Разработчики вредоносных программ часто меняют конфигурацию своих вирусов, чтобы пройти сигнатурный анализ антивируса. В таких случаях на помощь приходит поведенческий анализ, за который отвечает отдельный класс решений – Sandbox. О том, как вредоносные программы отличают песочницу от реального устройства и как вирусам удается сбежать из песочницы в разговоре с Cyber Media поделился Алексей Малин, ведущий технический специалист отдела сетевой безопасности и аудита компании Axoft:
Алексей Малин
ведущий технический специалист отдела сетевой безопасности и аудита компании Axoft
В песочнице используются виртуальные машины, имитирующие работу пользователя. Они, например, воспроизводят передвижение мышки, сетевую активность, представляют различное ПО, системные файлы, которые могут храниться у обычного пользователя. Вот на эту работу и «смотрит» вредоносное ПО (ВПО). Возьмем ситуацию: на электронную почту пришло письмо с ВПО, песочница отправила его на проверку в виртуальную среду. Попав в виртуальную среду, вредонос может наблюдать за передвижением мышки, смотреть на файлы, которые виртуализация добавляет в системные папки ОС, проверять название сетевых адаптеров, запущенных процессов. И если ВПО обнаружит что-то, связанное с виртуальной средой, то оно может не проявить себя. После проверки письмо не будет заблокировано и уйдет к пользователю. Поэтому производители стараются маскировать свои виртуальные среды и наполнять их ловушками, на которые сработает ВПО.
Источник: Cyber Media
Поделиться
Популярное
UserGate Open Tour 2026_Краснодар
Очное мероприятие
17 июня
Сложные времена рождают сильных людей. Как прожить 26-ой год и выжить.
Онлайн-мероприятие
17 июня
Продавай легко или обзор новой партнерской программы для СМБ-партнеров от Positive Technologies
Онлайн-мероприятие
18 июня
BaseALT + HOSTVM: синергия для надёжной ИТ инфраструктуры
Онлайн-мероприятие
18 июня
Другие новости
10 июня
Программно-аппаратный комплекс «Helius.КУБ» включен в реестр Минпромторга России
Компания «Гравитон», разработчик и производитель российской вычислительной техники, сообщает о внесении программно-аппаратного комплекса (ПАК) хранения данных «Helius.КУБ» в реестр Минпромторга России.
10 июня
«Гравитон» и Orion soft подтвердили совместимость серверов линейки «Алдан» с системой виртуализации zVirt
Компания «Гравитон», ведущий российский производитель вычислительной техники, и разработчик инфраструктурного ПО для Enterprise-бизнеса Orion soft объявляют об успешном завершении тестирования совместимости серверного оборудования линейки на базе материнских плат «Алдан» с системой виртуализации zVirt (версия 4.5).
8 июня
Ассистент версии 6 сертифицирован ФСТЭК России
25 мая 2026 года сертификат соответствия ФСТЭК России № 4162 был переоформлен в связи с внесением изменений в сертифицированную версию системы удалённого мониторинга и управления Ассистент.
8 июня
Axoft и HRlink будут масштабировать технологии КЭДО на территории России
Axoft подписал дистрибьюторское соглашение с HRlink, разработчиком платформы кадрового электронного документооборота (КЭДО).