15-07-2006, 13:56
|
|
|
חבר מתאריך: 03.06.06
הודעות: 75
|
|
נקח אנטי-וירוס כלשהו. כל הוירוסים מתחלקים מבחינתו לשתי קבוצות: אלה שהוא מכיר ואלה שהוא לא מכיר.
וירוסים שהוא מכיר - אלה אותם וירוסים שכבר הגיעו למעבדה של יצרן שלו והוא הוסיף אותם לרשימות שאנטי-וירוס מעדכן מהאינטרנט. אם וירוס קיים ברשימות, אז אנטי-וירוס יתפוס אותו.
וירוסים שהוא לא מכיר - אלה אותם וירוסים שטרם הגיעו למעבדה. יש טכניקות מיוחדות לזיהוי וירוסים כאלה, כך שיש סיכוי שאפילו אם אנטי-וירוס לא מכיר וירוס מסוים, הוא עדיין יתפוס אותו. הטכניקות האלה מתחלקות לשני סוגים: הסוג הראשון יודע לזהות וירוסים כאלה עיי' זיהוי קוד חשוד, הסוג השני - ע''י זיהוי התנהגות חשודה של תכנית.
כמובן, הטכניקות לזיהוי וירוסים לא ידועים רחוקות מלהיות מושלמות. הן מזהות רק חלק מהווירוסים הלא ידועים. לפעמים חלק נורא קטן.
אז כשאתה רוצה לגלות איזה אנטי-וירוס תופס וירוסים טוב יותר, אתה בעצם צריך לענות על ארבע שאלות:
1. מי מכיר יותר וירוסים מתוך אלה שמסתובבים ברשת?
2. מי מצליח לזהות יותר וירוסים שהוא לא מכיר?
3. מעבדה של איזו יצרן מגיבה מהר יותר להופעת וירוסים חדשים? כלומר מי מוסיף אותם לרשימות מהר יותר (כדי להבטיח תפיסתם).
4. ממי יותר קל להסתיר וירוס? כלומר בהנתן וירוס שאנטי-וירוס כן מכיר, עד כמה קל לשנות אותו כך שהוא כבר לא יזהה אותו (כמובן הווירוס צריך להישאר פעיל לגמרי, אחרת זה לא חוכמה)?
עד כאן, המידע הכללי. אני קצת "חתכתי פינות", אבל זהי פחות או יותר התמונה. עכשיו נקשר את זה להשוואות.
1. http://www.av-comparatives.org/seit...sse_2006_02.php כאן לוקחים אוסף גדול של וירוסים שמסתובבים ברשת ובודקים מי מכיר יותר. אתה יכול לראות ששלושת המקומות הראשונים הם אצל Kaspersky, F-Secure ו-GData. אגב, למי שלא ידע, שלושת האנטי-וירוסים האלה מבוססים על אותו גרעין - הגרעין שפותח ע''י Kaspersky. עוד הערה: אל תלך שולל עם ההבדל באחוזים. נראה שההבדל בין, נגיד, 99% לבין 98% אחוז הוא לא גדול. אבל תזכור שהאוסף מכיל כמעט 250 אלף וירוסים. תחשב כמה זה אחוז אחד מהם...
2. http://www.av-comparatives.org/seit...sse_2006_05.php כאן לוקחים אוסף גדול של וירוסים, מכבים את הזיהוי לפי רשומות (כלומר כעת אנטי-וירוסים כאילו אינם מכירים אף וירוס) ובודקים כמה וירוסים יצליחו לזהות בלי להכיר אותם. חשוב חשוב חשוב!!! כאן בודקים רק טכניקה אחת - טכניקה לזיהוי קוד חשוד. הסיבה היא שטכניקה שנייה (זיהוי התנהגות חשודה) דורשת להפעיל את כל אחד מאלפי הווירוסים שבאוסף - הדבר דורש זמן ומאמץ... לכן אין להסתכל על השוואה זו כעל תשובה מלאה על שאלה 2 שלנו.
