アンチウイルス保護がスーパーユーザー以外にどのように機能するかを説明するにはどうすればよいですか?

12

アンチウイルスソフトウェアが正確にどのように機能するかを少し詳しく説明するこの質問を見つけました。しかし、クライアントにこれを聞かされただけで、本当に簡単でわかりやすい答えを彼に与えることができませんでした。私が思いついた最善のことは、各ウイルスに特定の「指紋」があり、ソフトウェアがそれらの既知の感染領域をスキャンすることでした。

これをわかりやすく簡単に説明するにはどうすればよいですか?

anti-virus 
ジェームズ・メルツ
ソース
1
良い質問。私たちがそれに基づいて構築できることを期待して、私は不器用な答えをまとめました。
モアブ
「あなたのガールフレンドのために...仮想化...」についての議論を
思い出し
「あなたは完璧ではありません。OSは確かに完璧ではありません。完璧がないと多くの問題につながります。」
トビーレーン
1
@ muntoo、うん、私のispは私が検索したものを見ることができなくなりました。
モアブ

回答:

10

検出メカニズム、またはそれらがより深いレベルでどのように?

マルウェアがマシンにどのように侵入したか、なぜシステム上でマルウェアを削除できるのか、そしてマルウェアに関するほとんど何でもできない理由について人々が私に言うとき、私は常にこの比phorに似た組み合わせで答えます:

(そして、私がそれを書き留めるとき、私は少しばかのように聞こえるに違いないが、私はあなたがそれを好きであることを望む!)

あなたの家がコンピュータであると想像してください。アンチウイルスプログラムはいくつかの異なるセキュリティメカニズムです。

ダウンロード/新規ファイルの作成:

玄関先に警備員がいると想像してください。家に来る人(マシンにファイルが入ってくる人)が彼を通り抜け、彼が彼らがきれいであるかどうかをチェックします*。彼が何か悪いものを見つけた場合、彼は通常、あなたに何をすべきかの選択肢を与えます。

アクティブスキャナー

社内のセキュリティチームがあなたの家の全員(アクティブなプロセス)を監視していることを想像してください。

パッシブ/手動スキャン

他に何もする必要がない場合、または選択した場合は、最新の脅威に対してクリーンであることを確認するために、セキュリティチームに家の中のすべてのオブジェクトをチェックさせることができます。

ルートキット/一度感染した

ホームセキュリティは常に最善を尽くしますが、100%効果的なものはありません。誰かが家に入ったら、彼らが止められなかったなら、彼らは何でもしたいことができます。それらをクリーンアップすることは可能ですが、ほとんどの場合、すべての損傷を取り消すことができます...彼らはあなた自身のセキュリティチームを置き去りにすることができます。

`*ランドルフが答えで言ったように、典型的には指紋と発見的手法の混合です)

私はそれを見つけることができないようですが、MicrosoftはAVソフトウェアの作成に関するAPIドキュメントを持っていましたが、MS Office / IE APIガイドへのリンクしか見つけることができません。偽のAV / Rootキットが原因で、この情報が削除されたと推測しています。

(また、シマンテックには、さらに読むための興味深い記事があります)

編集-興味深いスタックオーバーフローの質問が見つかりました... Windowsアンチウイルスはどのようにファイルアクセスプロセスにフックしますか?

ウィリアム・ヒルサム
ソース
5

以下を含むいくつかのレベルで動作します。

  • データベースに一致するアクティビティまたはファイルの署名をチェックする、前述の指紋定義

  • 疑わしい動作、たとえば、認識されていない何かによってブートセクターが変更されたり、アクセスできないはずのプロセスによってメモリが上書きされたりする

  • ルートキットの検出。AVをウイルス自体として実行する必要があります(*これが、AVGがComboFixを好まない理由です。たとえば、ウイルスの動作と区別できないことを行います)。

これは確かに完全なリストではなく、答えを編集することを歓迎します。

user3463
ソース
3
「答えの編集を歓迎します」では、CWにしてみませんか?
Hello71
1

私は、新しい指紋のないウイルスが止められず、ウィルが言うように、物事を残すことができるので、AVソフトウェアは「価値がない」という自発的な「専門家」の批判をかわしながら、AVソフトウェアが必要だと人々に言う立場に何度かありました。真のクリーンアップが不可能になります。

スーパーユーザー以外のユーザーは、これらの最後の2つのポイントを理解することは重要ですが、AVソフトウェアは価値がないとは考えないでください。また、3番目の点を理解する必要があります。システムを消去し、既知の正常なバックアップからOSを再インストールする「軌道から消す、それが唯一の確実な方法」クリーンアップに注意して慎重なバックアップ計画が必要です。

mcgyver5
ソース
1

オペレーティングシステムは建物であり、ウイルスは泥棒です

Windowsはオフィスビルです

誰もが出入りすることを許可されていますが、彼らは彼らのバッグがチェックされ、X線を通って歩くセキュリティを通過する必要があります。これは、アクティブなスキャナーに相当します。すべてがチェックされるので、玄関から何かが取られる可能性がわずかにあります。

施設全体にカメラと警備員が監視し、不審な活動を探しています。これがパッシブスキャンです。警備員は、毎日1日中人々を監視しているため、一般的ないたずら行為を正確に特定することができます。

