Разное

Создано технологию обнаружения руткитов

Создано технологию обнаружения руткитов

«Лаборатория Касперского» получила патент на технологию «Детектирование скрытых объектов в компьютерной системе». Данная технология будет выявлять наличие руткитов, которые являются особыми программными средствами и обеспечивают маскировку объектов, контроль событий в системе и скрытый сбор данных.

В руках злоумышленников руткиты являются инструментом скрытия вредоносных программ от защитных решений. Сам руткит имеет вид легитимного драйвера и после установки интегрируется с ядром операционной системы. В дальнейшем он занимается перехватом вызовов системных функций от приложений и проводит модификацию результатов их выполнения. В результате, если в результатах системных функций вредоносная программа обозначена как троян, то руткит удаляет данное обозначение.

Патент, который был издан «Лаборатории Касперского», описывает дополнительный модуль, задачей которого является дублирование критически важных функций ядра ОС. Т.е. модуль дублирует контроль процессов, работу с файлами, чтение записей системного реестра.

Для того, чтобы выявить объекты, которые замаскировал руткит, защитное решение запрашивает список файлов или процессов, которые являются запущенными. Запрос также дублируется через вспомогательный модуль. Далее сравниваются результаты от самой ОС и вспомогательного модуля.

Оставьте Ваш отзыв