Главная страница Случайная страница
КАТЕГОРИИ:
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника
Поведенческие блокираторы.
|
|
Технология поведенческого анализа на сегодняшний день является наиболее перспективной. Она позволяет обнаруживать и новые версии вредоносного ПО, и те, сигнатуры которых есть в антивирусной базе. Поведенческий блокиратор – это резидентная программа, следящая за всеми действиями запущенных приложений и проверяющая их на допустимость.
Узкое звено этой технологии – определение вредоносности действий. Если бы все операции можно было четко разделить на две группы – свойственные вирусам и свойственные всем остальным программам, то проблем с вирусами больше никогда бы не было. На практике даже операционная система в процессе работы осуществляет вирусоподобные действия, вызывающие реакцию поведенческого блокиратора.
Чтобы решить эту проблему, существует несколько путей. Самый простой: обеспечить постоянный контроль над программой со стороны пользователя. При обнаружении подозрительных действий блокиратор выдает диалоговое окно, содержащее данные о программе-нарушителе и ее «желаниях», и запрашивает разрешение у пользователя. Этот способ не прошел испытания временем, так как человеку приходится постоянно реагировать на системные события.
Второй способ был реализован, в частности, «Лабораторией Касперского» в модуле Office Guard – специализированном модуле, предназначенном для работы в приложениях Microsoft Office. Его отличительная особенность состоит в том, что блокиратор реагирует лишь на события, возникающие в результате выполнения макрокоманд MSOffice, число которых неизмеримо меньше, чем общее число событий системы и приложений. Более того, все действия, которые может совершить макропрограмма, строго ограничены и зависят лишь от языка Visual Basic for Application. Таким образом, среди них легко вычленить опасные и предотвратить их. В этом случае, когда множество всех операций конечно и исследуемо, модуль Office Guard дает 100%-ную гарантию безопасности (защиты от макровирусов).
В VBA существует ограниченный набор команд, которые макровирусы могут использовать для своих нужд. Наиболее употребительные из них - отключение запроса на сохранение шаблона Normal.dot (команда Application.Options.SaveNormalPrompt = False), отключение защиты от вирусов (Application.Options.VirusProtection = False), попытка вставить свой код в другой макрос (функция WordBasic.MacroCopy) и другие. Как только макровирус попытается выполнить хотя бы одно из этих действий, поведенческий блокиратор в зависимости от настроек либо полностью блокирует вредоносную операцию, либо приостановит ее выполнение и запросит разрешение у пользователя.
Следует обратить внимание, что из-за коммерциализации антивирусного ПО, поведенческий блокиратор, как правило, только предотвращает опасные действия вирусов, но не идентифицирует вредителя и тем более не лечит зараженные объекты. Таким образом, использование только поведенческого блокиратора вряд ли позволит создать полноценную антивирусную защиту. Это важное дополнение к антивирусной системе, включающей сканер, монитор и ревизор, которое поможет затруднить проникновение в ЭВМ неизвестных вирусов и не допустит их дальнейшего распространения в уже пораженной системе.