Другой метод, основанный на эвристике, исходит из предположения, что вредоносные программы так или иначе стремятся нанести вред компьютеру, и основан на выделении основных вредоносных действий.
Например:
· удаление файла;
· запись в файл;
· запись в определенные области системного реестра;
· открытиепортанапрослушивание;
· перехват данных вводимых с клавиатуры;
· рассылкаписем;
Выполнение каждого такого действия по отдельности не является поводом считать программу вредоносной. Однако, при выполнении программой последовательно нескольких таких действий, например, записывает запуск себя же в ключ автозапуска системного реестра, перехватывает данные вводимые с клавиатуры и с определенной частотой пересылает эти данные на какой-то адрес в Интернет, значит эта программа, по меньшей мере, подозрительна. Основанный на этом принципе эвристический анализатор постоянно следит за действиями, которые выполняют программы.
Преимущества: возможность обнаруживать неизвестные ранее вредоносные программы, даже если они не очень похожи на уже известные (использование для проникновения на компьютер новую уязвимость, а после этого – выполнять уже привычные вредоносные действия). Такую программу может пропустить эвристический анализатор первого типа, но вполне может обнаружить анализатор второго типа.
|
|
Недостатки:
· ложные срабатывания;
· невозможность лечения;
· не высокая эффективность.
1.4. "Облачная" защита
Компьютерное "облако" — это сетевая компьютерная система, предоставляющая информационные и вычислительные услуги, изолируя пользователя от поддерживающий инфраструктуры (серверов, систем хранения, компьютерных сетей, программного обеспечения) и обеспечивая удобный сетевой доступ к нужному количеству ресурсов, быстро выделяя и освобождая их по мере необходимости в автоматическом режиме.
Главное в облаке — это полная изоляция пользователя от всех технических сложностей при решении его задач.
Применение "облака" для обнаружения компьютерных вирусов заключается в сканировании файлов на удалённых серверах. Сканирование - это сбор информации о проверяемом файле и поиск соответствующей файлу сигнатуры. После этого производится анализ и определяется степень опасности файла. При отсутствии информации о файле, на сервер отсылается дополнительная информация или сам неопознанный файл для дополнительного анализа.
Сервера разработчика антивирусного программного обеспечения со своим программным обеспечением, к которым посредством Интернета подключены все компьютеры, также называется "облаком". Самые крупные производители антивирусной индустрии уже запустили свое облако во всемирную паутину.