ビデオ: Play-doh Mr. Potato Head Shape-a-Spud (九月 2024)
適時性が1つの理由です。 新しいセキュリティ製品がリリースされたらすぐにレビューするように最善を尽くします。 ラボは、ほとんど私のニーズに合わないスケジュールでテストを実行します。 包括性は別です。 すべてのセキュリティ会社がすべてのラボに参加しているわけではありません。 まったく参加しない人もいます。 参加していない人のために、私自身の結果が私が続けなければならないすべてです。 最後に、実地テストにより、製品や企業が保護ソフトウェアのインストールを妨げるマルウェアのような困難な状況をどのように処理するかについての感触が得られます。
合理的な比較を行うには、同じサンプルセットに対して各ウイルス対策製品を実行する必要があります。 はい、それはゼロデイで、これまでに見たことのないマルウェアでテストすることは決してないということです。 この種のテストを実行するには、より多くのリソースを備えたラボに依存しています。 感染したテストシステムの新しいセットの作成には長い時間がかかるため、年に1回しか実行できません。 私のサンプルはリモートでは新しいものではないことを考えると、すべてのセキュリティ製品がそれらを適切に処理すると思いますが、それは私が観察していることではありません。
サンプルの収集
独立系の大きなラボでは、インターネット上で監視を続け、常に新しいマルウェアサンプルをキャプチャしています。 もちろん、何百人もの容疑者を評価して、真に悪意のある容疑者を特定し、どのような悪意のある振る舞いを示しているのかを判断する必要があります。
私自身のテストでは、多くの異なるセキュリティ会社の専門家の助けを借りています。 私は各グループに、10個ほどの「興味深い」脅威に対して実際のURLを提供するよう求めています。 もちろん、すべての企業が参加を希望しているわけではありませんが、代表的なサンプルを入手しています。 実際の場所からファイルを取得することには、2つの利点があります。 まず、送信中にサンプルを一掃する電子メールやファイル交換のセキュリティに対処する必要はありません。 第二に、自社の製品のみが検出できる1回限りの脅威を提供することにより、ある会社がシステムを悪用する可能性を排除します。
マルウェア作成者はソフトウェアの武器を絶えず動かし、変化させているため、URLを受け取ったらすぐに推奨サンプルをダウンロードします。 それでも、それらのいくつかは、私がそれらをつかもうとする頃にはすでに消えています。
ウイルスを解放してください!
次のステップである困難なステップでは、監視ソフトウェアの監視の下で、仮想マシンですべての推奨サンプルを起動します。 詳細をあまり伝えずに、すべてのファイルとレジストリの変更を記録するツール、システムスナップショットの前後に変更を検出するツール、実行中のすべてのプロセスをレポートするツールを使用します。 また、理論的にはルートキットが他のモニターによる検出を回避する可能性があるため、各インストール後にいくつかのルートキットスキャナーを実行します。
結果はしばしば失望的です。 一部のサンプルは、仮想マシンで実行されていることを検出し、インストールを拒否します。 他の人は、行動を起こす前に特定のオペレーティングシステムまたは特定の国コードを必要とします。 さらに、コマンドアンドコントロールセンターからの指示を待っている人もいます。 そして、いくつかはテストシステムに損傷を与え、機能しなくなりました。
私の最新の提案のうち、ダウンロードしようとした時点ですでに10%がなくなっており、残りの約半分は何らかの理由で受け入れられませんでした。 残ったものの中から、私は3ダースを選び、さまざまな企業の混合によって提案されたさまざまな種類のマルウェアを取得しようとしました。
そこにいますか?
マルウェアサンプルの選択は、作業の半分にすぎません。 また、監視プロセス中に生成されたログファイルの連と連を確認する必要があります。 監視ツールは、マルウェアサンプルに関連しない変更を含め、すべてを記録します。 マルウェアインストーラーによって追加された特定のファイルとレジストリトレースを選別するために、フィルタリングと分析のプログラムをいくつか作成しました。
同一の12台の仮想マシンに3つのサンプルをそれぞれインストールした後、最終的なログを読み取り、サンプルに関連する実行中のプログラム、ファイル、レジストリトレースが実際に存在することを確認する別の小さなプログラムを実行します。 ポリモーフィックトロイの木馬は、分析を実行したときに使用したものとは異なるファイル名を使用してインストールされたため、かなり頻繁にログを調整する必要があります。 実際、私の現在のコレクションの3分の1以上は、ポリモーフィズムの調整が必要でした。
なくなった?
この準備がすべて完了したら、特定のウイルス対策製品のクリーンアップの成功を分析するのは簡単です。 12個すべてのシステムに製品をインストールし、フルスキャンを実行し、チェックツールを実行して、残っている(ある場合)トレースを特定します。 すべての実行可能トレースと、実行不可能なジャンクの少なくとも80%を削除する製品は、10ポイントを獲得します。 ジャンクの少なくとも20パーセントを削除する場合、9ポイントの価値があります。 20ポイント未満は8ポイントを獲得します。 実行可能ファイルが残っている場合、製品は5ポイントを獲得します。 いずれかのファイルがまだ実行中の場合、3ポイントになります。 そしてもちろん、完全なミスはまったくポイントを獲得しません。
30個のサンプルそれぞれのポイントを平均すると、マルウェアに感染したテストシステムのクリーニングが製品でどの程度うまく処理されているかについて、かなり良い見方が得られます。 さらに、プロセスの実践的な経験を得ることができます。 2つの製品のスコアが同じであるが、1つは問題なくインストールおよびスキャンされ、もう1つの製品は技術サポートによって必要な作業時間になったとします。 最初の方が明らかに優れています。
これで、すべてのウイルス対策レビューに含まれるマルウェア削除チャートの内容がわかりました。 毎年1回は膨大な仕事ですが、その仕事は報われます。
