Wie erkläre ich einem Nicht-Superuser, wie der Virenschutz funktioniert?

12

Ich habe diese Frage gefunden , die ein wenig ausführlicher erklärt, wie Anti-Virus-Software genau funktioniert. Aber ich wurde gerade von einem Kunden gefragt, und ich konnte ihm wirklich keine gute, einfache, leicht verständliche Antwort geben. Das Beste, was mir einfiel, war, dass jeder Virus einen bestimmten "Fingerabdruck" hat und die Software in bekannten infizierten Bereichen nach ihnen sucht.

Wie erkläre ich das einfach und verständlich?

James Mertz
quelle
1
Gute Frage. Ich habe eine ungeschickte Antwort zusammengestellt, in der Hoffnung, dass wir darauf aufbauen können.
Lesen ... encrypted.google.com/…
Moab
Erinnert mich an die Diskussion über "Virtualisierung ... für Ihre Freundin": P
nhinkle
"Sie sind nicht perfekt, das Betriebssystem ist sicherlich nicht perfekt. Mangelnde Perfektion führt zu vielen Problemen."
Tobylane
1
@muntoo, yep, mein isp kann nicht mehr sehen wonach ich suche.
Moab

Antworten:

10

Erkennungsmechanismus, oder wie sie auf einer tieferen Ebene?

Wenn Leute zu mir sagen, wie Malware auf ihren Computer gelangt ist und warum es nicht immer möglich ist, Malware zu entfernen, sobald sie sich auf dem System befindet, und so ziemlich alles, was mit Malware zu tun hat, antworte ich immer mit einer Kombination / ähnlich dieser Metapher:

(Und wenn ich es aufschreibe, muss ich ein bisschen wie ein Idiot klingen, aber ich hoffe es gefällt dir!)

Stellen Sie sich vor, Ihr Haus ist der Computer, ein Antivirenprogramm besteht aus mehreren verschiedenen Sicherheitsmechanismen.

Download / Erstellung neuer Dateien:

Stellen Sie sich einen Türsteher an Ihrer Haustür vor - jeder, der ins Haus kommt (Akten, die in Ihre Maschine kommen), geht durch ihn und überprüft, ob sie sauber sind *. Wenn er etwas Schlimmes findet, gibt er Ihnen normalerweise die Möglichkeit, was zu tun ist.

Aktiver Scanner

Stellen Sie sich ein internes Sicherheitsteam vor, das alle (aktiven) Prozesse in Ihrem Haus überwacht und überprüft, ob alle berührten Objekte (Dateien) sauber sind. *

Passiver / manueller Scan

Wenn nichts anderes zu tun ist oder Sie sich entscheiden, können Sie das Sicherheitsteam jedes Objekt im Haus überprüfen lassen, um sicherzustellen, dass es gegen die neuesten Bedrohungen geschützt ist.

Rootkits / einmal infiziert

Während Ihre Sicherheit zu Hause immer das Beste gibt, ist nichts zu 100% effektiv. Wenn jemand im Haus ist und nicht aufgehalten wurde, kann er tun, was er will. Während es möglich ist, nach ihnen aufzuräumen und in den meisten Fällen den gesamten Schaden rückgängig zu machen, könnten sie ihr eigenes Sicherheitsteam zurücklassen, was sich störend auf Ihr eigenes auswirkt.

`* Wie Randolph in seiner Antwort sagte, handelt es sich typischerweise um eine Mischung aus Fingerabdruck und Heuristik. )

Ich kann es scheinbar nicht finden, aber Microsoft hatte früher ein API-Dokument zum Erstellen von AV-Software. Ich kann nur einen Link zum MS Office / IE-API-Handbuch finden . Ich vermute, dass sie diese Informationen aufgrund gefälschter AV / Root-Kits entfernt haben.

(Symantec hat auch einen interessanten Artikel zum Lesen)

Bearbeiten - Ich habe gerade einen interessanten Stapelüberlauf gefunden. Frage ... Wie kann sich ein Windows-Virenschutzprogramm in den Dateizugriffsprozess einbinden?

William Hilsum
quelle
5

Sie arbeiten auf mehreren Ebenen, darunter:

  • Die von Ihnen angegebene Fingerabdruckdefinition, die nach Aktivitäten oder Dateisignaturen sucht, die mit einer Datenbank übereinstimmen

  • Verdächtiges Verhalten: Beispielsweise wird der Startsektor durch etwas geändert, das nicht erkannt wird, oder der Speicher wird durch einen Prozess überschrieben, der keinen Zugriff haben sollte

  • Rootkit-Erkennung, bei der der AV-Server fast wie ein Virus ausgeführt werden muss (* Aus diesem Grund mag AVG beispielsweise ComboFix nicht - es macht Dinge, die vom Virenverhalten nicht zu unterscheiden sind), indem es sich vor dem Rootkit verstecken muss.

