Hvordan antivirusprogramvare fungerer: Er det verdt det?

Jeg blir ofte spurt om antivirusprogrammer er verdt det. Mitt typiske svar har vært ja. Nylig begynte jeg å lure på hvorfor?

-------------------------------------------------- -------------------------------------------------- -----------------------------

Vi blir fortalt at datamaskinene våre trenger beskyttelse som gis av antivirusprogrammer for å overleve på Internett. Hvis det er sant:

  • Hvorfor blir datamaskiner fortsatt smittet?
  • Ville det være mye verre hvis vi ikke bruker antivirusprogrammer?

Da jeg funderte på disse spørsmålene, skjønte jeg at jeg kanskje ikke har alle fakta. Så jeg begynte å forske på antivirusmetodikk. Her er hva jeg fant ut.

Det vi står opp mot

Legg merke til, skurkene er motiverte. Det er enklere og tryggere å utnytte malware-infiserte datamaskiner for å tjene penger enn noen annen ulovlig forsøk. Når det er sagt, vil jeg gjerne tro at vi (ofre) også er motiverte, spesielt siden det er pengene våre de er ute etter. Så hvorfor har nettkriminelle overtaket? For det første drar de fordel av:

  • Sårbar programvare : Det er en gitt; programvare, spesielt kompleks kode, vil ha utnyttbare feil.
  • Element av overraskelse : Normale brukere ser ikke etter sårbarheter i programvare. De skurkene gjør det, og gir seg muligheter til å utnytte svakheter lenge før resten av oss vet om dem.
  • Å spille innhenting : Det er vanskelig å bestemme hvordan malware vil se ut, og tvinger antivirusutviklere til en reaksjonær modus.
Eksempel

Jeg kunne ikke be om et bedre eksempel enn det som nylig skjedde med Google. Angriperne utnyttet ukjente (null-dagers) sårbarheter i Internet Explorer for å få fotfeste i Googles antatt sikre nettverk. Sjekk hvor nær utnyttelsen følger de tre trinnene jeg skisserte ovenfor:

  • Sårbar programvare : Internet Explorer har en brukbar sårbarhet.
  • Element av overraskelse : Bare angriperne visste om det.
  • Å spille innhenting : AV-selskaper prøver å utvikle en deteksjonsmetode, og Microsoft kryper for å lage en løsning for Internet Explorer.

Fortsatt ikke å forstå hvorfor antivirusprogrammer ikke klarer å beskytte datamaskinene mine, forfulgte jeg saken med en erfaren programvareingeniør. Han påpekte at det er vanskelig å fjerne noe du ikke finner. Snakk om en underdrivelse. Jeg får det til; Det er ikke så enkelt å oppdage skadelig programvare som vi tror. Det neste trinnet mitt, finn ut hvorfor.

Deteksjon av skadelig programvare

Deteksjon av skadelig programvare kan deles inn i to metoder; signaturbasert deteksjon av skadelig programvare og atferdsbasert malware deteksjon. Antivirusprogrammer kan benytte en eller begge metodene; avhengig av raffinementet i programmet. Signaturbasert deteksjon av skadelig programvare har eksistert i mange år, så la oss se på det først.

Signaturbasert deteksjon av skadelig programvare

Signaturbasert deteksjon av skadelig programvare avhenger av mønstergjenkjenning. Slik fungerer det. AV-applikasjonen skanner filen det er snakk om, og sammenligner bestemte byte med kode mot informasjon i sin database med malware-signatur. Hvis den skannede filen har et mønster som dupliserer en i databasen, regnes filen som malware. Antivirusprogrammet vil da enten karantene eller slette filen, avhengig av programkonfigurasjonen.

mangler

Foreløpig er signaturbasert deteksjon av skadelig programvare inkludert i nesten alle antivirusprogrammer. Når det er sagt, prøver AV-selskaper å fjerne seg fra signaturbasert deteksjon av skadelig programvare på grunn av følgende:

  • Signaturbasert deteksjon av skadelig programvare er ikke effektiv mot ny eller ukjent skadelig programvare.
  • Ny malware opprettes daglig, og krever at signaturdatabasen oppdateres stadig oftere.

Dette er gyldige bekymringer og hvorfor AV-selskaper investerer mye tid og krefter i å oversette til atferdsbasert malware-deteksjon.

Atferdsbasert malware deteksjon

Atferdsbasert malware-deteksjon er fornuftig fordi den overvåker hvordan programmer fungerer, ikke programvaren bygger. For å forklare, hvis unormal oppførsel blir oppdaget, flagges programmet, uansett om programvaren virker riktig. Atferdsbasert deteksjon av skadelig programvare er delt opp i to typer; anomali-basert og spesifikasjonsbasert malware-deteksjon.

Anomali-basert malware-deteksjon

Den viktigste ingrediensen til anomali-basert malware-deteksjon er å bestemme hva som anses som normal oppførsel. Dermed vil enhver variasjon fra den normale profilen bli ansett som mistenkelig (anomal). For eksempel oppretter normalt ikke et program når det kjøres, noen filer. Så, plutselig, flytter programmet en fil til en av operativsystemets mapper. Denne handlingen vil umiddelbart bli flagget av denne typen antivirusprogrammer.

Anomali-basert deteksjon av skadelig programvare kan deles videre inn i:

  • Passiv deteksjon : Bruker skanning for å oppdage derivasjoner fra programmets normale profil.
  • Aktiv deteksjon : Omfatter utførelse av et tvilsomt program i et kontrollert miljø, for eksempel en sandkasse eller virtuell maskin. Så observerer oppførselen til programmet. Hvis programmet oppfyller visse negative kriterier, blir det flagget som mistenkelig.

Så bra som dette høres ut, har anomali-basert malware-deteksjon mangler. Falske positiver er mer vanlig med denne typen deteksjon, ganske enkelt på grunn av kompleksiteten i dagens programmer. For det andre, hvis en angriper sørger for at malkoden hans oppfører seg som et godt program, vil den ikke bli oppdaget. Threatfire Zero-Day Malware Protection er et eksempel på anomali-basert programvare for deteksjon av skadelig programvare.

Spesifikasjonsbasert deteksjon av skadelig programvare

Akkurat nå er spesifikasjonsbasert deteksjon av skadelig programvare (punkt IV-B) vårt beste håp for å redusere malware-problemer. Det er fordi alle handlinger som tas av alle programmer (operativsystem og applikasjoner likt) er formidlet av en forhåndsbestemt policy. Hvis dette for eksempel er konfigurert, vil policyen ikke tillate utførelse av filer som er lastet ned fra et nettsted spesifisert av datamaskinen som har ansvaret for datamaskinen.

Fordelen med spesifikasjonsbasert malware-deteksjon er dens fleksibilitet og minimale falske positive forhold sammenlignet med avviksbasert malware-deteksjon. Et eksempel på spesifikasjonsbasert malware-deteksjon er NovaShield AntiMalware.

Funnene mine

Jeg finner sjelden malware i karantene på datamaskiner. Jeg har lagt merke til noe annet. De fleste infiserte datamaskiner beskyttet med typiske antivirusprogrammer krever spesialiserte skannere for å fjerne skadelig skadelig programvare. Etter å ha skrevet denne artikkelen, vet jeg hvorfor det er det.

Siste tanker

Å være en av disse "snarere være trygg enn beklager" -typene, vil jeg fortsette å foreslå å bruke et antivirusprogram. Det jeg vil endre, er typen antivirusprogram jeg anbefaler. De vil definitivt inkludere anomali og spesifikasjonsbaserte metoder for deteksjon av skadelig programvare.

© Copyright 2020 | mobilegn.com