Oikea-aikaisuus on yksi syy. Teen parhaani tarkistaaksesi jokaisen uuden tietoturvatuotteen heti, kun se julkaistaan. Laboratoriot suorittavat testinsä aikataulussa, joka harvoin vastaa tarpeitasi. Kattavuus on toinen asia. Kaikki turvallisuusyritykset eivät osallistu jokaiseen laboratorioon; jotkut eivät osallistu ollenkaan. Niille, jotka eivät osallistu, omat tulokset ovat kaikki, mitä minun on mentävä. Viime kädessä käytännön testaus antaa minulle käsityksen siitä, kuinka tuote ja yritys käsittelevät vaikeita tilanteita, kuten haittaohjelmia, jotka estävät suojaavien ohjelmistojen asentamisen.
Kohtuullisen vertailun saamiseksi minun on suoritettava jokainen virustentorjuntatuote samaa näytesarjaa vastaan. Kyllä, se tarkoittaa, että en koskaan testaa nollapäivän, koskaan ennen nähtyä haittaohjelmaa. Luotan laboratorioihin ja niiden suuremmilla resursseilla suorittaakseen tällaisen testin. Uuden tartunnan saaneiden testijärjestelmien luominen vie kauan, joten minulla on varaa tehdä se vain kerran vuodessa. Ottaen huomioon, että näytteeni eivät ole etäisesti uusia, luulet kaikkien turvallisuustuotteiden käsittelevän niitä hyvin, mutta se ei ole mitä havaitsen.
Näytteiden kerääminen
Suuret riippumattomat laboratoriot pitävät valvoa Internetissä ja sieppaavat jatkuvasti uusia haittaohjelmanäytteitä. Tietysti heidän on arvioitava satoja epäiltyjä tunnistaakseen todella haitalliset ja selvittääkseen minkä tyyppisiä haitallisia käytöksiä heillä on.
Omassa testauksessa luotan monien eri turvayritysten asiantuntijoiden apuun. Pyydän kutakin ryhmää toimittamaan reaalimaailman URL-osoitteet noin kymmenelle "mielenkiintoiselle" uhalle. Tietysti kaikki yritykset eivät halua osallistua, mutta saan edustavan näytteen. Tiedostojen tarttumisella niiden todellisesta sijainnista on kaksi etua. Ensinnäkin minun ei tarvitse käsitellä sähköpostin tai tiedostonvaihtoturvallisuutta pyyhkimällä näytteitä kuljetuksen aikana. Toiseksi se eliminoi mahdollisuuden, että yksi yritys saattaa pelata järjestelmää toimittamalla kertaluonteisen uhan, jonka vain heidän tuotteensa voi havaita.
Haittaohjelmien kirjoittajat liikkuvat ja morfioivat ohjelmistoaseitaan jatkuvasti, joten lataan ehdotetut näytteet heti saatuaan URL-osoitteet. Jopa niin, jotkut heistä ovat jo kadonneet siihen mennessä, kun yritän tarttua heihin.
Vapauta virus!
Seuraava vaivalloinen vaihe sisältää jokaisen ehdotetun näytteen käynnistämisen virtuaalikoneessa valvontaohjelmiston valvonnassa. Antamatta liikaa yksityiskohtia, käytän työkalua, joka tallentaa kaikki tiedosto- ja rekisterimuutokset, toisen, joka havaitsee muutokset ennen ja jälkeen järjestelmän tilannekuvia, ja kolmas, joka raportoi kaikista käynnissä olevista prosesseista. Suoritan myös pari rootkit-skanneria jokaisen asennuksen jälkeen, koska teoriassa rootkit saattaa kiertää muiden näyttöjen havaitsemisen.
Tulokset ovat usein pettymys. Jotkut näytteet havaitsevat, kun ne ovat käynnissä virtuaalikoneessa, ja kieltäytyvät asentamasta. Toiset haluavat tietyn käyttöjärjestelmän tai tietyn maakoodin ennen kuin ne ryhtyvät toimiin. Jotkut muut saattavat odottaa ohjeita komento- ja hallintakeskukselta. Ja muutama vaurioittaa testijärjestelmää siihen pisteeseen, että se ei toimi enää.
Viimeisimmistä ehdotuksistani 10 prosenttia oli jo mennyt siihen mennessä, kun yritin ladata niitä, ja noin puolet lopusta ei ollut hyväksyttävää jostakin syystä. Jäljelle jääneistä valitsin kolme tusinaa, etsien saada erilaisia malware tyyppejä, joita suositteli yhdistelmä eri yrityksiä.
Onko siellä?
Haittaohjelmanäytteiden valinta on vain puolet työstä. Minun on myös käynyt läpi valvontaprosessin aikana luotujen lokitiedostojen riitot ja reamit. Valvontatyökalut tallentavat kaiken, mukaan lukien muutokset, jotka eivät liity haittaohjelmanäytteeseen. Kirjoitin pari suodatus- ja analysointiohjelmaa auttaakseni minua etsimään haittaohjelmien asentajan lisäämät tietyt tiedostot ja rekisterimerkinnät.
Kun olen asentanut kolme näytettä kappaleelta kahteentoista muuten identtisessä virtuaalikoneessa, suoritan toisen pienen ohjelman, joka lukee viimeiset lokit ja tarkistaa, että näytteisiin liittyvät käynnissä olevat ohjelmat, tiedostot ja rekisterimerkinnät ovat todella olemassa. Melko usein minun on mukautettava lokiasi, koska polymorfinen troijalainen on asennettu käyttämällä erilaisia tiedostonimiä kuin se, jota käytin analyysini aikana. Itse asiassa yli kolmannes nykyisestä kokoelmassani tarvitsi säätöä polymorfismiin.
Onko se mennyt?
Kun kaikki tämä valmistelu on valmis, tietyn virustentorjuntatuotteen puhdistusmenestyksen analysointi on yksinkertainen asia. Asennan tuotteen kaikkiin kahteentoista järjestelmään, suoritan täyden tarkistuksen ja suoritan tarkistustyökaluni selvittääkseni, mitä jälkiä jäljellä on (jos niitä on). Tuote, joka poistaa kaikki suoritettavat jäljet ja vähintään 80 prosenttia ei-suoritettavasta roskasta, saa kymmenen pistettä. Jos se poistaa vähintään 20 prosenttia roskasta, se on yhdeksän pisteen arvoinen; alle 20 prosenttia saa kahdeksan pistettä. Jos suoritettavat tiedostot jäävät taakse, tuote saa viisi pistettä; joka laskee kolmeen pisteeseen, jos jokin tiedostoista on edelleen käynnissä. Ja tietysti kokonaismäärä ei saa yhtään pistettä.
Kolmen tusinan näytteen pisteiden keskiarvointi antaa minulle melko hyvän kuvan siitä, kuinka hyvin tuote käsittelee haittaohjelmien saastuttamia testijärjestelmiä. Lisäksi saan käytännön kokemuksen prosessista. Oletetaan, että kahdella tuotteella on identtiset pisteet, mutta yksi asennetaan ja skannataan ilman ongelmia, ja toinen vaatii teknisen tuen työtuntia; ensimmäinen on selvästi parempi.
Nyt tiedät, mitä menee haittaohjelmien poistokaavioon, joka sisältyy jokaiseen virustorjuntakatsaukseen. Se on paljon työtä kerran vuodessa, mutta se kannattaa paikoillaan.
