Я нашел этот вопрос, который немного подробно объясняет, как именно работают антивирусные программы. Но я только что попросил клиента спросить меня об этом, и я действительно не мог дать ему хороший, простой, легкий для понимания ответ. Лучшее, что я мог придумать, - это то, что у каждого вируса есть определенный "отпечаток", и программное обеспечение сканирует их в известных зараженных областях.
Как мне объяснить это простым и понятным способом?
Механизм обнаружения или как они на более глубоком уровне?
Когда люди говорят мне о том, как вредоносное ПО попало на их компьютер, и почему не всегда возможно удалить его, когда оно находится в системе, и почти все, что связано с вредоносным ПО, я всегда отвечаю комбинацией / подобной этой метафоре:
(И когда я записываю это, я должен немного походить на идиота, но я надеюсь, вам понравится!)
Представьте, что ваш дом - это компьютер, антивирусная программа - это несколько разных механизмов безопасности.
Представьте себе вышибала на вашей входной двери - любой, кто входит в дом (файлы поступают на вашу машину), проходит через него, и он проверяет, что они чисты *. Если он находит что-то плохое, он обычно дает вам выбор того, что делать.
Представьте себе внутреннюю группу безопасности, которая наблюдает за каждым (активными процессами) в вашем доме, за любым объектом (файлом), к которому они прикасаются, проверяется, чтобы убедиться, что они чисты *
Когда больше нечего делать или вы выбираете, вы можете попросить команду безопасности проверить все объекты в доме, чтобы убедиться, что они защищены от последних угроз.
В то время как безопасность вашего дома всегда будет делать все возможное, ничто не является эффективным на 100%. Когда кто-то находится в доме, если его не остановили, он может делать все, что захочет. Хотя после них можно убирать и, в большинстве случаев, отменить весь ущерб ... они могли оставить позади свою собственную команду безопасности, которая мешает вашей собственной.
`* Как сказал Рэндольф в своем ответе, обычно это смесь отпечатков пальцев и эвристики)
Кажется, я не могу его найти, но у Microsoft был документ API о создании программного обеспечения AV, я могу найти только ссылку на руководство по MS Office/IE API. Я предполагаю, что из-за поддельных наборов AV/Root они удалили эту информацию.
(Также у Symantec есть интересная статья для дальнейшего чтения)
Редактировать - только что нашел интересующий вопрос переполнения стека ... Как антивирус Windows подключается к процессу доступа к файлам?
Они работают на нескольких уровнях, в том числе:
Как вы указали, определение отпечатка пальца, которое проверяет наличие подписи активности или файла, которые соответствуют базе данных
Подозрительное поведение, например, загрузочный сектор изменяется чем-то, что не распознается, или память перезаписывается процессом, который не должен иметь доступа
Обнаружение руткитов, которое требует, чтобы AV запускался почти как сам вирус (* именно поэтому AVG, например, не любит ComboFix - он делает вещи, которые неотличимы от поведения вируса), в том смысле, что он должен скрывать себя от руткита.
Это, конечно, не полный список, и я приветствую изменения в ответе.
Ваша операционная система - это здание, а вирус - вор
Windows это офисное здание
В то время как всем разрешено входить и выходить, они должны проходить через охрану, где их сумки проверяются, и они проходят рентген. Это было бы эквивалентом активного сканера. Все проверено, поэтому есть небольшая вероятность того, что что-нибудь пройдет через входную дверь.
По всему объекту есть камеры и охранники, которые следят за ними для поиска подозрительных действий. Это пассивное сканирование. Охранники довольно хорошо выявляют обычное вредное поведение, потому что они проводят целый день, наблюдая за людьми.
Кикер в том, что если вы исполняете прикольный танец с курицей через рентгеновский сканер, через который вы пройдете, вопросов не будет.
Инфекция идет так. Вор танцует в стиле фанк курица мимо охранника впереди. Как только они входят и берут то, что хотят, им просто нужно найти (или создать) заднюю дверь, чтобы выйти с товарами.
Если воры бесхитростны, пассивные сканеры поднят сигнал тревоги и отправят за ними охрану, но, если вы в последнее время смотрели "Одиннадцать океанов", вы поймете, что я имею в виду, когда говорю "не все воры бесхитростны". По сути, как только плохой парень проникнет внутрь, если он хорош, он будет знать, как избежать и подорвать вашу систему наблюдения, чтобы вы даже не знали, что он там. Тогда это бесплатная игра с вашими данными.
Еще хуже, они влиятельны. Они заводят друзей в вашей системе (заражают другие приложения), поэтому, даже если вам удастся дать им загрузку, они могут просто вызвать приятеля, чтобы позволить им вернуться обратно. Пассивные сканеры не просто следят за плохими парнями, они следят за поведением каждого, но они не идеальны.
Троян похож на скрытого вора, скрывающегося у одного из аварийных выходов. Если он слышит секретный стук одного из своих приятелей снаружи, он открывает дверь изнутри. Вы действительно не хотите, чтобы один из них в вашем здании, потому что они чрезвычайно талантливы.
