Wybór mechanizmów

Obecnie programy wykorzystujące technikę białych list zawierają mechanizmy wykraczające poza tradycyjne blokowanie plików i programów. Administratorzy mogą indywidualnie definiować, które programy powinny być dopuszczone do pracy, a niektóre rozwiązania zapewniają rozbudowane listy predefiniowanych legalnych programów. Lista dopuszczonych plików jest tworzona poprzez proces przeglądania i wyszukiwania oprogramowania dostarczanego przez popularnych producentów. Niektóre z tych list mogą zawierać miliony pozycji, co powinno ułatwić zdefiniowanie tych, które mogą być dopuszczone.

Czarne listy. Większość oprogramowania opartego na białych listach może także obsługiwać "czarne listy" - określające zakazane programy. Czarne listy są bardzo dobrym narzędziem do blokowania niepożądanych programów oraz reagowania na epidemie malware, gdy znane są nazwy ich plików lub sygnatury. Pożądaną cechą rozwiązań wykorzystujących czarne listy jest możliwość zastosowania nowo wprowadzonych reguł blokady (zatrzymanie) w odniesieniu do pliku lub procesu, który już pracuje.

Jest to szybki i niewymagający zbyt wielkiego wysiłku sposób na ochronę przed najgroźniejszymi, znanymi malware oraz przed uruchamianiem niepożądanego oprogramowania.

Obsługiwane typy plików. Przy wprowadzeniu białych (lub czarnych) list, bardzo ważne jest rozpoznanie, jakie typy programów i plików mogą one dopuszczać lub blokować. Większość obsługuje rozszerzenia: .exe, .com, .sys i .dll; inne blokują różne typy skryptów: JavaScript, VBScript, pliki hostujące Windows Scripting (.whs, .ws, .cs) itp. Niektóre mogą blokować główny silnik skryptów (script.exe, WScript.exe, itp.), a jeszcze inne indywidualne komponenty skryptów.

Wiele programów białych list ma problemy z kontrolowaniem środowisk, takich jak Sun Java czy Microsoft .Net Framework. Niektóre mogą kontrolować tylko całe takie środowisko, inne - indywidualne aplikacje w tym środowisku; część może kontrolować poszczególne makra aplikacji, inne - nie; niektóre - aplety ActiveX, inne nie.

Specyfikowanie plików. Wszystkie programy białych list dopuszczają określanie plików poprzez nazwę i lokalizację. Jeżeli typ pliku jest dopuszczony, to ważne też jest, czy program rozpoznaje tylko nazwę pliku i rozszerzenie, czy też zagląda w nagłówek pliku i jego strukturę, aby potwierdzić ich zgodność z rozszerzeniem. Najlepsze programy pozwalają także na sprawdzanie sumy kontrolnej programów, jego skrótu lub podpisu cyfrowego. Dopuszcza się także kontrole poprzez lokalizację w rejestrze i certyfikat programu.

Kontrolowanie procesów potomnych. Inną ważną kwestią jest zakres ochrony procesów potomnych wyzwalanych przez programy. Kiedy jakiś proces uruchamia inny, to pierwszy jest określany jako macierzysty, a drugi jako potomny. Hakerzy do uruchamiania niepożądanych (blokowanych) programów używają najczęściej programów uprzywilejowanych i dopuszczonych.

Na wczesnym etapie rozwoju większość programów białych list słabo chroniła przed procesami potomnymi, ale obecnie robi to znacznie skuteczniej, co nie znaczy, że zawsze doskonale. Przy wyborze rozwiązania warto więc spytać dostawcę o ochronę przed atakami procesów potomnych, a jeżeli odpowiedź jest pozytywna - sprawdzić te funkcje samemu.