Mbrojtja proaktive ose reaktive.

28.06.2019 Windows 8

Mbrojtja Proaktive

Historia e zhvillimit të teknologjive proaktive të mbrojtjes antivirus

Teknologjitë proaktive filluan të zhvillohen pothuajse njëkohësisht me teknologjitë klasike (nënshkrimi). Megjithatë, zbatimet e para të teknologjive proaktive të mbrojtjes anti-virus kërkonin një nivel të lartë të aftësive të përdoruesit, d.m.th. nuk janë krijuar për përdorim masiv nga përdoruesit e zakonshëm të kompjuterëve personalë. Një dekadë më vonë, është bërë e qartë për industrinë e antiviruseve se metodat e zbulimit të bazuara në nënshkrime nuk mund të ofrojnë më mbrojtje efektive për përdoruesit. Ky fakt nxiti ringjalljen e teknologjive proaktive.

Teknologjitë e Mbrojtjes Proaktive

Teknologjia e analizës heuristike lejon, bazuar në analizën e kodit të një aplikacioni, skripti ose makroje, të zbulojë seksionet e kodit përgjegjës për aktivitetin keqdashës.
Efektiviteti i kësaj teknologjie nuk është i lartë, gjë që është për shkak të një numri të madh të rezultateve false kur rritet ndjeshmëria e analizuesit, si dhe nga një grup i madh teknikash të përdorura nga autorët e malware për të anashkaluar komponentin heuristik të softuerit antivirus.

Teknologjia e emulimit ju lejon të ekzekutoni një aplikacion në një mjedis emulimi, duke emuluar sjelljen e një OS ose CPU. Kur aplikacioni ekzekutohet në modalitetin emulues, aplikacioni nuk do të jetë në gjendje të dëmtojë sistemin e përdoruesit dhe veprimi keqdashës do të zbulohet nga emulatori.
Megjithë efektivitetin e dukshëm të kësaj qasjeje, ajo gjithashtu nuk është pa të meta - emulimi kërkon shumë kohë dhe burime të kompjuterit të përdoruesit, gjë që ndikon negativisht në performancën gjatë kryerjes së operacioneve të përditshme; gjithashtu, malware modern është në gjendje të zbulojë ekzekutimin në një mjedis të emuluar dhe ndaloni ekzekutimin e tij në të.

Analiza e Sjelljes

Teknologjia e analizës së sjelljes bazohet në përgjimin e të gjitha funksioneve të rëndësishme të sistemit ose instalimin e të ashtuquajturave. mini-filtra, të cilët ju lejojnë të gjurmoni të gjithë aktivitetin në sistemin e përdoruesit. Teknologjia e analizës së sjelljes ju lejon të vlerësoni jo vetëm një veprim të vetëm, por edhe një zinxhir veprimesh, gjë që rrit shumë efektivitetin e përballjes me kërcënimet e virusit. Gjithashtu, analiza e sjelljes është baza teknologjike për një klasë të tërë programesh - bllokues të sjelljes (HIPS - Sistemet e Intrusionit të bazuara në Host).

Teknologjia Sandbox funksionon në parimin e kufizimit të aktivitetit të aplikacioneve potencialisht me qëllim të keq, në mënyrë që ato të mos dëmtojnë sistemin e përdoruesit.
Kufizimi i aktivitetit arrihet duke ekzekutuar aplikacione të panjohura në një mjedis të kufizuar - sandbox aktual, nga ku aplikacioni nuk ka të drejta aksesi në skedarët kritik të sistemit, degët e regjistrit dhe informacione të tjera të rëndësishme. Teknologjia e kufizimit të privilegjeve të ekzekutimit është një teknologji efektive për të kundërshtuar kërcënimet moderne, por duhet kuptuar që përdoruesi duhet të ketë njohuritë e nevojshme për të vlerësuar siç duhet një aplikacion të panjohur.

Virtualizimi i desktopit

Teknologjia e virtualizimit të hapësirës së punës funksionon me ndihmën e një drejtuesi sistemi që kap të gjitha kërkesat për të shkruar në hard disk dhe, në vend që të shkruajë në një hard disk të vërtetë, shkruan në një zonë të veçantë të diskut - një buffer. Kështu, edhe nëse një përdorues përdor softuer me qëllim të keq, ai nuk do të jetojë më larg se shkarkimi i bufferit, i cili kryhet si parazgjedhje kur kompjuteri është i fikur.
Sidoqoftë, duhet të kuptohet se teknologjia e virtualizimit të desktopit nuk do të jetë në gjendje të mbrojë kundër malware, qëllimi kryesor i të cilit është vjedhja e informacionit konfidencial. qasja e leximit në hard disk nuk refuzohet.

Përdorimi i teknologjive proaktive në kohën e tanishme

Oleg Gudilin

Sot, sulmet e viruseve mbajnë fort pëllëmbën në të gjitha paradat e goditura të kërcënimeve të sigurisë së IT. Këta dëmtues shkaktojnë dëme të drejtpërdrejta financiare, dhe gjithashtu shërbejnë si pikënisje për zbatimin e shumë kërcënimeve të tjera të rrezikshme, duke përfshirë vjedhjen e informacionit konfidencial dhe aksesin e paautorizuar në të dhëna. Nga ana tjetër, industria e antiviruseve ofron disa qasje të reja për mbrojtjen e infrastrukturës së IT: teknologjitë proaktive, lëshimi i detyruar i vaksinave kritike, një rritje e konsiderueshme në frekuencën e përditësimit të bazave të të dhënave antivirus, etj. Ky material hap një seri artikujsh që janë krijuar për të ndihmuar lexuesin të lundrojë në teknologjitë e reja të kompanive antivirus dhe të vlerësojë pak a shumë në mënyrë objektive efektivitetin e tyre. Artikulli i parë i ciklit i kushtohet teknologjive proaktive.

Një tipar karakteristik i ditëve të sotme nuk është vetëm dëmi i madh i shkaktuar nga sulmet e viruseve, por edhe rritja e pandërprerë e numrit të vetë kodeve me qëllim të keq. Duhet të theksohet se në vitin 2005 rritja e popullsisë së dëmtuesve kompjuterikë u bë thjesht shpërthyese. Për shembull, sipas Kaspersky Lab, numri i viruseve të zbuluara mujore u rrit deri në fund të vitit 2005 në një mesatare prej 6368 kopjesh, dhe deri në fund të vitit rritja ishte 117%, ndërsa vitin e kaluar rritja ishte vetëm 93%.

Kështu, ka një ndryshim në natyrën e kërcënimit: dëmtuesit janë bërë shumë më të mëdhenj, dhe ata vetë janë bërë shumë më të rrezikshëm. Është logjike të pritet një përgjigje nga industria e antiviruseve, e cila ka propozuar vërtet një numër qasjesh të reja për t'u mbrojtur nga sulmet e viruseve. Midis tyre janë teknologjitë proaktive, duke rritur shpejtësinë e reagimit ndaj shfaqjes së dëmtuesve veçanërisht të rrezikshëm që mund të shkaktojnë një epidemi, si dhe thjesht duke rritur frekuencën e përditësimit të bazave të të dhënave antivirus. Ky artikull do të hedhë një vështrim më të afërt në qasjen proaktive të promovuar shpesh nga shitësit si një ilaç për të gjithë viruset ekzistuese dhe madje edhe të mundshme.

Hyrje në teknologjitë proaktive

Produktet moderne antivirus përdorin dy qasje kryesore për zbulimin e dëmtuesve. Është i bazuar në nënshkrime dhe proaktive/heuristike. Metoda e parë është mjaft e thjeshtë: objektet e skanuara në kompjuterin e përdoruesit krahasohen me shabllonet (nënshkrimet) e viruseve të njohura. Kjo teknologji përfshin gjurmimin e vazhdueshëm të dëmtuesve të rinj, përshkrimin dhe përfshirjen e tyre në bazën e të dhënave të nënshkrimit. Kështu, një kompani anti-virus duhet të ketë një shërbim efikas të zbulimit dhe analizës së malware (d.m.th., një laborator antivirus). Kriteret kryesore për efektivitetin e metodës së nënshkrimit janë shpejtësia e përgjigjes ndaj kërcënimeve të reja, frekuenca e përditësimeve dhe numri maksimal i kërcënimeve të zbuluara.

