Цитата из справки:
Проактивная защита вашего компьютера
Антивирус Касперского защищает не только от известных угроз, но и от новых, информация о которых отсутствует в базах сигнатур угроз. Это обеспечивает специально разработанный компонент - Проактивная защита.
Необходимость в проактивной защите назрела с тех пор, как скорость распространения вредоносных программ стала превышать скорость обновления антивирусной защиты, способной обезвредить эти угрозы. Реактивные технологии, на которых построена антивирусная защита, требуют как минимум одного фактического заражения новой угрозой, времени на анализ вредоносного кода, на добавление его в базы сигнатур угроз и на обновление этой базы на компьютерах пользователей. За это время новая угроза может нанести огромный ущерб.
Превентивные технологии, на которых построена Проактивная защита Антивируса Касперского, позволяют избежать потери времени и обезвредить новую угрозу еще до того, как она нанесет вред вашему компьютеру. За счет чего это достигается? В отличие от реактивных технологий, где анализ выполняется по коду, превентивные технологии распознают новую угрозу на вашем компьютере по последовательности действий, выполняемой некоторым приложением (процессом). В поставку программы включен набор критериев, позволяющих определять уровень опасной активности. Если активность некоторого приложения напоминает действия, характерные для опасной активности, такое приложение сразу же классифицируется как опасное и к нему применяются действия, заданные в правиле для такой активности. К опасной активности, например, относятся:
- изменения файловой системы;
- встраивание модулей в другие процессы;
- скрытие процессов;
- изменение ключей системного реестра Microsoft Windows.
- Все опасные операции отслеживаются и блокируются Проактивной защитой.
Проактивная защита также отслеживает все VBA-макросы, запускаемые в приложениях Microsoft Office. При анализе макросов на вредоносность используются сигнатуры угроз.
В процессе работы Проактивная защита использует набор правил, включенных в поставку программы, и созданных исключений. Правило - это набор критериев, определяющих степень опасности той или иной активности и реакцию программы на такую активность.
Отдельные правила предусмотрены для активности приложений, контроля изменений системного реестра, макросов и запускаемых на компьютере процессов. Вы можете изменять список правил по своему усмотрению, добавляя, удаляя или изменяя их. Правила могут быть запрещающими или разрешающими.
Рассмотрим алгоритм работы Проактивной защиты:
1. Сразу после запуска компьютера Проактивная защита анализирует следующие аспекты:
- Действия каждого запускаемого на компьютере приложения. История выполняемых действий и их последовательность фиксируется и сравнивается с последовательностью, характерной для опасной активности (база видов опасной активности включена в поставку программы и обновляется вместе с сигнатурами угроз).
- Действия каждого запускаемого VBA-макроса. Они проверяются на наличие в списке опасных действий, включенном в поставку программы.
- Целостность программных модулей установленных на вашем компьютере приложений, что позволяет избежать подмены модулей приложения, встраивания в них вредоносного кода, запуска этих приложений вредоносными программами.
- Каждую попытку изменения системного реестра (удаление, добавление ключей системного реестра, ввод странных значений для ключей и т.д.),
2. В анализе используются правила Проактивной защиты и заданные исключения.
3. В результате анализа возможны следующие варианты поведения:
- Если активность удовлетворяет условиям разрешающего правила Проактивной защиты, она не блокируется.
- Если активность описана в запрещающем правиле, дальнейшая последовательность действий компонента соответствует инструкциям, указанным в правиле. Обычно такая активность блокируется. На экран будет выведено уведомление, где указывается приложение, тип его активности, история выполненных действий. Вам нужно самостоятельно принять решение, запретить или разрешить такую активность. Вы можете создать правило для такой активности и откатить выполненные действия в системе.
- Если выполняемая на вашем компьютере последовательность действий не регламентируется каким-либо правилом, она разрешается.