Olmasını istemeyiz
ama, arabanızla bir duvara çarpsanız ve hava yastıklarınız 6 saniye
sonra açılsa, kendinizi güvende hisseder miydiniz? Hayır mı?
O zaman bizim Norman’da düşündüğümüz gibi düşünün!
Günümüzde yeni
virüsler akıl almaz hızla yayılıyorlar. Geleneksel imza tabanlı
antivirüs araçlarının bu yeni virüslerle savaşmakta ne denli yetersiz
oldukları bir gerçektir.
Bu durumda, bu yeni ve bilinmeyen
virüslere karşı korunma için geçerli olabilecek tek çözüm, önleyici
(proaktif) bir çözüm olmalıdır.
Bir virüsün ortaya çıkmasıyla,
kullanıcıların güncellenmiş virüs tanımlama dosyalarını almaları
arasındaki süre ortalama 6-24 saattir. Açıktır ki bu yöntem yeni ve
bilinmeyen virüslerden korunmak için gerçek zamanlı koruma sağlamaz.
Gerçek zamanlı koruma gereksinimini
karşılamak için Norman önleyici antivirüs çözümlerini geliştirmiştir.
Bu çözümlerin savunma sistemleri tanımlama dosyalarına dayanmaz, ama
bilinen virüslere ek olarak yeni ve bilinmeyen virüsleri sisteme
girdikleri anda durdurmak için yeterince uyanık ve dikkatlidirler.
Nasıl çalışır?
Önleyici antivirüs çözümü sağlamanın
en iyi yolu, kuşkulu dosyanın güvenli bir ortamda çalıştırılmasıdır.
Bir başka deyişle, virüsün işini yapmasına izin vermektir.
Böylece, sisteme girmeye çalışan
herhangi bir bilinmeyen ve kuşkulu dosya ortamdan yalıtılır ve
inceleme sırasında bilgisayara bulaşması engellenir. Virüs
açıldığında, önleyici çözüm kuşkulu dosyanın davranışını izleyecek ve
değerlendirecektir.
Yapılan incelemeden
sonra, sistem, dosyanın ya koruma altına alınmasına ya da bilgisayara
girmesine izin verilmesine karar verecektir. Açıktır ki, bu işlemi
gerçek bir sistemde yapmak çok uygun olmayacaktır.
Gerçek bir sistemi
kullanmak birçok düzenlemeyi ve büyük olasılıkla birkaç kez yeniden
açmayı gerektirecektir. Kısacası, bu işlem hem çok zaman alacak ve hem
de verimsiz olacaktır.
Bu işlemi kabul
edilebilir bir sürede ve etkin sistem kaynaklarıyla yapabilmek için,
kendi işletim sistemine sahip ayrı bir birime (SandBox) gereksinim
vardır. Norman SandBox, Norman antivirus tarayıcı motorunun bir
parçası gibi çalışır ve Winsock, Kernel ve MPR gibi Windows işlevleri
ile uyumludur. Ayrıca, HTTP, FTP, SMTP, DNS, IRC ve P2P gibi ağ ve
Internet işlevlerini de destekler.
Bir başka deyişle,
Norman antivirüs tarama motorunun bir parçası olarak, gerçek
bilgisayar içinde yalıtılmış ve taklit edilmiş bir bilgisayardan söz
ediyoruz. Bunu yapmak için herhangi bir ek donanıma gereksinim yoktur!
Bu simulator, ROM BIOS
kapasitesinin tümünü, simule edilmiş donanımı, simule edilmiş
sürücüleri kullanır.
Kuşkulu dosya simule
edilmiş diske yerleşir ve simule edilmiş ortamda çalışmaya başlatılır.
Bu dosya simule edilmiş bir dünyada çalıştığının ayırdında değildir.
Simule edilmiş bu ortam içinde, dosya her istediğini yapabilir; dosyalara bulaşabilir,
dosyaları silebilir, kendisini ağ içinde
kopyalayabilir, e-posta gönderebilir… Yapılan her işlem antivirüs
programı tarafından kaydedilir. Gerçek işlemci üzerinde, antivirüs
emulator motoru dışında hiçbir kod çalıştırılmaz. Amaç, olası zararlı
işlemleri izlemek ve durdurmak değildir; bu programın, eğer
korunmasız bir bilgisayar üzerinde, korunmasız bir ağ içinde
çalışmasına izin verilseydi, neler yapacağının anlaşılmasıdır.
Norman’ın çözümü: Bırakın virüs oyununu oynasın. Siz oyunu kontrol edin!