Natyrisht, metoda e nënshkrimit ka një sërë disavantazhesh. Më e rëndësishmja prej tyre është vonesa në përgjigjen ndaj kërcënimeve të reja. Nënshkrimet shfaqen gjithmonë vetëm pak kohë pas shfaqjes së virusit, dhe kodet moderne me qëllim të keq mund të infektojnë miliona kompjuterë në një kohë shumë të shkurtër.

Në këtë drejtim, metodat proaktive / heuristike për zbulimin e viruseve po bëhen më të zakonshme. Kjo qasje nuk kërkon lëshimin e nënshkrimeve. Programi antivirus analizon kodin e objektit që skanohet dhe/ose sjelljen e aplikacionit që funksionon, dhe më pas, bazuar në rregullat e ngulitura në të, vendos nëse ky softuer është me qëllim të keq.

Në parim, përdorimi i kësaj teknologjie bën të mundur zbulimin e malware ende të panjohur. Prandaj, shumë shitës antivirusesh kanë qenë të shpejtë për të kërkuar metoda proaktive si një ilaç për valën në rritje të dëmtuesve të rinj. Megjithatë, kjo nuk është e vërtetë. Për të vlerësuar efektivitetin e qasjes proaktive dhe mundësinë e përdorimit të saj veçmas nga metodat e nënshkrimit, duhet të studiohet më në detaje parimi i funksionimit të teknologjive proaktive.

Ka disa qasje për mbrojtjen proaktive. Konsideroni dy më të njohurit: analizuesit heuristik dhe bllokuesit e sjelljes.

Analiza heuristike

Një analizues heuristik (heuristik) është një program që analizon kodin e objektit që kontrollohet dhe përcakton me shenja indirekte nëse objekti është me qëllim të keq. Për më tepër, ndryshe nga metoda e nënshkrimit, heuristi mund të zbulojë viruse të njohura dhe të panjohura (d.m.th., ata që janë krijuar pas heuristikës).

Puna e analizuesit, si rregull, fillon me një kërkim në kod për shenja (komanda) të dyshimta tipike për programet me qëllim të keq. Kjo metodë quhet analizë statike. Për shembull, shumë kode me qëllim të keq kërkojnë programe të ekzekutueshme, hapin skedarët e gjetur dhe modifikojnë ato. Heuristic skanon kodin e aplikacionit dhe, kur has një komandë të dyshimtë, rrit një "numërues dyshimi" të caktuar për aplikacionin e caktuar. Nëse, pas shikimit të të gjithë kodit, vlera e numëruesit tejkalon vlerën e pragut të specifikuar, atëherë objekti konsiderohet i dyshimtë.

Avantazhi i kësaj metode është lehtësia e zbatimit dhe shpejtësia e lartë e funksionimit, megjithatë, niveli i zbulimit të kodeve të reja me qëllim të keq mbetet mjaft i ulët, dhe probabiliteti i pozitivëve të rremë është i lartë.

Prandaj, antiviruset moderne përdorin analizën statike në kombinim me analizën dinamike. Ideja pas kësaj qasjeje të kombinuar është të imitojë ekzekutimin e aplikacionit në një mjedis të sigurt virtual, i quajtur gjithashtu një buffer emulimi, ose "sandbox", përpara se aplikacioni të lëshohet në kompjuterin e përdoruesit. Një term tjetër i përdorur nga shitësit në materialet e tyre të marketingut është "emulimi virtual i kompjuterit në një kompjuter".

Pra, analizuesi dinamik heuristik lexon një pjesë të kodit të aplikacionit në tampon emulimi antivirus dhe emulon ekzekutimin e tij duke përdorur "mashtrime" të veçanta. Nëse zbulohet ndonjë veprim i dyshimtë gjatë këtij "pseudo-ekzekutimi", objekti njihet si keqdashës dhe nisja e tij në kompjuterin e përdoruesit bllokohet.

Ndryshe nga metoda statike, metoda dinamike është më kërkuese për burimet e PC-së, pasi duhet të përdorni një hapësirë të sigurt virtuale për analiza, dhe lëshimi i aplikacionit në kompjuterin e përdoruesit vonohet për kohëzgjatjen e analizës. Sidoqoftë, niveli i zbulimit të dëmtuesve në metodën dinamike është shumë më i lartë se metoda statike, dhe probabiliteti i pozitivëve të rremë është shumë më i vogël.

Si përfundim, vërejmë se analizuesit e parë heuristikë u shfaqën në produktet antivirus shumë kohë më parë, dhe sot heuristikat pak a shumë të përsosura zbatohen në të gjitha zgjidhjet antivirus.

Bllokuesit e sjelljes

Një bllokues i sjelljes është një program që analizon sjelljen e një aplikacioni që funksionon dhe bllokon çdo veprim të rrezikshëm. Ndryshe nga analizuesit heuristik, ku veprimet e dyshimta monitorohen në modalitetin e emulimit (heuristik dinamik), bllokuesit e sjelljes funksionojnë në kushte reale.

Parimi i funksionimit të bllokuesve të parë të sjelljes ishte i thjeshtë. Kur zbulohej një veprim potencialisht i rrezikshëm, përdoruesi pyetej nëse do ta lejonte apo ta refuzonte këtë veprim. Në shumë raste, kjo qasje funksionoi, por veprime "të dyshimta" kryheshin edhe nga programe legjitime (deri në sistemin operativ). Prandaj, nëse përdoruesi nuk kishte kualifikimet e duhura, pyetjet antivirus shkaktuan keqkuptime.

Bllokuesit e sjelljes së gjeneratës së re nuk analizojnë më veprime individuale, por një sekuencë operacionesh. Me fjalë të tjera, përfundimi për rrezikun e një aplikimi të veçantë bëhet në bazë të një analize më komplekse. Kështu, është e mundur që të reduktohet ndjeshëm numri i kërkesave për përdoruesit dhe të përmirësohet besueshmëria e zbulimit.

Bllokuesit modernë të sjelljes janë në gjendje të kontrollojnë një gamë të gjerë ngjarjesh që ndodhin në sistem. Ky është kryesisht kontrolli i aktivitetit të rrezikshëm (analiza e sjelljes së të gjitha proceseve që ekzekutohen në sistem, duke ruajtur të gjitha ndryshimet e bëra në sistemin e skedarëve dhe regjistrin). Kur një aplikacion kryen një sërë veprimesh të dyshimta, përdoruesi i lëshohet një paralajmërim për rrezikun e këtij procesi. Për më tepër, bllokuesi ju lejon të përgjoni të gjitha mundësitë e futjes së kodit të programit në proceset e njerëzve të tjerë. Për më tepër, bllokuesi është në gjendje të zbulojë rootkits, domethënë programe që fshehin nga përdoruesi se si funksionon kodi keqdashës me skedarët, dosjet dhe çelësat e regjistrit, si dhe të fshehë programet e ekzekutimit, shërbimet e sistemit, drejtuesit dhe lidhjet e rrjetit.

Vlen të theksohet një funksionalitet i tillë i bllokuesve të sjelljes si monitorimi i integritetit të aplikacioneve dhe regjistrit të sistemit Microsoft Windows. Në rastin e fundit, bllokuesi kontrollon ndryshimet në çelësat e regjistrit dhe ju lejon të vendosni rregulla për qasjen në to për aplikacione të ndryshme. Së bashku, kjo ju lejon të riktheni ndryshimet pas zbulimit të aktivitetit të rrezikshëm në sistem. Kështu, është e mundur të rivendoset sistemi edhe pas veprimeve me qëllim të keq të programeve të panjohura, duke e kthyer atë në një gjendje të pa infektuar.

Ndryshe nga heuristikat, të cilat janë të pranishme pothuajse në të gjitha programet moderne antivirus, bllokuesit e sjelljes aktualisht nuk zbatohen kudo. Një shembull i një bllokuesi efektiv të sjelljes së gjeneratës së re është Moduli i Mbrojtjes Proaktive i zbatuar në produktet e Kaspersky Lab.

Ky modul përfshin të gjitha tiparet e listuara më sipër dhe, më e rëndësishmja, një sistem të mirë për informimin e përdoruesit për rrezikun real të disa veprimeve të dyshimta. Çdo bllokues i sjelljes në një fazë të caktuar kërkon ndërhyrjen e përdoruesit, gjë që nënkupton se ky i fundit ka një kualifikim të caktuar. Në praktikë, përdoruesi shpesh nuk ka njohuritë e nevojshme, kështu që mbështetja e informacionit - në fakt, mbështetja e vendimeve - është një atribut i detyrueshëm i zgjidhjeve moderne antivirus.

