12:50 24.09.2013 |   1552



Классический метод сравнения неизвестных файлов с коллекцией вредоносных объектов не идеален, потому что злоумышленники «засоряют» тело файла различными данными, что меняет его структуру и делает непохожим ни на один из сравнительных образцов.

«Лаборатория Касперского» получила патент на новый метод сравнения элементов программ. Документ выдан Бюро по регистрации патентов и торговых марок США, описывает технику сравнения файлов для выявления вредоносных объектов, модифицированных злоумышленниками с целью затруднить обнаружение защитными программами.

Классический метод сравнения неизвестных файлов с коллекцией вредоносных объектов позволяет блокировать множество зловредов, появляющихся каждый день. Однако сам механизм сравнения не идеален, признают в «Лаборатории Касперского». Злоумышленники «засоряют» тело файла различными данными, что меняет его структуру и делает непохожим ни на один из сравнительных образцов.

Специалисты учли подобные приемы, разрабатывая новую технологию сравнения файлов. В ее основе лежит идея того, что функционал программы можно определить по его содержимому, не запуская сам файл. Строки байт-кода содержат информацию о выполнении программы в рамках операционной системы (имена файлов, ключи реестра, интернет-ссылки), что представляет своеобразный «конспект» файла. Запатентованная технология описывает алгоритм автоматического сравнения файлов по строкам для определения схожести их функционала.


Теги: Информационная безопасность