Как я объясняю, как Антивирусная защита работает несуперпользователю?
Я нашел этот вопрос, который объясняет немного подробно того, как программное обеспечение Anti-Virus работает точно. Но я просто сделал, чтобы клиент спросил меня это, и я действительно не мог дать ему пользу, простую, легкую понять ответ. Лучшая вещь, которую я мог придумать, состояла в том, что у каждого вируса есть определенный "цифровой отпечаток" и сканирования программного обеспечения в известных зараженных областях для них.
Как я объясняю это в простом легком для понимания вида?
4 ответа
Механизм обнаружения, или как они на более глубоком уровне?
Когда люди говорят мне о том, как сделал вредоносное программное обеспечение, входят в их машину, и почему это не всегда возможный удалить, после того как это находится в системе и в значительной степени чем-либо, чтобы сделать с вредоносным программным обеспечением, на которое я всегда отвечаю с комбинацией / подобный этой метафоре:
(И когда я записываю его, я должен немного походить на идиота, но я надеюсь, что Вам нравится он!)
Предположите, что Ваш дом является компьютером, антивирусная программа является несколькими различными механизмами защиты.
Создание Файла Загрузки / Новое создание Файла:
Вообразите вышибалу на своей парадной двери - любой входящий в дом (файлы, входящие к Вашей машине), проходит его, и он проверяет, что они - clean*. Если он находит что-то плохо, он обычно дает Вам опцию того, что сделать.
Активный сканер
Вообразите команду внутренней безопасности, наблюдающую за всеми (активные процессы) в Вашем доме, на любой объект (файл), которого они касаются, смотрят удостовериться, что они чисты*
Пассивное/Ручное Сканирование
Когда нет ничего иного, чтобы сделать, или Вы выбираете, Вы можете сделать, чтобы служба безопасности проверила каждый объект в дом, только удостоверилась, что они являются чистыми против последних угроз.
Руткиты / когда-то зараженный
Пока Ваша домашняя безопасность будет всегда прилагать все усилия, ничто не на 100% эффективно. После того как кто-то находится в доме, если они не были остановлены, они могут сделать то, что они хотят. Пока возможно вымыться после них, и в большинстве случаев, возместить все убытки... они могли левых, их собственная служба безопасности позади этого вмешивается в Ваше собственное.
'* Как Randolph обычно говорил в его ответе, это - соединение цифрового отпечатка и Эвристики),
Я, может казаться, не нахожу его, но Microsoft раньше имела документ API о создании программного обеспечения AV, я могу только найти ссылку на MS Office / IE руководство API. Я предполагаю, что должный фальсифицировать наборы AV/Root, они удалили эту информацию.
(Кроме того, Symantec имеют интересную статью для дополнительных материалов для чтения),
Редактирование - Просто нашло Вопрос о Переполнении стека межжала... Как антивирус Windows сцепляется в процесс доступа к файлу?
Они работают на нескольких уровнях, включая:
Определение цифрового отпечатка, как Вы заявили, который проверяет на действие или подписи файла, которые соответствуют базе данных
Подозрительное поведение, например, загрузочный сектор изменяется чем-то, что не распознано, или память перезаписывается процессом, который не должен иметь доступа
Обнаружение руткита, которое требует, чтобы AV работал почти как сам вирус (* это - то, почему AVG не нравится ComboFix, например - он делает вещи, которые неотличимы от вирусного поведения), в котором это должно спрятаться из руткита.
Это - конечно, не полный список, и я приветствую редактирования в ответе.
Я несколько раз был в состоянии говорящих людей, им нужно программное обеспечение AV при отражении добровольно предложенной "опытной" критики, что программное обеспечение AV "бесполезно", потому что новые, вирусы, у которых не берут отпечатки пальцев, не были бы остановлены и как Wil говорит, они могут уехать, материал позади этого делает истинную очистку невозможной.
Я думаю, что важно, чтобы несуперпользователи поняли те последние две точки, но не думали, что программное обеспечение AV бесполезно. Они также должны понять третью точку, что тщательный план резервного копирования требуется глазом к "Уничтожению она с орбиты, это - единственный способ быть уверенным" очистка, где система вытерта, и ОС переустанавливается от известных хороших резервных копий.
Ваша операционная система является зданием, и вирус является вором
Windows является Офисное здание
В то время как всем разрешают войти и, они должны пройти через безопасность, где их сумки проверяются, и они идут через рентгеновский луч. Это было бы эквивалентом активного сканера. Все проверяется, таким образом, существует маленький шанс, что что-либо будет взято через парадную дверь.
Всюду по средству существуют камеры и охранники, контролирующие их для поиска подозрительного действия. Это - Пассивное Сканирование. Охранники довольно хороши в точном определении общего вредного поведения, потому что они весь день тратят каждое дневное наблюдение люди.
Строка над заголовком, если Вы сделают броский куриный танец через сканер рентгеновского луча, то Вы пройдете, никакие вопросы, которые задают.
Заражение идет как это. Вор делает броский куриный танец мимо защиты в передней стороне. После того как они находятся в и берут то, что они хотят, они просто должны найти (или создать), черный ход для ухода с товарами.
