안티 바이러스 보호가 비 수퍼 유저에게 어떻게 작동하는지 어떻게 설명합니까? 찾았습니다. 그러나

안티 바이러스 소프트웨어가 정확히 어떻게 작동하는지 자세히 설명하는 이 질문 을 찾았습니다. 그러나 나는 단지 클라이언트가 나에게 이것을 물어 보았고, 그에게 좋고 간단하고 이해하기 쉬운 대답을 줄 수 없었습니다. 내가 생각 해낼 수있는 최선의 방법은 각 바이러스에 특정 “지문”이 있고 알려진 감염 영역에서 소프트웨어가 검색한다는 것입니다.

간단하고 이해하기 쉬운 방식으로 이것을 어떻게 설명합니까?



답변

탐지 메커니즘 또는 더 깊은 수준에서 어떻게?

사람들이 나에게 어떻게 악성 코드가 컴퓨터에 침입했는지, 왜 시스템에 들어간 후에는 항상 제거 할 수 없는지, 그리고 멀웨어와 관련이있는 대부분의 경우, 나는 항상이 은유와 비슷한 조합으로 대답합니다.

(내가 그것을 적을 때 나는 바보처럼 들리지만 당신이 그것을 좋아하기를 바랍니다!)

집이 컴퓨터이고 바이러스 백신 프로그램이 여러 보안 메커니즘이라고 상상해보십시오.

다운로드 / 새 파일 생성 :

현관에 경비원이 있다고 상상해보십시오. 집으로 들어오는 사람 (기계로 들어온 파일)이 그를지나 가서 깨끗하다는 것을 확인합니다. 그가 뭔가 나쁜 것을 발견하면, 그는 보통 당신에게 무엇을해야할지에 대한 옵션을 제공합니다.

활성 스캐너

내부 보안 팀이 집안의 모든 사람 (활동중인 프로세스)을보고, 그들이 접촉 한 모든 물건 (파일)이 깨끗한 지 확인하기 위해 본다고 상상해보십시오 *

수동 / 수동 스캔

다른 조치가 없거나 원하는 경우 보안 팀이 집안의 모든 개체를 검사하여 최신 위협에 대비하여 개체가 깨끗한 지 확인할 수 있습니다.

루트킷 / 한 번 감염

주택 보안이 항상 최선을 다하지만 100 % 효과적인 것은 없습니다. 일단 누군가가 집에 있으면, 멈추지 않았다면 원하는대로 할 수 있습니다. 그 후에는 정리할 수 있지만 대부분의 경우 모든 피해를 되돌릴 수 있습니다. 그들은 자신의 보안 팀을 남겨두고 자신을 방해 할 수 있습니다.

로 랜돌프는 그의 대답했다 *`전형적으로 지문과의 혼합이다 추론을 )

찾을 수없는 것 같지만 Microsoft는 AV 소프트웨어 작성에 대한 API 문서를 가지고 있었지만 MS Office / IE API 안내서 링크 만 찾을 수 있었습니다. 가짜 AV / 루트 키트로 인해이 정보가 제거 된 것 같습니다.

(또한 시만텍은 추가로 읽을 만한 흥미로운 기사 를 가지고 있습니다 )

편집-방금 스택 오버플로 질문을 발견했습니다 … Windows 바이러스 백신이 파일 액세스 프로세스에 어떻게 연결됩니까?


답변

그들은 다음을 포함하여 여러 수준에서 작동합니다.

  • 언급 한 바와 같이 데이터베이스와 일치하는 활동 또는 파일 서명을 확인하는 지문 정의

  • 예를 들어 의심스러운 동작 (부트 섹터가 인식되지 않는 것으로 수정되거나 액세스 할 수없는 프로세스로 메모리가 덮어 쓰기 됨)

  • 루트킷 탐지는 AV가 거의 바이러스 자체로 실행되도록 요구합니다 (* 이는 AVG가 ComboFix를 좋아하지 않는 이유입니다. 예를 들어, 바이러스 동작과 구분할 수없는 일을합니다)는 루트킷에서 자신을 숨겨야합니다.

이것은 완전한 목록이 아니며 답변에 대한 수정을 환영합니다.


