Ochrona antywirusowa: ewolucja i metody

Przeczytaj także: Panda Malware Radar

Typową cechą tej metody jest to, że program antywirusowy pracuje tylko ze źródłowym kodem bajtowym programu i nie bierze pod uwagę zachowania programu. Mimo że metoda ta jest stosunkowo stara, wszystkie współczesne programy antywirusowe wykorzystują ją w ten czy inny sposób - nie jako jedyną czy główną metodę, ale uzupełnienie innych technologii.

2. Emulacja

Technologia emulacji stanowi etap pośredni pomiędzy przetwarzaniem programu jako kolekcji bajtów a przetwarzaniu programu jako określonej sekwencji akcji.

Emulator rozbija kod bajtowy programu na polecenia, a następnie uruchamia każde polecenie w wirtualnym środowisku, które stanowi kopię środowiska komputerowego. Umożliwia to rozwiązaniom bezpieczeństwa obserwowanie zachowania programu bez narażania na niebezpieczeństwo systemu operacyjnego czy danych użytkownika (co miałoby miejsce w przypadku uruchomienia programu w prawdziwym, tj. niewirtualnym środowisku).

Emulator jest pośrednim stopniem pod względem poziomów abstrakcji w pracy z programem. Ogólnie rzecz biorąc, można powiedzieć, że emulator, chociaż pracuje z plikiem, analizuje wydarzenia. Emulatory są wykorzystywane w wielu (prawdopodobnie nawet wszystkich) głównych produktach antywirusowych, zazwyczaj albo jako dodatek do podstawowego silnika plikowego niższego poziomu albo jako zabezpieczenie dla silnika wyższego poziomu (jak piaskownica czy monitorowanie systemu).

3. Wirtualizacja: piaskownica

Wirtualizacja, która wykorzystywana jest w tak zwanych piaskownicach, stanowi logiczne rozszerzenie emulacji. Piaskownica pracuje z programami, które są uruchamiane w prawdziwym środowisku, jednak środowisko to jest ściśle kontrolowane. Samo słowo "piaskownica" całkiem dokładnie obrazuje, w jaki sposób działa ta technologia. Piaskownica to ograniczona przestrzeń, w której dziecko może się bezpiecznie bawić. W kontekście bezpieczeństwa informacji system operacyjny reprezentuje świat, natomiast szkodliwy program hałaśliwe dziecko. Ograniczenia nałożone na dziecko to zestaw reguł dotyczących interakcji z systemem operacyjnym. Reguły te mogą obejmować zakaz modyfikowania foldera systemu operacyjnego lub ograniczenie pracy z systemem plików poprzez częściową emulację. Na przykład, do programu uruchomionego w piaskownicy może zostać wprowadzona wirtualna kopia foldera systemowego, tak aby modyfikacje wprowadzone do tego foldera przez badany program nie wpływały na działanie systemu operacyjnego. W ten sposób można zwirtualizować każdy punkt kontaktu między programem a jego środowiskiem (taki jak system plików i rejestr systemowy).

Granica między emulacją a wirtualizacją jest cienka, ale wyraźna. Pierwsza technologia jest środowiskiem, w którym program jest uruchamiany (i całkowicie kontrolowany podczas jego działania). Druga wykorzystuje system operacyjny jako środowisko i kontroluje tylko interakcję między systemem operacyjnym a programem. W przeciwieństwie do emulacji, w wirtualizacji środowisko znajduje się na osobnym, ale równym poziomie co technologia.

Ochrona wykorzystująca opisany wyżej rodzaj wirtualizacji nie pracuje z plikami, ale z zachowaniem programu - i nie pracuje z samym systemem.

Piaskownica - podobnie jak emulacja - nie jest powszechnie wykorzystywana w produktach antywirusowych głównie dlatego, że wymaga dużej ilości zasobów. Łatwo poznać, kiedy program antywirusowy wykorzystuje piaskownicę, ponieważ zawsze będziemy obserwować opóźnienie w czasie - pomiędzy momentem uruchomienia programu a momentem, gdy faktycznie zacznie działać (lub w przypadku wykrycia szkodliwego oprogramowania zaobserwujemy opóźnienie między uruchomieniem programu a powiadomieniem o wykryciu). Obecnie silniki z piaskownicą wykorzystywane są tylko w garstce produktów antywirusowych. Z drugiej strony, powadzonych jest wiele badań nad sprzętowym wspomaganiem wirtualizacji, co może spowodować, że w niedalekiej przyszłości sytuacja ulegnie zmianie.