Способ выполнения обращения к процедурам загрузочного драйвера

Авторы патента:

Русаков Вячеслав Евгеньевич (RU)

Паршин Юрий Геннадьевич (RU)

Киржеманов Андрей Леонидович (RU)

G06F21/57 - Обработка цифровых данных с помощью электрических устройств (вычислительные машины, в которых часть вычислений осуществляется гидравлическими или пневматическими устройствами G06D; оптическими средствами G06E; автономные внешние вводные и выводные устройства G06K; компьютерные системы, основанные на специфических вычислительных моделях G06N; цепи полного /активного и реактивного/ сопротивления H03H)

Владельцы патента RU 2586576:

Закрытое акционерное общество "Лаборатория Касперского" (RU)

Изобретение относится к области обеспечения безопасности программного обеспечения, а именно к способам выполнения обращения к процедурам загрузочного драйвера. Технический результат заключается в обеспечении доступа к исходным процедурам загрузочных драйверов в случае перехвата процедур руткитами путем выполнения обращения к процедурам по крайней мере одного загрузочного драйвера по ранее сохраненным адресам. Способ выполнения обращения к процедурам загрузочного драйвера, в котором: а) в процессе загрузки операционной системы с помощью драйвера-перехватчика считывают список неинициализированных загрузочных драйверов, которые были загружены в память, но еще не инициализированы; б) с помощью драйвера-перехватчика устанавливают обработчик для перехвата вызова процедуры инициализации по крайней мере одного загрузочного драйвера из списка неинициализированных загрузочных драйверов; в) при установке обработчиком перехвата процедуры инициализации загрузочного драйвера, с помощью упомянутого обработчика заменяют ранее считанный адрес точки входа загрузочного драйвера адресом точки входа упомянутого обработчика; г) с помощью установленного обработчика перехватывают вызов процедуры инициализации по крайней мере одного загрузочного драйвера из списка неинициализированных загрузочных драйверов; д) с помощью обработчика сохраняют информацию по крайней мере об одном загрузочном драйвере, заполненную по крайней мере одним упомянутым загрузочным драйвером в процессе инициализации, при этом упомянутая информация об упомянутом загрузочном драйвере содержит по крайней мере адрес точки входа по крайней мере одной процедуры загрузочного драйвера; е) с помощью по крайней мере одного из: драйвера-перехватчика, драйвера антируткит выполняют обращение к процедурам по крайней мере одного загрузочного драйвера по ранее сохраненным адресам точек входа. 3 з.п. ф-лы, 3 ил.

Область техники

Изобретение относится к области обеспечения безопасности программного обеспечения, а именно к способам выполнения обращения к процедурам загрузочного драйвера.

Уровень техники

В настоящее время все большую опасность представляют вредоносные программы класса руткит, реализованные в виде драйверов режима ядра операционной системы (ОС). Руткит - вредоносная программа, предназначенная для сокрытия своего функционирования в системе путем перехвата системных функций, подмены системных библиотек или перехвата процедур-обработчиков системных драйверов, например: драйвера диска, сетевого драйвера и пр.

Для решения задачи обнаружения руткитов режима ядра в патенте US 8479292 B1 описывается технология обнаружения и лечения зараженных загрузочных драйверов. Способ заключается в сравнении точек входа загрузочного драйвера, считанных на этапе загрузки ОС (актуальная точка входа) и после загрузки ОС (оригинальная точка входа). При обнаружении отличия между ними в процессе загрузки ОС актуальная точка входа загрузочного драйвера изменяется на оригинальную точку входа. После загрузки системы обнаруженные руткиты могут быть обезврежены антивирусом.

Стоит отметить, что модификация руткитами точек входа загрузочных драйверов обычно происходит динамически при каждой перезагрузке системы. В этом случае описанная выше технология не позволит выявить зараженный драйвер, т.к. актуальная точка входа еще не будет модифицирована.

Анализ предшествующего уровня техники позволяет сделать вывод о неэффективности и в некоторых случаях о невозможности применения предшествующих технологий, недостатки которых решаются настоящим изобретением, а именно системой и способом выполнения обращения к процедурам загрузочного драйвера.

Раскрытие изобретения

Настоящее изобретение относится к способам выполнения обращения к процедурам загрузочного драйвера.

Технический результат заключается в обеспечении доступа к исходным процедурам загрузочных драйверов в случае перехвата процедур руткитами путем выполнения обращения к процедурам по крайней мере одного загрузочного драйвера по ранее сохраненным адресам.

