Video: Statistics 101: ANOVA Post Hoc Test (Fisher's LSD) (November 2024)
Pravočasnost je eden od razlogov. Najbolj se trudim, da pregledam vsak nov varnostni izdelek takoj, ko je izšel. Laboratoriji izvajajo svoje teste po urniku, ki le redko ustreza mojim potrebam. Celovitost je še ena. V vsakem laboratoriju ne sodeluje vsako varnostno podjetje; nekateri sploh ne sodelujejo. Za tiste, ki ne sodelujejo, so moji rezultati le še naprej. Nazadnje mi sprotno testiranje daje občutek, kako izdelek in podjetje rešujejo težke situacije, kot so zlonamerna programska oprema, ki preprečuje namestitev zaščitne programske opreme.
Za primerno primerjavo moram vsak protivirusni izdelek zagnati z istim naborom vzorcev. Da, to pomeni, da se nikoli ne testiram z zlonamerno programsko opremo, ki ni bila nikoli vidna. Za izvajanje takšnega testiranja se zanašam na laboratorije z njihovimi večjimi viri. Ustvarjanje novega niza okuženih testnih sistemov traja dolgo, zato si lahko privoščim le enkrat na leto. Glede na to, da moji vzorci niso na daljavo novi, bi si mislili, da bi z vsemi varnostnimi izdelki z njimi dobro ravnali, vendar to ne opažam.
Zbiranje vzorcev
Veliki neodvisni laboratoriji vzdržujejo uro na internetu in nenehno zajemajo nove vzorce zlonamerne programske opreme. Seveda morajo oceniti sto osumljencev, da ugotovijo resnično zlonamerne in ugotovijo, kakšno zlonamerno vedenje izkazujejo.
Pri lastnem testiranju se zanašam na pomoč strokovnjakov v številnih različnih varnostnih podjetjih. Vsako skupino prosim, da predloži URL v resničnem svetu za deset ali tako "zanimivih" groženj. Seveda nobeno podjetje ne želi sodelovati, vendar dobim reprezentativni vzorec. Grabljenje datotek z njihove realne lokacije ima dve prednosti. Najprej se mi ni treba ukvarjati z zaščito e-pošte ali izmenjavo datotek, ki briše vzorce med prevozom. Drugič, odpravlja možnost, da bi lahko eno podjetje igralo sistem s enkratno grožnjo, ki jo lahko zazna samo njihov izdelek.
Pisci zlonamerne programske opreme se nenehno premikajo in premeščajo svoje programsko orožje, zato predlagam vzorce takoj po prejemu URL-jev. Kljub temu so nekateri že izginili, ko jih poskušam zgrabiti.
Sprostite virus!
Naslednji težaven korak je zagon vsakega predlaganega vzorca v virtualnem stroju pod nadzorom programske opreme za spremljanje. Ne dajem preveč podrobnosti, uporabljam orodje, ki beleži vse spremembe datotek in registra, drugo, ki zazna spremembe z uporabo pred in po posnetkih sistema, in tretje, ki poroča o vseh tekočih procesih. Po vsaki namestitvi zaženem tudi nekaj bralnikov rootkitov, saj teoretično lahko rootkit prepreči odkrivanje drugih monitorjev.
Rezultati so pogosto razočarajoči. Nekateri vzorci zaznajo, ko delujejo v virtualnem stroju in zavrnejo namestitev. Drugi želijo določen operacijski sistem ali določeno kodo države, preden začnejo ukrepati. Drugi pa lahko čakajo na navodila v centru za vodenje in nadzor. In nekaj poškoduje testni sistem do te mere, da ne deluje več.
Od mojega zadnjega nabora predlogov je bilo 10 odstotkov do takrat, ko sem jih poskusil prenesti, že več, približno polovica ostalih pa je bila zaradi takšnih ali drugačnih razlogov nesprejemljiva. Izmed tistih, ki so ostali, sem izbral tri desetine, da bi dobil različne vrste zlonamerne programske opreme, ki jih je predlagala kombinacija različnih podjetij.
Je tam?
Izbira vzorcev zlonamerne programske opreme je le polovica dela. Prav tako moram skozi reams in poglede dnevniških datotek, ustvarjenih med postopkom spremljanja. Orodja za spremljanje beležijo vse, vključno s spremembami, ki niso povezane z vzorcem zlonamerne programske opreme. Napisal sem nekaj programov za filtriranje in analizo, da sem lažje spoznal posebne datoteke in sledi registra, ki jih je dodal namestitveni program zlonamerne programske opreme.
Po namestitvi treh vzorcev na dvanajst drugače identičnih virtualnih strojev zaženem še en majhen program, ki bere moje končne dnevnike in preveri, ali so dejansko prisotni zagnani programi, datoteke in sledi registra v vzorcih. Velikokrat moram svoje dnevnike prilagoditi, ker je polimorfni Trojan nameščen z različnimi datotekami, kot je bil uporabljen, ko sem vodil svojo analizo. Pravzaprav je več kot tretjina moje trenutne zbirke potrebovala prilagoditev za polimorfizem.
Je šlo?
Ko je ta priprava popolna, je analiza uspeha čiščenja določenega protivirusnega izdelka preprosta zadeva. Izdelek namestim na vseh dvanajst sistemov, izvedem popolno skeniranje in zaženem orodje za pregled, da ugotovim, katere (če obstajajo) sledi ostanejo. Izdelek, ki odstrani vse izvršljive sledi in vsaj 80 odstotkov neizvedljive smeti, doseže deset točk. Če odstrani vsaj 20 odstotkov smeti, je to vredno devet točk; manj kot 20 odstotkov dobi osem točk. Če izvršljive datoteke ostanejo zadaj, izdelek doseže pet točk; to se spusti na tri točke, če katera koli datoteka še vedno deluje. In seveda skupna pogreška sploh ne dobi točk.
Povprečno ocenjevanje točk za vsak od treh ducatov vzorcev mi daje dober pogled na to, kako dobro izdelek deluje s čiščenjem z zlonamerno programsko opremo testnih sistemov. Poleg tega imam izkušnje s postopkom. Recimo, da imata dva izdelka enake ocene, eden pa je nameščen in skeniran brez težav, drugi pa zahteva ure dela s pomočjo tehnične podpore; prvi je očitno boljši.
Zdaj veste, kaj spada v lestvico odstranjevanja zlonamerne programske opreme, ki jo vključim v vsak pregled protivirusnih programov. Tona dela enkrat na leto, vendar se to delo izplača.