Приложение Б. Устранение компьютерных угроз |
Существует множество методов обнаружения и устранения компьютерных угроз. Многие из них объединены в продуктах Методы обнаружения Поиск по контрольным суммам сигнатур Данный метод является разновидностью сигнатурного анализа. Сигнатура – это непрерывная конечная последовательность байтов, являющаяся уникальной для определенной компьютерной угрозы. Если в коде проверяемой программы встречается сигнатура из антивирусной базы, то фиксируется факт обнаружения компьютерной угрозы. Поиск по контрольным суммам сигнатур подразумевает сравнение контрольных сумм, а не самих сигнатур, что позволяет значительно сократить размер антивирусных баз при сохранении надежности традиционного метода сигнатурного анализа. Эмуляция исполнения Метод эмуляции исполнения программного кода используется для обнаружения полиморфных и шифрованных вирусов, когда использование поиска по контрольным суммам сигнатур неприменимо или значительно усложнено из-за невозможности построения надежных сигнатур. Метод состоит в имитации исполнения анализируемого кода при помощи эмулятора – программной модели процессора (а также, отчасти, компьютера и операционной системы). Эмулятор оперирует с защищенной областью памяти (буфером эмуляции). При этом инструкции не передаются на центральный процессор для реального исполнения. Если код, обрабатываемый эмулятором, заражен вирусом, то результатом его эмуляции станет расшифрованное тело вируса, которое далее легко поддается определению методом поиска по контрольным суммам сигнатур. Эвристический анализ Эвристический анализ используется для обнаружения новых, ранее неизвестных угроз, информации о которых нет в антивирусных базах. Принцип эвристического анализа основан на определении, присутствуют ли у объекта часто встречающиеся признаки (характерные особенности) угроз. Каждому признаку при этом сопоставляется некоторое число, называемое его весом, которое характеризует важность (или серьезность) этого признака. Вес может быть как положительным, если признак указывает на наличие вредоносного кода, так и отрицательным, если признак не свойственен компьютерным угрозам. Если сумма весов всех обнаруженных в объекте признаков превышает определенное значение, то эвристический анализатор выдает заключение о том, что анализируемый объект может представлять угрозу, и определяет его как подозрительный. Как и любая система проверки гипотез в условиях неопределенности, эвристический анализатор может допускать ошибки первого рода (пропуск неизвестной угрозы) и второго рода (ложное срабатывание). Origins Tracing™ Origins Tracing™ – это уникальный несигнатурный алгоритм обнаружения компьютерных угроз, разработанный специалистами компании Dr.Web и используемых только в продуктах Dr.Web. Дополняя традиционные методы сигнатурного и эвристического анализа, этот алгоритм значительно увеличивает вероятность обнаружения неизвестных угроз. К названиям угроз, обнаруженных при помощи Origins Tracing, добавляется постфикс .Origin. В продуктах Dr.Web реализована возможность применять определенные действия к обнаруженным объектам для обезвреживания компьютерных угроз. Пользователь может оставить автоматически применяемые к определенным типам угроз действия, заданные по умолчанию, изменить их или выбирать нужное действия для каждого обнаруженного объекта отдельно. Ниже приведен список доступных действий:
|