Способ отложенного устранения вредоносного кода

Авторы патента:

G06F21/56 - Обработка цифровых данных с помощью электрических устройств (вычислительные машины, в которых часть вычислений осуществляется гидравлическими или пневматическими устройствами G06D; оптическими средствами G06E; автономные внешние вводные и выводные устройства G06K; компьютерные системы, основанные на специфических вычислительных моделях G06N; цепи полного /активного и реактивного/ сопротивления H03H)

Владельцы патента RU 2583711:

Закрытое акционерное общество "Лаборатория Касперского" (RU)

Изобретение относится к антивирусным технологиям, а более конкретно к системам и способам отложенного устранения вредоносного кода. Технический результат настоящего изобретения заключается в обеспечении лечения вредоносных программ, которые препятствуют лечению. Настоящий технический результат достигается путем использования способа лечения обнаруженных вредоносных объектов, при котором обнаруживают вредоносные объекты на компьютере, формируют, по меньшей мере, одну задачу лечения обнаруженных вредоносных объектов, при этом задача формируется с использованием языка сценариев. Сформированную задачу лечения обнаруженных вредоносных объектов записывают в заданную ветку реестра перед перезагрузкой компьютера, проверяют целостность задачи лечения обнаруженных вредоносных объектов, перезагружают компьютер. Загружают драйвер для выполнения, по меньшей мере, одной задачи лечения обнаруженных вредоносных объектов, и драйвер операционной системы, позволяющий выполнить задачу лечения обнаруженных вредоносных объектов, выполняют, по меньшей мере, одну задачу лечения обнаруженных вредоносных объектов, при этом используют системные нотификации для начала выполнения задачи лечения обнаруженных вредоносных объектов. 3 з.п. ф-лы, 4 ил.

Область техники

Изобретение относится к антивирусным технологиям, а более конкретно к способам отложенного лечения вредоносного кода.

Уровень техники

Сегодня существует множество различных типов компьютерных вредоносных программ, которые представляют серьезную угрозу для компьютеров и компьютерных сетей. Эти вредоносные программы могут инфицировать компьютер и могут распространяться с помощью различных механизмов, таких как электронная почта, интернет-чат, средство оперативной пересылки сообщений, таким образом быстро заражая другие компьютеры. Вредоносные программы могут различаться по своему поведению от относительно неопасных (например, эпизодическое отображение пользователю неприятных сообщений) до злонамеренных и катастрофических, включая полное уничтожение данных на жестком диске, что ведет к потери данных и возможной необходимости полного восстановления операционной системы и данных приложений из резервной копии.

Стоит отметить стремление авторов вредоносных программ писать код, который очень труден в лечении (примером лечения может служить удаление или карантин, а также восстановление незараженных копий таких объектов, как файлы). Ранее создатели вредоносных программ мало заботились об этом аспекте, поскольку для многих непрофессиональных авторов вредоносных программ важнее было распространить вредоносные программы с наибольшей скоростью и заразить максимально возможное количество компьютеров. С коммерциализацией написания вредоносных программ цели также изменились - профессиональные авторы вредоносных программ часто идут на создание сложных по своей структуре участков кода с тем, чтобы гарантировать, что вредоносные программы, написанные ими, будет не так легко вылечить и удалить.

Таким образом, сегодня есть категория вредоносных программ, которая специально разработана для препятствия лечению. Например подобные вредоносные программы, препятствующие лечению, обычно создают множество собственных копий на одном и том же компьютере, которые одновременно выполняются, используя потоки различных процессов. Таким образом, в этой схеме вредоносная программа может иметь одну копию своего кода, который инфицировал Internet Explorer (выполняется в потоке этого процесса), и может иметь другую копию своего кода, который инфицировал почтовый клиент Outlook (т.е. выполняется в потоке процесса почтового клиента). Когда антивирусное программное обеспечение определяет одну из копий вредоносной программы (например, копию вредоносной программы, которая инфицировала Internet Explorer), антивирусное программное обеспечение удаляет эту копию вредоносной программы и удаляет копию исполняемого файла, которая содержит код вредоносной программы.

