Какие функции выполняет технология эвристики процессов dr web

Обновлено: 21.11.2024

Антивирус не допустит заражения. При этом на помощь традиционному антивирусу приходят несигнатурные технологии и технологии превентивной защиты.

Все троянцы делают это:

  • Действуют по неизвестным алгоритмам, которые встречаются в одних и тех же случаях в случаях заражения вирусами, вызываемыми набором вредоносных функций.
  • Совершают одну и ту же ошибку: начинают действовать первыми (нападают на систему).

Начала проявлять активность троянца достаточно для Dr.Web, чтобы увидеть и обезвредить его.

Перечислим только некоторые из этих технологий.

Эвристика процессов Dr.Web

Эта технология защиты данных позволяет свести к минимуму потери от обнаружения неизвестного вируса — с минимальным потреблением ресурсов защищаемой системы.

Эвристика процессов Dr.Web обнаруживает любые возможные изменения системы:

  • обнаруживает вирусные программы, изменяющиеся особым образом распространяемые файлы (например, действие троянцев-шифровальщиков);
  • препятствует попыткам вредоносных программ внедриться в другие приложения;
  • защищает от модификаций животных, занимающихся скотом участковых систем;
  • выявляет и прекращает вредоносные, подозрительные или ненадежные процессы и процессы;
  • блокирует возможности изменения вредоносных программ для загрузки диска с целью невозможности запуска (например, троянцев) на компьютере;
  • предотвращает отключение безопасного режима Windows, блокируя изменения реестра;
  • не дает исключительным программам возможность включения выполнения новых задач, необходимых для расширения возможностей, в логику работы системы. Блокирует ряд параметров в реестре Windows, что не дает, например, вирусам изменить нормальное состояние рабочего стола или скрыть присутствие троянца в системе руткитом;
  • не разрешать вредоносному ПО изменять правила запуска программ.

Эвристика процессов Dr.Web обеспечивает безопасность практически с момента загрузки доступной системы — начинает учитываться до завершения загрузки допустимого сигнатурного антивируса!

  • Пресекает загрузку новых или неизвестных драйверов без ведома пользователя.
  • Блокирует автозапуск вредоносных программ, а также случаи появления приложений, например анти-антивирусов, не дает им указание зарегистрироваться в реестре для запуска.
  • Блокирует ветки реестра, которые отключают драйверы сетевых устройств, что делает невозможным установку нового физического устройства.
  • Блокирует коммуникации между компонентами шпионского ПО и управляющим им сервером.
  • Не разрешать вредоносному ПО нарушению нормальной работы системных служб, например вмешаться в штатное создание файлов резервных копий.

Dr.Web ShellGuard

Dr.Web ShellGuard поддерживает:

  • все популярные интернет-браузеры (Internet Explorer, Mozilla Firefox, Яндекс.Браузер, Google Chrome, Vivaldi Browser);
  • приложения MS Office, включая новый MS Office 2016;
  • системные приложения;
  • приложения, использующие java-, flash- и pdf-технологии;
  • медиапроигрыватели.

Технологии системы Превентивной защиты Dr.Web опираются не только на прописанные правила, хранящиеся на компьютере, но и на знания репутационного облака Dr.Web, куда попадает:

Облако получает информацию о работе Dr.Web по защите ПК, в том числе об обнаружении масштабных угроз. Это позволяет оперативно реагировать на обнаруженные недочеты и правила, хранящиеся на уровне действия.

Антивирусные решения «Доктор Веб» используют одновременно несколько методов обнаружения вредоносного ПО, что позволяет проводить тщательную проверку подозрительных файлов и контролировать поведение ПО.

Сканирование начинается с анализа сигнатур, который выполняется путем сравнения сегментов кода файла с известными сигнатурами вирусов. Сигнатура представляет собой конечную непрерывную последовательность байтов, которая необходима и достаточна для идентификации конкретного вируса. Для уменьшения размера словаря сигнатур в антивирусных решениях Dr.Web вместо полных последовательностей сигнатур используются контрольные суммы сигнатур. Контрольные суммы однозначно идентифицируют сигнатуры, что обеспечивает корректность обнаружения и обезвреживания вирусов. Вирусные базы Dr.Web составлены таким образом, что некоторые записи могут использоваться для обнаружения не только конкретных вирусов, но и целых классов угроз.

По завершении сигнатурного анализа антивирусные решения Dr.Web используют уникальный метод Origins Tracing для обнаружения новых и модифицированных вирусов, использующих известные механизмы заражения. Таким образом, пользователи Dr.Web защищены от таких угроз, как небезызвестный шантажист Trojan.Encoder.18 (он же gpcode).Помимо обнаружения новых и модифицированных вирусов, механизм Origins Tracing позволяет значительно снизить количество ложных срабатываний эвристического анализатора. Объекты, обнаруженные с помощью алгоритма Origins Tracing, обозначаются расширением .Origin, добавляемым к их именам.

