Selezionare il paeseIl modo migliore per ottenere una soluzione antivirus proattiva consiste nell’eseguire i file sospetti all’interno di un ambiente sicuro. In altre parole, si tratta di lasciare il virus libero di compiere il lavoro per cui è stato creato.
 |
In questo modo, tutti i file sconosciuti e sospetti che tentano di penetrare nel computer vengono isolati durante l’analisi, per impedire che infettino la macchina. Quando il virus si rivela, la soluzione proattiva controlla il suo comportamento ed esegue una valutazione del file.
Sulla base di tale analisi, il sistema determina se il file debba essere posto in quarantena o se consentirgli l’accesso al computer. Tale operazione è difficilmente realizzabile su un vero sistema.
Potrebbe essere necessario modificare molte impostazioni del sistema operativo prima che il potenziale virus si diffonda (dipendenze relative a data, ora, numero di build, impostazioni di sicurezza, directory del sistema e così via). L’utilizzo di un vero sistema richiede una grande quantità di modifiche e probabilmente costringerebbe l’utente a riavviare frequentemente il computer. In poche parole, si tratta di un processo lungo e poco efficiente.
Per eseguire tali operazioni in tempi ragionevoli e utilizzando le risorse del sistema in maniera efficiente, è necessario adottare un modulo separato (SandBox) dotato di un proprio sistema operativo. Norman SandBox fa parte del motore di scansione antivirus Norman ed è compatibile con varie funzioni di Windows, come Winsock, Kernel e MPR. Supporta inoltre funzioni di rete e Internet, come HTTP, FTP, SMTP, DNS, IRC e P2P.
Quello che Norman propone è un computer completamente simulato, isolato all’interno del computer reale, che fa parte del motore di scansione antivirus Norman. Non è necessario installare nessun componente hardware aggiuntivo.
Il simulatore sfrutta tutte le capacità BIOS ROM, l’hardware simulato, i dischi rigidi simulati e così via. Emula la sequenza di avvio di un normale sistema, iniziando dal caricamento dei file del sistema operativo e dalla shell dei comandi dall’unità simulata. Tale unità contiene le directory e i file necessari per il sistema, conformi ai file di sistema dei dischi rigidi fisici.
Il file sospetto viene inserito nel disco rigido simulato e avviato in un ambiente di emulazione, senza percepirlo come tale.
All’interno di questo ambiente, il file è libero di svolgere qualsiasi operazione: può infettare ed eliminare file, replicarsi in rete, connettersi a un server IRC, inviare e-mail, nonché impostare porte di ascolto. Ogni azione eseguita viene registrata dal programma antivirus, poiché in realtà è l’emulatore che le svolge in base al codice del file. Sulla CPU reale non viene eseguito alcun codice, a eccezione del motore di emulazione antivirus. Il computer di emulazione è in grado di simulare persino l’hardware.
Lo scopo non è quello di monitorare e bloccare le azioni potenzialmente pericolose al momento dell’esecuzione, bensì di stabilire quale sarebbe stato il comportamento del programma se eseguito su un computer o in una rete non protetti, anche all’interno di un server Netware, Linux, OS/2 o DOS.
La soluzione Norman è quella di lasciare il virus libero di compiere il lavoro per cui è stato creato, limitandosi a controllarlo.
|
|
Medium risk
Low risk