Однако для вредоносных программы, препятствующих лечению, этого не достаточно - другая копия вредоносной программы (в этом случае, копия, которая инфицировала почтовый клиент) определяет, что первая копия удалена, и сразу же копирует саму себя в ту часть оперативной памяти, в которой загружен Internet Explorer, повторно инфицируя Internet Explorer и повторно запуская поток первой копии вредоносной программы. Когда антивирусное программное обеспечение встречает вторую копию (копия, которая инфицировала почтовый клиент), все происходит с точностью до наоборот.

Также можно отметить развитие так называемых руткит технологий, с помощью которых вредоносные программы имеют возможность скрывать, ограничивать доступ и восстанавливать необходимые им файлы или ветки реестра. В том случае если антивирус не способен определить вредоносный драйвер, который скрывает вредоносные файлы, то в таком случае обнаружение и лечение становятся невозможным.

В настоящее время существуют технологии, которые позволяют бороться с подобными вредоносными программами. Например, в патенте US 8099785 описан способ удаления вредоносных программ, которые восстанавливают свои копии, с помощью блокировки доступа к диску и ряда API вызовов, что позволяет не допустить последующего восстановления копий вредоносной программы. В заявке US 20080005797 описан подход к проверке всех загружаемых во время загрузки операционной системы драйверов.

Однако настоящие публикации не раскрывают возможности поэтапного выполнения ряда действий, которые позволят гарантированно удалить вредоносный код из системы. Одна из проблем лечения вредоносных программ заключается в том, что нет гарантий, что руткит драйвер не будет загружен первым и не скроет вредоносные файлы или ветки реестра от антивирусного драйвера, который будет выполнять поиск и лечение. Другой проблемой является, например, необходимость загрузки соответствующих драйверов для файловой системы для того, чтобы можно было удалить вредоносный файл.

Анализ предшествующего уровня техники позволяет сделать вывод о неэффективности и в некоторых случаях о невозможности применения предшествующих технологий, недостатки которых решаются настоящим изобретением, а именно способом отложенного устранения вредоносного кода.

Раскрытие изобретения

Технический результат настоящего изобретения заключается в обеспечении лечения вредоносных программ, которые препятствуют лечению. Настоящий технический результат достигается путем использования способа лечения обнаруженных вредоносных объектов, содержащий этапы на которых: обнаруживают вредоносные объекты на компьютере; формируют, по меньшей мере, одну задачу лечения обнаруженных вредоносных объектов; загружают драйвер для выполнения, по меньшей мере, одной задачи лечения обнаруженных вредоносных объектов; выполняют, по меньшей мере, одну задачу лечения обнаруженных вредоносных объектов при загрузке функциональных драйверов операционной системы, позволяющих выполнить задачу лечения обнаруженных вредоносных объектов.

Согласно одному из вариантов реализации функциональным драйвером операционной системы является: драйвер файловой системы; плагин антивирусного драйвера.

Согласно еще одному варианту реализации задачи лечения обнаруженных вредоносных объектов формируют сценарий выполнения, в рамках которого каждая последующая задача выполняется после успешного выполнения предыдущей.

Согласно другому варианту реализации дополнительно перезагружают компьютер перед загрузкой драйвера для выполнения, по меньшей мере, одной задачи лечения обнаруженных вредоносных объектов.

Согласно одному из вариантов реализации задачу лечения обнаруженных вредоносных объектов записывают в заданную ветку реестра перед перезагрузкой компьютера.

Согласно еще одному варианту реализации перед перезагрузкой компьютера дополнительно проверяют целостность задачи лечения обнаруженных вредоносных объектов.

Согласно другому варианту реализации восстанавливают задачу лечения обнаруженных вредоносных объектов в случае ее повреждения.

Согласно одному из вариантов реализации используют системные нотификации для начала выполнения задачи лечения обнаруженных вредоносных объектов.

Краткое описание чертежей

Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:

фиг. 1 отображает способ работы настоящего изобретения.

Фиг. 2 приводит систему работы настоящего изобретения.

Фиг. 3 представляет пример компьютерной системы общего назначения, на которой может быть реализовано настоящее изобретение.

Описание вариантов осуществления изобретения

Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, необходимыми для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется в объеме приложенной формулы.

Фиг. 1 отображает способ работы настоящего изобретения. На этапе 110 происходит обнаружение вредоносных объектов на компьютере пользователя. Обнаружение может быть основано на использовании любых известных методах обнаружения вредоносных объектов, как например, сигнатурного или эвристического. Под вредоносными объектами здесь и далее будут подразумеваться файлы, ключи реестра, процессы, сетевые соединения, драйверы, службы, объекты ядра и другие компоненты операционной системы, которые были признаны вредоносными при сканировании (проверке).

