防毒及內容安全廠商卡巴斯基(Kaspersky)日前宣佈,由該公司所研發的對抗未知威脅的頂尖技術,已在美國取得獨家專利。藉由此項技術,對於單一病毒感染事件所帶入的所有惡意程式,可以一次全數從使用者的電腦中予以偵測並移除。
當前惡意程式的手法,主要使用大量木馬來侵入使用者的電腦。只要某個木馬程式成功被下載並安裝到電腦中,便會不斷自網際網路「呼朋引伴」,自動大量下載各種惡意程式,最後將導致使用者的系統中同時存在著幾十種甚至上百種惡意程式碼與元件。
其中某些最新被下載的惡意程式,可能尚未被防毒廠商新增至病毒資料庫,或者運用了某些還未曝光的未知技術來逃避偵測。在這段防毒軟體的空窗期,惡意程式便可以大肆對受到感染的電腦進行有害的破壞行動。
由於有這樣的空窗期,因此「如何將單一病毒所帶來的整串惡意程式及元件加以偵測並清除」,就成為重要性非常高的困難任務。所幸卡巴斯基實驗室的Mikhail Pavlyushchik開發出這個獲得專利的技術,已經可以成功解決。
2008年12月30日,美國專利商標局授予此技術第7472420號專利證明。此專利具體描述了如何偵測並清除源自單一病毒感染事件而安裝到使用者電腦中的所有惡意程式,以及如何鎖定事件起源及感染時間的方法。
這項新技術主要是記錄各種可能顯示感染的系統事件,例如可執行檔或者系統登錄檔遭到修改等,然後依據這些記錄來判斷並界定病毒的分佈流向。
|
▲卡巴斯基實驗室在美國獲得專利的獨家技術,可偵測並清除單一病毒感染事件所帶入的所有惡意程式。 |
根據此專利技術,當一個惡意程式元件或程序被發現時,用以追溯分析來源事件的模組將會啟動,分析此惡意程式的來源和感染的時間,接著系統會從來源事件追蹤分析其所有衍生事件,因而得以發現所有可能相關的惡意程式,包含已知與未知的部份。
除了可以偵測出惡意程式,這個新的技術同時也可移除或隔離惡意程式碼,強制中斷惡意程序,並將系統檔還原成乾淨、未受感染的備份。
藉由卡巴斯基實驗室此專利技術所偵測到的惡意程式資訊,可以立即發送給其他防毒軟體廠商,以加速對於新型威脅的反應時間。同時,確定惡意程式來源和感染的範圍,也有助於阻止同類病毒繼續蔓延,例如有助於偵測並阻止散播感染的網站,或者發現並盡快修補軟體漏洞等。
重建完整的病毒感染事件,更可提供執法單位有效的刑事偵查線索,負起對抗網路犯罪的責任。