Показано с 1 по 1 из 1.

Проактивная защита.

  1. #1
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Палыч
    Регистрация
    19.01.2005
    Сообщений
    696
    Вес репутации
    226

    Проактивная защита.

    Война между вирусами и антивирусами - бесконечна. Чтобы победить в противостоянии, нужно быть сильнее противника - сложнее, мощнее, умнее. В результате, противодействие угрозам способствует их усложнению, а усложнение угроз ведет к совершенствованию средств противодействия. К чему же привела эта порочная спираль развития на сегодняшний день?

    Во-первых, непрерывно растет скорость появления вирусов. Антивирусные компании оказываются в ситуации жесткого выбора: либо внедрять инновационные технологии, позволяющие совершить некий качественный скачок в области обработки вирусной лавины, либо оказаться "погребенными" под ней, не справиться с задачей защиты от угроз.

    Во-вторых, усложняются сами вирусы. Ускоряется создание средств их защиты, в том числе новых упаковщиков кода. Вирусописателями активно используются технические приемы, нацеленные на затруднение анализа кода вируса, такие как обфускация и полиморфизм, в итоге, задача анализа кода постоянно усложняется. Вирусописатели соревнуются в совершенствовании технологий сокрытия присутствия вируса в системе, что обеспечивается совокупностью достаточно сложных технических приемов, которые сравнительно недавно (около двух лет назад) стали применяться в вирусах под Windows и были названы "руткитами" вслед за аналогичным давно известным явлением из мира Unix. В силах руткит-технологий сделать вредоносную программу невидимой не только для пользователя, но и для антивируса. Таким образом, усложняется даже, казалось бы, простая задача получения доступа к вирусу!

    Итак, выделим три опасные тенденции:
    Затруднение обработки потока новых вирусов за счет увеличения его объема
    Затруднение анализа кода вирусов
    Затруднение доступа к телу вируса

    Классический метод противодействия вирусным угрозам - использование файлового сигнатурного антивируса. Суть его защитных функций заключается в сканировании файлов на диске и поиске в них вирусных "сигнатур" - цепочек байтов, характерных для той или иной компьютерной заразы. Базы, в которых эти сигнатуры хранятся, постоянно обновляются. Каждый новый вирус требует отдельного анализа и выделения сигнатуры. До тех пор, пока такая сигнатура не выделена специалистами и не добавлена в базы, вирус не может быть обнаружен.

    Количество людей, занимающихся добавлением сигнатур в базы и анализом "упаковщиков", можно увеличить, а для противодействия руткитам - использовать все более изощренные технические средства. При сохранении такого подхода попытки противодействовать тенденциям в вирусной индустрии сродни попыткам убежать от поезда.

    Проактивная защита (поведенческий блокиратор, поведенческий анализатор) - одна из современных технологий, воплощающих качественный скачок в области противодействия вирусным угрозам и позволяющих, условно говоря, "сойти с рельс". Суть технологии в том, что анализу подвергаются не файлы на диске, а само поведение программы - совокупность действий, совершаемых приложением в системе. Ведь если мы считаем некий класс программ вредоносными, то можем определить и характерные особенности их поведения. Например, скрытая от пользователя инсталляция в систему или модификация системных файлов - если и не бесспорно "вирусные" действия, то, как минимум, крайне подозрительные.

    Рассмотрим, как проактивная защита обходит вышеуказанные проблемные тенденции в современной вирусной индустрии:

    Главный "плюс" проактивной защиты в способности обнаружить и заблокировать совершенно новый вирус, сигнатура для которого еще отсутствует в базах. Таким образом, скорость реакции на новый вирус со стороны специалистов, вносящих изменения в базы, перестает критичным фактором защиты, следовательно, увеличение вирусопотока перестает быть фактором риска для пользователя.
    В то время как вирусы совершенствуются в шифровании своего кода и сокрытии файлов, скрыть поведение практически невозможно. Для проактивного анализатора файл программы играет роль лишь постольку, поскольку после вынесения вердикта о вредоносном поведении файла его потребуется удалить.

