Способ выполнения антивирусных проверок

Авторы патента:

G06F21/56 - Обработка цифровых данных с помощью электрических устройств (вычислительные машины, в которых часть вычислений осуществляется гидравлическими или пневматическими устройствами G06D; оптическими средствами G06E; автономные внешние вводные и выводные устройства G06K; компьютерные системы, основанные на специфических вычислительных моделях G06N; цепи полного /активного и реактивного/ сопротивления H03H)

Владельцы патента RU 2634175:

Акционерное общество "Лаборатория Касперского" (RU)

Изобретение относится к защите от вредоносного программного обеспечения, а именно к выполнению антивирусных проверок. Технический результат – уменьшение количества антивирусных проверок файлов во время записи упомянутых файлов на диск. Способ прекращения выполнения антивирусных проверок файла в процессе записи упомянутого файла на диск, в котором определяют с помощью антивирусного приложения операцию открытия файла приложением пользователя для записи данных, выполняют антивирусную проверку упомянутого файла на наличие вредоносного кода после закрытия упомянутого файла, определяют при отсутствии вредоносного кода в файле количество ранее выполненных антивирусных проверок упомянутого файла с использованием антивирусной таблицы, при этом упомянутая антивирусная таблица связана с антивирусным приложением и содержит количество выполненных антивирусных проверок упомянутого файла, пороговое значение, равное максимальному количеству антивирусных проверок упомянутого файла, увеличивают количество выполненных антивирусных проверок на единицу в антивирусной таблице для упомянутого файла, выполняют первые три этапа в процессе записи файла на диск до тех пор, пока увеличенное количество выполненных антивирусных проверок не превысит упомянутое пороговое значение, когда увеличенное количество выполненных антивирусных проверок превысило упомянутое пороговое значение, прекращают выполнение антивирусных проверок файла. 8 з.п. ф-лы, 3 ил.

Область техники

Изобретение относится к способам защиты от вредоносного программного обеспечения, а именно к способам выполнения антивирусных проверок.

Уровень техники

Зачастую вредоносные и зараженные файлы имеют небольшой размер. В то же время среди больших файлов, размер которых варьируется от десятков мегабайт до нескольких гигабайт, также можно найти файлы, содержащие вредоносный код. Выполнение антивирусной проверки загружаемых или копируемых по сети файлов большого размера зачастую существенно сказывается на производительности компьютера и скорости загрузки файлов. Загрузка и копирование по сети файлов обычно осуществляются с использованием системного кэша файла (англ. system file cache), расположенного в оперативной памяти компьютера. Системный кэш имеет небольшой размер, однако доступ процессов пользователя к данным системного кэша намного быстрее, чем доступ к данным диска. При загрузке файлов, размер которых существенно превосходит размер системного кэша, содержимое системного кэша необходимо сбрасывать (англ. flushing the cache) при заполнении системного кэша. Сброс системного кэша включает операцию копирования содержимого кэша на диск и последующую очистку системного кэша.

Загрузка файлов также может осуществляться без использования системного файлового кэша, то есть с помощью так называемой «сквозной» записи, когда запись данных производится напрямую на диск. Однако при сквозной записи данные дополнительно дублируются в кэш. Кроме этого, загрузка файлов может осуществляться с использованием кэша приложения пользователя, осуществляющего запись. В этих случаях загрузка файлов осуществляется путем записи на диск блоков данных небольшого размера (обычно до 64 килобайт). Для защиты данных в случае сбоя системы после записи очередного блока данных файл закрывается для записи данных (например, запрос менеджера ввода-вывода, IRP_MJ_CLEANUP), после чего снова открывается для записи данных (запрос менеджера ввода-вывода, IRP_MJ_CREATE), и осуществляется запись следующего блока данных.

Частота сброса системного кэша также зависит от приложения, осуществляющего загрузку файла. Например, различные Интернет-браузеры, менеджеры загрузки файлов, torrent-клиенты имеют различные технологии загрузки файлов и, таким образом, могут иметь различную частоту сброса системного кэша на диск. Аналогично, если приложение при загрузке файлов не использует системный кэш, а осуществляет запись небольшими блоками данных, как во втором примере, то размер блока данных может быть различен для различных приложений.

