«Лаборатория Касперского» запатентовала систему, препятствующую обнаружению эмулятора вредоносных программ

16:44 19.11.2013

|   1283 прочтения



Один из методов определения эмуляции — вызов функции ОС, которая в свою очередь пользуется рядом промежуточных функций. Обычно эмуляторы воспроизводят лишь некоторые из них. Новый механизм действует иначе, последовательно воспроизводя все вызовы вплоть до функций ядра операционной системы.

«Лаборатория Касперского» получила патент на систему, препятствующую обнаружению эмулятора вредоносных программ во время антивирусного анализа. Запатентованная технология представляет собой способы модификации эмулятора с целью сделать его работу незаметной для исследуемой вредоносной программы.

Создатели защитных решений используют технику эмуляции, чтобы без риска заражения определить, является ли программа вредоносной. Для этого подозрительный код выполняется в изолированной виртуальной среде, которая при помощи программных средств моделирует работу аппаратного обеспечения и операционной системы. В таком режиме защитное средство анализирует поведение программы с целью детектирования вредоносных действий. Злоумышленники при этом стремятся разными способами затруднить анализ в виртуальной среде. Многие из их приемов основаны на особенностях реализации эмуляторов, которые воспроизводят функции операционной системы лишь частично. Обнаружив это, код перестает выполнять злонамеренные действия, и защитное решение пропускает опасную программу.

Один из методов определения эмуляции заключается в вызове функции ОС, которая в свою очередь пользуется рядом промежуточных функций. При выполнении кода в эмуляторе воссоздаются лишь некоторые вызовы из этой цепочки, и вредоносная программа определяет это. Запатентованный «Лабораторией Касперского» механизм действует иначе, последовательно воспроизводя все вызовы вплоть до функций ядра операционной системы.

В перспективе технология будет внедрена в продукты «Лаборатории Касперского» для домашних и корпоративных пользователей.


Теги: Информационная безопасность