Otázka:
Mohly antivirové programy po vytvoření nejen skenovat všechny soubory?
Heisenberg
2015-03-26 01:55:14 UTC
view on stackexchange narkive permalink

Mohly by antivirové programy nejen skenovat všechny soubory tak, jak jsou vytvořeny, místo toho, aby je používaly při skenování přístupu. Nebyl by tento druh přístupu mnohem sprostější?

co když se soubor upraví tak, aby se stal nebezpečným?
Pět odpovědi:
Adam Katz
2015-03-26 05:48:57 UTC
view on stackexchange narkive permalink

Ne, skenování na viry pouze v době vytvoření není bezpečné z několika důvodů:

  1. Heuristika antiviru a signatury se neustále aktualizují, takže něco může chybět při vytvoření, ale byl by chycen v době spuštění.
  2. Antivirový systém se nemusí načíst, když je soubor vytvořen:

    • Možná A / V byl dočasně deaktivováno z nějakého důvodu
    • Možná se jedná o vyměnitelnou jednotku a soubor byl vytvořen jinde
    • Možná byl systém zaveden do jiného operačního systému
  3. Zahrnuje „čas vytvoření“ úpravy?
  4. A co kód spuštěný in-line, který se nikdy nevytvoří jako soubor?

Existuje také více komplikované scénáře. Například: Získáte šifrované užitečné zatížení (obsahující virus). A / V to nemůže detekovat, protože to nemůže dešifrovat. Mnohem později dorazí druhý soubor. Tento soubor není technicky nebezpečný, ale dešifruje první soubor, který se poté spustí a infikuje váš systém. Jedná se o stále běžnější trik, jak se vyhnout detekci jak v tradičních A / V, tak v malwarových karanténách, jako je FireEye.

Systém, který hašuje soubory a kontroluje tyto hashe oproti aktuální službě reputace souborů, která by musela skenovat pouze neznámé hashe. Dokážou to cloudové sandboxové systémy, jako je Cisco AMP.

zápis njworm: https://www.fireeye.com/blog/threat-research/2013/08/njw0rm-brother-from-the-same-mother.html
@ ǝɲǝɲbρɯͽ, pěkné zjištění, to je skvělý příklad malwaru, který se šíří přes USB klíče (můj důvod č. 2, druhá odrážka). Tento zápis FireEye njworm vypadá dobře prozkoumaný a dobře prezentovaný.
Ano; Sám jsem viděl nějaký malware, začal psát a uvědomil jsem si, že to mohu vyhledat. Myslel jsem, že jejich zápis Houdini (H) RAT byl o něco lepší / měl to nejprve propojit, ale došel čas. https://www.fireeye.com/blog/threat-research/2013/09/now-you-see-me-h-worm-by-houdini.html Doufejme, že v tom zůstanou.
paj28
2015-03-26 02:38:12 UTC
view on stackexchange narkive permalink

Při čtení byste stále museli skenovat, kdykoli je nedůvěryhodný zdroj - vyměnitelné úložiště, síťové jednotky atd.

Pokud v zásadě skenujete soubory vždy při vytváření / úpravách, bylo by bezpečné číst místní soubory bez skenování. Nevím však o žádném softwaru pro stolní počítače, který by měl takové chování. Bylo by to vylepšení výkonu, ne kvůli bezpečnosti, protože máte (víceméně) stejná slepá místa v obou směrech.

Ve skutečnosti jsem toto chování viděl ve skutečných systémech: některé souborové servery dělají AV skenování pouze při zápisu. V takovém případě by skenování nemělo chránit server, ale spíše chránit klienty, kteří přistupují ke sdíleným složkám, v případě, že jejich AV na ploše něco chybí. Výkonové výhody zde mohou být značné, takže se to zdá být docela chytrý krok.

armani
2015-03-26 02:08:33 UTC
view on stackexchange narkive permalink

Ano, to by bylo velmi bezpečné. Stále nechá projít nějaké špatné věci, protože je stále založeno na podpisu, ale větší obavou je, že by to srazilo jakýkoli systém na kolena.

Pro svou práci analyzuji forenzní řešení pro infikované počítače a jsem v MFT a USN Journal a LOT . Soubory a mutexy se vytvářejí, mění a odstraňují neustále ze všech částí operačního systému. Spouštět každý jednotlivý objekt prostřednictvím AV enginu každou mikrosekundu každého dne je hrozný nápad.

nsn
2015-03-26 14:44:10 UTC
view on stackexchange narkive permalink

Tento přístup by mohl nějakým způsobem otevřít další vektor útoku. Pokud můžete spustit škodlivý kód, aniž byste byli nejprve na disku, spusťte jej z vyměnitelného média (kde infikovaný kód již existuje, a proto by nebyl zkontrolován), nebo spusťte zjevně škodlivý soubor. K šíření viru by stačilo vytvořit prázdný soubor a poté jej aktualizovat škodlivým kódem, který umožní budoucí spuštění (spuštění při spuštění, spuštění na žádost uživatele, spuštění při události jako spuštění atd.).

Virus by se pravděpodobně začal šířit ve dvou fázích. Nejprve jako zjevně dobrý soubor (1. druh přepravovaného hostitele), se škodlivým kódem skrytým šifrováním / cokoli jiného). Virus by pak vytvořil soubor a po aktualizaci škodlivým kódem (2. Kopírování virů).

Nikhil_CV
2015-09-16 13:22:36 UTC
view on stackexchange narkive permalink

Tento přístup / technika při AV skenování selže v případě méně infikovaných souborů, hrozeb založených na chování, infektorů souborů, únosců a zadních vrátek atd.

A ve skutečnosti je důležitý podpis založený na detekce hrozeb je stále nižší díky sofistikovaným technologiím podílejícím se na tvorbě, analýze, detekci hrozeb a také časové prodlevě mezi detekcí hrozeb a doručením podpisu.

Přestože skenování souborů při vytváření vylepšuje další techniky detekce , to má velmi nízkou úspěšnost jako samostatná technika.



Tyto otázky a odpovědi byly automaticky přeloženy z anglického jazyka.Původní obsah je k dispozici na webu stackexchange, za který děkujeme za licenci cc by-sa 3.0, pod kterou je distribuován.
Loading...