Mac - это офисное здание, но с системой карточек-ключей
Когда вы входите в здание, вы должны войти в систему с охранником, чтобы получить пропуск. Но, как только вы окажетесь внутри, у вас будет свобода передвигаться по районам, где у вас есть разрешение на передвижение. Если вам нужно получить доступ к инвентарю компании, вам нужно снова войти в систему, чтобы продолжить проход на более высоком уровне. Каждый раз, когда вы покидаете уровень безопасности, вы теряете свой пропуск, поэтому вам придется подписываться на него каждый раз, когда вам нужно вернуться обратно.
Уязвимость здесь, убедитесь, что вы знаете, что лицо, которому вы предоставляете доступ, должно быть допущено.
Линукс как военная база
Вы должны пройти безопасность, чтобы войти в ворота, но вам также нужен ранг / звание, чтобы получить доступ к частям базы. Например, вы не можете попасть на аэродром, если вы не пилот (и не старший офицер), вы не можете попасть на подводную лодку, если вы не вспомогательный парень.
Думайте об учетной записи root как об общем. Ему не нужно разрешение никуда идти, потому что он самый старший офицер на базе. Следовательно, вы не хотите, чтобы ваш генерал ходил и пускал кого-либо на базу (потому что он будет подчиняться без вопросов).
Уловка с Linux состоит в том, что не делайте себя Генералом. Сделайте себя мелким офицером, который покорно выполняет свою работу. Затем, когда этот младший офицер обнаруживает, что ему нужны дополнительные ресурсы для выполнения своей работы, временно обновите его (команда для повышенных привилегий в linux - sudo, которая предоставляет временный root-доступ) до General, чтобы все пошло и пошатнулось.
В действительности Linux и Unix используют одну и ту же модель безопасности для привилегий. Маки просто не разделяют систему, как Linux, чтобы сделать ее более удобной для пользователя.
Основная проблема всех этих систем заключается в том, что, как только воры найдут выход, они могут создать заднюю дверь, чтобы вернуться позже без необходимости проходить через охрану.
Единственная действительно безопасная система безопасности - иметь более сложную систему. Мол, вернитесь во времени к началу дня в конце каждого дня. Это эквивалентно виртуализации в песочнице. Каждый раз, когда вы загружаете ОС, она загружает свежую, не поврежденную копию. Бэкдоров не будет, потому что ОС вернется в состояние, в котором она находилась до того, как воры попали в нее. У этого метода есть ограничения, но они слишком подробны / сложны, чтобы их здесь описывать.
Уловка, которую пропускает большинство людей (некоторым удобно). Когда вы впускаете кого-то в здание и предоставляете им права доступа, они могут впускать других. Поэтому не позволяйте парню в черно-белой полосатой рубашке (а в некоторых случаях маленькой девочке с книгой по квантовой механике) входить в первую очередь. За исключением фанки куриного танца, они не могут войти, если вы не позволите им.
Проблема со сканерами вирусов в том, что люди слишком на них полагаются. Учтите, что ни ваши активные, ни пассивные сканеры не знают о странном трюке с курицей. Вы просто свободно впустили плохого парня в свою систему. Если вам повезет, он сделает что-то, что привлечет внимание пассивного сканера. Если вам не повезет, он переместится из тени в тень в вашей системе, что приведет к хаосу, и вы даже не узнаете, что он там.
0-дневные уязвимости в программном обеспечении (известные программные дефекты, обнажающие дыру в безопасности, которая еще не была исправлена) - это что-то похожее на броский танец с курицей. Microsoft не единственная сторона, виновная в этом; Я видел, как взломанный Adobe Flash прошел через мою систему и не подлежит ремонту менее чем за 15 секунд.
Windows/Linux, как правило, не имеют проблем с курицей, потому что вы несете свои права доступа (keycard, rank) везде, где бы вы ни находились по всей системе.
Руткит подобен тому, как один из этих парней похитил вашего офицера службы безопасности, запер его в шкафу и выдал себя за него. Имея звание главы службы безопасности, он может нанять / уволить любого и изменить политику по своему усмотрению. Если они доберутся до него, вы действительно облажались, потому что он может уволить весь персонал службы безопасности или проводить политику, которая заставляет сотрудников службы безопасности смотреть на их ноги и сидеть на своих руках в связи с угрозой увольнения. То есть. Вы действительно не хотите, чтобы этот парень был скомпрометирован.
Надеюсь, это поможет.
Я несколько раз был в состоянии сказать людям, что им нужно AV-программное обеспечение, в то же время отгоняя добровольную "экспертную" критику, что AV-программное обеспечение "бесполезно", потому что новые незащищенные вирусы не будут остановлены, и, как говорит Уил, они могут оставить все позади это делает настоящую очистку невозможной.
Я думаю, что важно, чтобы не супер-пользователи понимали эти два последних пункта, но не думали, что программное обеспечение AV бесполезно. Им также необходимо понять третий момент: необходим тщательный план резервного копирования, ориентированный на «очистку ядра от орбиты, это единственный способ убедиться» в очистке системы, когда ОС переустанавливается из известных надежных резервных копий.
