少し前まで、GoogleのエンジニアであるDarren Bilbyによる、ウイルス対策ファイルやその他の役に立たない情報セキュリティ手法に関する「Protecting Gibson in the Age of Enlightenment」のレポートがネットワークに登場しました。



一言で言えば、ハッキングされたメールボックスが大統領選挙の議論の重要なトピックになり、ランサムウェアが企業のコンピューター上のファイルを暗号化し、「トースターがインターネットの広い領域を制御する」ということです。最大のDNSプロバイダーの1つがumb然としている監視カメラのタイプ）。



そして、コンピューターセキュリティ業界は、これらのサイバー攻撃と何を対比していますか？ はい、ほとんど新しいものは何もありません、とビルビーは言います。 彼によると、このようなソリューションの売り手は、素朴な買い手の耳に麺をぶら下げることで、単に「フラッシュマジック」を行います。



実際、従来のウイルス対策ソフトウェアは何を提供しますか？ ほとんどの場合、ファイルスキャナーは署名によってウイルスを検索するために使用され、ヒューリスティックアナライザーはスキャナーが無力なファイル（圧縮または暗号化など）に対して使用されます。 これらの方法にはそれぞれ長所と短所がありますが、一般的にビルビーは正しい、時代遅れのテクノロジーが長年使用されてきましたが、根本的に新しいものを提供することも非常に困難です。 しかし、できます。 たとえば、サンドボックスは過去10年にわたって開発されてきましたが、何らかの理由で、おそらくメンテナンスの難しさのために広く普及していません。マスソリューションはフライパンのようにシンプルで、スクラップのように信頼できる必要があるからです。 独創的なものはすべて単純ですが、単純なものすべてが独創的なわけではありません。



ウイルスはコンピューターに表示されません。ウイルスを取得しないでください。インターネットからダウンロードしたファイルまたはメールで受信したファイルとともにアクセスするようになります。 つまり、「最初はファイルがあり」、ファイルのみであり、ウイルスの精神がそこにあり、このファイルが起動されるのを待って、勝利の行列を開始し、「私を送った人の意志を満たします」。



新しいファイルは潜在的に危険であり、ウイルスから身を守る新しいファイルから身を守ることがわかります。 しかし、真空中の球状のコンピューターについて話している場合、現実には、新しいファイルを作成することはコンピューターが機能するための自然なプロセスであるため、新しいファイルから身を守ることは不可能です。 そのため、大量のファイルのうち、何らかの形で潜在的に危険な「不良」を識別する必要があります。



具体的には、起動できるもの、つまり 実行可能または解釈済み。 テキストファイルにあるウイルスの用途は何ですか？ 悪は一時的なフォルダで平和的に嗅ぎ回るのではなく、動作するはずです。

たとえば、ゲームをダウンロードしてプレイしたいが、「ゲーム」を開始すると、突然他の実行可能ファイルが作成され、スタートアップセクションに配置されます。 悪意のある行為に直面して、できるだけ早くそれらを根本的に停止する必要があり、侵入は開始さえせずに終了します。 これは、最新のアンチウイルスが提供するべきものです-ウイルス、暗号化、トロイの木馬、ワームなどから保護する予防保護。



ただし、同時に、オペレーティングシステムの通常の動作ではファイルを作成する必要があり、場合によっては実行可能ファイルを作成する必要があるため、左右すべてを禁止する必要はありません。 また、OSは先験的に感染していないため、そのすべてのメカニズムの動作を信頼することは十分に可能であり、その手段によって作成されたものをチェックする意味はありません。 これには、あなたが信頼する有名な（そしてそうではない）ブランドのソフトウェア製品も含まれます。 信頼できるソースから取得した「信頼できるプログラム」をスキャンから除外します。



そのため、何が起こるか-脅威から保護するには、何もスキャンして分析する必要はありません。特定の場所の特定のファイルに対する操作を制限するソリューションが必要です。 「仕事」のために、ウイルスはWindowsのルートディレクトリではなく、使用可能な一時フォルダを選択すると想定するのが論理的です。 信頼できるアプリケーションをスキャンから除外できると便利です。



解決策は表面にあるように見えますが、何らかの理由で、実際にはマストドンの間で人気のあるブロッキングプログラムはありません。そのため、レビューのために、一般にはほとんど知られていないアプリケーションを選択しましたが、それでもこの素晴らしい仕事をしています。



