اینٹیوائرس جانچ کے لئے ہم میلویئر کو کس طرح جمع کرتے ہیں

یہاں پی سی میگ میں ، جب ہم مصنوعات کا جائزہ لیتے ہیں تو ، ہم ان کو رنگوں کے ذریعہ رکھتے ہیں ، اس کی تصدیق کے ل all تمام خصوصیات کو استعمال کرتے ہیں اور وہ کام کرتے ہیں ، اور آسانی سے کام کرتے ہیں۔ بیک اپ مصنوعات کے ل، ، مثال کے طور پر ، ہم چیک کرتے ہیں کہ وہ فائلوں کا صحیح طرح سے بیک اپ لیتے ہیں اور بیک اپ سے بحال کرنا آسان بناتے ہیں۔ ویڈیو میں ترمیم کرنے والی مصنوعات کے ل we ، ہم وقت پیش کرنے جیسے عوامل کی پیمائش کرتے ہیں۔ ورچوئل پرائیوٹ نیٹ ورکس ، یا وی پی این کے ل contin ، ہم براعظم میں پھیلا ہوا کارکردگی کا امتحان چلاتے ہیں۔ یہ سب بالکل محفوظ اور آسان ہے۔ جب بات اینٹی ویرس ٹولز کی ہو تو چیزیں کچھ مختلف ہوجاتی ہیں ، کیوں کہ واقعی اس بات کی تصدیق کی ہے کہ ان کے کام کرتے ہیں ہمیں ان کو اصلی مالویئر کے تابع کرنا ہے۔

اینٹی میلویئر ٹیسٹنگ اسٹینڈرز آرگنائزیشن (اے ایم ٹی ایس او) خصوصیت کے چیک صفحات کا ایک مجموعہ پیش کرتی ہے ، تاکہ آپ اس بات کو یقینی بنائیں کہ آپ کا اینٹی وائرس میلویئر ، بلاک ڈرائیو بہ ڈاؤن لوڈوں ، فشنگ حملوں کو روکنے کے لئے کام کر رہا ہے۔ تاہم ، اس میں کوئی اصل میلویئر ملوث نہیں ہے۔ حصہ لینے والی اینٹی وائرس کمپنیاں صرف انٹی وائرس اور سیکیورٹی سوٹ پروڈکٹس کو اے ایم ٹی ایس او کے مصنوعی حملوں کا پتہ لگانے کے لئے تشکیل کرنے پر اتفاق کرتی ہیں۔ اور ہر سیکیورٹی کمپنی حصہ لینے کا انتخاب نہیں کرتی ہے۔

دنیا بھر میں اینٹی وائرس ٹیسٹنگ لیبز نے سخت حفاظتی ٹولوں کے ذریعے حفاظتی ٹولز لگائے اور وقتا فوقتا نتائج کی اطلاع دی۔ جب کسی پروڈکٹ کیلئے لیب کے نتائج دستیاب ہوتے ہیں تو ، ہم ان اسکور کو اس پراڈکٹ کے جائزے میں سنجیدہ وزن دیتے ہیں۔ اگر ہم ان چاروں لیبز کو جن کی پیروی کرتے ہیں تو وہ کسی مصنوع میں ان کی اعلی درجہ بندی دیتے ہیں ، تو یہ یقینی طور پر ایک بہترین انتخاب ہوگا۔

بدقسمتی سے ، ہم جن کمپنیوں کی جانچ کرتے ہیں ان میں سے بمشکل ایک چوتھائی ہی چاروں لیبز کے ساتھ حصہ لیتے ہیں۔ ایک اور سہ ماہی کا کام صرف ایک لیب کے ساتھ ، اور مکمل طور پر 30 فیصد ان چاروں میں سے کسی میں حصہ نہیں لیتے ہیں۔ واضح طور پر ، ہینڈ آن ٹیسٹ ایک لازمی امر ہے۔

یہاں تک کہ اگر لیبز نے ان تمام پروڈکٹس کے بارے میں اطلاع دی جن کو ہم نے احاطہ کیا ہے ، تب بھی ہم جانچ پڑتال کریں گے۔ کیا آپ اس مصنف کے کار جائزے پر بھروسہ کریں گے جس نے کبھی ٹیسٹ ڈرائیو تک نہیں لیا؟ Nope کیا.