При копировании файла большого объема (например, больше 100 мегабайт), сброс системного кэша происходит достаточно часто. После каждой операции сброса системного кэша, файл на диске изменяется. Большинство антивирусных приложений в этом случае будут заново производить антивирусную проверку данного файла или измененной части файла, т.е. содержимого системного кэша. Антивирусная проверка больших файлов (например, инсталлятор может занимать объем размером несколько гигабайт) может существенно снизить скорость загрузки файла и замедлить быстродействие компьютера. Таким образом, возникает необходимость в оптимизации процесса выполнения антивирусной проверки больших файлов при загрузке из сети. Аналогичная ситуация возникает и при сквозной записи файла, так как размер блока данных, записываемого в файл, редко превышает 64 килобайт.

Для решения данной проблемы, например, в заявке US 20150007328 A1 рассматривается способ антивирусной проверки с использованием облачного репутационного сервиса. Антивирусное приложение вначале определяет метаданные файла в первых нескольких пакетах данных файла. Далее, по метаданным файла можно определить, является ли файл вредоносным, с помощью сообщества пользователей антивируса, которые ранее уже проверяли данный файл. Таким образом, если вердикт содержится в облачном репутационном сервисе, оставшаяся часть файла далее не будет проверена. Однако данная технология имеет ряд недостатков. Например, если пользователь первым среди других пользователей антивируса проверяет файл, то в этом случае сервис репутации не будет содержать вердикт по данному файлу. Кроме этого, если файл загружается из сети, то для определения метаданных файла может потребоваться проверить большую часть самого файла. А при копировании файла по локальной сети сервис репутации может быть вовсе недоступен из-за возможного отсутствия подключения к сети Интернет.

Анализ предшествующего уровня техники позволяет сделать вывод о неэффективности и в некоторых случаях о невозможности применения предшествующих технологий, недостатки которых решаются настоящим изобретением, а именно способом выполнения антивирусных проверок.

Раскрытие изобретения

Настоящее изобретение относится к способам выполнения антивирусных проверок.

Технический результат заключается в уменьшении количества антивирусных проверок файлов во время записи упомянутых файлов на диск.

Согласно варианту реализации используется реализуемый компьютером способ прекращения выполнения антивирусных проверок файла в процессе записи упомянутого файла на диск, в котором: определяют с помощью антивирусного приложения операцию открытия файла приложением пользователя в процессе записи упомянутого файла на диск; выполняют антивирусную проверку упомянутого файла на наличие вредоносного кода после закрытия упомянутого файла, когда упомянутый файл был изменен; определяют при отсутствии вредоносного кода в файле количество ранее выполненных антивирусных проверок упомянутого файла с использованием антивирусной таблицы, при этом упомянутая антивирусная таблица связана с антивирусным приложением и содержит: количество выполненных антивирусных проверок упомянутого файла; пороговое значение, равное максимальному количеству антивирусных проверок упомянутого файла; увеличивают количество выполненных антивирусных проверок на единицу в антивирусной таблице для упомянутого файла; выполняют первые три этапа в процессе записи файла на диск до тех пор, пока увеличенное количество выполненных антивирусных проверок не превысит упомянутое пороговое значение; когда увеличенное количество выполненных антивирусных проверок превысило упомянутое пороговое значение, прекращают выполнение антивирусных проверок файла.

Согласно одному из частных вариантов реализации в зависимости от выполненной антивирусной проверки файла и количества ранее выполненных антивирусных проверок файла задают уровень антивирусной проверки, при этом упомянутый уровень антивирусной проверки определяет используемые методы обнаружения вредоносного кода при проведении антивирусной проверки, при этом упомянутые методы обнаружения включают по меньшей мере один из методов: сигнатурный анализ; эвристический анализ; эмуляцию; анализ с использованием облачного сервиса.

Согласно другому частному варианту реализации сохраняют уровень антивирусной проверки в антивирусную таблицу.

Согласно еще одному частному варианту реализации уровень антивирусной проверки изменяют в зависимости от уровня по меньшей мере одной выполненной антивирусной проверки.

Согласно одному из частных вариантов реализации для упомянутого файла антивирусная таблица дополнительно содержит размер упомянутого файла после каждой выполненной антивирусной проверки.

Согласно другому частному варианту реализации дополнительно изменяют пороговое значение в зависимости от изменения размера файла между двумя последовательными антивирусными проверками.

Согласно еще одному частному варианту реализации пороговое значение обратно пропорционально изменению в размере файла между двумя последовательными антивирусными проверками.

Согласно одному из частных вариантов реализации выполняют асинхронную антивирусную проверку файла.

Согласно другому частному варианту реализации: выполняют синхронную антивирусную проверку файла; после окончания проведения антивирусной проверки файла, передают управление приложению.

