SONAR - защита на основе поведения. SONAR - защита на основе поведения Почему отключается сонар в нортон антивирус


Иногда ошибки SONAR.EXE и другие системные ошибки EXE могут быть связаны с проблемами в реестре Windows. Несколько программ может использовать файл SONAR.EXE, но когда эти программы удалены или изменены, иногда остаются "осиротевшие" (ошибочные) записи реестра EXE.

В принципе, это означает, что в то время как фактическая путь к файлу мог быть изменен, его неправильное бывшее расположение до сих пор записано в реестре Windows. Когда Windows пытается найти файл по этой некорректной ссылке (на расположение файлов на вашем компьютере), может возникнуть ошибка SONAR.EXE. Кроме того, заражение вредоносным ПО могло повредить записи реестра, связанные с Guide to Hacking Software Security 2002. Таким образом, эти поврежденные записи реестра EXE необходимо исправить, чтобы устранить проблему в корне.

Редактирование реестра Windows вручную с целью удаления содержащих ошибки ключей SONAR.EXE не рекомендуется, если вы не являетесь специалистом по обслуживанию ПК. Ошибки, допущенные при редактировании реестра, могут привести к неработоспособности вашего ПК и нанести непоправимый ущерб вашей операционной системе. На самом деле, даже одна запятая, поставленная не в том месте, может воспрепятствовать загрузке компьютера!

В связи с подобным риском мы настоятельно рекомендуем использовать надежные инструменты очистки реестра, такие как %%product%% (разработанный Microsoft Gold Certified Partner), чтобы просканировать и исправить любые проблемы, связанные с SONAR.EXE. Используя очистку реестра , вы сможете автоматизировать процесс поиска поврежденных записей реестра, ссылок на отсутствующие файлы (например, вызывающих ошибку SONAR.EXE) и нерабочих ссылок внутри реестра. Перед каждым сканированием автоматически создается резервная копия, позволяющая отменить любые изменения одним кликом и защищающая вас от возможного повреждения компьютера. Самое приятное, что устранение ошибок реестра может резко повысить скорость и производительность системы.


Предупреждение: Если вы не являетесь опытным пользователем ПК, мы НЕ рекомендуем редактирование реестра Windows вручную. Некорректное использование Редактора реестра может привести к серьезным проблемам и потребовать переустановки Windows. Мы не гарантируем, что неполадки, являющиеся результатом неправильного использования Редактора реестра, могут быть устранены. Вы пользуетесь Редактором реестра на свой страх и риск.

Перед тем, как вручную восстанавливать реестр Windows, необходимо создать резервную копию, экспортировав часть реестра, связанную с SONAR.EXE (например, Guide to Hacking Software Security 2002):

  1. Нажмите на кнопку Начать .
  2. Введите "command " в строке поиска... ПОКА НЕ НАЖИМАЙТЕ ENTER !
  3. Удерживая клавиши CTRL-Shift на клавиатуре, нажмите ENTER .
  4. Будет выведено диалоговое окно для доступа.
  5. Нажмите Да .
  6. Черный ящик открывается мигающим курсором.
  7. Введите "regedit " и нажмите ENTER .
  8. В Редакторе реестра выберите ключ, связанный с SONAR.EXE (например, Guide to Hacking Software Security 2002), для которого требуется создать резервную копию.
  9. В меню Файл выберите Экспорт .
  10. В списке Сохранить в выберите папку, в которую вы хотите сохранить резервную копию ключа Guide to Hacking Software Security 2002.
  11. В поле Имя файла введите название файла резервной копии, например "Guide to Hacking Software Security 2002 резервная копия".
  12. Убедитесь, что в поле Диапазон экспорта выбрано значение Выбранная ветвь .
  13. Нажмите Сохранить .
  14. Файл будет сохранен с расширением.reg .
  15. Теперь у вас есть резервная копия записи реестра, связанной с SONAR.EXE.

Следующие шаги при ручном редактировании реестра не будут описаны в данной статье, так как с большой вероятностью могут привести к повреждению вашей системы. Если вы хотите получить больше информации о редактировании реестра вручную, пожалуйста, ознакомьтесь со ссылками ниже.

