web-dev-qa-db-ja.com

VirusTotalのAVスキャナーはファイルが悪意のあるものかどうかをどのようにチェックし、そのレポートはどの程度信頼できるのですか?

だから私は人々がウイルスではないことを証明するためにファイルのウイルス合計レポートを提供することを何度も見てきました

しかし、チェックしたところ、ファイルを送信してもアップロードしていません(帯域幅をチェックしました)、アップロードせずに何らかの方法でハッシュを計算しているだけです。10MBの実行可能ファイルは彼らのウェブサイトで「ロード」し、アップロード速度が30KB /秒であることを確認するために0.5秒! (ファイルの名前も変更しようとしましたが、まだ0.5秒しかかかりませんでした)

だから私は3つの質問があります:

  1. ファイルを送信すると、どのように速くアップロードされますか?私のファイルもアップロードされますか?そうでない場合、どのようにハッシュを計算しますか?

  2. ファイルのハッシュをAVスキャナーに送信するだけですか?もしそうなら、これはPE/ELFファイルを少し変更することで簡単にバイパスできることを意味しませんか?

  3. ファイルに対して静的または動的な分析を実際に実行して、その悪意があるかどうかを確認するより良い代替手段はありますか?

malwarevirusantivirusantimalware
7
OneAndOnly

ad 1: It doesファイルをアップロードしますが、ハッシュが不明な場合のみです。最初に、Javascriptが暗号化ハッシュ(正しく思い出せばSHA-256ですが、間違っている可能性があります)を計算して送信します。次に、エンジンはスキャンではなく、すでに行われたデータベースでハッシュを検索します。存在しない場合、または主張した場合にのみ、実際のファイルがアップロードされます。
これはどの程度安全ですか?ほぼ100%、またはそれに近づくことができます。あなたのファイルが既にスキャンされたファイルと同じハッシュを持っている可能性はありますがis n't同じファイルは小さいです。確かにまったくゼロではありませんが、それと同じくらい優れています。

ad 2:zeroヒットが報告された場合、「問題は見つかりませんでした」以外は、それ自体ではほとんどステートメントを作成しません。それが何をするか、それは約60-70の異なるスキャナーを実行します、それらのいくつかはよく知られていて、私が聞いたことがないものもあり、それらの出力を表示します。誤検出が含まれている場合もあれば、誤検出が含まれている場合もあります。ウイルススキャナーの実際の有用性については異議が唱えられていますが、悲しいかな、あなたが得ることができるほど優れています。少なくとも、ウイルススキャナはwell-knownの脅威を比較的よく検出します。
さらに、ユーザーが評価を付けることができるコミュニティのものがありますが、それはすべて、インターネット上の未知の男を信頼することに帰着します。

ad 3:ほとんどありません。最善の代替策は、不明な、または疑わしい起源のプログラムを実行しないことです。それ以外は茶葉を読んでいます。確かに、一部の人は他の人より茶葉をよく読んでいますが、彼らはまだ茶葉しか読んでいません。動的分析は存在しますが、ほとんどすべてのデスクトップAVソフトウェアに最近(プロキシライブラリを介してほとんどのシステムコールを実行する)がありますが、それが実際に大規模なCPUの書き込み以外に役立つかどうかは疑問です。ウイルス合計多分大量のスキャナーを実行する限り、いくらか良いです。それによって実際にセキュリティが向上するかどうかは不明です。考えてみてください:実行されているスキャナーが実際に価値があると仮定すると、そのうちの1つで十分です。一方で、彼らが彼らの塩の価値がない場合、それらのより多くを実行することによってどのような価値が追加されますか?古い知恵を引用:あなたが何も追加しない場合、合計はかなり小さいままです。または、Fidelioで述べられているように、「何も追加しない場合、何もない」。

おそらく信頼できるサイト、andからファイルを取得した場合、VTでzeroヒットすると、おそらく、通常はかなり安全です。ファイルを2週間保持し、2週間後に再度スキャンすると、さらに良いでしょう(その間に新しい脅威が知られる可能性があると仮定します)。それが私がやっていることであり、VirusTotalが存在する前にその数年をかけてきました-これまでのところ、それは非常にうまく機能しています(またはのように思われます機能しますについて知る)。最後に、あなたはnever確かに知っています。

動的分析について
それは起こっていません。 VirusTotalがどのような分析を行っているかは、その表示から推測できます。スキャンにかかる時間と、定義ファイルが常に同期しているわけではないため(実際、ほとんどの場合そうではない)、(コメントで示唆されているように)他のサービスへのハッシュの転送だけではありません。メーカーのツールで。また、Zipファイルを解凍して再パックすることもできます(ほとんどの場合、ファイルが同一ではなくなります)。これで問題なくスキャンされます。ハッシュだけが渡されている場合、それはどのように機能しますか?そうではありません...しかし、それはdoesです。それと、1つまたは別のスキャナーがアーカイブを開けないことがあるという事実は、実際のスキャンが行われていることを示しています。
シグネチャマッチングはevery AVが行うものであり、デフォルトで30年以上実行されているため、静的なシグネチャマッチングとヒューリスティックスキャンを実行し、ヒューリスティック分析が最も多い(すべてではないにしても)スキャナーもデフォルトで少なくとも20年間は動作します。

一方、動的分析が行われないことはかなり確実です。これは、Webサービスではそして非実用的が禁止されているためです。動的分析を行うには、バイナリを実行するための完全なオペレーティングシステムを提供し、無計画のメモリとCPUの要件に対応できる安全な環境(エミュレーター、仮想マシンなど)でバイナリを実行する必要があります。アプリオリの未知のプログラムの量。それは現実的ではありません。さらに、基本的にeverythingマルウェアサービスの実行VMの内部を実行できる、またはVMからの脱出が可能な不明なソフトウェアの実行には、無視できないリスクがあります。たとえば、Webブラウザーやメールクライアントが正しく機能するには、インターネットアクセスが必要です。 alsoインターネットアクセスを実行するマルウェアを許可せずに、それをどのように提供しますか? Google(VirusTotalの所有者)は、マルウェアサービスの実行で非難されるのを嫌がります。
最後に、確実に100%のカバレッジを確保する必要があります(そうでない場合、分析はかなり無意味です。マルウェアはプログラムの起動時に必ずしも機能しません)。したがって、人間または最先端のファジングロボットが必要です。プログラムに適切な入力を提供して、すべての可能な経路をとるようにする世界。おそらく1千万人ほどの人が毎日使用しているWebサービスの場合、それを実行してください。結果が出るまでに1〜2分以上待つのは誰にとっても幸運です。

5
Damon

ほぼすべてをカバーする以前の回答に追加するだけです-VirusTotalは、特にファイルが一般的にチェックされているか、最初は疑わしいと思われる場合、実際に動的分析を行うことがあります。彼らはこれを2017年に始めました、そしてあなたは彼らから直接それについてより多くの情報を得ることができます ここ 。 VirusTotalスキャンの[動作]タブに移動すると、チェックしたファイルに対して動的分析が実行されたかどうかを確認できます。

0
Nisala