Ochrona antywirusowa: ewolucja i metody

Przeczytaj także: Panda Malware Radar

4. Monitorowanie zdarzeń systemowych

Monitorowanie zdarzeń systemowych stanowi bardziej abstrakcyjną metodę zbierania danych, które mogą zostać wykorzystane do wykrywania szkodliwych programów. Emulator lub piaskownica obserwuje każdy program osobno poprzez rejestrowanie wszystkich zdarzeń wygenerowanych w systemie operacyjnym przez uruchomione programy.

Dane są zbierane poprzez przechwytywanie funkcji systemu operacyjnego. Poprzez przechwycenie odwołania do określonej funkcji systemu można uzyskać dokładne informacje o tym, co określony program robi w systemie. Stopniowo monitor zbiera dane statystyczne dotyczące takich czynności i przekazuje je komponentowi analitycznemu w celu analizy.

Technologia ta należy obecnie do najszybciej ewoluujących. Wykorzystywana jest jako komponent w wielu popularnych produktach antywirusowych oraz jako główny komponent w urządzeniach monitorowania systemu (zwanych urządzeniami HIPS lub po prostu HIPS, które obejmują Prevx, CyberHawk oraz wiele innych). Jednak biorąc pod uwagę to, że można obejść każdą formę ochrony, taka metoda wykrywania szkodliwego oprogramowania nie jest najbardziej obiecująca: po tym jak program zostanie uruchomiony w prawdziwym środowisku, zagrożenia znacząco zmniejszają skuteczność ochrony.

5. Skanowanie w celu wykrycia anomalii systemowych

Jest to najbardziej abstrakcyjna metoda wykorzystywana do zbierania danych o potencjalnie zainfekowanym systemie. Została tutaj omówiona, ponieważ stanowi logiczne rozszerzenie innych metod i wykazuje najwyższy poziom abstrakcji spośród analizowanych w tym artykule technologii.

Metoda ta wykorzystuje następujące właściwości:

• system operacyjny, razem z programami uruchomionymi w tym systemie, stanowi zintegrowany system;
• system operacyjny posiada wewnętrzny "status systemu";
• jeżeli szkodliwy kod zostanie uruchomiony w środowisku, system będzie miał status "niezdrowy"; taki system różni się od systemu ze statusem "zdrowy", który nie zawiera szkodliwego kodu.

Właściwości te pomagają określić status systemu (oraz czy w systemie jest obecny szkodliwy program) poprzez porównanie statusu ze standardem oraz przeanalizowanie wszystkich oddzielnych parametrów systemu jako osobnej całości.

Aby skutecznie wykryć szkodliwy kod przy użyciu tej metody, potrzebny jest stosunkowo złożony system analityczny. Powstaje wiele pytań: jak należy zdefiniować status "zdrowy"? W jaki sposób różni się on od statusu "niezdrowy"? Jakie oddzielne parametry można śledzić? Jak należy analizować te parametry? Ze względu na swą złożoność technologia ta nadal jest dość słabo rozwinięta. Przejawy jej początkowych stadiów widoczne są w niektórych narzędziach do zwalczania rootkitów, gdzie dokonuje porównań z pewnymi próbkami systemu pobranymi ze standardu (przestarzałe narzędzia, takie jak PatchFinder oraz Kaspersky Inspector) lub pewnymi parametrami (GMER, Rootkit Unhooker).

6. Interesująca metafora

Analogię dziecka, wykorzystaną w sekcji o piaskownicy, można rozszerzyć. I tak emulator jest jak niania, która nieustannie obserwuje dziecko, aby nie mogło zrobić niczego niewłaściwego. Monitorowanie zdarzeń systemowych można porównać do przedszkolanki, która pilnuje całą grupę dzieci, a wykrywanie anomalii systemowych to jakby danie dzieciom wolnej ręki i prowadzenie rejestru ich ocen. Używając tej metafory, analiza bajtów pliku jest jak planowanie rodziny. I podobnie jak dzieci, technologie te nieustannie się rozwijają.