Twórcy rozwiązań bezpieczeństwa wykorzystują emulację, aby sprawdzić, czy określone programy są szkodliwe, bez narażania komputera na ryzyko infekcji. W tym celu analizowany plik uruchamiany jest w wyizolowanym wirtualnym środowisku, które wykorzystuje narzędzia programowe do emulowania działania sprzętu i systemu operacyjnego. W trybie tym rozwiązanie bezpieczeństwa może analizować operacje wykonane przez dany program i wykryć szkodliwy kod bez stwarzania jakiegokolwiek zagrożenia dla komputera użytkownika.
Cyberprzestępcy wykorzystują różne techniki w celu zablokowania i utrudnienia analizy swojego szkodliwego oprogramowania w zwirtualizowanych środowiskach. Wiele z tych technik opiera się na określonych problemach związanych z implementacją emulatora: zwykle odtwarzają one funkcjonalność systemu operacyjnego tylko do pewnego stopnia. Takie uproszczenie pomaga poprawić wydajność i oszczędzić zasoby, z drugiej strony jednak sprawia, że system bezpieczeństwa jest podatny na różne techniki obchodzenia emulacji. Cyberprzestępcy mogą tak zaprojektować swoje szkodliwe oprogramowanie, aby sprawdzało, czy zostało uruchomione w emulatorze. W przypadku wykrycia emulacji szkodliwe oprogramowanie może wstrzymać wszelką swoją szkodliwą aktywność, zwiększając w ten sposób szanse na uniknięcie wykrycia przez rozwiązanie bezpieczeństwa.
Jedna z technik obchodzenia emulacji działa w następujący sposób: szkodliwe oprogramowanie wywołuje funkcję systemową, która z kolei wywołuje kilka innych, pośrednich poleceń. Gdy program jest wykonywany w emulatorze, odtwarzane są tylko niektóre wywołania w tym łańcuchu. Technika obchodzenia emulacji opiera się na wykrywaniu braku wywołań funkcji, które byłyby obecne w realnym systemie operacyjnym. Opatentowany przez Kaspersky Lab system nie zachowuje się jak konwencjonalne emulatory: odtwarza wszystkie wywołania funkcji, w tym funkcje jądra systemu operacyjnego, które wykonują takie operacje jak odczytywanie i zapisywanie pliku. Do pewnego momentu działanie tej technologii przebiega tak samo jak w przypadku realnego systemu operacyjnego, dlatego większość technik obchodzenia emulacji wykorzystywanych przez twórców szkodliwego oprogramowania traci swoją skuteczność. W efekcie szkodliwe oprogramowanie uznaje środowisko, w którym zostało uruchomione, jako realne a nie zwirtualizowane i kontynuuje swoje działanie, co pozwala na skuteczne wykrycie i zneutralizowanie zagrożenia.
„Koncepcja, na której opiera się nasza nowa technologia, polega na ‘przekonaniu’ szkodliwego oprogramowania, że działa w realnym systemie. W ten sposób zagrożenie nie będzie miało powodu, by ukrywać swoją szkodliwą funkcjonalność. Opatentowana technologia podniesie do nowego poziomu jakość wykrywania oferowaną przez nasze rozwiązania bezpieczeństwa” – skomentował Siergiej Below, główny specjalista ds. bezpieczeństwa w Kaspersky Lab oraz twórca nowej technologii.
Opisywana technologia udowodniła już swoją skuteczność w przeprowadzonych przez firmę wewnętrznych testach. W przyszłości zostanie zaimplementowana w produktach firmy Kaspersky Lab przeznaczonych dla użytkowników domowych i korporacyjnych. Kaspersky Lab może pochwalić się bogatym portfolio patentów, które w większości opisują technologie ochrony. W połowie 2013 r. firma posiadała 174 patentów wydanych w Stanach Zjednoczonych, Rosji, Unii Europejskiej i Chinach. W urzędach patentowych zostały złożone wnioski o kolejne 211 patentów.
