返回新闻列表

卡巴斯基实验室最新专利技术能够检测出隐匿于系统中的恶意软件

        卡巴斯基实验室最新获得的一项专利技术能够成功检测出被rootkits隐藏于系统之中的恶意软件。作为一种特殊的程序,rootkit可以篡改系统功能的结果。这项由美国专利商标局颁发、编号为8677492的专利技术是一种配备特殊组件的安全解决方案。由于该组件可以复制操作系统内核的某些功能,即便在操作系统已遭受rootkit感染的情况下,这一安全方案仍能掌握可靠信息。

        网络罪犯们通常运用rootkit程序防止安全解决方案检测出恶意程序,如木马病毒。为了达到这一目的,rootkit会伪装成一种合法的驱动程序,与操作系统内核相整合,并且拦截应用程序的系统功能调用,篡改它们的运行结果,删除所有与木马相关的文件和进程引用。这意味着,恶意代码可以被隐匿起来——对用户和其它应用而言,一项危险程序将变得隐身而不可见。

        卡巴斯基实验室获得的这项新专利是一种可以复制操作系统内核关键功能(如文件处理、进程控制、注册表记录读取等)的辅助组件。

        该组件主要用于检测被rootkit程序藏匿起来的目标。为了检测出这些目标,安全解决方案会向主要内核请求获取文件或当前运行进程的列表,与此同时还会向该辅助组件发送同一请求。通过对比返回数据,将有助于从操作系统内核返回的列表中识别出缺失的目标。

        如果两份列表不一致,这意味着rootkit已活跃于该系统之中。安全解决方案就可以执行操作,中和可疑目标。

        辅助内核的算法可以按需进行配置。举例来说,在一台家庭计算机上,当其他安全组件标记出某一目标的可疑行为时,扫描程序将会被启动——这样一来也节省了资源。而在对安全级别有着更高要求的企业环境中,还可以不间断地使用这种控制技术。

        “被rootkits隐匿起来的恶意程序极大地增加了反恶意软件检测威胁的难度。这项全新的专利技术可以检测出隐匿于系统之中的目标,有助于对抗最具危险性的威胁”,卡巴斯基实验室恶意软件专家,同时也是这项专利的发明人Vyacheslav Rusakov表示。

        目前,针对隐匿于系统中的恶意代码检测技术已被应用于卡巴斯基实验室的家庭用户和企业用户产品中,包括卡巴斯基安全软件、Kaspersky PURE和卡巴斯基网络安全解决方案。

        卡巴斯基实验室拥有众多专利技术。截止到2014年三月中旬,卡巴斯基实验室在美国、俄罗斯、欧盟和中国获得的专利数量已经达到197项。此外,还有248项专利技术正在专利局等待审批。