Методы проактивной защиты от вирусов
История компьютерных вирусов насчитывает уже более 25 лет. Неразрывно с вирусами развивались и средства противодействия вирусам - антивирусы. Исторически сложилось так, что лидерство на рынке антивирусных технологий заняли системы сигнатурного поиска, иначе называемые реактивными, имеющие целый ряд серьезных недостатков. На смену им приходят новые проактивные технологии такие как HIPS, Sandbox, VIPS и другие., к которых пойдет речь в этой статье.
Классические проактивные системы обнаружения вредоносных программ, несмотря на кажущуюся простоту реализации и надежность, имеют ряд существенных недостатков, а именно:
* Слабая эффективность против угроз типа 0-day, так как эффективность напрямую связана с базой сигнатур вредоносного ПО, в которую внесены сигнатуры только известного, на данный момент, вредоносного ПО;
* Необходимость постоянного обновления базы сигнатур вирусов для эффективной защиты от нового вредоносного ПО;
* Для определения вредоносного ПО необходима процедура сканирования, которая отнимает достаточно много времени и системных ресурсов;
На сегодняшний день наиболее известны и часто применимы следующие методы проактивной защиты:
* Методы поведенческого анализа;
* Методы ограничения выполнение операций;
* Методы контроля целостности ПО и ОС.
Методы предотвращения вторжений (IPS-методы):
HIPS - метод контроля активности, основанный на перехвате обращений к ядру ОС и блокировке выполнения потенциально опасных действий ПО, работающего в user-mode, выполняемых без ведома пользователя; Принцип работы HIPS-система с помощью собственного драйвера перехватывает все обращения ПО к ядру ОС. В случае попытки выполнения потенциально опасного действия со стороны ПО, HIPS-система блокирует выполнение данного действия и выдает запрос пользователю, который решает разрешить или запретить выполнение данного действия.
Преимущества систем, построенных на методе HIPS:
* Низкое потребление системных ресурсов;
* Не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);
* Высокая эффективность противостояния угрозам 0-day;
* Высокая эффективность противодействия руткитам, работающим в user-mode;
Недостатки систем, построенных на методе HIPS:
* Низкая эффективность противодействия руткитам, работающим в kernel-mode;
* Большое количество обращений к пользователю ПК;
* Пользователь должен обладать знаниями о принципах функционирования ОС;
* Невозможность противодействия активному заражению ПК;
VIPS - метод контроля активности, основанный на мониторинге выполняемых операций ПО, установленном на ПК, и блокировке выполнения потенциально опасных действий ПО, выполняемых без ведома пользователя.
Преимущества систем, построенных на методе VIPS:
* Низкое потребление системных ресурсов;
* Высокая эффективность противостояния угрозам 0-day;
* Высокая эффективность противодействия руткитам, работающим и в user-mode, и в kernel-mode;
Недостатки систем, построенных на методе VIPS:
* Требовательны к аппаратному обеспечению ПК (для работы VIPS-системы необходима аппаратная поддержка процессором технологий аппаратной виртуализации (Intel VT-x или AMD-V);
* Большое количество обращений к пользователю ПК;
* Пользователь должен обладать знаниями о принципах функционирования ОС;
* Невозможность противодействия активному заражению ПК;
* Низкое потребление системных ресурсов;
* Не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);
* Малое количество обращений к пользователю ПК;
Недостатки систем, построенных на методе песочница (sandbox):
* Пользователь должен обладать знаниями о принципах функционирования ОС;
* Невозможность противодействия активному заражению ПК;
Поведенческий блокиратор (метод активного поведенческого анализа) - метод, основанный на методах IPS, анализа в реальном времени цепочек действий ПО и блокирования выполнение потенциально опасных алгоритмов в реальном времени.
Принцип работыРазличные проактивные системы защиты используют различные концепции реализации метода активного поведенческого анализа (т.к. метод активного поведенческого анализа может быть построен на базе любого IPS-метода). В общем и целом метод активного поведенческого анализа представляет собой IPS-метод с интеллектуальной системой принятия решений, анализирующей, не отдельные действия, а цепочки действий.
