|
Ochrona proaktywna
|
Kaspersky Internet Security chroni przed znanymi zagro┐eniami oraz przed zagro┐eniami, kt≤re nie zosta│y jeszcze wykryte i nie ma jeszcze o nich informacji w sygnaturach zagro┐e±. Zadanie to wykonuje specjalny sk│adnik - Ochrona proaktywna.
Potrzeba zastosowania ochrony proaktywnej pojawi│a siΩ po tym jak szkodliwe programy zaczΩ│y siΩ rozprzestrzeniaµ szybciej ni┐ publikowane s╣ uaktualnienia sygnatur zagro┐e± niezbΩdnych do ich neutralizowania. Reaktywna technika ochrony antywirusowej wymaga zainfekowana przez nowe zagro┐enie przynajmniej jednego komputera oraz potrzebuje czasu do przeanalizowania szkodliwego kodu w celu dodania go do sygnatur zagro┐e± i uaktualnienia sygnatur na komputerach u┐ytkownik≤w. W tym czasie, nowe zagro┐enie mo┐e wyrz╣dziµ powa┐ne uszkodzenia.
Technologia prewencyjna realizowana przez modu│ ochrony proaktywnej zawarty w programie Kaspersky Internet Security pozwala zaoszczΩdziµ czas i zneutralizowaµ nowe zagro┐enia przed wyrz╣dzeniem przez nie szkody. W jaki spos≤b jest to realizowane? W odr≤┐nieniu od technologii reaktywnych, analizuj╣cych kod, technologie prewencyjne rozpoznaj╣ nowe zagro┐enie w komputerze poprzez okreslon╣ sekwencjΩ dzia│a± uruchamianych przez proces lub aplikacjΩ. Instalacja programu obejmuje zestaw kryteri≤w okre£laj╣cych poziom niebezpiecznej aktywno£ci. Je┐eli aktywno£µ aplikacji przypomina niebezpieczne dzia│anie, aplikacja klasyfikowana jest jako niebezpieczna i przydzielane s╣ do niej dzia│ania w postaci regu│y dla tego typu aktywno£ci. Przyk│ady niebezpiecznej aktywno£ci zawieraj╣:
- zmiany w systemie plik≤w
- osadzanie modu│≤w w innych procesach
- maskowanie proces≤w
- zmiany w rejestrze systemu Microsoft Windows.
Modu│ ochrony proaktywnej £ledzi i blokuje wszystkie niebezpieczne operacje.
Modu│ ochrony proaktywnej £ledzi r≤wnie┐ wszystkie makra VBA uruchamiane w aplikacjach pakietu Microsoft Office. Program u┐ywa sygnatur zagro┐e± do analizy makr.
Podczas pracy, modu│ ochrony proaktywnej wykorzystuje zestaw regu│ do│╣czonych do programu oraz utworzone wykluczenia. Regu│a jest zestawem kryteri≤w definiuj╣cych stopie± zagro┐enia dla okre£lonej aktywno£ci oraz reakcjΩ programu na tego typu aktywno£µ.
Indywidualne regu│y s│u┐╣ do badania aktywno£ci aplikacji i monitorowania zmian w rejestrze systemowym, makrach i uruchomionych procesach na komputerze. Mo┐liwe jest zmienianie listy regu│ wed│ug w│asnych potrzeb poprzez ich dodawanie, usuwanie lub modyfikowanie. Regu│y mog╣ blokowaµ dzia│ania lub zezwalaµ na ich wykonanie.
Algorytm dzia│ania ochrony proaktywnej:
- Natychmiast po uruchomieniu kompuera, modu│ ochrony proaktywnej analizuje nastΩpuj╣ce czynniki:
- Aktywno£µ wszystkich aplikacji uruchomionych na komputerze. Modu│ ochrony proaktywnej rejestruje historiΩ podejmowanych dzia│a± i por≤wnuje je z sekwencj╣ charakterystyczn╣ dla niebezpiecznych dzia│a± (program zawiera bazΩ danych niebezpiecznej aktywno£ci uaktualnian╣ wraz z sygnaturami zagro┐e±).
- Aktywno£µ wszystkich uruchamianych makr VBA. Program skanuje makra w poszukiwaniu niebezpiecznych dzia│a±.
- Integralno£µ modu│≤w program≤w zainstalowanych na komputerze w celu unikniΩcia zast╣pienia modu│≤w programu modu│ami zawieraj╣cymi szkodliwy kod oraz unikniΩcia uruchomienia tych aplikacji przez szkodliwe programy.
- Ka┐d╣ pr≤bΩ modyfikacji rejestru systemowego (usuwanie lub dodawanie kluczy rejestru systemowego, wprowadzanie podejrzanych warto£ci kluczy itp.).
- Do analizy wykorzystywane s╣ regu│y i wykluczenia zdefiniowane dla modu│u ochrony proaktywnej.
- Po zako±czeniu analizy, dostΩpne s╣ nastΩpuj╣ce mo┐liwo£ci:
- Je┐eli aktywno£µ nie stanowi zagro┐enia, nie jest blokowana.
- Je┐eli regu│a blokuj╣ca jest zgodna z aktywno£ci╣, wykonywane s╣ kolejne instrukcje okre£lone w regule. Tego typu aktywno£µ jest zazwyczaj blokowana. Na ekranie wy£wietlony zostanie komunikat zawieraj╣cy informacje o aplikacji, typ jej aktywno£ci i historiΩ podjΩtych dzia│a±. U┐ytkownik musi podj╣µ decyzjΩ zezwalaj╣c╣ lub zabraniaj╣c╣ na tego typu aktywno£µ aplikacji. Mo┐liwe jest utworzenie regu│y dla tego typu aktywno£ci i cofniΩcie dzia│a± podjΩtych w systemie.
- Je┐eli sekwencja zdarze± uruchamianych na komputerze nie jest okre£lona przez regu│y, jest ona dozwolona.
Tematy pokrewne:
Stan ochrony proaktywnej
Wstrzymywanie / wy│╣czanie ochrony proaktywnej
Ustawienia ochrony proaktywnej
Statystyki ochrony proaktywnej