עבור תוכנות אנטי-וירוס, המנגנון היוריסטי הוא סדרה של חוקים שנועדו לאתר התנהגות חשודה של קובץ ולעצור אותו במידה והוא מזיק (Malware), מבלי להזדקק קודם לכן לחתימה דיגיטאלית שלו (כלומר מבלי שהוא כבר מזוהה), כפי שמרבית האנטי-וירוסים פועלים. חוקים יוריסטיים של אנטי-וירוסים עשויים לחפש את הדברים הבאים:
- קובץ שמנסה להעתיק את עצמו לתוך תוכנות אחרות.
- תוכנה שמוציאה את עצמה ממצב מוצפן ברגע שהיא מופעלת.
- קוד שקושר את עצמו לפורט TCP/IP ומחכה להוראות דרך חיבור הרשת.
- תהליך שמנסה לשנות (העתק,מחק,שנה,שנה שם, וכו') קבצים הנחוצים לפעולה של תוכנות או של מערכת ההפעלה.
היתרון של המנגנון היוריסטי הוא שלא רק שהוא מזהה ווריאציות והרחבות של מזיקים (Malware) קיימים, אלא גם מזיקים חדשים לחלוטין (כמו במקרה של התפרצות וירוס חדש).
המנגנון היוריסטי של ESET נקרא ThreatSense Technology והוא למעשה טכנולוגיה ייחודית פרי פיתוחה של ESET.למנגנון שלושה שלבי זיהוי:
1. חתימות גנריות
חתימה גנרית היא דפוס סריקה שתואם ליותר מסוג אחד ספציפי של מזיק - קיים סיכוי שמזיק מסוים שייך למשפחה שלמה של וירוסים שיש להם קוד בינארי זהה או זהה-חלקית. חתימות גנריות עוזרות למערכת אנטי-וירוס למדוד כמה דומה קובץ או תהליך מסוים למזיק ידוע כלשהו. האם זה נראה כמו משהו שכבר ראינו בעבר?
באמצעות חיפוש אחר דפוסים מוכרים, האנטי-וירוס יכול לגלות מזיקים שהוא לא ראה לפני כן, מבלי להזדקק לחתימה ספציפית לאותו איום.
עדיין, שלב זה ראשוני ומוגבל יחסית, מאחר והוא תופס רק איומים שכתובים באופן מוכר-חלקית.
2. מנגנון היוריסטי פאסיבי (Passive Heuristic)
המנגנון היוריסטי-פאסיבי סורק את הקוד של תוכנות/קבצים לפני שהוא מפעיל אותם, כאשר המטרה היא לנתח את הקוד החשוד ולנסות להבין מה הוא מיועד לעשות.
החוקים של המנגנון היוריסטי-פסיבי מחפשים תבניות, רוטינות או הפניות לתוכנות נוספות, שיכולות לרמז על התנהגות של מזיק (Malware). גישה זו נקראת לעתים "ניתוח קוד"
(Code Analysis).
למרות שהמנגנון היוריסטי-פסיבי הוא כלי שימושי ביותר, קשה להגדיר את החוקים שלו בצורה יעילה. זאת משום שאין פעולה יחידה שתוכנת מזיקה מבצעת, שלא ניתן למצוא גם בתוכנות "לגיטימיות".
3. המנגנון היוריסטי-אקטיבי
בשימוש במנגנון היוריסטי-אקטיבי, מערכת האנטי-וירוס יכולה להפעיל את הקוד החשוד כדי לבדוק מה הוא עושה בפועל. ההפעלה (שנקראת אמולציה) מתבצעת בסביבה וירטואלית מוגנת ונשלטת כדי למנוע נזק אמיתי למערכת. המנוע נותן לקוד לרוץ בסביבה הוירטואלית, ובוחן את ההתנהגות של הקוד והשינויים שהוא עורך בסביבה הוירטואלית. למרות מורכבות הפעולה היא מתבצעת במילי-שניות כך שאינה מעמיסה על המחשב כלל.
המנגנון היוריסטי-אקטיבי הוא שימושי ביותר כנגד איומים מקודדים, מכווצים ופולימורפיים (אשר מסוגלים לשנות את הקוד של עצמם). המנגנון מכריח את הקוד "להראות" מה הוא מיועד לעשות. הדבר מספק הגנה מיידית, ללא צורך להסתמך על החתימות של מזיקים ידועים לצורך זיהוי. משום שהקוד ממש מופעל, הוא אינו יכול להסתיר את התוכן הזדוני שלו.
לסיכום
הפתרון הטוב ביותר נגד מזיקים הוא זה המשתמש בחוכמה בשילוב של כל שיטות הזיהוי הזמינות. זהו הרעיון המרכזי מאחורי מנגנון ההגנה בזמן אמת - ThreatSense Technology.
וירוסים, תולעים ורוגלות מתפתחים כל הזמן, על אף הניסיון המתמיד של מפתחי המזיקים למצוא פרצות ודרכים לעקוף תוכנות אנטי-וירוס ואנטי-רוגלה, המוצרים של ESET נמצאים כמה צעדים קדימה אודות למנגנון ה-ThreatSense Technolgoy .
מנגנון ההגנה בזמן אמת הוא שילוב מתוחכם ומאוזן בין המנגנון ההיוריסטי המתקדם למאגר החתימות הדיגיטליות, דבר שמספק איתור מזיקים ללא פגיעה במהירות הסריקה.
על מנת להתמודד עם רוב האיומים הקיימים, ה-ThreatSense Technology כולל זיהוי מסורתי עפ"י מאגר חתימות. כמו כן, הוא משתמש בחתימות גנריות מהדור הבא כדי לאתר במהירות "משפחות" של מזיקים ואת הווריאציות העתידיות שלהן.
כפיר טויטו הוא מנהל טכנולוגיות בחב' קומסקיור, נציגת חברת ESET בישראל. כפיר מפתח וכותב תוכניות לניקוי מזיקים ולשמירה על המחשב. בעל ניסיון רב בכל נושאי אבטחת מידע ובניית פתרנות טכניים.
http://www.eset.co.il
http://www.eset.co.il