Преимущества систем, построенных на методе активного поведенческого анализа:
* Меньшее количество обращений к пользователю, по сравнению с системами, построенными на IPS-методах;
* Низкое потребление системных ресурсов;
* Не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);
Недостатки систем, построенных на методе активного поведенческого анализа:
* Невозможность противодействия активному заражению ПК;
Методы эмуляции системных событий (метод пассивного поведенческого анализа) - метод определения вредоносного ПО путем анализа действий и/или цепочки действий с помощью выполнения ПО в специальной ограниченной среде (т.н. эмуляторе кода), имитирующей реальное аппаратное обеспечение.
Принцип работыПО запускается в специальной ограниченной среде (т.н. эмуляторе кода), имитирующей реальное аппаратное обеспечение, где производится проверка на выполнение определенных действий и/или цепочки действий. Если обнаружена возможность выполнения потенциально опасного действия и/или цепочки действий, ПО помечается как вредоносное.
Преимущества систем, построенных на методе активного поведенческого анализа:
* Не требуют специальных знаний или навыков со стороны пользователя;
* Не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);
* Отсутствие обращений к пользователю, за исключением случаев обнаружения вредоносного ПО;
Недостатки систем, построенных на методе активного поведенческого анализа:
* В некоторых случаях анализ кода может занимать достаточно продолжительное время;
* Широкое применение методик противодействия эмуляции кода вредоносного ПО, поэтому системы, использующие метод пассивного поведенческого анализа, могут противостоять не всем видам вредоносного ПО;
* Невозможность противодействия активному заражению ПК.
Сканер целостности осуществляет постоянный мониторинг ядра ОС, на предмет выявления изменений, которые могло произвести вредоносное ПО. В случае обнаружения изменений внесенных вредоносным ПО об этом оповещается пользователь и по возможности производится откат действий, произведенных вредоносными ПО.
* Не требуют специальных знаний или навыков со стороны пользователя;
* Не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);
* Малое количество обращений к пользователю;
* Для осуществление контроля целостности необходимо контролировать большое количество различных параметров, что может негативно сказаться на производительности ПК;
* Слабая эффективность противодействия user-mode и kernel-mode руткитам;
* Невозможность противодействия активному заражению ПК;
* Не требуют специальных знаний или навыков со стороны пользователя;
* Не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);
* Полное отсутствие каких бы то ни было обращений к пользователю;
Проактивная защита
Материал из Википедии — свободной энциклопедии
Проактивные технологии – совокупность технологий и методов, используемых в антивирусном программном обеспечении, основной целью которых, в отличие от реактивных (сигнатурных) технологий, является предотвращение заражения системы пользователя, а не поиск уже известного вредоносного программного обеспечения в системе.
[править]История развития проактивных технологий антивирусной защиты
Проактивные технологии начали развиваться практически одновременно с классическими (сигнатурными) технологиями. Однако, первые реализации проактивных технологий антивирусной защиты требовали высокий уровень квалификации пользователя, т.е. не были рассчитаны на массовое использование простыми пользователями персональных компьютеров. Спустя десятилетие антивирусной индустрии стало очевидно, что сигнатурные методы обнаружения уже не могут обеспечить эффективную защиту пользователей. Этот факт и подтолкнул к возрождению проактивных технологий.
[править]Технологии проактивной защиты
§ Эвристический анализ
Технология эвристического анализа позволяет на основе анализа кода выполняемого приложения, скрипта или макроса обнаружить участки кода, отвечающие за вредоносную активность.
Эффективность данной технологии не является высокой, что обусловлено большим количеством ложных срабатываний при повышении чувствительности анализатора, а также большим набором техник, используемых авторами вредоносного ПО для обхода эвристического компонента антивирусного ПО.
§ Эмуляция кода
Технология эмуляции позволяет запускать приложение в среде эмуляции, эмулируя поведение ОС или центрального процессора. При выполнении приложения в режиме эмуляции приложение не сможет нанести вреда системе пользователя, а вредоносное действие будет детектировано эмулятором.
Несмотря на кажущуюся эффективность данного подхода, он также не лишен недостатков – эмуляция занимает слишком много времени и ресурсов компьютера пользователя, что негативно сказывается на быстродействии при выполнении повседневных операций, также, современные вредоносные программы способны обнаруживать выполнение в эмулированной среде и прекращать свое выполнение в ней.
§ Анализ поведения
Технология анализа поведения основывается на перехвате всех важных системных функций или установке т.н. мини-фильтров, что позволяет отслеживать всю активность в системе пользователя. Технология поведенческого анализа позволяет оценивать не только единичное действие, но и цепочку действий, что многократно повышает эффективность противодействия вирусным угрозам. Также, поведенческий анализ является технологической основой для целого класса программ – поведенческих блокираторов (HIPS – Host-based Intrusion Systems).
