Pull to refresh

Comments 6

А какие компоненты устанавливаются на защищаемый компьютер/виртуальную машину? Кроме естественно агента, связывающего защищаемую машину и образ с антивирусом?

Если точнее интересует — все антивирусные проверки проводятся снаружи защищаемой машины — или что-то антивирусное есть и внутри?
Это все-таки разные вопросы, независимые, и за два слова на них не ответишь. Дело вот в чем:
На защищаемую конечную точку безусловно ставится «базовый» защитный модуль — классическая сигнатурная защита, первичная эвристика. Дополнительно можно поставить модули: Advanced Threat Control — глубокая эвристика, мониторинг процессов, памяти; Firewall — тут, думаю, и так все ясно: контроль доступа через сеть/интернет; Content Control — более продвинутый контроль трафика, управление правами приложений и пользователей, расписание, т.п.; Device control — управление доступом к девайсам, предотвращение утечки данных. В более продвинутом пакете также отдельным модулем — защита Эксчейнджа.
Теперь ко второму вопросу. Сканирование может проводиться как на защищаемой машине, так и на сервере. Кроме того, доступен вариант гибридного сканирования, когда нагрузка каким-то образом разделяется между конечной точкой и серваком. По умолчанию агент при установке на эндпойнт самостоятельно просканирует машину на предмет ресурсов и автоматически выберет наиболее оптимальный алгоритм, но можно установить и вручную.
То есть непосредственно антивирусных компонент не ставится, а в случае необходимости сканирования используется некое АПИ?
Мой интерес в неизвестных на момент проникновения вредоносных программах. Можете произвести небольшой эксперимент?
— остановить антивирус (типа он не знает вируса)
— если есть — запустить вирус в защищаемой виртуальной машине (типа вирус обошел все защиты)
— включить антивирус и:
— подождать полчаса — час (сработает ли какой антируткит)
— произвести антивирусную проверку (найдет ли запущенный процесс)

Для обычных антивирусов это типовая задача, а вот для подобных — нет информации
Спасибо за идею с экспериментом, будет время — обязательно попробую (надеюсь, на днях).

То есть непосредственно антивирусных компонент не ставится, а в случае необходимости сканирования используется некое АПИ?

Ставится, конечно. «базовый» компонет — Antimalware, плюс дополнительные, из которых один — Advanced Threat Control — чистейшей воды эвристический анализ по косвенным признакам: поведению процесса, контролю памяти и т.п.
В этих облачных антивирусах как-то мутно с обнаружением ранее неизвестных угроз. Понятно, что входящий/исходящий трафик проверяется. Понятно, что есть АПИ для проверки файлов. А вот проверяются ли запущенные процессы постоянной защитой — совершенно не ясно. А ведь вирусы/трояны бывают не только прячущиеся в файлах.

Заранее спасибо!
ПОка могу только цитату из мануала привести:
English
Antimalware
The antimalware protection module is based on signature scanning and heuristic
analysis (B-HAVE) against: viruses, worms, trojans, spyware, adware, keyloggers,
rootkits and other types of malicious software.
Bitdefender's antimalware scanning technology relies on the following protection
layers:
● First, a traditional scanning method is employed where scanned content is
matched against the signature database. The signature database contains byte
patterns specific to known threats and is regularly updated by Bitdefender. This
scanning method is effective against confirmed threats that have been
researched and documented. However, no matter how promptly the signature
database is updated, there is always a vulnerability window between the time
when a new threat is discovered and when a fix is released
● Against brand-new, undocumented threats, a second layer of protection is
provided by B-HAVE, Bitdefender's heuristic engine. Heuristic algorithms detect
malware based on behavioral characteristics. B-HAVE runs suspected malware
in a virtual environment to test its impact on the system and ensure it poses
no threat. If a threat is detected, the program is prevented from running.

Advanced Threat Control
For threats that elude even the heuristic engine, a third layer of protection is present
in the form of Advanced Threat Control (ATC).
Advanced Threat Control continuously monitors running processes and grades
suspicious behaviors such as attempts to: disguise the type of process, execute
code in another process's space (hijack process memory for privilege escalation),
replicate, drop files, hide from process enumeration applications, etc. Each
suspicious behavior raises the process rating. When a threshold is reached, an
alarm is triggered.


Наспех-перевод-главного:
Защита Antimalware базируется на сигнатурном сканировании и эвристическом анализе (B-HAVE) и выявляет: вирусы, червей, троянов, шпионские модули, адвер, кейлоггеры, руткиты и др.
Первый уровень сканирования: традиционный метод сканирования, основанный на сигнатурных базах. Сигнатурные базы содержат основные паттерны, характерные для известных угроз и регулярно обновляются Битдефендером. Тем не менее, как бы оперативно не обновлялись базы данных, всегда есть зазор уязвимости между появлением угрозы и добавлением ее в базу сигнатур.
Против новоявленных, недокументированных угроз работает второй уровень защиты: B-HAVE — эвристический движок. Эвристические алгоритмы обнаруживают вредоносное ПО по поведенческим характеристикам. Б-ХЭЙВ запускает подозрительное ПО в виртуальном окружении для проверки его влияния на систему, чтобы удостовериться, что оно (не) несет угрозу.
Третий уровень (если первые два устанавливаются в любом случае, то третий — это дополнительный модуль — Advanced Threat Control) мониторит активные процессы и отмечает подозрительное поведение, например: подмену типа процесса, выполнение кода в пространстве другого процесса, подмена или удаление файлов, сокрытие процесса от мониторинговых утилит, т.п. Каждому подозрительному приложению присваивается «рейтинг опасности» и по достижению определенного порогового значения этого рейтинга приложение блокируется.


Однако, замечу, что Вы правы в том смысле, что надежную почву для выводов может дать только эксперимент.
Надеюсь, в течение нескольких дней смогу его провести, самому интересно!
Sign up to leave a comment.

Articles