Обнаружение, основанное на эмуляции
В статье не хватает ссылок на источники (см. рекомендации по поиску). |
Обнаружение, основанное на эмуляции — метод, используемый в антивирусном программном обеспечении, для обнаружения еще неизвестных вредоносных программ (т.н. Уязвимость нулевого дня)
Общее описаниеПравить
В общем случае, суть метода заключается в выполнения потенциально опасного приложения в эмулируемой среде. Во время эмуляции антивирусная программа отслеживает все действия исследуемого программного обеспечения, что позволяет, на основании внутренних алгоритмов антивирусных программ, оценить степень опасности исследуемого программного обеспечения.
На сегодняшний день в индустрии антивирусного программного обеспечения распространены две основные разновидности эмуляции:
- Эмуляция процессора
- Эмуляция операционной системы
Преимущества эмуляцииПравить
В некоторых случаях, эмуляция позволяет достаточно эффективно противостоять таким технологиям как полиморфизм вредоносных программ, что достигается за счет оценки совершаемых действий, но не программного кода. В настоящее время, существует большое количество платных и бесплатных сервисов для анализа неизвестного программного обеспечения. Данные сервисы используют методы эмуляции для протоколирования событий, происходящих в тестовой системе.
Недостатки эмуляцииПравить
Несомненным недостатком эмуляции является высокое потребление системных ресурсов, что негативно сказывается на производительности компьютера. Поэтому, на сегодняшний день, эмуляция не является основной технологией антивирусного программного обеспечения, заметно уступая современным проактивным методам антивирусной защиты (например, HIPS).