Технология эмуляции программного кода используется для обнаружения полиморфных и зашифрованных вирусов, когда поиск по контрольным суммам невозможен напрямую или очень затруднителен (из-за невозможности построения защищенных сигнатур). Метод подразумевает моделирование исполнения анализируемого кода эмулятором — программной моделью процессора и среды выполнения. Эмулятор оперирует защищенной областью памяти (буфером эмуляции), в которой поинструкционно моделируется выполнение анализируемой программы. Однако ни одна из этих инструкций фактически не выполняется процессором. Когда эмулятор получает файл, зараженный полиморфным вирусом, результатом эмуляции является расшифрованное тело вируса, которое затем легко определяется путем поиска по контрольным суммам сигнатур.

Метод обнаружения, используемый эвристическим анализатором, основан на определенных знаниях (эвристиках) о некоторых особенностях (атрибутах), которые могут быть характерны для самого кода вируса и, наоборот, крайне редко встречаются у вирусов. Каждый атрибут имеет весовой коэффициент, определяющий уровень его серьезности и надежности. Весовой коэффициент может быть положительным, если соответствующий признак свидетельствует о вредоносном коде, или отрицательным, если признак нехарактерен для компьютерной угрозы. В зависимости от суммарного веса файла эвристический анализатор вычисляет вероятность заражения неизвестным вирусом. При превышении порога эвристический анализатор выдает заключение о возможном заражении анализируемого объекта неизвестным вирусом.

Эвристический анализатор также использует технологию FLY-CODE — универсальный алгоритм извлечения файлов. Технология позволяет делать эвристические предположения о наличии вредоносных объектов в файлах, сжатых не только известными Dr.Web упаковщиками, но и новыми, ранее не изученными программами. При проверке упакованных объектов антивирусные решения Dr.Web также используют структурно-энтропийный анализ. Технология обнаруживает угрозы, упорядочивая фрагменты кода; таким образом, одна запись в базе данных позволяет идентифицировать значительную часть угроз, упакованных одним и тем же полиморфным упаковщиком.

Как и любая система проверки гипотез в условиях неопределенности, эвристический анализатор может совершать ошибки типа I или типа II (пропускать вирусы или выдавать ложные тревоги). Таким образом, объекты, обнаруженные эвристическим анализатором, рассматриваются как «подозрительные».

Методы поведенческого анализа анализируют последовательность действий всех процессов в системе. При обнаружении вредоносного поведения действия этой программы блокируются.

Эвристика процессов Dr.Web

Технология поведенческого анализа Dr.Web Process Heuristic защищает системы от новых опасных вредоносных программ, которые могут избежать обнаружения с помощью традиционных сигнатурных и эвристических анализов.

Dr.Web Process Heuristic анализирует поведение каждой запущенной программы в режиме реального времени. Используя постоянно обновляемый облачный сервис Dr.Web, он вместе с информацией о поведении вредоносного ПО определяет, является ли программа опасной, и принимает необходимые меры для нейтрализации угрозы.

Эта технология защиты данных помогает свести к минимуму потери в результате действий неизвестного вредоносного ПО, потребляя при этом очень мало ресурсов защищаемой системы.

Dr.Web Process Heuristic отслеживает любые попытки модификации системы:

• Обнаруживает вредоносные процессы, которые изменяют файлы пользователей (например, попытки шифрования программ-вымогателей), в том числе расположенные в папках, доступных через сеть.

• Предотвращает внедрение своего кода вредоносной программой в процессы других приложений.

• Защищает важные области системы от изменения вредоносными программами.

• Обнаруживает и останавливает выполнение вредоносных, подозрительных или ненадежных сценариев и процессов.

• Предотвращает изменение загрузочных секторов вредоносными программами, чтобы вредоносный код не мог быть запущен на компьютере.

• Блокирует изменения в реестре Windows, чтобы гарантировать, что безопасный режим не будет отключен.

• Предотвращает изменение разрешений на запуск вредоносными программами.

• Предотвращает загрузку новых или неизвестных драйверов без согласия пользователя.

• Предотвращает добавление вредоносными программами и некоторыми другими приложениями, такими как антивирусы, записей в реестр Windows, чтобы они могли запускаться автоматически.

• Блокирует разделы реестра, содержащие информацию о драйверах виртуальных устройств, предотвращая создание новых виртуальных устройств.

• Предотвращает нарушение системными процедурами вредоносного ПО, например резервного копирования по расписанию.