Kështu, mund të përmbledhim: një bllokues i sjelljes mund të parandalojë përhapjen e virusit të njohur dhe të panjohur (të shkruar pas krijimit të bllokuesit), që është një avantazh i pamohueshëm i kësaj qasjeje ndaj mbrojtjes. Një pengesë e rëndësishme e bllokuesve të sjelljes është aktivizimi i një numri programesh legjitime mbi veprimet. Përveç kësaj, ndërhyrja e përdoruesit kërkohet për të marrë një vendim përfundimtar në lidhje me dëmshmërinë e një aplikacioni, gjë që nënkupton se përdoruesi ka kualifikime të mjaftueshme.

Mbrojtja proaktive dhe dobësitë e softuerit

Materialet e reklamimit dhe marketingut të shitësve të antiviruseve shpesh pretendojnë se mbrojtja proaktive/heuristike është një ilaç për kërcënimet e reja që nuk kërkojnë përditësime, dhe për këtë arsye është gjithmonë gati për të shmangur sulmet nga viruset që nuk janë krijuar ende. Për më tepër, broshurat dhe fletëpalosjet shpesh flasin jo vetëm për kërcënime të reja që shfrytëzojnë boshllëqet e njohura, por edhe për kërcënimet e "ditës zero". Me fjalë të tjera, zhvilluesit pretendojnë se teknologjitë e tyre proaktive janë në gjendje të ndalojnë edhe ato kode me qëllim të keq që përdorin të meta ende të panjohura në aplikacione, domethënë ato për të cilat nuk është lëshuar ende patch-i përkatës.

Fatkeqësisht, ka shumë dredhi në materiale të tilla promovuese - ose autorët e tyre nuk e kuptojnë mirë se për çfarë po flasin. Në veçanti, lufta kundër kodeve me qëllim të keq paraqitet si një luftë midis shkrimtarëve të viruseve dhe metodave automatike (proaktive/heuristike). Në fakt, lufta është mes njerëzve: shkrimtarëve të viruseve dhe ekspertëve të antiviruseve.

Metoda të ndryshme të mbrojtjes proaktive tashmë janë diskutuar më lart: heuristikat dhe bllokuesit e sjelljes. Ato bazohen në "njohuri" rreth aktiviteteve të dyshimta që zakonisht prodhojnë malware. Por e vërteta është se kjo "njohuri" (një grup rregullash sjelljeje) futet në program nga ekspertët e antiviruseve dhe kjo "njohuri" merret duke analizuar sjelljen e viruseve tashmë të njohur. Kështu, teknologjitë proaktive janë të pafuqishme kundër kodeve me qëllim të keq që përdorin metoda thelbësisht të reja të depërtimit dhe infeksionit që janë shfaqur që nga momenti i krijimit të rregullave. Ky, në fakt, është kërcënimi i klasës “zero-day”. Për më tepër, shkrimtarët e viruseve gjejnë qëllimisht mënyra të reja për të anashkaluar rregullat e sjelljes ekzistuese në antiviruse, gjë që redukton përsëri ndjeshëm efektivitetin e metodave proaktive.

Zhvilluesit e antiviruseve thjesht janë të detyruar të përditësojnë grupet e tyre të rregullave të sjelljes dhe të modifikojnë heuristikat e tyre për t'iu përgjigjur kërcënimeve të reja. Pa dyshim, një përditësim i tillë ndodh më rrallë sesa përditësimi i nënshkrimeve të rregullta (shabllonet e kodit). Megjithatë, ajo ende ndodh rregullisht, dhe ndërsa numri i kërcënimeve të reja rritet, do të ndodhë gjithnjë e më shpesh. Si rezultat, industria do të vijë në të njëjtën metodë nënshkrimi, vetëm nënshkrimet do të bëhen "të sjelljes", dhe jo shabllonet e kodit.

Duke fshehur nga përdoruesit nevojën për përditësime proaktive të mbrojtjes, disa shitës antivirusesh në thelb po mashtrojnë klientët e tyre të korporatave dhe ato shtëpiake dhe shtypin. Si rezultat, në shoqëri po krijohet një ide jo plotësisht e saktë për mundësitë e mbrojtjes proaktive.

Metodat proaktive dhe të nënshkrimit

Pavarësisht nga mangësitë ekzistuese, metodat proaktive bëjnë të mundur zbulimin e disa kërcënimeve të reja edhe përpara lëshimit të nënshkrimeve përkatëse. Konsideroni, për shembull, reagimin e antiviruseve ndaj krimbit Email-Worm.Win32.Nyxem.e (në tekstin e mëtejmë Nyxem).

Krimbi Nyxem (i njohur gjithashtu si Blackmal, BlackWorm, MyWife, Kama Sutra, Grew dhe CME-24) hyn në një kompjuter kur hap një bashkëngjitje emaili që përmban lidhje me sajte pornografike dhe erotike, si dhe përmes skedarëve të vendosur në akses në rrjet të hapur. Brenda një çështje kohe, virusi fshin informacionin në hard disk, duke infektuar skedarë në 11 formate të ndryshme (përfshirë Microsoft Word, Excel, PowerPoint, Access, Adobe Acrobat). Në këtë rast, të gjitha informacionet e dobishme zëvendësohen nga një grup i pakuptimtë karakteresh. Një tipar tjetër karakteristik i Nyxem është aktivizimi i tij në ditën e tretë të çdo muaji.

Një grup kërkimor nga Universiteti i Magdeburgut (AV-Test.org) vlerësoi në mënyrë të pavarur shkallën e përgjigjes së zhvilluesve të antiviruseve ndaj shfaqjes së Nyxem. Doli se disa produkte antivirus ishin në gjendje të zbulonin krimbin duke përdorur teknologji proaktive, domethënë edhe para lëshimit të nënshkrimeve:

Zbulimi proaktiv i Nyxem nga bllokuesit e sjelljes
Kaspersky Internet Security 2006 (Beta 2)	Zbuluar
Sistemet e Sigurisë në Internet: Proventia-VPS	Zbuluar
Panda Software: TruPrevent Personal	Zbuluar

Zbulimi proaktiv i Nyxem nga heuristika
eSafe	Trojan/Worm (i dyshimtë)
Fortinet	e dyshimtë
McAfee	W32/Generic.worm!p2p
Nod32	NewHeur_PE (virus ndoshta i panjohur)
Panda	Skedar i dyshimtë

Koha e lëshimit të nënshkrimit të zbulimit të Nyxem
BitDefender	2006-01-16	11:13	Win32.Worm.P2P.ABM
Kaspersky	2006-01-16	11:44	Email-Worm.Win32.VB.bi
AntiVir	2006-01-16	13:52	TR/KillAV.GR
Dr Ueb	2006-01-16	14:56	Win32.HLLM.Generic.391
F-Secure	2006-01-16	15:03	Email-Worm.Win32.VB.bi
VirusBuster	2006-01-16	15:25	Worm.P2P.VB.CIL
F-Prot	2006-01-16	15:31	W32/ [email i mbrojtur](e sakte)
komandë	2006-01-16	16:04	W32/ [email i mbrojtur](e sakte)
AVG	2006-01-16	16:05	Worm/Generic.FX
Sophos	2006-01-16	16:25	W32/Nyxem-D
Trendi Micro	2006-01-17	03:16	WORM_GREW.A
eTrust-VET	2006-01-17	06:39	Win32/Blackmal.F
Norman	2006-01-17	07:49	W32/Small.KI
ClamAV	2006-01-17	08:47	Krimbi.VB-8
Avast!	2006-01-17	15:31	Win32:VB-CD
eTrust-INO	2006-01-17	16:52	Win32/Cabinet!Worm
Symantec	2006-01-17	17:03	[email i mbrojtur]

Historia e viruseve kompjuterike shkon më shumë se 25 vjet. Në mënyrë të pandashme me viruset, u zhvilluan edhe mjetet për të luftuar viruset - antiviruset. Historikisht, lidershipin në tregun e teknologjive antivirus e zinin sistemet e kërkimit të firmave, të quajtura ndryshe ato reaktive, të cilat kanë një sërë të metash serioze. Ato po zëvendësohen me teknologji të reja proaktive si HIPS, Sandbox, VIPS dhe të tjera, të cilat do të diskutohen në këtë artikull.