  • Windows XP (32-битная версия) с пакетом обновлений 2 или более поздним
  • Windows Vista (32- или 64-битная версия)
  • Windows 7 (32- или 64-битная версия)

Аппаратное обеспечение:

  • Процессор с тактовой частотой 300 МГц или более мощный
  • 256 МБ оперативной памяти (512 МБ для Recovery Tool)
  • 300 Мб свободного места на жёстком диске
  • DVD- или CD-дисковод (если нет возможности подключения Сети)

Поддерживаемые почтовые клиенты:

  • Outlook 2002 и более поздние версии
  • Outlook Express 6.0 и более поздние версии
  • Windows Mail и др. стандартные клиенты (только фильтрация спама)

Поддерживаемые браузеры:

  • Microsoft Internet Explorer 6.0 и более новые версии (только 32-битная версия)
  • Mozilla Firefox 3.0 или более поздняя версия

Основные технологии Norton Internet Security 2010:

  • Защита от вирусов, руткитов, ботов и шпионских программ
  • Norton Safe Web
  • Smart Firewall
  • Защита персональных данных
  • Мгновенные обновления
  • Сетевой мониторинг
  • Родительский контроль
  • Защита от уязвимостей
  • Norton Insight Network
  • Norton Download Insight
  • Профессиональная защита от спама
  • Norton File Insight
  • Norton Threat Insight
  • Эвристическая защита SONAR 2
  • Norton System Insight

Основные преимущества Norton Internet Security 2010:

  • Интеллектуальная репутационная технология Norton Insight Network, которая повышает скорость реакции и эффективность защиты от новейших вредоносных программ.
  • Предотвращение кражи личных данных, выявление вирусов, программ-шпионов, ботов.
  • Превентивная технология защиты SONAR 2.
  • Выделение небезопасных веб-сайтов в результатах поиска.
  • Обновленная сетевая защиты Smart Firewall.
  • Технологии Norton Insight для снижения нагрузки на систему во время работы.

Функционал

В Norton Internet Security 2010 появилось множество новых функций, а прежние были значительно улучшены. Интеллектуальная защита пополнена пятью новыми компонентами. Благодаря Norton Safe Web, небезопасные сайты теперь выделяются в браузере прямо на странице с результатами веб-поиска.

Новая технология Norton IdentitySafe On-the-Go – это своеобразный аналог менеджеров паролей с той лишь разницей, что доступ к паролям и другим персональным данным возможен с любого компьютера, где установлен Internet Security. Все загружаемые файлы и приложения проходят предварительную проверку и открываются только после того, как будут признаны безопасными.

В продукте реализована прекрасная защита от спама по проверенной технологии, которой пользуются ведущие производители. Модуль родительского контроля ограничивает доступ детей к нежелательным Интернет-ресурсам. Всё это новые технологии. Старые же остались, но претерпели значительные улучшения.

Функция Norton IdentitySafe запоминает и безопасно хранит вводимые в браузере персональные данные и автоматически заполняет формы на сайтах в случае необходимости. Она интегрируется в наиболее распространённые браузеры Firefox, Internet Explorer, и при этом, не даёт вредоносным программам перехватить вводимые данные.

Встроенная функция обнаружения уязвимостей показывает и исправляет бреши в операционной системе и установленных на компьютере прикладных программах. В случае если вредоносные программы препятствуют нормальной загрузке компьютера, с ними помогает справиться средство Norton Bootable Recovery Tool.

Что касается производительности, она была значительно улучшена. Системные ресурсы расходуются очень экономно. Функция Norton Insight позволяет проверять только те файлы, которые могут действительно представлять какую-то опасность для компьютера и хранящихся на нём данных. Это сильно экономит время проверки. Объём используемой оперативной памяти был также снижен. Загрузка, копирование, редактирование файлов, а также установка приложений теперь стали производится еще быстрее. Norton System Insight составляет графики использования ресурсов, оптимизирует и поддерживает максимальную производительность компьютера.

Одна из основных технологических инноваций в Norton Antivirus и Norton Internet Security 2010 - это репутационная "облачная" (in the cloud) технология Norton Insight Network. Она подключается к так называемой глобальной сети безопасности Symantec и использует ее базу для обнаружения новейших видов вредоносных программ.

