Como faço para explicar como a proteção antivírus funciona para um usuário que não seja superusuário?

12

Eu encontrei esta pergunta que explica um pouco em detalhes de como os softwares antivírus funcionam exatamente. Mas eu acabei de pedir a um cliente que me perguntasse isso, e eu realmente não poderia dar a ele uma resposta boa, simples e fácil de entender. A melhor coisa que eu consegui fazer foi que cada vírus tem uma "impressão digital" específica e o software procura em áreas infectadas conhecidas por eles.

Como eu explico isso de uma forma simples e fácil de entender?

James Mertz
fonte
1
Boa pergunta. Eu coloquei uma resposta desajeitada na esperança de que possamos construir sobre ela.
Lendo ... encrypted.google.com/…
Moab
Lembra-me da discussão sobre "virtualização ... para a sua namorada": P
nhinkle
"Você não é perfeito, o sistema operacional certamente não é perfeito. A falta de perfeição leva a muitos problemas."
tobylane
1
@ muntoo, sim, meu isp não pode mais ver o que eu procuro.
Moab

Respostas:

10

Mecanismo de detecção ou como eles estão em um nível mais profundo?

Quando as pessoas me dizem como o malware entrou em sua máquina e por que nem sempre é possível removê-lo quando ele está no sistema, e praticamente qualquer coisa relacionada a malware eu sempre respondo com uma combinação / similar a essa metáfora:

(E quando eu escrevo, eu devo parecer um idiota, mas eu espero que você goste!)

Imagine que a sua casa é o computador, um programa antivírus tem vários mecanismos de segurança diferentes.

Download / criação de novos arquivos:

Imagine um segurança em sua porta da frente - qualquer pessoa que esteja entrando na casa (arquivos entrando na sua máquina) passa por ele e ele checa se estão limpos *. Se ele encontra algo ruim, ele geralmente lhe dá a opção do que fazer.

Scanner ativo

Imagine uma equipe de segurança interna observando todos (processos ativos) em sua casa, qualquer objeto (arquivo) que eles tocam é examinado para garantir que estejam limpos *

Varredura passiva / manual

Quando não há mais nada a fazer, ou você escolhe, você pode fazer com que a equipe de segurança verifique todos os objetos da casa, apenas para ter certeza de que eles estão limpos contra as ameaças mais recentes.

Rootkits / uma vez infectados

Embora a segurança da sua casa sempre faça o seu melhor, nada é 100% eficaz. Uma vez que alguém esteja na casa, se eles não forem parados, eles podem fazer o que quiserem. Embora seja possível limpá-los e, na maioria dos casos, desfazer todos os danos ... eles podem deixar sua própria equipe de segurança para trás e interferir com a sua.

`* Como Randolph disse em sua resposta, normalmente é uma mistura de impressão digital e heurística .

Eu não consigo encontrá-lo, mas a Microsoft costumava ter um documento de API sobre a criação de software AV, só posso encontrar um link para o guia MS Office / IE API . Eu estou supondo que devido a falsos AV / Root kits, eles removeram esta informação.

(Além disso, a Symantec tem um artigo interessante para ler mais)

Edit - Apenas encontrei uma intersting Stack Overflow Question ... Como um antivírus do Windows se conecta ao processo de acesso a arquivos?

William Hilsum
fonte
5

Eles operam em vários níveis, incluindo:

  • A definição de impressão digital, como você declarou, que verifica assinaturas de atividades ou arquivos que correspondem a um banco de dados

  • Comportamento suspeito, por exemplo, o setor de inicialização é modificado por algo que não é reconhecido ou a memória é sobrescrita por um processo que não deveria ter acesso

  • Detecção de rootkit, que requer que o AV seja executado quase como um vírus em si (* é por isso que o AVG não gosta do ComboFix, por exemplo - faz coisas que são indistinguíveis do comportamento do vírus), pois ele precisa se esconder do rootkit.

Esta certamente não é uma lista completa, e eu agradeço a edição da resposta.

user3463
fonte
3
"Congratulo-me com edições para a resposta" Por que não torná-lo CW então?
Olá71
1

Eu já estive várias vezes em posição de dizer às pessoas que elas precisam de software antivírus enquanto se defendem de críticas "especializadas" de que o software antivírus é "inútil" porque novos vírus não-impressos não seriam parados e, como Wil diz, eles podem deixar as coisas para trás Isso faz com que a verdadeira limpeza seja impossível.

Eu acho que é importante que os usuários não-super entendam esses dois últimos pontos, mas não pensem que o software antivírus é inútil. Eles também precisam entender um terceiro ponto, que um plano de backup cuidadoso é necessário com um olho em "Nuke-lo da órbita, é a única maneira de ter certeza" de limpeza onde o sistema é limpo e o sistema operacional é reinstalado a partir de backups bons conhecidos.

mcgyver5
fonte
1

Seu sistema operacional é um prédio e o vírus é um ladrão


Windows é um prédio de escritórios

Enquanto todos têm permissão para entrar e sair, eles precisam passar pela segurança, onde suas malas são verificadas e passam por um raio-x. Isso seria o equivalente de um scanner ativo . Tudo é verificado, então há uma pequena chance de que qualquer coisa seja levada pela porta da frente.

Em toda a instalação, câmeras e seguranças os monitoram para procurar atividades suspeitas. Esta é a varredura passiva . Os guardas de segurança são muito bons em identificar comportamentos maldosos comuns porque passam o dia todo observando as pessoas.

O kicker é, se você fizer a dança do frango através do scanner de raios-x, sem perguntas.

