卡巴斯基自豪地宣布:其最新開發(fā)的惡意軟件檢測技術獲得由美國專利和商標局簽發(fā)的技術專利(專利號為No.8555386),該技術讓惡意程序無法分辨是在虛擬操作系統(tǒng)還是真實操作系統(tǒng)中,從而成功檢測出試圖逃避檢測的惡意軟件。
操作系統(tǒng)的模擬器能夠模仿操作系統(tǒng)功能,它能夠提高系統(tǒng)性能,節(jié)省資源,但它同時也讓系統(tǒng)容易遭受多種反模擬技術威脅。網(wǎng)絡罪犯基于特定的模擬器部署特征,設計出具有反模擬器功能的惡意軟件,如果發(fā)現(xiàn)模擬器,惡意軟件就停止惡意行為,防止惡意軟件在虛擬環(huán)境中被發(fā)現(xiàn),躲避安全解決方案檢測。
惡意軟件會調用一個系統(tǒng)功能,該功能是中間功能,它會調用其他多種功能。當程序在模擬器中執(zhí)行時,這些功能只有一部分會被重現(xiàn)。反模擬技術通過檢測在真實操作系統(tǒng)中應該出現(xiàn),但并未啟動的功能來判斷是否處于虛擬環(huán)境中。
傳統(tǒng)的模擬技術是在一個隔離的虛擬環(huán)境中運行分析文件,隔離的虛擬環(huán)境需要軟件工具來模擬硬件和操作系統(tǒng)的操作。安全解決方案利用模擬技術分析可疑程序的行為,判斷它是否為惡意軟件,同時不會對電腦造成影響。
而卡巴斯基的模擬增強技術同上述模擬技術不同,它會重現(xiàn)所有的功能調用,包括用于文件讀寫的核心系統(tǒng)功能。在某種程度上,虛擬系統(tǒng)的操作同真實操作系統(tǒng)完全一致,從而使惡意軟件的大多數(shù)反模擬技術失效。惡意軟件認為其運行的環(huán)境是真實操作系統(tǒng),而非虛擬環(huán)境,從而啟動其惡意行為。所以反惡意軟件技術就能夠檢測并攔截這一威脅。