Software-Emulation erkennt bösartige Codes

McAfee erhält Patent für neue Sicherheits-Technologie

Der US-amerikanische Sicherheitsspezialist McAfee hat eine neue Technologie zur Erkennung bösartiger Verhaltensmuster zum Patent angemeldet. Die Lösung nutzt Software-Emulationen für die Erkennung des Verhaltens bösartiger Software. Hierzu wird das Muster der bei einer Emulation der Software erfolgten Systemaufrufe analysiert.

Die Emulation findet in einer isolierten Umgebung in einem Computer-System statt, die dieses vor bösartigen Aktionen der Software schützt, während ihr Verhalten untersucht wird. Mit der neuen Technologie wird bei der Emulation einer Software ein Muster der Systemaufrufe aufgezeichnet, die an das Betriebssystem eines Computers erfolgen. Dieses Muster wird anschließend mit einer Datenbank verglichen, die verdächtige Muster von Systemaufrufen enthält. Mit den Ergebnissen des Vergleichs lässt sich anschließend feststellen, ob bei der fraglichen Software bösartiges Verhalten zu erwarten ist oder nicht.

Das Verfahren kann solange wie notwendig fortgeführt werden. Zusätzlich können Bedingungen für das Ende der Emulation verwendet werden, um die Funktionen unter bestimmten Umständen zu stoppen. Ein Stopp des Verfahrens wäre möglich, wenn bei der Emulation eine maximal zulässige Anzahl an Systemaufrufen überschritten wird. Das US-Patent mit dem Titel „Detecting Malicious Software By Analyzing Patterns Of System Calls Generated During Emulation“ umfasst mehrere Programme, Produkte und Methoden, mit denen sich laut McAfee zweifelsfrei erkennen lässt, ob eine Software voraussichtlich bösartiges Verhalten an den Tag legen wird.