Система и способ обнаружения вредоносного программного обеспечения путем создания изолированной среды

Иллюстрации

Показать все

Изобретение относится к средствам обнаружения вредоносного программного обеспечения Технический результат заключается в повышении безопасности мобильных устройств. Модифицируют код исследуемого приложения путем замены вызова критических функций вызовом функций-обработчиков. Собирают информацию о вызываемых исследуемым модифицированным приложением критических функциях через функции-обработчики. Анализируют информацию на наличие поведения, характерного для вредоносного программного обеспечения. Обнаруживают вредоносное программное обеспечение на основании анализа. 2 н. и 5 з.п. ф-лы, 7 ил.

Реферат

Изобретение относится к системам и способам обнаружения вредоносного программного обеспечения путем помещения приложений в изолированную среду.

Уровень техники

В настоящее время число мобильных устройств растет, они проникли во все сферы жизни человека. Наиболее популярными из них являются: телефоны, смартфоны, ноутбуки, коммуникаторы, системы навигации. Мобильные устройства используются в качестве средств коммуникации, связи, для развлечений. Параллельно с развитием этих устройств развиваются и беспроводные средства связи, которые неотделимы от них. Передача данных от одного устройства к другому, обмен информацией - задачи, которые не вызывают затруднений даже у неопытного пользователя данных устройств.

Но развитие технологий несет с собой не только благо, но и создает ряд проблем. С одной стороны, развитие мобильных устройств и беспроводных средств связи упрощает общение людей, облегчает обмен информацией, стирает границы городов, государств, континентов. С другой стороны, такая свобода ставит перед специалистами в области информационной безопасности все новые и новые задачи, т.к. зачастую информация, которой обмениваются пользователи мобильных устройств, конфиденциальна и является государственной или коммерческой тайной. При простоте копирования, передачи и обмена вероятность утечки информации за пределы организации (умышленной или нет) велика, поэтому от подразделений, отвечающих за обеспечение информационной безопасности, все активнее требуется построение системы отслеживания и блокирования несанкционированных утечек информации. Также рост популярности мобильных платформ, на которых работают мобильные устройства, привлекает к ним внимание злоумышленников, которые преследуют различные цели - от желания пошутить или проявить себя до кражи конфиденциальной информации с целью последующего вымогательства и шантажа. Следствием этого является появление угроз (в том числе вредоносного программного обеспечения любого рода) для мобильных платформ, которые были характерны раньше исключительно для стационарных вычислительных машин. Также появляются новые угрозы исключительно для мобильных устройств, например, троянские программы, которые после установки на устройство скрытно отправляют CMC на платные номера или, используя службы геолокации, следят за передвижением пользователя.

Необходимо предпринимать меры, способные защитить пользователей мобильных устройств и организации от действий злоумышленников и своевременно обнаружить вредоносное программное обеспечение. И эти меры обнаружения перенесены со стационарных вычислительных машин на мобильные устройства. Самыми распространенными решениями для обнаружения вредоносного ПО на мобильных устройствах являются: обнаружение с использованием эвристических правил; обнаружение с использованием сигнатурного анализа (анализа на идентичность анализируемого кода образцам кода известных компьютерных угроз); обнаружение по хеш-сумме файла. Применение сигнатур хорошо подходит для обнаружения уже известных вредоносных программ, как и обнаружение по хеш-сумме файла, но в случае, если атакующий код будет модифицирован, данные решения окажутся бесполезными. Указанного недостатка лишен эвристический метод, но и он неэффективен при более глубокой модификации кода (например, путем обфускации), изменении алгоритма работы вредоносного кода, применении методов, препятствующих автоматическому анализу кода. Также возможно активно противодействовать вредоносному ПО (например, разграничивать права доступа приложений к ресурсам операционной системы). Так патентная заявка US 20100175104 описывает систему защиты на основе контроля групповых политик. После того как система осуществляет установку перехватчиков вызовов на системные вызовы API-функций, осуществляется контроль и проверка выполняемых приложением действий в соответствии с правилами политики.

Таким образом, используемые в настоящее время способы обнаружения вредоносного программного обеспечения на мобильных устройствах либо имеют ограниченную область применения, либо имеют недостатки, которые создают угрозу безопасности и в целом не обеспечивают надлежащей защиты.

Раскрытие изобретения

Изобретение относится к системам и способам обнаружения вредоносного программного обеспечения путем помещения приложений в изолированную среду (контейнеры).

