Обнаружение, основанное на эмуляции — метод, используемый в антивирусном программном обеспечении , для обнаружения ещё неизвестных вредоносных программ (т.н. Уязвимость нулевого дня )

Общее описание

В общем случае, суть метода заключается в выполнения потенциально опасного приложения в эмулируемой среде. Во время эмуляции антивирусная программа отслеживает все действия исследуемого программного обеспечения, что позволяет, на основании внутренних алгоритмов антивирусных программ , оценить степень опасности исследуемого программного обеспечения.

На сегодняшний день в индустрии антивирусного программного обеспечения распространены две основные разновидности эмуляции:

• Эмуляция процессора
• Эмуляция операционной системы

Преимущества эмуляции

В некоторых случаях, эмуляция позволяет достаточно эффективно противостоять таким технологиям как полиморфизм вредоносных программ , что достигается за счет оценки совершаемых действий, но не программного кода. В настоящее время, существует большое количество платных и бесплатных сервисов для анализа неизвестного программного обеспечения. Данные сервисы используют методы эмуляции для протоколирования событий, происходящих в тестовой системе.

Недостатки эмуляции

Несомненным недостатком эмуляции является высокое потребление системных ресурсов, что негативно сказывается на производительности компьютера. Поэтому, на сегодняшний день, эмуляция не является основной технологией антивирусного программного обеспечения , заметно уступая современным проактивным методам антивирусной защиты (например, HIPS ).

См. также

• Антивирус
• Полиморфизм компьютерных вирусов
• Песочница (безопасность)