Патенты автора Паршин Юрий Геннадьевич (RU)
Изобретение относится к области вычислительной техники. Техническим результатом является обеспечение выявления системных файлов для проверки на вредоносность в облачном сервисе. Раскрыт способ выявления системных файлов для проверки на вредоносность в облачном сервисе, содержащий этапы, на которых: выбирают с помощью приложения безопасности по меньшей мере один системный файл и выявляют его атрибуты; получают с помощью приложения безопасности из хранилища резервных копий системных файлов операционной системы атрибуты упомянутого выбранного системного файла; сравнивают с помощью приложения безопасности полученные из хранилища резервных копий системных файлов операционной системы атрибуты упомянутого выбранного системного файла и выявленные атрибуты упомянутого выбранного системного файла; в случае если атрибуты упомянутого выбранного системного файла, полученные из хранилища резервных копий системных файлов операционной системы, и выявленные атрибуты упомянутого выбранного системного файла не совпадают, с помощью приложения безопасности передают упомянутый выбранный системный файл в облачный сервис для проверки на вредоносность. 6 з.п. ф-лы, 3 ил.
Изобретение относится к области компьютерной безопасности. Технический результат – повышение качества определения признаков компьютерных атак на информационную систему. В способе обнаружения признаков компьютерной атаки собирают информацию об объекте на компьютере, передают средству обнаружения уведомление безопасности, включающее информацию о средстве защиты и собранную информацию об объекте, при этом сохраняют полученное уведомление безопасности в базу данных объектов, находят объект, содержащийся в полученном уведомлении безопасности, в базе данных угроз, и добавляют в базе данных объектов к упомянутому объекту метку, соответствующую упомянутому объекту в базе данных угроз, выполняют поиск признаков подозрительной активности, содержащихся в базе данных подозрительной активности, на основании полученного уведомления безопасности и добавленных меток объекта, содержащегося в упомянутом уведомлении безопасности, при нахождении признака подозрительной активности добавляют в базе данных объектов к уведомлению безопасности метку, содержащуюся в базе данных подозрительной активности, выполняют обнаружение признаков компьютерной атаки путем выявления по крайней мере одной сигнатуры компьютерных атак из базы данных компьютерных атак среди полученных объектов, и уведомлений безопасности, и меток упомянутых объектов, и меток уведомлений безопасности из базы данных объектов. 2 н. и 30 з.п. ф-лы, 8 ил., 1 табл.
Изобретение относится к области компьютерной безопасности. Технический результат заключается в повышении безопасности хранения данных. Система восстановления модифицированных данных содержит средство отслеживания активности для перехвата запросов от процесса на модификацию данных, определения параметров процесса, запрос которого был перехвачен, определения параметров перехваченных запросов; средство анализа для формирования и передачи средству резервирования запроса на резервное копирование в базу данных резервирования данных, которые будут модифицированы по перехваченному запросу от процесса, на основании результатов анализа параметров перехваченных запросов; средство обнаружения для анализа полученных от средства отслеживания активности параметров процесса для определения уровня угрозы процесса целостности модифицируемых им данных; средство резервирования для резервного копирования данных в базу данных резервирования по запросу средства анализа, восстановления из базы данных резервирования скопированных ранее данных по запросу средства обнаружения; базу данных резервирования для хранения копируемых средством резервирования данных. 2 н.п. ф-лы, 3 ил.
Изобретение относится к области обеспечения безопасности программного обеспечения, а именно к способам выполнения обращения к процедурам загрузочного драйвера. Технический результат заключается в обеспечении доступа к исходным процедурам загрузочных драйверов в случае перехвата процедур руткитами путем выполнения обращения к процедурам по крайней мере одного загрузочного драйвера по ранее сохраненным адресам. Способ выполнения обращения к процедурам загрузочного драйвера, в котором: а) в процессе загрузки операционной системы с помощью драйвера-перехватчика считывают список неинициализированных загрузочных драйверов, которые были загружены в память, но еще не инициализированы; б) с помощью драйвера-перехватчика устанавливают обработчик для перехвата вызова процедуры инициализации по крайней мере одного загрузочного драйвера из списка неинициализированных загрузочных драйверов; в) при установке обработчиком перехвата процедуры инициализации загрузочного драйвера, с помощью упомянутого обработчика заменяют ранее считанный адрес точки входа загрузочного драйвера адресом точки входа упомянутого обработчика; г) с помощью установленного обработчика перехватывают вызов процедуры инициализации по крайней мере одного загрузочного драйвера из списка неинициализированных загрузочных драйверов; д) с помощью обработчика сохраняют информацию по крайней мере об одном загрузочном драйвере, заполненную по крайней мере одним упомянутым загрузочным драйвером в процессе инициализации, при этом упомянутая информация об упомянутом загрузочном драйвере содержит по крайней мере адрес точки входа по крайней мере одной процедуры загрузочного драйвера; е) с помощью по крайней мере одного из: драйвера-перехватчика, драйвера антируткит выполняют обращение к процедурам по крайней мере одного загрузочного драйвера по ранее сохраненным адресам точек входа. 3 з.п. ф-лы, 3 ил.
Изобретение относится к области противодействия вредоносным программам
