비디오: ì몸ì¼ë¡ë´ì¤ì§ííëì¬ììëì´ì (십월 2024)
적시성은 한 가지 이유입니다. 새 보안 제품이 출시 되 자마자 최선을 다하겠습니다. 실험실은 내 요구와 거의 일치하지 않는 일정에 따라 테스트를 수행합니다. 포괄 성은 또 다른 것입니다. 모든 보안 회사가 모든 실험실에 참여하는 것은 아닙니다. 일부는 전혀 참여하지 않습니다. 참여하지 않는 사람들을 위해, 내 자신의 결과는 내가 계속해야합니다. 마지막으로 실습 테스트를 통해 제품과 회사에서 보호 소프트웨어 설치를 방해하는 맬웨어와 같은 까다로운 상황을 처리하는 방법에 대한 느낌을 얻을 수 있습니다.
합리적인 비교를 위해서는 동일한 샘플 세트에 대해 각 안티 바이러스 제품을 실행해야합니다. 그렇습니다. 제로 데이, 전혀 본 적이없는 악성 코드로 테스트하지 않습니다. 나는 이런 종류의 테스트를 수행하기 위해 더 큰 리소스를 갖춘 실험실에 의존합니다. 감염된 테스트 시스템의 새로운 세트를 만드는 데 시간이 오래 걸리므로 일 년에 한 번만 할 수 있습니다. 내 샘플이 원격으로 새롭지 않다는 것을 감안할 때 모든 보안 제품이 잘 처리 할 것이라고 생각할 것입니다. 그러나 이것이 제가 관찰 한 것은 아닙니다.
샘플 수집
대규모 독립 연구소는 인터넷에서 감시를 유지하여 새로운 악성 코드 샘플을 지속적으로 캡처합니다. 물론 그들은 수백 명의 용의자를 평가하여 진정으로 악의적 인 사람을 식별하고 그들이 어떤 종류의 악의적 인 행동을하는지 결정해야합니다.
본인의 테스트에는 여러 보안 회사의 전문가의 도움이 필요합니다. 각 그룹에 "흥미로운"위협에 대한 실제 URL을 제공하도록 요청합니다. 물론 모든 회사가 참여하고 싶지는 않지만 대표 샘플을 얻습니다. 실제 위치에서 파일을 가져 오면 두 가지 이점이 있습니다. 먼저, 전송중인 샘플을 지우는 이메일 또는 파일 교환 보안을 처리 할 필요가 없습니다. 둘째, 자사 제품 만 탐지 할 수있는 일회성 위협을 제공하여 한 회사가 시스템을 게임 할 가능성을 제거합니다.
멀웨어 제작자들은 끊임없이 소프트웨어 무기를 움직이고 변형시키기 때문에 URL을 받으면 즉시 제안 된 샘플을 다운로드합니다. 그럼에도 불구하고 그들 중 일부는 내가 그들을 잡으려고 할 때 이미 사라졌습니다.
바이러스를 풀어 라!
다음 단계 인 힘든 단계는 모니터링 소프트웨어의 감시하에 가상 머신에서 제안 된 모든 샘플을 실행하는 것입니다. 너무 자세하게 설명하지 않고 모든 파일 및 레지스트리 변경 사항을 기록하는 도구, 시스템 스냅 샷 전후에 변경 사항을 감지하는 도구 및 실행중인 모든 프로세스에 대해보고하는 도구를 사용합니다. 이론적으로 루트킷은 다른 모니터에 의한 탐지를 피할 수 있기 때문에 각 설치 후 두 개의 루트킷 스캐너를 실행합니다.
결과는 자주 실망합니다. 일부 샘플은 가상 머신에서 실행중인 시간을 감지하여 설치를 거부합니다. 다른 사람들은 조치를 취하기 전에 특정 운영 체제 또는 특정 국가 코드를 원합니다. 또 다른 사람들은 지휘 통제 센터의 지시를 기다리고있을 수도 있습니다. 그리고 테스트 시스템이 더 이상 작동하지 않을 정도로 손상되었습니다.
가장 최근의 제안 중, 내가 다운로드하려고 시도 할 때까지 10 %가 이미 사라졌으며 나머지 절반은 어떤 이유로 든 받아 들일 수 없었습니다. 남은 것 중에서 30 개를 선택하여 여러 회사에서 제안한 다양한 맬웨어 유형을 찾고있었습니다.
있습니까?
맬웨어 샘플을 선택하는 것은 작업의 절반에 지나지 않습니다. 또한 모니터링 프로세스 중에 생성 된 로그 파일을 다량으로 다듬어야합니다. 모니터링 도구는 맬웨어 샘플과 관련이없는 변경 사항을 포함하여 모든 것을 기록합니다. 맬웨어 설치 프로그램이 추가 한 특정 파일과 레지스트리 추적을 알아내는 데 도움이되는 몇 가지 필터링 및 분석 프로그램을 작성했습니다.
12 개의 다른 가상 머신에 각각 3 개의 샘플을 설치 한 후 마지막 로그를 읽고 샘플과 관련된 실행중인 프로그램, 파일 및 레지스트리 추적이 실제로 존재하는지 확인하는 다른 작은 프로그램을 실행합니다. 다형성 트로이 목마는 분석을 실행할 때 사용한 것과 다른 파일 이름을 사용하여 설치 되었기 때문에 로그를 조정해야하는 경우가 종종 있습니다. 사실, 현재 컬렉션의 3 분의 1 이상이 다형성에 대한 조정이 필요했습니다.
사라 졌습니까?
이 준비가 모두 완료되면 특정 바이러스 백신 제품의 정리 성공을 분석하는 것은 간단합니다. 모든 12 개의 시스템에 제품을 설치하고 전체 스캔을 실행 한 후 점검 도구를 실행하여 남아있는 추적이 있는지 판별합니다. 모든 실행 가능 추적을 제거하고 실행 불가능 정크의 80 % 이상을 제거하는 제품은 10 점을 얻습니다. 정크의 20 % 이상을 제거하면 9 포인트의 가치가 있습니다. 20 % 미만은 8 점을 얻습니다. 실행 파일이 남아 있으면 제품의 점수는 5 점입니다. 파일이 여전히 실행 중이면 3 점으로 내려갑니다. 물론 총 미스도 전혀 점수를 얻지 못합니다.
30 개 샘플 각각의 요점을 평균하면 제품이 맬웨어 감염 테스트 시스템 청소를 얼마나 잘 처리하는지 잘 볼 수 있습니다. 또한 프로세스에 대한 실무 경험을 얻습니다. 두 제품이 동일한 점수를 받았지만 하나는 문제없이 설치되고 스캔되고 다른 하나는 기술 지원에 의해 필요한 작업 시간이라고 가정합니다. 첫 번째는 분명히 좋습니다.
이제 모든 바이러스 백신 검토에 포함 된 맬웨어 제거 차트에 무엇이 들어가는 지 알았습니다. 매년 한 번의 작업이지만, 그 작업은 스페이드로 이루어집니다.
