Патенты автора Полозов Павел Леонидович (RU)
Изобретение относится к области защиты данных приложений, а именно к системам и способам обнаружения вредоносного приложения путем перехвата доступа к отображаемой пользователю информации. Технический результат настоящего изобретения заключается в повышении безопасности вычислительного устройства пользователя, которое достигается путем обнаружения вредоносного приложения, из которого был запущен процесс, осуществляющий доступ к отображаемой пользователю вычислительного устройства информации. Раскрыт способ обнаружения вредоносного приложения на вычислительном устройстве пользователя, согласно которому: а. перехватывают при помощи средства перехвата доступ процесса к отображаемой пользователю информации для определения по меньшей мере: информации о процессе, осуществляющем доступ к информации, отображаемой пользователю, при этом упомянутая информация включает по меньшей мере идентификатор процесса (PID); области на дисплее вычислительного устройства, на которой отображается пользователю информация и к которой осуществляется доступ процесса; б. анализируют при помощи средства анализа пересечений пересечение определенной на этапе ранее области на дисплее вычислительного устройства с областями элементов графического интерфейса процессов, выполняющихся на вычислительном устройстве, для определения, какие из областей элементов графического интерфейса упомянутых процессов: содержат упомянутую область; содержатся в упомянутой области; частично пересекаются с упомянутой областью; в. вычисляют при помощи средства анализа пересечений рейтинг важности определенной ранее области на дисплее вычислительного устройства на основании того, какие из областей элементов графического интерфейса процессов, выполняющихся на вычислительном устройстве, содержат упомянутую область, содержатся в упомянутой области, и какие из областей элементов графического интерфейса процессов частично пересекаются с упомянутой областью; г. вычисляют при помощи средства обеспечения безопасности рейтинг опасности доступа к отображаемой пользователю информации на основании информации о процессе, осуществляющем доступ к информации, отображаемой пользователю; д. признают при помощи средства обеспечения безопасности приложение, из которого был запущен процесс, доступ которого к отображаемой пользователю вычислительного устройства информации был перехвачен на этапе «а», вредоносным, если комбинация рейтинга опасности доступа к отображаемой пользователю информации и рейтинга важности области превышает пороговое значение. 2 н. и 2 з.п. ф-лы, 3 ил.
Изобретение относится к области защиты данных приложений, а именно к системам и способам блокирования доступа к отображаемой пользователю информации. Техническим результатом является повышение безопасности вычислительного устройства пользователя, которое достигается путем блокирования доступа процесса, к отображаемой пользователю информации. Раскрыт способ блокирования доступа к отображаемой пользователю информации, согласно которому: а. вычисляют при помощи средства мониторинга активности коэффициенты конфиденциальности элементов графического интерфейса процессов, запущенных на вычислительном устройстве; б. перехватывают при помощи средства перехвата доступ процесса к отображаемой пользователю информации для определения по меньшей мере: информации о процессе, осуществляющем доступ к информации, отображаемой пользователю, при этом упомянутая информация включает по меньшей мере идентификатор процесса (PID); области на дисплее вычислительного устройства, на которой отображается пользователю информация и к которой осуществляется доступ процесса, при этом определение области на дисплее вычислительного устройства - по крайней мере определение расположения области на дисплее вычислительного устройства; в. анализируют при помощи средства анализа пересечений пересечение определенной на этапе ранее области на дисплее вычислительного устройства с областями элементов графического интерфейса процессов, выполняющихся на вычислительном устройстве, для определения, какие из областей элементов графического интерфейса упомянутых процессов: содержат упомянутую область; содержатся в упомянутой области; частично пересекаются с упомянутой областью; г. вычисляют при помощи средства анализа пересечений рейтинг важности определенной ранее области на дисплее вычислительного устройства на основании того, какие из областей элементов графического интерфейса процессов, выполняющихся на вычислительном устройстве, содержат упомянутую область, содержатся в упомянутой области, и какие из областей элементов графического интерфейса процессов частично пересекаются с упомянутой областью; д. вычисляют при помощи средства обеспечения безопасности рейтинг опасности доступа к отображаемой пользователю информации на основании информации о процессе, осуществляющем доступ к информации, отображаемой пользователю; е. вычисляют при помощи средства обеспечения безопасности комбинацию рейтинга опасности доступа к отображаемой пользователю информации и рейтинга важности области; ж. блокируют при помощи средства перехвата доступ процесса, который был перехвачен на этапе «б», к отображаемой пользователю информации, если вычисленная на этапе ранее комбинация рейтинга опасности доступа к отображаемой информации и рейтинга важности области, и к которой осуществляется доступ, превышает пороговое значение. 2 н. и 2 з.п. ф-лы, 3 ил.
Изобретение относится к контролю приложений. Технический результат заключается в уменьшении времени, в течение которого производится анализ файлов клиентом в рамках контроля приложений. Способ предварительной фильтрации файлов для контроля приложений, в котором перехватывают вызовы функций записи в файл с целью определения данных, находящихся внутри части файла, которые используются для определения характеристик файла; применяют файловый фильтр к части файла; при этом файловый фильтр представляет собой битовую маску вместе с по меньшей мере одной характеристикой файла; при этом под применением файлового фильтра понимают вычисление результатов операции AND, применяемой к части файла и битовой маске; определяют множество характеристик файла, если был определен файловый фильтр, сработавший на части файла; при этом, если фильтр сработал на части файла, то файл обладает характеристикой, описанной в рамках файлового фильтра; исключают файл из проверки, которая проводится в рамках контроля приложений, если множество определенных характеристик файла удовлетворяет критерию фильтрации; при этом критерием фильтрации является эвристическое правило, применяемое к множеству характеристик файла. 2 н. и 2 з.п. ф-лы, 3 ил.
