9 лет назад 10 октября 2009 в 15:09 60

Kaspersky Internet Security 2010

Сергей Трошин

Мы традиционно уделяем особое внимание наиболее популярным защитным пакетам, поскольку хороший антивирус и сетевой экран – залог сохранности ваших данных, порой оказывающихся многократно ценнее не только операционной системы, но и компьютера в целом. Соответственно, не могли мы обойти стороной и выход финальной версии одной из самых передовых программ подобного класса – KIS 2010.

А на переднем крае антивирусного фронта Kaspersky Internet Security потому, что от версии к версии в программе появляются все новые и новые технологии – интересные, отсутствующие у конкурентов, значительно повышающие удобство пользования, делающие защиту системы более надежной. Немало подобных новинок и в новом релизе – Kaspersky Internet Security 2010.

Наиболее заметная из них, пожалуй, специальная “песочница” для запуска подозрительных программ или посещения неблагонадежных сайтов. Вот как это работает. В контекстном меню ярлыка каждой программы появляется новая команда “Запустить в безопасной среде”. Если вы запустите программу с ее помощью, то увидите вокруг окна приложения зеленую рамку, сигнализирующую о том, что любые действия этой программы безопасны для системы, поскольку ей запрещен доступ к системным ресурсам и данным пользователя. Все запросы, исходящие из этой “песочницы” к объектам в реальной системе, перехватываются KIS 2010 и обрабатываются по определенным правилам. Так, ограничивается доступ к защищенным объектам и объектам, содержащим персональные данные пользователя (пользовательское хранилище, ключи реестра). Осуществляется защита реальной системы от модификаций: программе, запущенной в Безопасной среде, вместо реального объекта подсовывается его виртуальная копия, в результате чего настоящие файлы пользователя и реестр остаются без изменений. Защищаются от доступа из “песочницы” и основные процессы и службы, дабы исключить проникновение вредоносных программ из Безопасной среды в реальную систему. Таким образом, этот режим просто идеально подходит для любителей запускать всевозможные кейгены, а также посещать веб-сайты сетевого андеграунда. (В отличие от Internet Explorer 8, запущенного в режиме InPrivate, данное решение закрывает еще и системные уязвимости.)

Так что можно смело создавать “безопасные” ярлыки для наиболее “дырявых” в руках начинающего пользователя приложений (браузер, пейджер и т. п.) и не опасаться, что он что-то “поломает” в Windows – в крайнем случае будет достаточно просто перегрузить систему. Надо лишь учитывать, что хотя среда “песочницы” и не является “виртуальной машиной” в чистом виде, доступ из нее к некоторым некритическим данным реальной системы все же имеется (например, браузер спокойно получает список избранных сайтов). Изменить же из нее что-либо в реальной ОС не получится, поэтому для обмена файлами между ними существует специальная папка – “Общая папка безопасной среды”, доступная, в частности, из окна Проводника. Ну и надо понимать, что некоторые программы из такой среды просто не запустятся, если их работа основана как раз на полном доступе к критически важным системным ресурсам (например, EasyBCD у нас не запустился).

Следующее серьезное нововведение не столь бросается в глаза, но имеет неплохой потенциал в плане улучшения защиты системы. Касается оно проактивной защиты, поведенческие сигнатуры для которой теперь стали обновляемыми, как и привычные сигнатуры кода. Что это дает? Так, если появится новое семейство вирусов, которое не будет детектироваться имеющейся на данный момент эвристикой, поскольку научится применять какую-то нестандартную схему поведения, то оперативно отреагировать на это можно будет, обновив модуль эвристики, а не только обычные сигнатуры. В результате антивирус будет гораздо более надежен в случае изменения такого вируса, появления его новых модификаций и мутаций, не попадающих под стандартные сигнатуры, обновления которых могут несколько запаздывать, поскольку будет ловиться за счет обновленной эвристики. Подобная гибкость позволяет антивирусу гораздо быстрее адаптироваться к новым угрозам, что, безусловно, работает только на пользу конечному потребителю, хотя и скрыто от его глаз.

Чрезвычайно важен и скриптовый эмулятор, впервые появившийся в Kaspersky Internet Security 2010. Не секрет, что огромное число заражений сегодня происходит именно через браузер, посредством размещенных на хакерских или взломанных сайтах деструктивных скриптов. Новый эмулятор перехватывает их еще до того, как они попадут в браузер, имитирует их исполнение и на основе анализа их поведения определяет их вредоносность, соответственно, полностью блокируя всю заразу.

