دیسنا - وب سایت خبری و آموزشی آنتی ویروس ها


به گزارش دیسنا به نقل از کمپانی امنیتی وب روت ( Webroot ) ، مسلما خیلی از شما با VirusTotal آشنایی دارید.

سرویسی که امکان اسکن یک فایل یا URL را توسط چند آنتی ویروس یا اسکنر URL برای شما فراهم می‌کند.

نتایج Virustotal اغلب به منظور نشان دادن گستردگی قدرت تشخیص یک نمونه در شرح بدافزارهای جدید توسط انجمن AV مطرح می‌شود.



ما از طریق سیستم پشتیبانی و بر روی انجمن Webroot لینک‌هایی به نتایج Virustotal دریافت می‌کنیم.

فروم های پشتیبانی کامپیوتر نیز به کاربر پشنهاد می‌دهد فایلی را برای تشخیص اینکه فایل مخرب است یا خیر، ثبت کنند.

در صورتیکه طرز کار سرویس Virustotal و همچنین تفسیر نتایج آنرا بدانید، می‌تواند سرویس بسیار مفید و مثمر ثمری باشد.

برای این منظور، یکی از بهترین جاها برای شروع صفحه About برنامه و توجه به اعلان‌ها و قسمت ملاحظات می‌باشد.

من قبلا درباره اینکه نتایج تا چه اندازه‌ای می‌تواند ناسازگار باشند ، و این قضیه، زمانی که بیشتر درباره چگونگی عملکرد Virustotal آشنایی دارید، یک مقدار بیشتر حساسیت ایجاد می‌کند.

جهت ساده‌تر کردن موضوع ، به دلیل روش کار virustotal ، فایلهایی که در Virustotal اصلا تشخیص داده نمی‌شوند ممکن است در حقیقت توسط اسکنرهای وضعیت‌های دنیای حقیقی، تشخیص داده شده باشند و عکس این موضوع نیز صادق است.(دانستن طرز کار آن، همچنین باعث می‌شود راحتتر دریابید که چرا راه حل‌های بر اساس فضای ابری نسل جدید مثل Webroot SecureAnywhere بعنوان یکی از اسکنرها در VirusTotal مورد استفاده قرار نگرفته است.)

من نمونه هایی مشاهده کرده‌ام جاهایی که نشانه هایی از یک بدافزار جدید موجود است، VirusTotal به سختی تشخیص می‌دهد .

 در صورتکیه با نگاهی سطحی بر روی داده‌هایمان به سادگی می‌توان متوجه این مساله شد که ما نمونه موردنظر را در تاریخ ارائه آن ، مشاهده و شناسایی کرده‌ایم.

همچنین به کرات اتفاق افتاده که خود پروسه Webroot Secure Anywhere ما توسط اسکنرهای چندگانه در Virustotal شناسایی شده است. به گونه‌ای که VirusTotal به وضوح اظهار دارد: این سرویس به عنوان یک ابزار جهت انجام آنالیزهای مقایسه‌ای آنتی ویروس طراحی نشده است.

با این حال شاهد آن هستیم که همواره در طول زمان قدرت شناسایی نمونه جدید بدافزار را مورد اندازه‌گیری قرار می‌داده است.

زمانیکه به نتایج VirusTotal نگاه می‌کنیم دو فرضیه برای من ایجاد می‌شود.

اولین چیزی که من همیشه در ذهن داشتم این است که تمامی اسکنرها روی بالاترین درجه حساسیت اکتشافی خودشان تنظیم شده‌اند -که من اسم آن را روش های اکتشافی کلاه فویلی می‌گذارم- که باعث بوجود آمدن اشتباهات قطعی خیلی بیشتری می‌شود. دومین فرضیه این است که اسکنرها از تمامی حقوق شرکتی خودشان به جهت شناسایی برنامه‌های مختلف قانونی که ادمین ها نمی‌خواهند در شبکه شان وجود داشه باشد،

مثل ابزارهای ادمین یا ابزارهای دسترسی از راه دور، استفاده می‌کنند.

به مرور، شما بیشتر با برخی از متداول‌ترین روش های کشف و کنوانسیون های نامگذاری که توسط اسکنر های مختلف استفاده شده است آشنا می‌شوید که کمک شایانی به تفسیر آگاهانه نتایج می‌کند. مشابه هر ابزار دیگری، دانستن موارد استفاده و محدودیت‌ها باعث استفاده سودمندتر و موثرتر از آن می‌شود.

منبع :
Some notes on VirusTotal


دیسنا : پایگاه اطلاع رسانی امنیت اطلاعات ایران