Sistemet klasike proaktive të zbulimit të malware, pavarësisht lehtësisë së dukshme të zbatimit dhe besueshmërisë, kanë një numër të metash të rëndësishme, përkatësisht:

* Efikasiteti i dobët ndaj kërcënimeve 0-ditore, pasi efektiviteti lidhet drejtpërdrejt me bazën e të dhënave të nënshkrimeve të malware, e cila përmban nënshkrime vetëm të malware të njohur aktualisht;
* Nevoja për të përditësuar vazhdimisht bazën e të dhënave të nënshkrimit të virusit për të mbrojtur në mënyrë efektive kundër malware të rinj;
* Për të zbuluar malware, kërkohet një procedurë skanimi, e cila kërkon shumë kohë dhe burime të sistemit;

Metodat e mbrojtjes proaktive
Historia e zhvillimit të metodave të mbrojtjes proaktive
Metodat proaktive të mbrojtjes u shfaqën pothuajse njëkohësisht me metodat reaktive të mbrojtjes, si dhe sistemet që përdorin këto metoda. Por për shkak të mungesës së "miqësisë" së sistemeve të mbrojtjes proaktive në lidhje me përdoruesin, zhvillimi i sistemeve të tilla u ndërpre dhe metodat u lanë në harresë. Relativisht kohët e fundit, metodat e mbrojtjes proaktive kanë filluar rilindjen e tyre. Sot, metodat proaktive të mbrojtjes po integrohen në programet antivirus që më parë përdornin vetëm sisteme mbrojtëse reaktive, dhe sisteme të reja antivirus po krijohen bazuar në metoda proaktive që kombinojnë disa metoda të mbrojtjes proaktive dhe ju lejojnë të kundërshtoni në mënyrë efektive kërcënimet më të fundit. .

Deri më sot, metodat e mëposhtme të mbrojtjes proaktive janë më të njohura dhe shpesh të zbatueshme:

* Metodat e analizës së sjelljes;

* Metodat e kufizimit të ekzekutimit të operacioneve;

* Metodat për kontrollin e integritetit të softuerit dhe sistemeve operative.

Metodat e parandalimit të ndërhyrjeve (metodat IPS):

HIPS- një metodë e kontrollit të aktivitetit të bazuar në përgjimin e thirrjeve në bërthamën e OS dhe bllokimin e ekzekutimit të veprimeve potencialisht të rrezikshme të softuerit që funksionon në modalitetin e përdoruesit, të kryera pa dijeninë e përdoruesit; Sistemi HIPS duke përdorur drejtuesin e tij përgjon të gjitha thirrjet e softuerit në bërthamën e OS. Në rast përpjekjeje për të kryer një veprim potencialisht të rrezikshëm nga ana e softuerit, sistemi HIPS bllokon ekzekutimin e këtij veprimi dhe i lëshon një kërkesë përdoruesit, i cili vendos të lejojë ose refuzojë ekzekutimin e këtij veprimi.
Përparësitë e sistemeve të ndërtuara në metodën HIPS:

* Efikasitet i lartë i kundërveprimit të rootkits që funksionojnë në modalitetin e përdoruesit;

Disavantazhet e sistemeve të ndërtuara në metodën HIPS:

* Efikasitet i ulët i rootkits kundërvepruese që funksionojnë në modalitetin kernel;

VIPS është një metodë e kontrollit të aktivitetit të bazuar në monitorimin e operacioneve të vazhdueshme të softuerit të instaluar në PC dhe bllokimin e ekzekutimit të veprimeve softuerike potencialisht të rrezikshme të kryera pa dijeninë e përdoruesit.

Parimi i funksionimit Sistemi VIPS, duke përdorur teknologjitë e virtualizimit të harduerit (Intel VT-x, AMD-V), lëshon sistemin operativ në një "makinë virtuale" dhe kontrollon të gjitha operacionet e kryera. Në rast përpjekjeje për të kryer një veprim potencialisht të rrezikshëm nga softueri, sistemi VIPS bllokon ekzekutimin e këtij veprimi dhe i lëshon një kërkesë përdoruesit, i cili vendos të lejojë ose refuzojë kryerjen e këtij veprimi.

Avantazhet e sistemeve të ndërtuara në metodën VIPS:

* Konsumi i ulët i burimeve të sistemit;

* Efikasitet i lartë i përballjes së kërcënimeve 0-ditore;

* Efikasitet i lartë i rootkit-ve kundërveprues që funksionojnë si në modalitetin e përdoruesit ashtu edhe në atë të kernelit;

Disavantazhet e sistemeve të ndërtuara në metodën VIPS:

* Kërkesa për harduerin e kompjuterit (sistemi VIPS kërkon mbështetje harduerike për teknologjitë e virtualizimit të harduerit nga procesori (Intel VT-x ose AMD-V);

* Një numër i madh thirrjesh për përdoruesin e PC;

* Përdoruesi duhet të ketë njohuri për parimet e funksionimit të OS;

* Pamundësia për të luftuar infeksionin aktiv të PC;

Sandbox- një metodë e bazuar në ekzekutimin e softuerit potencialisht të rrezikshëm në një mjedis ekzekutimi të kufizuar (i ashtuquajturi "sandbox"), i cili lejon kontaktin midis softuerit potencialisht të rrezikshëm dhe OS.
Parimi i funksionimit Sandbox e ndan softuerin e instaluar në dy kategori: "Të besuar" dhe "Të pabesuar". Softueri i përfshirë në grupin "Trusted" funksionon pa asnjë kufizim. Softueri i përfshirë në grupin "Të pabesuar" ekzekutohet në një mjedis të veçantë ekzekutimi të kufizuar (i ashtuquajturi sandbox), ky softuer është i ndaluar të kryejë çdo operacion që mund të çojë në rrëzimin e OS.
Përparësitë e sistemeve të ndërtuara në metodën e sandbox:

* Konsumi i ulët i burimeve të sistemit;

* Jo kërkues për harduerin e kompjuterit (mund të funksionojë në platforma të ndryshme);

* Një numër i vogël thirrjesh për përdoruesin e PC-së;

Disavantazhet e sistemeve të ndërtuara në metodën e sandbox:

* Përdoruesi duhet të ketë njohuri për parimet e funksionimit të OS;

* Pamundësia për të luftuar infeksionin aktiv të PC;

Bllokuesi i sjelljes (metoda e analizës aktive të sjelljes) është një metodë e bazuar në metodat IPS, analiza në kohë reale të zinxhirëve të veprimit të softuerit dhe bllokimi i ekzekutimit të algoritmeve potencialisht të rrezikshme në kohë reale.

Parimi i funksionimit Sisteme të ndryshme të mbrojtjes proaktive përdorin koncepte të ndryshme për zbatimin e metodës së analizës aktive të sjelljes (sepse metoda e analizës aktive të sjelljes mund të ndërtohet mbi bazën e çdo metode IPS). Në përgjithësi, metoda e analizës aktive të sjelljes është një metodë IPS me një sistem vendimmarrjeje inteligjente që analizon jo veprimet individuale, por zinxhirët e veprimeve.

