Патенты автора Левченко Вячеслав Иванович (RU)

Изобретение относится к противодействию несанкционированного доступа к данным микрофона. Технический результат – блокирование доступа к данным микрофона со стороны неавторизованных процессов. Система предотвращения несанкционированного доступа к данным микрофона содержит вычислительное устройство, по меньшей мере один процессор, средства ввода и вывода, носитель информации, который содержит операционную систему, множество инструкций и подсистему контроля доступа к данным микрофона, при этом операционная система включает в себя аудиоподсистему, которая содержит: средство управления аудиопотоками, средство микширования и обработки аудиопотоков, средство управления конечными аудиоустройствами, при этом подсистема контроля доступа к данным микрофона содержит средство фильтрации RPC-трафика, средство блокирования аудиопотоков, средство авторизации доступа. 2 н. и 18 з.п. ф-лы, 5 ил.

Изобретение относится к области защиты данных приложений, а именно к системам и способам обнаружения вредоносного приложения путем перехвата доступа к отображаемой пользователю информации. Технический результат настоящего изобретения заключается в повышении безопасности вычислительного устройства пользователя, которое достигается путем обнаружения вредоносного приложения, из которого был запущен процесс, осуществляющий доступ к отображаемой пользователю вычислительного устройства информации. Раскрыт способ обнаружения вредоносного приложения на вычислительном устройстве пользователя, согласно которому: а. перехватывают при помощи средства перехвата доступ процесса к отображаемой пользователю информации для определения по меньшей мере: информации о процессе, осуществляющем доступ к информации, отображаемой пользователю, при этом упомянутая информация включает по меньшей мере идентификатор процесса (PID); области на дисплее вычислительного устройства, на которой отображается пользователю информация и к которой осуществляется доступ процесса; б. анализируют при помощи средства анализа пересечений пересечение определенной на этапе ранее области на дисплее вычислительного устройства с областями элементов графического интерфейса процессов, выполняющихся на вычислительном устройстве, для определения, какие из областей элементов графического интерфейса упомянутых процессов: содержат упомянутую область; содержатся в упомянутой области; частично пересекаются с упомянутой областью; в. вычисляют при помощи средства анализа пересечений рейтинг важности определенной ранее области на дисплее вычислительного устройства на основании того, какие из областей элементов графического интерфейса процессов, выполняющихся на вычислительном устройстве, содержат упомянутую область, содержатся в упомянутой области, и какие из областей элементов графического интерфейса процессов частично пересекаются с упомянутой областью; г. вычисляют при помощи средства обеспечения безопасности рейтинг опасности доступа к отображаемой пользователю информации на основании информации о процессе, осуществляющем доступ к информации, отображаемой пользователю; д. признают при помощи средства обеспечения безопасности приложение, из которого был запущен процесс, доступ которого к отображаемой пользователю вычислительного устройства информации был перехвачен на этапе «а», вредоносным, если комбинация рейтинга опасности доступа к отображаемой пользователю информации и рейтинга важности области превышает пороговое значение. 2 н. и 2 з.п. ф-лы, 3 ил.

Изобретение относится к защите от вредоносного программного обеспечения, а именно к выполнению антивирусных проверок. Технический результат – уменьшение количества антивирусных проверок файлов во время записи упомянутых файлов на диск. Способ прекращения выполнения антивирусных проверок файла в процессе записи упомянутого файла на диск, в котором определяют с помощью антивирусного приложения операцию открытия файла приложением пользователя для записи данных, выполняют антивирусную проверку упомянутого файла на наличие вредоносного кода после закрытия упомянутого файла, определяют при отсутствии вредоносного кода в файле количество ранее выполненных антивирусных проверок упомянутого файла с использованием антивирусной таблицы, при этом упомянутая антивирусная таблица связана с антивирусным приложением и содержит количество выполненных антивирусных проверок упомянутого файла, пороговое значение, равное максимальному количеству антивирусных проверок упомянутого файла, увеличивают количество выполненных антивирусных проверок на единицу в антивирусной таблице для упомянутого файла, выполняют первые три этапа в процессе записи файла на диск до тех пор, пока увеличенное количество выполненных антивирусных проверок не превысит упомянутое пороговое значение, когда увеличенное количество выполненных антивирусных проверок превысило упомянутое пороговое значение, прекращают выполнение антивирусных проверок файла. 8 з.п. ф-лы, 3 ил.

