقط ، و 30 في المائة بشكل كامل لا يشاركون مع أي من الأربعة. بوضوح ، التدريب العملي على الاختبار أمر لا بد منه.

حتى إذا أبلغت المختبرات عن جميع المنتجات التي نغطيها ، فإننا لا نزال نجري اختبارًا عمليًا. هل تثق في مراجعة سيارة من كاتب لم يجرِ تجربة قيادة على الإطلاق؟ كلا.

انظر كيف نختبر برامج مكافحة الفيروسات والأمن

صب شبكة واسعة

فقط لأن المنتج يشير إلى "مهلا ، مسكت عينة من البرامج الضارة!" لا يعني أنها كانت ناجحة. في الواقع ، يكشف اختبارنا في كثير من الأحيان عن حالات اكتشف فيها مكون مكافحة الفيروسات أحد مكونات البرامج الضارة ولكنه سمح بتشغيل آخر. نحتاج إلى تحليل شامل لعيناتنا ، مع ملاحظة التغييرات التي أجراها على النظام ، حتى نتمكن من تأكيد أن مكافحة الفيروسات قد فعلت ما ادعت.

يوجد في المعامل المستقلة فرق من الباحثين مكرسة لجمع وتحليل أحدث العينات. يحتوي PCMag على عدد قليل فقط من محللي الأمن ، الذين يكونون مسؤولين عن أكثر من مجرد جمع وتحليل البرامج الضارة. يمكننا فقط توفير الوقت لتحليل مجموعة جديدة من العينات مرة واحدة في السنة. نظرًا لأن العينات ستبقى قيد الاستخدام لعدة أشهر ، فقد تتمتع المنتجات التي تم اختبارها لاحقًا بميزة المزيد من الوقت للكشف عن نفس العينة في الحيل. لتجنب أي ميزة غير عادلة ، نبدأ بالعينات التي ظهرت قبل عدة أشهر. نستخدم الأعلاف اليومية التي توفرها MRG-Effitas ، من بين أمور أخرى ، لبدء العملية.

في جهاز ظاهري ، متصل بالإنترنت ولكن معزول عن الشبكة المحلية ، نقوم بتشغيل أداة مساعدة بسيطة تأخذ قائمة عناوين URL وتحاول تنزيل العينات المقابلة. في كثير من الحالات ، لم يعد عنوان URL صالحًا ، بالطبع. في هذه المرحلة ، نريد 400 إلى 500 عينة ، لأن هناك معدل استنزاف خطير لأننا نتعرف على مجموعة العينات.

تمرير winnowing الأول يحل الملفات الصغيرة بشكل مستحيل. من الواضح أن أي شيء أقل من 100 بايت جزء من تنزيل لم يكتمل.

بعد ذلك ، نعزل نظام الاختبار عن الإنترنت ونطلق ببساطة كل عينة. لا يتم تشغيل بعض العينات بسبب عدم التوافق مع إصدار Windows أو عدم وجود ملفات مطلوبة ؛ طفرة ، ذهبوا. يعرض البعض الآخر رسالة خطأ تشير إلى فشل التثبيت أو مشكلة أخرى. لقد تعلمنا أن نبقي هؤلاء في المزيج. غالبًا ما تستمر عملية الخلفية الضارة في العمل بعد الحادث المزعوم.

يخدع والكشف

فقط لأن ملفين لهما أسماء مختلفة لا يعني أنهما مختلفان. يشتمل مخطط المجموعة الخاص بنا عادةً على العديد من التكرارات. لحسن الحظ ، ليست هناك حاجة لمقارنة كل زوج من الملفات لمعرفة ما إذا كانت متماثلة. بدلاً من ذلك ، نستخدم دالة هاش ، وهو نوع من التشفير أحادي الاتجاه. تقوم دالة التجزئة دائمًا بإرجاع نفس النتيجة لنفس الإدخال ، ولكن حتى إدخال مختلف قليلاً ينتج نتائج مختلفة بشكل كبير. بالإضافة إلى ذلك ، لا توجد طريقة للانتقال من التجزئة إلى الأصل. اثنين من الملفات التي لديها نفس التجزئة هي نفسها.

نستخدم الأداة HashMyFiles الموقرة من NirSoft لهذا الغرض. يقوم تلقائيًا بتعريف الملفات بنفس علامة التجزئة ، مما يجعل من السهل التخلص من التكرارات.

استخدام آخر لالشرطات

نشأ VirusTotal كموقع إلكتروني للباحثين لتبادل الملاحظات حول البرامج الضارة. حاليًا شركة تابعة لـ Alphabet (الشركة الأم لـ Google) ، فهي لا تزال تعمل كمركز لتبادل المعلومات.

