Ochrona antywirusowa: ewolucja i metody

Pierwsza technologia wykrywania szkodliwego oprogramowania opierała się na sygnaturach: segmentach kodu, które służą jako unikatowe identyfikatory poszczególnych szkodliwych programów. Wraz z ewolucją wirusów technologie służące do ich wykrywania stawały się coraz bardziej złożone. Zaawansowane technologie (heurystyka oraz analizatory zachowań) można wspólnie określić jako metody wykrywania nieopierające się na sygnaturach.

Autor artykułu skoncentrował się głównie na technologiach, które nie są oparte na sygnaturach, ponieważ sygnatury są prymitywne i powtarzalne i nie stanowią interesującego tematu. Ponadto, powszechnie wiadomo, na czym polega skanowanie sygnaturowe, natomiast większość użytkowników nie posiada gruntownej wiedzy o działaniu technologii, które nie są oparte na sygnaturach. W artykule wyjaśniono takie terminy jak "heurystyka", "wykrywanie proaktywne", "wykrywanie behawioralne" i "HIPS" oraz przedstawiono zalety i wady takich technologii.

Systemy obrony szkodliwego oprogramowania: model

Poniższy model wyjaśnia, w jaki sposób działają technologie wykrywania szkodliwego oprogramowania.

Kliknij aby powiększyć

Każda technologia ochrony składa się z dwóch komponentów: technicznego i analitycznego. Mimo że rozdział tych komponentów na poziomie modułu czy algorytmu może być niemożliwy, różnią się one od siebie pod względem funkcji.

Komponent techniczny to zbiór funkcji i algorytmów programu, które dostarczają dane analizowane następnie przez komponent analityczny. Dane te mogą mieć postać sekwencji bajtów w pliku, ciągów tekstowych wewnątrz pliku, pojedynczej akcji programu uruchomionego w systemie operacyjnym lub pełnej sekwencji takich akcji.

Komponent analityczny działa jako system podejmowania decyzji. Składa się z algorytmu, który analizuje dane, a następnie wydaje werdykt dotyczący tych danych. Następnie program antywirusowy (lub inne oprogramowanie bezpieczeństwa) podejmuje działanie na podstawie tego werdyktu oraz polityki bezpieczeństwa programu: powiadamia użytkownika, pyta o dalsze instrukcje, umieszcza plik w kwarantannie, blokuje nieautoryzowane działania programu itd.

System, który uzyskuje dane o systemie plików, plikach i zawartości plików działa jako komponent techniczny. Komponent analityczny jest prostą operacją, która porównuje sekwencje bajtów. Ogólnie mówiąc, kod pliku stanowi dane wejściowe dla komponentu analitycznego; dane wyjściowe to werdykt określający, czy dany plik jest szkodliwy czy nie.

Stosując powyższy model, każdy system ochrony można traktować jak złożoną liczbę - coś, co łączy dwa oddzielne składniki, tj. komponent techniczny i analityczny. Ten sposób analizowania technologii ułatwia dostrzeżenie związków między tymi komponentami, jak również ich plusów i minusów. W szczególności, zastosowanie takiego modelu ułatwia zrozumienie działania pewnych technologii.