Дампер процессов Dr.Web

Доктор.Комплексный анализ запакованных угроз Web Process Dumper значительно улучшает обнаружение якобы «новых» вредоносных программ, которые были добавлены в вирусную базу Dr.Web до того, как их скрыли новые упаковщики. Кроме того, этот тип анализа устраняет необходимость постоянного добавления новых записей в базу данных вирусов. Благодаря небольшим вирусным базам Dr.Web нет необходимости постоянно повышать системные требования. Обновления остаются небольшими, а качество обнаружения и лечения остается на том же высоком уровне.

Dr.Web ShellGuard защищает ваше устройство от эксплойтов. Эксплойты — это вредоносные объекты, использующие уязвимости программного обеспечения. Эти уязвимости используются для получения контроля над целевым приложением или операционной системой.

Dr.Web ShellGuard защищает наиболее распространенные приложения, установленные практически на всех компьютерах под управлением Windows:

• популярные веб-браузеры (Internet Explorer, Mozilla Firefox, Google Chrome, Vivaldi Browser и другие);

• Приложения MS Office, включая MS Office 2016;

• приложения, использующие Java, Flash и PDF;

• медиаплееры (программное обеспечение).

Для обнаружения вредоносных действий Dr.Web ShellGuard использует не только информацию, хранящуюся локально, но и следующие данные из облачного сервиса Dr.Web:

• информация об алгоритмах вредоносных программ;

• информация об известных чистых файлах;

• информация о скомпрометированных цифровых подписях известных разработчиков программного обеспечения;

• информация о цифровых подписях, используемых рекламным и опасным ПО;

• алгоритмы защиты, используемые конкретными приложениями.

Машинное обучение используется для обнаружения и обезвреживания вредоносных объектов, отсутствующих в вирусных базах. Преимуществом метода является обнаружение вредоносного кода без его выполнения, а только по его признакам.

Обнаружение угроз основано на классификации вредоносных объектов по определенным признакам. Машины опорных векторов (SVM) лежат в основе технологий машинного обучения, которые используются для классификации и добавления в базы данных фрагментов кода, написанного на языках сценариев. Затем обнаруженные объекты анализируются на предмет наличия в них признаков вредоносного кода. Технология машинного обучения делает процесс обновления этих функций и вирусных баз автоматическим. Большие объемы данных обрабатываются быстрее благодаря подключению к облачному сервису, а постоянное обучение системы обеспечивает превентивную защиту от новейших угроз. При этом технология может работать даже без постоянного подключения к облаку.

Метод машинного обучения значительно экономит ресурсы операционной системы, так как не требует выполнения кода для обнаружения угроз, а динамическое машинное обучение классификатора может осуществляться без постоянного обновления вирусных баз, которые используются для анализ подписи.

Облачные технологии обнаружения угроз

Облачные методы обнаружения позволяют сканировать любой объект (файл, приложение, расширение браузера и т. д.) по его хеш-значению. Хэш — это уникальная последовательность цифр и букв заданной длины. При анализе по хеш-значению объекты сканируются с использованием существующей базы данных, а затем классифицируются по категориям: чистые, подозрительные, вредоносные и т. д.

Эта технология оптимизирует время сканирования файлов и экономит ресурсы устройства. Решение о том, является ли объект вредоносным, принимается практически мгновенно, ведь анализируется не сам объект, а его уникальное хеш-значение. При отсутствии подключения к серверам Dr.Web файлы проверяются локально, а облачная проверка возобновляется при восстановлении подключения.

Таким образом, облачный сервис «Доктор Веб» собирает информацию от многочисленных пользователей и оперативно обновляет данные о ранее неизвестных угрозах, повышая эффективность защиты устройств.

Антивирусные решения «Доктор Веб» используют одновременно несколько методов обнаружения вредоносного ПО, что позволяет проводить тщательную проверку подозрительных файлов и контролировать поведение ПО.

Сканирование начинается с анализа сигнатур, который выполняется путем сравнения сегментов кода файла с известными сигнатурами вирусов. Сигнатура представляет собой конечную непрерывную последовательность байтов, которая необходима и достаточна для идентификации конкретного вируса. Для уменьшения размера словаря сигнатур в антивирусных решениях Dr.Web вместо полных последовательностей сигнатур используются контрольные суммы сигнатур. Контрольные суммы однозначно идентифицируют сигнатуры, что обеспечивает корректность обнаружения и обезвреживания вирусов. Вирусные базы Dr.Web составлены таким образом, что некоторые записи могут использоваться для обнаружения не только конкретных вирусов, но и целых классов угроз.

По завершении сигнатурного анализа антивирусные решения Dr.Web используют уникальный метод Origins Tracing для обнаружения новых и модифицированных вирусов, использующих известные механизмы заражения. Таким образом, Др.Интернет-пользователи защищены от таких угроз, как печально известный шантажист Trojan.Encoder.18 (он же gpcode). Помимо обнаружения новых и модифицированных вирусов, механизм Origins Tracing позволяет значительно снизить количество ложных срабатываний эвристического анализатора. Объекты, обнаруженные с помощью алгоритма Origins Tracing, обозначаются расширением .Origin, добавляемым к их именам.

