Làm cách nào để giải thích cách bảo vệ chống vi-rút hoạt động với người dùng không phải là Siêu người dùng?

Tôi đã tìm thấy câu hỏi này tiết lộ một chút chi tiết về cách phần mềm Anti-Virus hoạt động chính xác. Nhưng tôi chỉ có một khách hàng hỏi tôi điều này và tôi thực sự không thể cho anh ta một câu trả lời hay, đơn giản, dễ hiểu. Điều tốt nhất tôi có thể đưa ra là mỗi loại virus có một "dấu vân tay" cụ thể và phần mềm quét trong các khu vực bị nhiễm đã biết đối với chúng.

Làm thế nào để tôi giải thích điều này một cách đơn giản dễ hiểu?

Cơ chế phát hiện, hoặc làm thế nào họ ở mức độ sâu hơn?

Khi mọi người nói với tôi về cách phần mềm độc hại xâm nhập vào máy của họ và tại sao không phải lúc nào cũng có thể xóa được khi có trên hệ thống và hầu như mọi thứ liên quan đến phần mềm độc hại, tôi luôn trả lời bằng một kết hợp / tương tự như ẩn dụ này:

(Và khi tôi viết nó xuống, tôi phải nghe hơi giống một thằng ngốc, nhưng tôi hy vọng bạn thích nó!)

Hãy tưởng tượng ngôi nhà của bạn là máy tính, một chương trình chống vi-rút là một số cơ chế bảo mật khác nhau.

Tải xuống / Tạo tập tin mới:

Hãy tưởng tượng một bouncer trên cửa trước của bạn - bất kỳ ai vào nhà (các tập tin đến máy của bạn) đi qua anh ta và anh ta kiểm tra xem chúng có sạch không *. Nếu anh ấy tìm thấy một cái gì đó xấu, anh ấy thường cung cấp cho bạn tùy chọn phải làm gì.

Máy quét hoạt động

Hãy tưởng tượng một nhóm bảo mật nội bộ đang theo dõi tất cả mọi người (các quy trình hoạt động) trong nhà của bạn, bất kỳ đối tượng (tệp) nào mà họ chạm vào sẽ được xem xét để đảm bảo rằng họ sạch sẽ *

Quét thụ động / thủ công

Khi không có gì khác để làm, hoặc bạn chọn, bạn có thể yêu cầu đội an ninh kiểm tra mọi đồ vật trong nhà, chỉ để đảm bảo chúng sạch sẽ trước các mối đe dọa mới nhất.

Rootkit / một lần bị nhiễm bệnh

Trong khi an ninh nhà bạn sẽ luôn làm tốt nhất, không có gì hiệu quả 100%. Khi có ai đó ở trong nhà, nếu họ không dừng lại, họ có thể làm bất cứ điều gì họ muốn. Trong khi có thể dọn dẹp sau họ, và trong hầu hết các trường hợp, hoàn tác mọi thiệt hại ... họ có thể để lại đội an ninh của chính họ phía sau gây cản trở cho chính bạn.

`* Như Randolph đã nói trong câu trả lời của mình, đó là sự pha trộn giữa dấu vân tay và Heuristic )

Tôi dường như không thể tìm thấy nó, nhưng Microsoft đã từng có một tài liệu API về việc tạo phần mềm AV, tôi chỉ có thể tìm thấy một liên kết đến hướng dẫn API của MS Office / IE . Tôi đoán rằng do bộ AV / Root giả, họ đã xóa thông tin này.

(Ngoài ra, Symantec có một bài viết thú vị để đọc thêm)

Chỉnh sửa - Chỉ cần tìm thấy Câu hỏi tràn ngăn xếp xen kẽ ... Làm thế nào để một trình diệt virus Windows móc vào quá trình truy cập tệp?

Họ hoạt động trên nhiều cấp độ, bao gồm:

• Định nghĩa dấu vân tay, như bạn đã nêu, kiểm tra hoạt động hoặc chữ ký tệp khớp với cơ sở dữ liệu

• Ví dụ, hành vi đáng ngờ, khu vực khởi động được sửa đổi bởi thứ gì đó không được nhận dạng hoặc bộ nhớ bị ghi đè bởi một quy trình không nên có quyền truy cập

• Phát hiện Rootkit, yêu cầu AV chạy gần như chính virus (* đây là lý do tại sao AVG không thích ComboFix, chẳng hạn - nó thực hiện những thứ không thể phân biệt được với hành vi của virus), trong đó nó phải tự ẩn khỏi rootkit.

Đây chắc chắn không phải là một danh sách đầy đủ, và tôi hoan nghênh các chỉnh sửa cho câu trả lời.

