Neskatoties uz visām pretvīrusu programmām pasaulē, ļaunprātīgas programmatūras uzbrukumu apjoms, šķiet, nepaātrina darbu internetā un no turienes uz jūsu datoriem. Kas padara kādu vīrusu nenosakāmu pat ar labāko pret ļaundabīgo programmu programmatūru? Divas lietas, ko es redzu: pastāvīgi mainās polimorfs vīruss un nespēja nodrošināt pretvīrusu piegādātājus, lai izveidotu cieto tehnoloģiju, lai novērstu nezināmu vīrusu.
Kas ir polimorfisks vīruss
Polimorfs vīruss ir koda fragments, kam raksturīga šāda uzvedība - viena vai vairāku pašu komponentu šifrēšana, pašreklupcija un mainīšana, lai tā paliktu nenozīmīga. Tas ir paredzēts, lai izvairītos no atklāšanas, jo tas spēj radīt modificētas pašas kopijas.
Tādējādi polimorfs vīruss ir pašcitiksnē radīta ļaunprātīga programmatūra, kurai pirms tam reizinot ar to pašu datoru vai datortīkliem ir tendence mainīties vairāk nekā vienā veidā. Tā kā tas pareizi maina komponentus un ir šifrēts, polimorfiskais vīruss var tikt uzskatīts par vienu no intelektuālajām ļaundabīgajām programmām, kuras ir grūti noteikt. Tā kā līdz tam laikam, kad jūsu pretvīruss konstatē, vīruss jau ir reizināts pēc vienas vai vairāku tā sastāvdaļu nomaiņas (morfēšana uz kaut ko citu).
Lieta, kas izceļas starp parasto vīrusu un polimorfisko vīrusu, ir tā, ka tā pirms komponentu reizināšanas maina tā sastāvdaļas, lai tā izskatās kā cita programmatūra. Šo morfējošo aktivitāti ir grūti noteikt.
Lasīt: Kurš bija pirmais Windows vīruss?
Polimorfā vīrusa aizsardzība
Mums būs nepieciešama nākamās paaudzes antimalware … kaut kas var domāt par to pašu. Varbūt es ierosinu antimalware risinājumu, pamatojoties uz mākslīgo intelektu. Daži no mākslīgā intelekta un daudziem pētījumiem palīdzēs šādai antimalwarei identificēt un novērst polimorfos vīrusus.
Pašreizējās antivīrusu formas darbojas vai nu ar melnā saraksta vai baltajām saraksta programmām. Mēs jau esam runājuši par to, kā šī vīrusa forma var mainīties pirms daudzkāršošanas. Šajā scenārijā antivīruss, kas balstās uz melnajiem sarakstiem, nav daudz noderīgs, jo tie varēs noteikt tikai tādas izmaiņas, kas ir iekļautas melnajā sarakstā, bet vīruss, kas ir kļuvis kļūdains, turpina inficēt failus un citus datorus.
Baltajā sarakstā iekļautā antimalware ir labāka, bet garlaicīga. Tā kā ar baltu saraksti, jums būs baltajā sarakstā katru programmu, kuru vēlaties palaist savā datorā, polimorfisks vīruss nevar darīt neko, jo jūs to neatļausies, kamēr nav sajaukti. Antivīruss, kas balstīts uz baltā saraksta, nav paredzēts iesācēju līmeņa lietotājiem, jo tie var visu atļaut, baidoties no būtisku operētājsistēmas pakalpojumu bloķēšanas. Bet, ja baltajā sarakstā tiek izmantots pareizi, šī vīrusa dažādība nebūs spējīga palaist, jo jūs to nekad neesat atļāvis - pat pēc tam, kad tā morfs pati.
Manā personīgajā skatījumā neviena no iepriekš minētajām divām metodēm nav pietiekami laba. Tam vajadzētu būt kaut kas, kas datorā studē programmas un redz to, kā viņi uzvedas. Aizdomīgu darbību gadījumā programma automātiski to bloķē vai vismaz paziņo, ka kaut kas ir aizdomīgs. Pēc tam varat padziļināti to izpētīt - lai redzētu, vai tā ir daļa no instalētās programmas vai nevēlamās ļaundabīgās programmas.
Pastāv uz uzvedību balstīta anti-ļaundabīgo programmu programmatūra, taču tie arī izpēta iepriekš noteiktu uzvedību un meklē iepriekš plānotas darbības. Jūs varat tos izmantot papildus whitelisting pieejai, lai novērstu polimorfu vīrusu.
Tagad lasīt Malware attīstība - kā viss sākās!