Технология эмуляции программного кода используется для обнаружения полиморфных и зашифрованных вирусов, когда поиск по контрольным суммам невозможен напрямую или очень затруднителен (из-за невозможности построения защищенных сигнатур). Метод подразумевает моделирование выполнения анализируемого кода эмулятором — программной моделью процессора и среды выполнения. Эмулятор оперирует защищенной областью памяти (буфером эмуляции), в которой поинструкционно моделируется выполнение анализируемой программы. Однако ни одна из этих инструкций фактически не выполняется процессором. Когда эмулятор получает файл, зараженный полиморфным вирусом, результатом эмуляции является расшифрованное тело вируса, которое затем легко определяется путем поиска по контрольным суммам сигнатур.

Метод обнаружения, используемый эвристическим анализатором, основан на определенных знаниях (эвристиках) о некоторых особенностях (атрибутах), которые могут быть характерны для самого кода вируса и, наоборот, крайне редко встречаются у вирусов. Каждый атрибут имеет весовой коэффициент, определяющий уровень его серьезности и надежности. Весовой коэффициент может быть положительным, если соответствующий признак свидетельствует о вредоносном коде, или отрицательным, если признак нехарактерен для компьютерной угрозы. В зависимости от суммарного веса файла эвристический анализатор вычисляет вероятность заражения неизвестным вирусом. При превышении порога эвристический анализатор выдает заключение о возможном заражении анализируемого объекта неизвестным вирусом.

Эвристический анализатор также использует технологию FLY-CODE — универсальный алгоритм извлечения файлов. Технология позволяет делать эвристические предположения о наличии вредоносных объектов в файлах, сжатых не только известными Dr.Web упаковщиками, но и новыми, ранее не изученными программами. При проверке упакованных объектов антивирусные решения Dr.Web также используют структурно-энтропийный анализ. Технология обнаруживает угрозы, упорядочивая фрагменты кода; таким образом, одна запись в базе данных позволяет идентифицировать значительную часть угроз, упакованных одним и тем же полиморфным упаковщиком.

Как и любая система проверки гипотез в условиях неопределенности, эвристический анализатор может совершать ошибки типа I или типа II (пропускать вирусы или выдавать ложные тревоги). Таким образом, объекты, обнаруженные эвристическим анализатором, рассматриваются как «подозрительные».

Антивирусные решения «Доктор Веб» используют одновременно несколько методов обнаружения вредоносного ПО, что позволяет проводить тщательную проверку подозрительных файлов и контролировать поведение ПО.

Сканирование начинается с анализа сигнатур, который выполняется путем сравнения сегментов кода файла с известными сигнатурами вирусов. Сигнатура представляет собой конечную непрерывную последовательность байтов, которая необходима и достаточна для идентификации конкретного вируса. Для уменьшения размера словаря сигнатур в антивирусных решениях Dr.Web вместо полных последовательностей сигнатур используются контрольные суммы сигнатур. Контрольные суммы однозначно идентифицируют сигнатуры, что обеспечивает корректность обнаружения и обезвреживания вирусов. Вирусные базы Dr.Web составлены таким образом, что некоторые записи могут использоваться для обнаружения не только конкретных вирусов, но и целых классов угроз.

По завершении сигнатурного анализа антивирусные решения Dr.Web используют уникальный метод Origins Tracing для обнаружения новых и модифицированных вирусов, использующих известные механизмы заражения. Таким образом, пользователи Dr.Web защищены от таких угроз, как небезызвестный шантажист Trojan.Encoder.18 (он же gpcode). Помимо обнаружения новых и модифицированных вирусов, механизм Origins Tracing позволяет значительно снизить количество ложных срабатываний эвристического анализатора. Объекты, обнаруженные с помощью алгоритма Origins Tracing, обозначаются расширением .Origin, добавляемым к их именам.

Технология эмуляции программного кода используется для обнаружения полиморфных и зашифрованных вирусов, когда поиск по контрольным суммам невозможен напрямую или очень затруднителен (из-за невозможности построения защищенных сигнатур). Метод подразумевает моделирование исполнения анализируемого кода эмулятором — программной моделью процессора и среды выполнения. Эмулятор оперирует защищенной областью памяти (буфером эмуляции), в которой поинструкционно моделируется выполнение анализируемой программы. Однако ни одна из этих инструкций фактически не выполняется процессором.Когда эмулятор получает файл, зараженный полиморфным вирусом, результатом эмуляции является расшифрованное тело вируса, которое затем легко определяется путем поиска по контрольным суммам сигнатур.