Согласно варианту реализации используется способ выполнения обращения к процедурам загрузочного драйвера, в котором: в процессе загрузки операционной системы с помощью драйвера-перехватчика считывают список неинициализированных загрузочных драйверов; с помощью драйвера-перехватчика устанавливают обработчик для перехвата вызова процедуры инициализации по крайней мере одного загрузочного драйвера из списка неинициализированных загрузочных драйверов; с помощью установленного обработчика перехватывают вызов процедуры инициализации по крайней мере одного загрузочного драйвера из списка неинициализированных загрузочных драйверов; с помощью обработчика сохраняют информацию по крайней мере об одном загрузочном драйвере, заполненную по крайней мере одним упомянутым загрузочным драйвером в процессе инициализации, при этом упомянутая информация об упомянутом загрузочном драйвере содержит по крайней мере адрес точки входа по крайней мере одной процедуры загрузочного драйвера; с помощью по крайней мере одного из: драйвера-перехватчика, драйвера антируткит выполняют обращение к процедурам по крайней мере одного загрузочного драйвера по ранее сохраненным адресам.

Согласно одному из частных вариантов реализации при установке обработчиком перехвата процедуры инициализации загрузочного драйвера, с помощью упомянутого обработчика заменяют ранее считанный адрес точки входа загрузочного драйвера адресом точки входа упомянутого обработчика.

Согласно другому частному варианту реализации с помощью драйвера-перехватчика считывают список загрузочных драйверов в системном реестре.

Согласно еще одному частному варианту реализации с помощью драйвера-перехватчика считывают список неинициализированных загрузочных драйверов с использованием загрузчика.

Согласно одному из частных вариантов реализации информация о загрузочном драйвере дополнительно содержит по крайней мере одно из: имя; адрес загрузки загрузочного драйвера в памяти; адрес точки входа; параметры, передаваемые загрузочному драйверу загрузчиком в процессе инициализации; путь к драйверу в реестре; объект драйвера.

Краткое описание чертежей

Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:

на Фиг. 1 представлен процесс загрузки операционной системы;

на Фиг. 2 изображен способ перехвата вызова процедуры инициализации загрузочного драйвера;

Фиг. 3 представляет пример компьютерной системы общего назначения.

Описание вариантов осуществления изобретения

Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, обеспеченными для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется в объеме приложенной формулы.

На Фиг. 1 представлен процесс загрузки операционной системы (ОС), включающий этап инициализации драйвера-перехватчика согласно настоящему изобретению. Подобный процесс загрузки ОС характерен для большинства ОС, например: Windows, Unix, OS X, Android и пр. После включения питания компьютера, на шаге 101 загружается BIOS (англ. basic input/output system - «базовая система ввода-вывода»), и с помощью программно-аппаратных средств, записанных в BIOS, производится инициализация оборудования компьютера и запуск самотестирования аппаратного обеспечения компьютера - POST (power-on self-test). Процесс самотестирования заканчивается, когда BIOS находит системный раздел жесткого диска, считывает MBR (англ. master boot record - главная загрузочная запись) и запускает менеджер загрузки (например, в ОС Windows, Bootmgr.exe). Менеджер загрузки находит на системном разделе жесткого диска загрузчик ОС (например, в ОС Windows, Winload.exe) и запускает его на этапе 102. Стоит отметить, что во многих современных компьютерах BIOS заменен на UEFI (англ. Unified Extensible Firmware Interface - объединенный расширяемый интерфейс прошивки), a MBR - на GPT (англ. GUID Partition Table - стандарт формата размещения таблиц разделов на физическом жестком диске) соответственно, которые могут быть использованы в настоящем изобретении.

На шаге 103 загрузчик ОС инициализирует основные системные драйверы, необходимые для считывания данных с диска и инициализации ядра ОС. На шаге 104 загрузчик ОС загружает куст системного реестра и системные драйверы, необходимые для инициализации ОС, после чего передает считанные данные ядру ОС. На шаге 105 происходит инициализация драйвера-перехватчика, установленного антивирусным приложением. В частном варианте реализации в ОС Windows загрузка драйвера-перехватчика раньше остальных драйверов может быть обеспечена путем установления группы раннего запуска в реестре. Например, в ОС Windows в реестр будет записано значение SERVICE_BOOT_START элемента Start Type, считанное из INF-файла драйвера. Кроме этого антивирусное приложение может изменить список групп запуска.

Далее, на шаге 106, происходит инициализация остальных загрузочных драйверов и на шаге 107 инициализируются обычные драйверы и программное обеспечение (ПО). Загрузка ОС завершается на шаге 108. В частном варианте реализации, если на компьютере был установлен руткит, его драйвер может быть инициализирован также на шаге 107.

