Velg landDen beste proaktive virusbekjempelsen gjøres ved å teste enhver mistenkelig fil i et sikkert miljø. Med andre ord å la viruset spille sitt eget spill i et trygt miljø der det ikke kan gjøre noen skade.
 |
Med den proaktive løsningen vil enhver ukjent og mistenkelig fil som prøver å komme inn i systemet bli isolert og forhindret fra å infisere computeren mens analysen pågår. Det proaktive systemet vil overvåke og beregne filens oppførsel mens viruset lever sitt eget liv og gjør akkurat som det vil.
Ut i fra resultatet av denne analysen vil systemet bestemme om filen skal holdes tilbake eller om den skal få adgang til selve computeren. Å gjøre dette på et ekte system vil ikke være ønskelig. Mange operativsystemer vil måtte endres før potensielle virus vil kunne spre seg. Med andre ord, å bruke et ekte system vil kreve mange tilpasninger og gjentatte oppstarter. Det vil være svært tidkrevende og ikke minst temmelig kostbart.
For å kunne gjøre en analyse innen en akseptabel tidsramme og med effektiv bruk av ressurser, trenger man en separat modul (SandBox) med et eget operativsystem. Norman SandBox er en integrert del av antivirusskannermotoren og er kompatibel med Windowsfunksjoner som Winsock, Kernel og MPR. Den støtter også nettverkssystemer og Internettfunksjoner som HTTP, FTP, SMTP, DNS, IRC og P2P.
Vi snakker med andre ord om en total simulert computer, isolert inne i den ekte computeren - som en del av Normans søkemotor! Man trenger ikke noe ekstra maskinvare for å oppnå denne proaktive løsningen!
Simulatoren bruker full ROM BIOS kapasitet, simulert maskinvare, simulerte harddisker. Den emulerer hele oppstartssekvensen i et regulært system under oppstart og starter ved å hente opp operativsystemfilene og kommandoskallet fra den simulerte disken. Denne driverfilen vil inneholde kataloger og filer som er nødvendige deler av systemet, tilsvarende systemfiler på fysiske harddisker.
Den mistenkelige programfilen blir plassert på den simulerte harddisken og blir startet i et simulert miljø. Filen er da ikke klar over at den opererer i en simulert verden og kan dermed gjøre akkurat som den vil uten å forårsake noen reell skade. Den kan infisere filer. Den kan slette filer. Den kan kopiere seg selv via nettverk. Den kan koble seg opp til en IRC server. Den kan sende epost. Den kan åpne porter og installere avlyttingsporter. Enhver handling blir registrert av antivirusprogrammet fordi det faktisk er emulatoren som utfører handlingene basert på filkoden. Ingen kode vil bli kjørt i den ekte CPUen med unntak av antivirusemulatormotoren. Selv maskinvaren i den simulerte PCen er emulert.
Målet er ikke å overvåke og stoppe potensielt skadelige handlinger mens de skjer. Hensikten er å finne ut hva programmet ville ha gjort dersom det hadde fått lov til å slippe seg løs i en ubeskyttet maskin i et ubeskyttet network, uavhengig av om det opererer på en Netware-server, Linux, OS/2 eller DOS.
Normans løsning: La viruset spille sitt spill. Ta så kontroll over spillet!
|
|
Medium risk
Low risk