ЛК получила патент на технологию противодействия буткитам

Александр Панасенко 11 Февраля 2013 - 13:18

Kaspersky Internet Security для всех устройств

...

Специальные вредоносные программы, которые загружаются до операционной системы и установленных антивирусных приложений (так называемые буткиты), представляют собой одну из самых серьёзных опасностей для компьютера. Часто им удаётся скрывать своё присутствие в компьютере и действовать незаметно не только для пользователя, но и защитного ПО. Новая запатентованная «Лабораторией Касперского» технология позволяет обнаруживать следы активности буткита и эффективно ему противодействовать.

Полученный «Лабораторией Касперского» патент описывает способ выявления неизвестных вредоносных программ с использованием эмуляции процесса загрузки компьютера. В случае обнаружения подозрительных изменений в главной загрузочной записи (Master Boot Record, MBR) технология позволяет собрать данные с секторов диска, участвующих в загрузке, помещает их в специальный контейнер, сохраняющий физические параметры диска для его точной эмуляции, и затем передаёт в «Лабораторию Касперского» для анализа. Специалисты компании воспроизводят процесс загрузки компьютера пользователя, анализируют содержимое полученного контейнера и в случае обнаружения неизвестной угрозы создают соответствующие сигнатуры, выделяют из присланных данных оригинальную загрузочную запись для восстановления системы и принимают другие необходимые меры для противодействия буткитам.

Кроме того, запатентованная технология может эффективно предотвращать попытки перезаписи MBR, перехватывая все обращения к ней и сканируя жёсткий диск с использованием сигнатур известных угроз. В случае обнаружения подозрительной активности технология блокирует доступ к MBR, а обнаруженный вредоносный файл или данные удаляются или отправляются в карантин. Таким образом, технология «Лаборатории Касперского» может не только быстро и качественно очистить заражённый буткитом компьютер, но и предотвратить возможное заражение в будущем.

Технология уже успешно применяется в ряде продуктов «Лаборатории Касперского», в том числе Kaspersky Internet Security, Kaspersky Endpoint Security 8 для Windows и Kaspersky CRYSTAL.

«Уникальная технология обнаружения буткитов уже больше года применяется во многих пользовательских и корпоративных продуктах «Лаборатории Касперского», что способствовало повышению качества защиты наших пользователей. Её эффективность в борьбе с буткитами подтверждается многочисленными тестами на обнаружение и удаление скрытых вредоносных программ, организуемых лабораторией AV-Test», – рассказал Никита Швецов, руководитель управления исследования угроз «Лаборатории Касперского».

Следующая главная новость »

Многофакторная аутентификация 2026 - обсудим в эфире AM Live! Регистрируйтесь »

Екатерина Быстрова 04 Февраля 2026 - 19:49

Windows Домашние пользователи Корпорации Microsoft

Microsoft встраивает Sysmon прямо в Windows 11, пока для бета-тестеров

Microsoft начала постепенно включать встроенную поддержку Sysmon в Windows 11, пока только для части пользователей программы Windows Insider. О планах интегрировать Sysmon напрямую в Windows компания рассказывала ещё в ноябре, а теперь первые элементы этой функциональности добрались до тестовых сборок.

Речь идёт о нативной реализации System Monitor — известного инструмента из набора Sysinternals, который давно используется ИБ-специалистами и администраторами для мониторинга подозрительной активности в системе.

Sysmon умеет отслеживать базовые события вроде запуска и завершения процессов, а при дополнительной настройке — фиксировать создание исполняемых файлов, попытки подмены процессов, изменения в буфере обмена и другие нетривиальные действия. Все события пишутся в журнал Windows Event Log и могут использоваться системами безопасности и SIEM-решениями.

До сих пор Sysmon приходилось устанавливать вручную на каждую машину, что заметно усложняло его использование в крупных инфраструктурах. Теперь Microsoft решила встроить этот механизм прямо в ОС.

«Windows теперь нативно включает функциональность Sysmon. Она позволяет собирать системные события для задач детектирования угроз и использовать собственные конфигурации для фильтрации нужных данных», — сообщили в команде Windows Insider.

При этом встроенный Sysmon по умолчанию отключён. Чтобы им воспользоваться, функцию нужно явно включить в настройках Windows или через PowerShell. Важно учитывать, что если Sysmon ранее устанавливался вручную, его придётся удалить перед активацией встроенной версии.

Новая возможность уже доступна участникам Windows Insider в каналах Beta и Dev, которые установили сборки Windows 11 Preview Build 26220.7752 и 26300.7733 соответственно.

В Microsoft подчёркивают, что события Sysmon по-прежнему пишутся в стандартный журнал Windows, поэтому их можно использовать в существующих цепочках мониторинга и реагирования.

Напомним, что в прошлом месяце компания также начала тестировать отдельную политику, позволяющую администраторам полностью удалять ИИ-ассистента Copilot с управляемых устройств.

Многофакторная аутентификация 2026 - обсудим в эфире AM Live! Регистрируйтесь »