Реализация защиты

 

Любой создаваемый файл помечается, ему сопоставляется учетная информация создавшего файл субъекта доступа (имя учетной записи и процесса - полнопутевое имя исполняемого файла процесса). При обращении к любому файлу на исполнение (в том числе, и системой), анализируется, был ли создан этот файл в процессе эксплуатации системы (размечен ли он). Если это так, то автоматическое исполнение (запуск) подобного файла блокируется, пользователю предлагается решить, санкционирован ли этот файл для исполнения. Если нет, то пользователь сможет удалить этот файл, если да, то удалить его разметку, переведя тем самым файл в разряд санкциониированных для исполнения, и впоследствии запускать его.

 

Универсальность решения

 

Достигается тем, что проводимая процедура анализа не никак связана с типом файла, в том числе с типом его расширения. Перехватывается системный запрос на запись, соответственно на исполнение - именно подобным образом идентифицируется исполняемый файл.

 

Принципиальным является и то, что перехватываются не запросы на открытие файла для записи и исполнения, а непосредственно запись и исполнение, что сводит к минимуму ложные срабатывания средства защиты.

 

Универсальность решения обеспечивается и тем, что не важен способ занесения (ведрения) вредоносной программы (исполняемого файла) на защищаемый компьютер - загрузка из интернета, почтовое вложение (в архиве, либо нет), копирование с внешнего накопителя и т.п., любым способом записанный за защищаемый компьютер файл будет автоматически размечен, и в отношении него будет действовать защита от несанкционированного исполнения.