Kuinka virustorjuntaohjelmisto toimii: Onko se sen arvoista?

Minulta kysytään usein, ovatko virustentorjuntaohjelmat sen arvoisia. Tyypillinen vastaukseni on ollut kyllä. Äskettäin aloin miettiä miksi?

-------------------------------------------------- -------------------------------------------------- -----------------------------

Meille kerrotaan, jotta tietokoneemme tarvitsevat selviytymistä Internetissä, he tarvitsevat virustorjuntaohjelmien tarjoaman suojauksen. Jos se on totta:

  • Miksi tietokoneet tarttuvat edelleen?
  • Olisiko paljon pahempaa, jos emme käytä virustorjuntaohjelmia?

Pohtien näitä kysymyksiä, tajusin, että minulla ei ehkä ole kaikkia tosiseikkoja. Joten aloin tutkia virustentorjuntamenetelmiä. Tässä on mitä sain selville.

Mitä olemme vastaan

Huomaa, että pahat pojat ovat motivoituneita. Haittaohjelmilla tartunnan saaneiden tietokoneiden hyödyntäminen ansaitsemiseen on helpompaa ja turvallisempaa kuin mikään muu laiton yritys. Toisin sanoen, haluaisin ajatella, että myös me (uhrit) olemme motivoituneita, etenkin koska se on meidän rahat, joita he seuraavat. Joten miksi verkkorikollisilla on oma käsitys? Ensinnäkin he hyötyvät:

  • Haavoittuva ohjelmisto : Se on annettu; ohjelmisto, erityisesti monimutkainen koodi, sisältää hyödynnettäviä virheitä.
  • Yllätys : Tavalliset käyttäjät eivät etsi ohjelmistojen haavoittuvuuksia. Pahat pojat tekevät, tarjoamalla itselleen mahdollisuuksia hyödyntää heikkouksia kauan ennen kuin muut meistä tietävät heistä.
  • Pelaamisen jatkaminen : On vaikea määrittää, millainen haittaohjelma näyttää, pakottaen virustorjuntakehittäjät reaktiotilaan.
esimerkki

En voinut kysyä parempaa esimerkkiä kuin mitä äskettäin tapahtui Googlelle. Hyökkääjät hyödynsivät Internet Explorerin tuntemattomia (nolla päivä) haavoittuvuuksia saadakseen jalansijan Googlen oletettavasti suojatussa verkossa. Tarkista, kuinka lähellä hyväksikäyttö noudattaa edellä kuvattuja kolmea vaihetta:

  • Haavoittuva ohjelmisto : Internet Explorerilla on hyödynnettävä haavoittuvuus.
  • Yllätyksen elementti : Vain hyökkääjät tiesivät siitä.
  • Pelaamisen seuraaminen : AV-yritykset yrittävät kehittää tunnistusmenetelmää, ja Microsoft pyrkii luomaan korjauksen Internet Explorerille.

En edelleenkään ymmärrä miksi virustorjuntaohjelmat eivät suojaa tietokoneitamme, ja jatkoin asiaa kokeneen ohjelmistosuunnittelijan kanssa. Hän huomautti, että on vaikea poistaa jotain, jota et löydä. Puhutaan liian vähäisestä. Saan sen kuitenkin; haittaohjelmien havaitseminen ei ole niin helppoa kuin uskomme. Seuraava askel, selvittää miksi.

Haittaohjelmien havaitseminen

Haittaohjelmien havaitseminen voidaan jakaa kahteen menetelmään; allekirjoituspohjaisten haittaohjelmien havaitseminen ja käyttäytymiseen perustuvien haittaohjelmien havaitseminen. Virustentorjuntasovellukset voivat käyttää yhtä tai molempia menetelmiä; riippuen ohjelman hienostuneisuudesta. Allekirjoituspohjainen haittaohjelmien havaitseminen on ollut olemassa jo vuosia, joten katsotaanpa ensin.

Allekirjoituspohjainen haittaohjelmien havaitseminen

Allekirjoituspohjaisten haittaohjelmien havaitseminen riippuu kuvion tunnistamisesta. Näin se toimii. AV-sovellus skannaa kyseisen tiedoston vertaamalla tiettyjä kooditavuja haittaohjelmien allekirjoitustietokannan tietoihin. Jos skannatussa tiedostossa on malli, joka kopioi yksi tietokannassa, tiedostoa pidetään haittaohjelmana. Virustentorjuntaohjelma joko karanteenoi tai poistaa tiedoston ohjelman kokoonpanosta riippuen.

puutteet

Tällä hetkellä allekirjoituspohjainen haittaohjelmien havaitseminen sisältyy melkein kaikkiin virustentorjuntaohjelmiin. AV-yritykset yrittävät kuitenkin siirtyä pois allekirjoituspohjaisista haittaohjelmien havaitsemisesta seuraavien syiden vuoksi:

  • Allekirjoituspohjainen haittaohjelmien havaitseminen ei ole tehokasta uusille tai tuntemattomille haittaohjelmille.
  • Uutta haittaohjelmaa luodaan päivittäin, ja allekirjoitustietokantaa on päivitettävä yhä useammin.

