Ochrona antywirusowa: ewolucja i metody

Przeczytaj także: Panda Malware Radar

W artykule tym omówiono, w jaki sposób heurystyka jako metoda podejmowania decyzji stanowi jeden z rodzajów komponentu analitycznego, nie zaś całkowicie niezależną technologię. HIPS (Host Intrusion Prevention System) będzie uważany jedynie za rodzaj komponentu technicznego, sposób gromadzenia danych. Terminy te nie wykluczają się nawzajem, nie charakteryzują również w pełni opisywanych przez siebie technologii: możemy omawiać heurystykę bez dokładnego określenia, jakie dane są poddawane analizie heurystycznej, możemy również mówić o systemie HIPS, zupełnie nie znając zasad, jakimi kieruje się system, wydając werdykt.

Technologie te zostaną omówione bardziej szczegółowo w indywidualnych sekcjach. Na początek warto się przyjrzeć się zasadom leżącym u podstaw każdej technologii wykorzystywanej w celu szukania szkodliwego kodu: zarówno technicznym (metody gromadzenia danych) jak i analitycznym (metody przetwarzania zebranych danych).

Komponent techniczny

Komponent techniczny systemu wykrywania szkodliwego oprogramowania zbiera dane, które zostaną wykorzystane do analizy sytuacji.

Z jednej strony, szkodliwy program jest plikiem o specyficznej zawartości, z drugiej strony, zbiorem akcji, które mają miejsce w systemie operacyjnym. Jest to również ogólna suma końcowych rezultatów w systemie operacyjnym. Z tego względu identyfikacja programu może mieć miejsce na więcej niż jednym poziomie: poprzez sekwencję bajtów, poprzez akcję, poprzez wpływ programu na system operacyjny itd.

Poniżej przedstawiono wszystkie sposoby, które mogą zostać wykorzystane do zbierania danych w celu zidentyfikowania szkodliwych programów:

1. traktowanie pliku jako zbioru bajtów
2. emulowanie kodu programu
3. uruchomienie programu w piaskownicy (sandbox) (oraz wykorzystanie innych podobnych technologii wizualizacji)
4. monitorowanie zdarzeń systemowych
5. skanowanie w celu wykrycia anomalii systemowych

Kolejność wymienionych metod odzwierciedla coraz większy stopień abstrakcji podczas pracy z kodem. Poziom abstrakcji wskazuje tutaj, w jaki sposób traktowany jest uruchomiony program: jako oryginalny obiekt cyfrowy (zbiór bajtów), jako zachowanie (bardziej abstrakcyjny poziom niż zbiór bajtów) lub jako zbiór rezultatów w systemie operacyjnym (większy stopień abstrakcji niż zachowanie). Ewolucja technologii antywirusowej wyglądała mniej więcej tak: praca z plikami, praca ze zdarzeniami za pośrednictwem pliku, praca z plikiem za pośrednictwem zdarzeń oraz praca z samym środowiskiem. Dlatego też powyższa lista oprócz metod ilustruje również chronologię.

Trzeba podkreślić, że wymienione wyżej metody nie tyle stanowią osobne technologie co teoretyczne stadia w nieustannej ewolucji technologii stosowanych do zbierania danych, które są następnie wykorzystywane do wykrywania szkodliwych programów. Technologie stopniowo ewoluują i przenikają się nawzajem. Na przykład emulacja może znajdować się bliżej punktu 1 na liście, jeżeli jest implementowana w taki sposób, że tylko częściowo traktuje plik jako zbiór bajtów. Lub może być bliżej punktu 3, jeżeli mówimy o pełnej wirtualizacji funkcji systemu.

Metody te zostały szczegółowo omówione poniżej.

1. Skanowanie plików

Pierwsze programy antywirusowe analizowały kod pliku traktowany jako sekwencje bajtów. W rzeczywistości, słowo "analizować" nie jest tu prawdopodobnie najlepszym określeniem, ponieważ metoda ta polegała po prostu na porównywaniu sekwencji bajtowych ze znanymi sygnaturami. W tym miejscu jednak interesuje nas techniczny aspekt tej technologii, mianowicie uzyskiwanie danych w ramach szukania szkodliwych programów. Dane te są wysyłane do komponentu podejmowania decyzji, wydobywane z plików i stanowią zbiór bajtów ułożonych w określony sposób.