После обнаружения вредоносных объектов на этапе 110, на следующем этапе 120, формируют задачу лечения обнаруженных вредоносных объектов. Стоит отметить, что в предпочтительном варианте реализации задача должна быть составлена в виде машинного кода, который может исполняться непосредственно после загрузки компьютера, т.е. в тот момент когда операционная система еще не загружена полностью и отсутствуют (т.е. еще не загружены) всевозможные фреймворки, такие как, например. NET Framework или Java Runtime Environment, которые позволяют выполнять код, написанный на высокоуровневых языках, таких как С#. В других вариантах реализации предусматривается также загрузка специальных интерпретаторов, которые позволят выполнять псевдо-код, например используя скриптовый язык AVZ.

Задача лечения обнаруженных вредоносных объектов может состоять из последовательности действий (заданий) - удаления файла, копирования файла (например, из резервной копии) и т.д. Примерный список действий приведен ниже.

- Создание ключа реестра.

- Удаление ключа реестра.

- Удаление значения реестра.

- Создание значения реестра.

- Копирование файла.

- Удаление файла.

- Помещение файла в карантин.

- Помещение в карантин службы (сервиса).

- Удаление символьной ссылки ключа реестра.

- Удаление файла по хеш-сумме.

Стоит отметить, что в одном из вариантов реализации задание действий в рамках задачи лечения обнаруженных вредоносных объектов функций может быть основано на использовании системных нотификаций. Примером подобных нотификаций могут служить изменения в определенных ветках реестра (например, HKEY_CURRENT_USER).

Пример сценария обхода папки Windows на наличие вредоносных файлов (на языке AVZ).

Пример 1. // Сканирование папки (с рекурсивным обходом)

var

MalwareFound: boolean;

// Обработка найденного файла

Procedure ScanFile(AFileName: string);

var

FMD5: string;

begin

// Вычисление MD5 суммы

FMD5:=CalkFileMD5(AFileName);

// Сравнение MD5 с искомыми зловредами

if ((FMD5=′116C0F42CA4BB8B9E9BEA876762DE8B8′) or

(FMD5=′0E35104727582288A4B0767FD5A41384′)) then begin

// Постановка задания драйверу

BC_DeleteFile (AFileName);

MalwareFound:=true;

end;

Procedure ScanDir(ADirName: string; AScanSubDir: boolean);

var

FS: TFileSearch;

begin

ADirName:=NormalDir(ADirName);

FS:=TFileSearch.Create(nil);

FS.FindFirst(ADirName+′*.*′);

while FS. Found do begin

if FS. IsDir then begin

if AScanSubDir and (FS. FileName <> ′.′) and (FS.FileName <> ′..′) then

ScanDir(ADirName+FS. FileName, AScanSubDir)

end else

ScanFile(ADirName+FS. FileName);

FS. FindNext;

end;

FS. Free;

end;

begin

MalwareFound:=false;

ScanDir(′c:\windows\′, true);

if MalwareFound then begin

// Активация драйвера

BC_ACtivate;

// Перезагрузка

RebootWindows (true);

end;

end.

В данном примере показано, что на момент запуска не известно точно, какой именно файл (или файлы) требуется удалить, зато известны критерии, по которым его следует искать (расширение, примерный размер, некая статическая сигнатура или контрольная сумма). В данном примере сценария логика принятия решения находится в процедуре ScanFile, команда BC_Activate активирует задание драйвера, a RebootWindows выполняет перезагрузку. Подобные сценарии, как правило, создает антивирус на этапе 120. В общем случае у сценария может быть сложная логика, охватывающая анализ ключей реестра, настроек автозапуска приложений, зарегистрированных в системе классов, служб и драйверов, файлов на диске и т.п.