답변

나는 몇 번이나 사람들에게 AV 소프트웨어가 필요하다고 말하면서 AV 소프트웨어가 “무가치하다”는 자발적인 “전문가”비판을 막아 내고 지문이없는 새로운 바이러스는 멈추지 않으며 Wil은 말 그대로 물건을 남길 수 있기 때문에 진정한 정리는 불가능합니다.

슈퍼 사용자가 아닌 사용자가 마지막 두 가지 사항을 이해해야하지만 AV 소프트웨어가 가치가 없다고 생각하지 않는 것이 중요하다고 생각합니다. 또한 세 번째 요점을 이해해야합니다. 시스템이 지워지고 알려진 양호한 백업으로 OS가 다시 설치되는 “궤도에서 궤도를 돌릴 수있는 유일한 방법”정리에주의를 기울여 신중한 백업 계획이 필요하다는 점을 이해해야합니다.


답변

운영 체제는 건물이고 바이러스는 도둑입니다.


Windows는 오피스 빌딩입니다

모든 사람이 출입 할 수는 있지만 가방을 확인하고 엑스레이를 통과하는 보안을 통과해야합니다. 이것은 활성 스캐너 와 같습니다 . 모든 것이 확인되므로 정문을 통해 물건을 가져올 가능성이 적습니다.

시설 전체에는 의심스러운 활동을 찾기 위해 카메라와 경비원이 감시하고 있습니다. 이것은 수동 스캔 입니다. 경비원은 매일 사람들을보고 있기 때문에 일반적인 장난 행동을 정확히 찾아냅니다.

키커는 X- 레이 스캐너를 통해 펑키 치킨 댄스를한다면 아무 질문도하지 않습니다.

감염은 다음과 같습니다. 도둑은 앞쪽 경비원을지나 펑키 치킨 춤을 추고 있습니다. 일단 그들이 들어가서 원하는 것을 가져 가면, 물품을 꺼내기 위해 백도어를 찾거나 만들면됩니다.

도둑이 정교하지 않으면 수동 스캐너가 경보를 울리고 경보를 보낸다. 그러나 최근에 Oceans 11을 본 경우 “모든 도둑이 정교하지 않다”는 말의 의미를 알게 될 것이다. 본질적으로 나쁜 사람이 들어간 후에는 좋은 사람이면 감시 시스템을 회피하고 파괴하는 방법을 알게되므로 자신이 그곳에 있다는 것도 알 수 없습니다. 그런 다음 데이터가 포함 된 무료 게임입니다.

더 나쁜 것은, 그들은 영향력이 있습니다. 그들은 시스템 내에서 친구를 사귀고 (다른 응용 프로그램을 감염시킵니다) 부팅을 성공적으로 마치더라도 친구를 불러서 다시 들어올 수 있습니다. 수동 스캐너는 나쁜 사람을 감시하지 않습니다. 모든 사람의 행동을 관찰하지만 완벽하지는 않습니다.

트로이 목마는 비상구 중 하나에 숨어있는 숨겨진 도둑과 같습니다. 외부 친구 중 한 명이 비밀 노크를 듣는 경우 내부에서 문을 엽니 다. 당신은 정말로 재능이 뛰어 나기 때문에 건물에서 이들 중 하나를 원하지 않습니다.


Mac은 오피스 빌딩이지만 키 카드 시스템

건물에 들어 서면 경비원으로 로그인하여 패스를 받아야합니다. 그러나 일단 들어가면 로밍 허가가있는 지역을 자유롭게 이동할 수 있습니다. 회사 재고에 액세스해야하는 경우 더 높은 레벨의 패스를 계속하려면 다시 로그인해야합니다. 보안 수준을 떠날 때마다 패스를 잃게되므로 다시 로그인해야 할 때마다 서명해야합니다.

여기서 취약점은 액세스 권한을 부여한 사람이 허용되어야한다는 것입니다.


리눅스는 군사 기지와 같다

게이트에 들어가려면 보안을 통과해야하지만 기지의 일부에 액세스하려면 순위 / 제목이 필요합니다. 예를 들어, 조종사가 아니고 상사가 아닌 경우 비행장에 입장 할 수 없으며, 잠수함이 아닌 경우 잠수함에 입장 할 수 없습니다.