§ Sandboxing (Песочница) – ограничение привилегий выполнения
Технология Песочницы работает по принципу ограничения активности потенциально вредоносных приложений таким образом, чтобы они не могли нанести вреда системе пользователя.
Ограничение активности достигается за счет выполнения неизвестных приложений в ограниченной среде – собственно песочнице, откуда приложение не имеет прав доступа к критическим системным файлам, веткам реестра и другой важной информации. Технология ограничения привилегий выполнения является эффективной технологией противодействия современным угрозам, но, следует понимать, что пользователь должен обладать знаниями, необходимыми для правильной оценки неизвестного приложения.
§ Виртуализация рабочего окружения
Технология виртуализации рабочего окружения работает с помощью системного драйвера, который перехватывает все запросы на запись на жесткий диск и вместо выполнения записи на реальный жесткий диск выполняет запись в специальную дисковую область – буфер. Таким образом, даже в том случае, если пользователь запустит вредоносное программное обеспечение, оно проживет не далее чем до очистки буфера, которая по умолчанию выполняется при выключении компьютера.
Однако, следует понимать, что технология виртуализации рабочего окружения не сможет защитить от вредоносных программ, основной целью которых является кража конфиденциальной информации, т.к. доступ на чтение к жесткому диску не запрещен.
[править]Применение проактивных технологий в настоящее время
В настоящее время проактивные технологии являются важным и неотъемлемым компонентом антивирусного программного обеспечения. Более того, как правило, в антивирусных продуктах используется сочетание сразу нескольких технологий проактивной защиты, например эвристический анализ и эмуляция кода успешно сочетаются с поведенческим анализом, что позволяет многократно повысить эффективность современных антивирусных продуктов против новых, все более и более изощренных вредоносных программ.
Технический блог специалистов ООО"Интерфейс"
- Главная
- Тестируем проактивную защиту популярных антивирусов.
Тестируем проактивную защиту популярных антивирусов.
Проактивная защита занимает сегодня видное место в описании антивирусных продуктов всех известных производителей, которые позиционируют ее как средство защиты от новых и неизвестных угроз. Чтобы проверить насколько эффективен данный механизм мы провели небольшое тестирование популярных коммерческих продуктов.
В теории проактивная защита, основываясь на поведении запущенных программ, должна определять и пресекать потенциально опасные действия, такие как изменение файла hosts, добавление программы в автозагрузку, подмену системных файлов, маскировку под системные процессы и т.д. и т.п., или уведомлять пользователя, если действие нельзя однозначно трактовать как вредоносное.
Производители антивирусного ПО не устают повторять, что только проактивная защита, в сочетании с остальными компонентами антивируса, способна обеспечить полноценную защиту от современных угроз. Действительно, как показала эпидемия блокировщиков Windows, антивирусное ПО оказалось бессильно перед новым классом вредоносного ПО, которое не имело признаков "классического" вредоносного ПО и следовательно не обнаруживалось ни сигнатурным анализом, ни эвристиком. В данном случае основной удар должна принять на себя проактивная защита, если не предотвратив проникновение в систему, то хотя бы уведомив об этом пользователя и предложив ему запретить (или разрешить) дальнейшую активность программы.
Сегодня сложно найти продукт, в описании которого не было бы указано, что он использует эффективные технологии проактивной защиты, которые позволяют защитить пользователя лучше и эффективнее, чем какой либо иной продукт. Понятно, что в данных заявлениях больше маркетинга, чем технологий, однако если данный модуль есть, то он должен как-то работать.
Мы решили протестировать младшие продукты в линейках известных производителей, так как именно в них проактивная защита нужнее всего, так как без нее пользователь остается только с сигнатурным сканером против всего спектра интернет угроз, в то время как продукты более высокого уровня содержат множество фильтров, экранов и защит, которые могут эффективно препятствовать заражению. Не последнюю роль здесь играет и цена, делая младшие продукты наиболее привлекательными для потребителей.
Для тестирования мы использовали методику предложенную Agnitum, суть которой сводится к следующему: у продукта отключаются все сигнатурные сканеры и запускается образец вредоносного ПО, который остается один на один с проактивной защитой. Данная методика не идеальна и содержит ряд недостатков, самый существенный из которых, что модуль проактивной защиты используется в отрыве от остальных механизмов защиты. Однако получить определенное представление о работе данного механизма такой подход позволяет.
