Как мне объяснить, как работает антивирусная защита не-Супер-пользователю?

12

Я нашел этот вопрос, который немного подробно объясняет, как именно работают антивирусные программы. Но я только что попросил клиента спросить меня об этом, и я действительно не мог дать ему хороший, простой, легкий для понимания ответ. Лучшее, что я мог придумать, было то, что у каждого вируса есть определенный «отпечаток», и программное обеспечение сканирует их в известных зараженных областях.

Как мне объяснить это простым и понятным способом?

Джеймс Мерц
источник
1
Хороший вопрос. Я собрал неуклюжий ответ в надежде, что мы сможем на нем опираться.
Чтение ... encrypted.google.com/…
Моав
Напоминает мне о дискуссии о «виртуализации ... для твоей подруги»: P
nhinkle
«Вы не идеальны, операционная система определенно не идеальна. Отсутствие совершенства приводит к множеству проблем».
тобилан
1
@ muntoo, да, мой провайдер больше не может видеть то, что я ищу.
Моав

Ответы:

10

Механизм обнаружения или как они на более глубоком уровне?

Когда люди говорят мне о том, как вредоносное ПО попало на их компьютер, и почему его не всегда удается удалить, когда оно находится в системе, и почти все, что связано с вредоносным ПО, я всегда отвечаю комбинацией / подобной этой метафоре:

(И когда я записываю это, я должен звучать немного как идиот, но я надеюсь, вам понравится!)

Представьте, что ваш дом - это компьютер, антивирусная программа - это несколько разных механизмов безопасности.

Загрузить / Создание нового файла:

Представьте себе вышибала на вашей входной двери - любой, кто входит в дом (файлы поступают на вашу машину), проходит через него, и он проверяет, что они чисты *. Если он находит что-то плохое, он обычно дает вам выбор, что делать.

Активный сканер

Представьте себе внутреннюю группу безопасности, которая наблюдает за каждым (активными процессами) в вашем доме, за любым объектом (файлом), к которому они прикасаются, проверяется, чтобы убедиться, что они чисты *

Пассивное / ручное сканирование

Когда больше нечего делать или вы выбираете, вы можете попросить команду безопасности проверить все объекты в доме, чтобы убедиться, что они защищены от последних угроз.

Руткиты / зараженные

В то время как безопасность вашего дома всегда будет делать все возможное, ничто не является эффективным на 100%. Когда кто-то находится в доме, если его не остановили, он может делать все, что захочет. Хотя после них можно убирать, и в большинстве случаев устранить все повреждения ... они могли оставить позади свою собственную команду безопасности, которая мешает вашей собственной.

`* Как сказал Рэндольф в своем ответе, обычно это смесь отпечатков пальцев и эвристики )

Кажется, я не могу его найти, но у Microsoft был документ API о создании программного обеспечения AV, я могу найти только ссылку на руководство по MS Office / IE API . Я предполагаю, что из-за поддельных наборов AV / Root они удалили эту информацию.

(Также у Symantec есть интересная статья для дальнейшего чтения)

Редактировать - только что нашел интересный вопрос переполнения стека ... Как антивирус Windows подключается к процессу доступа к файлам?

Уильям Хилсум
источник
5

Они работают на нескольких уровнях, в том числе:

  • Как вы указали, определение отпечатка пальца, которое проверяет наличие подписи активности или файла, которые соответствуют базе данных

  • Подозрительное поведение, например, загрузочный сектор изменяется чем-то, что не распознается, или память перезаписывается процессом, который не должен иметь доступа

  • Обнаружение руткитов, которое требует, чтобы AV запускался почти как сам вирус (* именно поэтому AVG, например, не любит ComboFix - он делает вещи, которые неотличимы от поведения вируса), поскольку он должен скрывать себя от руткита.

Это, конечно, не полный список, и я приветствую изменения в ответе.

user3463
источник
3
«Я приветствую изменения в ответе» Почему бы тогда не сделать это CW?
Hello71,
1

Я несколько раз был в состоянии сказать людям, что им нужно AV-программное обеспечение, в то же время отгоняя добровольную «экспертную» критику, что AV-программное обеспечение «бесполезно», потому что новые незащищенные вирусы не будут остановлены, и, как говорит Уил, они могут что-то оставить позади. это делает настоящую очистку невозможной.

Я думаю, что важно, чтобы пользователи, не являющиеся суперпользователями, понимали эти два последних пункта, но не думали, что программное обеспечение AV бесполезно. Им также необходимо понять третий момент: необходим тщательный план резервного копирования, ориентированный на «очистку ядра от орбиты, это единственный способ убедиться» в очистке системы, когда ОС переустанавливается из известных надежных резервных копий.

mcgyver5
источник
1

Ваша операционная система - это здание, а вирус - вор


Windows это офисное здание

В то время как всем разрешено входить и выходить, они должны пройти через охрану, где их сумки проверяются, и они проходят рентген. Это было бы эквивалентом активного сканера . Все проверено, поэтому есть небольшая вероятность того, что что-нибудь пройдет через входную дверь.

По всему объекту есть камеры и охранники, которые следят за ними для поиска подозрительных действий. Это пассивное сканирование . Охранники довольно хорошо выявляют обычное вредное поведение, потому что они проводят целый день, наблюдая за людьми.

Кикер в том, что если вы исполняете прикольный танец с курицей через рентгеновский сканер, то не будете задавать никаких вопросов.

Инфекция идет так. Вор исполняет прикольную курицу и танцует мимо охранника впереди. Как только они входят и берут то, что хотят, им просто нужно найти (или создать) заднюю дверь, чтобы выйти с товарами.