يمكن لأي شخص إرسال ملف إلى VirusTotal للتحليل. يدير الموقع عينة من مشغلات برامج مكافحة الفيروسات السابقة من أكثر من 60 شركة أمنية ويبلغ عن عدد العلامات التي تم تمييزها على أنها برامج ضارة. كما أنه يحفظ تجزئة الملف ، لذلك لا يتعين عليه تكرار هذا التحليل إذا ظهر الملف نفسه مرة أخرى. مريح ، HashMyFiles لديه خيار بنقرة واحدة لإرسال تجزئة الملف إلى VirusTotal. نمر من خلال العينات التي جعلت من هذا الحد ونلاحظ ما يقوله VirusTotal عن كل منهما.

الأكثر إثارة للاهتمام ، بالطبع ، هي تلك التي لم يرها VirusTotal. على العكس من ذلك ، إذا أعطى 60 محركًا من أصل 60 محركًا ملفًا صحيًا نظيفًا ، فستكون هناك فرص جيدة لأنه ليس برنامجًا ضارًا. باستخدام أرقام الكشف يساعدنا في ترتيب العينات من الأرجح إلى الأقل احتمالا.

لاحظ أن VirusTotal نفسها تنص بوضوح على أنه لا ينبغي لأحد استخدامها بدلاً من محرك مكافحة فيروس حقيقي. رغم ذلك ، إنها مساعدة كبيرة في تحديد أفضل التوقعات لمجموعة البرامج الضارة الخاصة بنا.

تشغيل ومشاهدة

في هذه المرحلة ، يبدأ التحليل العملي. نستخدم برنامجًا داخليًا (يُسمى بذكاء RunAndWatch) لتشغيل ومشاهدة كل عينة. تقوم أداة PCMag تسمى InCtrl (اختصار لـ Control Control) بالتقاط لقطات من نظام التسجيل والملفات قبل وبعد بدء تشغيل البرامج الضارة ، والإبلاغ عما حدث. بالطبع ، لا يثبت أن تغيير شيء ما يثبت أن عينة البرامج الضارة قد غيرتها.

تراقب ProcMon Process Monitor من Microsoft جميع الأنشطة في الوقت الفعلي ، وتسجيل إجراءات نظام التسجيل والملفات (من بين أمور أخرى) من خلال كل عملية. حتى مع المرشحات لدينا ، سجلاتها ضخمة. لكنهم يساعدوننا في ربط التغييرات التي أبلغ عنها InCtrl5 بالعمليات التي أجريت تلك التغييرات.

اشطف و كرر

غليان السجلات الضخمة من الخطوة السابقة إلى شيء يمكن استخدامه يستغرق بعض الوقت. باستخدام برنامج داخلي آخر ، نقوم بإزالة التكرارات ، وجمع الإدخالات التي تبدو ذات أهمية ، ونحو بيانات لا علاقة لها بوضوح بنموذج البرامج الضارة. هذا هو الفن وكذلك العلم. يتطلب الأمر الكثير من الخبرة للتعرف بسرعة على العناصر غير الأساسية والتقاط الإدخالات ذات الأهمية.

في بعض الأحيان بعد عملية التصفية هذه ، لم يتبق شيء ، مما يعني أنه مهما فعلت العينة ، فقد فاتنا نظام التحليل البسيط. إذا تجاوزت العينة هذه الخطوة ، فإنها تمر بمرشح داخلي آخر. يقوم هذا التطبيق بإلقاء نظرة فاحصة على التكرارات ، ويبدأ في وضع بيانات السجل في تنسيق تستخدمه الأداة النهائية ، وهو الأداة التي تتحقق من آثار البرامج الضارة أثناء الاختبار.

التعديلات في اللحظة الأخيرة

تتويجا لهذه العملية هو أداة NuSpyCheck لدينا (سميت منذ العصور عندما كانت برامج التجسس أكثر انتشارا). مع كل العينات التي تمت معالجتها ، نقوم بتشغيل NuSpyCheck على نظام اختبار نظيف. في كثير من الأحيان ، سنجد أن بعض ما اعتقدنا أنه من آثار البرامج الضارة يثبت أنه موجود بالفعل على النظام. في هذه الحالة ، نقلب NuSpyCheck إلى وضع التحرير ونزيلها.

هناك واحد أكثر slog ، وهو واحد مهم. إعادة تعيين الجهاز الظاهري إلى لقطة نظيفة بين الاختبارات ، نقوم بتشغيل كل عينة ، والسماح لها بالعمل حتى النهاية ، والتحقق من النظام باستخدام NuSpyCheck. هنا مرة أخرى ، هناك دائمًا بعض الآثار التي يبدو أنها تظهر أثناء التقاط البيانات ، لكن لا تظهر في وقت الاختبار ، ربما لأنها كانت مؤقتة. بالإضافة إلى ذلك ، تستخدم العديد من عينات البرامج الضارة أسماءًا تم إنشاؤها عشوائيًا للملفات والمجلدات ، مختلفة في كل مرة. لتلك الآثار المتعددة الأشكال ، نضيف ملاحظة تصف النموذج ، مثل "الاسم القابل للتنفيذ مع ثمانية أرقام".

تترك بعض العينات الأخرى الحقل في هذه المرحلة النهائية ، لأنه مع كل عملية الحلاقة لنقاط البيانات ، لم يتبق شيء للقياس. تلك التي لا تزال تصبح المجموعة التالية من عينات البرامج الضارة. من 400 إلى 500 عنوان URL الأصلي ، ننتهي عادة من حوالي 30 عنوانًا.

استثناء Ransomware

تقوم System-locker ransomware مثل Petya سيئة السمعة بتشفير القرص الصلب ، مما يجعل الكمبيوتر غير صالح حتى تدفع الفدية. تشيع أنواع الفدية الأكثر شيوعًا لتشفير الملفات الملفات في الخلفية. عندما ينجزون الفعل القذر ، فإنهم يطالبون بفدية كبيرة. لا نحتاج إلى أداة مساعدة لاكتشاف أن برنامج مكافحة الفيروسات قد فاته أحد هذه الميزات ؛ البرامج الضارة تجعل نفسها واضحة.

تضيف العديد من منتجات الأمان طبقات إضافية من الحماية من رانسومواري ، إلى جانب محركات مكافحة الفيروسات الأساسية. منطقي. إذا فاتك برنامج مكافحة الفيروسات الخاص بك من هجوم طروادة ، فمن المحتمل أن يقوم بمسحه في غضون بضعة أيام بعد حصوله على توقيعات جديدة. ولكن إذا فاتته فدية ، فأنت من الحظ. عندما يكون ذلك ممكنًا ، نقوم بتعطيل مكونات مكافحة الفيروسات الأساسية ونختبر ما إذا كان نظام حماية Ransomware وحده يمكنه الحفاظ على أمان ملفاتك وجهاز الكمبيوتر الخاص بك.

ما هذه العينات ليست كذلك

يمكن لمختبرات اختبار مكافحة الفيروسات الكبيرة استخدام عدة آلاف من الملفات لاختبار التعرف على الملفات الثابتة ، ومئات عديدة للاختبار الديناميكي (بمعنى أنها تطلق العينات وترى ما يفعله برنامج مكافحة الفيروسات). نحن لا نحاول ذلك. تتيح لنا العينات المكونة من 30 شخصًا أن نتعرف على كيفية تعامل برنامج مكافحة الفيروسات مع الهجوم ، وعندما لا تكون لدينا نتائج من المعامل ، يكون لدينا شيء نعود إليه.

نحن نحاول ضمان مزيج من أنواع كثيرة من البرامج الضارة ، بما في ذلك رانسومواري ، وأحصنة طروادة ، والفيروسات ، وأكثر من ذلك. نقوم أيضًا بتضمين بعض التطبيقات غير المرغوب فيها (PUAs) ، مع التأكد من تشغيل اكتشاف PUA في المنتج قيد الاختبار ، إذا لزم الأمر.

تكتشف بعض تطبيقات البرامج الضارة عند تشغيلها في جهاز افتراضي والامتناع عن أي نشاط سيء. هذا جيد؛ نحن فقط لا نستخدم تلك. بعض الانتظار ساعات أو أيام قبل التنشيط. مرة أخرى ، نحن فقط لا نستخدمها.

نأمل أن يكون هذا النظرة الخاطفة وراء الكواليس في اختبار الحماية من البرامج الضارة التي نقدمها قد أعطاك بعض البصيرة حول المدى الذي سنذهب إليه لتجربة الحماية من الفيروسات أثناء العمل. كما لوحظ ، ليس لدينا فريق مكرس من الباحثين في مجال مكافحة الفيروسات بالطريقة التي تفعل بها المختبرات الكبيرة ، لكننا نوافيكم بإبلاغنا عن خنادق لن تجدها في أي مكان آخر.