Краткое описание чертежей

Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:

На Фиг. 1 представлена система выполнения антивирусных проверок.

На Фиг. 2 представлен способ выполнения антивирусных проверок.

Фиг. 3 представляет пример компьютерной системы общего назначения.

Описание вариантов осуществления изобретения

Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, обеспеченными для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется в объеме приложенной формулы.

На Фиг. 1 представлена система выполнения антивирусных проверок. Система содержит антивирусное приложение 101, связанное с антивирусной таблицей 103 и диском 110. Антивирусное приложение 101 предназначено для определения операции сброса системного кэша файла 102 на диск 110 (от англ. flushing the system file cache) в процессе записи приложением пользователя 104 файла 102 на диск 110. Файл 102 является любым файлом, подлежащим антивирусной проверке. Например, антивирусная проверка файла 102 будет производится антивирусным приложением 101 при его загрузке из сети или при копировании файла 102 с другого носителя информации на диск 110. Антивирусное приложение 101 также предназначено для определения операций открытия и закрытия файла 102 приложением пользователя 104.

При открытии файла 102 для записи данных приложение пользователя 104 вызывает функцию «CreateFile» с включенным параметром «FILE_SHARE_WRITE», означающей, что файл 102 открыт для записи данных. В операционной системе (ОС) Windows за работу с файлами отвечает менеджер ввода-вывода (англ. Input-Output manager, I/O Manager) и драйвер файловой системы (англ. file system driver). За открытие файла отвечает, например, запрос «IRP_MJ_CREATE», а за закрытие - «IRP_MJ_CLEANUP». Таким образом, антивирусное приложение 101 перехватывает вызов функции «CreateFile» и запрос «IRP_MJ_CREATE» для определения открытия файла 102 для записи данных. В частном примере реализации для определения операции закрытия файла 102, антивирусное приложение 101, например, перехватывает запрос «IRP_MJ_CLEANUP». В другом частном примере реализации, определение операции закрытия файла 102 может быть осуществлено с использованием различных структур для регистрации обработчиков файловых запросов.

Определение операции сброса системного кэша 102 осуществляется путем перехвата вызова функции «CcFlushCache», которая отвечает за сброс системного кэша на диск.

Антивирусное приложение 101 также предназначено для выполнения антивирусной проверки файла 102 на наличие вредоносного кода в файле 102, а также для определения количества ранее выполненных антивирусных проверок файла 102 путем считывания количества ранее выполненных антивирусных проверок в антивирусной таблице 103. При записи очередного блока данных файл 102 изменяется, и антивирусное приложение 101 заново выполняет антивирусную проверку файла 102 или измененной его части (последнего записанного блока данных). Подтверждение записи блока данных файла на диск осуществляется при сбросе системного кэша 102 на диск либо при операции закрытия файла (запрос «IRP_MJ_CLEANUP»). Кроме этого, антивирусное приложение 101 увеличивает количество выполненных антивирусных проверок на единицу в антивирусной таблице 103 для файла 102 и выполняет антивирусную проверку файла 102 до того момента, пока увеличенное количество выполненных проверок не превышает некоторое заранее заданное в антивирусной таблице 102 пороговое значение. Когда увеличенное количество выполненных антивирусных проверок равно пороговому значению, антивирусное приложение 101 прекращает выполнение антивирусных проверок файла 102.

Антивирусная таблица 103 содержит количество выполненных антивирусных проверок частей файлов или всех проверенных целиком файлов, в частности файла 102, и пороговое значение, равное максимальному количеству антивирусных проверок файла 102.

На Фиг. 2 представлен способ выполнения антивирусных проверок. Шаги способа выполняются антивирусным приложением 101. На шаге 201 антивирусное приложение 101 определяет открытие файла 102 для записи данных в процессе записи файла 102 на диск 110. Запись файла 102 на диск 110 может происходить при его загрузке по сети или при копировании с другого носителя информации на диск 110.

На шаге 202 выполняется антивирусная проверка файла 102 на наличие вредоносного кода после закрытия файла 102. Антивирусная проверка может выполняться с использованием известных из уровня техники способов, например, с использованием сигнатурного, эвристического анализов, эмуляции, обработки данных в облачных сервисов, обнаружение с использованием хэш-сумм (например, MD5) и других известных способов обнаружения вредоносного кода (см., например, патент РФ 2477520). В частном варианте реализации антивирусная проверка выполняется для всего файла 102. В другом частном варианте реализации, проверяется лишь обновленная часть файла 102 (то есть последний записанный блок данных).

В частном варианте реализации на шаге 202 выполняют асинхронную антивирусную проверку файла 102. То есть при выполнении антивирусной проверки файла 102 открытие файла 102 для записи не приостанавливается антивирусным приложением 101. В другом частном варианте реализации на шаге 202 выполняют синхронную антивирусную проверку файла, приостанавливая открытие файла приложением пользователя 104. После окончания проведения антивирусной проверки файла 102 антивирусное приложение 101 передает управление приложению пользователя 104.

Если вредоносный код был выявлен в файле 102, на шаге 207 завершается антивирусная проверка файла 102, и принимается решение относительно последующих действий с файлом 102. Например, может быть прекращена дальнейшая загрузка файла 102, а сам файл 102 может быть удален или перенесен в каталог карантина антивирусного приложения 101. Кроме этого, источник, с которого производится загрузка файла 102, может быть внесен в список недоверенных источников.

Если же вредоносный код не был выявлен в файле 102, на шаге 203 определяют количество ранее выполненных проверок файла 102, содержащееся в антивирусной таблице 103. Например, если запись данных в файл 102 была выполнена пять раз, и каждый раз при закрытии файла 102 выполнялась антивирусная проверка, то количество выполненных антивирусных проверок также равняется пяти. Стоит отметить, что первая антивирусная проверка файла 102 была выполнена при первом закрытии файла 102 после его создания на диске 110 и записи первого блока данных. Далее, на шаге 204, увеличивают количество антивирусных проверок на единицу и сохраняют новое количество антивирусных проверок в антивирусную таблицу 103. На шаге 205 проверяют, превысило ли увеличенное количество выполненных антивирусных проверок пороговое значение. Если количество выполненных антивирусных проверок не превысило пороговое значение, способ продолжается на шаге 201. В противном случае на шаге 206 антивирусное приложение прекращает выполнение антивирусных проверок файла 102 до момента окончания записи всего файла 102 на диск или до момента, пока файл 102 не будет открыт на исполнение.

В частном варианте реализации после шага 206 могут выполнить антивирусную проверку файла при условии, что файл 102 является исполняемым файлом и открыт на исполнение. То, что файл 102 является исполняемым, может быть определено по заголовку файла 102, если заголовок содержится в записанном блоке данных или в системном кэше.

В частном варианте реализации пороговое значение может быть изменено антивирусным приложением 101 в зависимости от размера записываемого блока данных или размера системного кэша. Например, если размер блока данных достаточно велик (например, больше значения, заданного операционной системой по умолчанию), пороговое значение может быть уменьшено пропорционально отношению текущего размера блока данных и размера блока данных по умолчанию. В то же время, если размер блока данных меньше значения по умолчанию, пороговое значение может быть увеличено в пропорции, упомянутой выше.

В еще одном частном варианте реализации на шаге 203 дополнительно задают уровень антивирусной проверки в зависимости от количества ранее выполненных антивирусных проверок файла 102 и их результатов. Уровень антивирусной проверки представляет собой правило, определяющее методы, которые используются для обнаружения вредоносного кода в ходе проведения антивирусной проверки. Такие методы могут включать сигнатурный и эвристический анализы, эмуляцию, анализ кода с использование облачного репутационного сервиса антивирусной компании и прочие. Например, низкий уровень антивирусной проверки может означать проведение лишь проверки файла 102 по базе данных хэш-сумм вредоносных файлов (например, MD5). При среднем уровне дополнительно может быть проведен сигнатурный анализ, а при высоком уровне дополнительно может быть проведен эвристический анализ файла 102.

Например, по умолчанию может быть задан средний уровень антивирусной проверки. При этом, если в ходе эвристического анализа в процессе антивирусной проверки на шаге 202 было выявлено наличие потенциальной вредоносной активности, уровень антивирусной проверки может быть повышен до высокого. В то же время, если уже была выполнена половина от порогового значения антивирусных проверок файла, и не было найдено никаких признаков вредоносной активности, уровень антивирусной проверки может быть снижен до низкого с целью сокращения скорости последующих антивирусных проверок файла 102.

Фиг. 3 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.

Персональный компьютер 20, в свою очередь, содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.

Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.

Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например колонками, принтером и т.п.

Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 3. В вычислительной сети могут присутствовать также и другие устройства, например маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.

Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.

В соответствии с описанием компоненты, этапы исполнения, структура данных, описанные выше, могут быть выполнены, используя различные типы операционных систем, компьютерных платформ, программ.