Uma infecção é assim. O ladrão faz a galinha funky dançar além da guarda na frente. Uma vez que eles estão dentro e pegue o que eles querem, eles só precisam encontrar (ou criar) uma porta dos fundos para sair com as mercadorias.

Se os ladrões não forem sofisticados, os scanners passivos irão disparar um alarme e enviar segurança depois deles, mas, se você assistiu Oceans Eleven ultimamente, você saberá o que quero dizer quando digo "nem todos os ladrões são pouco sofisticados". Essencialmente, uma vez que um bandido entre, se ele é bom, ele saberá fugir e subverter o seu sistema de vigilância para que você nem saiba que ele está lá. Então é jogo livre com seus dados.

Ainda pior, eles são influentes. Eles fazem amigos dentro do seu sistema (infectam outros aplicativos), então, mesmo que você tenha sucesso em dar o boot, eles podem apenas chamar um amigo para deixá-los entrar. Os scanners passivos não apenas vigiam os caras maus, eles observe o comportamento de todos, mas eles não são perfeitos.

Um Trojan é como um ladrão escondido escondido por uma das saídas de emergência, se ele ouve uma batida secreta de um de seus amigos do lado de fora, ele abre a porta por dentro. Você realmente não quer um desses em seu prédio porque eles são extremamente talentosos.


Um Mac é um prédio de escritórios, mas com um sistema de cartão-chave

Depois de entrar no prédio, você precisa entrar com o guarda para obter seu passe. Mas, uma vez em você, você tem liberdade para se mover pelas áreas onde você tem permissão para vagar. Se você precisar acessar o inventário da empresa, precisará fazer login novamente para que um passe de nível superior continue. Toda vez que você deixa um nível de segurança, você perde seu passe, então você precisa assinar para ele sempre que precisar voltar.

A vulnerabilidade aqui é, certifique-se de saber que a pessoa que você está dando acesso deve entrar.


Linux é como uma base militar

Você tem que passar a segurança para entrar no portão, mas você também precisa de classificação / título para obter acesso a partes da base. Por exemplo, você não pode entrar no campo aéreo se você não é um piloto (e não é um oficial superior), você não pode entrar no submarino se você não for um submisso.

Pense na conta raiz como o General. Ele não precisa de permissão para ir a qualquer lugar porque é o oficial mais superior na base. Portanto, você não quer deixar o seu general sair por aí deixando apenas alguém na base (porque ele será obedecido sem questionar).

O truque com o Linux é, não faça você mesmo o General. Faça-se um oficial mesquinho que obedientemente faz o seu trabalho. Então, quando aquele oficial mesquinho descobrir que ele precisa de alguns recursos adicionais para realizar seu trabalho, atualize-o temporariamente (o comando para privilégios elevados no linux é sudo que concede acesso root temporário) ao General para fazer as coisas se mexerem.


Na realidade, Linux e Unix usam o mesmo modelo de segurança para privilégios. Os Macs simplesmente não compartimentam o sistema como o Linux faz para torná-lo mais fácil de usar.

O grande problema com todos esses sistemas é que, uma vez que os ladrões consigam entrar, eles podem criar uma porta dos fundos para voltar mais tarde sem ter que passar pela segurança.

A única segurança realmente segura do sistema seria ter um sistema mais sofisticado. Tipo, volte no tempo para o começo do dia no final de cada dia. Isso é o equivalente à virtualização de sandbox . Toda vez que você carrega o sistema operacional, ele carrega uma cópia nova e não adulterada. Não haverá backdoors porque o SO será colocado de volta no estado em que estava antes dos ladrões entrarem. Existem limitações para esse método, mas elas são muito detalhadas / complexas para serem abordadas aqui.


O truque que a maioria das pessoas (algumas convenientemente) ignora é. Uma vez que você deixe alguém entrar no prédio e lhes dê privilégios de acesso, eles podem deixar os outros entrarem. Então, não deixe o cara usar a camisa listrada de preto e branco (e, em alguns casos, a menina com o livro da mecânica quântica). a porta da frente em primeiro lugar. Com exceção da dança da galinha, eles não podem entrar a menos que você os deixe.

O problema com os scanners de vírus é que as pessoas dependem muito deles. Considere que nem os seus scanners ativos ou passivos sabem sobre o truque da galinha. Você acabou de deixar um cara mau em seu sistema. Se você tiver sorte, ele fará algo que desperte a atenção do scanner passivo. Se você não tiver sorte, ele vai se mover de sombra em sombra dentro do seu sistema causando estragos e você nem vai saber que ele está lá.

Vulnerabilidades de software de 0 dia (defeitos de software conhecidos que exponham uma falha de segurança que ainda não foram corrigidas) são o equivalente à dança de galinha. A Microsoft também não é a única parte a ser culpada por isso; Eu vi um Adobe Flash hackear e destruir meu sistema sem conserto em <15 segundos.

Windows / Linux tendem a não ter o problema da galinha funky, porque você carrega seus privilégios de acesso (keycard, rank) em todos os lugares que você vá através do sistema.

Um rootkit é como ter um desses caras seqüestrar seu agente de segurança executivo, trancá-lo no armário e se passar por ele. Com o posto de chefe de segurança, ele tem o poder de contratar / demitir alguém e mudar a política a seu bel-prazer. Se eles chegarem até ele, você está realmente ferrada porque ele pode demitir toda a equipe de segurança ou implementar políticas que forcem a equipe de segurança a olhar para os pés deles e ficar de braços cruzados com a ameaça de serem demitidos. Ie. você realmente não quer que esse cara seja comprometido.

Espero que isso ajude.

Solha de Evan
fonte