Патенты автора Кирсанов Дмитрий Александрович (RU)
Эмулятор и способ эмуляции // 2757409
Группа изобретений относится к области информационной безопасности. Техническим результатом является повышение достоверности эмуляции инструкций файла, повышение уровня обнаружения вредоносного кода, снижение времени реакции на новые угрозы. Устройство содержит средство эмуляции, предназначенное для эмуляции исполнения инструкций файла на виртуальном процессоре эмулятора; приостановления эмуляции исполнения инструкций на вызове API-функции; проверки наличия API-функции в наборе обновляемых модулей; эмуляции исполнения упомянутой API-функции по инструкциям согласно реализации из соответствующего обновляемого модуля, если API-функция найдена; передачи управления средству исполнения, если API-функция не найдена в наборе обновляемых модулей; продолжения эмуляции исполнения инструкций файла с инструкции по адресу возврата API-функции, используя результат исполнения API-функции; содержащийся в памяти набор обновляемых модулей из по меньшей мере одного обновляемого модуля, где каждый обновляемый модуль из упомянутого набора содержит реализацию по меньшей мере одной API-функции; средство исполнения, предназначенное для формирования результата исполнения упомянутой API-функции согласно реализации API-функции, содержащейся в средстве исполнения или созданной средством исполнения и последующей передачи средству эмуляции результата исполнения API-функции. 2 н. и 18 з.п. ф-лы, 6 ил.
Изобретение относится к области вычислительной техники. Техническим результатом является обеспечение категоризации приложения, созданного с использованием платформы .NET. Раскрыт способ категоризации приложения, созданного с использованием платформы .NET (далее - приложение), реализуемый при помощи компьютерной системы, в котором: запускают при помощи средства безопасности CLR профилировщик путем загрузки средой исполнения CLR в оперативную память при запуске приложения с целью обработки событий, возникающих во время исполнения приложения, при этом средство безопасности задает необходимые значения переменных окружения для загрузки CLR профилировщика в адресное пространство процесса приложения; формируют журнал исполнения приложения при помощи запущенного CLR профилировщика на основании собираемой информации; при этом в журнал исполнения добавляется информация о возникающих во время исполнения приложения событиях, которые обрабатываются CLR профилировщиком, при этом событиями, по крайней мере, являются вызовы функций, осуществляемые процессом, запущенным из приложения, где функциями являются методы программной платформы .NET, вызовы которых осуществляются из программного кода приложения во время его исполнения; относят при помощи средства безопасности приложение к одной из предопределенных категорий приложений на основании анализа сформированного журнала исполнения приложения, применяя эвристические правила, при этом предопределенными категориями приложений являются: категория доверенных приложений, категория недоверенных приложений, категория вредоносных приложений, при этом, если средство безопасности относит приложение к категории вредоносных приложений, то признает вредоносными также и все сборки, загруженные в оперативную память во время исполнения приложения и не являющиеся доверенными. 9 з.п. ф-лы, 3 ил.
Система и способ формирования журнала при исполнении файла с уязвимостями в виртуальной машине // 2724790
Изобретение относится к способу формирования журнала при исполнении файла с уязвимостями. Технический результат заключается в повышении точности выявления наличия в виртуальной машине вредоносного приложения, эксплуатирующего уязвимости безопасного файла. Способ содержит этапы, на которых: выявляют средством перехвата во время исполнения потока процесса, созданного при открытии упомянутого файла, событие, при возникновении которого срабатывает триггер, описывающий сопутствующие событию условия, связанные с попыткой эксплуатации вредоносным приложением уязвимости упомянутого файла; анализируют средством перехвата стек процесса, созданного при открытии упомянутого файла, выявляют последовательность вызовов функций, предшествующих событию, на котором сработал триггер; анализируют средством перехвата выявленную последовательность вызовов функций на предмет выполнения сопутствующих условий триггера; в случае выполнения сопутствующих условий триггера, связанных с попыткой эксплуатации вредоносным приложением уязвимости упомянутого файла, сохраняют в журнал данные о выявленной последовательности вызовов функций для последующего анализа средством анализа с целью выявления наличия в виртуальной машине вредоносного приложения. 13 з.п. ф-лы, 4 ил.
