Лаборатория Касперского получила патент на новую систему эмуляции

25.11.2013

Лаборатория Касперского получила патент на систему, препятствующую обнаружению эмулятора вредоносной программой во время антивирусного анализа. Запатентованная технология представляет собой способы модификации эмулятора с целью сделать его работу незаметной для исследуемой вредоносной программы. Создатели защитных решений используют технику эмуляции, чтобы без риска заражения определить, является ли программа вредоносной.

Для этого подозрительный код выполняется в изолированной виртуальной среде, которая при помощи программных средств моделирует работу аппаратного обеспечения и операционной системы. В таком режиме защитное средство анализирует поведение программы с целью детектирования вредоносных действий.

Злоумышленники при этом стремятся разными способами затруднить анализ в виртуальной среде. Многие из их приемов основаны на особенностях реализации эмуляторов, которые воспроизводят функции ОС лишь частично. Данное упрощение позволяет ускорить работу и сэкономить ресурсы, но в то же время делает механизм уязвимым: во вредоносном коде может быть предусмотрена проверка того, что программа выполняется в эмуляторе. Обнаружив это, код перестает выполнять злонамеренные действия, и защитное решение пропускает опасную программу.

Один из методов определения эмуляции заключается в вызове функции операционной системы, которая в свою очередь пользуется рядом промежуточных функций. При выполнении кода в эмуляторе воссоздаются лишь некоторые вызовы из этой цепочки, и вредоносная программа определяет факт отсутствия вызовов, которые были бы произведены в случае обычного запуска.

Запатентованный "Лабораторией Касперского" механизм действует иначе, последовательно воспроизводя все вызовы вплоть до функций ядра операционной системы. До определенного момента эти действия полностью повторяют реальную ОС, что не позволяет обнаружить эмуляцию большинством методов, используемых авторами вредоносных программ. Тогда проверяемая программа начинает вредоносную деятельность, после чего защитное решение распознает ее и блокирует.

Цель этой технологии проста: вредоносы должны оставаться "уверенными" в том, что они работают в реальной системе, и, следовательно, не должны пытаться скрыть свою злонамеренную функциональность. Использование этой технологии позволит вывести на новый уровень качество детектирования угроз.

В перспективе технология будет внедрена в продукты "Лаборатории Касперского" для домашних и корпоративных пользователей.

Патент №8555386, подтверждающий новизну технологии, выдан Бюро по регистрации патентов и торговых марок США.