Tôi đã nhiều lần nói với mọi người rằng họ cần phần mềm AV trong khi chống lại những lời chỉ trích "chuyên gia" tình nguyện rằng phần mềm AV là "vô giá trị" bởi vì những virus mới, không có dấu vết sẽ không bị chặn và như Wil nói, họ có thể bỏ lại những thứ phía sau Điều đó làm cho việc dọn dẹp thực sự là không thể.

Tôi nghĩ điều quan trọng là những người dùng không phải siêu nhân hiểu được hai điểm cuối cùng đó nhưng không nghĩ rằng phần mềm AV là vô giá trị. Họ cũng cần hiểu một điểm thứ ba, đó là cần có một kế hoạch sao lưu cẩn thận để hướng đến "Nuke nó từ quỹ đạo, cách duy nhất để chắc chắn" dọn dẹp nơi hệ thống bị xóa và hệ điều hành được cài đặt lại từ các bản sao lưu tốt đã biết.

Hệ điều hành của bạn là một tòa nhà và virus là một tên trộm

Windows là một tòa nhà Office

Trong khi mọi người được phép ra vào, họ phải đi qua an ninh nơi túi của họ được kiểm tra và họ đi qua chụp x-quang. Điều này sẽ tương đương với một máy quét hoạt động . Mọi thứ đều được kiểm tra nên có một cơ hội nhỏ rằng mọi thứ sẽ được đưa qua cửa trước.

Trên khắp cơ sở có camera và nhân viên bảo vệ theo dõi họ để tìm kiếm hoạt động đáng ngờ. Đây là Quét thụ động . Các nhân viên bảo vệ khá giỏi trong việc xác định hành vi tinh quái phổ biến vì họ dành cả ngày mỗi ngày để theo dõi mọi người.

Người đá là, nếu bạn thực hiện điệu nhảy gà vui nhộn thông qua máy quét tia X, bạn sẽ không gặp phải câu hỏi nào.

Một nhiễm trùng đi như thế này. Tên trộm thực hiện điệu nhảy gà vui nhộn qua người bảo vệ ở phía trước. Khi họ đã vào và lấy những gì họ muốn, họ chỉ cần tìm (hoặc tạo) một cửa sau để lấy hàng.

Nếu những tên trộm không tinh vi, các máy quét thụ động sẽ đưa ra cảnh báo và gửi bảo mật cho chúng, nhưng, nếu bạn đã xem Oceans Eleven gần đây, bạn sẽ biết ý của tôi khi tôi nói, "không phải tất cả những tên trộm đều không tinh vi". Về cơ bản, một khi một kẻ xấu xâm nhập vào bên trong, nếu anh ta tốt, anh ta sẽ biết cách trốn tránh và lật đổ hệ thống giám sát của bạn để bạn thậm chí không biết anh ta ở đó. Sau đó, đây là trò chơi miễn phí với dữ liệu của bạn.

Thậm chí tệ hơn, họ có ảnh hưởng. Họ kết bạn trong hệ thống của bạn (lây nhiễm các ứng dụng khác), vì vậy, ngay cả khi bạn thành công trong việc cho họ khởi động, họ chỉ cần gọi cho một người bạn để cho họ quay lại. Máy quét thụ động không chỉ xem kẻ xấu, họ xem hành vi của mọi người nhưng họ không hoàn hảo.

Một Trojan giống như một tên trộm giấu mặt được ẩn giấu bởi một trong những lối thoát khẩn cấp, nếu anh ta nghe thấy tiếng gõ cửa bí mật từ một trong những người bạn của mình bên ngoài, anh ta sẽ mở cửa từ bên trong. Bạn thực sự không muốn một trong những thứ này trong tòa nhà của bạn vì chúng cực kỳ tài năng.

Máy Mac là Tòa nhà văn phòng nhưng có hệ thống thẻ khóa

Khi bạn vào tòa nhà, bạn phải đăng nhập với người bảo vệ để lấy thẻ. Nhưng, một khi bạn ở trong bạn có quyền tự do di chuyển về các khu vực mà bạn được phép đi lang thang. Nếu bạn cần có quyền truy cập vào kho của công ty, bạn cần đăng nhập lại để vượt qua cấp cao hơn để tiếp tục. Mỗi khi bạn để lại một mức độ bảo mật, bạn sẽ bị mất thẻ vì vậy bạn phải đăng nhập mỗi khi bạn cần quay lại.

Lỗ hổng ở đây là, đảm bảo bạn biết rằng người bạn cho phép truy cập được cho phép vào.

Linux giống như một căn cứ quân sự

Bạn phải vượt qua bảo mật để vào cổng nhưng bạn cũng cần thứ hạng / tiêu đề để có quyền truy cập vào các phần của căn cứ. Chẳng hạn, bạn không thể vào trường trên không nếu bạn không phải là phi công (và không phải là sĩ quan cấp trên), bạn không thể vào tàu ngầm nếu bạn không phải là người phụ.