دیکھیں کہ ہم اینٹیوائرس اور سیکیورٹی سافٹ ویئر کی جانچ کیسے کرتے ہیں

وسیع نیٹ کاسٹنگ

صرف اس لئے کہ پروڈکٹ کی اطلاع ہے ، "ارے ، میں نے میلویئر کا نمونہ پکڑا!" اس کا مطلب یہ نہیں ہے کہ یہ کامیاب تھا۔ در حقیقت ، ہماری جانچ میں اکثر ایسی مثالوں کا انکشاف ہوتا ہے جہاں اینٹی وائرس نے ایک مالویئر جزو پکڑا تھا لیکن دوسرے کو چلانے کی اجازت دی تھی۔ ہمیں اپنے نمونوں کا پوری طرح سے تجزیہ کرنے کی ضرورت ہے ، انھوں نے سسٹم میں کی جانے والی تبدیلیوں کو نوٹ کرتے ہوئے ، لہذا ہم تصدیق کر سکتے ہیں کہ اینٹی وائرس نے اس کے دعوی کیا تھا۔

آزاد لیبز میں محققین کی ٹیمیں ہیں جو جدید نمونوں کو جمع کرنے اور تجزیہ کرنے کے لئے وقف ہیں۔ پی سی میگ کے پاس سیکیورٹی کے صرف چند تجزیہ کار موجود ہیں ، جو میلویئر کو جمع کرنے اور تجزیہ کرنے سے کہیں زیادہ ذمہ دار ہیں۔ ہم سال میں ایک بار نمونے کے ایک نئے سیٹ کا تجزیہ کرنے کے لئے صرف وقت ہی بچاسکتے ہیں۔ چونکہ نمونے مہینوں تک استعمال میں رہیں گے ، بعد میں جانچ کی جانے والی مصنوعات کو وائل میں اسی نمونے کا پتہ لگانے میں زیادہ وقت کا فائدہ ہوسکتا ہے۔ کسی بھی غیر منصفانہ فائدہ سے بچنے کے ل samples ، ہم ان نمونوں سے شروع کرتے ہیں جو کئی مہینے پہلے نمودار ہوئے تھے۔ ہم اس عمل کو شروع کرنے کے لئے ، دوسروں کے علاوہ ، ایم آر جی ایففیٹس کے ذریعہ فراہم کردہ روزانہ کا کھانا استعمال کرتے ہیں۔

ایک ورچوئل مشین میں ، انٹرنیٹ سے منسلک لیکن مقامی نیٹ ورک سے الگ تھلگ ، ہم ایک سادہ افادیت چلاتے ہیں جو یو آر ایل کی فہرست لیتا ہے اور اسی نمونے کو ڈاؤن لوڈ کرنے کی کوشش کرتا ہے۔ بہت سے معاملات میں ، یو آر ایل اب بالکل درست نہیں ہے۔ اس مرحلے میں ، ہم 400 سے 500 نمونے چاہتے ہیں ، کیونکہ نمونے کے سیٹ کو ضائع کرنے کے بعد اس میں شدید کمی کی شرح ہے۔

پہلا ونؤننگ پاس فائلوں کو ختم کرتا ہے جو ناممکن طور پر چھوٹی ہیں۔ 100 بائٹس سے بھی کم کسی بھی چیز کا واضح طور پر ڈاؤن لوڈ کا ایک ٹکڑا ہے جو مکمل نہیں ہوا۔

اگلا ، ہم ٹیسٹ سسٹم کو انٹرنیٹ سے الگ کرتے ہیں اور ہر نمونے کو آسانی سے لانچ کرتے ہیں۔ کچھ نمونے ونڈوز ورژن میں عدم مطابقت یا فائلوں کی عدم موجودگی کی وجہ سے لانچ نہیں ہوتے ہیں۔ عروج پر ، وہ چلے گئے دوسرے تنصیب کی ناکامی یا کسی اور مسئلے کی نشاندہی کرنے میں خرابی کا پیغام بھیجتے ہیں۔ ہم نے ان کو اختلاط میں رکھنا سیکھا ہے۔ اکثر ، مبینہ حادثے کے بعد ایک بدنیتی پر مبنی پس منظر کام کرتا رہتا ہے۔

ڈوپس اور سراغ لگانا

صرف اس لئے کہ دو فائلوں کے مختلف نام ہیں اس کا مطلب یہ نہیں ہے کہ وہ مختلف ہیں۔ ہماری جمع کرنے کی اسکیم عام طور پر بہت ساری نقل تیار کرتی ہے۔ خوش قسمتی سے ، فائلوں کے ہر جوڑے کا مقابلہ کرنے کی ضرورت نہیں ہے۔ اس کے بجائے ، ہم ایک ہیش فنکشن استعمال کرتے ہیں ، جو ایک قسم کا یکطرفہ خفیہ کاری ہے۔ ہیش فنکشن ہمیشہ ایک ہی ان پٹ کے ل result ایک ہی نتیجہ کو لوٹاتا ہے ، لیکن اس سے بھی تھوڑا سا مختلف ان پٹ بہت ہی مختلف نتائج برآمد کرتا ہے۔ اس کے علاوہ ، ہیش سے اصلی تک جانے کا کوئی راستہ نہیں ہے۔ ایک ہی ہیش والی دو فائلیں ایک جیسی ہیں۔