Также стоит отметить, что без поддержки возможности работы с вредоносными объектами разных типов задача лечения обнаруженных вредоносных объектов не может быть выполнена полностью. Например, для модификации определенных ключей реестра сначала должен быть загружен соответствующий куст (англ. hive). Для работы с файловой системой (например, для удаления файла) должен быть загружен соответствующий драйвер (таким образом, для файловой системы NTFS понадобится соответствующий драйвер). В различных вариантах реализации драйвер может загружаться сам, например во время процесса загрузки операционной системы. В других вариантах реализации может быть загружен специальный драйвер с ограниченной функциональностью, который необходим только для выполнения нужных для реализации задачи лечения обнаруженных вредоносных объектов функций. Например специальный драйвер файловой системы может содержать лишь вызов функции удаления файла, чего может быть достаточно для проведения лечения.

В одном из вариантов реализации задача лечения обнаруженных вредоносных объектов сохраняется в одной из веток реестра, которая будет загружена в память одной из первых после начала загрузки операционной системы. В других вариантах реализации задача лечения обнаруженных вредоносных объектов может быть вычитана из файла, с переносного носителя (например, флеш накопителя) или из сети.

Дополнительно на этапе 120 можно производить проверку целостности задачи лечения обнаруженных вредоносных объектов. Например, после того как задача лечения обнаруженных вредоносных объектов была сформирована и следует перезагрузить компьютер для ее выполнения, неизвестный вредоносный процесс может удалить эту задачу как из памяти, так и из реестра, или модифицировать задачу, например дополнить ее деструктивными операциями. Для защиты задачи лечения обнаруженных вредоносных объектов можно использовать еще один драйвер, который будет проверять целостность задачи лечения обнаруженных вредоносных объектов и в случае ее повреждения восстанавливать ее.

На этапе 130 перезагружают компьютер и на этапе 140 загружают драйвер для выполнения задачи лечения обнаруженных вредоносных объектов. Важно отметить, что загрузка драйвера должна быть произведена как можно раньше, так как не исключена ситуация, когда до этого драйвера будет загружен вредоносный драйвер, реализующий руткит функционал для сокрытия вредоносных объектов.

На этапе 150 происходит выполнение задачи лечения обнаруженных вредоносных объектов функций. Как правило, выполнение задачи включает последовательное выполнение действий (заданий), однако при наличии интерпретатора сценариев (такого как AVZ) возможно использование циклов, условных и безусловных переходов, проверки условий и т.д. Важной особенностью является возможность выполнения задачи в момент загрузки соответствующих драйверов или служб. Например, после загрузки драйвера файловой системы (например, NTFS) появляется возможность проводить все файловые операции.

На Фиг. 2 приведена система работы настоящего изобретения. Антивирус 210 предназначен для проверки различных объектов в операционной системе 240, таких как процессы, а также объектов 250, доступ к которым требует наличия отдельного драйвера (например, драйвера файловой системы). Обнаружив вредоносные объекты, антивирус 210 составляет задачу 230 лечения обнаруженных вредоносных объектов, состоящую из отдельных действий по их лечению, после чего перезагружает компьютер. В одном из вариантов реализации задача 230 лечения обнаруженных вредоносных объектов может быть сохранена в одной из веток реестра, которая будет загружена в память одной из первых (актуально для семейства операционных систем MS Windows). Другой вариант подразумевает сохранение задачи 230 в отдельное место на жестком диске, доступ к которому имеет только антивирус 210 и драйвер 220. При загрузке компьютера загружается драйвер 220, который выполняет задачу 230 лечения обнаруженных вредоносных объектов. Драйвер 220 может как обращаться к операционной системе 240 (посредством системных API вызовов) для выполнения нужных операций, так и к объектам 250, используя собственный протокол (например, урезанный вариант драйвера файловой системы).

В еще одном варианте реализации в драйвер 220 дополнительно загружаются (со стороны антивируса 210) те необходимые драйверы, которые требуются для работы с объектами 250 (т.е. данные драйверы выполнены в виде плагинов антивирусного драйвера 220). Например при необходимости лечения файлов (удаления или карантина), которые находятся на диске с файловой системой ReiserFS, дополнительно будет загружен драйвер данной файловой системы. В качестве другого примера можно привести загрузку драйверов внешних устройств для возможности доступа к их внутренним данным (например, к прошивке).

Фиг. 3 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26 содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.

Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.

Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.

Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например колонками, принтером и т.п.

Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 3. В вычислительной сети могут присутствовать также и другие устройства, например маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.

Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.

В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой.

1. Способ лечения обнаруженных вредоносных объектов, содержащий этапы на которых:
а) обнаруживают вредоносные объекты на компьютере;
б) формируют, по меньшей мере, одну задачу лечения обнаруженных вредоносных объектов, при этом задача формируется с использованием языка сценариев;
в) записывают сформированную задачу лечения обнаруженных вредоносных объектов в заданную ветку реестра перед перезагрузкой компьютера;
г) проверяют целостность задачи лечения обнаруженных вредоносных объектов;
д) перезагружают компьютер;
е) загружают драйвер для выполнения, по меньшей мере, одной задачи лечения обнаруженных вредоносных объектов;
ж) загружают драйвер операционной системы, позволяющий выполнить задачу лечения обнаруженных вредоносных объектов;
з) выполняют, по меньшей мере, одну задачу лечения обнаруженных вредоносных объектов, при этом используют системные нотификации для начала выполнения задачи лечения обнаруженных вредоносных объектов.

2. Способ по п. 1, в котором драйвером операционной системы является:
драйвер файловой системы;
плагин антивирусного драйвера.

3. Способ по п. 1, в котором задачи лечения обнаруженных вредоносных объектов формируют сценарий выполнения, в рамках которого каждая последующая задача выполняется после успешного выполнения предыдущей.

4. Способ по п. 1, в котором восстанавливают задачу лечения обнаруженных вредоносных объектов в случае ее повреждения.

Изобретение относится к системам и способам обеспечения конфиденциальности информации, используемой во время операций аутентификации и авторизации, при использовании доверенного устройства.

Система и способ устранения последствий заражения виртуальных машин // 2583709

Изобретение относится к информационной безопасности. Технический результат заключается в обеспечении безопасности виртуальной машины (ВМ).

Механизм обеспечения безопасности для внешнего кода // 2582863

Изобретение относится к области обеспечения безопасности для внешнего кода, предоставляемого веб-сервером приложений. Техническим результатом является эффективное получение ключа начальной загрузки для внешнего кода.

Способ автоматизированного анализа эталонных форм // 2581766

Изобретение относится к средствам автоматизированного анализа текстовых документов. Технический результат заключается в повышении точности определения наличия в документах конфиденциальной информации.

Способ сканирования файлов, клиентский компьютер и сервер // 2581560

Изобретение относится к области технологий обработки данных. Технический результат заключается в повышении эффективности сканирования подозрительных файлов.

Система и способ применения политик безопасности к накопителю в сети // 2581559

Изобретение относится к системам и способам управления доступом к накопителю в сети. Технический результат заключается в повышении безопасности корпоративных данных путем управления доступом к накопителю с использованием системы и способа применения политик безопасности к накопителю в сети, которые определяют политики безопасности, основываясь на истории использования накопителя.

Способ доверенной загрузки в виртуализированных средах // 2581552

Изобретение относится к способам предоставления доступа к ресурсам виртуализированной среды. Технический результат заключается в повышении защищенности виртуализированных сред от несанкционированного доступа за счет обеспечения доверенной загрузки виртуальных машин в виртуализированных средах.

Способ централизованного контроля доступа систем управления к активному сетевому оборудованию в распределенных вычислительных системах и система для его осуществления // 2580815

Изобретение относится к информационной безопасности. Технический результат заключается в повышении защищенности активного сетевого оборудования.

Способ и блок управления для распознавания манипуляций в сети транспортного средства // 2580790

Изобретение относится к контролю информационной безопасности. Технический результат - обеспечение безопасности сети транспортного средства.

Способ для обработки запроса от потенциального несанкционированного пользователя на доступ к ресурсу и серверу, используемый в нем // 2580432

Изобретение относится к средствам обработки запроса от потенциально несанкционированного пользователя на доступ к ресурсу. Технический результат заключается в уменьшении вероятности взлома учетных записей пользователя.

