Як я можу пояснити, як антивірусний захист працює для не-суперкористувача?

Я знайшов це запитання, яке детально розкриває, як саме працює антивірусна програма. Але мені просто довелося запитати мене в цьому клієнта, і я дійсно не міг дати йому гарної, простої, зрозумілої відповіді. Найкраще, що я міг би придумати, це те, що кожен вірус має певний "відбиток пальців" і програмне забезпечення сканується у відомих для них заражених областях.

Як пояснити це простим, зрозумілим способом?

Механізм виявлення, або як вони на більш глибокому рівні?

Коли люди кажуть мені про те, як зловмисне програмне забезпечення потрапило на їхню машину, і чому це не завжди можливо видалити, як тільки він є в системі, і майже все, що стосується зловмисного програмного забезпечення, я завжди відповідаю комбінацією / схожою на цю метафору:

(І коли я записую це, я повинен звучати трохи як ідіот, але, сподіваюся, вам це сподобається!)

Уявіть, що ваш дім - це комп’ютер, антивірусна програма - це кілька різних механізмів захисту.

Завантажити / Створити новий файл:

Уявіть, що на вашій вхідній двері вибивач - кожен, хто заходить до будинку (файли, що надходять до вашої машини), проходить через нього, і він перевіряє, чи вони чисті *. Якщо він знаходить щось погане, він зазвичай дає вам варіант, що робити.

Активний сканер

Уявіть, що внутрішня команда безпеки стежить за всіма (активними процесами) вашого будинку, будь-яким об’єктом (файлом), який вони торкаються, переглядає, щоб переконатися, що вони чисті *

Пасивне / ручне сканування

Коли більше нічого не робити або ви вирішите, ви можете змусити службу безпеки перевірити кожен об’єкт у будинку, щоб переконатися, що вони чисті від останніх загроз.

Корінці / один раз заражені

Хоча ваша домашня охорона завжди зробить все можливе, нічого не на 100% ефективно. Як тільки хтось знаходиться в будинку, якщо їх не зупинили, вони можуть робити все, що завгодно. Хоча за ними можна прибрати, а в більшості випадків скасувати всю шкоду ... вони могли залишити свою власну команду безпеки, яка заважає вашій власній.

`* Як сказав у своїй відповіді Рендольф, це зазвичай суміш відбитків пальців та евристики )

Я не можу його знайти, але Microsoft раніше мав документ API про створення програмного забезпечення AV, я можу знайти лише посилання на посібник з MS Office / IE API . Я здогадуюсь, що через підроблені набори AV / Root вони видалили цю інформацію.

(Також у Symantec є цікава стаття для подальшого читання)

Редагувати - Щойно знайшлося запитання про переповнення стека ... Як антивірус Windows підключається до процесу доступу до файлів?

Вони працюють на кількох рівнях, включаючи:

• Визначення відбитків пальців, як ви заявили, що перевіряє активність або підписи файлів, які відповідають базі даних

• Підозріла поведінка, наприклад, завантажувальний сектор модифікується чимось, що не розпізнається, або пам'ять перезаписується процесом, який не повинен мати доступ

• Виявлення Rootkit, яке вимагає, щоб AV запускався майже як сам вірус (* саме тому AVG не любить ComboFix, наприклад - він робить речі, які не відрізняються від поведінки вірусів), в тому, що він повинен ховатися від руткіта.

Це, звичайно, не повний список, і я вітаю правки до відповіді.

Я декілька разів мав змогу сказати людям, що вони потребують програмного забезпечення AV, відмовляючись від добровільної "експертної" критики, що програмне забезпечення AV "непридатне", тому що нові незадруковані віруси не будуть зупинені, і, як каже Віл, вони можуть залишити речі позаду що робить справжню очищення неможливою.

Я думаю, що важливо, щоб не супер-користувачі розуміли ці два останні моменти, але не думали, що програмне забезпечення AV нічого не варте. Вони також повинні зрозуміти третій момент, що потрібно ретельний план резервного копіювання з оглядом на "Nuke it from orbit, єдиний спосіб бути впевненим" очищення, коли система стирається і ОС перевстановлюється з відомих хороших резервних копій.

Ваша операційна система - це будівля, а вірус - злодій

Windows - це офісна будівля

Хоча всім дозволяється заходити і виходити, вони повинні пройти охорону, де перевіряють їх сумки, і вони проходять рентген. Це було б еквівалентом активного сканера . Все перевірено, тому є невеликий шанс, що все потрапить через вхідні двері.

По всьому об’єкту стоять камери та охоронці, які стежать за ними, щоб шукати підозрілу діяльність. Це пасивне сканування . Охоронці досить добре вказують на спільну пустотливу поведінку, оскільки вони щодня проводять спостереження за людьми.

Відбійник, якщо ви займаєтеся прикольним курячим танцем через рентгенівський сканер, через який ви пройдете, питань не задається.

Інфекція проходить так. Злодій виконує кумедний курячий танець повз охорону спереду. Щойно вони заходять і беруть те, що хочуть, їм просто потрібно знайти (або створити) задню двері, щоб вийти з товарами.

Якщо злодії є невмілими, пасивні сканери піднімуть сигнал тривоги та надішлять охорону після них, але, якщо ви останнім часом спостерігали за Океанами одинадцять, ви дізнаєтесь, що я маю на увазі, коли я кажу: "не всі злодії недушні". По суті, як тільки поганий хлопець потрапить всередину, якщо йому добре, він буде знати, як ухилитися і підривати вашу систему спостереження, щоб ви навіть не знали, що він там. Тоді це безкоштовна гра з вашими даними.