Изобретение относится к области защиты данных приложений, а именно к системам и способам блокирования доступа к отображаемой пользователю информации. Техническим результатом является повышение безопасности вычислительного устройства пользователя, которое достигается путем блокирования доступа процесса, к отображаемой пользователю информации. Раскрыт способ блокирования доступа к отображаемой пользователю информации, согласно которому: а. вычисляют при помощи средства мониторинга активности коэффициенты конфиденциальности элементов графического интерфейса процессов, запущенных на вычислительном устройстве; б. перехватывают при помощи средства перехвата доступ процесса к отображаемой пользователю информации для определения по меньшей мере: информации о процессе, осуществляющем доступ к информации, отображаемой пользователю, при этом упомянутая информация включает по меньшей мере идентификатор процесса (PID); области на дисплее вычислительного устройства, на которой отображается пользователю информация и к которой осуществляется доступ процесса, при этом определение области на дисплее вычислительного устройства - по крайней мере определение расположения области на дисплее вычислительного устройства; в. анализируют при помощи средства анализа пересечений пересечение определенной на этапе ранее области на дисплее вычислительного устройства с областями элементов графического интерфейса процессов, выполняющихся на вычислительном устройстве, для определения, какие из областей элементов графического интерфейса упомянутых процессов: содержат упомянутую область; содержатся в упомянутой области; частично пересекаются с упомянутой областью; г. вычисляют при помощи средства анализа пересечений рейтинг важности определенной ранее области на дисплее вычислительного устройства на основании того, какие из областей элементов графического интерфейса процессов, выполняющихся на вычислительном устройстве, содержат упомянутую область, содержатся в упомянутой области, и какие из областей элементов графического интерфейса процессов частично пересекаются с упомянутой областью; д. вычисляют при помощи средства обеспечения безопасности рейтинг опасности доступа к отображаемой пользователю информации на основании информации о процессе, осуществляющем доступ к информации, отображаемой пользователю; е. вычисляют при помощи средства обеспечения безопасности комбинацию рейтинга опасности доступа к отображаемой пользователю информации и рейтинга важности области; ж. блокируют при помощи средства перехвата доступ процесса, который был перехвачен на этапе «б», к отображаемой пользователю информации, если вычисленная на этапе ранее комбинация рейтинга опасности доступа к отображаемой информации и рейтинга важности области, и к которой осуществляется доступ, превышает пороговое значение. 2 н. и 2 з.п. ф-лы, 3 ил.

Изобретение относится к области защищенной передачи аудиоданных от микрофона к процессам посредством шифрования. Технический результат изобретения заключается в защите аудиоданных, передаваемых от микрофона к процессам, от перехвата. Система защищенной передачи аудиоданных от микрофона к процессам содержит: вычислительное устройство, содержащее: по меньшей мере, один процессор; средства ввода и вывода, взаимодействующие, по меньшей мере, с одним процессором; и носитель информации, содержащий операционную систему, множество инструкций, исполняемых, по меньшей мере, на одном процессоре, и подсистему защищенной передачи аудиоданных; при этом операционная система включает в себя аудиоподсистему, содержащую: средство управления аудиопотоками, с которым при помощи API-функций взаимодействуют процессы для создания и управления аудиопотоками, связанное со средством микширования и обработки аудиопотоков; средство микширования и обработки аудиопотоков, предназначенное для обработки аудиопотоков при помощи средств обработки аудио (Audio Processing Objects, APOs), а также маршрутизации аудиопотоков между процессами и конечным устройством, являющимся микрофоном, во время которой осуществляется передача аудиоданных от упомянутого микрофона к процессам посредством отдельных буферов, в которые упомянутое средство микширования и обработки аудиопотоков записывает аудиоданные, а процессы считывают упомянутые аудиоданные при помощи вызова API-функции; при этом подсистема защищенной передачи аудиоданных содержит: средство фильтрации RPC-трафика, осуществляющее мониторинг RPC-трафика между средством управления аудиопотоками и средством микширования и обработки аудиопотоков, предназначенное для обнаружения RPC-запросов создания аудиопотоков, связанных с конечным аудиоустройством, являющимся микрофоном, и для определения идентификаторов процессов, для которых запрашивается создание аудиопотоков, связанное со средством криптографической защиты аудиопотоков; средство криптографической защиты аудиопотоков, предназначенное для шифрования аудиоданных в рамках средства микширования и обработки аудиопотоков при помощи средств обработки аудио (Audio Processing Objects, APOs), также предназначенное для установки перехватчиков вызова API-функции, посредством которой процессы считывают аудиоданные из отдельных буферов, используемых средством микширования и обработки аудиопотоков для осуществления передачи аудиоданных от конечного устройства, являющегося микрофоном, к процессам, где упомянутые перехватчики устанавливаются для процессов, идентификаторы которых были определены средством фильтрации RPC-трафика, и также предназначенное для выполнения процедуры расшифрования аудиоданных и передачи расшифрованных аудиоданных процессам. 2 н. и 12 з.п. ф-лы, 7 ил.

