Искусство цифровой самозащиты
Шрифт:
Современные антивирусы оснащены эвристическими анализаторами, в первую очередь для выявления полиморфных вирусов, изменяющих свой программный код после каждого заражения. При нахождении зараженных объектов пользователь информируется об этом. А вот вылечить зараженные файлы станет возможно только после изучения, внесения информации в сигнатурные базы и разработки способа лечения. До этого опасные файлы изолируются в карантине, откуда, в случае ложной тревоги, их можно будет восстановить на прежнее место. Лечение не применяется из опасения потери информации или нанесения большего вреда, чем само заражение.
На
Как уже было сказано выше, главный недостаток эвристического анализа – ложные срабатывания, когда безопасные программы по ошибке определяются как зараженные, потому что их части машинного кода аналогичны вредоносному программному обеспечению.
Даже если вредоносная программа будет успешно обнаружена, лечение зараженных файлов невозможно. Только люди могут создать алгоритм изъятия вредоносного кода без нанесения вреда остальной информации. Остается лишь изолировать небезопасные объекты в защищенной карантинной зоне и ждать, пока вирус изучат и появится безопасный способ лечения.
Эвристическое сканирование бессильно против передовых новаторскиx вирусных программ, написанных с чистого листа и не похожих на другие компьютерные вирусы (угрозы нулевого дня).
Песочница (sandbox)
Этот метод основан на том, что антивирусное программное обеспечение запускает программу или файл в виртуальной среде. Основная цель – записывать поведение файлов и автоматически анализировать их с помощью системы весов в песочнице. Цель анализа – проверить назначение файла и выявить какие-либо вредоносные действия. Антивирус разрешит выполнение файла в реальной среде только в том случае, если он безопасен.
Метод песочницы не только определяет вредоносный характер файла, но и предоставляет подробную информацию о файле. Это медленный процесс, потому что после установки антивирус должен запустить программу в виртуальной среде. Кроме того, необходимо дождаться результатов поведенческого анализа. Поэтому метод обнаружения требует времени и не идеален для небольших систем, таких как ноутбуки или настольные компьютеры. Крупные организации, где безопасность важнее времени, в основном используют антивирус с песочницей.
Существенным преимуществом метода песочницы является то, что он предсказывает действия, которые файл может выполнять в реальной системе. Основным ограничением является время, необходимое для анализа файла. Кроме того, для выполнения и сбора отчета о поведении требуется отдельная виртуальная среда.
Проактивная защита
Проактивные технологии – совокупность технологий и методов, используемых в антивирусном программном обеспечении, основной целью которых, в отличие от реактивных (сигнатурных) технологий, является предотвращение заражения системы пользователя, а не поиск уже известного вредоносного программного обеспечения в системе. При этом проактивная защита старается блокировать потенциально опасную активность программы только в том случае, если эта активность
Проактивные технологии начали развиваться практически одновременно с классическими (сигнатурными) технологиями. Однако первые реализации проактивных технологий антивирусной защиты требовали высокого уровня квалификации пользователя, то есть не были рассчитаны на массовое использование простыми пользователями персональных компьютеров. Спустя десятилетие антивирусной индустрии стало очевидно, что сигнатурные методы обнаружения уже не могут обеспечить эффективную защиту пользователей. Этот факт и подтолкнул к возрождению проактивных технологий.
Технологии проактивной защиты:
• Эвристический анализ
Технология эвристического анализа позволяет на основе анализа кода выполняемого приложения, скрипта или макроса обнаружить участки кода, отвечающие за вредоносную активность. Эффективность данной технологии не является высокой, что обусловлено большим количеством ложных срабатываний при повышении чувствительности анализатора, а также большим набором техник, используемых авторами вредоносного ПО для обхода эвристического компонента антивирусного ПО.
• Эмуляция кода
Технология эмуляции позволяет запускать приложение в среде эмуляции, эмулируя поведение ОС или центрального процессора. При выполнении приложения в режиме эмуляции приложение не сможет нанести вреда системе пользователя, а вредоносное действие будет детектировано эмулятором. Несмотря на кажущуюся эффективность данного подхода, он также не лишен недостатков: эмуляция занимает слишком много времени и ресурсов компьютера пользователя, что негативно сказывается на быстродействии при выполнении повседневных операций. Также современные вредоносные программы способны обнаруживать выполнение в эмулированной среде и прекращать свое выполнение в ней.
• Анализ поведения
Технология анализа поведения основывается на перехвате всех важных системных функций или установке т. н. мини-фильтров, что позволяет отслеживать всю активность в системе пользователя. Технология поведенческого анализа позволяет оценивать не только единичное действие, но и цепочку действий, что многократно повышает эффективность противодействия вирусным угрозам. Также поведенческий анализ является технологической основой для целого класса программ – поведенческих блокираторов (HIPS – Host-based Intrusion Systems).
• Sandbox (Песочница) – ограничение привилегий выполнения
Технология песочницы работает по принципу ограничения активности потенциально вредоносных приложений таким образом, чтобы они не могли нанести вреда системе пользователя. Ограничение активности достигается за счет выполнения неизвестных приложений в ограниченной среде – собственно песочнице, откуда приложение не имеет прав доступа к критическим системным файлам, веткам реестра и другой важной информации. Технология ограничения привилегий выполнения эффективно противостоит современным угрозам, но следует понимать, что пользователь должен обладать знаниями, необходимыми для правильной оценки неизвестного приложения.