Technology Highlights

Перше покоління: Антивірус

Перше покоління антивірусних продуктів повністю базувалось на сигнатурному виявленні.

Це покоління технологій зайняло більшу частину 90-х років минулого століття та містило поліморфічні, а також прості механізми, що базувались на правилах евристики для MS-DOS, Win32, Macro та, пізніше, скриптах. Цей період також позначений як перший з масового використання троянів для win32, таких як NetBus та BackOrifice.

Друге покоління: Antimalware

З 2000 року почали з’являтися нові типи шкідливих програм (malware): мережеві хробаки та шпигуни, які звернули на себе увагу в результаті масових та досить помітних епідемій.

Прості антивірусні механізми виросли до інтегрованих персональних брандмауерів, здатних ідентифікувати та зупиняти мережевих хробаків, основаних на пакетах сигнатур, та очисників систем для відновлення модифікованих налаштувань операційної системи, таких як реєстр, файли HOST, Browser Helper Objects та ін. Вони стали представляти собою друге покоління технологій, які Panda Software інтегрувала у вигляді технологій SmartClean в антивірусний механізм, розроблений для дезінфекції від шпигунів і трояні та відновлення операційної системи.

Третє покоління: Проактивні технології

TruPrevent

Panda випустила поведінкові технології TruPrevent® у 2004 після 3-річних інтенсивних досліджень та розробок.

Після того технології TruPrevent® перетворились в набір превентивних технологій, які стали набагато ефективніші у блокуванні шкідливих програм «нульового дня» в проактивний спосіб, без будь-якої залежності від вірусних сигнатур, ніж будь-які інші попередні технології, розроблені в даному напрямку. TruPrevent® постійно адаптується до нових технік шкідливих програм та розробок. Технології TruPrevent® були побудовані над антивірусним механізмом. На теперішній час більш ніж 5 мільйонів комп’ютерів працює з технологіями TruPrevent®. Усі ці комп’ютери також виступають у якості високо інтерактивних вузлів, які відправляють в PandaLabs зразки будь-яких нових шкідливих програм, які TruPrevent® відмітили як підозрілі та, які не були виявлені регулярними антивірусними сигнатурами.

Технічно TruPrevent® складається з 2 основних технологій: поведінковий аналіз та поведінкове блокування.

Поведінковий аналіз

Поведінковий аналіз виступає в якості дійсно останньої лінії захисту від нових шкідливих програм, виконаних на механізмі, що сприяє обходу сигнатур, евристик та поведінкового блокування. Proteus перехоплює, під час виконання, операції та виклики API, що здійснюється кожною програмою, та встановлює з ними зв’язки до того, як дозволити процес. В результаті чого у режимі реального часу здійснюється дозвіл або заборона на виконання процесів, що базуються на їх поведінці.

На відміну від інших поведінкових технологій, дана технологія є автономною та не ставить технічних запитань користувачу (наприклад “ Чи бажаєте дозволити процес xyz, щоб ввести потік в explorer.exe або на адресу пам’яті abc ?”). Ця технологія не вимагає оновлення сигнатури, так як базується тільки на поведінці програм. Бот не буде ботом, якщо він не веде себе як бот, якщо він є таким, то він буде виявлений даною технологією незалежно від його форми та назви.

Поведінкове блокування

Поведінкове блокування TruPrevent® являється другим основним компонентом. Хакери та шкідливі програми використовують права легітимних програм для атаки систем інформаційним кодом. Щоб в цілому попередити подібні типи атак, дуже ефективним, з точки зору ціни, є використання технології блокування, яка базується на правилах, що обмежують дії, які можуть здійснювати авторизованими програмами в системі.

KRE складається з набору політик, що визначені набором правил, які надають дозвіл або заборону дії для специфічної програми з даної групи. Правила можуть бути встановлені для контролю доступу програми до файлів, рахунків користувача, реєстру, СОМ-об’єктів, служб Windows та мережевих ресурсів.

Генетичний евристичний механізм (Genetic Heuristic Engine)

"Генетичні" технології, натхнені розділом генетики в біології та її корисністю при розумінні того, як організми індивідуально ідентифікуються та пов’язані з іншими організмами. Ці технології базуються на обробці та інтерпретації "цифрових генів", що представлені в нашому випадку сотнями характеристик кожного файлу, що сканується.

Генетичний евристичний механізм був випущений в 2005 році. Його ціллю являється кореляція генетичних особливостей файлів шляхом використання певного алгоритму. Генетичні особливості визначають потенціал програмного забезпечення відносно виконання шкідливих дій після свого запуску на комп’ютері. Механізм здатний визначати, чи є файл нешкідливим, чи навпаки є вірусом, хробаком, шпигуном, трояном…

Колективний розум. Наступне покоління.

Сьогодні існує в 10 раз більше шкідливих програм, ніж два роки тому. Витікає очевидний висновок, що рішення безпеки повинні виявляти у 10 раз більше шкідливих програм для того, щоб забезпечити користувачів адекватним захистом. Відповідно звіту, складеного PandaLabs, 72% компаній та 23% домашніх користувачів являються інфікованими, хоча мають встановлений захист. У випадку незахищених користувачів, процент інфікованих комп’ютерів зростає до 33,28%. Ці дані підтверджують, що традиційних рішень не достатньо (Ви можете переглянути повний звіт в форматі PDF нижче).Розвинені рішення HIPS здатні виявляти та блокувати більшість з загроз за допомогою проактивних технологій, але все ще залишається можливість для шкідливих програм прослизати непоміченими скрізь їх захист.

Підхід "Колективний розум" був реалізований в кінці 2006 року в декількох провідних проектах, щоб визначити його здатність надійно виявляти “в 10 раз більше, ніж ми виявляємо, прикладаючи в 10 раз менше зусиль”.

Основи даної нової системи наступні: