Norman Sandbox
Forspranget ligger i teknologien
Hovedforskjellen fra tradisjonelle antivirusprogrammer til SandBox ligger i at Sandboxteknologien ikke bare er basert på signaturfiler.
Norman er anerkjent verden over for Sandbox™
I dag spres virus raskere enn noensinne og viser klart hvor sårbar den tradisjonelle signaturbaserte antivirusmetoden er i kampen mot fremtidens virustrusler. Det tar mellom seks og 24 timer å lage en oppdatert definisjonsfil etter at et nytt virus er oppdaget, så dette gir ingen effektiv beskyttelse mot nye og ukjente virus.
Utviklingen viser at den eneste effektive løsningen er en proaktiv løsning som er designet for å beskytte mot nye og ukjente virus i samme øyeblikk som viruset kommer inn i systemet på computeren din.
Dette gjøres ved å analysere viruset i et simulert landskap som igjen er isolert inne i den ekte computeren!
Inne i det isolerte området kan virusene utfolde seg uten å være i stand til å skade ditt egentlige system, og resultatet av selve analysen vil bestemme om filen skal holdes tilbake eller om den skal få adgang til selve computeren.
Den proaktive løsningen er altså evnen til å gjenkjenne, identifisere og håndtere en trussel i samme øyeblikk som den oppstår, istedenfor å vente på opprettelse og distribusjon av definisjonsfiler.
Sandbox
For å kunne gjøre en analyse innen en akseptabel tidsramme og med effektiv bruk av ressurser, trenger man en separat modul (SandBox) med et eget operativsystem. Norman SandBox er en integrert del av antivirusskannermotoren og er kompatibel med Windowsfunksjoner som Winsock, Kernel og MPR. Den støtter også nettverkssystemer og Internettfunksjoner som HTTP, FTP, SMTP, DNS, IRC og P2P.
Se film!
Simulatoren bruker full ROM BIOS kapasitet, simulert maskinvare, simulerte harddisker. Den emulerer hele oppstartssekvensen i et regulært system under oppstart og starter ved å hente opp operativsystemfilene og kommandoskallet fra den simulerte disken. Denne driverfilen vil inneholde kataloger og filer som er nødvendige deler av systemet, tilsvarende systemfiler på fysiske harddisker.
Den mistenkelige programfilen blir plassert på den simulerte harddisken og blir startet i et simulert miljø. Filen er da ikke klar over at den opererer i en simulert verden og kan dermed gjøre akkurat som den vil uten å forårsake noen reell skade.
Den kan infisere filer. Den kan slette filer. Den kan kopiere seg selv via nettverk. Den kan koble seg opp til en IRC server. Den kan sende epost. Den kan åpne porter og installere avlyttingsporter.
Enhver handling blir registrert av antivirusprogrammet fordi det faktisk er emulatoren som utfører handlingene basert på filkoden. Ingen kode vil bli kjørt i den ekte CPUen med unntak av antivirusemulatormotoren. Selv maskinvaren i den simulerte PCen er emulert.
Målet er ikke å overvåke og stoppe potensielt skadelige handlinger mens de skjer. Hensikten er å finne ut hva programmet ville ha gjort dersom det hadde fått lov til å slippe seg løs i en ubeskyttet maskin i et ubeskyttet network, uavhengig av om det opererer på en Netware-server, Linux, OS/2 eller DOS.
Normans løsning: Norman SandBox Teknologi
La viruset spille sitt spill. Ta så kontroll over spillet!