本日、上記の要件を満たす最も興味深い製品を紹介します。これらは、アメリカの会社VoodooSoftのVoodooShield、シンガポールのSecureAge TechnologyのSecureAPlus、クラスノヤルスクのVTBのロシアDefendsetです。 当初、私は別のロシアのプログラム-サンクトペテルブルクの「シェル保護システム」を見つけることができました。残念ながら、シェルのデモ版をダウンロードできませんでした。 私には組織もレターヘッドも印刷もないので、この製品をレビューに含めることはできませんでしたが、残念です。 おそらく将来、このユーティリティを入手することも可能になるでしょうが、今のところは、今日の参加者を見て、彼らが何であるか、そして最も重要なことに、述べられたタスクに対処する方法を学びましょう。

ブードゥーシールド

VoodooShieldは、マルウェアを含む可能性のある新しいアプリケーションや未知のオブジェクトの起動をブロックするユーティリティです。 インストールを実行する前に、コンピューターに悪意のあるオブジェクトがないことを確認することが重要です。そうでない場合、それらは信頼できるオブジェクトのリストに追加でき、完全に公式に機能します。



製品は2つのバージョンで提供されます-無料で、構成オプションが制限され、完全に機能し、年間19.99ドルの価格です。 製品ウェブサイト： https : //voodooshield.com



ウイルス対策インストールプロセス自体は非常によく知られており、ようこそウィンドウが表示されてからインストールが完了するまで、ユーザーは何もする必要はありません。







インストール直後に、プログラムは保護を実装するモードを選択するように求めます。 「自動操縦」により、プログラム自体が実行中のアプリケーションの危険レベルを評価でき、「ホワイトリスト」により、このリストに含まれているアプリケーションのみが起動されます。





プログラムの最初の立ち上げには、その使用に関する小さな教育プログラムが付属しており、保護の実装方法が説明されています。





システムトレイの近くにコントロールウィジェットが表示されます。このウィジェットを使用して、保護をオンまたはオフにしたり、コンテキストメニューを使用してオンライン設定を変更したりできます。





プログラムの設定の変更は「プロ」バージョンで利用できます。無料バージョンではコンテンツに満足することができますが、未知のファイルをブロックするにはこれで十分です。



基本設定と高度な設定により、アプリケーションのカスタムチューニングが可能になり、アプリケーションの機能がより快適になります。







定義済みのインターネットアプリケーション。保護を目的のモードに設定する作業。





信頼できるアプリケーションの「ホワイトリスト」。自動または手動で入力できます。





ユーザーが最初に苦しむ必要がないように、インストールされているすべてのアプリケーションをホワイトリストに追加するために、開発者は実行中のすべてのプロセスをホワイトリストに追加するトレーニングモードを提供しています。 このモードで数日間作業した後、毎日使用されるすべてのアプリケーションを含む設定を取得します。



ここで、プログラムがどのように機能し、その直接的な責任を果たしているかを見てみましょう。 この目的のために、Yandexブラウザーをダウンロードし、テストコンピューターにインストールしてみてください。



ファイルをダウンロードしても問題は発生しませんでしたが、新しいアプリケーションの起動にはブロックの通知が伴います。





通知をクリックすると、アクション選択パネルが開きます-ローカルまたはインターネットサンドボックスでCuckooをブロックまたは起動します。





ロックは起動したアプリケーションの実行を禁止し、残念ながらローカルのサンドボックスで起動すると、アプリケーションのクラッシュにつながります。





保護を再度開始し、ブラウザのインス​​トールを試みます。 アクションを選択するときに、Cuckooサンドボックスで起動を選択します。





ファイルをダウンロードして分析するには、数分程度の非常に長い時間がかかります。その後、カッコウが判定を発表します-10ポイントの危険度で7.9ポイント、アプリケーションは悪意があります。





すべてのアクションはログに記録されます。





別のセクションには、実行可能なコマンドラインが格納され、オブジェクトの起動に役立ちます。これは、アプリケーションに渡されるパラメーターの分析に便利です。





VoodooShieldは非常に使いやすいですが、同時にさまざまな脅威との戦いに非常に効果的なツールです。 アプリケーションにはいくつかの大雑把な部分がありますが、プログラムを無料で使用できることを考えると、これはコンピュータに侵入しようとする悪意のあるオブジェクトを制御できる価値のあるオプションです。

SecureAPlus

SecureAPlusは、SecureAgeの高度なウイルス対策ソフトウェアです。 このアプリケーションは、脅威をリアルタイムで監視および検出するためのツールと、疑わしいオブジェクトを分析し、最大12のサードパーティ製アンチウイルスエンジンを使用する機能を組み合わせています。



