«Лаборатория Касперского» запатентовала технологию обнаружения руткитов15.04.2014 10:01

Патентное ведомство США (USPTO) выдало «Лаборатории Касперского» патент №8,677,492 на технологию «Детектирования скрытых объектов в компьютерной системе» (Detection of hidden objects in a computer system). Речь идёт о методе обнаружения присутствия руткитов — особых программных средств (например, исполняемых файлов, скриптов, конфигурационных файлов), предназначенных для обеспечения маскировки объектов, контроля событий в системе, скрытого сбора данных и пр.

welivesecurity.com welivesecurity.com

Злоумышленники используют руткиты, чтобы скрыть присутствие вредоносных программ от защитных решений. Для этого руткит под видом легитимного драйвера интегрируется с ядром ОС, перехватывает вызовы системных функций от приложений и модифицирует результаты их выполнения, удаляя упоминания файлов и процессов, связанных с трояном. Это позволяет скрыть присутствие вредоносного кода — опасная программа становится «невидимой» для пользователя и других приложений.

Патент, полученный «Лабораторией Касперского», описывает вспомогательный модуль, дублирующий критически важные функции ядра системы: работу с файлами, контроль процессов, чтение записей системного реестра и т. д. Ключевой задачей модуля является обнаружение объектов, замаскированных руткитом. Для этого защитное решение запрашивает список файлов или запущенных процессов через основное ядро и параллельно дублирует запрос через вспомогательный модуль. Сравнение полученных ответов позволяет выявить объекты, которые отсутствуют в списке от ядра ОС. Любое несовпадение является признаком наличия руткита, и защитное решение может предпринять действия, чтобы обезвредить скрываемые объекты.

quirkeysolutions.com quirkeysolutions.com

Вспомогательное ядро может быть использовано в разных режимах. На домашнем компьютере поводом для проверки может служить сигнал от других защитных подсистем о подозрительном поведении объекта, что позволит экономить ресурсы. В корпоративном окружении, требующем более высокого уровня безопасности, контроль может быть постоянным. В обоих случаях запатентованный механизм обеспечивает эффективное выявление объектов, скрытых в системе, позволяя справляться с самыми опасными атаками. 

Материалы по теме:

Источник:

© 3DNews