Система и способ обнаружения вредоносных файлов определенного типа // 2583712

Изобретение относится к антивирусным технологиям, а более конкретно к системам обнаружения вредоносных файлов определенного типа. Технический результат заключается в обеспечении возможности обнаружения вредоносного кода в файлах определенного типа с помощью соответствующих сигнатур. Настоящий результат достигается за счет использования способа создания сигнатуры для обнаружения вредоносных файлов определенного формата, который содержит этапы, на которых обнаруживают подозрительный файл и распознают его формат, с учетом которого проверяют упомянутый файл с помощью антивируса и коллекции безопасных файлов. При этом проверяют подозрительный файл с помощью виртуальной машины в том случае, если подозрительный файл не является безопасным на основании сравнения с коллекцией безопасных файлов или вредоносным после его проверки антивирусом. После анализа результатов проверки подозрительного файла с помощью виртуальной машины создают древовидную структуру сигнатур для обнаруженных вредоносных файлов, которая используется для хранения сигнатур. Создают сигнатуру для обнаруженного подозрительного файла, если анализ результатов показал, что подозрительный файл является вредоносным и сохраняют сигнатуру в упомянутой древовидной структуре сигнатур. 2 н.п. ф-лы, 5 ил.

Система и способ исключения шинглов от незначимых частей из сообщения при фильтрации спама // 2583713

Изобретение относится к системам и способам исключения шинглов от частей сообщения, которые встречались только в сообщениях, не содержащих спам, при фильтрации спама. Технический результат настоящего изобретения заключается в сокращении размера сообщения при фильтрации спама. Система исключения шинглов, которые встречались только в сообщениях, не содержащих спам, содержит: а) средство обработки текста, предназначенное для: получения сообщения, по крайней мере одна часть текста которого является незначимой, при этом незначимой является часть текста сообщения, которая не имеет значения при определении спама и содержит слова, символы, по которым выделяют по меньшей мере почтовый адрес, телефон, постскриптум, автоподпись, и которая встречается в сообщениях, не содержащих спам, поиска в упомянутом сообщении тех частей текста, которые совпадают с известными частями текста из базы данных образцов текста, сокращения текста упомянутого сообщения путем исключения из текста упомянутого сообщения найденных частей текста, которые совпадают с известными частями текста из базы данных образцов текста, передачи сокращенного текста упомянутого сообщения средству обработки шинглов; б) базу данных образцов текста, предназначенную для хранения известных частей текста сообщения, которые встречались только в сообщениях, не содержащих спам, и характерны для незначимых частей сообщения; в) средство обработки шинглов, предназначенное для: вычисления набора шинглов на основе сокращенного текста упомянутого сообщения, сравнения вычисленного набора шинглов с известными шинглами из базы данных шинглов, сокращения вычисленного набора шинглов путем исключения шинглов, которые совпадают с известными шинглами из базы данных шинглов; г) базу данных шинглов, предназначенную для хранения известных шинглов, которые встречались только в сообщениях, не содержащих спам. 2 н. и 11 з.п. ф-лы, 4 ил., 2 табл.

Агент безопасности, функционирующий на уровне встроенного программного обеспечения, с поддержкой безопасности уровня операционной системы // 2583714

Настоящее изобретение относится к системам и способам обеспечения безопасности и, более конкретно, к системам и способам обеспечения безопасности, работающим независимо от операционной системы, но выполненным с поддержкой приложения безопасности, работающего на уровне операционной системы. Технический результат настоящего изобретения заключается в повышении уровня безопасности компьютерной системы путем обеспечения безопасности компьютерной системы на этапе до запуска операционной системы. Способ обеспечения безопасности компьютерной системы на этапе до запуска операционной системы включает: а) осуществление запуска UEFI из постоянного запоминающего устройства перед запуском операционной системы; б) запуск из UEFI агента безопасности, работающего независимо от операционной системы; в) осуществление посредством агента безопасности сканирования и последующего удаления или помещения на карантин вредоносного программного обеспечения; где сканирование на наличие вредоносного программного обеспечения проводится лишь среди объектов, относящихся к запуску операционной системы и связанных с приложением безопасности, установленным в операционной системе; и где для осуществления сканирования агентом безопасности используется регулярно обновляемая база данных определений вредоносного программного обеспечения, хранящаяся на уровне упомянутого UEFI; г) выявление посредством агента безопасности состояний, связанных с событиями, имевшими место до последнего завершения работы операционной системы, по меньшей мере, одного из следующих типов: определение неспособности приложением безопасности, установленным в операционной системе, выполнять свои функции; выявление изменения в компьютерной системе, влияющего на процесс запуска операционной системы; д) определение агентом безопасности, по меньшей мере, одного действия, соответствующего, по меньшей мере, одному из выявленных состояний указанных типов, где действия включают в себя, по меньшей мере, одно из: управление объектами, сохраненными в файловой системе компьютерной системы; осуществление взаимодействия с удаленными серверами; откат до более ранних версий приложений, установленных в операционную систему; отправка посредством агента безопасности запроса на выполнение после запуска операционной системы действия со стороны приложения безопасности, установленного в операционную систему; е) выполнение посредством агента безопасности упомянутого определенного в пункте д), по меньшей мере, одного действия, соответствующего, по меньшей мере, одному из выявленных состояний указанных типов. 8 з.п. ф-лы, 10 ил.