製品をインストールするとき、開発者は寛大に無料の年間ライセンスを提供しますが、1年後には、ライセンスに対して月額2ドルまたは年額22.5ドルを支払う必要があります。 製品ウェブサイト： https : //www.secureaplus.com







インストール直後に、ユーザーは、信頼できるアプリケーションのリストが作成される結果に基づいてシステムをスキャンするように求められ、あまり評判が良くないオブジェクト（ある場合）に関する情報が表示されます。



プログラムアイコンはシステムトレイに表示されます。コンテキストメニューを使用すると、一般的な操作を実行できます。設定を開き、現在の操作モードを選択します。





SecureAPlusは、「対話」、「ブロック」、「すべて信頼」のモードで機能します。 名前は選択されたモードの本質を反映しています-「対話」はユーザーに未知のアプリケーションを信頼するかどうかを尋ねるたびに、「ブロック」はホワイトリストにない未知の疑わしいオブジェクトを自動的にブロックし、「すべてを信頼」はすべてのプロセスを機能させます。





最後のモードは一定時間アクティブにできます。これは、新しいアプリケーションをインストールしたり、プロセスを常時監視する必要のない操作を実行したりするのに便利です。





ホワイトリストの設定は非常に柔軟であり、非常に柔軟です。そのため、このような解剖学的詳細は、準備のできていないユーザーを簡単に混乱させる可能性があります。



このアプリケーションを使用すると、信頼できるアプリケーション、証明書、およびスクリプトを個別に追加できます。





ホワイトリストは、ニーズに合わせて完全にカスタマイズできます。 さらに、プログラムは信頼できないプロセスの実行と操作を許可する監視モードを提供しますが、それらによって実行されるすべてのアクションはログに保存されます。





このプログラムはオペレーティングシステムのシェルに統合されているため、ファイルを右クリックすると、任意のファイルのクイックスキャンを利用できます。 ファイルを最初にサーバーにアップロードする必要があるため、スキャンには時間がかかる場合があることに注意してください。



必要に応じて、ウイルス対策メカニズムを構成できます。インターネット経由でリアルタイムにスキャン用に送信される疑わしいオブジェクトをスキャンするために、稼働中のエンジンを有効または無効にします。



通信が制限されている場合は、ダウンロードしたファイルの1日あたりの制限を設定できます。





SecureAPlusの動作を確認するために、Yandexブラウザのインス​​トールをダウンロードして開始しようとしました。 起動中に、オブジェクトに関する情報と目的のアクションの選択を示す素敵なウィンドウが表示されました。 ユーザーが起動したファイルを信頼できるかどうかわからない場合は、クラウドウイルス対策ソフトウェアを使用して確認するか、悪意のあるアプリケーションをすぐにブロックできます。





作業の過程で、プログラムはバックグラウンドプロセスでファイルもスキャンし、脅威が見つかった場合は、そのような漫画のようなウィンドウですぐにそれらを通知します。





情報を表示すると、脅威に関する包括的な情報を取得できます。





SecureAPlusは非常に良い印象を与えます。このツールは、疑わしいアプリケーションのインストール前および操作中にコンピューターを保護することができます。 アンチウイルスは使いやすく、わずかではありますが、明確で美しいインターフェースが特徴です。 欠点の中で、機能の冗長性とあまりにも詳細な設定を区別することができますが、これは通常のユーザーを超えるとは限りません。

被告人

Defendsetは、Windows 7/8/10およびWindows Server 2008/2012/2016で実行される不正なファイル操作をブロックするためのプロアクティブなソリューションです。



ライセンスの費用は、その範囲によって異なります。 非営利または個人のホームライセンス-320ルーブル、組織の企業ライセンス-970ルーブル、サーバー-4600ルーブル。 価格は1年間の使用です。 製品のウェブサイト： https : //defendset.ru



最初のインストールでは、機能の制限なしで30日間の試用ライセンスが提供されます。これにより、ツールの有用性を評価し、取得について十分な情報に基づいた決定を下すことができます。



インストール中、ユーザーはセキュリティの初期レベルを選択するよう求められます。







すべての制御は、プログラムアイコンをクリックすると表示される設定ウィンドウを使用して実行されます。 左側は保護のオン/オフ、上部はすべてのルールのリスト、下部は選択したアイテムの詳細情報、リストのアクティブな位置によって異なります。





インストール後、プログラムには既に保護が実行される一連の事前定義されたルールがあり、さらに、すべてがどのように機能するかを調べて理解できるという点で役立ちます。特にルールの名前から、それが何を担当し、どのように機能するかが明確です



