卡巴斯基自豪地宣布：其最新開發(fā)的惡意軟件檢測(cè)技術(shù)獲得由美國(guó)專利和商標(biāo)局簽發(fā)的技術(shù)專利(專利號(hào)為No.8555386)，該技術(shù)讓惡意程序無法分辨是在虛擬操作系統(tǒng)還是真實(shí)操作系統(tǒng)中，從而成功檢測(cè)出試圖逃避檢測(cè)的惡意軟件。

反模擬技術(shù)工作原理

操作系統(tǒng)的模擬器能夠模仿操作系統(tǒng)功能，它能夠提高系統(tǒng)性能，節(jié)省資源，但它同時(shí)也讓系統(tǒng)容易遭受多種反模擬技術(shù)威脅。網(wǎng)絡(luò)罪犯基于特定的模擬器部署特征，設(shè)計(jì)出具有反模擬器功能的惡意軟件，如果發(fā)現(xiàn)模擬器，惡意軟件就停止惡意行為，防止惡意軟件在虛擬環(huán)境中被發(fā)現(xiàn)，躲避安全解決方案檢測(cè)。

惡意軟件會(huì)調(diào)用一個(gè)系統(tǒng)功能，該功能是中間功能，它會(huì)調(diào)用其他多種功能。當(dāng)程序在模擬器中執(zhí)行時(shí)，這些功能只有一部分會(huì)被重現(xiàn)。反模擬技術(shù)通過檢測(cè)在真實(shí)操作系統(tǒng)中應(yīng)該出現(xiàn)，但并未啟動(dòng)的功能來判斷是否處于虛擬環(huán)境中。

卡巴斯基模擬增強(qiáng)技術(shù)

傳統(tǒng)的模擬技術(shù)是在一個(gè)隔離的虛擬環(huán)境中運(yùn)行分析文件，隔離的虛擬環(huán)境需要軟件工具來模擬硬件和操作系統(tǒng)的操作。安全解決方案利用模擬技術(shù)分析可疑程序的行為，判斷它是否為惡意軟件，同時(shí)不會(huì)對(duì)電腦造成影響。

而卡巴斯基的模擬增強(qiáng)技術(shù)同上述模擬技術(shù)不同，它會(huì)重現(xiàn)所有的功能調(diào)用，包括用于文件讀寫的核心系統(tǒng)功能。在某種程度上，虛擬系統(tǒng)的操作同真實(shí)操作系統(tǒng)完全一致，從而使惡意軟件的大多數(shù)反模擬技術(shù)失效。惡意軟件認(rèn)為其運(yùn)行的環(huán)境是真實(shí)操作系統(tǒng)，而非虛擬環(huán)境，從而啟動(dòng)其惡意行為。所以反惡意軟件技術(shù)就能夠檢測(cè)并攔截這一威脅。