Dies ist sicherlich keine vollständige Liste, und ich begrüße Änderungen an der Antwort.

user3463
quelle
3
"Ich freue mich über Änderungen an der Antwort." Warum dann nicht CW machen?
Hallo, 71.
1

Ich war mehrere Male in der Lage, Leuten zu sagen, dass sie AV-Software benötigen, während ich die Kritik von freiwilligen "Experten" abwehrte, dass AV-Software "wertlos" ist, weil neue, nicht gefingerte Viren nicht gestoppt würden und sie, wie Wil sagt, Dinge zurücklassen können das macht eine echte bereinigung unmöglich.

Ich denke, es ist wichtig, dass Nicht-Superuser diese beiden letzten Punkte verstehen, aber nicht denken, dass AV-Software wertlos ist. Sie müssen auch einen dritten Punkt verstehen, nämlich, dass ein sorgfältiger Backup-Plan mit Blick auf "Nuke it from orbit, es ist der einzige Weg, um sicherzugehen", dass das System gelöscht und das Betriebssystem von bekanntermaßen guten Backups neu installiert wird.

mcgyver5
quelle
1

Ihr Betriebssystem ist ein Gebäude und der Virus ist ein Dieb


Windows ist ein Bürogebäude

Während jeder ein- und ausgehen darf, muss er die Sicherheitskontrolle durchlaufen, um seine Taschen zu kontrollieren und eine Röntgenaufnahme zu machen. Dies entspricht einem aktiven Scanner . Alles wird überprüft, sodass die Wahrscheinlichkeit gering ist, dass etwas durch die Eingangstür gelangt.

In der gesamten Einrichtung werden sie von Kameras und Sicherheitspersonal überwacht, um verdächtige Aktivitäten aufzuspüren. Dies ist der passive Scan . Die Sicherheitspersonal sind ziemlich gut darin, übliches schelmisches Verhalten zu lokalisieren, weil sie den ganzen Tag damit verbringen, Menschen zu beobachten.

Der Kicker ist, wenn Sie den funkigen Hühnertanz durch den Röntgenscanner machen, werden Sie durchkommen, keine Fragen gestellt.

Eine Infektion geht so. Der Dieb tanzt das flippige Huhn an der Wache vorbei. Sobald sie drin sind und nehmen, was sie wollen, müssen sie nur eine Hintertür finden (oder schaffen), um mit den Waren herauszukommen.

Wenn die Diebe nicht hochentwickelt sind, werden die passiven Scanner einen Alarm auslösen und Sicherheit senden, aber wenn Sie in letzter Zeit Oceans Eleven gesehen haben, wissen Sie, was ich meine, wenn ich sage: "Nicht alle Diebe sind hochentwickelt". Wenn ein Bösewicht erst einmal reingekommen ist, weiß er, wie man dem Überwachungssystem ausweicht und es untergräbt, sodass Sie nicht einmal wissen, dass er da ist. Dann ist es ein kostenloses Spiel mit deinen Daten.

Schlimmer noch, sie sind einflussreich. Sie finden Freunde in Ihrem System (infizieren andere Anwendungen), und selbst wenn Sie erfolgreich sind, können sie einen Freund anrufen, um sie wieder einzulassen. Passive Scanner suchen nicht nur nach bösen Jungs, sondern auch nach ihnen Beobachten Sie das Verhalten aller, aber sie sind nicht perfekt.

Ein Trojaner ist wie ein versteckter Dieb, der sich an einem der Notausgänge versteckt. Wenn er draußen ein heimliches Klopfen von einem seiner Freunde hört, öffnet er die Tür von innen. Sie wollen wirklich keine davon in Ihrem Gebäude, weil sie äußerst talentiert sind.


Ein Mac ist ein Bürogebäude mit einem Keycard-System

Sobald Sie das Gebäude betreten, müssen Sie sich bei der Wache anmelden, um Ihren Pass zu erhalten. Aber wenn Sie einmal drin sind, können Sie sich frei in den Bereichen bewegen, in denen Sie die Erlaubnis haben, sich fortzubewegen. Wenn Sie Zugriff auf das Unternehmensinventar benötigen, müssen Sie sich erneut anmelden, um mit einem höheren Pass fortzufahren. Jedes Mal, wenn Sie eine Sicherheitsstufe verlassen, verlieren Sie Ihren Pass, sodass Sie ihn jedes Mal unterschreiben müssen, wenn Sie wieder einsteigen müssen.

Die Sicherheitsanfälligkeit besteht darin, dass Sie wissen, dass die Person, der Sie Zugriff gewähren, zugelassen werden soll.