В тестировании приняли участие наиболее популярные и распространенные на российском рынке продукты, кроме Dr.Web и MSE, которые не позволяют отключить сигнатурный сканер отдельно от модуля проактивной защиты.
В качестве образца вредоносного ПО мы использовали сэмпл вируса P2P-Worm.Win32.Palevo.gidq, первое обнаружение которого специалистами Лаборатории Касперского датировано 26 декабря 2012 года, экземпляр достаточно свежий и в то же время относящийся к давно известно семейству вредоносного ПО.
После запуска в системе зловред копирует собственное тело в папку профиля пользователя под именем etkrkf.exe, создает ключ в реестре для собственной автозагрузки и запускается, маскируясь под системный процесс svchost.exe. Как видим - вполне стандартный набор действий для вредоносного ПО, осталось проверить как на это будет реагировать проактивная защита.
Антивирус Касперского 2013 успешно распознал и удалил наш образец еще на стадии распаковки. Проактивная защита также определила вредоносную активность и даже попыталась удалить исходный файл, однако не смогла воспрепятствовать заражению. После включения всех компонентов защиты антивирус определил активное заражение и, с помощью специальной процедуры лечения, успешно его устранил.
Как рассматривать данный результат? С одной стороны заражение системы все-таки произошло, с другой - пользователь был уведомлен о попытке заражения и мог своевременно принять меры по дополнительной проверке системы. Тем более что в реальной ситуации в дело могут вступить и иные компоненты защиты. Поэтому оценка удовлетворительно, так как несмотря ни на что пользователь как минимум в курсе о происходящей в системе нездоровой активности.
Шестая версия NOD32 также без труда определила и обезвредила вредоносный образец. Однако оставшись со зловредом один на один модуль проактивной защиты никак не отреагировал на процесс заражения системы. С лечением активного заражения антивирус справился хорошо, однако оставил созданные вирусом следы в реестре, что в ряде случаев может привести к некорректной работе системы и потребовать дополнительных процедур по ее восстановлению. Общая оценка: плохо, так как пользователь остался в неведении о потенциально опасной активности в его системе.
Norton AntiVirus на момент тестирования для данного вируса записей в базе сигнатур не имел, поэтому абсолютно никак не прореагировал на распаковку и запуск вредоносного сэмпла. Хотя заражения системы так и не произошло, запущенный вредоносный процесс не подвал никаких признаков активности, как и антивирус. Это происходило как при полностью включенной защите, так и при выключенной.
Несмотря на то, что антивирус препятствовал заражению системы, мы не засчитали данному продукту прохождение теста. Почему? Ответ прост: если блокировка активности вредоносного процесса произошла благодаря антивирусу, то пользователь должен получить уведомление об этом, как минимум запись в журнале. В нашем случае найти какую либо информацию о причастности данного антивируса к происходящему в системе мы не смогли. Остается только гадать что это было: работа антивируса, счастливое стечение обстоятельств, баг?
Есть еще очень неочевидный момент, если это все таки работа антивируса, то никто не мешает ему в следующий раз заблокировать вполне легальную программу или ее компонент. А если вспомнить, что антивирус относится к тому немногому числу программ, которые имеют доступ к коду исполняемому на уровне ядра, то становится понятно, что такое поведение может привести к самым разнообразным сбоям, вплоть до "синих окон смерти". А так как, в отличии от нашего случая, причинно следственная связь между сбоями и работой антивируса не очевидна, то пользователь или администратор может потратить очень много сил и времени для установления причин нестабильного поведения системы.
Поэтому наш результат: тест не пройден. Если антивирус проводит в системе какие либо действия, то он должен уведомить об этом пользователя, даже если продукт рассчитан на домохозяек. В этом случае достаточно записи в журнал: и домохозяйка спокойна, и специалист, при необходимости, без труда надет нужную информацию.
Антивирус от Trend Micro нас сильно разочаровал. Не имея записей в сигнатурной базе продукт никак не препятствовал заражению и мы получили активное вредоносное ПО в системе при полностью рабочем антивирусе.
Впоследствии, устраняя активное заражение при помощи Dr.Web CureIt!, мы получили забавное сообщение о том, что следует обеспечить более надежную защиту.