キッカーは、X線スキャナーを介してファンキーなチキンダンスを行う場合、質問はありません。

感染は次のようになります。泥棒はファンキーなチキンダンスを前の警備員の前で行います。彼らが入ってきて欲しいものを手に入れたら、彼らは商品で抜け出すためにバックドアを見つける(または作成する)だけです。

泥棒が洗練されていない場合、パッシブスキャナーはアラームを発してセキュリティを送信しますが、最近オーシャンズイレブンを見た場合、「すべての泥棒が洗練されているわけではない」という意味がわかります。基本的に、悪者が中に入ると、彼が良ければ監視システムを回避して破壊する方法を知っているので、あなたは彼がそこにいることさえ知らないでしょう。次に、データを使用した無料ゲームです。

さらに悪いことに、彼らは影響力があります。彼らはあなたのシステム内で友人を作り(他のアプリケーションに感染します)、あなたが彼らにブートを与えることに成功したとしても、彼らは彼らを戻すために仲間を呼び出すことができます。全員の行動を観察しますが、完璧ではありません。

トロイの木馬は、非常口の1つで隠れている泥棒のようなものです。外の仲間の1人から秘密のノックを聞くと、彼は内側からドアを開けます。彼らは非常に才能があるので、あなたは本当にあなたの建物にこれらのいずれかを望んでいません。

Macはオフィスビルですが、キーカードシステムがあります

建物に入ったら、警備員とサインインしてパスを取得する必要があります。ただし、いったん入室すると、ローミングを許可されているエリアを自由に移動できます。会社の在庫にアクセスする必要がある場合は、より高いレベルのパスを続行するには、再度サインインする必要があります。一定のセキュリティレベルを離れるたびにパスを失うため、再度アクセスする必要があるたびにパスにサインする必要があります。

ここでの脆弱性は、アクセス権を与えている人が許可されることになっていることを知っていることを確認することです。

Linuxは軍事基地のようなものです

ゲートに入るにはセキュリティを通過する必要がありますが、基地の一部にアクセスするにはランク/タイトルも必要です。たとえば、パイロットではない(そして上官でない)場合、飛行場に入ることはできません。潜水艦でない場合、潜水艦に入ることはできません。

ルートアカウントを一般と考えてください。彼は基地で最も優れた将校であるため、どこにでも行く許可を必要としません。したがって、誰もが基地に侵入することを将軍に任せたくありません(彼は疑いなく従うからです)。

Linuxのコツは、自分を一般にしないことです。自分を職務を忠実に遂行する下士官にしてください。次に、その小柄な役人が仕事を完了するために追加のリソースが必要であることに気付いたら、彼を一時的にアップグレードします(Linuxの昇格された特権のコマンドはsudoであり、一時的なルートアクセスを許可します)。

実際には、LinuxとUnixは同じセキュリティモデルを特権に使用します。Macは、Linuxのようにシステムを区分化しないため、ユーザーフレンドリになります。

これらすべてのシステムの主な問題は、泥棒が侵入した後、セキュリティを通過することなく後で侵入するためのバックドアを作成できることです。

賢明な唯一の本当に安全なシステムセキュリティは、より洗練されたシステムを持つことです。同様に、毎日の終わりにその日の始まりに時間をさかのぼってください。これは、サンドボックス仮想化と同等です。OSをロードするたびに、新しい未熟なコピーがロードされます。OSは泥棒が侵入する前の状態に戻されるため、バックドアは存在しません。この方法には制限がありますが、ここで説明するには複雑すぎて複雑です。

ほとんどの人が(一部の人にとっては)見落としがちなトリックです。誰かを建物の中に入れて、アクセス権を与えると、彼らは他の人を入れることができます。そもそも玄関。ファンキーなチキンダンスを除いて、彼らに許可しない限り、彼らは入ることができません。

ウイルススキャナーの問題は、人々がそれらに依存しすぎることです。アクティブスキャナーもパッシブスキャナーもファンキーチキントリックについては知らないことを考慮してください。悪人を自由にシステムに入れただけです。幸いなことに、彼はパッシブスキャナーの注目を集める何かをします。あなたが幸運でなければ、彼はあなたのシステム内で影から影に移動し、大混乱を引き起こし、あなたが彼がそこにいることすら知らないでしょう。

0日間のソフトウェアの脆弱性(まだパッチが適用されていないセキュリティホールをさらす既知のソフトウェアの欠陥)は、ファンキーなチキンダンスに相当します。これらの責任を負うのはマイクロソフトだけではありません。Adobe Flashのハックが15秒以内にシステムを修復できずに破壊するのを見てきました。

Windows / Linuxには、システム全体にアクセスするすべての場所にアクセス権限(キーカード、ランク)を持っているため、ファンキーなチキンの問題はありません。

ルートキットは、これらの人のいずれかが、あなたのエグゼクティブのセキュリティ担当者を誘拐クローゼットの中に彼をロックし、彼になりすますようなものです。セキュリティの責任者としての地位により、彼は誰でも雇用/解雇し、気まぐれにポリシーを変更することができます。彼らが彼に到着した場合、彼はセキュリティスタッフ全体を解雇したり、セキュリティスタッフが足をじっと見つめたり、解雇の脅威に手をつけたりすることを強制するポリシーを実装することができるので、本当にうんざりしています。すなわち。あなたは本当にこの男が妥協されることを望まない。

それがお役に立てば幸いです。

エヴァン・プライス
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.