المحاكي

نبذة عن تقنية محاكاة التعليمات البرمجية

أسلوب محاكاة التعليمات البرمجية لاكتشاف البرمجيات الضارة يفحص سلوك الملف من خلال محاكاة تنفيذه في بيئة افتراضية (وتُعرف هذه العملية باسم المحاكاة). بشكلٍ عام، يشبه هذا الأسلوب اكتشاف البرمجيات الضارة ضمن آلية تحديد الوصول، ولكن المحاكاة وآلية تحديد الوصول الكاملة المزايا يختلفان في تفاصيل التصميم والاستخدام. لنطَّلع على هذا الاختلاف.

على عكس المحاكي، تُعد آلية تحديد الوصول الكاملة المزايا أسلوبًا "ثقيل الوزن". فهي تحاكي البيئة بأكملها وتشغّل عينة ممسوحة في جهاز افتراضي مع تثبيت نظام تشغيل حقيقي وتطبيقات حقيقية. ونتيجةً لذلك، يتطلب هذا الأسلوب قدرة حسابية عالية ويفرض قيودًا على التوافق على النظام المضيف. ولهذا السبب، تكون آلية تحديد الوصول أكثر فاعلية في الحلول المركزية المحلية والسحابية، إلا أنها غير مناسبة لاكتشاف البرمجيات الضارة على مضيفي المستخدمين وأجهزة الكمبيوتر العادية الأخرى.

المحاكييحاكي تنفيذ العينة نفسها فحسب، وهو ينشئ بشكل مؤقت كائنات تتفاعل معها العينة، مثل كلمات المرور التي ترغب بعض البرمجيات الضارة في سرقتها، وبرامج مكافحة الفيروسات التي تريد تلك البرمجيات إيقاف ذاكرتها، وسجل النظام... وغير ذلك. هذه الكائنات ليست أجزاء حقيقية من نظام التشغيل أو البرنامج، ولكنها نماذج محاكاة ينشئها المحاكي. وتحكم المحاكي في البيئة المحاكاة يتيح تقديم الوقت بسرعة ليشاهد سلوك الملفات في المستقبل ويمنع البرمجيات الضارة من التهرب من خلال تأخير الوقت.

يحدد المحاكي سمات السلوك الأساسية لملف يتم فحصه مع استخدام موارد أقل بكثير مما تستخدمها آلية تحديد الوصول، وهو بهذا يناسب مضيفي المستخدمين. عادة ما يتم تأجيل تنفيذ الملفات غير المعروفة إلى أن يفحصها المحاكي. أسلوب المحاكاة نفسه ليس جديدًا، لكن بعض المحاكيات متقدمة للغاية، لهذا فإن حصتها في اكتشاف البرمجيات الضارة كبيرة. وفي الوقت الراهن، تعتمد نظم المحاكاة على خدمات السمعة القائمة على السحابة، وتتعزز فاعليتها بالتعلم الآلي.

المحاكي من Kaspersky

تتضمن حلولنا محاكيًا يعمل كخط دفاع واحد في نهج حماية متعدد الطبقات، فهو يحاكي الملفات والبرامج النصية الثنائية؛ وتتزايد أهمية هذه البرامج مع تزايد شعبية الهجمات بدون ملفات، والتي تستند إلى البرامج النصية.

لقد تم تحسين عملية المحاكاة لتناسب موارد الكمبيوتر المحدودة، فهي الآن تتطلب ذاكرة وصول عشوائي (RAM) لكل كائن أقل بكثير مما تتطلبه آلية تحديد الوصول، وفي الوقت نفسه تفحص العديد من الكائنات دون أن تثقل كاهل النظام بشكل كبير. ونظرًا لتسارع الأجهزة، تستخدم المحاكاة المعالج بشكل آمن لتسريع الفحص بمقدار 20 ضعفًا تقريبًا.

تبدأ حلولنا في إجراء فحص المحاكاة "حسب الطلب" أو عندما يطلب مستخدم فحص القرص أو "عند الوصول"، وذلك عند فحص أحد الكائنات تلقائيًا قبل الوصول إليه أو تنفيذه. يمكن أن تبدأ المحاكاة بالتوازي مع أساليب الاكتشاف الأخرى، مثل طلبات سمعة العمليات في السحابة.

يتم تنفيذ نظم المحاكاة في حلول نقطة النهاية من Kaspersky والحلول على مستوى البوابة (مثل الخادم الوكيل والبريد الإلكتروني) وفي حماية بيئة التشغيل الافتراضي. في البنية التحتية لـ Kaspersky، تشكّل نظم المحاكاة الفعالة جزءًا من مسار تصنيف الكائنات.