В Norton Internet Security 2010 версии была обновлена эвристическая технология SONAR 2 (Symantec Online Network for Advanced Response, версия 2), которая производит мониторинг и анализ подозрительных действий программ в системе.

Также новинка была дополнена целым рядом компонентов, предоставляющих репутационную информацию об угрозах и загружаемых из сети файлах:

  • Norton Download Insight предупреждает об опасных объектах ещё до того, как они будут полностью загружены.
  • Norton Threat Insight уведомляет об обнаружении угроз, сообщает информацию о них и способах их устранения.
  • Norton File Insight отображает источник файлов и приложений, их надежность и степень их влияния на производительность компьютера.

Стоит обратить внимание на технологию мгновенных импульсных обновлений Norton Pulse Updates , которая позволяет поддерживать антивирусные базы в актуальном состоянии, подкачивая маленькие порции обновлений через каждые 5-15 минут.

В составе продукта в виде файла ISO поставляется Norton Bootable Recovery Tool , который должен быть записан на чистый диск CD-R. Это аварийный диск восстановления, который запускается до загрузки операционной системы.

Есть и дополнительные возможности. Каждый месяц программа генерирует отчёт, содержащий сведения обо всех событиях, произошедших на компьютере за этот период.

Техническая поддержка оказывается бесплатно, в том числе и по телефону. Правда, только по рабочим дням в дневные часы.


Тестирование

Установка

Дистрибутив весит сравнительно немного - 80 Мб (30 Мб без АВ баз). Инсталляция продукта производилась на тестовую машину с процессором частотой 3 ГГц с оперативной памятью объёмом 512 Мб. Операционная система – Windows XP SP3.

Интерфейс главного окна оформлен в фирменных чёрно-жёлтых тонах.

После принятия лицензионного соглашения происходит автоматическая установка, во время которой не задаётся никаких вопросов. Однако сразу же после установки начались первые проблемы. В момент первоначального запуска открылось окно активации, а поверх него появилось уведомление об ошибке сценария:

Нажатия на кнопки «Да» или «Нет» оказались бесполезными – ошибка возникала снова и снова (скорее всего связанная с использованием Internet Explorer 6). Тогда пришлось несколько раз нажать на кнопку «Далее». При этом явно были пропущены какие-то страницы. Ошибка исчезла, и появилась форма ввода адреса e-mail:

Испытание в работе

Наконец, активация успешно завершена и на экране главное окно Norton Internet Security 2010:

В левой части окна Norton Internet Security 2010 два столбца, которые отображают текущую загрузку процессора и то, как на производительность влияет сам антивирусный комплекс. Стоило лишь поводить курсором поверх ссылок и кнопок главного окна, как индикатор производительности зашкалило (видимо, это обусловлено использованием виртуальной машины):

После запуска быстрого сканирования индикатор загрузки системы в Norton Internet Security 2010 увеличил показания:

Если же оставить курсор неподвижным и запустить полное сканирование, то процессор загружается не более чем на 10%.

Параметры компьютера в интерфейсе Norton Internet Security 2010, в котором можно настроить защиту от вирусов и других угроз, выглядит следующим образом:

В следующей вкладке настраивается защита компьютера от угроз, исходящих из сети:

Далее настраиваются параметры дополнительной защиты при веб-серфинге. Этот пункт отвечает за управление персональными данными, защитой от фишинга, компонентов Norton Download Insight, Norton Safe Web и т.д.

Вкладка "Прочие параметры" выглядит следующим образом:

И последняя вкладка настроек Norton Internet Security 2010 позволяет управлять конфиденциальностью и родительским контролем:

Родительский контроль в Norton Internet Security 2010 не устанавливается автоматически во время инсталляции. Для этого нужно в настройках продукта перейти по специальной ссылке (см. выше).

При открытии страницы Яндекса активизировался модуль Norton IdentitySafe – было предложено создать новый профиль пользователя:

Модуль ответственен за автоматическое заполнение форм на сайтах. Для дополнительной безопасности нужно ввести пароль, без ввода которого эта функция будет заблокирована:

Профиль пользователя без проблем был создан, и уже существующие данные автозаполнения были импортированы из браузера:

Разработчики интерфейса Norton Internet Security 2010 использовали в архитектуре главного окна программы ниспадающих окон – это гораздо удобнее отдельных вкладок, используемых в антивирусных продуктах других компаний:

По окончании быстрой проверки в браузере были обнаружены шпионские cookies:

Norton Internet Security 2010 удалил подозрительные файлы, а также предложил удалять их впоследствии автоматически:

Настройки по умолчанию в Norton Internet Security 2010 предусматривают бесшумную работу – пользователю не задаются многочисленные вопросы. Именно так и должен работать антивирусный продукт – тихо и незаметно.

