Количество вирусов все увеличивается, и базы сигнатур, используемые традиционными вирусными сканерами, все пополняются. Если так пойдет и дальше, общее число различных вирусов и троянов может легко превысить количество исполняемых файлов, входящих в приложения. В связи с этим предлагается заменить используемый сейчас метод "все, что не запрещено, - разрешено" на противоположный: "все, что не разрешено, - запрещено". То есть заносить в базу не сигнатуры вирусов, а контрольные суммы допустимых исполняемых файлов и библиотек. Запуск исполняемого файла при этом разрешен, только когда сигнатура есть в базе. Софтверные компании могли бы при выпуске нового продукта пополнять общую базу контрольных сумм для своих исполняемых файлов, а пользователи - скачивать обновления. При таком подходе исчезает необходимость быстрой реакции на появление нового вируса или трояна - ведь по умолчанию его запуск будет запрещен. В заявке приведена даже структура запросов и ответов, но, полагаю, общая идея понятна и без них.Из журнала "Компьютерра".
|