Изобретение относится к решениям для выявления вредоносных файлов. Технический результат – повышение безопасности компьютерной системы. Система анализа на вредоносность файла, открываемого в виртуальной машине в виде среды для безопасного исполнения файлов, в которой перехватывают событие, которое возникает в процессе исполнения потока процесса, созданного при открытии файла в виртуальной машине в виде среды для безопасного исполнения, и приостанавливают исполнение потока; считывают контекст процессора, на котором исполняется поток; сохраняют перехваченное событие и контекст в журнал; сравнивают данные, сохраненные в журнале, с шаблонами, при этом на основании сравнения принимают по меньшей мере одно из решений: решение о признании файла вредоносным, решение об остановке исполнения файла, решение об изменении контекста процессора, решение об ожидании следующего события; исполняют действия, соответствующие принятым решениям. 2 н. и 16 з.п. ф-лы, 4 ил.
Изобретение относится к решениям для выявления вредоносных файлов. Техническим результатом является повышение безопасности компьютерной системы, которое достигается путем принятия решения о признании вредоносным файла, открываемого в виртуальной машине. Раскрыт способ принятия решения о признании вредоносным файла, открываемого в виртуальной машине в виде среды для безопасного исполнения файлов, при этом способ содержит этапы, на которых: а) выявляют во время исполнения потока процесса, созданного при открытии упомянутого файла, возникновение события, которое связано с изменением по меньшей мере одной страницы виртуальной памяти; б) выявляют во время исполнения потока процесса, созданного при открытии упомянутого файла, передачу управления по меньшей мере в одну измененную страницу виртуальной памяти; в) формируют журнал, в который сохраняют: события, возникающие во время исполнения потока процесса, созданного при открытии упомянутого файла, в измененной странице памяти, и считываемый при возникновении сохраняемого в журнал события контекст процессора, на котором исполняется поток процесса, созданного при открытии упомянутого файла; г) сравнивают сохраненные в сформированном журнале события и контекст процессора с по меньшей мере одним шаблоном; д) принимают решение о признании файла вредоносным на основании результатов сравнения. 7 з.п. ф-лы, 4 ил.
Изобретение относится к способу передачи выполнения инструкций из одного адресного пространства другому. Технический результат заключается в управлении выполнением инструкций кода. В способе определяют в оригинальном адресном пространстве процесса интересующий участок памяти, определяют страницы памяти оригинального адресного пространства процесса, содержащие инструкции кода и данные интересующего участка памяти, создают адресное пространство дублированием страниц оригинального адресного пространства процесса, где дублируются страницы, содержащие инструкции кода и данные интересующего участка памяти, помечают страницы памяти в оригинальном адресном пространстве, помечают в оригинальном адресном пространстве инструкции кода интересующего участка в страницах, содержащих помимо инструкций кода и данных интересующего участка памяти инструкции кода и данные участков, отличных от интересующего участка, помечают страницы памяти в продублированном адресном памяти, осуществляют выполнение инструкций в оригинальном адресном пространстве или продублированном адресном пространстве до создания уведомления, создают уведомление, передают выполнение инструкций адресному пространству, отличному от того, выполнение инструкций в котором создало уведомление. 15 з.п. ф-лы, 14 ил.
Способ выполнения кода интерпретатором // 2634171
Изобретение относится к области выполнения кода интерпретатором. Техническим результатом является улучшение качества выполнения интерпретатором исследуемого программного кода путем интерпретации вспомогательного программного кода и обеспечение выполнения интерпретатором инструкций исследуемого программного кода, для которых у интерпретатора отсутствует правило интерпретации, без изменения самого интерпретатора путем интерпретации вспомогательного программного кода. Раскрыт реализуемый компьютером способ выполнения программного кода интерпретатором, в котором: а) последовательно выполняют каждую инструкцию исследуемого кода; б) когда интерпретатор переходит к выполнению инструкции исследуемого кода, содержащей неизвестный объект, для которого у интерпретатора отсутствует правило интерпретации, приостанавливают дальнейшее выполнение исследуемого кода, при этом объект является одним из: процедурой; экземпляром класса; методом или переменной экземпляра класса; сценарием; файлом; в) получают вспомогательный код, результат выполнения которого соответствует результату выполнения упомянутого неизвестного объекта, при этом вспомогательный код содержит известные объекты, для которых в интерпретаторе присутствует правило интерпретации; г) последовательно выполняют каждую инструкцию вспомогательного кода; и д) после завершения выполнения вспомогательного кода возобновляют выполнение исследуемого кода на шаге б) со следующей инструкции исследуемого кода, пока не будет выполнена последняя инструкция исследуемого кода. 7 з.п. ф-лы, 4 ил., 6 табл.