メインタブ-ルールの名前、そのアクティビティ、および保護の目的のタイプ、制御のタイプ、実際にはブロックできる操作自体の選択。 それらの多くはありませんが、これらは最も基本的なものです-作成、変更、削除、発見。





次のタブは、ブロックされたファイルの場所とそれらの例外です。 管理対象ディレクトリのリストは次のとおりです。 特定の何かを指定できますが、すぐにすべてを指定できます。





監視対象ファイルのタイプの選択。すべてディレクトリとの類推による。





さて、プロセスの最後のタブ-すべてが処理されますが、ここでは例外を設定できます：Windowsおよび信頼できるアプリケーションの通常動作のシステムプロセス、およびそれらを明示的に、またはマスクで指定できます。 たとえば、このルールでは、標準のプログラムフォルダーからプログラムを実行することは禁止されていません。必要があります。他のものを追加できます。





テストのために、Yandexブラウザーをダウンロードしてインストールしてみてください。 ダウンロードは障害なく行われ、インストールはブロックされます。 ロックには、イベントに関する情報を表示する右下隅の情報ウィンドウが伴います。





さらにテストするために、新しいルールを作成しました。ルートフォルダーTestでは、ファイルに対するすべての操作が禁止されています。





Testで新しいWord文書を作成しようとしました-アクションはブロックされ、プログラムはこれが保護されたゾーンに新しいファイルを作成していると書き込みます。





以前にダウンロードしたブラウザーをテストフォルダーにコピーすることも安全に防止されます。





さらに実験を行うために、一時的に保護を無効にし、テストでWord文書を作成します。 Defendsetを再度アクティブにして、ファイルを開こうとします。





単語はファイルを開けません、操作はブロックされます。 インストールパッケージを実行しようとすると、同じことが起こります。





保護をオンにしてファイルを変更（編集、名前変更、移動）および削除することもできません。





ロックに関するすべての情報は、イベントログに記録されます。





ここで、プログラムが監視モードでどのように機能するかを見てみましょう-これは私が望むことをするときですが、すべてのアクションはログに書き込まれます。 設定で「操作を許可」ルールを選択すると、アイコンが感嘆符付きの黄色の盾に変わります。





Yandex.exeのデスクトップへのコピーは成功しましたが、操作に関する通知が表示され、対応するエントリがイベントログに表示されました。通知アイコンはルールと同じです。





プログラムの別の機能は、バージョン管理です。ドキュメントをコピーすると、そのコピーは特別なディレクトリに保存されます。設定では、保存間隔を設定できます-新しいバージョンを作成するのにかかる時間（たとえば、1時間に1回まで）の後に、これは頻繁な保存でカタログを乱雑にするのに便利です。大きすぎるファイルのコピーがあまりにも多くのディスク容量を占有しない場合に備えて、ファイルサイズも規制されています。





このすばらしい機能をテストするために、TestフォルダーからCopy rootフォルダーにファイルをバックアップするルールを作成しました。





Helloという単語を含むテキストファイルを作成します。書き込み通知は、コピーが正常に作成されたことを示します。





行を追加して、もう一度書き込みます。





次に、Copiesフォルダーに移動し、異なる内容の2つのファイルが表示されていることを確認します。





この機能は、ファイルバージョンをサーバー上の共有フォルダーにコピーすることにより、変更に対する代替保護として使用できます。暗号化プログラムがローカルファイルを暗号化すると、作業コピーがそこに残ります。また、ファイル（記事、スクリプト、htmlページなど）を編集するとき、目的のテキストフラグメントまたはコードを含むオプションを返す必要があるときにも役立ちます。



すべての操作に関するエントリはイベントログに表示されますが、イベントログのチェックボックスをオフにするだけで、ルールのイベントログをオフにできます。





機能性と使いやすさの両方の点で擁護することは、肯定的な評価に値します。一般的に、私はプログラムが好きだった。



さらに、開発者は思慮深く簡潔なインターフェイスを数えることができます。また、非常に簡単な操作に注意してください-インストール後、プログラムはユーザーからのトレーニングを必要とせず、あいまいな質問をせずにすぐに機能を実行し始めますが、1つのアプリケーションの保護に完全に依存するべきではないので、ウイルス対策と連携。

結論

要約すると、アンチウイルス保護の開発はまだ止まっておらず、新しいアイデアやソリューションが出現し、それらを製品に統合したくない開発者は後衛に留まることを余儀なくされます。私の意見では、今日の不正な操作のブロックは非常に有望で興味深いものであり、実践が示すように、かなり実行可能な保護メカニズムです。武器庫のツールのようなものがすぐにすべての主要なウイルス対策製品を搭載することを願っています。