Kaspersky Lab informuje o stworzeniu technologii, która pozwala na znaczne zwiększenie wydajności ochrony dzięki szczegółowej analizie zdarzeń w systemie i wykluczaniu z obszaru skanowania obiektów nieistotnych z punktu widzenia bezpieczeństwa. Emulacja stanowi jedną z najskuteczniejszych metod analizy szkodliwego oprogramowania, wymaga jednak przetwarzania ogromnej ilości danych.
Metoda działania jest następująca:
- Kod programu zostaje rozbity na poszczególne polecenia, z których każde jest wykonywane na maszynie wirtualnej, odizolowanej od głównego systemu. Dzięki temu możliwe jest monitorowanie zachowania poleceń bez naruszania bezpieczeństwa systemu operacyjnego komputera.
- Proces ten generuje raport, który jest następnie analizowany w celu zidentyfikowania potencjalnie szkodliwych elementów. Wszystko odbywa się automatycznie.
Problemem jest to, że raport emulatora zawiera zwykle wiele nieistotnych zdarzeń, które w żaden sposób nie pomagają stwierdzić, czy dany program jest szkodliwy, i mogą zmniejszyć efektywność procesu analizy.
Przede wszystkim analiza tych nieistotnych zdarzeń komplikuje identyfikację rzeczywiście szkodliwych zdarzeń, które mogą po prostu zginąć w nadmiarze danych.
Po drugie, powoduje nadmierne obciążenie zasobów komputera. Nowa technologia Kaspersky Lab pozwala na usunięcie z raportu emulatora wszystkich zdarzeń, które są nieistotne z punktu widzenia bezpieczeństwa – jeszcze przed rozpoczęciem analizy.
Przykładem zdarzenia, które zostanie automatycznie odfiltrowane przez nową technologię, jest wywołanie funkcji dla polecenia ’GetVersion ()’, które stanowi żądanie wersji systemu operacyjnego. Żądanie to jest typowe dla każdej aplikacji napisanej w środowisku programistycznym Delphi 7 i nie wskazuje na szkodliwą aktywność.
„Podczas rozwoju skutecznego modułu analitycznego należy zachować równowagę, tak aby ochrona nie ograniczała wydajności komputera. Przede wszystkim, nie można przeciążyć tego modułu nieistotnymi informacjami – już i tak ma wystarczająco dużo pracy” – powiedział Oleg Zajcew, czołowy specjalista ds. technicznych w Kaspersky Lab oraz twórca nowej technologii.
Autorska technologia zwiększająca wydajność ochrony uzyskała patent nadany przez Amerykańskie Biuro Patentowe i funkcjonuje już w rozwiązaniach Kaspersky Lab wchodzących w skład platformy Kaspersky Endpoint Security for Business oraz w produktach Kaspersky Internet Security for Virtualization, Kaspersky Internet Security i Kaspersky PURE.
źródło: Kaspersky Lab
