Как Kaspersky Endpoint Security проверяет файлы?

С помощью драйвера klif.sys Защита от файловых угроз перехватывает все файловые операции (такие как, чтение, копирование, выполнение) и проверяет файлы, с которыми выполняются действия. Если файл заражен, компонент блокирует операцию, а сам файл лечит или удаляет.

Если не считать уязвимости, которые позволяют вредоносным программам загрузить код в память, все атаки сохраняют вредоносные файлы на диск компьютера. И даже атаки, которые начинаются с выполнения кода в памяти, могут загрузить код небольшого размера. Этот код может использоваться как первая ступень атаки и будет загружать дополнительные модули в виде файлов и сохранять их на диск.

Вы можете отключить Защиту от почтовых угроз и Защиту от веб-угроз, но пользователь все равно не сможет запустить зараженный файл, полученный по почте или из сети Интернет. В момент сохранения файла на диск Защита от файловых угроз обнаружит его и заблокирует. А запустить файл из вложения или веб-страницы без сохранения на диск нельзя. Поэтому Защита от файловых угроз — один из важных компонентов Kaspersky Endpoint Security.

Защита от файловых угроз ищет вредоносные программы с помощью:

• Сигнатур вредоносных программ — база Kaspersky Endpoint Security — это «стоп-лист» известных вредоносных файлов. Если файл не соответствует ни одной записи в базе, значит он не вредоносный. Полноценный список, где у каждого известного вредоносного или зараженного файла есть отдельная запись, требует слишком много места. Поэтому база Kaspersky Endpoint Security — это оптимизированный список. Он уменьшен до размера, который можно загрузить на компьютер. Каждая запись идентифицирует семейство похожих угроз.

• Эвристического анализа (эмуляции выполнения) — помогает обнаруживать полиморфные вредоносные файлы, которые меняют свой код во время выполнения. Такие файлы сложно обнаружить по сигнатурам. Защита от файловых угроз запускает исполняемые файлы в специальной изолированной среде и ждет, не изменится ли код в памяти так, что начнет соответствовать сигнатуре.

• Проверки по KSN — Защита от файловых угроз посылает в KSN контрольную сумму файла. 

Ответ содержит информацию:

• есть ли такой файл в базе KSN,

• какая у него репутация.

База Kaspersky Security Network — это и есть огромный список всех известных Лаборатории Касперского файлов (вернее, их контрольных сумм). Этот список содержит файлы с репутацией Untrusted. Это черный список, такие файлы Защита от файловых угроз блокирует.

Есть файлы с репутацией Trusted. Это белый список, куда входят известные невредоносные файлы операционных систем и распространенных программ. Эти файлы Защита от файловых угроз не блокирует, даже если по сигнатурам они вредоносные. Репутация KSN имеет больший приоритет, потому что KSN содержит больше информации, чем локальная база сигнатур. Компьютер может иметь ненадежную связь с интернетом, что помешает Kaspersky Endpoint Security получить ответ из KSN. Именно поэтому Kaspersky Endpoint Security не полагается исключительно на KSN, а использует базу сигнатур и эмуляцию.

Репутации KSN могут меняться со временем. У файла, который недавно появился в сети Интернет, сначала нет никакой репутации. Со временем KSN накапливает данные о том, кто, где и как использует этот файл. Соответственно, его репутация меняется и может стать как доверенной, так и недоверенной.

Для наилучшей защиты, Kaspersky Endpoint Security мог бы уточнять репутацию KSN при каждой файловой операции. Но это бы сильно увеличило сетевой трафик компьютера. К тому же, чтобы отправить запрос и получить ответ, необходимо время, которое зависит от качества связи.

Чтобы не создавать лишний трафик и не задерживать операции с файлами, Kaspersky Endpoint Security сохраняет ответы KSN в локальный кеш. У каждого ответа есть время хранения. Для новых файлов оно короткое, и заставляет Kaspersky Endpoint Security часто уточнять репутацию. Для файлов, которые известны давно, это время большое. Чтобы не замедлять компьютер, Защита от файловых угроз по умолчанию проверяет не все файлы, а только те файлы, которые могут заразить компьютер.

Например, Защита от файловых угроз по умолчанию не проверяет архивы. Чтобы запустить файл из архива, этот файл нужно извлечь. Если пользователь сам не извлек файл из архива, это делает операционная система незаметно для пользователя. В любом случае Защита от файловых угроз проверит и, если нужно, заблокирует извлеченные файлы.

Файлы, которые не проверила Защита от файловых угроз, проверяйте задачами поиска вредоносного ПО. Поиск вредоносного ПО проверяет файлы в указанной области и применяет те же методы, что и Защита от файловых угроз.

Еще больше информации об особенностях защиты Kaspersky Endpoint Security узнайте у наших специалистов по бесплатному телефону 8-800-250-16-03 или написав письмо-запрос на info@store-kaspersky.ru