В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой.

1. Реализуемый компьютером способ прекращения выполнения антивирусных проверок файла в процессе записи упомянутого файла на диск, в котором

а) определяют с помощью антивирусного приложения операцию открытия файла приложением пользователя для записи данных;

б) выполняют антивирусную проверку упомянутого файла на наличие вредоносного кода после закрытия упомянутого файла;

в) определяют при отсутствии вредоносного кода в файле количество ранее выполненных антивирусных проверок упомянутого файла с использованием антивирусной таблицы, при этом упомянутая антивирусная таблица связана с антивирусным приложением и содержит:

количество выполненных антивирусных проверок упомянутого файла;

пороговое значение, равное максимальному количеству антивирусных проверок упомянутого файла;

г) увеличивают количество выполненных антивирусных проверок на единицу в антивирусной таблице для упомянутого файла;

д) выполняют этапы а) - г) до тех пор, пока увеличенное количество выполненных антивирусных проверок не превысит упомянутое пороговое значение;

е) когда увеличенное количество выполненных антивирусных проверок превысило упомянутое пороговое значение, прекращают выполнение антивирусных проверок файла.

2. Способ по п. 1, в котором на шаге в) в зависимости от выполненной антивирусной проверки файла и количества ранее выполненных антивирусных проверок файла задают уровень антивирусной проверки, при этом упомянутый уровень антивирусной проверки определяет используемые методы обнаружения вредоносного кода при проведении антивирусной проверки, при этом упомянутые методы обнаружения включают по меньшей мере один из методов:

сигнатурный анализ;

эвристический анализ;

эмуляцию;

анализ с использованием облачного сервиса.

3. Способ по п. 2, в котором сохраняют уровень антивирусной проверки в антивирусную таблицу.

4. Способ по п. 3, в котором уровень антивирусной проверки изменяют в зависимости от уровня по меньшей мере одной выполненной антивирусной проверки.

5. Способ по п. 1, в котором для упомянутого файла антивирусная таблица дополнительно содержит размер упомянутого файла после каждой выполненной антивирусной проверки.

6. Способ по п. 5, в котором дополнительно изменяют пороговое значение в зависимости от изменения размера файла между двумя последовательными антивирусными проверками.

7. Способ по п. 5, в котором пороговое значение обратно пропорционально изменению в размере файла между двумя последовательными антивирусными проверками.

8. Способ по п. 1, в котором на шаге б) выполняют асинхронную антивирусную проверку файла.

9. Способ по п. 1, в котором на шаге б)

выполняют синхронную антивирусную проверку файла;

после окончания проведения антивирусной проверки файла передают управление приложению.

Изобретение относится к системе и способу выполнения банковской транзакции. Технический результат заключается в повышении безопасности выполнения банковских транзакций.

Система и способ обнаружения приложения удалённого администрирования // 2634173

Группа изобретений относится к технологиям антивирусной защиты компьютерных систем. Техническим результатом является обеспечение противодействия несанкционированному администрированию компьютерной системы за счет обнаружения приложений удаленного администрирования.

Способ передачи управления между адресными пространствами // 2634172

Изобретение относится к способу передачи выполнения инструкций из одного адресного пространства другому. Технический результат заключается в управлении выполнением инструкций кода.

Система и способ блокирования доступа к защищаемым приложениям // 2634168

Изобретение относится к области защиты данных приложений, а именно к системам и способам блокирования доступа к отображаемой пользователю информации. Техническим результатом является повышение безопасности вычислительного устройства пользователя, которое достигается путем блокирования доступа процесса, к отображаемой пользователю информации.

Способ установки специального программно-математического обеспечения на бортовом компьютере программно-аппаратного комплекса топопривязчика // 2633837

Для установки специального программно-математического обеспечения на бортовом компьютере программно-аппаратного комплекса топопривязчика используют компакт-диск с загрузочным модулем, внешний дисковод CD-ROM с интерфейсным кабелем типа USB, клавиатуру с интерфейсным кабелем типа USB, манипулятор, источник питания, комплект технологических жгутов.

Персональное устройство аутентификации и защиты данных // 2633186

Изобретение относится к области защиты информации. Технический результат заключается в повышении скорости обмена данными токена с компьютером, планшетом или смартфоном без снижения уровня защиты информации.

Способ создания цифровых фотоснимков, защищенных от подделки, и устройство для его реализации // 2633185

Изобретение относится к области цифровой фотографии, а именно к применению в цифровом фотоаппарате электронной подписи для подтверждения подлинности изображения и служебных данных.

