Способ вызова системных функций в условиях использования средств защиты ядра операционной системы

Авторы патента:

Левченко Вячеслав Иванович (RU)

Кумагин Игорь Юрьевич (RU)

Юдин Максим Витальевич (RU)

Тарасенко Александр Сергеевич (RU)

G06F9/06 - с хранимой программой, т.е. с записью и хранением программы в устройствах памяти вычислительных машин

Владельцы патента RU 2585978:

Закрытое акционерное общество "Лаборатория Касперского" (RU)

Изобретение относится к антивирусным технологиям, а более конкретно к способу создания обработчика системных вызовов. Технический результат заключается в обеспечении вызова системных функций в условиях использования средств защиты ядра операционной системы. Согласно одному из вариантов реализации, предлагается способ вызова системных функций, во время которых выполняют следующие этапы: загружают гипервизор для перехвата обработчика системных вызовов. Модифицируют структуры ядра операционной системы, связанные с вызовами системных функций, при этом указанные структуры ядра операционной системы включают, по меньшей мере: а) обработчик системных вызовов; б) таблицу системных вызовов, в которой заменяют адрес вызова, по меньшей мере, одной системной функции, на адрес вызова другой функции, сохраняя при этом оригинальный адрес вызова системной функции; перехватывают вызов обработчика системных вызовов с помощью гипервизора; вызывают другую функцию по замененному адресу в таблице системных вызовов; вызывают системную функцию по сохраненному оригинальному адресу. 7 ил.

Область техники

Изобретение относится к антивирусным технологиям, а более конкретно к способу вызова системных функций в условиях использования средств защиты ядра операционной системы.

Уровень техники

В настоящее время современные антивирусные продукты используют перехват системных вызовов для того, чтобы можно обнаруживать вредоносные программы, например, уже на стадии их выполнения. Например, на использовании подобных перехватов построена технология System Watcher (http://support.kaspersky.eom/us/8057#block1). Перехватывая системные вызовы, которые ведут к подозрительным действиям (например, запись исполняемого файла в папку Windows), можно блокировать даже пока еще неизвестные вредоносные программы, что является одним из ключевых достоинств современных антивирусов.

Однако возможность перехвата вызовов системных сервисов в 64-х разрядных версиях операционной системы (ОС) Windows ограничивается реализованной Microsoft системой защиты Patch Guard (http://msdn.microsoft.com/en-us/library/windows/hardware/dn613955 (v=vs.85).aspx), препятствующей применению классических методов перехвата. Patch Guard отслеживает изменения в ряде важных объектов ядра ОС (как вредоносных изменений в следствии работы руткитов или же из-за модификаций сторонним программным обеспечением, таким как антивирусы), например таблицу системных вызовов или таблицу векторов прерываний (англ. Interrupt Descriptor Table, IDT), и при обнаружении изменений в них вызывает крах системы.

В настоящий момент описаны технологии, которые позволяют обойти защиту, аналогичную PatchGuard. Например, патент US7996836 описывает подход к использованию гипервизора для обхода Patchguard. При использовании гипервизора появляется возможность создания перехватчиков упомянутых объектов ядра без краха системы.

Таким образом, обход защиты PatchGuard возможен при помощи аппаратной виртуализации. Однако создание перехватчиков для объектов ядра (например, для контроля SSDT) требует знания их внутренней структуры, которая меняется в зависимости от версии ОС Windows, что требует выпуска адаптированной версии перехватчика для поддержки очередной версии ОС.

Анализ предшествующего уровня техники позволяет сделать вывод о неэффективности и в некоторых случаях о невозможности применения предшествующих технологий, недостатки которых решаются настоящим изобретением, а именно способом вызова системных функций в условиях использования средств защиты ядра операционной системы.

Раскрытие изобретения

Технический результат настоящего изобретения заключается в обеспечении вызова системных функций в условиях использования средств защиты ядра операционной системы.

