Новости Software

«Лаборатория Касперского» запатентовала технологию эмуляции

Патентное бюро США выдало «Лаборатории Касперского» патент №8,555,386 на систему, препятствующую обнаружению эмулятора вредоносным ПО во время антивирусного анализа. Технология обеспечивает возможность модификации эмулятора с целью сделать его работу незаметной для исследуемой вредоносной программы.

Techability.com.au.

Техника эмуляции позволяет без риска заражения компьютера определить, является ли исследуемый образец кода потенциально опасным. Для этого подозрительный объект выполняется в изолированной виртуальной среде, которая при помощи программных средств моделирует работу аппаратного обеспечения и операционной системы. В таком режиме защитное средство анализирует поведение программы с целью детектирования вредоносных действий.

Однако киберпреступники используют различные уловки, чтобы затруднить работу эмуляторов. Дело в том, что зачастую эмуляторы воспроизводят функции ОС лишь частично, что позволяет ускорить их работу и сэкономить аппаратные ресурсы. Но такое упрощение делает механизм уязвимым: во вредоносном коде может быть предусмотрена проверка того, что программа выполняется в эмуляторе. Обнаружив это, код перестает выполнять злонамеренные действия, и защитное решение пропускает опасную программу.

Sabay.com.kh .

«Лаборатория Касперского» объясняет, что один из методов определения эмуляции заключается в вызове функции операционной системы, которая в свою очередь пользуется рядом промежуточных функций. При выполнении кода в эмуляторе воссоздаются лишь некоторые вызовы из этой цепочки, и вредоносная программа определяет факт отсутствия вызовов, которые были бы произведены в случае обычного запуска.

Запатентованный механизм действует иначе, последовательно воспроизводя все вызовы вплоть до функций ядра операционной системы. До определённого момента эти действия полностью повторяют реальную ОС, что не позволяет обнаружить эмуляцию большинством методов, используемых авторами зловредов. В этом случае проверяемая программа начинает вредоносную деятельность, что позволяет распознать её и заблокировать.

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
window-new
Soft
Hard
Тренды 🔥