Clever Geek Handbook

たわごとと剣

ここでは、このすべての闘争(ウイルス対策オフィス、悪意のあるウイルスおよびトロイの木馬メーカー)を見て、状況は鶏についての冗談に似ていることを理解しています(オンドリからあまり速く走らないでください)。



説明してみましょう。あるコメントで、私は良いフレーズをスパイしました。エンドユーザーは、とにかく、攻撃者に、またはウイルス対策のために、彼のお金を与えます。 最終的に、お金がすべてを支配します、こんにちは、資本主義! 誰も署名なしで動作するプロアクティブなアンチウイルスを作成することに興味はありません-アンチウイルスプログラムは何を販売しますか? 明らかな異議を予想して、私は明らかにします:行動分析のためのルールの絶えず更新されたデータベースなしで機能するアンチウイルス。





今日は何がありますか? マルウェアの2つの大きなクラス:質量(Zeus、ZeroAccess、Salityなど)およびAPT(読み取り、特定のタスク用に作成されたマルウェア)。 ウイルス対策製品の主な購入者は誰ですか? そうです、大企業。 巨大なものはすでに検出されているため、APTクラスの脅威がまさにそれらに主な損害をもたらします。 そして今、注意-誰があなたに新しい回避策(APTが実際に基づいているか)の追跡を阻止しているのですか?



もちろん、Richterの本にコードを埋め込む(注入する)ことはできません(アンチウイルスはそれをキャッチしますが、バイトのおかげです)。 今日の最も一般的な2つの手法は、CreateProcess / MapViewOfSection / QueueUserAPC / ResumeThreadとShell_TrayWnd / SetWindowLong / SendNotifyMessageです。 ちなみに、それらは2009年(およびそれ以前)以降、狭い範囲のトロイの木馬で知られています。 誰が彼らが明らかにされて閉じられるのを防いだ-これは暗闇に覆われた謎です。



簡単な例:中断状態で実行することでsvchost.exeに注入する-svchost.exeを常に他のユーザーに代わってではなくシステムアカウントから開始するという積極的なルールを作成するのは本当に難しいですか? APTが存在する理由は、ウイルス対策開発者がそれをすべてドラムの奥深くに持っているからです。 動作原理は異なります-10万台のコンピューターに感染が発生し、署名を追加します。また、アクティベーションを微調整するものは何もないため、感染は多くのリソースとメモリを消費します。



アンチウイルスアナリストは、「くそー、それはどういうことだろう」という考えで、別のAPT脅威の解析に忙しいという印象を受けます。 彼らは、あらゆるアンチクワット、バスマ、デイジュラバがさまざまな新しいトリックでベルやホイッスルを駆け巡り、定期的に報告会を手配していることを知らないようです。



どうやら、ウイルス対策のお金は、コンピューターをコンピューター感染から保護するためではなく、誤ったセキュリティの感覚のために支払われます。



別のサイバースパイ企業に関する各レポートは次の言葉で始まります。匿名を希望する企業が注文した調査の結果、「専門家」はN年間続いた新しいマルウェアを発見しました(Nは平均2から5まで変化します)。 つまり、APTはアンチウィルス(論理的)によって検出されず、手動で検出されます。 そして、これらの自慢のプロアクティブ技術はどこにありますか?



注のポイントの1つは次のとおりです。ウイルス対策オフィスがマーケティングヌードルを提供する期間はどれくらいですか。 たぶん報告書をスタイルで書くよりも、仕事に取りかかる価値があるかもしれません(敵のキャンプで何が起こっているかを常に監視する)。



サンドボックスのファンへの特別な挨拶。サンドボックスはロシアの民主主義の父を救うと彼らは私に言った。 ただし、ユーザーが実行できることはすべて、ユーザーが実行するプログラムによって行われるという原則を忘れないでください。 分離のトピックに特に興味がある人のために-Joana RutkovskayaのQubes OSプロジェクトをご覧ください。



利便性とセキュリティの間には常に矛盾があり、安全であるほど不快です。 独裁と民主主義との類推はすぐに懇願します。 ウイルス対策プログラムがWindowsのようなスタイルのセキュリティ(これは禁止されていませんが許可されています)で継続している限り、何も良いことは起こりません。



繰り返しますが、例:svchost.exeは、Windowsの更新プログラムが通過するため、信頼できるアプリケーションにあります。 それでは、次は何ですか? はい、Microsoftサーバーのみが入ることを許可するルールを作成してください! しかし、いいえ、wsusを介して企業ネットワーク内で更新された場合はどうなりますか? したがって、Sophosはここでルールを設定します。デフォルトでは、Sophosはそれ自体の更新さえ許可しません(ルール自体を規定する必要があります)。



私は、実行中のアプリケーションのホワイトリストを維持するイニシアチブに非常に面白かったです。 通常の管理者が何年もの間手作業で行ってきたこと、GUIに包まれ、新しいスーパーデュパーとしてイノベーションを広めました(そしておそらく彼らも特許を取得しました!) 10年前はどこにいましたか?



要約(約束番号2):ユーザーとの民主主義の再生を停止し、制限します。 そして、これを行うことを決定した製造業者は市場を引き裂くでしょう。 それまで、私たちは長い間、ある種の「オレンジ9月」についての次の作品を読むことを楽しみます。


More articles:


All Articles