Ochrona antywirusowa: ewolucja i metody
2007-11-25 12:40
© fot. mat. prasowe
Przeczytaj także: Panda Malware Radar
Pierwsza technologia wykrywania szkodliwego oprogramowania opierała się na sygnaturach: segmentach kodu, które służą jako unikatowe identyfikatory poszczególnych szkodliwych programów. Wraz z ewolucją wirusów technologie służące do ich wykrywania stawały się coraz bardziej złożone. Zaawansowane technologie (heurystyka oraz analizatory zachowań) można wspólnie określić jako metody wykrywania nieopierające się na sygnaturach.Autor artykułu skoncentrował się głównie na technologiach, które nie są oparte na sygnaturach, ponieważ sygnatury są prymitywne i powtarzalne i nie stanowią interesującego tematu. Ponadto, powszechnie wiadomo, na czym polega skanowanie sygnaturowe, natomiast większość użytkowników nie posiada gruntownej wiedzy o działaniu technologii, które nie są oparte na sygnaturach. W artykule wyjaśniono takie terminy jak "heurystyka", "wykrywanie proaktywne", "wykrywanie behawioralne" i "HIPS" oraz przedstawiono zalety i wady takich technologii.
Systemy obrony szkodliwego oprogramowania: model
Poniższy model wyjaśnia, w jaki sposób działają technologie wykrywania szkodliwego oprogramowania.
fot. mat. prasowe
Komponent techniczny to zbiór funkcji i algorytmów programu, które dostarczają dane analizowane następnie przez komponent analityczny. Dane te mogą mieć postać sekwencji bajtów w pliku, ciągów tekstowych wewnątrz pliku, pojedynczej akcji programu uruchomionego w systemie operacyjnym lub pełnej sekwencji takich akcji.
Komponent analityczny działa jako system podejmowania decyzji. Składa się z algorytmu, który analizuje dane, a następnie wydaje werdykt dotyczący tych danych. Następnie program antywirusowy (lub inne oprogramowanie bezpieczeństwa) podejmuje działanie na podstawie tego werdyktu oraz polityki bezpieczeństwa programu: powiadamia użytkownika, pyta o dalsze instrukcje, umieszcza plik w kwarantannie, blokuje nieautoryzowane działania programu itd.
System, który uzyskuje dane o systemie plików, plikach i zawartości plików działa jako komponent techniczny. Komponent analityczny jest prostą operacją, która porównuje sekwencje bajtów. Ogólnie mówiąc, kod pliku stanowi dane wejściowe dla komponentu analitycznego; dane wyjściowe to werdykt określający, czy dany plik jest szkodliwy czy nie.
Stosując powyższy model, każdy system ochrony można traktować jak złożoną liczbę - coś, co łączy dwa oddzielne składniki, tj. komponent techniczny i analityczny. Ten sposób analizowania technologii ułatwia dostrzeżenie związków między tymi komponentami, jak również ich plusów i minusów. W szczególności, zastosowanie takiego modelu ułatwia zrozumienie działania pewnych technologii.
oprac. : eGospodarka.pl
Przeczytaj także
-
Programy antywirusowe TrustPort 2014
-
Nowy Norton 360, Norton Internet Security i Norton AntiVirus
-
Norton Internet Security, AntiVirus i Norton 360 w nowych wersjach
-
Sophos Anti-Virus for Mac OS X Lion
-
Wersja beta Norton 360 v. 5.0
-
Nowe wersje ESET Smart Security oraz ESET NOD32 Antivirus
-
Kaspersky Lab: Release 2 po polsku
-
Bezpieczeństwo w sieci coraz bardziej zagrożone
-
Odświeżone antywirusy ESET dla domu i mikrofirm