Способ построения узлов замены, использующий значения линейного и разностных спектров, и устройство его реализующее // 2633132

Изобретение относится к области разработки, производства, эксплуатации и модернизации средств криптографической защиты информации в системах обработки информации различного назначения.

Установление подлинности операций с использованием сети // 2633124

Изобретение относится к области установления подлинности операций в сети. Технический результат – установление подлинности портативного устройства пользователя.

Устройство приема, способ приема, программа, устройство обработки дешифрования, система обработки приема и устройство обработки информации // 2633122

Изобретение относится к области защиты контента. Технический результат заключается в установлении маршрута утечки содержания.

Система и способ обнаружения вредоносного приложения путем перехвата доступа к отображаемой пользователю информации // 2634176

Изобретение относится к области защиты данных приложений, а именно к системам и способам обнаружения вредоносного приложения путем перехвата доступа к отображаемой пользователю информации. Технический результат настоящего изобретения заключается в повышении безопасности вычислительного устройства пользователя, которое достигается путем обнаружения вредоносного приложения, из которого был запущен процесс, осуществляющий доступ к отображаемой пользователю вычислительного устройства информации. Раскрыт способ обнаружения вредоносного приложения на вычислительном устройстве пользователя, согласно которому: а. перехватывают при помощи средства перехвата доступ процесса к отображаемой пользователю информации для определения по меньшей мере: информации о процессе, осуществляющем доступ к информации, отображаемой пользователю, при этом упомянутая информация включает по меньшей мере идентификатор процесса (PID); области на дисплее вычислительного устройства, на которой отображается пользователю информация и к которой осуществляется доступ процесса; б. анализируют при помощи средства анализа пересечений пересечение определенной на этапе ранее области на дисплее вычислительного устройства с областями элементов графического интерфейса процессов, выполняющихся на вычислительном устройстве, для определения, какие из областей элементов графического интерфейса упомянутых процессов: содержат упомянутую область; содержатся в упомянутой области; частично пересекаются с упомянутой областью; в. вычисляют при помощи средства анализа пересечений рейтинг важности определенной ранее области на дисплее вычислительного устройства на основании того, какие из областей элементов графического интерфейса процессов, выполняющихся на вычислительном устройстве, содержат упомянутую область, содержатся в упомянутой области, и какие из областей элементов графического интерфейса процессов частично пересекаются с упомянутой областью; г. вычисляют при помощи средства обеспечения безопасности рейтинг опасности доступа к отображаемой пользователю информации на основании информации о процессе, осуществляющем доступ к информации, отображаемой пользователю; д. признают при помощи средства обеспечения безопасности приложение, из которого был запущен процесс, доступ которого к отображаемой пользователю вычислительного устройства информации был перехвачен на этапе «а», вредоносным, если комбинация рейтинга опасности доступа к отображаемой пользователю информации и рейтинга важности области превышает пороговое значение. 2 н. и 2 з.п. ф-лы, 3 ил.

Способ обнаружения вредоносных составных файлов // 2634178

Изобретение относится к области защиты вычислительных устройств, а именно к способам обнаружения вредоносных составных файлов. Технический результат заключается в обеспечении защиты вычислительного устройства от вредоносных программ за счет обнаружения составного вредоносного файла. Способ обнаружения вредоносных составных файлов, в котором определяют при помощи средства вычисления, является ли файл составным; выделяют при помощи средства вычисления первый набор признаков из заголовка составного файла, если ранее на этапе было определено, что файл является составным; выделяют при помощи средства вычисления второй набор признаков из по меньшей мере одной директории составного файла, если ранее на этапе было определено, что файл является составным; вычисляют при помощи средства вычисления хеш составного файла с использованием по меньшей мере первого и второго набора признаков; признают при помощи средства сравнения составной файл вредоносным, если вычисленный хеш составного файла совпадает с хешем вредоносного составного файла; при этом хеш вредоносного составного файла хранится в базе данных хешей. 4 з.п. ф-лы, 4 ил.

Способ и система для доверенного доведения информации до пользователя // 2634179

Изобретение относится к средствам защиты от подмены электронных документов на вычислительных устройствах. Технический результат – уменьшение возможности подмены информации, отображаемой на экране компьютера, за счет корреляции указанной информации с информацией, фиксируемой на внешнем портативном устройстве в реальном времени. Система доведения подлинной информации до пользователя через компьютерное устройство, на котором в результате отображается подлинная информация, система является внешним устройством по отношению к компьютерному устройству и содержит модуль обработки данных, модуль преобразования данных, модуль ввода/вывода информации, модуль формирования элементов защиты, модуль формирования видеопотока. 2 н. и 19 з.п. ф-лы, 5 ил.