Технический результат заключается в повышении безопасности мобильных устройств за счет обнаружении вредоносного программного обеспечения на устройствах путем анализа поведения кода приложений.

Способ обнаружения вредоносного программного обеспечения путем создания изолированной среды, в котором: модифицируют код приложения путем замены вызова критических функций вызовом функций-обработчиков; собирают информацию о вызываемых модифицированным приложением критических функциях через функции-обработчики; анализируют информацию, собранную через функции-обработчики на наличие поведения, характерного для вредоносного программного обеспечения; обнаруживают вредоносное программное обеспечение на основании анализа.

В частном случае к критическим функциям, вызываемым приложениями, относятся функции, вызов которых позволяет выявить поведение, характерное для вредоносного ПО.

В другом частном случае приложение, код которого модифицируют, является .dex файл приложения.

Система обнаружения вредоносного программного обеспечения путем создания изолированной среды содержит: приложение, которое предназначено для модификации исследуемого приложения; исследуемое приложение; библиотеку функций-обработчиков, предназначенную для сбора информации о вызываемых модифицированным приложением критических функциях; модуль анализа, предназначенный для анализа информации о вызываемых критических функциях, собранной библиотекой функций-обработчиков и обнаружения вредоносного ПО на основании анализа;

В частном случае реализации системы библиотека функций-обработчиков может выполнять функции модуля анализа.

В другом частном случае модуль анализа располагают на удаленном устройстве.

Краткое описание чертежей

Сопровождающие чертежи включены для обеспечения дополнительного понимания изобретения и составляют часть этого описания, показывают варианты осуществления изобретения и совместно с описанием служат для объяснения принципов изобретения.

Заявленное изобретение поясняется следующими чертежами, на которых:

Фиг.1 показывает взаимодействие приложения с операционной системой и оборудованием.

Фиг.2 показывает структуру мобильной операционной системы.

Фиг.3 показывает модифицированный вариант структуры мобильной операционной системы.

Фиг.4 показывает архитектуру мобильной операционной системы Android OS.

Фиг.5 показывает пример реализации частного случая системы обнаружения вредоносного программного обеспечения в коде приложений.

Фиг.6 показывает пример компьютерной системы общего назначения.

Описание изобретения

Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Приведенное описание предназначено для помощи специалисту в области техники для исчерпывающего понимания изобретения, которое определяется только в объеме приложенной формулы.

Для обеспечения безопасности устройства необходимо осуществлять контроль над всеми данными, передающимися с устройства, отслеживать данные, попадающие на устройство, отслеживать события на устройствах и данные, с которыми эти устройства работают. Любое мобильное устройство, как правило, находится под управлением мобильной операционной системой (далее ОС), самыми популярными мобильными ОС являются: Google Android, Apple iOS, Symbian, BlackBerryOS, WindowsPhone и т.д. Приложения, устанавливаемые на устройства, осуществляют доступ к ресурсам мобильного устройства и к коммуникационным портам через интерфейсы, предоставляемые операционной системой. К ресурсам мобильного устройства относят такие средства вычислительной системы устройства, которые могут быть выделены процессу обработки данных на определенный квант времени. Основными ресурсами вычислительной системы являются процессоры, области оперативной памяти, наборы данных, периферийные устройства. Интерфейс, предоставляемый операционной системой для взаимодействия с ресурсами устройства, реализован в виде API (application programming interface) функций. С их помощью приложение может взаимодействовать с сетью, выполнять операции с файлами, с памятью и т.д. Один из способов, позволяющий контролировать и управлять доступом приложений к критическим ресурсам мобильного устройства, заключается в модификации кода приложения, вызывающего критические API-функции. Здесь и далее под понятие «критические» попадают функции, характерные для вредоносного кода (доступ к файловой системе, работа с сетью и т.д.). На Фиг.1а изображена схема, отражающая взаимодействие приложения с ОС и оборудованием. Пользовательское приложение 101а посредством API-функций обращается к операционной системе 102, а та осуществляет непосредственный доступ к оборудованию 103. На Фиг.1б изображен модифицированный вариант, в котором вызов оригинальных API-функций в приложении 101а заменяется вызовом API-функций модифицированных, при этом модифицированные API-функции экспортируются библиотекой функций-обработчиков 104, а библиотека 104 уже вызывает оригинальные API-функции, экспортируемые ОС.