Устройство обработки информации, система обработки информации, способ ее управления и носитель хранения данных // 2583748

Изобретение относится к системам аутентификации с использованием аутентификационной информации из веб-обозревателя. Технический результат заключается в обеспечении устройством обработки информации уведомления сервера относительно завершения операции управления без дополнительной обработки по аутентификации. Указанный резудьтат достигается за счет формирования сервером идентификатора сеанса и передачи в веб-обозреватель экранной информации, дополненной идентификатором сеанса. Веб-обозреватель принимает операцию через функциональный экран, отображаемый на основе экранной информации, принимаемой из сервера, и передает содержимое операции на сервер. Сервер передает поставщику услуг MFP запрос на выполнение задания, соответствующего содержимому операции, в котором указывается идентификатор сеанса. При завершении выполнения задания поставщик услуг передает, на сервер без участия веб-обозревателя, информацию завершения, указывающую результат выполнения и дополненную идентификатором сеанса. 5 н. и 4 з.п. ф-лы, 15 ил.

Система сессионного контроля доступа к создаваемым файлам // 2583757

Изобретение относится к средствам защиты от несанкционированного доступа к информации. Технический результат заключается в обеспечении сессионного контроля доступа к файлам. Система сессионного контроля доступа к создаваемым файлам содержит решающий блок, блок автоматической разметки файлов, блок хранения правил доступа к файлам, блок выбора сессии пользователями, блок хранения атрибутов файлов, причем первый вход решающего блока соединен с первым входом системы, с первым входом блока автоматической разметки файлов, второй вход которого соединен третьим входом системы, первый выход - с первым входом блока хранения атрибутов файлов, выход которого соединен с третьим входом блока автоматической разметки файлов, второй выход которого - со вторым входом блока хранения атрибутов файлов, третий выход блока автоматической разметки файлов соединен с первым входом блока хранения правил доступа к файлам, второй вход которого - со вторым входом системы, третий вход - с первым выходом решающего блока, второй вход которого - с выходом блока хранения правил доступа к файлам, второй выход решающего блока - с выходом системы, вход/выход блока выбора сессии пользователями соединен со входом/выходом системы, вход - с четвертым входом системы, выход - с третьим входом решающего блока, с четвертым входом блока автоматической разметки файлов. 2 ил., 1 табл.

Способ шифрования информации // 2584454

Изобретение относится к области стеганографии и шифрованию информации. Технический результат - эффективное шифрование и передача этой зашифрованной информации при невозможности ее расшифровки. Способ шифрования информации, включающий встраивание исходной информации в информацию-контейнер, отличающийся тем, что необратимые сигнатуры используют в качестве контейнера для фрагментов информации, так, при зашифровке, исходную информацию разбивают на фрагменты одинаковой оговоренной длины, каждый упомянутый фрагмент встраивают в тело оговоренной ключевой строки или потока на оговоренную позицию и вычисляют необратимую сигнатуру-контейнер изменённой ключевой строки или потока, после чего записывают полученную сигнатуру в зашифрованный поток, при расшифровке сигнатуры считывают из зашифрованного потока и передают переборщику, переборщик в циклической последовательности согласно оговоренной длине фрагмента и набору символов генерирует предполагаемое значение фрагмента, после чего встраивает его в тело ключевой строки или потока на оговоренную позицию и вычисляет сигнатуру изменённой ключевой строки или потока, затем сравнивает её с прочитанной из зашифрованного потока сигнатурой-контейнером, если сигнатуры совпадают, переборщик останавливается и возвращает текущее значение фрагмента, а если нет, цикл повторяется с изменением предполагаемого значения фрагмента на один шаг перебора, когда переборщик возвращает значение, это значение записывают в расшифрованный поток и считывают следующую сигнатуру из зашифрованного потока. 5 з.п. ф-лы.

