поведінкові блокування

Матеріал з Вікі ЦДУ
Версія від 13:25, 3 грудня 2008; Александр Spirit (обговореннявнесок)

(різн.) ← Попередня версія • Поточна версія (різн.) • Новіша версія → (різн.)
Перейти до: навігація, пошук

Поведінкові блокування

Всі перераховані вище типи антивірусів не вирішують головної проблеми – захисту від невідомих вірусів. Таким чином, комп'ютерні системи виявляються беззахисні перед ними до тих пір, поки антивірусні компанії не розроблять протиотрути. Іноді на це потрібний до декількох тижнів. Весь цей час компанії по всьому світу мають реальну “можливість” втратити найважливіші дані, від яких залежить майбутнє їх бізнесу або результати багаторічних праць. Найперспективнішим із всіх типів є поведінкові блокування. Саме вони мають реальну можливість з 100% гарантією протистояти атакам нових вірусів. Що таке поведінкове блоквання? Це резидентна програма, яка перехоплює різні події і у разі "підозрілих" дій (дій, які може проводити вірус або інша шкідлива програма), забороняє цю дію або запрошує дозвіл у користувача. Іншими словами, той, що блокує здійснює не пошук унікального програмного коду вірусу (як це роблять сканери і монітори), не порівнює файли з їх оригіналами (на зразок ревізорів змін), а відстежує і нейтралізує шкідливі програми по їх характерних діях.
Але вірусоподібні дії може проводити і сама операційна система або корисні утиліти. Тут варто провести межу між двома типами тих, що блокують: файловими блокувальниками і блокувальниками додатків.

Недолік полянає в тому, що файловий поведінковий блокувальник не може самостійно визначити - хто ж виконує підозрілу дію - вірус, операційна система або яка-небудь утиліта і вимушений питати підтвердження у користувача. Тобто кінець кінцем рішення часто приймає користувач, який повинен володіти достатніми знаннями і досвідом, щоб дати правильну відповідь. Інакше операційна система або утиліта не зможе провести необхідну дію, або вірус проникне в систему. Саме з цієї причини блокувальники і не стали популярними. Ті, що блокують для спеціалізованих додатків мають значно більше шансів набути широкого поширення, оскільки коло їх компетенції чітко обмежений структурою конкретного додатку. Це означає, що під гострозоре око того, що блокує потрапляє строго обмежена кількість дій, які можуть здійснювати програми, створені для даного додатку.

Найбільш показовий приклад – Microsoft Office і проблема захисту від макро-вірусів. Якщо розглядати програми, написані на найбільш поширеній макромові VBA (Visual Basic for Application), то тут можна з дуже великою часткою ймовірності відрізнити шкідливі дії від корисних. Той, що блокує перехоплення і блокує виконання навіть багатоплатформених макро-вірусів, тобто здатних працювати відразу в декількох додатках.

Головною метою поведінкових блокувань є вирішення проблеми виявлення і запобігання розповсюдженню макро-вірусів. Проте, за визначенням, він не призначений для їх видалення. Саме тому його необхідно використовувати спільно з антивірусним сканером, який буде здатний успішно знищити вірус. Той, що блокує дозволить безпечно перечекати період між виявленням нового вірусу і випуском оновлення антивірусної бази для сканера, не вдаючись до зупинки роботи комп'ютерних систем із-за боязні назавжди втратити цінні дані або серйозно пошкодити апаратну частину комп'ютера.

Огляд типів антивірусних програм був би не зовсім повним, якби я не згадав про кращий спосіб їх використання. Мої рекомендації гранично прості: кращим варіантом може бути продумана комбінація всіх описаних вище способів. Слідуючи добре відомій приказці, що радить не класти всі яйця в одну корзину, я рекомендую не покладатися цілком і повністю на сканери або монітори. У кожного виду антивірусних програм є свої переваги і недоліки. У сукупності вони вдало компенсують один одного підвищуючи ступінь захисту як домашнього комп'ютера, так і гетерогенної мережі світового масштабу.

Отримано з https://wiki.cusu.edu.ua/index.php?title=поведінкові_блокування&oldid=6952