Изобретение относится к компьютерной безопасности. Технический результат заключается в обеспечении блокировки приложением безопасности доступа к запрещенным путям, содержащимся в дереве поиска. Предложен способ поиска искомого пути по дереву, содержащему запрещенные пути, доступ к которым блокируется приложением безопасности, в котором создают с помощью приложения безопасности дерево путей; разделяют с помощью приложения безопасности искомый путь на составляющие элементы и для каждого элемента вычисляют количество значащих символов; текущим компонентом искомого пути назначают начальный элемент искомого пути; текущей вершиной назначают корневую вершину дерева; сравнивают текущий компонент искомого пути с потомками текущей вершины, при этом если потомок содержит маску, сначала сравнивается количество значащих символов маски и компонента искомого пути, затем выполняют посимвольное сравнение в случае, если количество значащих символов в маске не больше количества значащих символов компонента искомого пути; выносят решение о нахождении искомого пути в дереве путей; блокируют доступ по искомому пути с помощью приложения безопасности с использованием перехвата API-функций в случае, если искомый путь содержится в дереве путей. 4 ил.

Изобретение относится к области компьютерной безопасности, а именно к системам и способам настройки антивирусной проверки. Технический результат настоящего изобретения заключается в обеспечении настройки антивирусной проверки. Указанный технический результат достигается за счет определения даты и времени начала антивирусной проверки и выбора метода антивирусной проверки на основании собранных данных для настройки антивирусной проверки. 2 н. и 6 з.п. ф-лы, 8 ил.

Изобретение предназначено для выполнения запросов процессов к файловой системе. Технический результат – оптимизация работы файловой системы с запросами процессов. Система выполнения запросов процессов операционной системы к файловой системе, где запросы представляют собой вызовы API-функции, при этом система выполнения запросов содержит средство перехвата запросов, средство кэширования, базу данных запросов, средство управления доступом. 2 н. и 4 з.п. ф-лы, 3 ил.

Изобретение относится к антивирусным технологиям, а более конкретно к способу создания обработчика системных вызовов. Технический результат настоящего изобретения заключается в обеспечении возможности обработки системных вызовов. Способ вызова модифицированного обработчика системных вызовов в операционной системе Windows содержит этапы, на которых: локализуют код оригинального обработчика системных вызовов; создают модифицированный обработчик системных вызовов путем выделения памяти и копирования туда кода оригинального обработчика, при этом дополнительно выполняют следующий шаг: подменяют адрес оригинального обработчика на адрес модифицированного обработчика; перехватывают вызов инструкций процессора, связанных с системным вызовом, с помощью гипервизора; сохраняют значение регистра MSR с помощью гипервизора для возврата его процессу Patch Guard в случае считывания последним значения регистра MSR для корректной работы операционной системы; вызывают модифицированный обработчик системных вызовов для перехвата операций, связанных со снятием снимков экрана. 7 ил.