После неоднократной попытки скопировать на рабочий стол трояна, возникала ошибка копирования. Антивирус молча не давал выполнить с ним никаких действий. О проделанной работе можно было узнать из журнала безопасности:

Компонент поиска уязвимостей в Norton Internet Security 2010 не анализирует установленные в системе приложения и не показывает, какие обновления необходимо установить, не оказываю пользователю при этом реальной помощи, а наоборот автоматически защищает от всех известных на данный момент ошибок в ПО многочисленных производителей. В окне данной функции перечисляются все программы, об уязвимостях которых известно в Symantec.

Когда всё было готово, открылось окно с картой домашней сети:

В разделе «Интернет» можно управлять своими персональными данными:

Например, задать пароль для конкретного сайта, который потом будет автоматически подставляться в соответствующую форму:

В настройках управления личными данными есть возможность создать персональную карточку пользователя:

По ссылке "Производительность" рядом с поворотной стрелкой в главном окне Norton Internet Security 2010, происходит эффектный переход в окно с графиками производительности (общая загрузка системы и влияние именно защиты):

Окно предназначенной для оптимизации работы антивируса компоненты Norton Insight, о которой мы писали в начале, выглядит следующим образом:

В списке Norton Insight отображаются все запущенные в данный момент процессы (есть также возможность просмотреть все запущенные приложения и другие опции). Строки меняют свой цвет в зависимости от рейтинга конкретного приложения. Есть программы, которым можно полностью доверять, а есть те, которые имеют меньшую надёжностью.

После каждого апдейта можно дополнительно открыть ещё одно окно и посмотреть, что именно было загружено:

Стоить отметить обширное справочное руководство по программе. Абсолютно на любой вопрос по всем компонентам там найдётся ответ без посторонней помощи.

Напоследок хотелось показать, как выглядит сервис Norton Account.

После авторизации на сайте можно зайти на свою персональную страницу с указанием используемых продуктов, кодов активации. На соседних вкладках управление учётной записью и изменение пароля. К сожалению, ни одна попытка зайти в свой аккаунт через браузер Opera не удалась.

Цена

Что касается цены, то она вполне приемлема для большинства пользователей. Годовая подписка на Norton Internet Security 2010 на год и два года – соответственно 1590 и 2290 рублей. Для Norton AntiVirus 2010 – 990 рублей и 1390 рублей за один и два года подписки соответственно.


Выводы

Плюсы:

  • Продукт прекрасно справляется со всеми существующими видами компьютерных угроз, в т.ч. и с неизвестными, минимально влияя на производительность.
  • Широкое использования репутационных "облачных" технологий, которые позволяют не только улучшить уровень защиты, но и уменьшить общую нагрузку на систему.
  • Обновления через каждые 5-15 минут – раньше продукты компании обновлялись реже.
  • Эвристическая защита SONAR 2 - значительный шаг в эволюции проактивной защиты этого вендора.
  • Значительным плюсом является поддержка 32- и 64-битных версий операционной системы Windows 7, релиз которой намечен на 20 октября.

Минусы:

  • Недостаточно качественный перевод на русский язык. В справке, в компонентах и на сайте можно запросто встретить фразы вроде «Блокирует веб-сайты фишинга».
  • Техническая поддержка работает только днём и только по рабочим дням. В то же время отечественные компании часто оказывают её круглосуточно и без выходных.
  • Самые неприятные проблемы связаны с веб-сервисом. Активация прошла успешно, но с множеством ошибок, несмотря на использование Internet Explorer 6, поддерживаемый в системных требованиях.

Функция Symantec Online Network for Advanced Response (SONAR) находит новые угрозы, анализируя характеристики файлов. Она выявляет вредоносный код до того, как описания вирусов станут доступны в LiveUpdate, обеспечивая защиту от дополнительных угроз.