* Më pak thirrje për përdoruesit, krahasuar me sistemet e ndërtuara në metodat IPS;

* Konsumi i ulët i burimeve të sistemit;

* Jo kërkues për harduerin e kompjuterit (mund të funksionojë në platforma të ndryshme);

* Sistemi inteligjent i verdikteve mund të shkaktojë "false pozitive" (bllokimi i punës së programeve jo-malware, për shkak të kryerjes së operacioneve të ngjashme me aktivitetet e malware);

* Pamundësia për të luftuar infeksionin aktiv të PC;

Metodat për emulimin e ngjarjeve të sistemit (metoda e analizës pasive të sjelljes)- një metodë për zbulimin e malware duke analizuar veprimet dhe/ose një zinxhir veprimesh duke ekzekutuar softuerin në një mjedis të veçantë të kufizuar (i ashtuquajturi emulator kodi) që simulon harduerin real.
Parimi i funksionimit Softueri lëshohet në një mjedis të kufizuar të veçantë (i ashtuquajturi emulator i kodit), i cili imiton harduerin real, ku kontrollon për ekzekutimin e veprimeve të caktuara dhe/ose një zinxhir veprimesh. Nëse zbulohet aftësia për të kryer një veprim potencialisht të rrezikshëm dhe/ose zinxhir veprimesh, softueri shënohet si keqdashës.
Përparësitë e sistemeve të ndërtuara në metodën e analizës aktive të sjelljes:

* Jo kërkues për harduerin e kompjuterit (mund të funksionojë në platforma të ndryshme);

* Mungesa e apelimeve ndaj përdoruesit, me përjashtim të rasteve të zbulimit të malware;

Disavantazhet e sistemeve të ndërtuara në metodën e analizës aktive të sjelljes:

* Në disa raste, analiza e kodit mund të zgjasë mjaft kohë;

* Përdorimi i gjerë i teknikave të emulimit të kodit anti-malware, kështu që sistemet që përdorin metodën e analizës pasive të sjelljes mund të mos jenë në gjendje t'i rezistojnë të gjitha llojeve të malware;

Skaneri i integritetit monitoron vazhdimisht kernelin OS për të zbuluar ndryshimet që mund të bëhen nga malware. Nëse zbulohen ndryshime të bëra nga malware, përdoruesi njoftohet për këtë dhe, nëse është e mundur, veprimet e kryera nga malware rikthehen.

Parimi i funksionimit Skaneri i integritetit monitoron të gjitha thirrjet në kernelin e OS. Nëse zbulohet një përpjekje për të ndryshuar parametrat kritikë, operacioni bllokohet.
Përparësitë e sistemeve të ndërtuara në metodën "integrity scanner":=

* Nuk kërkojnë njohuri ose aftësi të veçanta nga ana e përdoruesit;

* Jo kërkues për harduerin e kompjuterit (mund të funksionojë në platforma të ndryshme);

* Një numër i vogël thirrjesh për përdoruesin;

Disavantazhet e sistemeve të ndërtuara në metodën e "skanerit të integritetit":

* Për të zbatuar kontrollin e integritetit, është e nevojshme të kontrolloni një numër të madh parametrash të ndryshëm, të cilët mund të ndikojnë negativisht në performancën e PC-së;

* Efikasitet i dobët në kundërveprimin e rootkits së modalitetit të përdoruesit dhe kernelit;

* Pamundësia për të luftuar infeksionin aktiv të PC;

Metoda e parandalimit të tejmbushjes së buferit ("Emulatori i biteve NX") monitoron përmbajtjen e RAM-it. Nëse zbulohet një përpjekje për të bërë ndryshime kritike në përmbajtjen e RAM-it, veprimi bllokohet.

Parimi i funksionimit Siç e dini, thelbi i sulmeve të tejmbushjes së tamponit është tejmbushja e qëllimshme e RAM-it dhe, si rezultat, dështimi i PC-së për një kohë të caktuar. "Emulatori NX-bit" krijon një zonë të veçantë të rezervuar të RAM-it ku të dhënat nuk mund të shkruhen. Nëse zbulohet një përpjekje për të shkruar të dhëna në një zonë memorie të rezervuar, "emulatori NX-bit" bllokon veprimin, duke parandaluar kështu dëmtimin e kompjuterit.
Përparësitë e sistemeve të ndërtuara në metodën "emulator NX-bit":

* Nuk kërkojnë njohuri ose aftësi të veçanta nga ana e përdoruesit;

* Jo kërkues për harduerin e kompjuterit (mund të funksionojë në platforma të ndryshme);

* Mungesa e plotë e ndonjë apeli ndaj përdoruesit;

Disavantazhet e sistemeve të ndërtuara në metodën "emulator NX-bit":

* Sistemet e ndërtuara në metodën "emulator NX-bit" mund të përballojnë vetëm sulmet e hakerëve në tejmbushjet e buferit, këto sisteme nuk mund t'i rezistojnë çdo lloj kërcënimi tjetër;
* Pamundësia për të luftuar infeksionin aktiv të PC.

Mbrojtja Proaktive

[redakto]

Nga Wikipedia, Enciklopedia e Lirë

Teknologjitë proaktive- një grup teknologjish dhe metodash të përdorura në programet antivirus, qëllimi kryesor i të cilave, ndryshe nga teknologjitë reaktive (nënshkrimi), është të parandalojë infektimin e sistemit të përdoruesit dhe jo të kërkojë softuer me qëllim të keq tashmë të njohur në sistem.

[redakto] Historia e zhvillimit të teknologjive proaktive të mbrojtjes antivirus

[redakto] Teknologjitë e mbrojtjes proaktive

§ Analiza heuristike

§ Emulimi i kodit

§ Analiza e Sjelljes

§ Sandboxing (Sandbox) - kufizim i privilegjeve të ekzekutimit

§ Virtualizimi i desktopit

[redakto] Përdorimi aktual i teknologjive proaktive

Teknologjitë proaktive janë tani një komponent i rëndësishëm dhe integral i softuerit antivirus. Për më tepër, si rregull, produktet antivirus përdorin një kombinim të disa teknologjive të mbrojtjes proaktive menjëherë, për shembull, analiza heuristike dhe emulimi i kodit kombinohen me sukses me analizën e sjelljes, gjë që bën të mundur shumëfishimin e efektivitetit të produkteve moderne antivirus. kundër malware të ri, gjithnjë e më të sofistikuar.

13. Veçoritë e sistemit të skedarëve FAT32.

©2015-2019 faqe
Të gjitha të drejtat u përkasin autorëve të tyre. Kjo faqe nuk pretendon autorësinë, por ofron përdorim falas.
Data e krijimit të faqes: 2016-04-02

Teknologjitë proaktive- një grup teknologjish dhe metodash të përdorura në softuerin antivirus, qëllimi kryesor i të cilave, ndryshe nga teknologjitë reaktive (nënshkrimi), është të parandalojë infektimin e sistemit të përdoruesit dhe jo të kërkojë programe me qëllim të keq tashmë të njohur në sistem. Në të njëjtën kohë, mbrojtja proaktive përpiqet të bllokojë aktivitetin potencialisht të rrezikshëm të aplikacionit vetëm nëse ky aktivitet paraqet një kërcënim real. Një pengesë serioze e mbrojtjes proaktive është bllokimi i programeve legjitime (false pozitive).

Historia e zhvillimit të teknologjive proaktive të mbrojtjes antivirus

Teknologjitë proaktive filluan të zhvillohen pothuajse njëkohësisht me teknologjitë klasike (nënshkrimi). Sidoqoftë, zbatimet e para të teknologjive proaktive të mbrojtjes antivirus kërkonin një nivel të lartë aftësie të përdoruesit, domethënë ato nuk ishin të dizajnuara për përdorim masiv nga përdoruesit e zakonshëm të kompjuterëve personalë. Një dekadë më vonë, është bërë e qartë për industrinë e antiviruseve se metodat e zbulimit të bazuara në nënshkrime nuk mund të ofrojnë më mbrojtje efektive për përdoruesit. Ky fakt nxiti ringjalljen e teknologjive proaktive.

Teknologjitë e Mbrojtjes Proaktive

Analiza e Sjelljes

Teknologjia Sandbox funksionon në parimin e kufizimit të aktivitetit të aplikacioneve potencialisht me qëllim të keq, në mënyrë që ato të mos dëmtojnë sistemin e përdoruesit.
Kufizimi i aktivitetit arrihet duke ekzekutuar aplikacione të panjohura në një mjedis të kufizuar - në fakt një sandbox, nga ku aplikacioni nuk ka të drejta aksesi në skedarët kritik të sistemit, degët e regjistrit dhe informacione të tjera të rëndësishme. Teknologjia e kufizimit të privilegjeve të ekzekutimit është një teknologji efektive për të kundërshtuar kërcënimet moderne, por duhet kuptuar që përdoruesi duhet të ketë njohuritë e nevojshme për të vlerësuar siç duhet një aplikacion të panjohur.

Virtualizimi i desktopit

Përdorimi i teknologjive proaktive në kohën e tanishme

SERGEY YAREMCHUK, punëtor i pavarur. Autor i mbi 800 artikujve dhe gjashtë librave. Me “SA” nga numri i parë. Interesat: teknologjitë e rrjetit, siguria e informacionit, sistemet operative pa pagesë

Sistemet e mbrojtjes proaktive,

apo ka jetë pa antivirus?