Согласно одному из вариантов реализации, предлагается способ вызова системных функций, во время которых выполняют следующие этапы: загружают гипервизор для перехвата обработчика системных вызовов; модифицируют структуры ядра операционной системы, связанные с вызовами системных функций, при этом указанные структуры ядра операционной системы включают, по меньшей мере: а) обработчик системных вызовов; б) таблицу системных вызовов, в которой заменяют адрес вызова, по меньшей мере, одной системной функции, на адрес вызова другой функции, сохраняя при этом оригинальный адрес вызова системной функции; перехватывают вызов обработчика системных вызовов с помощью гипервизора; вызывают другую функцию по замененному адресу в таблице системных вызовов; вызывают системную функцию по сохраненному оригинальному адресу.

Краткое описание чертежей

Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:

Фиг. 1а приводит пример модификации системного вызова.

Фиг. 2 иллюстрирует пример загрузки обработчика.

Фиг. 3 приводит способ использования гипервизора для обхода Patch Guard.

Фиг. 4 иллюстрирует способ обработки системных вызовов.

Фиг. 5 иллюстрирует пример реализации компьютерной системы, на которой может быть реализовано настоящее изобретение.

Фиг. 6 показывает пример выполнения API-функции в операционной системе Windows.

Фиг. 7 приводит пример вызова системной службы.

Описание вариантов осуществления изобретения

Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, необходимыми для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется в объеме приложенной формулы.

Для лучшего понимания настоящего изобретения, в первую очередь будет приведено описание работы механизмов вызова системных функций в ОС Windows.

Фиг. 6 показывает пример выполнения API-функции в операционной системе Windows. В качестве примера API-функции была выбрана WriteFile. На этапе 610 Windows приложение (например, Microsoft Word или Notepad) пытается записать данные в файл путем вызова соответствующей Win32 API функции WriteFile в Kernel32.dll. Затем на этапе 620 происходит вызов NtWriteFile в Ntdll.dll (т.е. происходит последовательный вызов всех связанных системных функций), что в свою очередь приводит к вызову системного прерывания на этапе 630 и поиску соответствующего обработчика (что делает функция KiSystemService в Ntoskrnl.exe) при вызове NtWriteFile. Отметим, что данный процесс происходит в режиме пользователя, а после вызова прерывания происходит переход в режим ядра. На этапе 640 происходит вызов NtWriteFile уже непосредственно в Ntoskrnl.exe и непосредственно выполнение записи в файл на этапе 650 (здесь также скрыты детали, связанные с работой драйвера файловой системы).

Разберем более подробно этап 630, связанный с вызовом инструкции SYSCALL. В настоящий момент в современных процессорах архитектуры х86 для перехода из режима пользователя (англ. user mode) в режим ядра (англ. kernel mode) требуется вызвать инструкцию SYSCALL/SYSENTER (далее будем использовать только SYSCALL). На архитектуре х64 адрес данного обработчика хранится в регистре LSTAR (Long System Target-Address Register), который относится к регистрам MSR (Machine Specific Registers).

На Фиг.7 приведен пример вызова системной службы. При переходе в режим ядра диспетчер системных служб 710 (в ОС Windows это KiSystemService) копирует аргументы системного вызова из стека потока пользовательского режима в свой стек режима ядра (чтобы пользователь не смог изменить аргументы при обращении к ним ядра), а затем выполняет системную службу 720 из таблицы системных служб 730 (в ОС Windows это System Service Dispatch Table, SSDT).

Таким образом, в рамках работающих таких методов защиты, как Patch Guard, для модификации системной службы 720 потребуется модифицировать саму таблицу 730, что приведет к краху системы. Для того чтобы можно было обойти подобное ограничение, требуется создать собственную копию таблицы 730, но, кроме того, использовать собственный обработчик вызова SYSCALL (далее для упрощения будем использовать сокращение обработчик) с целью использования собственной таблицы системных служб (будем считать это структурами операционной системы, связанными с вызовами системных функций). Далее на Фиг. 2 и 3 будет рассмотрен пример создания и использования обработчика вызова SYSCALL.

На Фиг. 1а приведен пример модификации системного вызова (например, обработчика определенной файловой операции). В адресном пространстве ядра 100 по определенному адресу загружен оригинальный обработчик 110, который необходимо модифицировать под свои нужды. Модификация кода может быть основана на использования ряда таких приемов, как подмена адреса (например, с помощью модификации SSDT/IDT таблиц), непосредственное изменение обработчика (например, с помощью сплайсинга) или модификация тела самой системной функции. Подменив адрес обработчика 110 на адрес другого обработчика 120 можно реализовать необходимый функционал, например, включив антивирусную проверку ряда файловых или реестровых операций. Однако отметим, что, так как Patch Guard проверяет значения регистра MSR, то подменить значение данного регистра (более подробно про этот регистр описано ниже) с использованием вышеописанных техник невозможно.