ہم اس مقصد کے لئے نیروسوفٹ سے قابل احترام ہشمی فائیز افادیت استعمال کرتے ہیں۔ یہ فائلوں کو اسی ہیش سے خود بخود شناخت کرتا ہے جس سے نقلوں سے چھٹکارا آسان ہوجاتا ہے۔

ہیش کے لئے ایک اور استعمال

وائرس ٹوٹل کی ابتداء ویب سائٹ کے طور پر محققین کے لئے میلویئر کے بارے میں نوٹوں کا اشتراک کرنے کے لئے ہوئی ہے۔ فی الحال حروف تہجی (گوگل کی بنیادی کمپنی) کا ذیلی ادارہ ، یہ کلیئرنگ ہاؤس کے طور پر کام کرتا ہے۔

کوئی بھی تجزیہ کے ل Vir وائرس ٹوٹل کو فائل پیش کرسکتا ہے۔ سائٹ 60 سے زیادہ سیکیورٹی کمپنیوں کے ماضی کے اینٹی ویرس انجنوں کو نمونے دیتی ہے اور اطلاع دیتا ہے کہ کتنے لوگوں نے نمونے کو میلویئر کے طور پر نشان زد کیا۔ اس سے فائل کی ہیش کو بھی محفوظ ہوجاتا ہے ، لہذا اگر وہی فائل دوبارہ دکھائے تو اسے تجزیہ دہرانا نہیں ہے۔ آسانی سے ، ہشمی فائلز کے پاس ایک فائل کا ہیش وائرس ٹوتل کو بھیجنے کے لئے ایک کلک کا آپشن ہے۔ ہم ان نمونوں کو چلاتے ہیں جنہوں نے اسے دور کردیا ہے اور نوٹ کریں کہ وائرس ٹوتل ہر ایک کے بارے میں کیا کہتا ہے۔

سب سے زیادہ دلچسپ ، یقینا ، وہ ہیں جو وائرس ٹوٹل نے کبھی نہیں دیکھا۔ اس کے برعکس ، اگر 60 میں سے 60 انجن فائل کو صحت کا صاف ستھرا بل دیتے ہیں تو ، اس کے امکانات اچھ areے ہیں کہ یہ میلویئر نہیں ہے۔ سراغ لگانے کے اعدادوشمار کا استعمال نمونوں کو ترتیب دینے میں ہماری مدد کرتا ہے جس کا امکان کم سے کم امکان سے ہوتا ہے۔

نوٹ کریں کہ وائرس ٹوتل خود ہی واضح طور پر یہ بیان کرتا ہے کہ کسی کو بھی انٹی وائرس کے اصل انجن کی جگہ استعمال نہیں کرنا چاہئے۔ اس کے باوجود ، ہمارے میلویئر جمع کرنے کے بہترین امکانات کی نشاندہی کرنے میں یہ ایک بہت بڑی مدد ہے۔

چلائیں اور دیکھیں

اس مقام پر ، ہاتھ سے تجزیہ شروع ہوتا ہے۔ ہم ہر نمونے کو چلانے اور دیکھنے کے لئے گھر میں اندرون پروگرام (چالاکی سے رن اینڈ واچ کا نام) استعمال کرتے ہیں۔ ایک PCMag افادیت InCtrl (انسٹال کنٹرول کے لئے مختصر) کہلاتی ہے اور میلویئر لانچ ہونے سے پہلے اور اس کے بعد رجسٹری اور فائل سسٹم اسنیپ شاٹس کرتا ہے ، اور کیا تبدیل ہوا اس کی اطلاع دیتا ہے۔ یقینا ، یہ جاننا کہ کچھ تبدیل ہوا ہے اس سے یہ ثابت نہیں ہوتا ہے کہ میلویئر کے نمونے نے اسے بدلا ہے۔