Если воры будут бесхитростны, то пассивные сканеры поднимут тревогу и отправят безопасность после них, но, если Вы наблюдали Океаны Одиннадцать в последнее время, Вы будете знать то, что я имею в виду, когда я говорю, "не все воры бесхитростны". По существу, после того как плохой парень проникает внутрь, если он хорош, он будет знать, как уклониться и ниспровергать Ваш система наблюдения, таким образом, Вы даже не знаете, что он там. Затем это - бесплатная игра с Вашими данными.
Еще хуже, они влияют. Они подружились в Вашей системе (заразите другие приложения), так, даже если Вы успешны в увольнении их, они могут просто призыв приятель, чтобы позволить им въехать задним ходом. Пассивные сканеры только наблюдают за плохими парнями, они наблюдают общее поведение, но они не прекрасны.
Троянец похож на вора, от которого скрываются, скрывающегося одним из запасных выходов, если он слышит секретный удар от одного из его приятелей снаружи, он открывает дверь изнутри. Вы действительно не хотите один из них в Вашем здании, потому что они чрезвычайно талантливы.
Mac является Офисное здание, но с keycard системой
После того как Вы вводите здание, необходимо регистрироваться с защитой для получения передачи. Но, после того как Вы находитесь в Вас, имеют свободу переместиться области, где у Вас есть разрешение переместиться. Если необходимо получить доступ к материально-техническим ресурсам компании, необходимо регистрироваться снова для высокоуровневой передачи для продолжения. Каждый раз, когда Вы оставляете уровень безопасности, Вы теряете свою передачу, таким образом, необходимо расписаться за него каждый раз, когда необходимо возвратиться в.
Уязвимость здесь, удостоверьтесь, что Вы знаете, что человеку, Вы предоставляете доступ, как предполагается, позволяют войти.
Linux похож на военную базу
Необходимо передать безопасность для входа логический элемент, но Вам также нужен разряд/заголовок для получения доступа к частям основы. Например, Вы не можете войти в воздушное поле, если Вы не пилот (и не вышестоящее должностное лицо), Вы не можете сесть на подводную лодку, если Вы не sub парень.
Думайте о корневой учетной записи как о Генерале. Ему не нужно разрешение пойти куда угодно, потому что он - большая часть вышестоящего должностного лица на основе. Поэтому Вы не хотите позволять своему генералу обойти разрешение просто кому-либо в основу (потому что ему повинуются несомненно).
Прием с Linux, не делайте себя Генералом. Сделайте себя старшиной, который покорно делает его задание. Затем когда тот старшина обнаруживает, что ему нужны некоторые дополнительные ресурсы, чтобы сделать его задание, обновить его временно (команда для поднятых полномочий в Linux является sudo, который предоставляет временный корневой доступ) к Общему для получения вещей перемещение и сотрясение.
В действительности Linux и Unix используют ту же модель обеспечения безопасности для полномочий. Mac просто не разделяют систему как Linux, делает для создания этого более удобным для пользователя.
Основная проблема со всеми этими системами, после того как воры находят путь в, они могут создать черный ход для возвращения в позже, не имея необходимость проходить безопасность.
Единственная действительно безопасная мудрая безопасность системы должна была бы иметь более сложную систему. Как, вернитесь вовремя к началу дня в конце каждого дня. Это - эквивалент для игры в песочнице виртуализации. Каждый раз, когда Вы загружаете ОС, она загружает новое, unadultered копия. Никакие бэкдоры не будут существовать, потому что ОС будет задержана к состоянию, в котором это было перед ворами, в которых когда-либо входят. Существуют ограничения к этому методу, но они слишком подробны/сложны для покрытия здесь.
Прием, который пропускает большинство людей (некоторые удобно). После того как Вы позволяете кому-то в здание и даете им права доступа, они могут впустить других. Так, не позволяйте парню, носящему черно-белую чередуемую рубашку (и, в некоторых случаях маленькая девочка с книгой квантовой механики) в парадной двери во-первых. За исключением броского куриного танца, они не могут войти, если Вы не позволяете им.
Проблема с вирусными сканерами, люди полагаются на них слишком много. Полагайте, что никакой Ваши активные или пассивные сканеры не знают о броском курином приеме. Вы только что свободно позволили плохому парню в свою систему. Если Ваше удачное, он сделает что-то, что повышает внимание пассивного сканера. Если Ваш не удачный, он переместится от тени до тени в рамках Вашего системного нанесения ущерба, и Вы не будете даже знать, что он там.
0-дневные программные уязвимости (известные дефекты программного обеспечения, выставляющие дыру в системе безопасности, которая еще не была исправлена), являются эквивалентом броскому куриному танцу. Microsoft не является единственной стороной для обвинения в них также; я видел, что взлом Adobe Flash проходит, и повреждаю свою систему вне восстановления в <15 секунд.
Windows/Linux имеет тенденцию не иметь броскую куриную проблему, потому что Вы несете свои права доступа (keycard, разряд) везде, Вы идете по всей системе.
Руткит похож на наличие одного из этих парней, похищают Вашего исполнительного офицера охраны, блокируют его в шкафу и исполняют роль его. С разрядом как начальник охраны он имеет право нанимать/запускать кого-либо и политику изменения в его прихоти. Если они добираются до него, Вы действительно завинчены, потому что он может уволить целую службу безопасности или проводить политику, которая вынуждает службу безопасности уставиться на их ноги и сидеть сложа руки на угрозе того, чтобы быть запущенным. Т.е. Вы действительно не хотите, чтобы этот парень был скомпрометирован.
Я надеюсь, что это помогает.