Для обхода Patch Guard можно использовать виртуализацию, используя гипервизор. На Фиг. 3 приведен пример использования гипервизора для обхода Patch Guard. Гипервизор 300 имеет более высокую привилегию для выполнения (уровень - 1, в то время как у ядра 0, а уровень пользовательских приложений 3), может быть загружен в любой момент, как при старте ОС, так и во время ее работы. При инициализации гипервизора 300 задается список инструкций, который можно перехватывать с его помощью. Для перехвата инструкции SYSCALL достаточно указать перехват инструкций RDMSR (чтение MSR) и WRMSR (запись в MSR).

Таким образом, используя гипервизор 300 можно контролировать регистр MSR (в частности, LSTAR, далее для обобщения будем использовать лишь MSR), записывая необходимое значение 320а и сохраняя оригинальное значение 3206. Это дает возможность подставлять оригинальное значение 3206 для считывания такими средствами защиты как Patch Guard (и не вызывая краха системы), но в то же время использовать необходимый адрес 320а для использования измененного обработчика.

Пример загрузки обработчика приведен на Фиг. 2. На этапе 210 происходит определение адреса в памяти кода оригинального обработчика 110 - определяется размер и положение в памяти загруженного образа. Затем на этапе 220 создается копия обработчика 110 в виде образа 120. Размер памяти под копию должен быть выделен с учетом возможных изменений. Предпочтительным вариантом является выделение памяти в памяти уже загруженного драйвера 130, что облегчит модификацию кода обработчика. Подобными изменениями являются - модификация относительных ссылок на этапе 230, замена в коде обработчика 120 адресов сервисных таблиц (например, SSDT) на этапе 240 и инициализация таблицы исключений на этапе 250. Последнее необходимо для того, что корректно обрабатывать исключения, связанные с выполнением кода обработчика 120. Все вышеперечисленные изменения возможно сделать с применением дизассемблера, которые необходим для разбора команд обработчика 110 и их последующей модификации (этапы 230 - 250). Данные изменения являются необходимыми для того, чтобы можно корректно заменить обработчик 110. Другие изменения могут относится к различным областям компьютерной безопасности, связанной с анализом перехваченных вызовов.

После того, как обработчик 120 был инициализирован, его можно использовать для перехвата системных вызовов. В качестве интересующих вызовов можно рассматривать файловые и реестровые операции, операции, связанные со снятием снимков экрана. Можно отметить, что в последних версиях ОС Windows можно использовать перехваты файловых и реестровых операций, используя сам API ОС.

В рамках ОС Windows для борьбы с определенным классом вредоносных программ, которые делают снимки экрана (скриншоты, англ. screenshots) с целью выделения в них важной пользовательской информации (например, пароли), требуется обеспечить контроль перехватов функций, связанных с снятием снимков экрана. Существует ряд техник, которые позволяют получить описатель (дескриптор) окна необходимого приложения и скопировать растр (англ. bitmap) с него или же использовать поверхности Direct3D (Direct3D surface) для их преобразования в растр прямо в памяти и последующим сохранением на диск для анализа. Для того, чтобы можно было отследить вредоносные приложения, которые используют подобные техники, требуется не только обеспечить перехват вызова SYSCALL, но также модифицировать SSDT таблицу для перехвата необходимых вызовов.

Надо отметить, что гипервизор 300 не обязательно загружать всегда и держать его в памяти во время работы ОС. Гипервизор 300 может быть загружен и во время работы ОС при выполнения одного из следующих условий:

- Загрузка критичного приложения (например, банковского приложения), для которого необходимо обеспечить защиту от снятия снимков экрана.

- Пользователь зашел на сайт банка или платежной системы (например, PayPal), в рамках которого также требуется обеспечить защиту от снятия снимков экрана.

- Антивирусное приложение требует наличия самозащиты (т.е. защита от попыток закончить процесс антивирусного приложения или остановить работу антивирусного драйвера), что приводит к необходимости отслеживания соответствующих системных вызовов.