Изобретение относится к вычислительной технике. Технический результат заключается в организации выполнения инструкций, загруженных в системной памяти, путем попеременной передачи выполнения инструкций из одной области памяти в другую, отличную от той, выполнение инструкций в которой создало уведомление. Способ передачи выполнения инструкций из одной области памяти в другую, в котором определяют в оригинальной области памяти, состоящей из участков памяти, по меньшей мере, один интересующий участок памяти; создают область памяти дублированием интересующего участка памяти оригинальной области памяти; помечают все участки памяти в оригинальной области памяти; запускают выполнение инструкций, записанных в оригинальной области памяти, в любом из имеющихся участков памяти в оригинальной области памяти, кроме интересующего участка памяти; осуществляют выполнение инструкций в участках памяти оригинальной области памяти процессором до создания уведомления, при этом уведомление создается при передаче управления инструкции из участка памяти, помеченного одной меткой, в интересующий участок памяти, помеченный отличной меткой; передают выполнение инструкций из участка памяти оригинальной области памяти интересующему участку памяти, но в продублированной области памяти, после создания уведомления. 10 з.п. ф-лы, 8 ил.
Изобретение относится к области компьютерной безопасности. Технический результат заключается в повышении безопасности компьютерных систем. Предложен способ признания вредоносным исполняемого файла, содержащего интерпретатор языка сценариев, по которому: передают исполняемый файл, содержащий интерпретатор языка сценариев и сценарий, связанный с упомянутым интерпретатором, анализатору; преобразуют с помощью анализатора команды из упомянутого сценария в псевдокод; производят эмуляцию выполнения псевдокода с помощью эмулятора сценариев и записывают результат в журнал работы эмуляторов; обнаруживают в процессе эмуляции по меньшей мере один переход из псевдокода в машинный код и переключают с помощью анализатора процесс эмуляции на эмулятор машинного кода; для каждого обнаруженного перехода производят эмуляцию выполнения машинного кода посредством эмулятора машинного кода и записывают результат в журнал работы эмуляторов, а при окончании процесса эмуляции выполнения машинного кода переключают с помощью анализатора процесс эмуляции на эмулятор сценариев; признают упомянутый исполняемый файл вредоносным при обнаружении вредоносного поведения в результате анализа журнала работы эмуляторов с помощью анализатора. 4 з.п. ф-лы, 4 ил.
Изобретение относится к вычислительной технике. Технический результат заключается в отслеживании выполнения процессором кода, загруженного в памяти. Способ передачи выполнения инструкций из одной области памяти в другую, в котором определяют среди участков оригинальной области памяти по меньшей мере один интересующий участок памяти; создают по меньшей мере одну область памяти дублированием участков оригинальной области памяти, где дублируется по меньшей мере один интересующий участок оригинальной области памяти; помечают участки памяти в оригинальной области памяти, при этом метки для интересующего участка в оригинальной области памяти отличны от меток остальных участков оригинальной области; помечают участки в продублированной области памяти, при этом метки для интересующего участка в продублированной области памяти отличны от меток остальных участков продублированной области памяти; выбирают область памяти для выполнения записанных в ней инструкций процессором, причем выполняют инструкции до появления уведомления, при этом уведомление создается при передаче управления инструкции из участка, помеченного одной меткой, в участок области, помеченный отличной меткой; передают выполнение инструкций области памяти, отличной от той, выполнение инструкций в которой создало уведомление. 13 з.п. ф-лы, 8 ил.