مائیکرو سافٹ کا پروکون پروسیس مانیٹر ہر عمل کے ذریعہ ، رجسٹری اور فائل سسٹم کے اعمال (دوسری چیزوں کے ساتھ) لاگ ان کرتے ہوئے ، حقیقی وقت میں تمام سرگرمیوں پر نظر رکھتا ہے۔ یہاں تک کہ ہمارے فلٹرز کے ساتھ بھی ، اس کے نوشتہ جات بہت بڑے ہیں۔ لیکن وہ InCtrl5 کے ذریعہ اطلاع دی گئی تبدیلیوں کو ان عملوں سے جوڑنے میں ہماری مدد کرتے ہیں جس نے وہ تبدیلیاں کیں۔

کللا اور دہرائیں

پچھلے مرحلے سے بھاری لاگوں کو کسی قابل استعمال چیز میں ڈالنے میں وقت لگتا ہے۔ گھر کے اندر ایک اور پروگرام کا استعمال کرتے ہوئے ، ہم نقلیں ختم کرتے ہیں ، ایسی اندراجات جمع کرتے ہیں جو دلچسپی رکھتے ہیں ، اور ایسے ڈیٹا کو مٹا دیتے ہیں جو میلویئر نمونے سے واضح طور پر غیر متعلق ہیں۔ یہ ایک فن کے ساتھ ساتھ سائنس بھی ہے۔ غیر ضروری اشیاء کو جلدی سے پہچاننے اور اہمیت کے اندراجات پر گرفت کرنے میں بہت تجربہ درکار ہوتا ہے۔

کبھی کبھی اس فلٹرنگ کے عمل کے بعد ، کچھ بھی نہیں بچتا ہے ، اس کا مطلب یہ ہے کہ نمونہ نے جو کچھ بھی کیا ، ہمارے آسان تجزیے کے نظام نے اسے کھو دیا۔ اگر کوئی نمونہ اس مرحلے سے گزر جاتا ہے تو ، یہ گھر کے اندر ایک اور فلٹر سے گزرتا ہے۔ یہ نقلی دستاویزات پر گہری نگاہ ڈالتا ہے ، اور حتمی آلے کے ذریعہ استعمال شدہ شکل میں لاگ ڈیٹا ڈالنا شروع کرتا ہے ، جو جانچ کے دوران میلویئر کے آثار تلاش کرتا ہے۔

آخری منٹ کی ایڈجسٹمنٹ

اس عمل کا خاتمہ ہماری نیوسپیچیک افادیت ہے (ناموں میں پہلے جب اسپائی ویئر زیادہ مشہور تھا)۔ ان تمام نمونوں پر عملدرآمد کے ساتھ ، ہم صاف ٹیسٹ سسٹم پر NuSpyCheck چلاتے ہیں۔ کافی حد تک ، ہمیں پتہ چل جائے گا کہ ہمارے خیال میں مالویئر کے آثار تھے اس میں سے کچھ سسٹم پر پہلے سے موجود ہیں۔ اس صورت میں ، ہم ترمیم کے موڈ میں NUSPCheck پلٹائیں اور ان کو دور کریں۔

ایک اور نعرہ ہے ، اور یہ ایک اہم ہے۔ ورچوئل مشین کو ٹیسٹوں کے مابین کلین اسنیپ شاٹ پر دوبارہ ترتیب دینا ، ہم ہر نمونے کو لانچ کرتے ہیں ، اسے مکمل ہونے تک چلنے دیں ، اور نظام کو چیک کریں چیک کریں چیک کریں۔ یہاں ایک بار پھر ، کچھ نشانات موجود ہیں جو معلوم ہوتا ہے کہ ڈیٹا کیپچر کے دوران دکھائے جاتے ہیں ، لیکن آزمائشی وقت پر نہ دکھائیں ، شاید اس لئے کہ وہ وقتی تھے۔ اس کے علاوہ ، بہت سارے مالویئر نمونے فائلوں اور فولڈروں کے لئے تصادفی طور پر تیار کردہ ناموں کا استعمال کرتے ہیں ، ہر بار مختلف۔ ان کثیر الثانی نشانات کے ل we ، ہم اس نمونہ کی وضاحت کرتے ہوئے ایک نوٹ شامل کرتے ہیں ، جیسے "آٹھ ہندسوں کے ساتھ قابل عمل نام"۔

اس آخری مرحلے میں کچھ اور نمونے میدان چھوڑ دیتے ہیں ، کیونکہ اعداد و شمار کو ختم کرنے کے ساتھ ، پیمائش کرنے کے لئے کچھ نہیں بچا تھا۔ جو باقی رہ گئے ہیں وہ میلویئر نمونوں کا اگلا مجموعہ بن جاتے ہیں۔ اصل 400 سے 500 یو آر ایل تک ، ہم عام طور پر 30 کے ساتھ بند ہوجاتے ہیں۔