- Более гибкое управление системой контроля приложений (англ. application control) с помощью подмены системных вызовов, реализация изолированной среды (англ. sandbox).

- Осуществление глубокой проверки подозрительного приложения в рамках эмуляции его поведения. В этом случае вызываются не настоящие обработчики сервисных функций ядра, а вызываются специальные функции эмулятора поведения ОС. При этом никаких изменений в настоящей ОС не проводится, однако приложение считает, что выполняется на реальной системе. На основе протоколов эмулятора определяется степень опасности приложения. Данная проверка может осуществляться как на машине пользователя, так и на выделенном облачном сервисе.

При выполнении одного из подобных условий на этапе 410 на Фиг. 4 (которая иллюстрирует способ обработки системных вызовов) будет загружен гипервизор. Таблица SSDT будет модифицирована на этапе 420. Обработчик функции SYSCALL будет загружен на этапе 430 (загрузка проиллюстрирована на Фиг. 2). На этапе 440 происходит перехват вызова, с помощью модифицированной таблицы SSDT контекст вызова (например, какой процесс произвел вызов) передается на этапе 450 на антивирусный анализ (т.е. произошел вызов другой функции), в рамках которого, например, может быть определено, является ли вредоносным процесс, который осуществил вызов. Так как после вызова другой функции (например, для антивирусной проверки) по замененному адресу в таблице системных вызовов требуется обеспечить корректное выполнение кода системного вызова, то после этого вызывают системную функцию по сохраненному оригинальному адресу.

Также стоит отметить, что в ряде случаев может потребоваться синхронизация оригинальной и модифицированной таблицы SSDT. Оригинальная таблица SSDT может быть обновлена в рамках процедуры hot patching.

Кроме того, предложенная схема перехвата с использованием гипервизора может быть реализована таким образом, что бы не снижать уровень защиты ОС обеспечиваемого технологией PatchGuard, так как все загружаемые модули на х64 системах проходят проверку подписи и с помощью гипервизора может быть реализована защита копии перехватчика и копии сервисных таблиц от изменения, обеспечивая даже более надежный эквивалент защиты PatchGuard.

Фиг. 5 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26 содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.

Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.

Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.

Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.

Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 является таким же персональным компьютером или сервером, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 5. В вычислительной сети могут присутствовать также и другие устройства, например маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.

Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.

В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой.

1. Способ вызова системных функций, во время которых выполняют следующие этапы:
• загружают гипервизор для перехвата обработчика системных вызовов (функция SYSCALL) с целью обхода Patch Guard, при этом гипервизор загружается во время работы операционной системы при выполнении, по крайней мере, одного из следующих условий:
- загрузка банковского приложения, для которого необходимо обеспечить защиту от снятия снимков экрана;
- требование защиты антивирусного приложения от попыток закончить процесс антивирусного приложения или остановить работу антивирусного драйвера;
- осуществление проверки подозрительного приложения в рамках эмуляции его поведения;
• модифицируют структуры ядра операционной системы, связанные с вызовами системных функций, при этом указанные структуры ядра операционной системы включают:
а) обработчик системных вызовов;
б) таблицу системных вызовов, в которой заменяют адрес вызова системной функции, на адрес вызова другой функции, сохраняя при этом оригинальный адрес вызова системной функции;
• перехватывают вызов обработчика системных вызовов с помощью гипервизора, используя перехват инструкций RDMSR и WRMSR;
• вызывают функцию для антивирусной проверки по замененному адресу в таблице системных вызовов;
• вызывают системную функцию по сохраненному оригинальному адресу.

Изобретение относится к области регулирования процессов для режима ожидания в компьютерной среде. Предлагается, по меньшей мере, один метод и/или одна система для присваивания классификаций управления питанием процессу, перехода компьютерной среды в режим ожидания с подключением на основании классификаций управления питанием, присвоенных процессам, и перехода компьютерной среды из режима ожидания с подключением в режим выполнения.

Многопоточная сортировка элементов данных в электронных таблицах // 2574833

Изобретение относится к способу, системе и компьютерному носителю данных для сортировки данных в электронной таблице. Технический результат заключается в ускорении сортировки данных в электронной таблице.

Устройство дистанционного управления, система дистанционного управления, способ дистанционного управления и программа // 2552637

Изобретение относится к области устройств дистанционного управления, а именно к устройству дистанционного управления с сенсорным устройством ввода данных. Техническим результатом является обеспечение возможности непрерывного управления, что уменьшает вероятность неправильного ввода команд.

Совместное использование планирования работ в электронной записной книжке // 2546326

Изобретение относится к компьютерной технике, а именно к системам электронных записных книжек. Техническим результатом является автоматизация планирования для синхронизации новой работы посредством экземпляра клиента в зависимости от информации совместно используемой записной книжки, основанной на информации отслеживания.

Расширяемость для основывающейся на web визуализации диаграмм // 2524855

Группа изобретений относится к расширяемой архитектуре и потоку данных, которые позволяют машине обновления диаграмм запускать модули пользовательского кода. Техническим результатом является снижение объема данных, хранимых на клиентском устройстве.

Виртуальная опциональная плата для использования в выполнении измерительных операций // 2522034

Группа изобретений относится к средствам увеличения функциональности измерительного устройства. Технический результат заключается в обеспечении конфигурирования измерительного устройства для конкретных измерительных операций.

Способ и аппаратура для обеспечения поддержки альтернативных вычислений в реконфигурируемых системах-на-кристалле // 2519387

Группа изобретений относится к области микроэлектроники и вычислительной технике и может быть использована для построения высокопроизводительных вычислительных систем для обработки потоков данных в режиме реального времени.

Система и способ обеспечения масштабируемых вычислений между портативным вычислительным устройством и стыковочной станцией портативного вычислительного устройства // 2504827

Изобретение относится к стыковочным станциям портативных вычислительных устройств. Техническим результатом является обеспечение доступа к мощности и сохранение функциональных возможностей при уменьшении размеров PCD.

Восстановление управления ресурсом обработки, который исполняет внешний контекст исполнения // 2494446

Изобретение относится к области планирования задач процессов для исполнения в компьютерной системе. Техническим результатом является повышение надежности работы планировщика.

Разделение режимов работы для изменений приложения // 2490695

Изобретение относится к средствам обработки изменений в приложениях. .

Терминал и способ управления его приложениями // 2585986

Изобретение относится к синхронизации приложений для одновременного обновления множественных приложений. Для этого способ синхронизации приложений включает в себя этапы, на которых получают тайминг синхронизации ранее зарегистрированного целевого приложения синхронизации или общий тайминг синхронизации ранее зарегистрированных целевых приложений синхронизации, при добавлении приложения, подлежащего синхронизации; и регулируют тайминг синхронизации добавленного приложения с учетом предыдущего тайминга синхронизации или общего тайминга синхронизации. 2 н. и 12 з.п. ф-лы, 15 ил.

Способ контроля хода выполнения программы пользователя, исполняющейся на вычислительных узлах вычислительной системы // 2591020

Изобретение относится к области вычислительной техники, в частности к организации контроля хода выполнения программы, выполняющейся на вычислительной системе, вычислительном кластере. Технический результат - эффективное использование программы пользователя, что обеспечивает своевременное определение причины отказа выполнения пользовательской программы. Способ контроля хода выполнения программы пользователя, исполняющейся на вычислительных узлах вычислительной системы, заключается в том, что функционирующее в каждом вычислительном узле вычислительной системы программное обеспечение системы управления заданиями считывает информацию из потоков стандартной выдачи и диагностики запущенной ею программы пользователя и записывает ее в распределенный программный буфер в оперативной памяти нескольких служебных компьютеров, из которого программное обеспечение системы управления заданиями, функционирующее на управляющем служебном сервере вычислительной системы, считывает и записывает в файлы, находящиеся на отдельном устройстве хранения информации. 1 ил.

Способ и система выбора скважин для добычи углеводородов, подлежащих реконструкции // 2597037

Изобретение относится к эксплуатации нефтяных месторождений. Техническим результатом является обеспечение оперативного контроля и реконструкции скважин на месторождении. Предложен способ выполнения операции реконструкции на скважине для добычи углеводородов, заключающийся в выборе скважины для добычи углеводородов, подлежащей операции реконструкции, а затем выполняют операции реконструкции на указанной скважине для добычи углеводородов. При этом указанный выбор осуществляют следующим образом: вычисляют компьютерной системой множества значений индекса текущих эксплуатационных качеств для соответствующего множества скважин, причем каждое значение индекса текущих эксплуатационных качеств основано на эксплуатационных качествах скважины относительно множества скважин и каждое значение индекса текущих эксплуатационных качеств является безразмерным; вычисляют компьютерной системой множества значений индекса будущих эксплуатационных качеств для соответствующего множества скважин, причем каждое значение индекса будущих эксплуатационных качеств основано на ожидаемых будущих эксплуатационных качествах скважины относительно множества скважин и каждое значение индекса будущих эксплуатационных качеств является безразмерным; комбинируют значения индекса текущих эксплуатационных качеств и значения индекса будущих эксплуатационных качеств для первой скважины с целью образования первого комбинированного индекса; комбинируют значения индекса текущих эксплуатационных качеств и значения индекса будущих эксплуатационных качеств для второй скважины с целью образования второго комбинированного индекса; выбирают скважины для добычи углеводородов на основании первого и второго комбинированных индексов. 3 н. и 22 з.п. ф-лы, 5 ил.

Физический уровень высокопроизводительного межсоединения // 2599971

Изобретение относится к области компьютерных разработок, а более конкретно - к разработке программного обеспечения, включающей в себя координацию взаимозависимых систем с ограничениями. Технический результат - повышение скорости передачи данных в существующих архитектурных межсоединениях. Для этого устройство согласно изобретению содержит: логическую схему интерфейса, предназначенную для того, чтобы дифференцированно передавать сигналы по нескольким путям передачи данных; логическую схему интерфейса, предназначенную для того, чтобы логически группировать данные в кванты информации, причем логическая схема интерфейса предназначена для передачи, по меньшей мере, части первого кванта информации из нескольких квантов информации по нескольким путям передачи информации в течение первого единичного интервала (UI); и, по меньшей мере, части первого кванта информации и второго кванта информации из нескольких квантов информации по нескольким путям передачи данных во время следующего UI. 3 н. и 17 з.п. ф-лы, 17 ил., 2 табл.

Система среды выполнения // 2601198

Изобретение относится к технологиям описания интерфейсов прикладного программирования. Техническим результатом является автоматизация описания интерфейса прикладного программирования. Предложен компьютерно-реализуемый способ описания интерфейсов операционной системы. Способ содержит этап, на котором принимают запрос информации, связанной с одним или более доступными интерфейсами операционной системы. Далее согласно способу получают информацию, связанную с этими одним или более доступными интерфейсами операционной системы, причем эти интерфейсы операционной системы описаны с использованием системы абстрактных типов, при этом система абстрактных типов сконфигурирована для обеспечения описаний интерфейсов, которые являются независимыми от конкретных языков программирования, причем по меньшей мере одно описание интерфейса операционной системы включает в себя описания типов параметров для вызова. 3 н. и 16 з.п. ф-лы, 5 ил.

Автономная сетевая потоковая передача // 2612579

Изобретение относится к области компьютерных и сетевых технологий. Технический результат заключается в обеспечении динамической доставки виртуальных программных приложений и распределении данных приложения между локальным и сетевым хранилищами данных. Технический результат достигается за счет установки фильтра ввода/вывода (I/O) данных, выполненного с возможностью перехватывать запросы файла данных, отправляемых из виртуального программного приложения файловой системе операционной системы, извлекать требуемый файл данных из файловой системы, направлять перехваченный запрос на считывание в хранилище данных, доступное по сети, которое выполнено с возможностью возвращать требуемый файл данных, отправлять требуемый файл данных виртуальному программному приложению, а также за счет генерирования метаданных, описывающих, какие требуемые части виртуального приложения сохранены в локальном хранилище. 3 н. и 12 з.п. ф-лы, 4 ил.

Процессоры, способы, системы и команды с предикацией элементов упакованных данных // 2612597

Изобретение относится к процессорам, которые способны обрабатывать упакованные данные. Технический результат заключается в повышении быстродействия и надежности хранения данных. Процессор включает в себя некоторый первый режим, в котором процессор не должен использовать маскирование операции над упакованными данными, и некоторый второй режим, в котором процессор должен использовать маскирование операции над упакованными данными. Декодирующий блок должен в первом режиме декодировать немаскированную команду обработки упакованных данных, предназначенную для некоторой данной операции над упакованными данными, а во втором режиме декодировать маскированную команду обработки упакованных данных, предназначенную для маскированного варианта данной операции над упакованными данными. Исполняющий блок должен, в ответ на декодирование декодирующим блоком, в первом режиме, немаскированной команды, выполнять данную операцию над упакованными данными. Исполняющий блок должен, в ответ на декодирование декодирующим блоком, во втором режиме, маскированной команды, выполнять маскированный вариант данной операции над упакованными данными. 3 н. и 20 з.п. ф-лы, 22 ил.

Обслуживание событий для локальных приложений-клиентов посредством локального сервера // 2616162

Изобретение относится к вычислительной техники, а именно к обработке запросов в архитектуре клиент–сервер. Технический результат – эффективная обработка запросов сервером от имени приложений–клиентов на одном устройстве. Способ выполнения запросов на устройстве, имеющем процессор, исполняющий по меньшей мере одно локальное приложение-клиент, при этом способ содержит этап, на котором исполняют на устройстве команды, сконфигурированные генерировать локальный сервер, связывающий по меньшей мере один серверный сценарий с по меньшей мере одним локальным событием, по приему от локального приложения-клиента запроса подписки, задающего выбранное локальное событие, связывать выбранное локальное событие с локальным приложением-клиентом, по обнаружению локального события, связанного с по меньшей мере одним серверным сценарием и локальным приложением-клиентом, исполнять внутри локального сервера серверные сценарии, связанные с и относящиеся к этому локальному событию, от имени локального приложения-клиента, по приему запроса подписки, задающего адресата, от локального приложения-клиента, определять, содержит ли адресат локальный сервер на упомянутом устройстве, по определению того, что адресат содержит локальный сервер на упомянутом устройстве, представлять запрос подписки, задающий адресата, в локальный сервер, и по определению того, что адресат содержит удаленный сервер вне упомянутого устройства, отправлять запрос подписки, задающий адресата, в удаленный сервер. 5 н. и 15 з.п. ф-лы, 8 ил.

Способ и устройство облачного хранения данных с использованием съемных накопителей информации // 2624574

Изобретение относится к способу и устройству облачного хранения данных с использованием съемных накопителей информации. Технический результат заключается в автоматической синхронизации данных между съемным накопителем информации и облачным хранилищем. В способе выполняют подключение к компьютеру устройства облачного хранения данных, запуск программы для синхронизации устройства с облачным хранилищем данных, изменение данных на устройстве облачного хранения, синхронизацию данных, расположенных на устройстве с данными, расположенными в облачном хранилище, при этом первоначально в разъем устройства облачного хранения вставляют внешний накопитель информации, подключают устройство облачного хранения к компьютеру, после чего на компьютере запускают программу синхронизации с облачным хранилищем данных, изменяют данные, хранящиеся в файловой системе съемного накопителя информации, при наличии доступа к интернету программа синхронизации автоматически производит аналогичные изменения данных в облачном хранилище, при разрыве соединения с интернетом программа синхронизации автоматически фиксирует изменения файловой системы съемного накопителя информации и после восстановления интернет соединения данные в автоматическом режиме синхронизируются с облачным хранилищем данных. 2 н. и 13 з.п. ф-лы, 2 ил.

Электронное обнаружение в хранилищах // 2624576

Изобретение относится к вычислительной технике, в частности к способу обнаружения электронных данных. Технический результат заключается в обеспечении обнаружения электронных данных в различных источниках данных. Технический результат достигается за счет определения первого источника данных для включения в процесс обнаружения электронных данных, определения второго источника данных для включения в процесс обнаружения электронных данных, отправки федеративного запроса для выполнения поиска с обнаружением электронных данных с блока управления eDiscovery на первый источник данных, отправки федеративного запроса для выполнения поиска с обнаружением электронных данных с блока управления eDiscovery на второй источник данных и приема информации состояния от первого и второго источников данных, указывающей статус выполнения функции обнаружения электронных данных на первом и втором источниках данных. 7 з.п. ф-лы, 4 ил.