Softueri antivirus është bërë një pjesë integrale e jetës së çdo përdoruesi kompjuteri saqë është e rrallë të mendosh për një zgjidhje alternative. Ekzistojnë programe proaktive të mbrojtjes kompjuterike që, ndryshe nga sistemet reaktive të përdorura aktualisht, janë në gjendje të zbulojnë kërcënime të reja.

Qëndrimet e përdoruesve ndaj antiviruseve variojnë nga besimi i plotë në mbrojtje deri në realizimin se gjëja kryesore është të përballosh goditjen e parë. Në të vërtetë, antiviruset sot nuk janë më një funksion mbrojtës, por më tepër përdoren si një mjet për të vlerësuar dëmet dhe për të hequr infeksionin. Kompanitë antivirus, plotësisht të vetëdijshme se një virus është një lloj algoritmi që përfshin jo vetëm një program me të gjitha komandat, por edhe veprime të caktuara që çojnë në dëmtimin e të dhënave, vazhdojnë me kokëfortësi të ndjekin rrugën më të thjeshtë. Dhe ne ende përdorim antivirusë që thjesht krahasojnë një grup karakteresh të marra nga bazat e të dhënave antivirus me një tjetër (skedar përdoruesi ose RAM).

Si rezultat, zgjidhjet tradicionale antivirus praktikisht nuk ishin në gjendje të qëndronin të vetme kundër diversitetit cilësor të kërcënimeve ekzistuese. Në një nga kurset, për të bindur skeptikët, unë shpaketova virusin MyDoom, i njohur më parë me sukses nga antiviruset me baza të të dhënave të përditësuara, dhe më pas e paketova me një paketues tjetër. Antiviruset nuk ishin në gjendje të gjenin një version të modernizuar, por të zbatueshëm të virusit. Sistemi i zbulimit, bazuar në përvojën e sulmeve të mëparshme, bëhet i padobishëm kur përballet me një virus ose spyware të panjohur. Për të gjeneruar një nënshkrim, një kompani antivirus duhet të marrë një kopje të virusit, të nxjerrë një fragment specifik vetëm për të dhe vetëm pas kësaj ai do të futet në bazën e të dhënave. E gjithë kjo kërkon pak kohë (dhe në rastin e një virusi polimorfik, procesi i krijimit të një nënshkrimi mund të jetë edhe më i gjatë), gjatë së cilës antiviruset nuk janë në gjendje t'i rezistojnë një armiku të ri, por mjafton që një krimb i ri të infektojë. qindra mijëra kompjuterë. Antiviruset klasike të nënshkrimit nuk janë në gjendje të parandalojnë epidemitë globale.

Nga ana tjetër, monitorimi i funksionimit të sistemit ose skedarëve kryesorë ju lejon të identifikoni problemet dhe të parandaloni një sulm, sisteme të tilla zakonisht klasifikohen si sisteme të parandalimit të ndërhyrjeve dhe sisteme mbrojtëse proaktive. Në botën Linux, projekte të tilla si LIDS, RSBAC, grsecurity, tripwire dhe të tjera janë njohur prej kohësh që, kur konfigurohen siç duhet, mbrojnë sistemin në mënyrë të besueshme. Kohët e fundit, ka pasur një ringjallje të dukshme midis zhvilluesve të sistemeve të sigurisë për Windows.

Para se të vazhdoj me zgjidhjet specifike, do të doja të them disa fjalë për problemet. Gjëja e parë dhe më e vështirë për të bërë është të bindni veten se një mjet i tillë është në gjendje të mbrojë kompjuterin tuaj ose të paktën të përgjigjet. Për dy vjet, kompjuteri im eksperimental mbrohej nga një nga antiviruset falas, si rregull, me baza të të dhënave gjysmë vjeçare, një mur zjarri dhe një nga programet e përshkruara më poshtë. Gjatë kësaj kohe, sistemi ka qenë (dhe po i nënshtrohet vazhdimisht) sulmeve të shumta, por asnjë infeksion nuk ka ndodhur.

Është e mundur që ishte thjesht fat, ose ndoshta është koha për të rishqyrtuar vërtet. Por kapja është se shërbimet komunale kërkojnë që përdoruesi të ketë njohuri të caktuara dhe njëfarë kuptimi të asaj që po ndodh në sistem. Shfaqja e një procesi të ri duhet të alarmojë përdoruesin, ai duhet të paktën të lexojë mesazhin paralajmërues dhe më pas të marrë vendimin e duhur. Klikimi i butonit pa menduar mund të çojë në infeksion. Edhe pse vlen të përmendet se kohët e fundit programe të tilla tashmë kanë bërë më pak pyetje, duke marrë vendimet e tyre.

Më tej, nëse shërbimet reagojnë ndaj një procesi të ri të shkaktuar nga një sulm krimbi, atëherë është mjaft e mundur që një makro virus të jetë në gjendje të mbyllet nëse infekton vetëm një skedar shabllon ose dokument pune pa krijuar skedarë dhe procese të reja. Por në pjesën më të madhe ata i përgjigjen problemit që ka lindur. Natyrisht, është më mirë të instaloni programe të tilla në një sistem "të pastër", kështu që do të jetë më e lehtë të kontrolloni shtimin e programeve në listën "e bardhë". Për më tepër, programet e sjelljes nuk mund të ndalojnë gjithmonë depërtimin, dhe për të kuruar ose gjetur skedarë të infektuar, ju duhet ende të përdorni një antivirus, kështu që mjete të tilla duhet të konsiderohen më shumë si ndihmëse (rrjetat e sigurisë), detyra e tyre kryesore është të parandalojnë epidemitë , pasi ato mund të bllokojnë infeksionet masive. Për mbrojtje bazë, duhet të përdorni ende një bandë - një mur zjarri + antivirus.

Një roje me emrin Scotty

Do të filloj me një program që e përdor për më shumë se dy vjet. WinPatrol (http://www.winpatrol.com) versioni aktual 9.1, statusi i softuerit falas, i mbështetur nga Windows 95, 98, ME, 2000, NT dhe XP, madhësia - 0.98 Kb.

WinPatrol merr një fotografi të burimeve kritike të sistemit dhe ju njofton nëse ka ndonjë ndryshim. Pas nisjes, një ikonë me imazhin e një qeni të quajtur Scotty The Windows Watch Dog do të shfaqet në tabaka pranë orës. Tani kjo Scotty WWD do të monitorojë pa u lodhur gjithçka që ndodh në kompjuterin që i është besuar, "të nuhasë" gjithçka në lidhje me viruset që riprodhohen vetë, Adware, Spyware, Trojans që kanë hyrë fshehurazi në kompjuterin tuaj dhe, natyrisht, Cookies që do të vijnë në ju gjatë gjithë kohës. Scotty ju lejon të konfirmoni instalimin e çdo programi të ri në kompjuterin tuaj. Duke thirrur programin, marrim një dritare programi me disa skeda (Fig. 1):

