Технический компонент
Техническая составляющая системы обнаружения вредоносных программ обеспечивает сбор данных, которые будут использоваться для анализа ситуации.
Вредоносная программа — это, с одной стороны, файл с определенным содержимым, с другой — совокупность действий, производимых в операционной системе, с третьей — совокупность конечных эффектов в операционной системе. Поэтому и идентификация программы может быть произведена на разных уровнях: по цепочкам байт, по действиям, по влиянию на операционную систему и т.д.
Обобщая, можно выделить следующие способы сбора данных для выявления вредоносных программ:
Работа с файлом как с массивом байтов.
Эмуляция кода программы.
Запуск программы в «песочнице» (sandbox2) (а также использование близких по смыслу технологий виртуализации).
Мониторинг системных событий.
Поиск системных аномалий.
Способы перечислены в соответствии с повышением уровня абстракции при работе с кодом. Под уровнем абстракции в данном случае подразумевается то, под каким углом зрения рассматривается исполняемая программа: как первичный цифровой объект (набор байт), как поведение (более абстрактное следствие из набора байт) или как совокупность эффектов в операционной системе (более абстрактное следствие из поведения). Примерно по этому же вектору шло и развитие антивирусных технологий: работа с файлами, работа с событиями через файл, работа с файлом через события, работа с самой средой, — поэтому приведенный список естественным образом оказался выстроен и по хронологии.
Подчеркнем, что приведенные способы — не столько обособленные технологии, сколько условные этапы непрерывного процесса развития технологий сбора данных для обнаружения вредоносных программ. Технологии развиваются и переходят друг в друга более или менее постепенно; например, эмуляция может оказаться ближе к простой работе с файлом, если данная ее реализация лишь частично преобразует файл как набор байт, или же к «песочнице», если речь идет о полной виртуализации системных функций.
Считывание файлов
Самые первые из появившихся антивирусов основывались на анализе кода файлов как наборов байт. Впрочем, анализом это назвать сложно — речь идет о простом сравнении байтовой последовательности с известной сигнатурой. Характерная особенность этого способа в том, что антивирус работает только с исходным байтовым кодом программы, не затрагивая ее поведение. Несмотря на то, что способ «архаический», он совершенно не устарел и так или иначе используется во всех современных антивирусах — но уже не как единственный и даже не как основной, а лишь как один из нескольких.
Эмуляция
Технология эмуляции является промежуточной ступенью между обработкой программы как набора байт и обработкой программы как определенной последовательности действий.
Эмулятор разбирает байтовый код программы на команды и каждую команду запускает в виртуальной копии компьютера. Это позволяет средству защиты наблюдать за поведением программы, не ставя под угрозу операционную систему и данные пользователя, что неизбежно произошло бы при исполнении программы в реальной среде.
Эмуляторы используются во многих (возможно, во всех) крупных антивирусах, главным образом как дополнение к основному, более низкоуровневому файловому движку, либо как «страховка» для более высокоуровневых движков (таких как «песочница», системный мониторинг).
Виртуализация: «песочница»
Виртуализация в том ее виде, в котором она используется в «песочницах», представляет собой логическое продолжение эмуляции. А именно: «песочница» уже работает с исполняющейся в реальной среде программой, но все еще ее контролирует.
В обычной жизни песочница — это некое огороженное пространство, в рассматриваемом контексте в роли ограждения будет выступать некий набор правил взаимодействия с операционной системой. Такими правилами может быть запрет на модификацию реестра ОС, ограничение работы с файловой системой посредством ее частичной эмуляции. Например, программе, запущенной в «песочнице», может быть «подсунута» виртуальная копия системного реестра — для того, чтобы изменения, вносимые программой в реестр, не могли повлиять на работу операционной системы. Таким образом могут виртуализироваться любые точки соприкосновения программы со средой: файловая система, реестр.
Грань между эмуляцией и виртуализацией тонка, но ощутима. Первая технология предоставляет среду для исполнения программы (и, таким образом, в процессе работы «содержит» программу и полностью управляет ею). Во втором случае в качестве среды уже выступает сама операционная система, а технология лишь контролирует взаимодействие между операционной системой и программой, в отличие от предыдущего случая находясь с последней на равных.