Linux ist wie eine Militärbasis

Sie müssen die Sicherheitskontrolle bestehen, um das Tor zu betreten, aber Sie benötigen auch Rang / Titel, um Zugang zu Teilen der Basis zu erhalten. Zum Beispiel können Sie nicht auf das Flugfeld gelangen, wenn Sie kein Pilot sind (und kein überlegener Offizier), und Sie können nicht in das U-Boot gelangen, wenn Sie kein Unteroffizier sind.

Stellen Sie sich das Root-Konto als den General vor. Er braucht keine Erlaubnis, um irgendwohin zu gehen, weil er der überlegenste Offizier auf der Basis ist. Aus diesem Grund möchten Sie Ihren General nicht herumlaufen lassen, um nur jemanden in die Basis zu lassen (weil er ohne Frage gehorcht wird).

Der Trick mit Linux ist, mach dich nicht zum General. Machen Sie sich zu einem kleinen Offizier, der seine Arbeit pflichtbewusst erledigt. Wenn der kleine Offizier dann feststellt, dass er einige zusätzliche Ressourcen benötigt, um seine Arbeit zu erledigen, aktualisieren Sie ihn vorübergehend (der Befehl für erhöhte Berechtigungen in Linux ist sudo, das temporären Root-Zugriff gewährt), um die Dinge in Bewegung zu setzen und zu rütteln.


In Wirklichkeit verwenden Linux und Unix dasselbe Sicherheitsmodell für Berechtigungen. Macs unterteilen das System einfach nicht wie Linux, um es benutzerfreundlicher zu machen.

Das Hauptproblem bei all diesen Systemen ist, dass die Diebe, sobald sie einen Weg gefunden haben, eine Hintertür schaffen können, durch die sie später wieder einsteigen können, ohne die Sicherheitskontrolle durchlaufen zu müssen.

Das einzig wirklich sichere System, was die Sicherheit angeht, wäre ein ausgefeilteres System. Gehen Sie am Ende eines jeden Tages auf den Tagesanfang zurück. Dies entspricht der Sandbox-Virtualisierung . Jedes Mal, wenn Sie das Betriebssystem laden, wird eine neue, unverfälschte Kopie geladen. Es gibt keine Hintertüren, da das Betriebssystem auf den Zustand zurückgesetzt wird, in dem es war, bevor die Diebe eingestiegen sind. Es gibt Einschränkungen für diese Methode, aber sie sind zu detailliert / komplex, um hier behandelt zu werden.


Der Trick, den die meisten Leute (einige bequemerweise) übersehen, ist. Sobald Sie jemanden in das Gebäude gelassen haben und ihm Zugriffsrechte gewähren, können er andere einlassen. Lassen Sie den Mann, der das schwarz-weiß gestreifte Hemd trägt (und in einigen Fällen das kleine Mädchen mit dem quantenmechanischen Buch), nicht ein die Haustür an erster Stelle. Mit Ausnahme des flippigen Hühnertanzes können sie nur reinkommen, wenn Sie es zulassen.

Das Problem bei Virenscannern ist, dass sich die Leute zu sehr auf sie verlassen. Bedenken Sie, dass weder Ihre aktiven noch Ihre passiven Scanner etwas über den Funky Chicken Trick wissen. Sie haben einfach einen Bösewicht in Ihr System gelassen. Wenn Sie Glück haben, wird er etwas tun, das die Aufmerksamkeit des passiven Scanners auf sich zieht. Wenn Sie kein Glück haben, wird er von Schatten zu Schatten in Ihrem System wandern und Chaos anrichten, und Sie werden nicht einmal wissen, dass er da ist.

0-tägige Software-Schwachstellen (bekannte Softwarefehler, die eine Sicherheitslücke aufdecken, die noch nicht behoben wurde) entsprechen dem funky Chicken Dance. Microsoft ist auch nicht die einzige Partei, die dafür die Schuld trägt. Ich habe einen Adobe Flash-Hack gesehen, der mein System in <15 Sekunden irreparabel zerstört hat.

Windows / Linux hat in der Regel nicht das Problem von Funky Chicken, da Sie Ihre Zugriffsrechte (Keycard, Rang) überall im System haben.

Ein Rootkit ist so, als hätte einer dieser Typen Ihren leitenden Sicherheitsbeauftragten entführt, ihn in den Schrank gesperrt und sich als er ausgibt. Mit dem Rang eines Sicherheitschefs hat er die Macht, jemanden einzustellen / zu entlassen und die Politik nach Belieben zu ändern. Wenn sie zu ihm kommen, sind Sie wirklich verrückt, weil er das gesamte Sicherheitspersonal entlassen oder Richtlinien implementieren kann, die das Sicherheitspersonal zwingen, zu ihren Füßen zu starren und sich auf ihre Hände zu setzen, wenn die Gefahr besteht, gefeuert zu werden. Dh du willst wirklich nicht, dass dieser Kerl kompromittiert wird.

Ich hoffe das hilft.

Evan Scholle
quelle