Метод обнаружения, используемый эвристическим анализатором, основан на определенных знаниях (эвристиках) о некоторых особенностях (атрибутах), которые могут быть характерны для самого кода вируса и, наоборот, крайне редко встречаются у вирусов. Каждый атрибут имеет весовой коэффициент, определяющий уровень его серьезности и надежности. Весовой коэффициент может быть положительным, если соответствующий признак свидетельствует о вредоносном коде, или отрицательным, если признак нехарактерен для компьютерной угрозы. В зависимости от суммарного веса файла эвристический анализатор вычисляет вероятность заражения неизвестным вирусом. При превышении порога эвристический анализатор выдает заключение о возможном заражении анализируемого объекта неизвестным вирусом.

Эвристический анализатор также использует технологию FLY-CODE — универсальный алгоритм извлечения файлов. Технология позволяет делать эвристические предположения о наличии вредоносных объектов в файлах, сжатых не только известными Dr.Web упаковщиками, но и новыми, ранее не изученными программами. При проверке упакованных объектов антивирусные решения Dr.Web также используют структурно-энтропийный анализ. Технология обнаруживает угрозы, упорядочивая фрагменты кода; таким образом, одна запись в базе данных позволяет идентифицировать значительную часть угроз, упакованных одним и тем же полиморфным упаковщиком.

Как и любая система проверки гипотез в условиях неопределенности, эвристический анализатор может совершать ошибки типа I или типа II (пропускать вирусы или выдавать ложные тревоги). Таким образом, объекты, обнаруженные эвристическим анализатором, рассматриваются как «подозрительные».

Методы поведенческого анализа анализируют последовательность действий всех процессов в системе. При обнаружении вредоносного поведения действия этой программы блокируются.

Эвристика процессов Dr.Web

Технология поведенческого анализа Dr.Web Process Heuristic защищает системы от новых опасных вредоносных программ, которые могут избежать обнаружения с помощью традиционных сигнатурных и эвристических анализов.

Dr.Web Process Heuristic анализирует поведение каждой запущенной программы в режиме реального времени. Используя информацию о поведении вредоносного ПО, он определяет, является ли программа опасной, и принимает необходимые меры для нейтрализации угрозы. Объекты, обнаруженные с помощью Dr.Web Process Heuristic, обозначаются префиксом DPH, добавляемым к их именам.

Эта технология защиты данных помогает свести к минимуму потери в результате действий неизвестного вредоносного ПО, при этом потребляя очень мало ресурсов защищаемой системы.

Dr.Web Process Heuristic отслеживает любые попытки модификации системы:

• Обнаруживает вредоносные процессы, которые изменяют файлы пользователей (например, попытки шифрования программами-вымогателями), включая общие файлы и папки, доступные через сеть.

• Предотвращает внедрение своего кода вредоносной программой в процессы других приложений.

• Защищает важные области системы от изменения вредоносными программами.

• Обнаруживает и останавливает выполнение вредоносных, подозрительных или ненадежных сценариев и процессов.

• Предотвращает изменение загрузочных секторов вредоносными программами, чтобы вредоносный код не мог быть запущен на компьютере.

• Блокирует изменения в реестре Windows, чтобы гарантировать, что безопасный режим не будет отключен.

• Предотвращает изменение разрешений на запуск вредоносными программами.

• Предотвращает загрузку новых или неизвестных драйверов без согласия пользователя.

• Предотвращает добавление вредоносными программами и некоторыми другими приложениями, такими как антивирусы, записей в реестр Windows, чтобы они могли запускаться автоматически.

• Блокирует разделы реестра, содержащие информацию о драйверах виртуальных устройств, предотвращая создание новых виртуальных устройств.

• Предотвращает нарушение системными процедурами вредоносного ПО, например резервного копирования по расписанию.

Дампер процессов Dr.Web

Dr.Web Process Dumper, комплексный анализ упакованных угроз, значительно улучшает обнаружение якобы «новых» вредоносных программ, которые были добавлены в вирусную базу Dr.Web до того, как они были скрыты новыми упаковщиками. Кроме того, этот тип анализа устраняет необходимость постоянного добавления новых записей в базу данных вирусов. Благодаря небольшим вирусным базам Dr.Web нет необходимости постоянно повышать системные требования. Обновлений остается традиционно мало, а качество обнаружения и лечения остается на таком же высоком уровне. Объекты, обнаруженные с помощью Dr.Web Process Dumper, обозначаются префиксом DPD, добавляемым к их именам.

Dr.Web ShellGuard защищает ваше устройство от эксплойтов. Эксплойты — это вредоносные объекты, использующие уязвимости программного обеспечения. Эти уязвимости используются для получения контроля над целевым приложением или операционной системой.Объекты, обнаруженные с помощью Dr.Web ShellGuard, обозначаются префиксом DPH:Trojan.Exploit, добавляемым к их именам.