مهام المحاكي:

• محاكاة تنفيذ أي ملفات تنفيذية (ملفات محمولة قابلة للتنفيذ): *.exe و*.dll و*.sys وغيرها في بيئة Windows.
• معالجة أنواع البرامج النصية JavaScript وVBScript وAutoIT والبرامج النصية المستقلة (التي يتم تنزيلها كملفات).
• فحص البرامج النصية التي يتم تلقيها عبر رابط ويب (على صفحة ويب أو في بريد إلكتروني أو في رسالة)، مضمنة في ملفات PDF وMS Office.

التحديثات

يتم تنفيذ تقنية المحاكاة باستخدام مركز المحاكاة وسجلات الاكتشاف التي تحلل البيانات التي يوفرها المركز. يتم إنشاء السجلات في Kaspersky، والحلول تقوم بتنزيل التحديثات كل ساعة. يمكن لسجل اكتشاف واحد الكشف عن العديد من عينات البرمجيات الضارة المختلفة التي تحتوي على محتوى ثنائي مختلف ولكن ذي سلوك مماثل.

خطوات اكتشاف البرمجيات الضارة

1. يتلقى المحاكي طلبًا لإجراء فحص لكائن (ملف تنفيذي أو برنامج نصي) من مكون آخر لأحد الحلول الأمنية.
2. ينفذ المحاكي تعليمات الكائن الواحد تلو الآخر بأمان في بيئة افتراضية، بدءًا من نقطة دخول الكائن. وإذا تفاعلت إحدى التعليمات مع البيئة (نظام التشغيل، السجل، الملفات الأخرى، الويب، الذاكرة... وما إلى ذلك)، يقلد المحاكي استجابة هذه الكائنات.
3. بعد ذلك يجمع المحاكي الأدوات ويمررها إلى أداة التحليل التجريبي، فتصدر أداة التحليل حكمًا يستند إلى هذه الأدوات وتقدمه إلى المكون الذي طلب التحليل.
4. تتوقف المحاكاة عند وجود عدد من الأدوات يكفي لاكتشاف البرنامج الضار أو عند انتهاء المهلة.

الأدوات التي يجمعها المحاكي

فيما يتعلق بالملفات التنفيذية (الثنائيات):

• سجل اتصالات واجهة برمجة التطبيقات
• جميع التغييرات التي طرأت على نظام الملفات وسجل النظام
• عمليات تفريغ الذاكرة

فيما يتعلق بالبرامج النصية:

• الوسيطات وإرجاعات عمليات السلسلة
• مكالمات الوظائف المضمنة والوظائف التي توفرها البيئة
• الأحداث
• إيقاف نظام الملفات والبرامج النصية التابعة

منع التهرب

مطورو البرمجيات الضارة المحترفون يزودوا البرمجيات الضارة لديهم بمزايا تمنع الكشف عن البرامج الضارة في المحاكاة، لكن المحاكي الذي نوفره يتتبع تقنيات التهرب الجديدة هذه ويبطلها. أمثلة:

التهرب أ:قبل التنفيذ، يكون من اللازم فك حزمة البرمجيات الضارة، ويستغرق هذا مدة حوسبة طويلة تكفي في المعتاد لتجنب الاكتشاف خلال مهلة المحاكاة.

مكافحة التهرب (أ):يتعرف المحاكي على الملفات المضافة إلى الحزمة ويضبط عمق المحاكاة وفقًا لذلك، وتسريع الأجهزة يوفر للمحاكي قوة كافية للمرور عبر عملية فك الحزمة.

التهرب ب:قبل أن تنفذ البرمجيات حمولتها الضارة، قد تصل إلى موارد ويب أو معلمات لبيئتها (مثل اسم الكمبيوتر وحجم القرص) وتتحقق مما إذا كانت تلك المعلمات متوفرة وذات معنى. وعند عدم وجود استجابة ذات معنى، لن تنفذ البرامج الضارة حمولتها وستتجنب الاكتشاف.

مكافحة التهرب ب:يحاكي المحاكي المعلومات المتعلقة بالبيئة وموارد النظام بناء على طلبات الملف الذي تم فحصها، مما يجعلها ذات معنى بقدر الإمكان. على سبيل المثال: يدرج المحاكي أسماء أجهزة الكمبيوتر عشوائيًا بحيث لا يستخدم البرنامج الضار أسماء أجهزة كمبيوتر معينة كإشارة لتشغيل محاكٍ