На Фиг. 2 изображен способ перехвата вызова процедуры инициализации загрузочного драйвера. При инициализации загрузочных драйверов на этапе 106 загрузчик ОС 210 посредством PnP-менеджера (англ. Plug and Play Manager - менеджер быстрого определения и конфигурирования устройств, являющийся частью ядра ОС) по очереди передает управление на точку входа 221 каждого загрузочного драйвера 220 (далее для иллюстративности будет упоминаться как драйвер). В частном варианте реализации загрузчик ОС 210 передает загрузочному драйверу 220 в качестве аргументов указатель на объект драйвера (структура, содержащая указатели на процедуры драйвера, например в ОС Windows - структура DRIVER_OBJECT) и путь к ключу драйвера в реестре. В качестве примера в ОС Windows за инициализацию 222 драйвера отвечает процедура DriverEntry, точкой входа которой является DriverInit - элемент структуры DRIVER_OBJECT.

В процессе инициализации 222 загрузочного драйвера 220 выполняются следующие действия.

1. В объекте драйвера сохраняются точки входа для процедур драйвера 223. Процедуры драйвера включают как стандартные процедуры (в ОС Windows, например, - AddDevice, StartIo, Unload и пр.), так и собственные процедуры драйвера.

2. Создаются и инициализируются различные объекты, используемые драйвером, и устанавливаются различные системные ресурсы драйвера.

3. Освобождается неиспользуемая выделенная память.

4. Загрузчику ОС возвращается статус о завершении инициализации драйвера 224 и возможности принимать и выполнять запросы от PnP-менеджера для конфигурации, добавления и запуска устройств.

Т.к. драйвер-перехватчик 230 был инициализирован одним из первых среди загрузочных драйверов на шаге 105, после инициализации он находит и считывает список загрузочных драйверов, которые были загружены в память, но еще не инициализированы. В частном варианте реализации такой список может быть считан в системном реестре или с использованием загрузчика ОС 210 (например, в ОС Windows список может содержаться в структуре KeLoaderBlock, сформированной и переданной на точку входа ядра ОС загрузчиком ОС).

В частном варианте реализации список неинициализированных загрузочных драйверов может содержать следующую информацию:

- имя;

- адрес загрузки загрузочного драйвера в памяти;

- путь к драйверу в реестре;

- объект драйвера;

- адрес точки входа.

После получения списка загрузочных драйверов драйвер-перехватчик 230 устанавливает обработчик перехватов 231, необходимый для перехвата вызовов процедур инициализации загрузочных драйверов. В частном варианте реализации, при установке обработчиком перехватов 231 процедур инициализации загрузочных драйверов, обработчик перехватов 231 заменяет адрес точки входа загрузочного драйвера 220, указатель на который содержится в списке загрузочных драйверов, на адрес точки входа обработчика перехватов 231. При этом оригинальная точка входа драйвера 221 будет сохранена обработчиком перехватов 231. Таким образом, при передаче загрузчиком ОС 210 управления на точку входа 221 управление будет перехвачено обработчиком перехватов 231. Далее обработчик перехватов 231 передаст управление на ранее сохраненную оригинальную точку входа драйвера 221.

После завершения процедуры инициализации 224 управление будет передано обратно обработчику перехватов 231, который вызвал инициализацию драйвера 220. Обработчик перехватов 231 сохраняет информацию о загрузочном драйвере 220, заполненную им в процессе своей инициализации. В частном варианте реализации сохраненная информация может содержать:

- имя загрузочного драйвера 220;

- адреса точек входа части или всех процедур загрузочного драйвера 220;

- параметры, передаваемые загрузочному драйверу 220 загрузчиком ОС 210 в процессе инициализации;

- путь к драйверу в реестре;

- адрес точки входа;

- сам объект драйвера.

В еще одном частном варианте реализации информация о загрузочном драйвере 220, а также его оригинальная точка входа могут быть сохранены в области памяти, выделенной для драйвера-перехватчика.

После загрузки ОС на шаге 108 различные приложения уровня пользователя получают возможность вызова процедур доступа. Посредством обращения к процедурам драйвера может быть обеспечен доступ к аппаратному обеспечению различных устройств посредством драйверов этих устройств. Для сокрытия своего присутствия и присутствия других вредоносных компонент в системе руткит может перехватывать вызовы приложениями процедур драйверов в памяти с последующей фильтрацией обращений к соответствующим устройствам.