כפי שאתה יכול לראות, כאן המקום הראשון הוא של NOD. הוא בהחלט אלוף בזיהוי קוד חשוד. Kaspersky בינתיים לא מוצלח מבחינה זו. אבל בסתיו הקרוב הם יוציאו מנתח חדש שאמור לשפר מצב זה בהרבה (המנתח יהיה נגיש בחינם לכל משתמשי Kaspersky, התקנתו כנראה לא תדרוש אפילו אף פעולה מהמשתמשים).
אבל הנה בא ההבדל הענק בין גרסא 5 לגרסא 6! גרסא 6 מכילה גם מנתח לזיהוי התנהגות חשודה. נכון להיום, לא הרבה אנטי-וירוסים בשוק יודעים להשתמש בטכניקה הזאת (NOD לא יודע להשתמש בה, אגב). Kaspersky 6 כן יכול. והנה התוצאה: http://www.av-comparatives.org/seit...V6_PDM_test.PDF. כפי שאתה יכול לראות, זיהוי התנהגות יעיל יותר מזיהוי הקוד... אבל יש פה כמה הערות. קודם כל, זיהוי התנהגות דורש לפעמים מקצועיות מהמשתמש - לפעמים הוא יכול לשאול אותך שאלה, ואתה תחליט. זה כמובן תלוי בהגדרות. אתה יכול להגיד מראש שאתה לא רוצה להתעסק עם השאלות שלו, ואז הוא יצעק רק במקרים הכי חשודים. חוץ מזה, יכול להיות מצב בו זיהוי ע''י קוד חשוד יזהה מה שזיהוי יתנהגות לא יזהה, למרות שבדרך כלל המצב דווקה הפוך.
עד כאן שתי השאלות הראשנות. יצא הרבה מדי, לכן על שאר השאלות אני אענה מהר, ותצטרך להאמין לי =)
3. Kaspersky הוא אלוף מוכר בזמן תגובה להופעת וירוסים חדשים. במעבדה שלו מוציאים עדכונים כל שעה. מוציאים אותם גם בלילה, וגם בשבת ובחגים (אולי בלילה לא כל שעה...=)). Kaspersky הוא תמיד בין הראשונים שמוסיפים וירוס חדש לרשימות. יש השוואות שמראות את זה היטב. אתה כבר יכול להסיק לבד למה זה טוב ועד כמה זה חשוב.
4. Kaspersky הוא גם אלוף מוכר בזיהוי וירוסים שניסו להחביא אותם. לא אכנס לפרטים של "איך מחביאים וירוסים", אבל כעקרון הטכניקה הידועה היא שימוש במה שנקרא PE-Packer. כתוצאה משימוש אתה מקבל קובץ פעיל לחלוטין, אבל יותר קטן. כלומר התוכן של הווירוס משתנה, וכבר לא יכולים לזהות אותו סתם ע''י אותם רשימות כמו קודם. אז או שמנסים לזהות קוד חשוד או התנהגות חשודה - זה יכול להצליח, אבל במקרים רבים מאוד זה לא מצליח; או שפשוט מלמדים אנטי-וירוס לזהות שימוש ב-PE-Packer, לשחזר קובץ מקורי ואז כבר לסרוק אותו. אז Kaspersky הוא אלוף ידוע בשימוש בשיטה האחרונה. הוא מכיר הרבה מאוד PE-Packers ויודע לשחזר היטב את הקבצים המקוריים, לכן בשיטה זו קשה להחביא וירוס מ-Kaspersky.
לגבי NOD... ה-PE-Packers הם הבעיה הידועה שלו. הוא די גרוע בהם. אגב, כמו רוב האנטי-וירוסים בשוק, לצערי.
_____________________________________
Dmitry Perets
Gold Beta Tester, Kaspersky Lab
נערך לאחרונה ע"י Dmitry Perets בתאריך 15-07-2006 בשעה 14:08.
|