Лаборатория Касперского получила патент на очередное програмное обеспечение.

Оно обязано препятствовать поиску вредоносного программного обеспечения на предмет эмулятора.

Иначе говоря, сервис представляет собой способы модификации эмулятора с целью сделать его работу незаметной для потенциально вирусного ПО.

Специалисты и должны понять, является ли программа вирусной, зараженной вирусом, или безопасной.

Для этого подозрительный код помещается в моделируемый компьютер. Затем «компьютер» моделирует модель аппаратного обеспечения и операционной системы. 

Затем программа принимается за работу. Она внимательно изучает код на предмет вредоносного обеспечения. 

Злоумышленники при этом стремятся разными способами затруднить анализ в виртуальной среде. Многие из их приемов основаны на особенностях реализации эмуляторов, которые воспроизводят функции ОС лишь частично.

На любое действие возникает альтернативное противодействие.

Во вредоносном коде может быть предусмотрена проверка того, что программа выполняется в эмуляторе.

И программа перестает выполнять злонамеренные действия. Соответственно, эмулятор пропускает вредную программу.

Один из методов определения эмуляции заключается в вызове функции операционной системы, которая в свою очередь пользуется рядом промежуточных функций.

При выполнении кода в эмуляторе воссоздаются лишь некоторые вызовы из этой цепочки, и вредоносная программа определяет факт отсутствия вызовов, которые были бы произведены в случае обычного запуска.

Запатентованный «Лабораторией Касперского» проект действует иначе.

Он последовательно воспроизводит все вызовы вплоть до функций ядра операционной системы. До определенного момента эти действия полностью повторяют реальную ОС.

В результате программа разворачивается на полную катушку. А тут эмулятор ее и прихлопывает – блокирует.

Это программа в будущем будет прилеплена к продуктам «Лаборатории Касперского».