Изобретение относится к антивирусным технологиям. Техническим результатом является уменьшение времени антивирусной проверки операционной системы за счет исключения процессов из антивирусной проверки. Согласно одному из вариантов реализации предлагается способ исключения процесса из антивирусной проверки, который содержит этапы: а) определяют запрос на доступ к файлу со стороны процесса с помощью средства мониторинга процессов; б) определяют формат файла, к которому осуществляется доступ со стороны упомянутого процесса, с помощью средства обработки событий; в) определяют данные об упомянутом процессе, при этом данные об упомянутом процессе включают список загруженных библиотек в виртуальную память процесса, с помощью средства обработки событий; г) определяют стек вызова доступа к файлу, при этом стек вызова включает отслеживание передачи запроса на доступ к файлу со стороны процесса через другие процессы, с помощью средства обработки событий; д) определяют уровень опасности запроса на доступ к файлу со стороны процесса на основании определенных формата файла, данных об упомянутом процессе, стека вызова доступа к файлу с помощью средства мониторинга процессов; е) исключают процесс из антивирусной проверки с помощью средства антивирусной защиты при условии, что определенный уровень опасности не превышает заданный порог. 6 з.п. ф-лы, 4 ил.

Изобретение относится к виртуализации. Технический результат заключается в обеспечении постоянного выполнения одного из гипервизоров в компьютерной системе. Способ организации выполнения более одного гипервизора в одной и той же компьютерной системе, при этом один из гипервизоров должен постоянно выполняться, в котором выполняют код в режиме гипервизора, который должен постоянно выполняться, пока остальные гипервизоры не требуют выполнения кода в режиме гипервизора; отслеживают попытку запуска кода в режиме гипервизора со стороны других гипервизоров; останавливают выполнение кода в режиме гипервизора, который должен постоянно выполняться; сохраняют состояние компьютерной системы при остановке выполнения кода в режиме гипервизора, который должен постоянно выполняться; загружают состояние компьютерной системы для выполнения кода в режиме гипервизора, который произвел попытку запуска; выполняют код в режиме гипервизора, который произвел попытку запуска; отслеживают состояние компьютерной системы для ожидания возможности запуска кода в режиме гипервизора, который должен постоянно выполняться; загружают ранее сохраненное состояние компьютерной системы; запускают код в режиме гипервизора, который должен постоянно выполняться. 1 з.п. ф-лы, 4 ил.

Изобретение относится к антивирусным технологиям, а более конкретно к способу создания обработчика системных вызовов. Технический результат заключается в обеспечении вызова системных функций в условиях использования средств защиты ядра операционной системы. Согласно одному из вариантов реализации, предлагается способ вызова системных функций, во время которых выполняют следующие этапы: загружают гипервизор для перехвата обработчика системных вызовов. Модифицируют структуры ядра операционной системы, связанные с вызовами системных функций, при этом указанные структуры ядра операционной системы включают, по меньшей мере: а) обработчик системных вызовов; б) таблицу системных вызовов, в которой заменяют адрес вызова, по меньшей мере, одной системной функции, на адрес вызова другой функции, сохраняя при этом оригинальный адрес вызова системной функции; перехватывают вызов обработчика системных вызовов с помощью гипервизора; вызывают другую функцию по замененному адресу в таблице системных вызовов; вызывают системную функцию по сохраненному оригинальному адресу. 7 ил.

Изобретение относится к контролю приложений. Технический результат заключается в уменьшении времени, в течение которого производится анализ файлов клиентом в рамках контроля приложений. Способ предварительной фильтрации файлов для контроля приложений, в котором перехватывают вызовы функций записи в файл с целью определения данных, находящихся внутри части файла, которые используются для определения характеристик файла; применяют файловый фильтр к части файла; при этом файловый фильтр представляет собой битовую маску вместе с по меньшей мере одной характеристикой файла; при этом под применением файлового фильтра понимают вычисление результатов операции AND, применяемой к части файла и битовой маске; определяют множество характеристик файла, если был определен файловый фильтр, сработавший на части файла; при этом, если фильтр сработал на части файла, то файл обладает характеристикой, описанной в рамках файлового фильтра; исключают файл из проверки, которая проводится в рамках контроля приложений, если множество определенных характеристик файла удовлетворяет критерию фильтрации; при этом критерием фильтрации является эвристическое правило, применяемое к множеству характеристик файла. 2 н. и 2 з.п. ф-лы, 3 ил.

 


Наверх