Но вернемся опять к новинкам, на которые пользователи будут обращать внимание в первую очередь. Весьма полезен для многих окажется игровой режим работы KIS 2010, который мы, кстати говоря, уже имели удовольствие опробовать в другом антивирусе – BitDefender. Здесь принцип тот же: при запуске полноэкранных приложений антивирус временно приостанавливает выдачу всяческих сообщений, загрузку обновлений, запланированные задачи, дабы ничем не прервать игру или просмотр фильма и не заставить их тормозить.

На этом с более-менее существенными новинками этой версии программы, наверное, все, а вот по части улучшений уже использующихся технологий можно говорить еще долго. Направлены они, прежде всего, на увеличение скорости реакции на угрозы как непосредственно антивируса, так и тех, кто занимается обновлением антивирусных баз. Тут стоить отметить в первую очередь расширение возможностей по “защите из облака”. На серверах компании хранятся огромные базы данных по файлам и программам, которые просто невозможно было бы разместить на ПК пользователя ввиду их объемов. К этим базам обращается антивирус, обнаруживая новое приложение, чтобы решить, к какой группе стоит его отнести – доверенной, ограниченной, недоверенной. Разумеется, при категоризации приложений используются и другие методы (сигнатуры, эвристика), но репутационные онлайн-сервисы позволяют делать это точнее и быстрее. Более того, онлайн-базы используются теперь еще и при сканировании диска по запросу, что ускоряет весь процесс даже в том случае, если интернет у вас не очень быстрый. Онлайновая система репутации используется и при фильтрации URL-адресов, что увеличивает уровень детектирования вредоносных сайтов и снижает число ошибок. Разумеется, чтобы все это работало еще лучше, не стоит пренебрегать помощью разработчикам в лице Kaspersky Security Network – автоматизированной системы, собирающей данные о попытках заражения ПК пользователей и о новых подозрительных файлах и отправляющей их на серверы ЛК. Именно на ее основе все это во многом работает.

Кроме того, теперь в несколько раз увеличено число шаблонов базовых эвристик, а значит, неизвестные вирусы будут ловиться еще лучше. Эмулятор исполняемых файлов запускается при каждом сканировании; проверка на руткиты автоматически стартует один раз в день, причем KIS теперь не проведешь скрытыми и заблокированными ключами в реестре; кардинально улучшена защита от загрузочных вирусов на всех этапах их работы (некоторые антивирусы сегодня вообще “забыли” про MBR-вирусы, посчитав проблему неактуальной, а она неожиданно всплыла вновь); виртуальная клавиатура заработала в Windows Vista (и в 32-, и в 64-битных версиях) и поддерживает Firefox; антиспам-модуль теперь понимает Unicode и лучше ловит всевозможный мусор; увеличена скорость работы iChecker – системы, предотвращающей повторную проверку уже просканированных файлов; обновлен загрузочный Rescue-диск на базе Linux. Кстати, по заверениям разработчиков код антивируса, несмотря на все эти изменения, еще более оптимизирован, и теперь он загружает систему раза в два меньше – порядка 7% системных ресурсов тратится на его работу.

Интерфейс также претерпел некоторые изменения, но тут сложно говорить о том, стал ли он удобнее – дело вкуса и привычки. На наш взгляд, стал логичнее, разве что настройка правил сетевого экрана все так же далека от идеала – в том же Norton Internet Security это было сделано гораздо нагляднее. Хотя сам по себе файерволл очень хорош, о чем говорят последние тесты на www.matousec.com/projects/proactive-security-challenge/results.php – KIS 2010 занимает там второе место, опережая даже Outpost. (Билд 9.0.0.459 пока не справляется лишь с тестами Kill3f, SockSnif и Crash7.)

Но, возможно, главным “улучшением” для некоторых пользователей станет отказ разработчиков KIS 2010 от использования ключевых файлов для регистрации программы – теперь только онлайн-активация специальным кодом и никак иначе. Пожалуй, уровень пиратства тем самым снизить удастся довольно серьезно, но что делать тем, у кого нет даже сотового интернет-доступа, пока непонятно.

Таким образом, можно смело сказать, что продукт развивается в правильном направлении – усилия разработчиков сосредоточены на увеличении скорости реакции на новые угрозы, на быстродействии программы, ее доступности простым юзерам. Очень радует, что при этом не забываются и пользователи продвинутые – к сожалению, многие программные продукты сегодня пытаются делать чуть ли не однокнопочными, чтобы не дай бог альтернативно-одаренные американцы не запутались. Так, если в Norton Internet Security вы уже не найдете ни блокировки баннеров, ни, например, протоколирования HTTP-запросов, то здесь все это пока присутствует (для отслеживания HTTP-запросов надо лишь включить отчеты о некритических событиях). Причем базы для баннерорезалки можно импортировать (хорошая база есть на форуме ЛК), а это в данном случае главное. В общем, не сворачивайте со своего пути, товарищ Касперский!