Если б так все просто было, то антивирусы уже бы победили малварю. Я тоже раньше думал, что антивирус - главный инструмент для защиты. На самом деле это всего лишь один из инструментов. Антивирус снижает вероятность заражения.

По поводу проактивной защиты - большинству пользователей она действительно не нужна. Проактивная защита не выносит вердикт "Угроз не обнаружено" или "Обнаружена угроза" . А пользователю это надо. А то, что один процесс собирается создать поток в другом процессе, изменить такой-то ключ реестра - зачем пользователю это ? Легитимные программы тоже это делают - внедряются в другие процессы и т.д.

Идея насчет какой-нибудь "умной" проактивной защиты - это хорошая идея. Например, Касперский предупреждает "Процесс перехватывает нажатия клавиш" или "Процесс собирается загрузить драйвер, после установки драйвера невозможно контролировать активность программы" .

Что же до сих пор нормальную проактивную защиту не изобрели ? Кстати, в Касперском убрали компонент "Проактивная защита", есть компонент "Мониторинг активности" и "Контроль программ", который делает вид, что защищает (с настройками по умолчанию в автоматическом режиме) .

В антивирусе Аваст был экран поведения, теперь его нет .

Вообщем, в теории много чего работает , а вот на практике...

Anmawe, согласен с тобой, но здесь нужно добавить пару моментов. Сами люди, в целом, несовершенны, но это поправимо, если первому встать на путь к некому более человечному идеалу и побудить окружающих. Я это к тому, что власть - это реализуемая на практике (а не в теории) способность управлять неким процессом. То есть антивирусный продукт должен выполнять функции не только диктатора, навязывающего свои правила поведения, но и прислушиваться к мнению пользователей в каких-то, определённых для всех, установленных рамках. А чтобы научиться прислушиваться к мнению пользователей, нужно хотя бы некоторую управленческую информацию, которая используется для принятия решений, открыть. Так будет намного справедливей и часть ответственности за свою безопастность перейдёт к пользователям, что послужит хорошим уроком и принесёт больше пользы всем участникам этого процесса.

Сегодня тенденции именно такие наблюдаются в создании всё большего количества антивирусных комплексов (KIS, CIS и т.п.). Но мне кажется, что нужно немного скорректировать этот путь развития и направить его чуть в сторону, которая наглядно демонстрируется антивирусной утилитой AVZ, хотя она слишком радикальная и большинство пользователей лишь отпугивает, а должна обучать и воспитывать целую культуру в обществе по обеспечению собственной информационной безопастности.

С Уважением,

_________________
Страница в VK.com: Терехов Иван Сергеевич.

Здравствуйте.

Спасибо за идеи.

Ваши предложения хорошо применимы к случаю обнаружения антивирусом зловреда с помощью HIPS\поведенческого анализатора\проактивной защиты. Например, так:
Мы учтем ваши пожелания, когда дело дойдет до создания подобного модуля.

В других же случаях эту информацию получить проблематично - информацию нужно будет кому-то внести в "базу знаний", антивирусу её нужно будет как-то получить (её придется хранить или в вирусных базах, что увеличит их размер, или на серверах в сети интернет). Для случаев обнаружения заразы по эвристике тут вообще все сложно - обнаружение может быть основано на совокупности специфичных признаков, которые просто сложно описать понятным языком.

Rodger, я представляю себе такую функциональность, в которой могу нажать на ПКМ по заражённому, подозрительному или потенциально опасному объекту в карантине и выбрать пункт меню - «включить слежение за объектом». Под последним я понимаю то, что откроется дополнительное окно (например: «личный кабинет разведчика»), где в одной части будут присутствовать все ресурсные мониторы системы. А в другой части окна будет в реальном времени вестись текстовый лог по всей возможной подозрительной активности отслеживаемого объекта за день, неделю, месяц и даже год. Должна быть функция отправки отслеживаемого объекта и лога в антивирусную лабораторию для более детального анализа уже опытными специалистами. С аналитиками лаборатории должна быть максимально удобная и быстрая обратная связь прямо из «личного кабинета разведчика». Я представляю её в виде мини-чата или специальной ветки форума под каждый отдельный случай. Это один из наиболее простых вариантов интерактивного функционала для современного антивируса. Данный вариант, кстати, исключает использование базы знаний, хотя и она в некоторых случаях может оказаться чрезвычайно полезной.

_________________
Страница в VK.com: Терехов Иван Сергеевич.