Для предотвращения вредоносной активности на последнем шаге настоящего изобретения драйвер-перехватчик 230 выполняет обращения к оригинальным процедурам загрузочных драйверов. В ОС Windows за работу с диском отвечает драйвер SCSI Port Driver. Доступ к процедурам драйвера, которые отвечают за работу с дисковыми запросами (например, IRP_MJ_INTERNAL_DEVICE_CONTROL, IRP_MJ_SCSI), также будет осуществляться по оригинальным адресам (т.е не модифицированным руткитом) с помощью драйвера-перехватчика 230. Таким образом, если в системе функционирует руткит, то он будет доступен антивирусу несмотря на попытки сокрытия своего функционирования (расположение файла на диске, потоков управления и пр.). Как следствие, в процессе обычной антивирусной проверки руткит будет проанализирован и обнаружен. В частном варианте реализации антивирусная проверка может включать сигнатурный, эвристический анализы, эмуляцию, проверку с использованием репутационного сервиса и пр.

После обнаружения антивирус произведет удаление руткита: будет удален файл на диске, загруженный в память вредоносный код и прочие следы активности руткита. Для проверки, успешно ли прошло удаление, компьютер может быть перезагружен. В некоторых случаях для полного удаления загруженного в память вредоносного кода также потребуется перезагрузка компьютера.

В частном варианте реализации, если удаление руткита или его части невозможно, антивирус может сформировать сценарий лечения, который будет осуществлен на ранней стадии загрузки ОС. После чего потребуется перезагрузка компьютера. Сценарий лечения может содержать, например, адрес расположения файлов руткита на диске и команду на их удаление. В процессе загрузки ОС руткит будет удален одним из антируткит драйверов антивируса, отвечающим за выполнение сценариев лечения.

В частном варианте реализации обращения к оригинальным процедурам загрузочных драйверов может выполнять любой другой драйвер антивируса (например, драйвер антируткит).

Фиг. 3 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована как любая известная из уровня техники шинная структура, содержащая, в свою очередь, память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26 содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.

Персональный компьютер 20, в свою очередь, содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.

Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.

Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39.

Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который, в свою очередь, подсоединен к системной шине, но могут быть подключены иным способом, например при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например колонками, принтером и т.п.

Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 3. В вычислительной сети могут присутствовать также и другие устройства, например маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.

Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.

В соответствии с описанием, компоненты, этапы исполнения, структура данных, описанные выше, могут быть выполнены, используя различные типы операционных систем, компьютерных платформ, программ.

В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой.

1. Способ выполнения обращения к процедурам загрузочного драйвера, в котором:
а) в процессе загрузки операционной системы с помощью драйвера-перехватчика считывают список неинициализированных загрузочных драйверов, которые были загружены в память, но еще не инициализированы;
б) с помощью драйвера-перехватчика устанавливают обработчик для перехвата вызова процедуры инициализации по крайней мере одного загрузочного драйвера из списка неинициализированных загрузочных драйверов;
в) при установке обработчиком перехвата процедуры инициализации загрузочного драйвера, с помощью упомянутого обработчика заменяют ранее считанный адрес точки входа загрузочного драйвера адресом точки входа упомянутого обработчика;
г) с помощью установленного обработчика перехватывают вызов процедуры инициализации по крайней мере одного загрузочного драйвера из списка неинициализированных загрузочных драйверов;
д) с помощью обработчика сохраняют информацию по крайней мере об одном загрузочном драйвере, заполненную по крайней мере одним упомянутым загрузочным драйвером в процессе инициализации, при этом упомянутая информация об упомянутом загрузочном драйвере содержит по крайней мере адрес точки входа по крайней мере одной процедуры загрузочного драйвера;
е) с помощью по крайней мере одного из: драйвера-перехватчика, драйвера антируткит выполняют обращение к процедурам по крайней мере одного загрузочного драйвера по ранее сохраненным адресам точек входа.

2. Способ по п. 1, в котором с помощью драйвера-перехватчика считывают список загрузочных драйверов в системном реестре.

3. Способ по п. 1, в котором с помощью драйвера-перехватчика считывают список неинициализированных загрузочных драйверов с использованием загрузчика.

4. Способ по п. 1, в котором информация о загрузочном драйвере дополнительно содержит по крайней мере одно из:
- имя;
- адрес загрузки загрузочного драйвера в памяти;
- адрес точки входа;
- параметры, передаваемые загрузочному драйверу загрузчиком в процессе инициализации;
- путь к драйверу в реестре;
- объект драйвера.