Пожалуй мы последуем данному совету. А пока вполне закономерный результат: тест не пройден.
Так как данная методика в свое время была предложена компанией Agnitum, то мы не могли не протестировать последнюю версию антивирусного продукта данного производителя. Тем более разработчики сами делают упор на проактивные технологии, которые должны обеспечить защиту от новых и ранее неизвестных угроз. Ну что же, посмотрим.
Как и в случае с Norton AntiVirus, данный продукт никак не отреагировал на распаковку и запуск образца вируса, однако препятствовал заражению. В итоге получил аналогичный результат: тест не пройден. Наше мнение: о всех своих действиях антивирус должен так или иначе уведомлять пользователя, иначе, если вдруг "молча" заблокирована легальная программа, какая разница между ним и вредоносным ПО?
Выводы сегодня не очень радостные: широко разрекламированная технология проактивной защиты в младших продуктах практически всех ведущих производителей антивирусного ПО оказалась сугубо маркетинговым ходом, а не рабочим и эффектным средством защиты. Отдельно стоит выделить только Лабораторию Касперского, продукт которой хоть как-то отреагировал и попытался воспрепятствовать нежелательной активности.
История компьютерных вирусов насчитывает уже более 25 лет. Неразрывно с вирусами развивались и средства противодействия вирусам - антивирусы. Исторически сложилось так, что лидерство на рынке антивирусных технологий заняли системы сигнатурного поиска, иначе называемые реактивными, имеющие целый ряд серьезных недостатков. На смену им приходят новые проактивные технологии такие как HIPS, Sandbox, VIPS и другие., к которых пойдет речь в этой статье.
Классические проактивные системы обнаружения вредоносных программ, несмотря на кажущуюся простоту реализации и надежность, имеют ряд существенных недостатков, а именно:
- Слабая эффективность против угроз типа 0-day, так как эффективность напрямую связана с базой сигнатур вредоносного ПО, в которую внесены сигнатуры только известного, на данный момент, вредоносного ПО;
- Необходимость постоянного обновления базы сигнатур вирусов для эффективной защиты от нового вредоносного ПО;
- Для определения вредоносного ПО необходима процедура сканирования, которая отнимает достаточно много времени и системных ресурсов;
Данные причины и послужили толчком к развитию т.н. проактивных систем защиты, о которых и пойдет речь в данной статье.
Методы проактивной защиты
На сегодняшний день наиболее известны и часто применимы следующие методы проактивной защиты:
- Методы поведенческого анализа;
- Методы ограничения выполнение операций;
- Методы контроля целостности ПО и ОС.
Методы предотвращения вторжений (IPS-методы):
HIPS - метод контроля активности, основанный на перехвате обращений к ядру ОС и блокировке выполнения потенциально опасных действий ПО, работающего в user-mode, выполняемых без ведома пользователя;
Принцип работы
HIPS-система с помощью собственного драйвера перехватывает все обращения ПО к ядру ОС. В случае попытки выполнения потенциально опасного действия со стороны ПО, HIPS-система блокирует выполнение данного действия и выдает запрос пользователю, который решает разрешить или запретить выполнение данного действия.
Преимущества систем, построенных на методе HIPS:
- Низкое потребление системных ресурсов;
- Не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);
- Высокая эффективность противостояния угрозам 0-day;
- Высокая эффективность противодействия руткитам, работающим в user-mode;
Недостатки систем, построенных на методе HIPS:
- Низкая эффективность противодействия руткитам, работающим в kernel-mode;
- Большое количество обращений к пользователю ПК;
- Пользователь должен обладать знаниями о принципах функционирования ОС;
- Невозможность противодействия активному заражению ПК;
VIPS - метод контроля активности, основанный на мониторинге выполняемых операций ПО, установленном на ПК, и блокировке выполнения потенциально опасных действий ПО, выполняемых без ведома пользователя.
