Методы защиты

Традиционные методы защиты от вредоносных программ

 

Первые антивирусы работали по сигнатурным технологиям (сравнение подозрительного кода с вирусными базами). Но по мере роста числа и разнообразия вредоносных программ, стало ясно, что защищаться только этим методом не эффективно. До того, как новый вредоносный код попадет в вирусную базу, он может нанести существенный вред. Поэтому начались развиваться проактивные технологии, которые позволяли бороться с новыми угрозами. Мы здесь перечислим современные методы защиты, используемые антивирусными программами, которые борются со всеми видами вредоносного кода, и, в том числе, со шпионским ПО.

Эвристический анализ

Эта технология анализирует код программы, скрипта или макроса и обнаруживает участки кода, отвечающие за вредоносную активность.

Эффективность ее не является высокой, поскольку пользователь сталкивается с большим количеством ложных срабатываний при повышении чувствительности анализатора. Помимо этого авторы вредоносных программ научились обходить эвристический компонент антивирусной программы.

Эмуляция кода

Технология эмуляции позволяет запускать подозрительную программу в среде, эмулируя поведение ОС или центрального процессора. В этом режиме программа не сможет нанести вреда компьютеру пользователя, а вредоносное действие будет заблокировано эмулятором.

К сожалению и этот метод не лишен недостатков – эмуляция занимает слишком много времени и ресурсов компьютера, что негативно сказывается на быстродействии при выполнении обычных операций. В дополнение к этому недостатку, современные вредоносные программы способны обнаруживать факт своего размещения в эмулированной среде и прекращать свою работу в ней.

Анализ поведения

Технология анализа поведения отслеживает всю активность на компьютере и перехватывает все важные системные функции. Она позволяет оценивать не только единичное действие, но и цепочку действий, что повышает эффективность противодействия вредоносным программам. Поведенческий анализ является технологической основой для целого класса программ – поведенческих блокираторов (HIPS). С точки зрения борьбы со шпионами, которые перехватывают клавиатурный ввод и делают снимки экрана, технология анализа поведения не может определить, являются ли эти действия легальными (сам пользователь их инициировал) или это вредоносная программа делает. Поэтому любую новую легальную программу пользователь должен будет вносить в «белые списки», иначе он не сможет ею пользоваться.

Sandboxing (Песочница) – ограничение привилегий выполнения

Технология Песочницы работает по принципу ограничения активности потенциально вредоносных программ, чтобы они не могли нанести вреда компьютеру пользователя.

Это достигается за счет выполнения неизвестных приложений в ограниченной среде, называемой «песочницей». Из нее программа не имеет прав доступа к критическим системным файлам, реестру и другой важной информации. Это эффективная технология, но пользователь должен обладать знаниями, необходимыми для правильной оценки неизвестного приложения.

Виртуализация рабочего окружения

С помощью системного драйвера технология виртуализации перехватывает все запросы на запись на жесткий диск и вместо выполнения записи на реальный жесткий диск выполняет запись в специальную дисковую область – буфер. Поэтому, даже в том случае, если пользователь запустит вредоносное программное обеспечение, оно проживет не далее чем до очистки буфера, которая по умолчанию выполняется при выключении компьютера.

Но технология виртуализации рабочего окружения не сможет защитить от вредоносных программ, основной целью которых является кража конфиденциальной информации, поскольку доступ на чтение к жесткому диску не запрещен.

Как видим из приведенных описаний традиционных технологий защиты пользователя, все они наравне с достоинствами имеют и недостатки. Чем больше методов используется, тем выше степень защищенности. Но от новых шпионских программ даже несколько перечисленных технологий вряд ли защитят. Так какой метод защиты от шпионских программ более надежный?

Только для рассылки информации о новых версиях и шпионах