В общем случае функция-обработчик - это любая функция, которая включает в себя функциональность другой функции. Данное понятие также применимо к методам и классам.

На Фиг.2 изображена упрощенная схема, отражающая типичную структуру мобильной ОС. Она включает в себя: пользовательские приложения 101а, работающие в окружении, где под окружением понимаются программные компоненты операционной системы, предназначенные для поддержки исполнения приложений, примером окружения является виртуальная машина Java; окружение 201, через которое осуществляется взаимодействие приложений 101а с ресурсами операционной системы 202; операционную систему 102, которая предоставляет интерфейс для взаимодействия с физическими компонентами мобильного устройства.

Описанный способ, позволяющий контролировать доступ к ресурсам мобильного устройства, встраивается в систему, изображенную на Фиг.2. Один из способов модифицировать данную систему и получить контроль над исполняемым приложением - встроиться между приложениями 101а и окружением 201. Для этого модифицируется приложение 101а и добавляется еще один уровень абстракции в систему, изображенную на Фиг.2, это контейнер 301, включающий в себя библиотеку функций-обработчиков 104 для приложения 101б и само модифицированное приложение 101б. На Фиг.3 изображена система с модифицированным приложением 101б. Данная система содержит все те же элементы, что и система на Фиг.2, отличие заключается в том, что добавлены новые элементы - контейнеры 301. Приложение 101б модифицировано и лишено возможности взаимодействовать с операционной системой 102 через окружение 201. С окружением 201 теперь взаимодействует контейнер 301, который является окружением для приложения 101б. Таким образом, все приложения 101б, помещенные в контейнер 301, контролируются. Для выполнения каких-либо действий приложение 101б обращается к библиотеке функций-обработчиков 104, библиотека 104 в соответствии с установленными для нее настройкой контролирует доступ приложения 101б к ресурсам операционной системы 202. Таким образом, возможно контролировать как входящий, так и исходящий сетевой трафик, доступ к файловой системе, взаимодействие защищенного приложения 101б с другими приложениями в системе, как помещенными в контейнер, так и нет.

В частном случае в один контейнер 301 может помещаться группа приложений. Такими приложениями могут быть приложения с похожей функциональностью, которые должны работать под одной политикой безопасности.

Частным случаем применения изобретения является его использование на одной из самых распространенных мобильных платформ Android OS, архитектура данной операционной системы представлена на Фиг.4. Архитектура Android построена на основе ядра Linux 401. Ядро 401 отвечает за такие системные службы, как управление безопасностью, памятью, процессами, включает сетевой стек и модель драйверов. Следующий уровень в иерархической структуре - библиотеки 402, написанные на C/C++, используемые различными компонентами ОС. Важнейшей частью архитектуры является Android Runtime (среда исполнения приложения) 403. Среда исполнения состоит из виртуальной Java-машины Dalvik и набора базовых библиотек. Dalvik выполняет файлы в специальном формате .dex, оптимизированном для устройств с малым количеством памяти. Базовые библиотеки написаны на языке Java и включают большой набор классов, которые поддерживают широкий диапазон функциональных возможностей. Следующий уровень - Application Framework (каркас приложений) 404. Этот уровень представляет собой инструментарий, которым пользуются все приложения. На вершине иерархии - Applications (уровень приложений) 401.

Android не делает разницы между основными приложениями телефона и сторонним программным обеспечением. Таким образом, ключевые компоненты, такие как набор номера, рабочий стол, почтовый клиент GMail и т.д. можно заменить альтернативными аналогами или модифицировать их, что позволяет использовать описываемое изобретение на данной платформе. Но платформа имеет особенность, которая заключается в том, что приложения выполняются в песочнице (жестко контролируемый набор ресурсов для исполнения гостевой программы) и не имеют прав для модификации компонентов, находящихся на одном уровне и на уровнях ниже. Для контроля над приложениями в Android OS приложение помещается в контейнер 301, где модифицируется .dex файл приложения 101 а путем замены критических классов на имена классов, которые описаны в библиотеке 104. Примерами критических классов могут являться приведенные ниже классы и методы:

java.io.*

java.lang.Runtime.loadLibrary()

java.lang.Runtime.exec()

android.app.ActivityManager.getRunmngServices()

javax.crypto.Cipher

java.lang.System.loadLibrary()

java.lang.ClassLoader.getResourceAsStream()

android.webkit.WebView

android.telephony.SmsMessage

android.content.BroadcastReceiver.abortBroadcast()

