Перейти к содержанию
Rampant

Технологии продуктов BitDefender

Recommended Posts

Rampant

Хочу познакомить с технологиями, которые используются в программных продуктах BitDefender, и конечно о новых возможностях в следующих поколениях антивирусных решений.

B-Have

B-HAVE – это технология BitDefender по эвристическому обнаружению на основе поведения. Технология разработана для обнаружения и блокирования новых и неизвестных угроз, не требуя новых вирусных сигнатур. B-HAVE отслеживает файлы в среде виртуального компьютера и выявляет вредоносное поведение.

B-HAVE имитирует относительно простой компьютер, используя системный эмулятор процессора и памяти, а также виртуальный эмулятор других компонентов оборудования, таких как жесткий диск или монитор.

Когда ненадежная программа достигает начальной точки известной последовательности кода, упакована с помощью известного упаковщика или создает известный системный вызов, выполняется встроенная подпрограмма (для виртуальной машины), называемая подпрограммой ускорения, которая эмулирует последовательность кода, распаковывая вызывающую сомнение подпрограмму или системный вызов.

Затем конечные результаты анализируются с помощью модуля проверки виртуальных машин, модуля проверки файлов (который проверяет все файлы, созданные в результате выполнения ненадежного кода) и модуля проверки памяти.

Файл может считаться вредоносным, если в конце процесса эмуляции один из отслеживаемых файлов на жестком диске был изменен (например, файл hosts) или при выполнении некоторых других условий (например, создан файл, соответствующий сигнатуре известного вируса, или подозрительная программа пыталась изменить или считать расположение с конфиденциальной памятью).

Весь процесс выполняется за доли секунды. Если владелец ПО BitDefender добавит соответствующую настройку, вредоносный файл, для которого отсутствуют известные сигнатуры, затем отправляется в лабораторию BitDefender для дальнейшего анализа. В результате создается и распространяется новая сигнатура, поэтому процесс не потребуется повторять, когда другой компьютер столкнется с этим файлом.

Технология B-HAVE позволяет BitDefender постоянно получать высокие оценки по эффективности проактивного обнаружения в независимых тестах.

NeuNet

NeuNet – это "интеллектуальный" фильтр спама, использующий набор нейронных сетей, предварительно подготовленных на базе сообщений со спамом. Подготовка и обновление сетей осуществляется в лабораториях BitDefender Labs с помощью последних разновидностей спама.

Сети упорядочены таким образом, чтобы работать в качестве последовательных уровней фильтрации: "самая верхняя" сеть эффективно отличает некоторые типы допустимых сообщений от подозрительных, а последующие слои могут распознать с высокой степенью точности одну из нескольких предварительно определенных категорий спама, таких как фишинговый спам или спам, рекламирующий дешевые копии часов.

Одним из больших преимуществ предварительно подготовленных нейронных сетей является их способность распознавать новые разновидности спама в сообщениях электронной почты, относящиеся к той же категории, которая описана в наборе подготовки. Другое заключается в том, что во многих случаях они работают быстрее устаревших фильтров на основе правил.

Обучение выполняется в лабораториях, а не на клиентских компьютерах BitDefender, по двум причинам: производительности (обучение потребляет большой объем ресурсов процессора) и точности (лаборатории могут собрать и классифицировать намного больше разновидностей недавнего спама, чем любой клиентский компьютер, что делает обучение более точным).

AVC

Функция контроля активных вирусов BitDefender ® – это инновационная технология проактивного обнаружения, использующая расширенные эвристические методы выявления новых потенциальных угроз в режиме реального времени. Она отслеживает каждую программу, запущенную на компьютере, и уведомляет о вредоносных действиях. Если подобные действия будут обнаружены, программа, выполняющая их, помечается в качестве опасной.

В отличие от любой другой эвристической технологии, которая только проверяет файлы при доступе или первом запуске, функция контроля активных вирусов отслеживает все действия приложений во время их активности.

Мониторинг выполняется за счет "инъекции" DLL при запуске процессов, то есть для каждого процесса назначается "наблюдатель", остающийся в течение всего периода активности процесса и сообщающий об определенных действиях серверу. Последний, в свою очередь, решает (основываясь на количестве и типах потенциально опасных действий, которые выполнял процесс), какие процессы следует отнести к категории вредоносных и остановить.

Функция контроля активных вирусов входит в состав всех версий продуктов BitDefender для обычных пользователей.

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • кустомер
      Всем здравствуйте. СРАЗУ оговорка:
      Кнопка "Создать новую тему" только на главной странице форума.
      В выпадающем её меню НЕактивны абсолютно все разделы кроме этого.
      Тему разместить хотелось-бы в другом разделе.
      Ответ на тот вопрос ― наверное поэтому.
      Собственно по делу -
      У кого из считающих себя "мастером_своего_дела" могло-бы появиться желание
      подумать и высказать своё предположение метода проникновения файла сценария
      с печеньями (cookies) после того, как весь IP-диапазон адреса хранения файла
      был заблокирован в настройках Outpost, отлично справляющегося по сей день
      с блокировкой ЛЮБЫХ других (кроме этого) IP-диапазонов? Адрес(имя) файла:
      https://mc.yandex.ru/metrika/watch.js Outpost навскидку можно сравнить с другими продуктами защиты - там.

      Вопросы типа "а-зачем-вам-это-надо" будут
      расценены как флуд, отвлекающий от темы. (уважаэмым модераторам)
      Тема относится к способу проникновения этой заразы, а не к конкретному продукту защиты.
    • demkd
      на него уже давно не реагируют они сейчас самый опасный report_crash что дампы отправляет  
    • akoK
    • santy
      из архива uVS на зеркале уберите файл _autorun.zip (если он есть там), антивирусники как правило по этому файлу начинают "сходить с ума". для создания образа автозапуска юзерам он не нужен.
    • demkd
      Там 5 недоантивирусов, я на такое внимание не обращаю, тем более что случается уже не в первый раз.
      И какое зеркало?
×