    Модуль проактивной защиты следит за активностью приложений в системе. Если приложение совершает одно или несколько подозрительных действий, его работа временно приостанавливается, а на экран выводится предупреждение. Если по выбору пользователя приложение было остановлено, то возможен "откат" всех его действий. Это важно: если файл вируса просто удалить, то в системе останутся связанные с ним файлы или записи реестра, что может привести к неработоспособности или к продолжению заражения.




    По каким особенностям поведения программы можно определить, что действия ее вредоносны? Например, если она создает свою копию в системной директории и одновременно записывает ссылку на нее в реестр, для автозагрузки при старте компьютера. Этому (в общих чертах) поведению соответствует вердикт проактивной защиты Trojan.Generic. Существует еще несколько таких "красных" (наивысшей степени опасности) вердиктов, каждый из которых выносится проактивной защитой в ответ на поведение, крайне характерное для того или иного типа вируса. Например, червь, создающий свои копии в сети, будет классифицирован как Worm.Generic, а червь, копирующий себя в директории файлообменных сетей - как Worm.P2P.Generic.

    Определение приложения как вредного только по поведению - нетривиальная задача, и ее решение не может быть таким же гарантированно верным, как вердикт сигнатурного антивируса. Поэтому, помимо красных, существуют желтые предупреждения (уровень опасности - "подозрительно") и синие, информативные. Появление желтого или, в особенности, синего предупреждения необязательно означает, что обнаружен вирус. Возможно, некое легальное приложение пытается совершить подозрительное действие, например, получить доступ к критичному разделу реестра.

    Для примера того, насколько важна проактивная защита сегодня, рассмотрим недавнюю и еще не вполне утихшую эпидемию червя Warezov. Этот, казалось бы, обычный почтовый червь получил широкое распространение в краткие сроки во многом благодаря такой защите его кода, что каждая новая модификация вируса (а их появлялось до десятка в день) оказывалась недетектируемой для старых сигнатур. В итоге, ситуацию спасали только круглосуточные бдения специалистов по сигнатурам да частое обновление антивирусных баз.

    Между тем, при использовании проактивной защиты эпидемия E-Mail-Worm.Win32.Warezov была бы невозможной в принципе! Поведение данного червя настолько типично, что модуль контроля за активностью приложений реагирует на него без необходимости обновления антивирусных баз целым рядом предупреждений разной "степени тяжести":

    Trojan.Generic - предупреждение наивысшей степени опасности
    Invader - "желтое" предупреждение о попытке процесса внедрить код в другие процессы
    "Синие" предупреждения о модификации критических разделов реестра
    "Желтые" предупреждения о нарушении целостности исполняющихся приложений
    Причем, каждое последующее предупреждение появляется только в том случае, если пользователь проигнорировал предыдущие. Из любого предупреждения выполнение вируса можно остановить, а те изменения, которые он успел внести в систему, отменить.

    Таким образом, в настоящее время, когда число новых вредоносных программ постоянно растет, и скорость распространения вредоносных программ иногда превышает скорость реакции антивирусных компаний, проактивная защита становится критически важным компонентом защиты, органично дополняющим традиционные сигнатурные методы борьбы с компьютерными угрозами.

    По материалам computerra
    Статья скопирована с сайта http://www.beseder.co.il/proaktivnaya-zaschita
    Последний раз редактировалось Палыч; 15.11.2006 в 00:39.
    Наше дело правое--победа будет за нами!!!

  2. Реклама
     

Похожие темы

  1. проактивная защита и файловый антивирус (заявка №45392)
    От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
    Ответов: 1
    Последнее сообщение: 04.01.2011, 00:00
  2. Ответов: 5
    Последнее сообщение: 08.09.2008, 01:25
  3. проактивная защита AVP и BN4.tmp
    От Wedmak в разделе Помогите!
    Ответов: 10
    Последнее сообщение: 03.06.2008, 17:55
  4. Проактивная защита как она есть
    От Geser в разделе Новости компьютерной безопасности
    Ответов: 0
    Последнее сообщение: 15.09.2005, 20:40

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00905 seconds with 18 queries