«Лаборатория Касперского» запатентовала метод обнаружения присутствия руткитов

12:26 14.04.2014 |   1004



Выданный «Лаборатории Касперского» патент описывает работу защитного решения со специальным модулем, дублирующим некоторые функции ядра операционной системы. Это позволяет защитному решению получать достоверную информацию, даже если ОС заражена руткитом, говорится в сообщении компании.

Злоумышленники используют руткиты, чтобы скрыть присутствие вирусов от защитных решений. Для этого руткит под видом легитимного драйвера интегрируется с ядром ОС, перехватывает вызовы системных функций от приложений и модифицирует результаты их выполнения, удаляя упоминания файлов и процессов, связанных с троянцем. Это позволяет скрыть присутствие вредоносного кода – опасная программа становится «невидимой» для пользователя и других приложений.

Вспомогательный модуль позволяет обнаружить объекты, замаскированных руткитом. Для этого защитное решение запрашивает список файлов или запущенных процессов через основное ядро и параллельно дублирует запрос через вспомогательный модуль. Сравнение полученных ответов позволяет выявить объекты, которые отсутствуют в списке от ядра ОС. Любое несовпадение является признаком наличия руткита, и защитное решение может предпринять действия, чтобы обезвредить скрываемые им объекты.


Теги: Информационная безопасность