Bagaimana cara saya menjelaskan cara kerja perlindungan Anti-Virus kepada Pengguna yang bukan Pengguna Super?

12

Saya menemukan pertanyaan ini yang sedikit expalins detail tentang bagaimana perangkat lunak Anti-Virus bekerja persis. Tetapi saya hanya meminta seorang klien untuk menanyakan hal ini, dan saya benar-benar tidak bisa memberikan jawaban yang baik, sederhana, mudah dimengerti. Hal terbaik yang dapat saya pikirkan adalah bahwa setiap virus memiliki "sidik jari" spesifik dan pemindaian perangkat lunak di daerah yang diketahui terinfeksi untuk mereka.

Bagaimana saya menjelaskan hal ini dengan cara yang mudah dimengerti dan sederhana?

James Mertz
sumber
1
Pertanyaan bagus. Saya telah mengumpulkan jawaban yang kikuk dengan harapan kita dapat membangunnya.
Membaca ... encrypted.google.com/
Moab
Mengingatkan saya pada diskusi tentang "virtualisasi ... untuk pacar Anda": P
nhinkle
"Kamu tidak sempurna, OS tentu tidak sempurna. Kurangnya kesempurnaan menyebabkan banyak masalah."
tobylane
1
@ muntoo, ya, ISP saya tidak bisa lagi melihat apa yang saya cari.
Moab

Jawaban:

10

Mekanisme pendeteksian, atau bagaimana mereka pada tingkat yang lebih dalam?

Ketika orang-orang mengatakan kepada saya tentang bagaimana malware masuk ke mesin mereka, dan mengapa tidak selalu mungkin untuk menghapus begitu ada di sistem, dan hampir semuanya ada hubungannya dengan malware saya selalu menjawab dengan kombinasi / mirip dengan metafora ini:

(Dan ketika saya menuliskannya, saya harus terdengar agak seperti orang idiot, tapi saya harap Anda menyukainya!)

Bayangkan rumah Anda adalah komputer, program anti virus adalah beberapa mekanisme keamanan yang berbeda.

Unduh / Pembuatan File Baru:

Bayangkan seorang penjaga di pintu depan Anda - siapa pun yang datang ke rumah (file masuk ke mesin Anda) melewatinya dan dia memeriksa apakah semuanya bersih *. Jika dia menemukan sesuatu yang buruk, dia biasanya memberi Anda pilihan apa yang harus dilakukan.

Scanner aktif

Bayangkan sebuah tim keamanan internal mengawasi semua orang (proses aktif) di rumah Anda, objek (file) apa pun yang mereka sentuh dipantau untuk memastikan mereka bersih *

Pemindaian Pasif / Manual

Ketika tidak ada lagi yang bisa dilakukan, atau Anda pilih, Anda dapat meminta tim keamanan memeriksa setiap objek di rumah, hanya untuk memastikan mereka bersih terhadap ancaman terbaru.

Rootkit / sekali terinfeksi

Sementara keamanan rumah Anda akan selalu melakukan yang terbaik, tidak ada yang 100% efektif. Begitu seseorang ada di rumah, jika mereka tidak dihentikan, mereka dapat melakukan apa pun yang mereka inginkan. Meskipun dimungkinkan untuk membersihkan setelah mereka, dan dalam kebanyakan kasus, membatalkan semua kerusakan ... mereka dapat meninggalkan tim keamanan mereka sendiri di belakang yang mengganggu Anda.

`* Seperti yang dikatakan Randolph dalam jawabannya, biasanya ini adalah campuran sidik jari dan Heuristik )

Sepertinya saya tidak dapat menemukannya, tetapi Microsoft dulu memiliki dokumen API tentang membuat perangkat lunak AV, saya hanya dapat menemukan tautan ke panduan MS Office / IE API . Saya menduga bahwa karena perangkat AV / Root palsu, mereka telah menghapus informasi ini.

(Juga, Symantec memiliki artikel yang menarik untuk dibaca lebih lanjut)

Sunting - Baru saja menemukan Stack Overflow Question ... Bagaimana cara antivirus Windows menghubungkan ke proses akses file?

William Hilsum
sumber
5

Mereka beroperasi pada beberapa tingkatan, termasuk:

  • Definisi sidik jari, seperti yang Anda nyatakan, yang memeriksa aktivitas atau tanda tangan file yang cocok dengan basis data

  • Perilaku mencurigakan, misalnya, sektor boot dimodifikasi oleh sesuatu yang tidak dikenali, atau memori ditimpa oleh proses yang seharusnya tidak memiliki akses

  • Deteksi rootkit, yang mengharuskan AV dijalankan hampir sebagai virus itu sendiri (* inilah sebabnya AVG tidak menyukai ComboFix, misalnya - ia melakukan hal-hal yang tidak dapat dibedakan dari perilaku virus), karena ia harus menyembunyikan diri dari rootkit.