루트 계정을 일반으로 생각하십시오. 그는 기지에서 가장 우수한 장교이기 때문에 어디든 갈 수있는 권한이 필요하지 않습니다. 그러므로, 당신은 당신의 장군이 누군가를 기지로 데려 가게하는 것을 원치 않습니다.

리눅스의 비결은 자신을 장군으로 만들지 않는 것입니다. 자신을 충실하게 수행하는 사소한 장교가 되십시오. 그런 다음, 사소한 장교가 자신의 일을 완수하기 위해 추가 자원이 필요하다는 것을 발견하면, 일을 움직이고 흔드는 일을하기 위해 그를 임시로 업그레이드하십시오 (리눅스에서 권한 상승 명령은 임시 루트 액세스를 허용하는 sudo입니다).


실제로 Linux와 Unix는 권한에 대해 동일한 보안 모델을 사용합니다. Mac은 Linux가 시스템을보다 사용자 친화적으로 만들기 위해 시스템을 구획화하지 않습니다.

이러한 모든 시스템의 주요 문제점은 일단 도둑이 침입 한 후에는 보안을 거치지 않고 나중에 다시 들어올 수있는 백도어를 만들 수 있다는 것입니다.

유일한 정말 안전 시스템 보안은 현명한보다 정교한 시스템을 가지고하는 것입니다. 마찬가지로, 매일 매일 끝날 때까지 시간을 거슬러 올라갑니다. 이것은 샌드 박스 가상화 와 동일합니다 . OS를로드 할 때마다 새로 고쳐지지 않은 사본이로드됩니다. OS가 도둑이 들어 오기 전의 상태로 다시 설정되기 때문에 백도어가 존재하지 않습니다.이 방법에는 한계가 있지만 여기서 다루기에는 너무 상세하고 복잡합니다.


대부분의 사람들이 (일부 편리하게) 간과하는 비결입니다. 누군가를 건물 안으로 들여 보내고 접근 권한을 부여하면 다른 사람들도 들어올 수 있습니다. 따라서 검은 색과 흰색 줄무늬 셔츠를 입은 남자 (및 경우에 따라 양자 역학 도서가있는 어린 소녀)를 두지 마십시오. 처음에는 정문. 펑키 치킨 댄스를 제외하고는 그들이 허락하지 않으면 들어갈 수 없습니다.

바이러스 스캐너의 문제는 사람들이 너무 많이 의존한다는 것입니다. 능동형 스캐너 나 수동형 스캐너 모두 펑키 치킨 트릭에 대해 알고 있지 않습니다. 당신은 시스템에 나쁜 사람을 자유롭게 배치했습니다. 운이 좋으면 수동형 스캐너의 관심을 끄는 무언가를 할 것입니다. 운이 좋지 않으면 시스템에서 혼란을 겪는 그림자에서 그림자로 이동하며 그가 거기 있다는 것을 알지 못할 것입니다.

0 일 소프트웨어 취약점 (아직 패치되지 않은 보안 구멍을 노출하는 알려진 소프트웨어 결함)은 펑키 치킨 댄스와 같습니다. 마이크로 소프트 만이 이것들에 대한 책임이있는 것은 아니다. Adobe Flash 해킹이 시스템을 복구하고 <15 초 안에 복구 할 수없는 상태로 버리는 것을 보았습니다.

Windows / Linux는 시스템 전체에서 액세스 권한 (키 카드, 순위)을 가지고 있기 때문에 펑키 치킨 문제가 발생하지 않습니다.

루트킷은 이 사람들 중 하나가, 당신의 집행 보안 담당자를 납치 옷장에서 그를 잠금, 그를 가장하는 것과 같다. 보안 책임자 직책을 맡은 그는 누구든지 고용 / 해고하고 정책을 변경할 권한이 있습니다. 그들이 그에게 다가 가면 그는 보안 요원 전체를 해고하거나 보안 요원이 발을 응시하고 해고의 위협에 손을 대도록 강제하는 정책을 시행 할 수 있기 때문에 정말로 망쳐 져 있습니다. 즉. 당신은 정말로이 사람이 타협되기를 원하지 않습니다.

도움이 되길 바랍니다.


답변