Поведенческие блокираторы
Еще один проактивный подход, известный так же, как и эвристические анализаторы, это поведенческие блокираторы. Суть технологии в том, чтобы анализировать поведения программы во время исполнения и блокировать те действия, которые являются опасными. Тут же возникает вопрос: «Какие действия следует считать вредоносными?» Разработчики первых блокираторов поступили очень просто: если программа пытается сделать что-то подозрительное, надо обратиться за советом к пользователю. В результате львиная доля ответственности за принимаемые решения перекладывалась на человека, которому действительно приходилось изучать информационные окошки антивируса и выбирать между кнопками: «разрешить» или «запретить». Естественно, огромное количество ложных (или спорных) срабатываний привело к тому, что данная технология была просто отодвинута на задний план «до лучших времен».
Но в истории антивирусной индустрии есть, по крайней мере, один пример эффективного поведенческого блокиратора. Речь идет о Kaspersky Office Guard. Обойтись без участия пользователей разработчикам удалось только потому, что они сузили область проверяемых объектов — блокиратор защищал только от макровирусов, «живущих» в офисных документах. Более того, «Лаборатория Касперского» довела эффективность анализа VBA-программ (кода, работающего в среде Microsoft Office) до такой степени, что гарантировала практически 100%-ную защиту от макровирусов. Сомневаться в этом не приходится, так как анализировать поведение макросов несравнимо легче, чем обычных EXE-программ. Однако никто из конкурентов такой подход не реализовал. Конечно, эпоха макровирусов уже прошла, ее пик пришелся на вторую половину 1990-х, и сегодня макровредитель является большой редкостью, к тому же детектируется обычным сигнатурным сканером.
Некоторое время назад антивирусная индустрия снова вернулась к технологии анализа поведения программ. Немного повысить качество результатов удалось за счет проверки на допустимость не каждой операции в отдельности, а последовательности действий программы. При этом эксперты избавили пользователя от участия в самом процессе и смирились с невысокой в целом эффективностью поведенческих блокираторов. Точно так же, как и эвристический анализ, данный подход способен дать более-менее приемлемый результат только в комбинации с другими технологиями.
Отметим, что поведенческие блокираторы являются в полной мере проактивными, так как позволяют бороться с неизвестными вредителями, сигнатуры которых не внесены в антивирусную базу. Сегодня этот подход нашел свое место в продуктах «Лаборатории Касперского», Panda и Cisco.