Dr.Web ShellGuard защищает наиболее распространенные приложения, установленные практически на всех компьютерах под управлением Windows:

• популярные веб-браузеры (Internet Explorer, Mozilla Firefox, Google Chrome и другие);

• Приложения MS Office;

• приложения, использующие Java, Flash и PDF;

• медиаплееры (программное обеспечение).

Внедрение – это метод внедрения (или внедрения) вредоносного кода в процессы, запущенные на устройстве. Dr.Web постоянно отслеживает поведение всех процессов в системе и предотвращает любые попытки внедрения кода, если сочтет его вредоносным. Объекты, обнаруженные с помощью Защиты от инъекций, обозначаются префиксом DPH:Trojan.Inject, добавляемым к их именам.

Dr.Web проверяет приложение, выполнившее процесс, по следующим критериям:

• Если приложение новое.

• Как он попал в систему.

• Где находится приложение.

• Как его зовут.

• Если приложение находится в списке доверенных приложений.

• Наличие действующей цифровой подписи доверенного центра сертификации.

Dr.Web следит за состоянием исполняемого процесса: проверяет, не создаются ли удаленные потоки в пространстве процесса, не внедряется ли в активный процесс посторонний код.

Антивирусная программа контролирует изменения, вносимые приложениями, запрещает изменение системных и привилегированных процессов. Отдельно Dr.Web гарантирует, что вредоносный код не сможет модифицировать память популярных браузеров, например, при совершении покупок в Интернете или совершении переводов в онлайн-банках.

Защита от программ-вымогателей — это один из методов поведенческого анализа, который защищает файлы пользователей от действий программ-шифровальщиков. При проникновении на компьютер пользователя такие вредоносные программы блокируют доступ к данным пользователя, а затем требуют деньги за расшифровку. Объекты, обнаруженные с помощью Защиты от программ-вымогателей, обозначаются префиксом DPH:Trojan.Encoder, добавляемым к их именам.

Компонент анализирует поведение подозрительного процесса, уделяя особое внимание процессам поиска файлов, чтения файлов и попыток их модификации.

Также проверяется следующая информация о приложении:

• Если приложение новое.

• Как он попал в систему.

• Где находится приложение.

• Как его зовут.

• Если приложение является доверенным.

• Наличие действующей цифровой подписи доверенного центра сертификации.

Также проверяется способ модификации файлов. При обнаружении вредоносного поведения действия этой программы блокируются, а попытки изменения файлов предотвращаются.

Машинное обучение используется для обнаружения и обезвреживания вредоносных объектов, отсутствующих в вирусных базах. Преимуществом метода является обнаружение вредоносного кода без его выполнения, а только по его признакам.

Обнаружение угроз основано на классификации вредоносных объектов по определенным признакам. Машины опорных векторов (SVM) лежат в основе технологий машинного обучения, которые используются для классификации и добавления в базы данных фрагментов кода, написанного на языках сценариев. Затем обнаруженные объекты анализируются на предмет наличия в них признаков вредоносного кода. Технология машинного обучения делает процесс обновления этих функций и вирусных баз автоматическим.

Метод машинного обучения значительно экономит ресурсы операционной системы, так как не требует выполнения кода для обнаружения угроз, а динамическое машинное обучение классификатора может осуществляться без постоянного обновления вирусных баз, которые используются для анализ подписи.

Надежная антивирусная защита и бюджетный брандмауэр

Майк Уильямс, опубликовано 20 декабря 18

Наш вердикт

У Dr.Web много функций, но они не так совершенны и просты в использовании, как хотелось бы, а данные лабораторных испытаний о их точности отсутствуют.

  • В некоторых случаях низкие цены
  • Некоторые дополнительные функции

Против

  • Не проверено независимыми лабораториями.
  • Неудобный интерфейс
  • Устаревший брандмауэр
  • Слишком технический для многих пользователей

Вердикт TechRadar

У Dr.Web много функций, но они не так совершенны и просты в использовании, как хотелось бы, а данные лабораторных испытаний о их точности отсутствуют.

В некоторых случаях низкие цены

Некоторые дополнительные функции

Не проверено независимыми лабораториями

Слишком технический уровень для многих пользователей

Компания Dr.Web, основанная в 1992 году, является российским разработчиком, предлагающим широкий спектр продуктов для обеспечения безопасности настольных компьютеров и мобильных устройств.

Доктор.Web Secure Space — это пакет безопасности, в который входят антивирус, фильтрация URL-адресов, брандмауэр, спам-фильтр, родительский контроль и многое другое.

В последнем выпуске добавлен Dr.Web ShellGuard, который компания описывает как «усовершенствованную технологию эвристики процессов Dr.Web», которая «защищает от атак с использованием эксплойтов нулевого дня».

