Патентное ведомство США (USPTO) выдало «Лаборатории Касперского» патент №8,677,492 на технологию «Детектирования скрытых объектов в компьютерной системе» (Detection of hidden objects in a computer system). Речь идёт о методе обнаружения присутствия руткитов — особых программных средств (например, исполняемых файлов, скриптов, конфигурационных файлов), предназначенных для обеспечения маскировки объектов, контроля событий в системе, скрытого сбора данных и пр.-
Злоумышленники используют руткиты, чтобы скрыть присутствие вредоносных программ от защитных решений. Для этого руткит под видом легитимного драйвера интегрируется с ядром ОС, перехватывает вызовы системных функций от приложений и модифицирует результаты их выполнения, удаляя упоминания файлов и процессов, связанных с трояном. Это позволяет скрыть присутствие вредоносного кода — опасная программа становится «невидимой» для пользователя и других приложений.
Патент, полученный «Лабораторией Касперского», описывает вспомогательный модуль, дублирующий критически важные функции ядра системы: работу с файлами, контроль процессов, чтение записей системного реестра и т. д. Ключевой задачей модуля является обнаружение объектов, замаскированных руткитом. Для этого защитное решение запрашивает список файлов или запущенных процессов через основное ядро и параллельно дублирует запрос через вспомогательный модуль. Сравнение полученных ответов позволяет выявить объекты, которые отсутствуют в списке от ядра ОС. Любое несовпадение является признаком наличия руткита, и защитное решение может предпринять действия, чтобы обезвредить скрываемые объекты.
|