Hãy nghĩ về tài khoản root là Chung. Anh ta không cần sự cho phép để đi bất cứ nơi nào vì anh ta là sĩ quan cao cấp nhất trong căn cứ. Do đó, bạn không muốn để vị tướng của mình đi khắp nơi để cho bất kỳ ai vào căn cứ (bởi vì anh ta sẽ được tuân theo mà không có câu hỏi).

Thủ thuật với Linux là, đừng biến mình thành Tướng quân. Làm cho mình một sĩ quan nhỏ mọn làm công việc của mình. Sau đó, khi nhân viên nhỏ mọn đó phát hiện ra anh ta cần một số tài nguyên bổ sung để hoàn thành công việc của mình, hãy nâng cấp anh ta tạm thời (lệnh cho các đặc quyền nâng cao trong linux là sudo cấp quyền truy cập root tạm thời) cho General để mọi thứ chuyển động và rung chuyển.

Trong thực tế, Linux và Unix sử dụng cùng một mô hình bảo mật cho các đặc quyền. Máy Mac không ngăn cách hệ thống như Linux để làm cho nó thân thiện hơn với người dùng.

Vấn đề chính với tất cả các hệ thống này là, một khi bọn trộm tìm được đường vào, chúng có thể tạo ra một cửa sau để quay lại sau mà không phải thông qua bảo mật.

Bảo mật hệ thống thực sự an toàn duy nhất là có một hệ thống tinh vi hơn. Giống như, quay ngược thời gian đến đầu ngày vào cuối mỗi ngày. Điều này tương đương với ảo hóa hộp cát . Mỗi khi bạn tải HĐH, nó sẽ tải một bản sao mới, không bị thay đổi. Sẽ không có cửa hậu nào tồn tại vì HĐH sẽ được đặt trở lại trạng thái trước khi kẻ trộm xâm nhập. Có những hạn chế đối với phương pháp này nhưng chúng quá chi tiết / phức tạp để đề cập ở đây.

Thủ thuật mà hầu hết mọi người (một số thuận tiện) bỏ qua là. Khi bạn cho ai đó vào tòa nhà và cho họ quyền truy cập, họ có thể cho người khác vào. Vì vậy, đừng để anh chàng mặc áo sọc trắng đen (và, trong một số trường hợp, cô gái nhỏ với cuốn sách cơ học lượng tử) cửa trước ở nơi đầu tiên. Ngoại trừ điệu nhảy gà sôi nổi, họ không thể vào trong trừ khi bạn cho phép họ.

Vấn đề với máy quét virus là, mọi người dựa vào chúng quá nhiều. Hãy xem xét rằng cả máy quét chủ động hoặc thụ động của bạn đều không biết về thủ thuật gà vui nhộn. Bạn chỉ cần tự do cho một kẻ xấu vào hệ thống của bạn. Nếu may mắn của bạn, anh ấy sẽ làm điều gì đó gây sự chú ý của máy quét thụ động. Nếu bạn không may mắn, anh ta sẽ chuyển từ bóng tối sang bóng tối trong hệ thống của bạn tàn phá và bạn thậm chí sẽ không biết rằng anh ta ở đó.

Các lỗ hổng phần mềm trong 0 ngày (lỗi phần mềm đã biết lộ ra lỗ hổng bảo mật chưa được vá) tương đương với điệu nhảy gà vui nhộn. Microsoft không phải là bên duy nhất đổ lỗi cho những điều này; Tôi đã thấy một bản hack Adobe Flash vượt qua và làm hỏng hệ thống của tôi sau khi sửa chữa trong <15 giây.

Windows / Linux có xu hướng không gặp vấn đề gà thú vị bởi vì bạn mang các đặc quyền truy cập (thẻ khóa, cấp bậc) ở mọi nơi bạn đi trên toàn hệ thống.

Một rootkit giống như có một trong số những kẻ này bắt cóc nhân viên an ninh điều hành của bạn, nhốt anh ta trong tủ và mạo danh anh ta. Với cấp bậc là người đứng đầu an ninh, anh ta có quyền thuê / sa thải bất cứ ai và thay đổi chính sách theo ý thích của mình. Nếu họ gặp anh ta, bạn thực sự bị lừa bởi vì anh ta có thể sa thải toàn bộ nhân viên an ninh hoặc thực hiện các chính sách buộc nhân viên an ninh phải nhìn chằm chằm vào chân họ và ngồi trên tay họ trước nguy cơ bị sa thải. I E. bạn thực sự không muốn anh chàng này bị xâm phạm.

Tôi hy vọng điều đó sẽ giúp.