Для использования защиты SONAR, работающей в реальном времени, компьютер должен быть подключен к Интернету.

При необходимости можно изменить параметры SONAR, в том числе параметры расширенного режима и защиты сетевых дисков.

Для обеспечения безопасности сетевых дисков рекомендуется, чтобы защита сетевых дисков была всегда включена.

Включение защиты сетевых дисков

    Откройте вкладку Автоматическая защита , найдите раздел Защита SONAR и переместите ползунок в строке Защита сетевых дисков в положение Вкл. .

SONAR классифицирует угрозы как имеющие большую или меньшую степень достоверности в зависимости от их поведения. По умолчанию SONAR блокирует угрозы с высокой достоверностью. Для угроз с низкой достоверностью можно настроить блокировку всех угроз или отправку уведомлений, позволяющих принять решение о необходимости блокирования каждой конкретной угрозы. Достаточно один раз разрешить угрозу, чтобы больше не получать уведомлений об обнаружении аналогичных угроз от SONAR.

Настройка расширенного режима SONAR

    Откройте вкладку Автоматическая защита , перейдите в раздел Защита SONAR и найдите строку Расширенный режим SONAR :

    • Если нужно блокировать угрозы с высокой достоверностью и разрешить угрозы с низкой достоверностью, переместите выключатель в положение Выкл .

      Если нужно блокировать угрозы с высокой достоверностью и получать уведомления об угрозах с низкой достоверностью, переместите выключатель в положение Автоматически .

      Если нужно блокировать угрозы с высокой достоверностью и получать уведомления об угрозах с низкой достоверностью и малым числом подозрительных характеристик, переместите переключатель в положение Агрессивная .

      Это значение соответствует высокой чувствительности и может привести к ложным срабатываниям защиты на допустимые файлы. Его рекомендуется выбирать только опытным пользователям.

По умолчанию SONAR блокирует только угрозы с высокой достоверностью. Параметры защиты SONAR можно изменить так, чтобы она блокировала все угрозы или предлагала пользователю принимать решение относительно обнаруженных угроз с низкой достоверностью.

Настройка автоматического удаления угроз

    Откройте вкладку Автоматическая защита , перейдите в раздел Расширенный режим SONAR и найдите строку Автоматическое удаление угроз :

    • Только несомненные угрозы .

      Чтобы настроить поведение программы во время обнаружения угрозы, переместите кнопку в положение Спросить меня .

По умолчанию SONAR блокирует угрозы с высокой достоверностью только тогда, когда компьютер не используется. Параметры защиты SONAR можно изменить так, чтобы она удаляла все угрозы или предлагала пользователю принимать решение относительно обнаруженных угроз с низкой достоверностью.

Настройка удаления угроз в отсутствие пользователя:

    Откройте вкладку Автоматическая защита , перейдите в раздел Расширенный режим SONAR и найдите строку Удаление угроз, если меня нет на месте :

    • Если нужно блокировать все угрозы, переместите переключатель в положение Всегда .

      Если нужно блокировать только угрозы с высокой достоверностью, переместите переключатель в положение Только несомненные угрозы .

      Чтобы игнорировать угрозы во время вашего отсутствия, переместите переключатель в положение Игнорировать .

Используя параметр "Показывать уведомления о блокировках SONAR", можно включить или выключить отправку уведомлений при блокировке угроз защитой SONAR. Например, можно выключить отправку уведомлений, если вы смотрите фильм или играете в полноэкранном режиме.

Настройка отображения уведомлений о блокировках SONAR:

    Откройте вкладку Автоматическая защита , перейдите в раздел Расширенный режим SONAR и найдите строку Показывать уведомления о блокировках SONAR :

    • Для получения уведомлений обо всех угрозах, блокируемых SONAR, переместите переключатель в положение Показать все .

      Для выключения отправки уведомлений с сохранением возможности просматривать сведения о блокированных угрозах в окне Журнал безопасности переместите переключатель в положение Только заносить в журнал .

      Для того, чтобы открыть Журнал безопасности , перейдите в главное окно Norton, дважды щелкните значок Безопасность и выберите Журнал .

Миллионы пользователей обманом открывают вредоносные программы, маскирующиеся под видеоплееры или антивирусные продукты, которые не предлагают заявленных возможностей, но заражают компьютер пользователя и заставляют его платить за несуществующие функции.