Programet e fillimit- ju lejon të shikoni të gjitha aplikacionet në funksion, të ndaloni ose madje të hiqni ato të panevojshme nga autorun, të merrni informacione për secilin (emri, versioni i programit, çelësi i regjistrit, etj.) ose duke shtypur butonin "Raporti i plotë", merrni një raport për të gjitha programet ne nje kohe. Scotty shikon listën e programeve të fillimit herën e parë që fillon dhe paralajmëron përdoruesin nëse ndryshon.
IE Helpers– kontroll mbi objektet ndihmëse të shfletuesit, d.m.th. informacion për objektet ekzistuese, kërkesë për instalim të objekteve të reja, fshirje të objekteve të dyshimta. Duhet të them që Objektet Ndihmëse të Shfletuesit lansohen çdo herë së bashku me Internet Explorer (i cili, me përpjekjet e Microsoft, është një pjesë e pandashme e sistemit), përfshirë kur hapni dosje në kompjuterin lokal. Prandaj, me ndihmën e tyre, ju lehtë mund të monitoroni përdoruesin, i cili përdoret në programe si SpyWare.
Monitorimi i planifikuar i detyrave– shfaqja e detyrave të planifikuara, kontrolli mbi shtimin e të rejave dhe marrja e informacionit shtesë për punën e planifikuar
Shërbimet– çaktivizoni ose ndaloni përkohësisht funksionimin e shërbimeve dhe merrni informacion shtesë rreth tyre. Për të mos kërkuar programe të dyshimta në një listë të madhe, mund të aktivizoni artikullin "Lista vetëm shërbimet jo-Microsoft", duke hequr kështu ato të sistemit.
Shiko detyrat aktive- marrjen e informacionit në lidhje me programet dhe detyrat që ekzekutohen aktualisht, duke shkatërruar dhe pezulluar ato të panevojshme dhe të dyshimta. Gjithashtu, duke përdorur këtë artikull, ju mund të kuptoni funksionimin e sistemit që funksionon, d.m.th. zbuloni se për çfarë synohet një program i caktuar.
Biskota– informimi për shfaqjen e Cookies të reja, refuzimi, menaxhimi dhe shikimi i informacionit të regjistruar në Cookies për të marrë një vendim. Ju gjithashtu mund të krijoni një rregull filtri për Cookies që duhet të fshihen gjithmonë (Cookies with Nuts).
Opsione– vendosja e opsioneve për vetë programin. Ai gjithashtu vendos kontroll mbi zëvendësimin e faqes kryesore në një shfletues ueb, një reagim ndaj një ndryshimi në skedarin e hosteve ose bllokimin e plotë të tij, shfaqjen e një raporti të plotë në sistem dhe mbajtjen e një historie ndryshimesh.
Llojet e skedarëve- ju lejon të shikoni, kontrolloni dhe rivendosni lidhjen e ndryshuar të aplikacioneve me shtesat e skedarëve.
PLUS- duke u regjistruar, ju merrni akses në një bazë të dhënash të rrjetit të programeve, qëllimi i së cilës është të ndihmojë përdoruesit të kuptojnë listën e emrave të panjohur, sepse mbishkrimi servise.exe në tabelën e procesit nuk do t'u tregojë asgjë shumicës së njerëzve. Në kohën e shkrimit, regjistrimi ishte falas.

Menaxheri i detyrave AnVir

Gjëja e parë që ju vjen në mendje pasi njiheni me menaxherin e procesit të AnVir Task Manager (http://anvir.com/anvirrus.exe) është se kjo nuk është serioze. Faji është madhësia e vogël e programit, pak më pak se 380 KB. Por më kot. Pavarësisht nga një madhësi kaq e vogël, programi ndihmon:

merrni informacion të plotë në lidhje me proceset e ekzekutimit (shtegu i skedarit, përshkrimi, koha e ekzekutimit, procesi prind, linja e komandës, përdorimi i CPU-së, përdorimi i memories, lista e dll-ve të përdorura, skedarët, drejtuesit, thread-ët, dritaret, etj.);
kuroni një kompjuter të infektuar nga viruse, spyware dhe viruse rezidente Trojan;
menaxhoni aplikacionet që fillojnë në fillimin e Windows, me mundësinë e nisjes me vonesë (pas 1 minute) dhe bllokimin e shtimit të programeve të reja (Fig. 2).

Me ndihmën e AnVir Task Manager, është e mundur të ndaloni çdo proces, të ndryshoni prioritetin, ta shtoni atë në fillim (Fig. 3).

Baza e të dhënave antivirus përmban vetëm viruset më të zakonshëm, të gjitha programet e ekzekutuara dhe shënimet e regjistrit kontrollohen automatikisht për viruse. Ndër të tjera, tabaka e sistemit shfaq ikonat e ngarkimit të procesorit dhe diskut, dhe nga tastiera e menaxhimit mund të aksesoni shpejt shërbimet kryesore të sistemit.

Përgjimi i thirrjeve të sistemit me Safe'n'Sec

Kompania ruse StarForce (http://www.star-force.ru) ka qenë prej kohësh e njohur për mekanizmin e saj eponim për mbrojtjen e disqeve nga kopjimi i paligjshëm. Zhvillimi i ri Safe'n'Sec, i prezantuar në nëntor të vitit të kaluar, pothuajse menjëherë mori njohjen dhe u emërua antivirusi i muajit nga revista PC Magazine / RE. Në të njëjtën kohë, Safe'n'Sec nuk i përket antiviruseve, por i përket klasës së sistemeve të mbrojtjes proaktive që analizojnë sjelljen e dyshimtë të një përdoruesi ose programi. Për ndërmarrjet e vogla dhe të mesme, si dhe për përdorim individual, është menduar versioni Personal. Versioni i korporatës i Safe'n'Sec Business ka një tastierë administrative që lejon administratorin e sistemit të instalojë dhe konfigurojë në distancë programin në kompjuterët e përdoruesve.

Versioni 1.1, aktual në kohën e këtij shkrimi, është i disponueshëm në dy versione - një version i prerë Safe'n'Sec. 1.1 dhe versioni i plotë Safe'n'Sec. 1.1 + antivirus. Kjo e fundit, siç nënkupton edhe emri, përfshin mundësinë e skanimit antivirus. Produkti bazohet në modulin e kontrollit të aktivitetit inteligjent, i cili lejon zbulimin e sulmeve të kombinuara, parandalimin e përpjekjeve për të bërë ndryshime në regjistrin e sistemit ose gjendjen e shërbimeve të sistemit operativ, akses të hapur në të dhënat e regjistrimit të përdoruesve, etj. Në të njëjtën kohë, Safe Mekanizmi vendimmarrës 'n'Sec funksionon në bazë të rregullave duke marrë parasysh të gjitha sekuencat e mundshme të veprimeve të klasifikuara si keqdashëse. Të gjitha të dhënat në kompjuterin e përdoruesit mbrohen në përputhje me politikën e kontrollit të aktivitetit, e cila përcakton se cilat veprime dhe sekuenca e tyre duhet të konsiderohen të dëmshme. Për momentin, ekzistojnë tre politika - të ashpra, strikte dhe besimi. Pas zbulimit të një aplikacioni të dyshimtë, Safe'n'Sec vendos në mënyrë të pavarur mbi dëmshmërinë e tij dhe njofton përdoruesin, i cili duhet të përcaktojë se çfarë të bëjë me një aplikacion të tillë (të lejojë ose të bllokojë) (Fig. 4).

Për më tepër, për të thjeshtuar vendimmarrjen, disponohet një histori aktiviteti, sipas të cilit ai mund të studiojë në detaje sekuencën e veprimeve të kryera nga aplikacioni. Për më tepër, nga tastiera, mund të përdorni listën e aplikacioneve të ndaluara dhe të besuara, të cilat mund të modifikohen këtu. Për të testuar performancën, programi vjen me mjetin snstest.exe, i cili simulon futjen e të dhënave në regjistrin e sistemit, një përpjekje për të shkruar dhe fshirë nga drejtoria e sistemit.

Kontroll gjithëpërfshirës me RegRun

RegRun Security Suite (http://www.greatis.com) punon me të gjitha versionet e Windows. Një grup tjetër mjetesh për të mbrojtur kompjuterin tuaj kundër viruseve ose Trojans, spyware dhe adware. Është i disponueshëm në tre versione kryesore: Standard (për përdoruesit e zakonshëm, ofron menaxhim dhe siguri të lehtë), Professional (ka veçori shtesë për të punuar me regjistrin e sistemit, ju lejon të optimizoni shpejt cilësimet e sistemit dhe të ofroni mbrojtje të besueshme), dhe Gold ka aftësitë më të mëdha, të krijuara për profesionistët. Lidhja http://www.greatis.com/security/rus.exe ofron një lokalizim të programit, përveç kësaj, ekziston një përkthim jozyrtar i skedarit të ndihmës në faqen http://www.ruhelp.narod.ru, gjë që e bën më të lehtë njohjen me programin.

Pas fillimit të RegRun, mbrojtja aktivizohet, e përcaktuar nga niveli i sigurisë - nga i ulët në ultra i lartë. Në Qendrën e Kontrollit RegRun, janë konfiguruar parametrat për funksionimin e moduleve kryesore (Fig. 5). Për shembull, "WATCH DOG" siguron kontroll mbi ngarkimin automatik gjatë funksionimit, ai mund të konfigurohet për të kontrolluar konfigurimin e ngarkimit automatik gjatë nisjes dhe mbylljes së Windows, ose në intervale të caktuara. Nëse zbulohen ndryshime gjatë skanimit, përdoruesi do të njoftohet për këtë dhe do të hapet gjithashtu programi Start Control, me të cilin mund të merrni informacion të detajuar në lidhje me programet e nisura automatikisht.