Система и способ обнаружения вредоносных компьютерных систем // 2634181

Изобретение относится к области обнаружения вредоносных компьютерных систем. Техническим результатом является выявление вредоносных компьютерных систем за счет использования системы признания компьютерной системы вредоносной, при этом вредоносной компьютерной системой является компьютерная система, на которой работают вредоносные приложения. Раскрыта система признания компьютерной системы вредоносной, где вредоносная компьютерная система - компьютерная система, на которой осуществляется вредоносная активность, то есть действия, выполняемые вредоносными приложениями, которая содержит: а) средство сбора характеристик, предназначенное для: сбора характеристик компьютерной системы; передачи собранных характеристик средству построения пространства связей; б) средство построения пространства связей, предназначенное для: определения связей между полученными характеристиками компьютерной системы; определения временной зависимости состояния компьютерной системы на основании анализа определенных связей; передачи определенной временной зависимости состояния компьютерной системы средству идентификации; в) средство идентификации, предназначенное для: определения состояния компьютерной системы на основании анализа полученной временной зависимости состояния компьютерной системы; сравнения определенного состояния компьютерной системы с по меньшей мере одним заранее определенным шаблоном состояния компьютерной системы; передачи результата сравнения средству анализа; г) средство анализа, предназначенное для: определения степени вредоносности компьютерной системы на основании анализа полученного результата сравнения состояния компьютерной системы с заранее определенным шаблоном состояния компьютерной системы; вынесения вердикта о признании компьютерной системы вредоносной по результатам сравнения определенной степени вредоносности компьютерной системы с установленным пороговым значением. 2 н. и 6 з.п. ф-лы, 3 ил.

Способ противодействия несправедливым оценкам приложений // 2634182

Изобретение относится к области контроля выставления оценок приложений, а именно к способам противодействия несправедливым оценкам приложений. Техническим результатом является обеспечение защиты от неавторизированной оценки приложения в магазине приложений при помощи вычислительного устройства, которое достигается путем предоставления доступа к элементам интерфейса на странице приложения в магазине приложений, если данные для авторизации удовлетворяют условию разблокирования. Раскрыт способ блокирования доступа к элементам интерфейса страницы приложения в магазине приложений, согласно которому: определяют при помощи средства перехвата, что на дисплее вычислительного устройства отображается страница приложения в магазине приложений; блокируют при помощи средства блокирования доступ к элементам интерфейса страницы приложения в магазине приложений; получают при помощи средства блокирования данные для авторизации, введенные по меньшей мере при помощи устройств ввода вычислительного устройства; при этом данными для авторизации является по меньшей мере пароль; предоставляют при помощи средства блокирования доступ к элементам интерфейса страницы приложения в магазине приложений, если данные для авторизации удовлетворяют условию разблокирования. 7 з.п. ф-лы, 3 ил.

Способ верификации безопасного распределения пользовательских задач по узлам грид-системы // 2634184

Изобретение относится к вычислительной технике и может быть использовано в распределенных вычислительных сетях. Техническим результатом является повышение защищенности грид-системы и сокращение временных затрат на поддержание надежного функционирования грид-систем за счет сокращения времени простоя оборудования, вызванного его отказом вследствие осуществления компьютерных атак на ресурсы грид-систем. Способ содержит этапы, на которых: создают пару криптографических ключей шифрования: открытый и закрытый ключи шифрования; принимают решение о легитимности узлов грид-системы и выполняют обмен ключами шифрования; после этого шифруют данные, содержащиеся в пользовательской задаче, открытым ключом шифрования и распределяют пользовательскую задачу по легитимным узлам грид-системы; затем легитимные узлы грид-системы расшифровывают полученные данные и выполняют пользовательскую задачу. 2 ил.

