Патенты автора Сапронов Константин Владимирович (RU)
Изобретение относится к области компьютерной безопасности, а именно к созданию антивирусных записей. Технический результат – расширение арсенала технических средств для создания антивирусной записи. Способ создания антивирусной записи с использованием журнала вызовов, содержащего зарегистрированные во время выполнения файла на виртуальной машине записи о вызовах API-функций, в котором при выявлении поведенческого правила, соответствующего записи из журнала вызовов, определяют файл как вредоносный, затем извлекают из выявленного поведенческого правила записи о вызовах API-функций и создают антивирусную запись для средства защиты вычислительного устройства, состоящую из извлеченных записей о вызовах API-функций, при этом упомянутое средство защиты вычислительного устройства предназначено для выполнения антивирусной проверки файла. 2 н. и 12 з.п. ф-лы, 6 ил.
Изобретение относится к области компьютерной безопасности. Технический результат – повышение качества определения вредоносного файла с использованием поведенческих правил. Способ определения вредоносного файла, в котором регистрируют в локальный журнал вызовов каждого вычислительного устройства по меньшей мере вызовы API-функций во время выполнения одинаковых файлов, во время выполнения файла осуществляют поиск в локальном журнале вызовов соответствия зарегистрированных по меньшей мере вызовов API-функций поведенческим правилам из локальной базы данных угроз, при этом в случае, когда не найдено ни одного соответствия поведенческим правилам, то передают локальный журнал вызовов средству обнаружения, с помощью средства обнаружения объединяют локальные журналы вызовов одинаковых файлов в объединенный журнал вызовов, таким образом, что для каждого локального журнала вызовов, в объединенном журнале вызовов содержится по меньшей мере одна запись, отсутствующая в упомянутом локальном журнале вызовов, осуществляют поиск соответствия записей из объединенного журнала вызовов по меньшей мере одному поведенческому правилу из базы данных угроз, при нахождении соответствия записей из объединенного журнала вызовов по меньшей мере одному поведенческому правилу из базы данных угроз, определяют файл как вредоносный согласно найденному поведенческому правилу. 3 н. и 12 з.п. ф-лы, 5 ил.
Изобретение относится к области компьютерной безопасности. Технический результат – повышение качества определения признаков компьютерных атак на информационную систему. В способе обнаружения признаков компьютерной атаки собирают информацию об объекте на компьютере, передают средству обнаружения уведомление безопасности, включающее информацию о средстве защиты и собранную информацию об объекте, при этом сохраняют полученное уведомление безопасности в базу данных объектов, находят объект, содержащийся в полученном уведомлении безопасности, в базе данных угроз, и добавляют в базе данных объектов к упомянутому объекту метку, соответствующую упомянутому объекту в базе данных угроз, выполняют поиск признаков подозрительной активности, содержащихся в базе данных подозрительной активности, на основании полученного уведомления безопасности и добавленных меток объекта, содержащегося в упомянутом уведомлении безопасности, при нахождении признака подозрительной активности добавляют в базе данных объектов к уведомлению безопасности метку, содержащуюся в базе данных подозрительной активности, выполняют обнаружение признаков компьютерной атаки путем выявления по крайней мере одной сигнатуры компьютерных атак из базы данных компьютерных атак среди полученных объектов, и уведомлений безопасности, и меток упомянутых объектов, и меток уведомлений безопасности из базы данных объектов. 2 н. и 30 з.п. ф-лы, 8 ил., 1 табл.
Изобретение относится к области защиты от компьютерных угроз. Технический результат изобретения заключается в повышении безопасности вычислительного устройства. Способ обнаружения вредоносных объектов на вычислительном устройстве содержит этапы, на которых: а) получают информацию о по меньшей мере одном объекте на вычислительном устройстве, содержащую в том числе контрольную сумму объекта, при помощи средства обнаружения подозрительных объектов; б) анализируют упомянутую информацию об объекте при помощи средства обнаружения подозрительных объектов, при этом на основании набора эвристических правил, используемых средством обнаружения подозрительных объектов, определяют, является ли анализируемый объект подозрительным или нет; в) собирают при помощи средства обнаружения подозрительных объектов информацию об объекте, если он был признан подозрительным на этапе ранее, при этом упомянутая информация включает по меньшей мере журнал вызовов API-функций, время появления объекта на вычислительном устройстве, и передают собранную информацию о подозрительном объекте средству анализа объектов; г) производят анализ полученной от средства обнаружения подозрительных объектов информации об объекте средством анализа объектов, при этом на основании набора эвристических правил, используемых средством анализа объектов, определяют, является ли подозрительный объект потенциально вредоносным или нет, и посылают запрос на передачу потенциально вредоносного объекта; при этом признание подозрительного объекта потенциально вредоносным в соответствии с эвристическими правилами осуществляется путем сопоставления информации об анализируемом объекте и информации об объектах, хранящейся в базе данных вредоносных объектов и базе данных безопасных объектов; при этом набор эвристических правил, которые используются для упомянутого анализа отличается от набора эвристических правил, используемых средством обнаружения подозрительных объектов; д) получают запрос со стороны средства анализа объектов на передачу потенциально вредоносного объекта при помощи средства обнаружения подозрительных объектов; е) определяют при помощи средства соблюдения политик безопасности возможность передачи потенциально вредоносного объекта средству анализа объектов; при этом, если передача потенциально вредоносного объекта запрещена в соответствии с используемой средством соблюдения политик безопасности политики безопасности, средство соблюдения политик безопасности запрещает передачу потенциально вредоносного объекта средству анализа объектов, в противном случае передача разрешена; ж) передают при помощи средства обнаружения подозрительных объектов потенциально вредоносный объект для анализа средству анализа объектов, если передача была разрешена средством соблюдения политик безопасности на этапе ранее; з) анализируют полученный потенциально вредоносный объект при помощи средства анализа объектов, при этом выясняют, превосходит ли степень сходства потенциально вредоносного объекта с каким-либо объектом из базы данных вредоносных объектов заранее установленный порог, и если степень сходства потенциально вредоносного объекта с каким-либо объектом из базы данных вредоносных объектов превосходит заранее установленный порог, то признают упомянутый объект вредоносным. 2 н.п. ф-лы, 3 ил.
Изобретение относится к области систем и способов выявления факта присутствия в операционной системе вредоносных программ, которые препятствуют работе пользователя с операционной системой. Техническим результатом является выявление присутствия вредоносных программ, препятствующих взаимодействию пользователя с интерфейсом операционной системы. Для выявления фактов присутствия в операционной системе упомянутых вредоносных программ: (а) выявляют наступление события, характеризуемого нарушением во взаимодействии пользователя с интерфейсом операционной системы; (б) сравнивают текущее состояние операционной системы с шаблонами состояний, характеризующими работу операционной системы с вредоносной программой, препятствующей взаимодействию пользователя с интерфейсом операционной системы; и (в) при выявлении упомянутого события, характеризуемого нарушением во взаимодействии пользователя с интерфейсом операционной системы, и совпадении текущего состояния операционной системы с упомянутыми шаблонами состояний, характеризующими работу операционной системы с упомянутой вредоносной программой, выявляют факт присутствия этой вредоносной программы в операционной системе. 2 н. и 9 з.п. ф-лы, 6 ил.