Загрузки методом «Drive-by» и распространенные веб-атаки незаметно заражают пользователей, посещающих популярные сайты. Некоторые программы устанавливают руткиты или внедряют вредоносный код в системные процессы. Современное вредоносное ПО может с легкостью обходить, уже недостаточную для защиты конечного пользователя, файловую защиту.

Почему именно защита на основе поведения?

В 2010 году, Symantec обнаружила более 286 миллионов вариантов вредоносных программ и заблокировала более 3 миллиардов атак. В условиях продолжающегося роста вредоносного ПО и его вариантов, Symantec увидела необходимость в создании инновационного подхода, который позволит предотвратить вредоносные инфекции- автоматически и бесшумно, вне зависимости от того, чем занят пользователь и каким образом вирус проник в его систему. Insight Reputation Technology и поведенческая технология Symantec Online Network for Advanced Response (SONAR) компании Symantec, являются двумя из таких подходов.

Защита на основе поведения является более рентабельной по сравнению с файловой эвристикой, поскольку она одновременно может оценивать большие масштабы программ как опасных, так и не представляющих угрозы.

Защита на основе поведения обеспечивает эффективную и неинвазивную защиту от угроз "нулевого дня". SONAR - это решение, обеспечивающее защиту от угроз, которое основывается на поведении угроз, а не на их «внешний виде». SONAR является основным движком защиты на основе поведения компании Symantec: классифицирующий движок, сделанный на основе искусственного интеллекта, авторских поведенческих сигнатур и поведенческого механизма блокировки на основе политики. Все эти компоненты соединены в одно целое, и они обеспечивают лучшую в индустрии безопасности защиту от угроз.

Основными направлениями защиты, которые обеспечивает поведенческая технология Symantec, являются:

Направленные атаки, включая Advanced Persistent Threats (APT), троянские программы, шпионское ПО, кейлоггеры и общие угрозы "нулевого дня";
- Загрузки методом drive-by, веб-атаки;
- Атаки типа «Социальной инженерии»: FakeAV (поддельные антивирусы), вредоносные генераторы ключей и кодеки;
- Боты и ботнеты:
- Non-Process and Injected Threats (NPTs)
- Угрозы "нулевого дня";
- Угрозы, пропущенные другими слоями защиты
- Угрозы, использующие технику руткитов.

В каких случаях осуществляется поведенческая защита?

Независимо от того, запускает ли пользователь вредоносное приложение умышленно, или же оно производит автоматическую попытку установки, SONAR блокирует программу в режиме реального времени, после того, как она была запущена и/или пытается внедрить себя в запущенные процессы (технология NPT). Обеспечивая защиту от Hydraq/Aurora, Stuxnet и вредоносного ПО, такого как Tidsrev и ZeroAccess, она зарекомендовала себя как одну из самых важных технологий защиты конечных точек.

Как это работает? Классификационный движок, основанный в области Искусственного Интеллекта

Symantec создала одну из самых больших баз данных поведенческих профилей во всем мире, имея около 1.2 миллиардов экземпляров приложений. Анализируя поведение хороших и плохих файлов, используя метод машинного обучения, Symantec способна создавать профили для приложений, которые еще не были созданы. Опираясь почти на 1400 различных поведенческих атрибутов и богатый контекст, которые компания получает от других компонентов, таких как Insight, IPS, AV-движок, классификация SONAR способна быстро обнаружить вредоносное поведение и принимать меры по остановке вредоносных приложений до того, как они нанесут ущерб. В 2011 году более 586 миллионов исполняемых DLL-файлов и приложений, были проанализированы с помощью технологии SONAR.

Non-process Based Threat Protection

Современные угрозы не всегда являются отдельными исполняемыми файлами. Зачастую, они пытаются скрыться при помощи инъекций в широко известные запущенные процессы, приложения или другие компоненты, тем самым скрывая свою вредоносную деятельность под видом доверенных процессов (к примеру, системных), или же доверенных приложений. В качестве примера, при выполнении вредоносного приложения, оно может внедрить вредоносный код в запущенные процессы, такие как explorer.exe (процесс оболочки Рабочего стола), Iexplorer.exe (браузер Internet Explorer) или зарегистрировать вредоносные компоненты в качестве расширений для подобных приложений. SONAR предотвращает выполнение кода, введенного в целевой процесс, путем классификации источника, пытающегося сделать инъекцию. Он также классифицирует, и при необходимости останавливает вредоносный код, загружаемый в целевой или доверенный процесс.