Принцип работы
Преимущества систем, построенных на методе VIPS:
- Низкое потребление системных ресурсов;
- Высокая эффективность противостояния угрозам 0-day;
- Высокая эффективность противодействия руткитам, работающим и в user-mode, и в kernel-mode;
Недостатки систем, построенных на методе VIPS:
- Требовательны к аппаратному обеспечению ПК (для работы VIPS-системы необходима аппаратная поддержка процессором технологий аппаратной виртуализации (Intel VT-x или AMD-V);
- Большое количество обращений к пользователю ПК;
- Пользователь должен обладать знаниями о принципах функционирования ОС;
- Невозможность противодействия активному заражению ПК;
Принцип работы
Преимущества систем, построенных на методе песочница (sandbox):
- Низкое потребление системных ресурсов;
- Не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);
- Малое количество обращений к пользователю ПК;
Недостатки систем, построенных на методе песочница (sandbox):
- Пользователь должен обладать знаниями о принципах функционирования ОС;
- Невозможность противодействия активному заражению ПК;
Методы поведенческого анализа
Поведенческий блокиратор (метод активного поведенческого анализа) - метод, основанный на методах IPS, анализа в реальном времени цепочек действий ПО и блокирования выполнение потенциально опасных алгоритмов в реальном времени.
Принцип работы
Различные проактивные системы защиты используют различные концепции реализации метода активного поведенческого анализа (т.к. метод активного поведенческого анализа может быть построен на базе любого IPS-метода). В общем и целом метод активного поведенческого анализа представляет собой IPS-метод с интеллектуальной системой принятия решений, анализирующей, не отдельные действия, а цепочки действий.
Преимущества систем, построенных на методе активного поведенческого анализа:
- Меньшее количество обращений к пользователю, по сравнению с системами, построенными на IPS-методах;
- Низкое потребление системных ресурсов;
- Не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);
Недостатки систем, построенных на методе активного поведенческого анализа:
Методы эмуляции системных событий (метод пассивного поведенческого анализа) - метод определения вредоносного ПО путем анализа действий и/или цепочки действий с помощью выполнения ПО в специальной ограниченной среде (т.н. эмуляторе кода), имитирующей реальное аппаратное обеспечение.
Принцип работы
ПО запускается в специальной ограниченной среде (т.н. эмуляторе кода), имитирующей реальное аппаратное обеспечение, где производится проверка на выполнение определенных действий и/или цепочки действий. Если обнаружена возможность выполнения потенциально опасного действия и/или цепочки действий, ПО помечается как вредоносное.
Преимущества систем, построенных на методе активного поведенческого анализа:
- Не требуют специальных знаний или навыков со стороны пользователя;
- Не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);
- Отсутствие обращений к пользователю, за исключением случаев обнаружения вредоносного ПО;
Недостатки систем, построенных на методе активного поведенческого анализа:
- В некоторых случаях анализ кода может занимать достаточно продолжительное время;
- Широкое применение методик противодействия эмуляции кода вредоносного ПО, поэтому системы, использующие метод пассивного поведенческого анализа, могут противостоять не всем видам вредоносного ПО;
- Невозможность противодействия активному заражению ПК.
Сканер целостности осуществляет постоянный мониторинг ядра ОС, на предмет выявления изменений, которые могло произвести вредоносное ПО. В случае обнаружения изменений внесенных вредоносным ПО об этом оповещается пользователь и по возможности производится откат действий, произведенных вредоносными ПО.
Принцип работы
Сканер целостности осуществляет мониторинг всех обращений к ядру ОС. В случае обнаружения попытки изменения критически важных параметров, операция блокируется.
- Не требуют специальных знаний или навыков со стороны пользователя;
- Не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);
- Малое количество обращений к пользователю;
- Для осуществление контроля целостности необходимо контролировать большое количество различных параметров, что может негативно сказаться на производительности ПК;
- Слабая эффективность противодействия user-mode и kernel-mode руткитам;
- Невозможность противодействия активному заражению ПК;
Принцип работы
- Не требуют специальных знаний или навыков со стороны пользователя;
- Не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);
- Полное отсутствие каких бы то ни было обращений к пользователю;
В данной статье рассматривались проактивные системы защиты. Была приведена краткая историческая справка по истории развития проактивных систем защиты, также были рассмотрены основные виды методов проактивной защиты:
- Методы ограничения выполнения операций;
- Методы поведенческого анализа;
- Методы контроля целостности.
Подробно были рассмотрены принципы работы методов проактивных защиты, также были рассмотрены преимущества и недостатки проактивных методов защиты.
Подводя итог можно сделать вывод о том, что проактивные методы защиты являются высокоэффективным средством противодействия вредоносному ПО и могут составить весомую конкуренцию классическим, реактивным методам защиты, а в сочетании с ними могут многократно повысить эффективность антивирусных систем.
Читайте также: