비디오: ì•„ì ´ìŠ¤í ¬ë¦¼ ì¹¼ë ¼í ¼ ìŠ¬ë ¼ì „ 액체괴물 만들기!! í 르는 ì í† ì•¡ê´´ ìŠ¬ë ¼ì „ 놀ì (십월 2024)
컴퓨터 바이러스는 수년 동안 존재 해 왔습니다. 초기에는 탐지가 알려진 서명 세트와 파일을 일치시키는 간단한 문제였습니다. 일부 안티 바이러스 프로그램에는 탐지 할 수있는 모든 위협 목록이 포함되어 있습니다. 요즘에는 악성 프로그램 작성자가 변형 및 진화하는 맬웨어를 만들기 위해 열심히 노력하여 서명 기반 탐지에 걸리지 않습니다. ICSA Labs의 신흥 위협 연구원 인 Roger Thompson과 함께 맬웨어 방지 프로그램을 변경하는 방법과 이러한 제품의 테스트를 변경하는 방법에 대해 이야기했습니다.
일이 있었던 방식
Rubenking: ICSA Labs가 무엇이며 정확히 무엇에 대해 몇 마디 말씀해 주 시겠습니까?
Thompson: 동의 한 과거 기준에 따라 안티 바이러스 제품을 인증합니다. 90 년대에는 안티 바이러스 과대 광고와 실제 실제 결과를 구분할 필요가있었습니다. 아시다시피 사람들은 제품에 대해 마음에 드는 것을 말할 수 있었으며 아무도 그것을 증명하거나 반증 할 수 없었습니다. 두뇌를 가진 사람은 "이것은 효과가없고 작동하지 않습니다. 이것이 말하는 것을하지 않습니다"라고 말할 필요가있었습니다.
공급 업체는이를 위해 중립적 인 제삼자가 필요하다는 데 동의했습니다. 물론 알려진 "동물원"보다 야생에 실제로 존재하는 바이러스에 대해 테스트하는 것이 항상 더 중요합니다. 따라서, 와일드리스트는 알려진 멀웨어의 벤더 중립적 구성 요소 인 이러한 요구로부터 성장했습니다.
또한 90 년대로 돌아온 Alan Solomon은 모든 사람에게 맬웨어를 탐지하는 일반적인 유형의 방법이 나쁜 생각임을 확신 시켰습니다. 대신에 바이러스가 무엇인지 정확하게 제거 할 수있는 스캐너가 필요했습니다. 세계는 동의했고, 그런 종류의 스캐너를 지원하기 위해 그들의 수첩과 투표했습니다.
일반적으로 일반 감지의 문제점은 지원 호출이 발생한다는 것입니다. 바이러스 백신에 따르면 시스템의 일부 프로세스가 실행 파일을 수정하거나 일부 실행 파일이 변경되었다고합니다. 당신은 그것을 변경 했습니까? 이로 인해 지원 요청이 발생하고 Fortune 500 대 기업은 승인하지 않습니다. 서명 기반 바이러스 백신은 "바이러스입니다!"라고 말합니다. 또는 아무 말도하지 않습니다.
어떻게 될 것인가
Thompson: 서명 기반 스캐너를 테스트하기 위해 여전히 기본적인 요구 사항이 있습니다. 그들은 그것을 감지 할 수 있습니까? 그것이 이루어졌으며 여전히 필요합니다. 그러나 숫자는 너무 많이 바뀌었고 매일 많은 양의 보풀이 만들어졌습니다. 이제 필요한 것은 안티 맬웨어가 이전에는 보지 못한 것들을 탐지하는 능력을 테스트하는 것입니다.
Rubenking: 보풀 일? 그게 무슨 소리 야?
톰슨: 알다시피, 아무도 실제 숫자를 모른다. ESET 직원들은 맥주 한 잔을 마시면서 매일 600, 000 개의 새로운 고유 악성 코드 샘플을 보게된다고 말했습니다. 시만텍에서 매일 백만 개의 새롭고 독특한 아이템을 주장하는 보고서를 기억합니다. 그러나 진실은 대다수가 알고리즘 적으로 생성된다는 것입니다. 나쁜 사람들은 중요하지 않은 코드를 변경하고 재 컴파일, 재 포장 및 재 암호화합니다. 그런 다음 현재 스캐너가 새 버전을 감지하는지 확인합니다. 그렇지 않은 경우 해제합니다.
이미 알고있는 것을 쉽게 감지 할 수 있습니다. 주식 시장과 같습니다. "그냥"낮은 구매와 높은 판매. 문제는 이러한 독특한 바이러스로 인해 기본 동작이 변하지 않고 솜털 같은 비트입니다. 활동, 레지스트리 수정, 파일 변경… 해당 동작은 변경되지 않습니다. 따라서 테스트는 거래의 일부로 행동 차단을 통합하도록 이동해야합니다.
Rubenking:이 차세대 테스트를 곧 추가 할 예정입니까?
Thompson: 우리는 벤더가 좋은 일이라는 데 동의하도록 노력하고 있습니다. 그들은 일반적으로 동의하지만 실제로 테스트를 수행하는 것은 쉽지 않습니다.
Rubenking: 새로운 프로세스는 어떻습니까?
톰슨: 어렵습니다. 그래서 사람들은 그것을 원하지 않습니다. 깨끗한 시스템으로 시작하여 맬웨어를 실행하고 설치되었는지 확인하십시오. 나중에 법 의학적으로 시스템을 검사 할 수 있어야합니다. 악성 코드가 시스템을 감염 시켰습니까? 레지스트리 키가 변경 되었습니까? 재시작 후에도 지속되도록 지속 되었습니까? 그런 다음 다시 깨끗한 기준선으로 복원해야합니다.
Rubenking: AV-Comparatives의 동적 테스트와 매우 흡사합니다.
톰슨: 예, 매우 비슷합니다.
Rubenking: 당신은 갈 준비가되었지만 벤더는 그렇지 않습니까? 새로운 테스트가 언제 시행 될지 모르십니까?
톰슨: 이제 갈 준비가되었습니다. 공급 업체의 상태가 무엇인지 잘 모르겠습니다. 다시 연락 드리겠습니다.] 또한 문제의 일부는 자체 악성 코드 소스를 찾고 스팸 피드를 수집하는 것입니다. 우리는 실제로 무엇이 있는지 알아야합니다.
나쁜 녀석을 위해 인생을 힘들게하십시오
톰슨: 이것은 올바른 길입니다. 우리는 항상했던 일을 멈출 수는 없지만 안티 멀웨어 공급 업체가 행동 기반 차단을 추가하면 나쁜 사람이이기는 것이 훨씬 어려워집니다. 그들은 중요하지 않은 것을 조정하여 서명을 이길 수 있지만 행동 차단을이기려면 실제로 행동을 변경하고 행동의 다른 정의를 처리해야합니다.
Rubenking: 행동 차단 유형이 다른 다양한 안티 멀웨어 공급 업체가 나쁜 사람의 삶을 힘들게 만들 것입니까?
톰슨: 맞습니다. 스위스 치즈 비유와 같습니다. 한 비트의 치즈에는 구멍이 있지만 다른 비트를 겹치면 구멍을 덮습니다. 충분한 비트를 착용하고 구멍이 남아 있지 않습니다.
Rubenking: 감사합니다, Roger!