Nämä ovat perusteltuja huolenaiheita, ja miksi AV-yritykset investoivat paljon aikaa ja vaivaa kääntäessään käyttäytymiseen perustuvaa haittaohjelmien havaitsemista.

Käyttäytymiseen perustuva haittaohjelmien havaitseminen

Käyttäytymiseen perustuva haittaohjelmien havaitseminen on järkevää, koska se tarkkailee ohjelmien toimintaa, ei ohjelmistojen rakentamista. Selittääkseni, jos havaitaan epänormaalia käyttäytymistä, ohjelma merkitään, riippumatta siitä näyttääkö ohjelmisto oikealta. Käyttäytymiseen perustuva haittaohjelmien havaitseminen on jaoteltu kahteen tyyppiin; anomalia- ja eritelmäpohjaisten haittaohjelmien havaitseminen.

Väärinkäytöksiin perustuva haittaohjelmien havaitseminen

Väärinkäytökset poikkeavuuteen perustuvan haittaohjelmien havaitsemiseksi on normaalin käyttäytymisen määrittäminen. Siten mitä tahansa poikkeamista normaalista profiilista pidetään epäilyttävänä (poikkeavana). Esimerkiksi, normaalisti ohjelma, kun se suoritetaan, ei luo tiedostoja. Sitten yhtäkkiä ohjelma siirtää tiedoston yhteen käyttöjärjestelmän kansioihin. Tämäntyyppiset virustorjuntaohjelmat ilmoittavat välittömästi tämän toiminnan.

Virhepohjainen haittaohjelmien havaitseminen voidaan jakaa edelleen:

  • Passiivinen havaitseminen : Käyttää skannausta ohjelman normaaliprofiilin johdannaisten havaitsemiseksi.
  • Aktiivinen havaitseminen : Sisältää kyseenalaisen ohjelman suorittamisen hallitussa ympäristössä, kuten hiekkalaatikossa tai virtuaalikoneessa. Sitten tarkkaillaan ohjelman käyttäytymistä. Jos ohjelma täyttää tietyt kielteiset kriteerit, se merkitään epäilyttäväksi.

Niin hyvä kuin tämä kuulostaa, poikkeavuuteen perustuvalla haittaohjelmien havainnoinnilla on puutteita. Väärät positiiviset ovat yleisempiä tämän tyyppisissä havainnoissa yksinkertaisesti nykyajan ohjelmien monimutkaisuuden vuoksi. Toiseksi, jos hyökkääjä varmistaa, että hänen Malcode käyttäytyy kuin hyvä ohjelma, sitä ei havaita. Threatfire Zero-Day Malware Protection on esimerkki poikkeavuuteen perustuvista haittaohjelmien havaitsemisohjelmistoista.

Erittelypohjainen haittaohjelmien havaitseminen

Tällä hetkellä eritelmäpohjainen haittaohjelmien havaitseminen (kohta IV-B) on paras toiveemme vähentää haittaohjelmaongelmia. Tämä johtuu siitä, että kaikkien ohjelmien (käyttöjärjestelmä ja sovellukset) toteuttamat toimet välittyvät ennalta määrätyn käytännön avulla. Esimerkiksi, jos näin määritetään, käytäntö estää tietokoneesta vastaavan henkilön määrittämältä verkkosivustolta ladattujen tiedostojen suorittamisen.

Eritelmäpohjaisen haittaohjelmien havaitsemisen etuna on sen joustavuus ja minimaaliset väärät positiiviset tulokset verrattuna poikkeavuuteen perustuvaan haittaohjelmien havaitsemiseen. Yksi esimerkki spesifikaatioon perustuvasta haittaohjelmien havainnasta on NovaShield AntiMalware.

Löytöni

Harvoin tietokoneista löytyy karanteeniin sijoitettuja haittaohjelmia. Olen huomannut jotain muuta. Useimmat tartunnan saaneet tietokoneet, jotka on suojattu tyypillisillä virustentorjuntaohjelmilla, vaativat erikoistuneita skannereita kaiken loukkaavan haittaohjelman poistamiseksi. Tämän artikkelin kirjoittamisen jälkeen tiedän miksi niin on.

Lopulliset ajatukset

Koska olen yksi niistä "melko turvallisista kuin pahoillani" tyypeistä, ehdotan edelleen virustorjuntaohjelman käyttöä. Aion suositella virustorjuntaohjelmaa, jota muutan. Ne sisältävät ehdottomasti poikkeavuudet ja eritelmäpohjaiset haittaohjelmien havaitsemismenetelmät.

© Copyright 2020 | mobilegn.com