Политика Поведенческой блокировки

Загрузка методом «Drive-by» работает, используя уязвимости в браузерных плагинах, таких как Adobe Reader, Oracle Sun Java и Adobe Flash. После того, как уязвимость была обнаружена подобной загрузкой, она может использовать уязвимое приложение в своих целях, т.е. для запуска любого другого приложения. Создавая определение политики Поведенческой блокировки, Symantec может блокировать вредоносные поведения, такие как "Adobe Acrobat не должно создавать другие исполняемые файлы" или "этой DLL запрещена инъекция в процесс explorer.exe», тем самым защищая систему. Это может быть описано как блокировка поведения на основе политики и правил. Эти политики/определения SONAR создаются командой Symantec STAR и автоматически задействованы в блокирующем режиме и не требуют управления. Это предотвращает подозрительное поведение «хороших» приложений, и автоматически защищает пользователей.

Сигнатуры Behavioral Policy Enforcement (BPE - поведенческое применение политик)

Возможность развития в соответствии с непрерывно изменяющимися угрозами, является неотъемлемой частью технологий SONAR, поэтому защита продуктов компании Symantec имеет возможность ориентироваться на угрозы даже завтрашнего, еще не наступившего дня. Когда Symantec обнаруживает новое семейство угроз, такие как новые руткиты, трояны, FakeAV или другие типы вредоносных программ, она может создать новые поведенческие сигнатуры для обнаружения подобных семейств угроз, и доставить их вместе с обновлениями. Поэтому, компании совершенно не обязательно обновлять код самого продукта. Это так называемые поведенческие сигнатуры SONAR Enforcement Policy. Эти сигнатуры можно довольно быстро написать, протестировать и доставить пользователю, и именно они дают SONAR «гибкости» и «адаптивности», что позволяет ей дать ответ на некоторые классы возникающих угроз, имея при этом очень низкий уровень ложных срабатываний.

Так как же работают BPE-сигнатуры?

Давайте взглянем на приложение, которое запускается для выполнения.

1) Оно создает определенные компоненты в директории TEMP
2) Добавляет свои записи в реестр
3) Меняет hosts-файл
4) Оно не имеет интерфейса
5) Оно открывает связи на «высоких» портах

Любая из этих форм поведения сама по себе не может быть "плохой", но в целом ее поведенческий профиль расценивается, как плохой. STAR-аналитик создает правило, в котором указывает, что если имеется определенная последовательность поведения исполняемых файлов с определенными характеристиками Репутации Insight, то продукт должен остановить этот процесс и выполнить откат изменений. SONAR умеет создавать виртуальную песочницу вокруг зараженного, но вполне законного приложения и тем самым может предотвратить любые вредоносные действия зараженного приложения, которое способно нанести вред компьютеру пользователя. Это является совершенно новой парадигмой в сфере конечной защиты пользователя. Она работает за счет использования данных, которые показывают действия приложения, а не его внешний вид.

Автоматическое Восстановление вредоносных файлов с помощью песочницы

Защита на основе поведения в режиме реального времени отслеживает и помещает в песочницу приложения, процессы и события во время того, как они происходят. Системные изменения могут быть отменены с целью предотвращения вредоносной активности.

Мониторинг приложений и процессов в режиме реального времени

SONAR отслеживает и защищает более 1400 аспектов всех запущенных приложений, DLL-файлов и процессов, предоставляя защиту в режиме реального времени, по мере их выполнения.

STAR Intelligence Communication Bus

Технология защиты SONAR не работает сама по себе. Движок обменивается данными с другими сервисами защиты при помощи протокола STAR Intelligence Communication (STAR ICB). Движок Сетевой IPS, соединяется с движком Symantec Sonar, а затем с движком Внутренней Репутации (Insight Reputation). Это позволяет предоставить более информативную и точную защиту, какую не может предоставить практически ни один продукт.

По материалам Symantec

mob_info