«Лаборатория Касперского» патентует метод обнаружения присутствия руткитов

ПредыдущаяСледующая
Kaspersky Lab Logo

«Лаборатория Касперского» запатентовала метод выявления вредоносного ПО, которое скрывается с помощью руткитов, особых программ изменяющих работу системных функций. Патент №8677492, выданный Бюро по регистрации патентов и торговых марок США, описывает работу защитного решения со специальным модулем, дублирующим некоторые функции ядра операционной системы, что позволяет защитному решению получать достоверную информацию, даже если ОС заражена руткитом.

Злоумышленники используют руткиты, чтобы скрыть присутствие вредоносных программ от защитных решений. Для этого руткит под видом легитимного драйвера интегрируется с ядром ОС, перехватывает вызовы системных функций от приложений и модифицирует результаты их выполнения, удаляя упоминания файлов и процессов, связанных с троянцем. Это позволяет скрыть присутствие вредоносного кода – опасная программа становится «невидимой» для пользователя и других приложений.

Патент, полученный «Лабораторией Касперского», описывает вспомогательный модуль, дублирующий критически важные функции ядра системы: работу с файлами, контроль процессов, чтение записей системного реестра и т.д. Ключевая задача модуля – обнаружение объектов, замаскированных руткитом. Для этого защитное решение запрашивает список файлов или запущенных процессов через основное ядро и параллельно дублирует запрос через вспомогательный модуль. Сравнение полученных ответов позволяет выявить объекты, которые отсутствуют в списке от ядра ОС. Любое несовпадение является признаком наличия руткита, и защитное решение может предпринять действия, чтобы обезвредить скрываемые им объекты.

Вспомогательное ядро может быть использовано в разных режимах. На домашнем компьютере поводом для проверки может служить сигнал от других защитных подсистем о подозрительном поведении объекта, что позволит экономить ресурсы. Тогда как в корпоративном окружении, требующем более высокого уровня безопасности, контроль может быть постоянным.

«Маскировка с помощью руткитов – это один из хитрых трюков, которые злоумышленники используют для того, чтобы затруднить обнаружение вредоносного ПО. Мы, обладая богатой экспертизой в области IT-угроз, хорошо знаем эти приемы и внедряем в свои продукты противодействующие им механизмы. В этом заключается одно из наших преимуществ перед конкурентами, что в свою очередь подтверждается множеством независимых испытаний. И чтобы сохранить это преимущество, мы стремимся получать патенты на подобные технологии. Запатентованный механизм обеспечивает эффективное выявление объектов, скрытых в системе, позволяя справляться с самыми опасными атаками в случае как домашних пользователей, так и крупных компаний», – комментирует автор патента Вячеслав Русаков, антивирусный эксперт «Лаборатории Касперского».

15 апреля 2014 Г.

09:45

Ctrl
ПредыдущаяСледующая
194
194

Все новости за сегодня

Samsung Display уменьшает объем инвестиций в производство панелей OLED: Одной из причин, по которым Samsung Display решила снизить объем инвестиций в производство панелей OLED, является не столь высокий спрос на iPhone X, как ожидалось3

Представлены твердотельные накопители Samsung 860 Pro и 860 Evo : В накопителях Samsung 860 Pro и 860 Evo используется флэш-память с объемной компоновкой V-NAND4

Смартфоны Elephone U и U Pro поддерживают карты памяти емкостью до 1 ТБ: К сожалению, подобные заявления в данный момент остаются на совести Elephone, так как таких носителей еще нет в продаже2

Ветеран игровой индустрии Фил Харрисон стал вице-президентом Google: Большую часть своей карьеры он занимался игровыми платформами1

Android 8.1 показывает скорость доступных сетей Wi-Fi: Google продолжают расширять функциональность операционной системы11

MSI готовит четыре видеокарты линейки Armor на базе GPU AMD Radeon RX 570 и RX 580: Новинки примерили систему охлаждения Armor MK212

Компания Everspin освоила коммерческий выпуск 40-нанометровой памяти STT-MRAM: Производственным партнером Everspin является Globalfoundries55

Системная плата Biostar H110MDE выполнена в типоразмере microATX: Плата Biostar H110MDE стоит $5512

Продажи продукции Logitech в минувшем квартале оказались рекордными, увеличившись за год на 22%: Достигнутые успехи побудили компанию повысить прогноз на год12

iXBT TV

  • Обзор максимально упрощенного робота-пылесоса Polaris PVCR 1012U

  • Обзор сверхширокоугольного светосильного зум-объектива Nikon AF-S Nikkor 14-24mm F2.8G ED

  • Обзор цветного светодиодного МФУ Xerox VersaLink C605 для малых и средних офисов

  • Apple отключит замедление iPhone, 10 лет MacBook Air, дрон спас человека

  • Обзор автомобиля Mercedes-Benz E 220 d 4Matic All-Terrain Luxury: полноприводный внедорожный универсал

  • Обзор складной гладильной системы MIE Maxima: утюг, отпариватель для одежды и гладильная доска

  • Обзор недорогого Full HD DLP-проектора BenQ W1050 для домашнего кинотеатра

  • Процессор Intel с графикой AMD, экраны любой формы и размера

  • Критическая уязвимость Intel, разбор Apple iMac Pro, Dell XPS 13 стал тоньше

  • Обзор компактной беспроводной колонки JBL Playlist с поддержкой Chromecast

  • Обзор игрового IPS-монитора LG 34UM69G с соотношением сторон 21:9

  • Обзор блока питания Aerocool P7-750W Platinum с гибридной системой охлаждения

Календарь

апрель
Пн
Вт
Ср
Чт
Пт
Сб
Вс