返回新闻列表

卡巴斯基实验室检测混淆恶意软件的技术获得专利

        卡巴斯基实验室刚刚获得一项技术专利,这项专利的名称为“在虚拟堆栈计算机上检测有害的可执行文件的系统和手段”。这项最新技术被应用于卡巴斯基安全软件和卡巴斯基全方位安全软件,能够让安全解决方案发现那些试图利用多种打包手段隐藏自身的恶意文件。

       去年,针对Adobe Flash Player的漏洞利用程序数量显著增加。针对这一平台所创建的恶意文件能够隐藏自身,避免被安全产品检测到,例如通过多次打包恶意文件,或将“垃圾”指令嵌入这些文件中。有些情况下,漏洞利用程序会针对每个不同的用户进行重新打包,这样就导致每个受害者所遇到的恶意文件都不一样。这种情况下,传统的检测手段(例如特征或启发式分析手段)就受到限制。获得专利的新技术则可以让检测这类恶意软件变得更容易。

       卡巴斯基实验室的专家创建了一种通用的校验和的计算基于被分析的恶意文件的字节码,能够立刻检测出整组恶意文件。这种检测手段能够有效地检测恶意文件,不管它们使用了何种手段保护自身不被安全产品检测。现阶段,这项专利技术主要用于检测由.NET和ActionScript架构创建的恶意文件。

       卡巴斯基实验室启发式分析小组组长兼这项专利技术的合作发明人Alexander Liskin说:“这种哈希和不仅仅指代一个文件,而是表示一组文件,这一点非常有用。因为这种技术能够很容易地集成到自动检测系统,利用一项纪录检测多种对象。从长远来看,这种哈希和可用于检测使用虚拟堆栈计算机创建的其他类型的恶意文件。”

       卡巴斯基实验室高级恶意软件分析师兼这一技术的合作发明者Anton Ivanov补充说:“值得一提的是,将这种哈希和检测技术应用之后,我们在检测SWF漏洞利用程序方面取得了非常好的成果。而SWF漏洞利用程序恰好是目前最常见的恶意文件类型。这种技术被部署到SWF漏洞利用程序检测中后,自动检测功能也开始实施。”

       要了解更多关于这项专利号为#US9396334的专利技术详情,请访问本链接。目前,卡巴斯基实验室已经拥有超过450项专利技术。