Ini tentu bukan daftar lengkap, dan saya menyambut suntingan untuk jawabannya.

pengguna3463
sumber
3
"Saya menyambut suntingan untuk jawaban" Mengapa tidak membuatnya menjadi CW?
Hello71
1

Saya sudah beberapa kali berada dalam posisi memberi tahu orang-orang bahwa mereka membutuhkan perangkat lunak AV sementara menangkis kritik "pakar" yang diajukan secara sukarela bahwa perangkat lunak AV "tidak berharga" karena virus baru yang tidak tercetak tidak akan dihentikan dan seperti kata Wil, mereka dapat meninggalkan barang-barang di belakang yang membuat pembersihan yang benar tidak mungkin.

Saya pikir penting bahwa pengguna non-super memahami dua poin terakhir tetapi tidak berpikir bahwa perangkat lunak AV tidak berharga. Mereka juga perlu memahami poin ketiga, bahwa rencana cadangan yang cermat diperlukan dengan pandangan ke arah "Nuke it from orbit, itu satu-satunya cara untuk memastikan" pembersihan di mana sistem dihapus dan OS diinstal ulang dari cadangan yang dikenal baik.

mcgyver5
sumber
1

Sistem operasi Anda adalah bangunan dan virus adalah pencuri


Windows adalah gedung Office

Sementara semua orang diizinkan masuk dan keluar, mereka harus melewati keamanan di mana tas mereka diperiksa dan mereka berjalan melalui x-ray. Ini akan menjadi setara dengan pemindai aktif . Semuanya diperiksa sehingga ada kemungkinan kecil bahwa apa pun akan diambil melalui pintu depan.

Di seluruh fasilitas ada kamera dan penjaga keamanan yang memantau mereka untuk mencari aktivitas yang mencurigakan. Ini adalah Pemindaian Pasif . Petugas keamanan cukup pandai dalam menunjukkan perilaku nakal yang umum karena mereka menghabiskan sepanjang hari setiap hari mengawasi orang.

Kicker adalah, jika Anda melakukan tarian ayam funky melalui pemindai x-ray yang akan Anda lewati, tidak ada pertanyaan yang diajukan.

Infeksi seperti ini. Pencuri menari ayam funky melewati penjaga di depan. Begitu mereka masuk dan mengambil apa yang mereka inginkan, mereka hanya perlu menemukan (atau membuat) pintu belakang untuk keluar dengan barang.

Jika pencuri tidak canggih, pemindai pasif akan meningkatkan alarm dan mengirim keamanan setelah mereka, tetapi, jika Anda telah menonton Oceans Eleven akhir-akhir ini, Anda akan tahu apa yang saya maksud ketika saya berkata, "tidak semua pencuri tidak canggih". Pada dasarnya, begitu orang jahat masuk ke dalam, jika dia baik dia akan tahu bagaimana cara menghindari dan menumbangkan sistem pengawasan Anda sehingga Anda bahkan tidak tahu dia ada di sana. Maka itu permainan gratis dengan data Anda.

Lebih buruk lagi, mereka berpengaruh. Mereka berteman di dalam sistem Anda (menginfeksi aplikasi lain) sehingga, bahkan jika Anda berhasil memberi mereka boot, mereka hanya dapat memanggil seorang teman untuk membiarkan mereka masuk kembali. Pemindai pasif tidak hanya mengawasi orang jahat, mereka perhatikan perilaku semua orang tetapi itu tidak sempurna.

Trojan seperti pencuri tersembunyi yang disembunyikan oleh salah satu pintu keluar darurat, jika dia mendengar ketukan rahasia dari salah satu temannya di luar, dia membuka pintu dari dalam. Anda benar-benar tidak ingin salah satu dari ini di gedung Anda karena mereka sangat berbakat.


A Mac adalah Gedung Kantor tetapi dengan sistem kartu kunci

Setelah Anda memasuki gedung, Anda harus masuk dengan penjaga untuk mendapatkan pass Anda. Tapi, begitu Anda berada di dalam, Anda memiliki kebebasan untuk bergerak di sekitar area di mana Anda memiliki izin untuk menjelajah. Jika Anda perlu mendapatkan akses ke inventaris perusahaan, Anda harus masuk lagi untuk melanjutkan level yang lebih tinggi. Setiap kali Anda meninggalkan tingkat keamanan, Anda kehilangan pas Anda sehingga Anda harus masuk untuk itu setiap kali Anda harus kembali.

Kerentanan di sini adalah, pastikan Anda tahu bahwa orang yang Anda beri akses seharusnya diizinkan masuk.