رینسم ویئر استثنیٰ

بدنام زمانہ پیٹیا کی طرح سسٹم لاکر کی رسوم ویئر آپ کی ہارڈ ڈرائیو کو خفیہ کردیتا ہے ، اور کمپیوٹر کو ناقابل استعمال بنا دیتا ہے جب تک کہ تاوان ادا نہیں کیا جاتا ہے۔ زیادہ عام فائل انکرپشن رینسم ویئر کی اقسام آپ کی فائلوں کو پس منظر میں انکرپٹ کرتے ہیں۔ جب انہوں نے یہ گھناؤنا حرکت کرلی ہے ، تو وہ تاوان کی ایک بڑی مانگ اٹھا لیتے ہیں۔ ہمیں یہ معلوم کرنے کے لئے کسی افادیت کی ضرورت نہیں ہے کہ اینٹی وائرس نے ان میں سے ایک کو کھو دیا؛ میلویئر خود کو سادہ بنا دیتا ہے۔

سیکیورٹی کی بہت ساری مصنوعات بنیادی اینٹی وائرس انجنوں سے ہٹ کر ، رینسم ویئر کے تحفظ کی اضافی پرتیں شامل کررہی ہیں۔ یہ سمجھ میں آتا ہے۔ اگر آپ کا اینٹی وائرس ٹروجن حملہ سے محروم ہو جاتا ہے تو ، یہ نئی دستخط لینے کے بعد شاید کچھ ہی دنوں میں اسے صاف کردے گا۔ لیکن اگر اس سے ریمس ویئر کی کمی محسوس ہوتی ہے تو ، آپ کی قسمت سے باہر ہے۔ جب ممکن ہو تو ، ہم بنیادی اینٹی وائرس اجزاء کو غیر فعال کردیتے ہیں اور جانچ کرتے ہیں کہ آیا رینسم ویئر پروٹیکشن ہی آپ کی فائلوں اور کمپیوٹر کو محفوظ رکھ سکتا ہے۔

کیا یہ نمونے نہیں ہیں

بڑی ینٹیوائرس ٹیسٹنگ لیبز ہزاروں فائلوں کو جامد فائل کی شناخت کی جانچ کے ل use ، اور متعدد سینکڑوں کو متحرک جانچ کے ل. استعمال کرسکتی ہے (جس کا مطلب ہے کہ وہ نمونے لانچ کرتے ہیں اور دیکھتے ہیں کہ اینٹی وائرس کیا کرتا ہے)۔ ہم اس کے لئے کوشش نہیں کر رہے ہیں۔ ہمارے 30 طاق نمونے ہمیں یہ محسوس کرنے دیتے ہیں کہ اینٹی وائرس کس طرح حملہ کرتا ہے ، اور جب ہمارے پاس لیبز سے کوئی نتیجہ نہیں نکلا تو ہمارے پاس کچھ پیچھے ہوجانا ہے۔

ہم کوشش کرتے ہیں کہ رینسم ویئر ، ٹروجن ، وائرس ، اور بہت کچھ سمیت ، کئی طرح کے مالویئر کا مرکب یقینی بنائیں۔ ہم کچھ ممکنہ طور پر ناپسندیدہ ایپلی کیشنز (PUAs) بھی شامل کرتے ہیں ، اگر ضروری ہو تو ، جانچ کے تحت مصنوع میں PUA کا پتہ لگانے کو یقینی بنائیں۔

کچھ میلویئر ایپلی کیشنز کا پتہ لگاتا ہے کہ جب وہ ورچوئل مشین میں چل رہے ہیں اور گندی سرگرمی سے باز رہیں۔ ٹھیک ہے؛ ہم صرف ان کو استعمال نہیں کرتے ہیں۔ چالو کرنے سے پہلے کچھ گھنٹے یا دن انتظار کرتے ہیں۔ ایک بار پھر ، ہم صرف ان کو استعمال نہیں کرتے ہیں۔

ہم امید کرتے ہیں کہ ہمارے ذریعہ مالویئر پروٹیکشن ٹیسٹنگ کے پردے کے پیچھے اس جھانکنے سے آپ کو کچھ حد تک بصیرت ملی ہے کہ ہم عمل میں اینٹی وائرس کے تحفظ کا تجربہ کرنے کے لئے کہاں تک جائیں گے۔ جیسا کہ نوٹ کیا گیا ہے ، ہمارے پاس اینٹی وائرس کے محققین کی ایک وقف ٹیم نہیں ہے جس طرح بڑی لیبز کرتے ہیں ، لیکن ہم آپ کو خندق کی اطلاع دیتے ہیں کہ آپ کو کہیں اور نہیں ملے گا۔