Ще гірше - вони впливові. Вони подружуються у вашій системі (заражають інші програми), тож навіть якщо ви успішно даєте їм завантаження, вони можуть просто зателефонувати другові, щоб повернути їх назад. Пасивні сканери не просто стежать за поганими хлопцями, вони стежте за поведінкою всіх, але вони не є ідеальними.

Троянин - це як прихований злодій, який ховається за одним із аварійних виходів, якщо він почує таємний стук одного з своїх приятелів зовні, він відкриває двері зсередини. Ви дійсно не хочете одного з таких у своєму будинку, тому що вони надзвичайно талановиті.

Mac - це офісна будівля, але з системою ключів

Щойно ви заходите в будівлю, ви повинні увійти з охороною, щоб отримати пропуск. Але, як тільки ви перебуваєте у вас, ви маєте свободу пересуватися по районах, де у вас є дозвіл на бродіння. Якщо вам потрібно отримати доступ до інвентаря компанії, вам потрібно знову увійти, щоб продовжити пропуск більш високого рівня. Кожен раз, коли ви залишаєте рівень безпеки, ви втрачаєте пропуск, тому доводиться підписувати його щоразу, коли вам потрібно повернутися.

Уразливість тут полягає в тому, щоб ви знали, що особа, якій ви надаєте доступ, повинна бути дозволена.

Linux - це як військова база

Вам потрібно пройти безпеку, щоб потрапити у ворота, але вам також потрібен чин / титул, щоб отримати доступ до частин бази. Наприклад, ви не можете потрапити в повітряне поле, якщо ви не пілот (і не є старшим офіцером), ви не можете потрапити в підводний човен, якщо ви не підводник.

Подумайте про кореневий рахунок як Загальний. Йому не потрібно дозволу їхати куди завгодно, бо він найвищий офіцер на базі. Тому ви не хочете, щоб ваш генерал ходив, пускаючи когось у базу (тому що він буде слухатися без сумнівів).

Трюк з Linux полягає в тому, що не робіть себе Генеральним. Зробіть себе дрібним офіцером, який покірно виконує свою справу. Потім, коли цей дрібний офіцер виявить, що йому потрібні додаткові ресурси, щоб виконати свою роботу, оновіть його тимчасово (команда про підвищені привілеї в linux - це sudo, яка надає тимчасовий root-доступ) до General, щоб змусити речі рухатись і хитатися.

Насправді Linux і Unix використовують однакову модель безпеки для пільг. Маки просто не поділяють систему, як це робить Linux, щоб зробити її більш зручною для користувачів.

Основна проблема з усіма цими системами полягає в тому, що, як тільки злодії знайдуть шлях, вони зможуть створити задню двері, щоб повернутися пізніше, не потребуючи безпеки.

Єдиною справді безпечною безпекою системи було б мати більш досконалу систему. Мовляв, поверніться у часі до початку дня наприкінці кожного дня. Це еквівалент віртуалізації пісочниці . Кожен раз, коли ви завантажуєте ОС, вона завантажує нову копію, що не змінюється. Ніякого заднього куточка не буде, тому що ОС буде повернута до стану, в якому вона була до того, як злодії коли-небудь потрапляли. У цього методу є обмеження, але вони занадто детальні / складні, щоб охопити тут.

Трюк, який більшість людей (дехто зручно) не помічає. Як тільки ви впустите когось у будівлю і надасте їм пільги на доступ, вони можуть впустити інших. Отже, не дозволяйте хлопцеві носити чорно-білу смугасту сорочку (а в деяких випадках дівчинку з книжкою з квантової механіки) у вхідні двері в першу чергу. За винятком прикольного курячого танцю, вони не можуть ввійти, якщо ви їм не дозволите.

Проблема зі сканерами на віруси полягає в тому, що люди занадто багато покладаються на них. Подумайте, що ні ваші активні, ні пасивні сканери не знають про прикольну курку з куркою. Ви просто вільно пустили поганого хлопця у вашу систему. Якщо вам пощастило, він зробить щось, що приверне увагу пасивного сканера. Якщо тобі не пощастило, він перейде від тіні до тіні у вашій системі, спричиняючи хаос, і ти навіть не будеш знати, що він там.

Уразливості програмного забезпечення на 0 днів (відомі дефекти програмного забезпечення, що відкривають дірку в безпеці, яка ще не зафіксована) є еквівалентом фанк-танцю курки. Корпорація Майкрософт не є єдиною винною в цьому; Я бачив, як хак Adobe Flash пробився та викинув мою систему після ремонту за <15 секунд.

Windows / Linux, як правило, не мають проблеми з куркою, оскільки ви маєте свої права доступу (клавішну картку, ранг) скрізь, де ви проходите по всій системі.

Руткіт , як з одним з цих хлопців викрадають вашу виконавчий співробітник служби безпеки, замкнути його в шафі, і видати себе за нього. Маючи посаду керівника служби безпеки, він має право наймати кого-небудь / звільняти та змінювати політику за своїм примхом. Якщо вони доберуться до вас, ви насправді зіпсуєтеся, тому що він може звільнити весь персонал безпеки або здійснити політику, яка змушує співробітників служби безпеки дивитись на ноги і сидіти на руках, загрожуючи звільненням. Тобто ти справді не хочеш, щоб цей хлопець був підданий компрометації.

Я сподіваюся, що це допомагає.