Välj landDet bästa sättet att erhålla en proaktiv antiviruslösning är att försätta den misstänkta filen i en säker omgivning. Med andra ord - att tillåta viruset utföra sitt spel.
 |
Genom att göra på detta sätt kommer alla okända och misstänkta filer som försöker ta sig in i datorn att isoleras och hindras från att smitta datorsystemet under virusanalysen. När viruset utvecklar sig, övervakar och bedömer den proaktiva lösningen beteendet hos den misstänkta filen.
Baserat på analysen, fastställer systemet om filen ska spärras eller tillåtas komma in i själva datorn. Att göra detta på ett verkligt system är knappast lämpligt.
Många av operativsystemets inställningar kan behöva ändras innan potentiella virus sprids (faktorer såsom datum, tid, tillverkningsnummer, säkerhetsinställningar, systemkatalog etc) Att använda ett riktigt system skulle kräva många anpassningar och troligtvis ett flertal omstarter. Kort sagt: det skulle vara väldigt tidskrävande och ineffektivt.
För att kunna genomföra denna procedur inom en acceptabel tidsram och med effektiva systemresurser, behövs en separat modul (SandBox) med sitt eget operativsystem. Norman SandBox fungerar som en del av Normans antivirus avsökningsmotor och är kompatibel med Windows-funktioner såsom Winstock, Kernel och MPR. Den stödjer även nätverk och Internetfunktioner såsom http, FTP, SMTP, DNS, IRC och P2P.
Med andra ord: Vi talar om en helt simulerad dator, isolerad inuti den riktiga datorn - som en del av Normans antivirus avsökningsmotor - det finns inget behov av någon extra hårdvara för att uppnå detta!
Simulatorn använder fullständiga ROB BIOS kapaciteter, simulerad hårdvara, simulerade hårddiskar, etc. Denna simulator efterliknar the bootstrap hos ett vanligt system vid boot-time. Till att börja med laddar den upp operativsystemfilerna och command shell från den simulerade disken. Denna disk kommer att innehålla kataloger och filer som är nödvändiga delar av systemet, och som anpassas till systemfiler på riktiga hårddiskar.
Den misstänkta filen placeras på den simulerade hårddisken och startas i den simulerade miljön. Filen är omedveten om att den verkar i en simulerad värld...
I den simulerade miljön kan filen göra vad den vill. Den kan infektera filer, radera filer, kopiera sig själv över nätverk, koppla upp sig mot en IRC-server, skicka e-post, sätta upp avlyssningsportar. Varje handling den utför registreras av antivirusprogrammet, eftersom det så effektivt är emulatorn som utför handlingarna baserad på koden i filen. Ingen kod körs/exekveras på den riktiga CPU:n förutom antivirusmotorn - till och med hårdvaran i den simulerade PC:n efterliknas.
Avsikten är inte att övervaka och hindra potentiellt skadliga handlingar under körning, utan att ta reda på vad programmet skulle göra om det tilläts härja fritt i en oskyddad maskin, i ett oskyddat nätverk, även om det körs på en nätverks server, Linux, OS/2 eller DOS.
Norman’s lösning: Låt viruset utföra sitt spel. Ta sedan kontroll över spelet!
|
|
Medium risk
Low risk