_Strannik_ Опубликовано 19 ноября, 2013 Share Опубликовано 19 ноября, 2013 (изменено) В матрице: «Лаборатория Касперского» патентует технологию эмуляции 18.11.2013 «Лаборатория Касперского» получила патент на систему, препятствующую обнаружению эмулятора вредоносным ПО во время антивирусного анализа. Запатентованная технология представляет собой способы модификации эмулятора с целью сделать его работу незаметной для исследуемой вредоносной программы. Создатели защитных решений используют технику эмуляции, чтобы без риска заражения определить, является ли программа вредоносной. Для этого подозрительный код выполняется в изолированной виртуальной среде, которая при помощи программных средств моделирует работу аппаратного обеспечения и операционной системы. В таком режиме защитное средство анализирует поведение программы с целью детектирования вредоносных действий. Злоумышленники при этом стремятся разными способами затруднить анализ в виртуальной среде. Многие из их приемов основаны на особенностях реализации эмуляторов, которые воспроизводят функции ОС лишь частично. Данное упрощение позволяет ускорить работу и сэкономить ресурсы, но в то же время делает механизм уязвимым: во вредоносном коде может быть предусмотрена проверка того, что программа выполняется в эмуляторе. Обнаружив это, код перестает выполнять злонамеренные действия, и защитное решение пропускает опасную программу. Один из методов определения эмуляции заключается в вызове функции операционной системы, которая в свою очередь пользуется рядом промежуточных функций. При выполнении кода в эмуляторе воссоздаются лишь некоторые вызовы из этой цепочки, и вредоносная программа определяет факт отсутствия вызовов, которые были бы произведены в случае обычного запуска. Запатентованный «Лабораторией Касперского» механизм действует иначе, последовательно воспроизводя все вызовы вплоть до функций ядра операционной системы. До определенного момента эти действия полностью повторяют реальную ОС, что не позволяет обнаружить эмуляцию большинством методов, используемых авторами вредоносных программ. Тогда проверяемая программа начинает вредоносную деятельность, после чего защитное решение распознает ее и блокирует. «Цель этой технологии проста: вредоносы должны оставаться “уверенными” в том, что они работают в реальной системе, и, следовательно, не должны пытаться скрыть свою злонамеренную функциональность. Использование этой технологии позволит вывести на новый уровень качество детектирования угроз нашими защитными решениями», – поясняет Сергей Белов, ведущий антивирусный эксперт «Лаборатории Касперского» и автор патента. В перспективе технология будет внедрена в продукты «Лаборатории Касперского» для домашних и корпоративных пользователей. Патент №8555386, подтверждающий новизну технологии, выдан Бюро по регистрации патентов и торговых марок США. «Лаборатория Касперского» обладает обширным портфолио патентов, большинство из которых описывает защитные технологии. К настоящему времени у компании было 174 патента, полученных в США, России, Евросоюзе и Китае. Еще 211 патентных заявок находятся на стадии рассмотрения. Источник: http://www.kaspersky.ru/about/news/product/2013/v_matrice_kl_patentuet_texnolog Изменено 19 ноября, 2013 пользователем Stranniky 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Nikolay Lazarenko Опубликовано 21 ноября, 2013 Share Опубликовано 21 ноября, 2013 Ну вот и доработали эмулятор Но предел ли это совершенству? Ссылка на комментарий Поделиться на другие сайты More sharing options...
AltaalcaR Опубликовано 22 ноября, 2013 Share Опубликовано 22 ноября, 2013 (изменено) Благодаря заголовку вспомнил фильм)) Главное, что бы в эмуляторе не завёлся Морфиус с таблетками и не начал искать избранного... Изменено 22 ноября, 2013 пользователем MaestroElvi 2 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Roma1 Опубликовано 22 ноября, 2013 Share Опубликовано 22 ноября, 2013 Запатентованный «Лабораторией Касперского» механизм действует иначе, последовательно воспроизводя все вызовы вплоть до функций ядра операционной системы. До определенного момента эти действия полностью повторяют реальную ОС, что не позволяет обнаружить эмуляцию большинством методов, используемых авторами вредоносных программ. Тогда проверяемая программа начинает вредоносную деятельность, после чего защитное решение распознает ее и блокирует. Может быть задам глупый вопрос. А что мешает вирусу начинать вредоносную деятельность не с первого захода, а скажем с 5-го? Как тогда быть? Или же идет постоянная проверка всех программ? 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти