потенциально опасные операции (например, установка драйвера). Никаких всплывающих окон с вопросами, перекладывающими принятие решения на пользователя, здесь нет, потенциально опасные действия недоверенных приложений просто блокируются согласно внутренним предустановленным правилам.
Максимум, что можно увидеть, - редкие короткие уведомительные сообщения (на самом деле, и такие системы могут заблокировать 'хороший' софт, ошибочно отнеся его к 'недоверенным', поскольку четких критериев разделения, увы, не существует. - Прим. ред.). Требования к технической подготовке пользователя практически отсутствуют. Также, ограниченно, можно безопасно устанавливать неизвестное, новое ПО как недоверенное для его пробы. Разделяют sandbox HIPS с виртуализацией файловой системы и реестра и без оных (или имеющих их в минимальном объеме). Те 'песочницы', что имеют виртуализацию файловой системы и реестра, нуждаются в постоянной очистке контейнера виртуализации из соображений безопасности. Sandbox HIPS без виртуализации проще в повседневной эксплуатации.
Недостатки подобных систем - необходимость помнить, как именно будет запущен только что выкачанный из Интернета инсталлятор нового приложения. Типичные примеры - DefenseWall HIPS (без виртуализации), SandboxIE (с виртуализацией).
Если же мы вспомним Windows Vista UAC, то эта модель есть не самый удачный, с моей точки зрения, вариант смеси модели classical HIPS и sandbox HIPS. Так что же предложат нам антивирусные компании для защиты от зловредного ПО в ближайшие несколько лет? По моему личному мнению, это будет смесь из sandbox HIPS и элементов 'белого списка'. Дело в том, что основная проблема антивирусной индустрии - временной лаг между началом распространения новой модификации зловредного ПО и добавлением соответствующей сигнатуры в базу данных. Если заполнять его blacklisting HIPS, получится то же самое, что есть сейчас, только вид сбоку, поскольку данный вид также зависит от (да, поведенческих, но тем не менее!) сигнатур, да и зачастую будет забрасывать пользователя своими вердиктами с просьбой подтвердить их или опровергнуть. Если же это будут whitelisting HIPS, то постоянные всплывающие окна на неподписанных приложениях также сведут эффективность данной системы на нет. Только системы, построенные на основе sandbox HIPS, могут похвастаться отсутствием раздражающих окон с вопросами, отсутствием перекладывания ответственности за принятие окончательного решения на пользователя и очень высоким интегральным уровнем защиты, способной удерживать зловредное ПО внутри 'недоверенной' зоны до тех пор, пока соответствующая сигнатура не будет добавлена в антивирусную базу.
Сигнатурный метод обнаружения обойти очень просто - достаточно перепаковать программу или изменить значения ключа шифрования. Поэтому даже технически плохо подготовленный злоумышленник, имея 'конструктор' вредоносной программы, может создать сотни новых ее экземпляров. Для обхода же проактивных технологий, особенно основанных на анализе поведения программ, требуется менять алгоритм работы программы. Это под силу только достаточно квалифицированным вирусописателям, поэтому принципиально новые модификации вредоносных программ появляются значительно реже'. То есть это 'не тоже самое'. По моему мнению, эффективным не может быть только один из рассмотренных подходов. Лучшие защитные решения в дальнейшем будут совмещать в себе технологии защиты на основе Black-list- и White-list-подходов; также будут совместно использоваться эвристические и