android.app.Activity.startActivity()

android.content.Context.getClassLoader()

android.content.Context.startActivity()

android.content.Context.getSystemService()

java.net.*

java.lang.Class.getClassLoader()

java.lang.Class.getClasses()

java.lang.Class.getResourceAsStream()

android.telephony.SmsManager.*

Модификация дает контроль над критической активностью приложения. Модификация может осуществляться на этапе загрузки приложения, может модифицироваться копия уже установленного приложения. При попытке совершить критическое действие приложение 101б этого не сможет сделать, так как оригинальный класс заменен на класс, описанный в библиотеке 104. Поэтому сначала будет вызван соответствующий метод из библиотеки 104 и произведена проверка на соответствие совершаемого действия политике безопасности, если критическое действие не нарушает установленных политикой правил, будет вызван оригинальный метод.

Частным случаем применения описанной системы является обнаружение вредоносного программного обеспечения на устройстве пользователя. На Фиг.5 изображена возможная реализация системы обнаружения вредоносного ПО на мобильном устройстве. Для обнаружения вредоносного программного обеспечения, по меньшей мере, одно приложение 101а помещается в контейнер 301. Приложения 101а могут быть помещены в контейнер пользователем либо автоматически на этапе загрузки, заранее установленным инструментарием. Например, в качестве такого инструментария может выступать антивирусное приложение, которое будет помещать в контейнер недоверенные и подозрительные приложения. Таким инструментарием также может быть инсталлятор 506, помещающий в контейнер все приложения, загружаемые из сети. В приложениях 101а модифицируются критические функции (отправка CMC, доступ в сеть, работа с файловой системой и т.д.), которые могут использоваться во вредоносных приложениях. Критические функции заменяются функциями-обработчиками, которые описаны в библиотеке функций-обработчиков 104. Система также включает в себя модуль анализа 501, предназначенный для обнаружения вредоносного программного обеспечения, локальную базу шаблонов 502, содержащую информацию о поведении, характерном для вредоносного программного обеспечения. База шаблонов может содержать, к примеру, определенную последовательность вызовов критических функций с недопустимыми параметрами (отправка CMC на короткие номера, загрузка файла с не доверенного сетевого ресурса). Данная система осуществляет контроль над исполнением пользовательских приложений 101б, помещенных в контейнер 301. Система отслеживает активность приложений 101б. Приложение 101б не может осуществить вызов критических функций напрямую, осуществляется вызов функций из библиотеки функций-обработчиков 104. Библиотека 104 передает модулю анализа 501 информацию о вызываемых функциях (например, имена функций и параметры вызова), модуль анализа 501 сравнивает информацию, полученную от библиотеки 104 с правилами из локальной базы 502. Если на основании анализа модулем анализа 501 обнаружено поведение, характерное для вредоносного программного обеспечения, в соответствии с настройкой системой будут предприняты адекватные действия. Например, библиотекой функций-обработчиков 104 будет заблокирован вызов критической функции (библиотека не вызовет оригинальную функцию), приложение будет остановлено или завершено, пользователь получит предупреждение и т.д. Модуль анализа 501, библиотека 104, локальная база 502 обновляются с сервера безопасности 503, это позволяет оперативно реагировать на новые угрозы (расширять список критических функций, добавлять новые правила в локальную базу 502).

В частном случае модуль анализа 501 может использовать не локальную базу 502, а обращаться к удаленной базе данных 505. Также и сам модуль анализа 501 может быть размещен удаленно на сервере безопасности 503. В данном случае на локальном устройстве библиотекой 104 будет собираться информация о работе анализируемого приложения и пересылаться на удаленный сервер безопасности, где будет осуществляться анализ полученной информации.

Модуль безопасности 501, локальная база 502 могут быть интегрированы с библиотекой функций-обработчиков 104.