Një nga veçoritë më të dobishme është Mbrojtja e skedarit, e cila mbron kompjuterin tuaj nga viruset, trojanët dhe programet që funksionojnë keq. Fillimisht krijohet një listë skedarësh, gjendja e të cilave duhet të monitorohet. Për restaurimin e mëvonshëm, ato kopjohen në depo, e cila ndodhet në "My DocumentsRegRun". Vërtetë, për ndonjë arsye vetë programi nuk mbron vetë ruajtjen dhe nuk reagon ndaj zëvendësimit të skedarit në asnjë mënyrë.

Nëse zbulohet një modifikim i skedarëve të mbrojtur, do të shfaqet një paralajmërim që tregon madhësinë dhe datën e krijimit të të dy skedarëve. Tani ky skedar mund të kopjohet, riemërohet, fshihet, hapet ose skanohet nga një program antivirus. Për të kërkuar viruse që nuk njihen për programet antivirus, RegRun hap dhe monitoron shumë programe "karrem", nëse zbulohet një ndryshim në ndonjë nga këto skedarë, RegRun do të raportojë praninë e një virusi. Për Windows, një karrem i tillë është skedari winbait.exe, autorun e të cilit futet në regjistër dhe krahasohet me winbait.org, përveç kësaj, është e mundur të shtoni skedarin tuaj të kontrolluar. RegRun ka një bazë të dhënash aplikacioni që përmban përshkrime të programeve që hasen më shpesh, duke ndihmuar përdoruesin të identifikojë një nga katër grupet: të nevojshme, të padobishme, të rrezikshme dhe zgjedhjen tuaj. RegRun kontrollon praninë e ndonjë programi potencialisht të rrezikshëm dhe informon përdoruesin për to, përveç kësaj, është i pajtueshëm me të gjithë antiviruset e njohur, dhe Koordinatori Antivirus mund të kontrollojë shpejt skedarët e vendosur në ngarkim automatik. Për më tepër, detektori i zëvendësimit krahason shtegun real drejt skedarit të ekzekutueshëm me atë të ngarkuar. Për shembull, nëse një proces me emrin explorer.exe niset nga një vendndodhje tjetër përveç c:windowssystem, përdoruesi do të njoftohet. Registry Tracer, i disponueshëm në botimet Professional ose Gold, ju lejon të specifikoni një listë të çelësave të regjistrit që RegRun do të lëshojë një mesazh paralajmërues nëse përpiqeni t'i ndryshoni ato.

Kontrolli i integritetit me Xintegrity

Zhvilluesit e Xintegrity (http://www.xintegrity.com) shkuan në një mënyrë paksa të ndryshme. Detyra kryesore e së cilës është të kontrollojë integritetin dhe të zbulojë çdo ndryshim, madje edhe më të parëndësishëm në skedarë. Përveç monitorimit të përmbajtjes së skedarëve, programi zbulon ndryshime në strukturën e drejtorisë, duke përfshirë Rrjedhat Alternative të të Dhënave, ndryshimet në parametrat e aksesit të skedarëve, të dhënat e regjistrimit dhe shërbimet. Për ta bërë këtë, fillimisht krijohet një bazë të dhënash që përmban informacione rreth aplikacioneve të kontrolluara. Interesante, zhvilluesit morën parasysh mundësinë e përdorimit të fshehur të mjetit, dhe ju mund të vendosni çdo emër, shtrirje dhe vendndodhje të bazave të të dhënave. Prandaj, duke e emërtuar skedarin disi çdo ditë, për shembull, kursovik.rtf ose song.mp3 dhe duke e vendosur në një grup skedarësh të ngjashëm, mund ta fshehni. Kur krijoni një bazë të dhënash, ekzistojnë tre opsione: vetëm shumat e kontrollit të skedarëve futen në të, bëhet një kopje rezervë e të gjitha të dhënave dhe kopjet rezervë janë të koduara shtesë (256 bit AES). Në dy rastet e fundit, përveç kontrollit, ato ju lejojnë të rivendosni skedarët e ndryshuar. Disa opsione mund të përdoren si një shumë kontrolli - nga një funksion hash 128-bit MD5 në AES me një gjatësi çelësi 256-bit. Me Xintegrity, mund të kontrolloni integritetin e skedarëve sipas kërkesës ose ta ekzekutoni atë në sfond, më pas kur të zbulohet një ndryshim, përdoruesi do të njoftohet menjëherë. Kur Xintegrity zbulon një skedar të tillë të modifikuar, përdoruesit do t'i jepet informacion i detajuar se si dhe kur është modifikuar skedari, dhe me disa opsione për krijimin e një baze të dhënash, do t'i kërkohet ta zëvendësojë atë me një kopje rezervë. Për shembull, në fig. Figura 7 tregon ndryshimin midis një skedari të monitoruar dhe të njëjtit skedar të infektuar me virusin Win32.HLLP.Underscore.36864.

Për qëllime sigurie, kur hap një bazë të dhënash, Xintegrity kontrollon automatikisht si veten ashtu edhe të gjitha bazat e të dhënave të regjistruara për integritet. Kur krijoni një bazë të dhënash, mund të futni të gjithë skedarët në një drejtori të caktuar në të, ose të përdorni një grup filtrash për të zgjedhur skedarë që plotësojnë disa kritere (madhësia, modifikimi ose koha e krijimit, sipas llojit, përmbajtjes, atributeve dhe funksionalitetit). Ekziston një artikull që përfshin të gjitha sa më sipër, dhe gjithashtu mbështet Drag'and'Drop dhe ngjitjen e një skedari nga clipboard. Skedarët e vendosur në dosjet FAT32, NTFS dhe rrjeti mund të renditen në të njëjtën bazë të dhënash. Siç mund ta shihni, mund të vendosni pothuajse çdo kusht. Prandaj, mund të krijoni disa baza të dhënash, të grumbulloni skedarë të ekzekutueshëm dhe të sistemit në njërën, burimet e rrjetit në të cilat keni akses në një tjetër dhe burimet që mund të funksionojnë në rrjet në të tretën. Dhe për secilin vendos mënyrën e vet të verifikimit.

konkluzioni

Zgjidhjet e sotme të sigurisë së informacionit janë efektive në luftimin e kërcënimeve dhe dobësive tashmë të njohura. Koha e reagimit të kompanive antivirus pas zbulimit të një virusi të panjohur mund të quhet e ngadaltë dhe e mjaftueshme për të infektuar mijëra kompjuterë. Por tendencat na lejojnë të themi se jemi në pritje të shfaqjes së metodave të reja të përhapjes së kërcënimeve, me një shkallë edhe më të lartë riprodhimi. Kërcënimet e reja kërkojnë një qasje të re. Ky artikull përshkruan vetëm aplikacione të pavarura. Ndërkohë, prodhuesit tashmë po ndërtojnë mjete të tilla në shërbimet e tyre. Për shembull, Tiny Firewall (http://www.tinysoftware.com) përmban Host Security Engine (HSE), i cili të kujton disi antiviruset proaktivë dhe me ndihmën e Track'n Reverse, ju lejon të ktheni sistemin në gjendjen e tij origjinale nëse zbulohet një program me qëllim të keq. Ose produkti i Aladdin (http://www.eAladdin.com) eSafe (http://www.esafe.com) përdor, përveç mjeteve tradicionale, një antivirus proaktiv (Proactive Security Engine). Sipas shumë analistëve, e ardhmja e afërt do të shënohet nga mbrojtja proaktive.

Mbrojtja proaktive ose reaktive.

Historia e zhvillimit të teknologjive proaktive të mbrojtjes antivirus

Teknologjitë e Mbrojtjes Proaktive

Përdorimi i teknologjive proaktive në kohën e tanishme

Hyrje në teknologjitë proaktive

Analiza heuristike

Bllokuesit e sjelljes

Mbrojtja proaktive dhe dobësitë e softuerit

Metodat proaktive dhe të nënshkrimit

Historia e zhvillimit të teknologjive proaktive të mbrojtjes antivirus

Teknologjitë e Mbrojtjes Proaktive

Përdorimi i teknologjive proaktive në kohën e tanishme

Artikujt kryesorë të lidhur