返回新闻列表

卡巴斯基实验室模拟增强技术获专利

        卡巴斯基实验室宣布,其最新的能够阻止恶意软件识别反病毒分析中使用的模拟技术的系统获得技术专利。这项专利由美国专利和商标局签发,专利号为No. 8555386。这项专利技术手段能够提高模拟手段,让被分析的恶意程序无法分辨模拟系统和操作系统的正常操作。

        安全解决方案开发者会利用模拟技术检测一款程序是否是恶意的,同时不会造成计算机系统被感染。这一过程涉及在一个隔离的虚拟环境中运行被分析文件,而这一隔离的虚拟环境需要软件工具来实现,用于模拟硬件和操作系统的操作。在这种模式下,安全解决方案可以分析可疑程序的行为,检测其是否包含恶意代码。

        网络罪犯会使用多种手段阻止或拦截在虚拟环境中对恶意软件进行分析。很多手段均基于特定的模拟器部署特征,因为模拟器通常仅会在一定程度上模拟操作系统功能。这一简化措施能够提高系统性能,节省资源,但是同时却使得安全系统容易遭受多种反模拟技术的影响。网络罪犯能够设计出具有模拟器检测功能的恶意软件。如果发现模拟器,恶意软件会停止恶意行为,增加恶意软件躲避安全解决方案检测的几率。

        其中一种反模拟技术工作原理如下:恶意软件会调用一种系统功能,而该功能会调用其他多种功能,即中间功能。当程序在模拟器中执行时,这些功能只有一部分会被重现。反模拟技术能够检测在真实操作系统中应该出现,但并未启动的功能来判断是否处于虚拟环境中。

        卡巴斯基实验室获得专利的技术同传统的模拟技术不同,这种技术会重现所有的功能调用,包括用于执行文件读取和写入的系统核心功能。在某种程度上,模拟系统的操作同真实操作系统完全一致,从而使恶意软件编写者使用的大多数反模拟技术失效。这样,恶意软件就会认为其运行的环境是真实操作系统,而非虚拟环境,从而启动其恶意行为。这样,反恶意软件技术就能够检测并拦截这一威胁。

        “这项技术基于让恶意软件“认为”其运行在真实系统这一理念。这样,恶意软件就没有理由隐藏自己的恶意功能。这项技术将把我们的安全解决方案的检测质量提高到一个全新的水平,”卡巴斯基实验室安全研究负责人Sergey Belov评论说。他同时还是这样最新专利技术的发明人。

        根据公司进行的内部测试,已经证明这项技术效果非常明显。未来,该技术将被应用于卡巴斯基实验室企业级产品和个人产品中。

        卡巴斯基实验室已经获得多项专利,其中大多数专利均为安全保护技术。截止到2013年上半年,卡巴斯基实验室在美国、俄罗斯和中国获得的专利数量已经达到174项。此外,公司还有211项专利技术正在专利局等待审批。