Если воры бесхитростны, пассивные сканеры поднят сигнал тревоги и отправят за ними охрану, но, если вы в последнее время смотрели «Одиннадцать океанов», вы поймете, что я имею в виду, когда говорю «не все воры бесхитростны». По сути, как только плохой парень проникнет внутрь, если он хорош, он будет знать, как избежать и подорвать вашу систему наблюдения, чтобы вы даже не знали, что он там. Тогда это бесплатная игра с вашими данными.

Еще хуже, они влиятельны. Они заводят друзей в вашей системе (заражают другие приложения), поэтому, даже если вам удастся дать им загрузку, они могут просто вызвать приятеля, чтобы пропустить их обратно. Пассивные сканеры не просто следят за плохими парнями, они наблюдать за поведением всех, но они не идеальны.

Троян похож на скрытого вора, скрывающегося у одного из аварийных выходов. Если он слышит секретный стук одного из своих приятелей снаружи, он открывает дверь изнутри. Вы действительно не хотите, чтобы один из них в вашем здании, потому что они чрезвычайно талантливы.


Mac - это офисное здание, но с системой карточек-ключей

Когда вы входите в здание, вы должны войти в систему с охранником, чтобы получить пропуск. Но, как только вы окажетесь внутри, у вас будет свобода передвигаться по районам, где у вас есть разрешение на передвижение Если вам нужно получить доступ к инвентарю компании, вам нужно снова войти в систему, чтобы продолжить проход на более высоком уровне. Каждый раз, когда вы покидаете уровень безопасности, вы теряете свой пропуск, поэтому вы должны подписывать его каждый раз, когда вам нужно вернуться обратно.

Уязвимость заключается в том, что вы должны знать, что лицо, которому вы предоставляете доступ, должно быть допущено.


Линукс как военная база

Вы должны пройти безопасность, чтобы войти в ворота, но вам также нужен ранг / звание, чтобы получить доступ к частям базы. Например, вы не можете попасть на аэродром, если вы не пилот (и не старший офицер), вы не можете попасть на подводную лодку, если вы не вспомогательный парень.

Думайте об учетной записи root как об общем. Ему не нужно разрешение никуда идти, потому что он самый старший офицер на базе. Следовательно, вы не хотите, чтобы ваш генерал ходил и пускал на базу только кого-нибудь (потому что он будет подчиняться без вопросов).

Хитрость с Linux заключается в том, что вы не должны быть генералом. Сделайте себя мелким офицером, который покорно выполняет свою работу. Затем, когда этот мелкий офицер обнаружит, что ему нужны дополнительные ресурсы для выполнения своей работы, временно обновите его (команда для повышенных привилегий в linux - sudo, которая предоставляет временный root-доступ) до General, чтобы все пошло и пошатнулось.


В действительности Linux и Unix используют одну и ту же модель безопасности для привилегий. Маки просто не разделяют систему, как Linux, чтобы сделать ее более удобной для пользователя.

Основная проблема со всеми этими системами заключается в том, что, как только воры найдут выход, они могут создать черный ход, чтобы вернуться позже без необходимости проходить через охрану.

Единственная действительно безопасная система безопасности - иметь более сложную систему. Мол, возвращаться во времени к началу дня в конце каждого дня. Это эквивалентно виртуализации в песочнице . Каждый раз, когда вы загружаете ОС, она загружает свежую, не поврежденную копию. Никаких бэкдоров не будет, потому что ОС вернется в состояние, в котором она находилась до того, как воры проникли. У этого метода есть ограничения, но они слишком подробны / сложны, чтобы их здесь охватывать.


Уловка, которую пропускает большинство людей (некоторым удобно). Когда вы впускаете кого-то в здание и предоставляете им права доступа, они могут впустить других. Поэтому не позволяйте парню в черно-белой полосатой рубашке (а в некоторых случаях маленькой девочке с книгой по квантовой механике) в входная дверь на первом месте. За исключением фанки куриного танца, они не могут войти, если вы не позволите им.

Проблема со сканерами вирусов в том, что люди слишком на них полагаются. Учтите, что ни ваши активные, ни пассивные сканеры не знают о странном трюке с курицей. Вы просто свободно впустили плохого парня в свою систему. Если вам повезет, он сделает что-то, что привлечет внимание пассивного сканера. Если вам не повезет, он переместится из тени в тень в вашей системе, что приведет к хаосу, и вы даже не узнаете, что он там.

0-дневные уязвимости в программном обеспечении (известные программные дефекты, обнажающие дыру в безопасности, которая еще не была исправлена) - это что-то наподобие хриплого куриного танца. Microsoft не единственная сторона, которая виновата в этом; Я видел, как взломанный Adobe Flash прошел через мою систему и не подлежит ремонту менее чем за 15 секунд.

В Windows / Linux, как правило, нет проблем с курьезом, потому что вы несете свои права доступа (keycard, rank) везде, где бы вы ни находились по всей системе.

Руткит , как с одним из этих парней похищают вашу исполнительный сотрудник службы безопасности, запереть его в шкафе, и выдать себя за него. Имея звание главы службы безопасности, он может нанять / уволить любого и изменить политику по своему усмотрению. Если они доберутся до него, вы действительно облажались, потому что он может уволить весь персонал службы безопасности или проводить политику, которая заставляет сотрудников службы безопасности смотреть на их ноги и сидеть на своих руках в связи с угрозой увольнения. То есть. Вы действительно не хотите, чтобы этот парень был скомпрометирован.

Надеюсь, это поможет.

Эван Плейс
источник