Механизм типа «песочница», так же как и эмулятор, не особенно активно используется в антивирусах — главным образом потому, что в программной реализации он требует значительного объема ресурсов, пока что движок типа «песочница» используется лишь в нескольких антивирусах.
Мониторинг системных событий
Мониторинг системных событий является более «абстрактным» способом сбора информации для выявления вредоносных программ. Если эмулятор или «песочница» наблюдают за каждой программой в отдельности, то монитор наблюдает за всеми программами сразу посредством регистрации всех событий, происходящих в операционной системе и порожденных работающими программами.
Технически такой способ сбора информации реализуется посредством перехватов функций операционной системы. Таким образом, перехватив вызов некой системной функции, механизм-перехватчик получает информацию о том, что определенная программа совершает определенное действие в системе. На протяжении своей работы монитор собирает статистику таких действий и передает ее в аналитический компонент для обработки.
Этот технологический принцип наиболее активно развивается в настоящее время. Он используется в качестве одного из компонентов в нескольких крупных антивирусах, и в качестве основы — в отдельных утилитах, специализирующихся на мониторинге системы (их называют «HIPS-утилитами», «HIPS’ами» — это Prevx, CyberHawk и ряд других).
Поиск системных аномалий
Это наиболее абстрактный способ сбора информации о предположительно зараженной системе.
Данный метод основан на следующих положениях:
операционная среда вместе со всеми выполняющимися в ней программами — это интегральная система;
ей присуще некое «системное состояние»;
если в среде исполняется вредоносный код, то состояние системы является «нездоровым» и отличается от состояния «здоровой» системы, в которой вредоносного кода нет.
Исходя из этих положений мы можем судить о состоянии системы (и, следовательно, о возможном присутствии в ней вредоносных программ), сравнивая его с эталоном (за эталон принимается «здоровое» состояние системы) или анализируя совокупность отдельных ее параметров.
Для эффективного обнаружения вредоносного кода методом анализа аномалий необходима достаточно сложная аналитическая система — наподобие экспертной системы или нейронной сети. Возникает много вопросов: как определить «здоровое состояние», чем оно отличается от «нездорового», какие дискретные параметры можно отслеживать и как их анализировать? По причине такой сложности в настоящее время этот способ разработан мало.
- Средства удаленного управления
- Классификация
- Средства удаленного администрирования
- Семейство unix
- Семейство Windows
- Средства удаленного управления рабочим столом
- Практика
- Виртуальные машины
- История и развитие
- Типы виртуализации
- Практика
- Резервное копирование и синхронизация
- Резервное копирование информации
- Синхронизация данных
- Типовые задачи синхронизации
- Реализации к рассмотрению
- Кластеризация
- Основные положения
- Отказоустойчивый кластер
- Вычислительный кластер
- Реализации к рассмотрению
- Облачные вычисления
- Основные положения
- Облачное хранилище данных
- Образы и развертывание системы
- Образы системы – технологии резервирования данных
- Технологии развертывания операционных систем
- Реализации к рассмотрению
- Средства антивирусной и сетевой защиты
- Технологии обнаружения вредоносного кода
- Технический компонент
- Аналитический компонент
- Плюсы и минусы способов обнаружения вредоносного кода
- Брандмауэры
- Общее описание брандмауэров
- Функции брандмауэров
- Недостатки брандмауэров
- Общие принципы настройки Firewall
- Обслуживание систем
- Дефрагментация диска
- Восстановление информации на жестком диске
- Восстановление данных с работоспособного жесткого диска
- Восстановление данных с неработоспособного жесткого диска
- Аппаратное обеспечение для восстановления данных
- Системы контроля версий
- Общие положения
- Типичный порядок работы с системой
- История и статус
- Недостатки
- Возможности
- Основные концепции
- Недостатки
- Использование Subversion
- Возможности
- Особенности, преимущества и недостатки