Linux seperti pangkalan militer

Anda harus melewati keamanan untuk masuk ke gerbang tetapi Anda juga perlu pangkat / gelar untuk mendapatkan akses ke bagian-bagian pangkalan. Misalnya, Anda tidak bisa masuk ke lapangan udara jika Anda bukan seorang pilot (dan bukan seorang perwira superior), Anda tidak bisa masuk ke kapal selam jika Anda bukan seorang sub-pria.

Pikirkan akun root sebagai General. Dia tidak perlu izin untuk pergi ke mana pun karena dia adalah perwira paling unggul di pangkalan. Karena itu, Anda tidak ingin membiarkan jendral Anda berkeliling membiarkan siapa saja masuk ke pangkalan (karena dia akan dipatuhi tanpa pertanyaan).

Trik dengan Linux adalah, jangan jadikan diri Anda Jenderal. Jadikan diri Anda seorang perwira rendahan yang patuh melakukan pekerjaannya. Kemudian, ketika petugas kecil itu menemukan bahwa dia membutuhkan beberapa sumber daya tambahan untuk menyelesaikan pekerjaannya, perbarui dia untuk sementara waktu (perintah untuk hak-hak istimewa yang ditingkatkan di linux adalah sudo yang memberikan akses root sementara) kepada Jenderal untuk membuat semuanya bergerak dan bergetar.


Pada kenyataannya, Linux dan Unix menggunakan model keamanan yang sama untuk hak istimewa. Mac hanya tidak memecah sistem seperti Linux untuk membuatnya lebih ramah pengguna.

Masalah utama dengan semua sistem ini adalah, setelah pencuri menemukan jalan masuk, mereka dapat membuat pintu belakang untuk masuk kembali nanti tanpa harus melalui keamanan.

Satu-satunya keamanan sistem yang benar - benar aman adalah memiliki sistem yang lebih canggih. Seperti, kembali ke waktu ke awal hari di akhir setiap hari. Ini setara dengan virtualisasi kotak pasir . Setiap kali Anda memuat OS, ia memuat salinan yang segar dan tidak diubah. Tidak ada jalan belakang akan ada karena OS akan diatur kembali ke keadaan sebelum pencuri masuk. Ada batasan untuk metode ini tetapi terlalu rinci / rumit untuk dibahas di sini.


Trik yang dilupakan kebanyakan orang (sebagian dengan mudah) adalah. Setelah Anda membiarkan seseorang masuk ke gedung dan memberi mereka hak akses, mereka dapat membiarkan orang lain masuk. Jadi, jangan biarkan pria yang mengenakan kemeja bergaris hitam dan putih (dan, dalam beberapa kasus, gadis kecil dengan buku mekanika kuantum) di pintu depan di tempat pertama. Dengan pengecualian tarian ayam yang funky, mereka tidak bisa masuk kecuali Anda membiarkannya.

Masalah dengan pemindai virus adalah, orang terlalu mengandalkannya. Pertimbangkan bahwa pemindai aktif atau pasif Anda tidak tahu tentang trik ayam yang funky. Anda baru saja dengan bebas membiarkan orang jahat masuk ke sistem Anda. Jika Anda beruntung, dia akan melakukan sesuatu yang meningkatkan perhatian pemindai pasif. Jika Anda tidak beruntung, dia akan bergerak dari satu bayangan ke bayangan lain di dalam sistem Anda menimbulkan kekacauan dan Anda bahkan tidak akan tahu bahwa dia ada di sana.

Kerentanan perangkat lunak 0 hari (cacat perangkat lunak yang diketahui memperlihatkan lubang keamanan yang belum ditambal) adalah setara dengan tarian ayam yang funky. Microsoft bukan satu-satunya pihak yang disalahkan atas hal ini; Saya telah melihat retas Adobe Flash melewati dan membuang sistem saya dalam perbaikan dalam <15 detik.

Windows / Linux cenderung tidak memiliki masalah ayam yang funky karena Anda membawa hak akses (kartu kunci, peringkat) ke mana pun Anda pergi ke seluruh sistem.

Sebuah rootkit adalah seperti memiliki salah satu dari orang-orang ini menculik petugas keamanan eksekutif Anda, menguncinya di dalam lemari, dan meniru dia. Dengan pangkat sebagai kepala keamanan, ia memiliki kekuatan untuk mempekerjakan / memecat siapa pun dan mengubah kebijakan sesuai keinginannya. Jika mereka menemuinya, Anda benar-benar kacau karena dia dapat memberhentikan seluruh staf keamanan atau menerapkan kebijakan yang memaksa staf keamanan untuk menatap kaki mereka dan duduk di tangan mereka pada ancaman dipecat. Yaitu. Anda benar - benar tidak ingin orang ini dikompromikan.

Saya harap itu membantu.

Evan Plaice
sumber