«Лаборатория Касперского» запатентовала метод обнаружения присутствия руткитов, патент описывает работу защитного решения со специальным модулем, дублирующим некоторые функции ядра операционной системы. Это позволяет защитному решению получать достоверную информацию, даже если ОС заражена руткитом, говорится в сообщении компании. Злоумышленники используют руткиты, чтобы скрыть присутствие вирусов от защитных решений. Для этого руткит под видом легитимного драйвера интегрируется с ядром ОС, перехватывает вызовы системных функций от приложений и модифицирует результаты их выполнения, удаляя упоминания файлов и процессов, связанных с троянцем. Это позволяет скрыть присутствие вредоносного кода. Решение «Лаборатории» запрашивает список файлов или запущенных процессов через основное ядро и параллельно дублирует запрос через вспомогательный модуль. Сравнение полученных ответов позволяет выявить объекты, которые отсутствуют в списке от ядра ОС. Любое несовпадение является признаком наличия руткита, и защитное решение может предпринять действия, чтобы обезвредить скрываемые им объекты.

Поделитесь материалом с коллегами и друзьями

Купить номер с этой статьей в PDF