Устройство программно-аппаратного комплекса формирования ключевой информации и радиоданных для радиостанции // 2634202

Изобретение относится к радиотехнике и вычислительной технике. Технический результат заключается в повышение надежности защиты ключевой информации и радиоданных. Технический результат достигается за счет устройства программно-аппаратного комплекса формирования ключевой информации и радиоданных для радиостанции, содержащего микроконтроллер (МК), микропроцессор (МП), программируемую логическую интегральную схему (ПЛИС), по меньшей мере один первый приемопередатчик (ПП), по меньшей мере один второй приемопередатчик (ПП), постоянное запоминающее устройство (ПЗУ), оперативное запоминающее устройство (ОЗУ), клавиатуру, дисплей, блок питания. МК выполнен обеспечивающим контроль напряжений питания блока питания и управление питанием МК и ПЛИС, обеспечивающим ввод ключа расшифровки исходных данных формирования ключевой информации, ключа проверки целостности программного обеспечения ПЛИС и ключа проверки целостности программного обеспечения радиостанции посредством клавиатуры. ОЗУ выполнено обеспечивающим хранение упомянутых введенных ключей. МП выполнен обеспечивающим формирование ключевой информации и радиоданных по данным ПЗУ и ОЗУ. 1 з.п. ф-лы, 1 ил.

Оценка процесса для выявления вредоносных программ в виртуальных машинах // 2634205

Изобретение относится к области защиты компьютерных систем от вредоносных программ. Техническим результатом является помещение компонента, обнаруживающего запуски процесса, за пределами соответствующей виртуальной машины на более высокий уровень привилегий процессора, чем уровень привилегий операционной системы, что обеспечивает возможность предотвращать сокрытие вредоносного программного обеспечения от компонентов защиты от вредоносных программ. Описанные системы и способы обеспечивают возможность защиты компьютерной системы от вредоносных программ, в частности от вирусов и руткитов. Антивредоносный компонент выполняется внутри виртуальной машины (VM), предоставленной гипервизором. Модуль самоанализа памяти выполняется вне виртуальной машины на уровне гипервизора привилегии процессора и защищает процесс, выполняющийся внутри виртуальной машины посредством защиты от записи страницы памяти соответствующего процесса. Посредством комбинирования антивредоносных компонентов, выполняющихся внутри и снаружи соответствующей VM, некоторые варианты осуществления изобретения могут использовать множество данных поведения, к которым имеют доступ компоненты внутри VM, с обеспечением при этом целостности этих компонент снаружи соответствующей VM. 3 н. и 18 з.п. ф-лы, 11 ил.

Система и способ автогенерации решающих правил для систем обнаружения вторжений с обратной связью // 2634209

Изобретение относится к области обнаружения компьютерных атак. Техническим результатом является повышение эффективности выявления компьютерных атак. Способ автогенерации решающих правил для систем обнаружения вторжений с обратной связью, выполняемый на сервере, включает, по крайней мере, следующие шаги: получают, по крайней мере, одно событие из базы данных событий, сформированной данными, полученными от, по крайней мере, одного сенсора; анализируют полученное, по крайней мере, одно событие на принадлежность к классу взаимодействия с центрами управления вредоносных программ; извлекают из, по крайней мере, одного вышеупомянутого события, относящегося к классу взаимодействия с центрами управления вредоносных программ, по крайней мере, один признак, используемый для формирования решающих правил; формируют решающие правила с использованием, по крайней мере, одного вышеупомянутого извлеченного признака; сохраняют сформированные решающие правила и предоставляют возможность получения обновления решающих правил для, по крайней мере, одного сенсора; сенсоры циклично проверяют доступность обновлений на центральном узле и при наличии обновлений получают их для использования, при этом в случае получения обновлений на сенсорах срабатывает триггер, осуществляющий перезагрузку решающих правил. 2 н. и 6 з.п. ф-лы, 3 ил.

Способ и система анализа протоколов взаимодействия вредоносных программ с центрами управления и выявления компьютерных атак // 2634211

Изобретение относится к системам и способам обнаружения компьютерных атак. Технический результат заключается в повышении эффективности выявления компьютерных атак. Способ характеризуется тем, что запускают вредоносную программу в виртуальной среде; собирают запросы, отправляемые вредоносной программой в центр управления вредоносными программами; определяют в собранных запросах параметры и их порядок; группируют запросы с одинаковыми наборами параметров; для каждой группы запросов формируют регулярное выражение, описывающее параметры данной группы запросов; формируют и отправляют запрос, описываемый полученным на предыдущем шаге регулярным выражением, центру управления вредоносных программ; получают ответ от центра управления, при этом, если ответ закодирован и/или зашифрован, то производят его декодирование и/или расшифровку; анализируют ответ на наличие сведений, характерных для проведения сетевых атак; сохраняют полученные результаты; выявляют компьютерные атаки с использованием полученных результатов анализа. 2 н. и 15 з.п. ф-лы, 3 ил.