Применением описанной системы в частном случае может быть обнаружение вредоносных программ, которые отправляют короткие текстовые сообщения CMC на платные номера или используют CMC для похищения данных с устройства пользователя. В данном случае критическими будут следующие методы:

android.telephony.gsm.SmsManager.sendTextMessage()

android.telephony.gsm.SmsManager.sendMultipartTextMessage()

android.telephony.gsm SmsManager.sendDataMessage()

android.telephony.SmsManager.sendTextMessage()

android.telephony.SmsManager.sendMultipartTextMessage()

android.telephony.SmsManager.sendDataMessage()

java.lang.reflect.Method invoke()

В контролируемых приложениях модифицируются вызовы именно этих методы. После помещения приложения в контейнер критические методы в нем заменяются, например, метод

android.telephony.SmsManager.getDefault().sendTextMessage("<phone_number>", null, "<message_text>", null, null);

будет заменен на

com.kaspersky.container.hooks.android_telephony_SmsManager.sendTextMessage (android.telephony.SmsManager.getDefault(), "<phone_number>", null, "<message_text>", null, null);

Описание данных методов находится в библиотеке 104, которая извлекает параметры вызываемого метода и передает их для анализа, пример кода библиотеки для ряда критических методов может выглядеть так:

package com.kaspersky.container.hooks;

public class android_telephony_SmsManager {

public static void sendTextMessage(Object impl, java.lang.String arg1, java.lang.String arg2, java.lang.String arg3, android.app Pendinglntent arg4, android.app.Pendinglntent arg5) {

if (!SecurityManager.get("sms").allow(String.valueOf(arg1),String.valueOf(arg3))) {return;}

((android.telephony.SmsManager)impl).sendTextMessage(arg1, arg2, arg3, arg4, arg5),

}

public static void sendMultipartTextMessage(Object impl, java.lang.String arg1, java.lang.String arg2, java.util.ArrayList arg3, java util.ArrayList arg4, java.util.ArrayList arg5) {

if (!SecurityManager.get("sms").allow(String valueOf(arg1),String.valueOf(arg3))) {return;}

((android.telephony.SmsManager)impl).sendMultipartTextMessage(arg1, arg2, arg3, arg4, arg5),

}

public static void sendDataMessage(Object impl, java.lang.String arg1, java.lang.String arg2, short arg3, byte[] arg4, android.app.Pendinglntent arg5, android.app.Pendinglntent arg6) {

if (!SecurityManager.get("sms").allow(String.valueOf(arg1),String.valueOf(arg4))) {return;}

((android.telephony.SmsManager)impl).sendDataMessage(arg1, arg2, arg3, arg4, arg5, arg6),

}

}

Приведенный пример кода содержит описание трех методов, на которые заменяются оригинальные критические методы. Библиотека 104 пересылает модулю анализа 501 параметры вызываемых методов, который на основе шаблонов, содержащихся в базе 502, проверяет параметры на наличие угрозы. В случае если угроза не обнаружена, выполняется вызов оригинальных методов. Если аргументы не прошли проверку, то в данном примере отправка текстового сообщения останавливается. Также возможно не только приостановить отправку, а предупредить пользователя, закрыть приложение и т.д.

Фиг.6 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.

Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.

Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш-карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.

Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47 персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.

Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг.6. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.

Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.

В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующиеся с сущностью и объемом настоящего изобретения.

1. Способ обнаружения вредоносного программного обеспечения путем создания изолированной среды, в котором:а) модифицируют код исследуемого приложения путем замены вызова критических функций вызовом функций-обработчиков;б) собирают информацию о вызываемых исследуемым модифицированным приложением критических функциях через функции-обработчики;в) анализируют информацию, собранную на этапе б), на наличие поведения, характерного для вредоносного программного обеспечения;г) обнаруживают вредоносное программное обеспечение на основании анализа.

2. Способ по п.1, в котором к критическим функциям, вызываемым приложениями, относятся функции, вызов которых позволяет выявить поведение, характерное для вредоносного программного обеспечения.

3. Способ по п.1, в котором приложение, код которого модифицируют на этапе а), является .dex файл приложения.

4. Система обнаружения вредоносного программного обеспечения путем создания изолированной среды содержит:а) приложение, которое предназначено для модификации исследуемого приложения;б) библиотеку функций-обработчиков, предназначенную для сбора информации о вызываемых исследуемым модифицированным приложением критических функциях;в) модуль анализа, связанный с библиотекой функций-обработчиков и предназначенный для:- анализа информации о вызываемых критических функциях, собранной библиотекой функций-обработчиков;- обнаружения вредоносного ПО на основании анализа.

5. Система по п.4, в которой библиотека функций-обработчиков может выполнять функции модуля анализа.

6. Система по п.4, в которой приложение, код которого модифицируется в пункте а), модифицируют удаленно и устанавливают на устройство пользователя уже модифицированным.

7. Система по п.4, в которой модуль анализа располагают на удаленном устройстве.