База данных Российской полиграфии - Print Base
Вся полиграфия - Print BaseКаталог полиграфического оборудования и расходных материаловПолиграфические услугиКаталог компаний полиграфической индустрииНовости полиграфической индустрииСтатьи для полиграфистов, дизайнеров и просто любознательныхГлоссарий полиграфических терминовДоска объявленийРабота. Зарплата. Резюме. Вакансии
Главная страница / Новости / Безопастность

Поиск в новостях

Полиграфия
Упаковка
Железо
Софт
Безопастность
Обучение

RB2 Network

RB2 Network

Будущее за антивирусами, которые блокируют вредоносные программы "за плохое поведение"

21.03.2002

На сайте SecurityFocus опубликована статья Кэри Нахенберг (Carey Nachenberg), в которой автор предсказывает большое будущее технологии борьбы с вирусами под названием "Блокировка по поведению" (Behavior Blocking).

В настоящее время антивирусные программы действуют, как правило, по двум алгоритмам: во-первых, выискивается так называемая "сигнатура", во-вторых, применяется так называемая "эвристическая" техника. В первом случае, антивирусное средство может обнаружить и истребить вредоносную программу - будь то резидентный вирус, почтовый червь, троян, backdoor и т.д. - по определенной последовательности байтов, которая и называется "сигнатурой" (fingerprint; дословно - "отпечаток пальца"). В антивирусных базах хранятся десятки тысяч таких сигнатур, однако против совершенно нового вируса, сигнатура которого в базе отсутствует, антивирусный пакет оказывается бессилен. В прежние времена, когда вирусы распространялись в основном на носителях информации, вроде дискет, - то есть, довольно медленно, - поставщики антивирусных решений успевали создать противоядие до того, как вирус получал широкое распространение. Так что сигнатурные антивирусы работали не только на лечение, но и на профилактику.

Второй метод - "эвристический" - предусматривает проверку всех команд программы и выявление "подозрительных". Эвристические технологии могут выявлять новые вирусы, никогда ранее не встречавшиеся, и, таким образом, способны предотвращать распространение опасного программного кода. С другой стороны, эвристические методы нередко дают ложные предупреждения, помечающие "чистый" программный код как подозрительный.

Естественно, в комбинации эти методы более эффективны, чем по отдельности. Современные антивирусы, использующие оба метода, часто производят эмуляцию процессора, или помещают подозрительную программу в "песочницу" - т.е. изолируют полученные из интернета исполняемые файлы на время выполнения загружаемого кода в ограниченную среду. В "песочнице" программа неспособна нанести вред системе. Однако, как пишет Нахенберг, при использовании этих методов подозрительные программы подвергаются лишь частичному сканированию и весь набор их команд может и не быть проверен. Из-за того, что существует огромное количество способов закамуфлировать вредоносную программу, даже при совместном использовании этих методов они не всегда могут обнаружить новую заразу.

Антивирусная система, работающая по методу "блокировки по поведению" позволяет антивирусу в реальном времени отслеживать действия работающих программ и блокировать те действия, которые могут напоминать работу антивируса. К таким действиям относятся, в частности, несанкционированные попытки открыть, просмотреть, удалить или изменить файлы, отформатировать диск, или произвести с ним какие-то другие операции с необратимыми последствиями; это могут быть изменения в логике работы программ, скриптов или макросов, модификация в ключевых установках системы; несанкционированные попытки переслать по почте или через интернет-пейджеры исполняемых файлов, или также несанкционированные попытки установить сетевые соединения. Кроме того, как бы ни маскировался вирус, рано или поздно он выдает себя вполне конкретным запросом к операционной системе, так что как бы он ни маскировался, у антивируса есть возможность его обнаружить и истребить.

К сожалению и у этого метода есть свои недостатки, в частности, для того, чтобы антивирус мог вычислить все повадки вируса, тот должен запуститься в системе. А соответственно - нанести вред. Поэтому, считает Нахенберг, другие методики - эвристическая и сигнатурная - никуда не денутся. Кроме того, нынешние блокирующие системы обладают очень низкой эффективностью и высокими требованиями к системным ресурсам и... системным администраторам. Другое дело, что и все остальные антивирусные решения уже не могут обеспечить должной степени профилактической защиты от вирусов, поэтому нужно искать новые способы или улучшать старые. Нахенберг считает, что развитие метода "поведенческой блокировки" может оказаться очень перспективным вариантом.

Источник: «Компьюлента»


Вернуться к списку новостей


Коментарии пользователей


Ваши коментарии

Автор:* E-Mail:
Коментарий:*

 
| Блиц опросы |
 
 
Copyright 2000 New Line Graphics, ЗАО
E-Mail: info@nlg.ru
Rambler's Top100