Описание ShellGuard на странице «Новые возможности» не дает подробного описания технологии, но, судя по тому, что мы видим, в ней нет ничего революционного.

Например, он, по-видимому, обнаруживает угрозы на основе информации о репутации в облаке — файлы, которые на 100 % чисты, цифровые подписи известных угроз и т. д. — что многие поставщики делают годами.

Цена может составлять всего 14 евро (12,64 фунта стерлингов, 16,05 доллара США) за лицензию на один ПК/Mac сроком на один год, если вы отказываетесь от технической поддержки. Если это слишком далеко, цена с поддержкой удваивается до 28 евро (25,28 фунтов стерлингов, 32,10 долларов США). Оба варианта предлагают большие скидки, если вы добавите больше пользователей и продлите срок. Например, трехлетняя лицензия на три устройства с технической поддержкой стоит 98 евро (88,50 фунтов стерлингов, 112,35 долларов США).

Это достойные цены за полный пакет безопасности, но компания не останавливается на достигнутом. Dr.Web также предлагает впечатляющие скидки на продление, начиная с 40% от обычной цены. Постоянные клиенты могут сэкономить много денег.

Настройка

Dr.Web Security Space доступен в виде пробной версии. Теоретически, если вы зарегистрируетесь, вы получите целых три месяца бесплатно. Однако компания делает это сложнее, чем обычно — нам нужно было передать свой адрес электронной почты, пройти CAPTCHA, получить электронное письмо, перейти по ссылке, указать свое имя и страну, подписаться на электронные письма Dr.Web и пройти еще одну CAPTCHA. Но, наконец, мы получили настоящую ссылку для скачивания и смогли скачать и установить программу.

Мы перезагрузились, как было предложено, и наблюдали, как брандмауэр просил нас создать новые правила практически для каждого интернет-вызова, сделанного в нашей системе, даже из хорошо известных и абсолютно безопасных сервисов, таких как Dashlane и BackBlaze.

Вам нужно сделать это только один раз для каждого приложения и типа подключения (есть и другие режимы брандмауэра, если вы их найдете), но это все еще большая проблема. Мы предпочитаем более современные и интеллектуальные брандмауэры от таких поставщиков, как Bitdefender, Kaspersky и Symantec, которые достаточно умны, чтобы принимать большинство решений полностью самостоятельно.

Мы просмотрели установку Dr.Web и обнаружили более 1 ГБ файлов, включая базы данных сигнатур. Пакет также добавил не менее пяти фоновых процессов, занимающих около 500 МБ ОЗУ. Это больше, чем у большинства конкурентов, но мы не обнаружили, что Dr.Web заметно повлиял на производительность нашей системы.

Важно, чтобы антивирус мог защитить себя от вмешательства вредоносных программ, поэтому мы проверяем это, запуская ряд простых атак для удаления файлов, остановки служб, редактирования ключей реестра и т. д. Однако Dr.Web без труда парировал все наши усилия, и его защита ни разу не была скомпрометирована.

Возможности

Интерфейс Dr.Web открывается простой панелью с шестью кнопками, каждая из которых представляет собой функциональную область: «Файлы и сеть», «Превентивная защита», «Устройства и персональные данные», «Родительский контроль», «Инструменты и исключения». Мы не были полностью уверены, что они содержали, но просмотр меню выявил огромное количество параметров конфигурации.

Правила постоянной защиты позволяют настроить тип угроз, которые Dr.Web будет обнаруживать и, например, как он будет их обрабатывать.

Уровень поведенческого анализа Dr.Web можно настроить, чтобы определить, что разрешено делать приложениям. По умолчанию программа блокирует все попытки, например, изменить ваш файл HOSTS. Это самый безопасный способ действий для обычных пользователей, но если вы обнаружите, что это нарушает законное приложение, есть альтернативы. Вы можете явно разрешить своему приложению редактировать HOSTS или выполнять другие рискованные действия, или вы можете попросить Dr.Web спрашивать вас, что делать, когда он обнаружит любое изменение HOSTS в будущем.

Технология мониторинга сети под названием SpIDer Gate анализирует посещаемые вами сайты и, очевидно, должна предотвращать доступ к опасным URL-адресам. Мы обнаружили, что можем без труда посещать некоторые опасные ссылки, хотя пакет выявлял и блокировал угрозы при загрузке, гарантируя, что наша система никогда не будет скомпрометирована.

Функции, связанные с устройством, начинаются с возможности управления доступом к вашей веб-камере и микрофону. Это не редкость, но Dr.Web идет еще дальше, позволяя вам блокировать использование определенных классов устройств и шин. Вы можете заблокировать подключение к системе новых USB-устройств, новых дисководов, принтеров или других типов устройств, уменьшив вероятность того, что другие могут ввести в систему вредоносное ПО или, возможно, поставить под угрозу ваши данные, скопировав их на собственное устройство. .