Способ обнаружения и исправления фальсификаций фонограмм на основе представления хургина-яковлева // 2584493

Изобретение относится к области защиты информации от несанкционированного изменения содержания фонограммы, а именно к технологии защиты фонограмм от фальсификаций и восстановления их первоначального содержания. Технический результат заключается в уменьшении средней квадратической ошибки восстановления сигнала по сравнению с синтезирующим фильтром, построенным на основе теоремы В.А. Котельникова, на 40-60% при равных порядках фильтров, при дополнительной помехоустойчивости восстановленного речевого сигнала по сравнению с алгоритмом на основе теоремы Котельникова на 1,2-1,5 дБ. Указанный технический результат достигают применением представления Хургина-Яковлева, которое подразумевает передачу групп прореженных отсчетов сигнала и производной, сдвинутых друг относительно друга с помощью специальной линии задержки на определенное количество отсчетов. Исходная речевая информация в области фальсификации с некоторой потерей качества восстанавливается за счет возможности получения отсчетов сигнала по отсчетам производной. 1 ил.

Система и способ защиты операций с электронными деньгами // 2584506

Изобретение относится к способам защиты процесса работы с электронными деньгами. Технический результат заключается в обеспечении безопасности процесса работы с электронными деньгами. Способ включает этапы, на которых: проверяют объекты на компьютере, связанные с электронными деньгами; осуществляют контроль доступа к процессу приложения, необходимого для хранения электронных денег и проведения транзакций, выделяют ресурсы данного приложения с помощью средств защиты приложения, осуществляют контроль доступа к данным ресурсам, осуществляют поиск угроз, связанных с приложением и с генерацией электронных денег и связанных с доступом к сети, осуществляют контроль трафика, связанного с приложением, и выполняют контроль операций с электронными деньгами. 8 ил.

Способ обеспечения безопасного выполнения файла сценария // 2584507

Изобретение относится к информационной безопасности. Технический результат заключается в повышении безопасности компьютерной системы при выполнении файлов сценария интерпретаторами. Способ выполнения файлов сценария в системах обеспечения безопасности, работающих в режиме «запрет по умолчанию», в котором создают контейнер безопасности, используя который, приложение безопасности ограничивает действия интерпретатора согласно определенным политикам ограничения действий интерпретатора; адаптируют приложением безопасности контейнер безопасности под среду выполнения файлов сценария, изменяя политики ограничения действий интерпретатора; проверяют доверенность файла сценария; запускают выполнение файла сценария интерпретатором по результатам положительной проверки на доверенность, при этом выполнение ограничивается контейнером безопасности; перехватывают по меньшей мере одно действие интерпретатора при выполнении файла сценария; анализируют соответствие перехваченного действия интерпретатора по меньшей мере одной определенной для контейнера безопасности политике ограничения действия интерпретатора; на основании анализа выполняют действие интерпретатора согласно по меньшей мере одной политике ограничения, определенной для контейнера безопасности. 2 з.п. ф-лы, 4 ил.

Способ и устройство для определения результатов сканирования файла с применением множественных ядер // 2584508

Изобретение относится к области сканирования файлов на вирусы. Техническим результатом является эффективное использование множества антивирусных ядер с целью определения результатов сканирования файла. Способ определения результатов сканирования файла, применяющий множество антивирусных ядер, используемых в системе, содержащей множество блоков приложений, включает этапы, на которых получают запросы, отправленные каждым из множества блоков приложений через разные каналы связи, подключенные к каждому из множества блоков приложений; соответственно направляют информацию файла в антивирусные ядра, соответственно, для сканирования файла антивирусными ядрами; соответственно, получают информацию сканирования, возвращаемую антивирусными ядрами; определяют опорный уровень каждого из антивирусных ядер относительно файла согласно информации файла, приоритетной информации, соответствующей антивирусным ядрам и стратегии уровня локальной безопасности; компонуют информацию сканирования, возвращаемую антивирусным ядрам, согласно опорному уровню каждого антивирусного ядра и информации сканирования для определения результата сканирования файла; и отправляют результат сканирования в каждый из множества блоков приложений через разные каналы связи. 5 н. и 10 з.п. ф-лы, 4 ил.