Изобретение относится к принятию контрмер против атак по сторонним каналам. Технический результат - эффективное обеспечение защиты против атак по сторонним каналам за счет использования функции сопоставления по месту.

Система предоставления услуги анализа/верификации программ, способ управления такой системой, машиночитаемая среда хранения, устройство для анализа/верификации программ, устройство для управления средством анализа/верификации программ // 2586016

Изобретение относится к области анализа и верификации целевой программы с использованием средства анализа/верификации программы. Техническим результатом является эффективная верификация программ на основе выбора для использования одного из нескольких подходящих средств верификации программ.

Устройство шифрования данных (варианты), система на кристалле с его использованием (варианты) // 2585988

Изобретение относится к области шифрования потоков данных. Технический результат - повышение быстродействия процессов криптопреобразования данных.

Способ защиты доступности и конфиденциальности хранимых данных и система настраиваемой защиты хранимых данных // 2584755

Группа изобретений относится к области защиты данных, записанных в хранилище с долговременной памятью, и может быть использована для защиты доступности и конфиденциальности данных.

Способ конфигурирования ветроэнергетической установки, а также ветроэнергетическая установка // 2584629

Изобретение относится к способу конфигурирования ветроэнергетической установки, к ветроэнергетической установке, которая подготовлена для такого конфигурирования и к системе ветроэнергетической установки с ветроэнергетической установкой и банком данных управления.

Способ и устройство для определения результатов сканирования файла с применением множественных ядер // 2584508

Изобретение относится к области сканирования файлов на вирусы. Техническим результатом является эффективное использование множества антивирусных ядер с целью определения результатов сканирования файла.

Способ обеспечения безопасного выполнения файла сценария // 2584507

Изобретение относится к информационной безопасности. Технический результат заключается в повышении безопасности компьютерной системы при выполнении файлов сценария интерпретаторами.

Система и способ защиты операций с электронными деньгами // 2584506

Изобретение относится к способам защиты процесса работы с электронными деньгами. Технический результат заключается в обеспечении безопасности процесса работы с электронными деньгами.

Способ обнаружения и исправления фальсификаций фонограмм на основе представления хургина-яковлева // 2584493

Изобретение относится к области защиты информации от несанкционированного изменения содержания фонограммы, а именно к технологии защиты фонограмм от фальсификаций и восстановления их первоначального содержания.

Способ шифрования информации // 2584454

Изобретение относится к области стеганографии и шифрованию информации. Технический результат - эффективное шифрование и передача этой зашифрованной информации при невозможности ее расшифровки.

Способ обработки дейтаграмм сетевого трафика для скрытия корреспондирующих пар абонентов информационно-телекоммуникационных систем // 2586840

Изобретение относится к средствам защиты информации в компьютерных системах и сетях. Техническим результатом является повышение защищенности от несанкционированного доступа при обмене данными в сети. В способе формируют множество доверенных узлов на правах индивидуальных клиентов оператора связи, которое разбивают на r подмножеств, в списке адресов запоминают: состав подмножеств для каждой из корреспондирующих пар в направлении передачи, перечень разрешенных IP-адресов для каждого из доверенных узлов и абонентов корреспондирующих пар. На доверенных узлах генерируют трафик, после выделения в сформированной дейтаграмме адреса отправителя SA и получателя SB из списка адресов выбирают один из номеров доверенных узлов, выделенных для данной пары, один из разрешенных IP-адресов отправителя и один из разрешенных IP-адресов выбранного доверенного узла, определяют количество Т промежуточных доверенных узлов на маршруте передачи дейтаграммы, записывают в поле «IP-адрес источника» и «IP-адрес назначения» сетевой дейтаграммы выбранные IP-адреса отправителя и выбранного доверенного узла, записывают в поле «Опции» сетевой дейтаграммы количество промежуточных доверенных узлов на маршруте передачи дейтаграммы, после приема сетевой дейтаграммы на доверенном узле проверяют указанное значение Т в поле «Опции», если T=0, то из списка адресов выбирают один из разрешенных IP-адресов получателя и доверенного узла, записывают в поле «IP-адрес источника» и «IP-адрес назначения» сетевой дейтаграммы выбранные IP-адреса доверенного узла и получателя и передают по каналу связи сформированную дейтаграмму. 2 з.п. ф-лы, 4 ил.

Способ для маскирования перехода конца срока службы электронного устройства и устройство, содержащее соответствующий модуль управления // 2586871

Изобретение относится к вычислительной технике. Технический результат заключается в улучшении характеристики маскирования перехода к концу срока службы электронного устройства при поддержании уровня безопасности. Способ маскирования перехода к концу срока службы электронного устройства, в котором перед исполнением текущей команды микропроцессором проверяют значение переменной состояния конца срока службы, загруженной в оперативное запоминающее устройство из энергонезависимого запоминающего устройства; в случае пустого значения исполняют операцию перехода к концу срока службы; в случае непустого значения продолжают инициализацию текущей команды; после обнаружения атаки вторжения записывают упомянутую переменную состояния конца срока службы в единственное оперативное запоминающее устройство и продолжают инициализацию текущей команды; выполняют операцию только удаления переменной состояния конца срока службы в энергонезависимом запоминающем устройстве с отсрочкой таким образом, что операцию выполняют вместо следующей операции обновления, причем операция только удаления заключается в установке пустого значения для переменной состояния конца срока службы, причем операция только удаления является фазой удаления, за которой не следует фаза записи. 3 н. и 6 з.п. ф-лы, 7 ил.

Способ и система автоматического управления лицензиями // 2587422

Изобретение относится к системам и способам администрирования и управления лицензиями на программное обеспечение устройств, а более конкретно к системам и способам автоматического определения порядка применения политик безопасности к устройствам в сети исходя из доступного числа лицензий. Технический результат настоящего изобретения заключается в повышении защищенности устройств компьютерной сети с ограниченным набором лицензий на программное обеспечение. Способ применения политик безопасности к устройствам содержит этапы, на которых: а. выбирают критерии для устройств, которые, по меньшей мере, характеризуют местоположение устройств, пользователей устройств, программное обеспечение устройств и аппаратную часть устройств, где критерии выбирают в зависимости от целей сортировки устройств; б. получают значения критериев для каждого из устройств; в. вычисляют значение коэффициента устройства на основании полученных значений критериев для сортировки устройств, где коэффициент устройства числовое значение, вычисленное из полученных значений критериев для устройств; г. определяют приоритет применения политики безопасности к устройству сортировкой устройств в соответствии с определенным значением коэффициента устройства; д. получают политику безопасности для каждого из устройств и доступные лицензии на программное обеспечение, которое используют для применения на устройстве политики безопасности; е. определяют набор функционала программного обеспечения, способный обеспечить требования полученной политики безопасности; ж. применяют полученную политику безопасности к устройству на основании приоритета определенного в пункте г., программным обеспечением для которого получены доступные лицензии, где выбирают ту лицензию на программное обеспечение для применения полученных политик безопасности из полученных доступных лицензий, которая позволяет использовать набор функционала программного обеспечения, способный применить полученную политику безопасности к устройству, при этом при недоступности лицензии, позволяющей применить политику полностью, выбирают такую из доступных лицензий, которая разрешает использование того объема функционала, который позволит применить полученную политику максимально полно. 7 з.п. ф-лы, 3 ил.

Система и способ обеспечения безопасности онлайн-транзакций // 2587423

Изобретение относится к системам проведения онлайн-транзакций. Технический результат заключается в обеспечении безопасности проведения онлайн-транзакций. Реализуемая компьютером система содержит средство управления, предназначенное для определения начало проведения онлайн-транзакции, производимой с помощью приложения, используемого для проведения онлайн-транзакции, и связано со средством для защищенного ввода данных, с защищенной средой, со средством безопасной передачи данных и со средством оценки рисков, предназначенным для оценки рисков онлайн-транзакции и передачи информации об оценки рисков средству управления. 4 ил., 1 табл.

Способ контроля приложений // 2587424

Изобретение относится к области управления приложениями, а именно к системам и способам контроля приложений. Технический результат настоящего изобретения заключается в повышении защиты вычислительного устройства. Способ формирования правила контроля приложений содержит этапы, на которых: a. обнаруживают неизвестное программное обеспечение, присутствующее на вычислительном устройстве; b. категоризируют по меньшей мере одно неизвестное программное обеспечение путем определения действий, совершаемых программным обеспечением в рамках своего функционирования; c. собирают информацию о присутствующем на вычислительном устройстве программном обеспечении для оценки пользователя вычислительного устройства; при этом оценка пользователя вычислительного устройства представляет собой численную оценку уровня компьютерной грамотности пользователя, чем больше которая, тем с меньшей вероятностью пользователь станет жертвой вредоносных приложений; d. производят оценку пользователя вычислительного устройства на основании собранной на этапе ранее информации о присутствующем на вычислительном устройстве программном обеспечении; при этом для осуществления оценки используют правила, каждое из которых ставит собранной на этапе ранее информации в соответствие число, на которое изменяется оценка пользователя вычислительного устройства; e. формируют правила контроля модулем контроля приложений по крайней мере одного неизвестного программного обеспечения путем сопоставления оценки пользователя вычислительного устройства и результатов проведенной категоризации неизвестного программного обеспечения; f. используют модуль контроля приложений согласно по меньшей мере одному сформированному на этапе ранее правилу контроля модулем контроля приложений неизвестного программного обеспечения. 3 ил., 3 табл.

Система и способ обнаружения направленных атак на корпоративную инфраструктуру // 2587426

Изобретение относится к области защиты от компьютерных угроз. Технический результат изобретения заключается в повышении безопасности вычислительного устройства. Способ обнаружения вредоносных объектов на вычислительном устройстве содержит этапы, на которых: а) получают информацию о по меньшей мере одном объекте на вычислительном устройстве, содержащую в том числе контрольную сумму объекта, при помощи средства обнаружения подозрительных объектов; б) анализируют упомянутую информацию об объекте при помощи средства обнаружения подозрительных объектов, при этом на основании набора эвристических правил, используемых средством обнаружения подозрительных объектов, определяют, является ли анализируемый объект подозрительным или нет; в) собирают при помощи средства обнаружения подозрительных объектов информацию об объекте, если он был признан подозрительным на этапе ранее, при этом упомянутая информация включает по меньшей мере журнал вызовов API-функций, время появления объекта на вычислительном устройстве, и передают собранную информацию о подозрительном объекте средству анализа объектов; г) производят анализ полученной от средства обнаружения подозрительных объектов информации об объекте средством анализа объектов, при этом на основании набора эвристических правил, используемых средством анализа объектов, определяют, является ли подозрительный объект потенциально вредоносным или нет, и посылают запрос на передачу потенциально вредоносного объекта; при этом признание подозрительного объекта потенциально вредоносным в соответствии с эвристическими правилами осуществляется путем сопоставления информации об анализируемом объекте и информации об объектах, хранящейся в базе данных вредоносных объектов и базе данных безопасных объектов; при этом набор эвристических правил, которые используются для упомянутого анализа отличается от набора эвристических правил, используемых средством обнаружения подозрительных объектов; д) получают запрос со стороны средства анализа объектов на передачу потенциально вредоносного объекта при помощи средства обнаружения подозрительных объектов; е) определяют при помощи средства соблюдения политик безопасности возможность передачи потенциально вредоносного объекта средству анализа объектов; при этом, если передача потенциально вредоносного объекта запрещена в соответствии с используемой средством соблюдения политик безопасности политики безопасности, средство соблюдения политик безопасности запрещает передачу потенциально вредоносного объекта средству анализа объектов, в противном случае передача разрешена; ж) передают при помощи средства обнаружения подозрительных объектов потенциально вредоносный объект для анализа средству анализа объектов, если передача была разрешена средством соблюдения политик безопасности на этапе ранее; з) анализируют полученный потенциально вредоносный объект при помощи средства анализа объектов, при этом выясняют, превосходит ли степень сходства потенциально вредоносного объекта с каким-либо объектом из базы данных вредоносных объектов заранее установленный порог, и если степень сходства потенциально вредоносного объекта с каким-либо объектом из базы данных вредоносных объектов превосходит заранее установленный порог, то признают упомянутый объект вредоносным. 2 н.п. ф-лы, 3 ил.

Система и способ оценки надежности правила категоризации // 2587429

Изобретение относится к области защиты от компьютерных угроз, а именно к системам и способам оценки надежности правила категоризации. Технический результат настоящего изобретения заключается в автоматизации анализа надежности правила категоризации на основании сравнения комбинации степеней надежности правила категоризации с установленным числовым порогом. Способ признания правила категоризации надежным содержит этапы, на которых: а) создают при помощи средства создания правила категоризации по меньшей мере одно правило категоризации, которое используется для обучения по меньшей мере одного алгоритма интеллектуального анализа данных; при этом для создания правил категоризации используются файлы из базы данных для обучения; при этом правило категоризации позволяет определить принадлежность файла, к которому оно применяется, к одной из определенных в рамках правила категорий файлов; б) фильтруют при помощи средства обучения алгоритмов по меньшей мере одно созданное на этапе ранее правило категоризации, которое используется для обучения по меньшей мере одного алгоритма интеллектуального анализа данных; при этом результатом фильтрации является выделение набора правил категоризации, каждое из которых разбивает множество файлов для обучения на подмножества файлов, соответствующие определенным в рамках правила категориям файлов, таким образом, что хотя бы одно такое подмножество, соответствующее категории файлов, представляет собой однородное множество файлов; при этом однородное множество файлов содержит только похожие файлы; в) обучают при помощи средства обучения алгоритмов по меньшей мере один алгоритм интеллектуального анализа данных для последующего определения степени надежности правила категоризации с использованием выделенного на этапе ранее набора правил категоризации и множества файлов для обучения, в состав которого входит по меньшей мере одно множество похожих файлов; г) создают при помощи средства создания правила категоризации по меньшей мере одно правило категоризации; д) собирают при помощи средства сбора статистики статистку использования по меньшей мере одного созданного правила категоризации; при этом статистика использования правила категоризации представляет собой информацию о множестве файлов, принадлежащих к каждой из категорий, которые определены в рамках упомянутого правила категоризации; е) определяют при помощи средства определения надежности по меньшей мере одну степень надежности правила категоризации на основании статистики использования правила категоризации с использованием одного из алгоритмов интеллектуального анализа данных; ж) признают при помощи средства определения надежности правило категоризации надежным, если комбинация степеней надежности правила, определенных на этапе г), превышает установленный числовой порог. 2 н. и 10 з.п. ф-лы, 5 ил.

Защищенный пакет данных ремонта // 2587430

Изобретение относится к устройству и способу сохранения набора данных в блоке управления (БУ) системы управления транспортного средства. Технический результат - выполнение в независимой мастерской ремонтных работ, включающих безопасное обновление данных системы управления транспортного средства. Устройство сохранения набора данных в БУ системы управления транспортного средства содержит соединенное с транспортным средством вычислительное средство, приспособленное выполнять прикладную программу доступа, содержащую информацию о конкретном транспортном средстве и информацию о конкретной операции обслуживания, при этом информация является зашифрованной, а устройство приспособлено дешифровать информацию о конкретном транспортном средстве и информацию о конкретной операции обслуживания, деблокировать БУ транспортного средства путем передачи БУ пароля от вычислительного средства, выполнять операцию обслуживания путем сохранения информации о конкретной операции обслуживания в БУ, блокировать БУ путем передачи БУ команды блокирования от вычислительного средства и разрушать прикладную программу, чтобы ее было невозможно использовать вновь. 2 н. и 12 з.п. ф-лы, 2 ил.

Система и способ расчета интервала повторного определения категорий сетевого ресурса // 2589310

Изобретение относится к информационной безопасности. Технический результат заключается в снижении нагрузки на вычислительные ресурсы при определении категории сетевого ресурса. Способ расчета интервала повторного определения категорий содержимого сетевого ресурса, в котором а) анализируют содержимое сетевого ресурса, при этом анализируют содержимое отдельных страниц упомянутого сетевого ресурса; ссылки между отдельными страницами упомянутого сетевого ресурса; ссылки на другие сетевые ресурсы; б) определяют на основании результатов анализа по меньшей мере две категории содержимого упомянутого сетевого ресурса, при этом первая категория определяется как безопасная или небезопасная, вторая категория определяется как нежелательная для просмотра пользователями или нейтральная по содержимому; в) выполняют этапы "а" и "б" по меньшей мере еще один раз; г) на основании категорий, определенных на этапах "а", "б" и "в", вычисляют вероятность изменения по меньшей мере одной категории содержимого упомянутого сетевого ресурса; д) на основании вычисленной вероятности изменения категорий содержимого рассчитывают интервал повторного определения категорий содержимого упомянутого сетевого ресурса. 2 н. и 2 з.п. ф-лы, 3 ил.

Взаимодействие между множеством систем защиты данных // 2589342

Изобретение относится к области систем защиты данных. Техническим результатом является повышение эффективности взаимодействия между множеством систем защиты данных. Раскрыта система для обеспечения взаимодействия между множеством систем для защиты данных. Система включает в себя онтологию, сконфигурированную с возможностью хранения определений понятий, относящихся к элементам интерфейса, по меньшей мере, двух различных систем защиты данных, включающих в себя первую систему защиты данных и вторую систему защиты данных; и генератор отображения, сконфигурированный с возможностью генерирования отображения между, по меньшей мере, одним элементом интерфейса первой системы защиты данных и, по меньшей мере, одним элементом интерфейса второй системы защиты данных на основании онтологии. Система содержит преобразователь сообщения, сконфигурированный с возможностью приема сообщения, сгенерированного с помощью первой системы защиты данных, преобразования сообщения на основании отображения для получения преобразованного сообщения и передачи преобразованного сообщения во вторую систему защиты данных. 3 н. и 11 з.п. ф-лы, 6 ил.