Модуль предотвращения потери данных позволяет защитить содержимое папок от изменения кем-либо, кроме доверенных приложений.Это может помочь защититься даже от необнаруженных программ-вымогателей, хотя это также может привести к некоторым первоначальным проблемам, пока вы внесете в белый список все свои известные безопасные приложения.

Базовый родительский контроль позволяет ограничивать доступ к веб-сайтам по категориям. Вы можете ограничить использование Интернета и компьютера по времени суток и заблокировать доступ к файлам и папкам в вашей локальной системе.

Несмотря на то, что здесь много функций, отдельные функции иногда кажутся немного простыми, не говоря уже о том, что они устарели. Поле «Параметры защиты от спама» предоставляет только пару настроек обнаружения, например, «Разрешить кириллический текст» и «Разрешить азиатский текст». Мы надеемся, что его способности обнаружения не ограничиваются этим.

Интерфейс Secure Space также скрывает свои антивирусные функции глубже, чем мы надеялись. Обычно вы можете запустить сканирование непосредственно из значка на панели задач или с главной антивирусной консоли. Здесь вы должны открыть Центр обеспечения безопасности, нажать «Файлы и сеть» > «Сканер», а затем выбрать тип сканирования: «Экспресс», «Полное» или «Выборочное».

Время сканирования было больше среднего, хотя мы не знаем, почему. Файлы сканировались достаточно быстро, но проверка некоторых процессов приложений занимала от 20 до 30 секунд, что сильно снижало общую производительность. Кнопки «Пауза» и «Стоп» также были недоступны во время этих проверок процессов, поэтому нам ничего не оставалось делать, как ждать.

Параметры настройки сканирования ограничены. Вы не можете создавать новые типы сканирования или переопределять работу отдельных сканирований, как это возможно в таких программах, как Avast и Avira.

У Dr.Web не было проблем с обнаружением наших образцов вредоносных программ, но он также выдавал больше ложных срабатываний, чем большинство других, в том числе утверждал, что наш спам-фильтр был «опасным программным обеспечением». Вы можете добавить файлы, которым доверяете, в белый список, чтобы в будущем они не были ложно помечены, но мы все же предпочли бы избежать этой проблемы.

Защита

Dr.Web Secure Space без труда обнаружил и удалил все наши примеры угроз, но чтобы действительно понять, на что способен антивирус, нам хотелось бы посмотреть, как он работает в основных независимых лабораториях тестирования.

Сложность с Dr.Web заключается в том, что компания уже очень давно не оценивалась ни одной из крупных испытательных лабораторий (AV-Comparatives не проводила проверки с 2007 года). Просто недостаточно данных, чтобы сравнить возможности Dr.Web с лучшими конкурентами.

Наши небольшие тесты не могут компенсировать тотальную нехватку информации, но мы все равно решили попробовать еще один, сравнив Dr.Web с нашим собственным симулятором программ-вымогателей. Мы разработали его сами, гарантируя, что ни один антивирус не увидит его раньше, что теоретически должно значительно усложнить его обнаружение.

Результаты оказались интересными: Dr.Web обнаружил нашу тестовую угрозу только из своего файла. Большинство антивирусных пакетов этого не делают, что говорит о том, что Dr.Web ищет больше индикаторов вредоносных программ, чем большинство других. Здесь это сработало, хотя такой более свободный подход к определениям может также объяснить, почему Dr.Web выдает больше ложных срабатываний, чем обычно.

К сожалению, нам ничего не сказали о поведенческом мониторинге Dr.Web. Жаль, потому что это самый важный уровень защиты от программ-вымогателей и любых других форм продвинутых угроз.

Сложите все это вместе, и, хотя Dr.Web показывает хорошие результаты в некоторых областях, недостаточно данных, чтобы быть уверенными в том, насколько хорошо он может защитить вашу систему.

Окончательный вердикт

Dr.Web Security Space имеет некоторые функции экспертного уровня, но такие модули, как брандмауэр, устарели и неудобны в использовании, а отсутствие покрытия независимыми лабораториями тестирования затрудняет определение действительной эффективности пакета. Экспертам все равно могут понравиться кусочки Security Space, но всем остальным, вероятно, следует поискать в другом месте.

  • В этом обзоре мы также выделили лучшее антивирусное программное обеспечение.

Майк начал свою карьеру в качестве ведущего разработчика программного обеспечения в инженерном мире, где его разработки использовались крупными компаниями, от Rolls Royce до British Nuclear Fuels и British Aerospace. Теперь он освещает для TechRadar VPN, антивирусы и все, что связано с безопасностью, хотя втайне он по-прежнему любит причудливые приложения с открытым исходным кодом и бесплатные приложения, которые находят совершенно новые способы решения распространенных проблем.

Читайте также: