Патенты автора Пинтийский Владислав Валерьевич (RU)

Группа изобретений относится к области информационной безопасности. Техническим результатом является повышение достоверности эмуляции инструкций файла, повышение уровня обнаружения вредоносного кода, снижение времени реакции на новые угрозы. Устройство содержит средство эмуляции, предназначенное для эмуляции исполнения инструкций файла на виртуальном процессоре эмулятора; приостановления эмуляции исполнения инструкций на вызове API-функции; проверки наличия API-функции в наборе обновляемых модулей; эмуляции исполнения упомянутой API-функции по инструкциям согласно реализации из соответствующего обновляемого модуля, если API-функция найдена; передачи управления средству исполнения, если API-функция не найдена в наборе обновляемых модулей; продолжения эмуляции исполнения инструкций файла с инструкции по адресу возврата API-функции, используя результат исполнения API-функции; содержащийся в памяти набор обновляемых модулей из по меньшей мере одного обновляемого модуля, где каждый обновляемый модуль из упомянутого набора содержит реализацию по меньшей мере одной API-функции; средство исполнения, предназначенное для формирования результата исполнения упомянутой API-функции согласно реализации API-функции, содержащейся в средстве исполнения или созданной средством исполнения и последующей передачи средству эмуляции результата исполнения API-функции. 2 н. и 18 з.п. ф-лы, 6 ил.

Изобретение относится к способу формирования журнала при исполнении файла с уязвимостями. Технический результат заключается в повышении точности выявления наличия в виртуальной машине вредоносного приложения, эксплуатирующего уязвимости безопасного файла. Способ содержит этапы, на которых: выявляют средством перехвата во время исполнения потока процесса, созданного при открытии упомянутого файла, событие, при возникновении которого срабатывает триггер, описывающий сопутствующие событию условия, связанные с попыткой эксплуатации вредоносным приложением уязвимости упомянутого файла; анализируют средством перехвата стек процесса, созданного при открытии упомянутого файла, выявляют последовательность вызовов функций, предшествующих событию, на котором сработал триггер; анализируют средством перехвата выявленную последовательность вызовов функций на предмет выполнения сопутствующих условий триггера; в случае выполнения сопутствующих условий триггера, связанных с попыткой эксплуатации вредоносным приложением уязвимости упомянутого файла, сохраняют в журнал данные о выявленной последовательности вызовов функций для последующего анализа средством анализа с целью выявления наличия в виртуальной машине вредоносного приложения. 13 з.п. ф-лы, 4 ил.

Изобретение относится к решениям для выявления вредоносных файлов. Технический результат – повышение безопасности компьютерной системы. Система анализа на вредоносность файла, открываемого в виртуальной машине в виде среды для безопасного исполнения файлов, в которой перехватывают событие, которое возникает в процессе исполнения потока процесса, созданного при открытии файла в виртуальной машине в виде среды для безопасного исполнения, и приостанавливают исполнение потока; считывают контекст процессора, на котором исполняется поток; сохраняют перехваченное событие и контекст в журнал; сравнивают данные, сохраненные в журнале, с шаблонами, при этом на основании сравнения принимают по меньшей мере одно из решений: решение о признании файла вредоносным, решение об остановке исполнения файла, решение об изменении контекста процессора, решение об ожидании следующего события; исполняют действия, соответствующие принятым решениям. 2 н. и 16 з.п. ф-лы, 4 ил.

Изобретение относится к решениям для выявления вредоносных файлов. Техническим результатом является повышение безопасности компьютерной системы, которое достигается путем принятия решения о признании вредоносным файла, открываемого в виртуальной машине. Раскрыт способ принятия решения о признании вредоносным файла, открываемого в виртуальной машине в виде среды для безопасного исполнения файлов, при этом способ содержит этапы, на которых: а) выявляют во время исполнения потока процесса, созданного при открытии упомянутого файла, возникновение события, которое связано с изменением по меньшей мере одной страницы виртуальной памяти; б) выявляют во время исполнения потока процесса, созданного при открытии упомянутого файла, передачу управления по меньшей мере в одну измененную страницу виртуальной памяти; в) формируют журнал, в который сохраняют: события, возникающие во время исполнения потока процесса, созданного при открытии упомянутого файла, в измененной странице памяти, и считываемый при возникновении сохраняемого в журнал события контекст процессора, на котором исполняется поток процесса, созданного при открытии упомянутого файла; г) сравнивают сохраненные в сформированном журнале события и контекст процессора с по меньшей мере одним шаблоном; д) принимают решение о признании файла вредоносным на основании результатов сравнения. 7 з.п. ф-лы, 4 ил.

Изобретение относится к системам и способам обнаружения вредоносного кода в файле. Технический результат заключается в улучшении обнаружения вредоносного кода в файле в сравнении с существующими методами обнаружения вредоносного кода. Способ обнаружения вредоносного кода в файле включает: исполнение процесса, запущенного из файла, с использованием песочницы; перехват вызовов API-функций; последовательное внесение записей о перехваченных вызовах API-функций в первый журнал, сохранение дампа памяти процесса в базу дампов; повторение предыдущих операций до выполнения условия выхода; выявление в первом журнале по меньшей мере одной сигнатуры первого типа из числа сигнатур первого типа; после выявления сигнатуры первого типа передачу на исполнение в эмулятор по меньшей мере одного дампа памяти, сохраненного в базе дампов; во время исполнения процесса в эмуляторе последовательное внесение во второй журнал записей, содержащих информацию о вызове API-функции; определение вредоносного кода в файле при условии выявления во втором журнале по меньшей мере одной сигнатуры второго типа из базы данных сигнатур второго типа. 2 н. и 52 з.п. ф-лы, 4 ил.

Изобретение относится к способу передачи выполнения инструкций из одного адресного пространства другому. Технический результат заключается в управлении выполнением инструкций кода. В способе определяют в оригинальном адресном пространстве процесса интересующий участок памяти, определяют страницы памяти оригинального адресного пространства процесса, содержащие инструкции кода и данные интересующего участка памяти, создают адресное пространство дублированием страниц оригинального адресного пространства процесса, где дублируются страницы, содержащие инструкции кода и данные интересующего участка памяти, помечают страницы памяти в оригинальном адресном пространстве, помечают в оригинальном адресном пространстве инструкции кода интересующего участка в страницах, содержащих помимо инструкций кода и данных интересующего участка памяти инструкции кода и данные участков, отличных от интересующего участка, помечают страницы памяти в продублированном адресном памяти, осуществляют выполнение инструкций в оригинальном адресном пространстве или продублированном адресном пространстве до создания уведомления, создают уведомление, передают выполнение инструкций адресному пространству, отличному от того, выполнение инструкций в котором создало уведомление. 15 з.п. ф-лы, 14 ил.

Изобретение относится к выполнению антивирусной проверки файла на виртуальной машине. Технический результат заключается в обнаружении вредоносного файла, содержащего программный код, который затрудняет обнаружение данного вредоносного файла при исполнении файла на виртуальной машине. Реализуемый компьютером способ выполнения антивирусной проверки файла на виртуальной машине, в котором: исполняют файл на виртуальной машине с последовательным внесением записей о вызовах API-функций и внесением записей о внутренних событиях в первый журнал, выявляют в первом журнале сигнатуру первого типа из базы данных сигнатур первого типа, производят повторное исполнение файла на виртуальной машине с внесением записей о внутренних событиях во второй журнал, после чего выявляют во втором журнале сигнатуру второго типа из базы данных сигнатур второго типа и определяют критерий внесения записей о вызовах API-функций на основании второго и первого журналов, производят третье исполнение файла на виртуальной машине с внесением в третий журнал записей только о внутренних событиях до тех пор, пока не будет выполнен критерий внесения записей о вызовах API-функций, после которого производится внесение записей о вызовах API-функций, выполняют антивирусную проверку файла путем выявления в третьем журнале вредоносной сигнатуры с использованием базы данных вредоносных сигнатур, файл будет признан вредоносным, когда вредоносная сигнатура будет выявлена в третьем журнале. 2 н. и 38 з.п. ф-лы, 3 табл., 6 ил.

Изобретение относится к вычислительной технике. Технический результат заключается в организации выполнения инструкций, загруженных в системной памяти, путем попеременной передачи выполнения инструкций из одной области памяти в другую, отличную от той, выполнение инструкций в которой создало уведомление. Способ передачи выполнения инструкций из одной области памяти в другую, в котором определяют в оригинальной области памяти, состоящей из участков памяти, по меньшей мере, один интересующий участок памяти; создают область памяти дублированием интересующего участка памяти оригинальной области памяти; помечают все участки памяти в оригинальной области памяти; запускают выполнение инструкций, записанных в оригинальной области памяти, в любом из имеющихся участков памяти в оригинальной области памяти, кроме интересующего участка памяти; осуществляют выполнение инструкций в участках памяти оригинальной области памяти процессором до создания уведомления, при этом уведомление создается при передаче управления инструкции из участка памяти, помеченного одной меткой, в интересующий участок памяти, помеченный отличной меткой; передают выполнение инструкций из участка памяти оригинальной области памяти интересующему участку памяти, но в продублированной области памяти, после создания уведомления. 10 з.п. ф-лы, 8 ил.

Изобретение относится к области компьютерной безопасности. Технический результат заключается в повышении безопасности компьютерных систем. Предложен способ признания вредоносным исполняемого файла, содержащего интерпретатор языка сценариев, по которому: передают исполняемый файл, содержащий интерпретатор языка сценариев и сценарий, связанный с упомянутым интерпретатором, анализатору; преобразуют с помощью анализатора команды из упомянутого сценария в псевдокод; производят эмуляцию выполнения псевдокода с помощью эмулятора сценариев и записывают результат в журнал работы эмуляторов; обнаруживают в процессе эмуляции по меньшей мере один переход из псевдокода в машинный код и переключают с помощью анализатора процесс эмуляции на эмулятор машинного кода; для каждого обнаруженного перехода производят эмуляцию выполнения машинного кода посредством эмулятора машинного кода и записывают результат в журнал работы эмуляторов, а при окончании процесса эмуляции выполнения машинного кода переключают с помощью анализатора процесс эмуляции на эмулятор сценариев; признают упомянутый исполняемый файл вредоносным при обнаружении вредоносного поведения в результате анализа журнала работы эмуляторов с помощью анализатора. 4 з.п. ф-лы, 4 ил.

Изобретение относится к вычислительной технике. Технический результат заключается в отслеживании выполнения процессором кода, загруженного в памяти. Способ передачи выполнения инструкций из одной области памяти в другую, в котором определяют среди участков оригинальной области памяти по меньшей мере один интересующий участок памяти; создают по меньшей мере одну область памяти дублированием участков оригинальной области памяти, где дублируется по меньшей мере один интересующий участок оригинальной области памяти; помечают участки памяти в оригинальной области памяти, при этом метки для интересующего участка в оригинальной области памяти отличны от меток остальных участков оригинальной области; помечают участки в продублированной области памяти, при этом метки для интересующего участка в продублированной области памяти отличны от меток остальных участков продублированной области памяти; выбирают область памяти для выполнения записанных в ней инструкций процессором, причем выполняют инструкции до появления уведомления, при этом уведомление создается при передаче управления инструкции из участка, помеченного одной меткой, в участок области, помеченный отличной меткой; передают выполнение инструкций области памяти, отличной от той, выполнение инструкций в которой создало уведомление. 13 з.п. ф-лы, 8 ил.

Изобретение относится к антивирусным решениям, а более конкретно к способам сохранения состояния эмулятора и его последующего восстановления. Технический результат заключается в сокращении времени на эмуляцию файла путем загрузки необходимых образов состояния эмулятора и обходе антиэмуляционных приемов при эмуляции файла. Получают файл на эмуляцию. Проверяют, выполняется ли эмуляция в первый раз. Определяют образ состояния эмулятора, включающий, по меньшей мере, образ эмулируемой системы, который загружается в эмулятор для последующей эмуляции файла. Производят эмуляцию файла. Создают образы состояния эмулятора, при этом каждый образ состояния эмулятора включает, по меньшей мере, образ эмулируемой системы. Проверяют некорректное завершение эмуляции файла. Выбирают необходимый образ состояния эмулятора для продолжения эмуляции в случае некорректного завершения эмуляции файла. Загружают выбранный образ состояния эмулятора для продолжения эмуляции файла. 2 н. и 12 з.п. ф-лы, 6 ил.

Изобретение относится к области противодействия вредоносным программам

 


© Патентный поиск, поиск патентов на изобретения - FindPatent.RU 2012-2024
Политика конфиденциальности
Наверх