Патенты автора Лискин Александр Викторович (RU)

Система и способ модифицирования ограниченной среды исполнения для запуска, исполнения и проверки приложения на наличие вредоносного кода // 2784701

Изобретение относится к области информационной безопасности, а более конкретно к системам и способам модифицирования сред исполнения приложений. Изобретение предназначено для формирования или модификации ограниченных сред исполнения приложений. Технический результат заключается в обеспечении выполнения проверки приложения, работающего в модифицированной ограниченной среде исполнения, на наличие вредоносного кода. Технический результат достигается путем формирования и модификации среды исполнения в соответствии с ограничениями. 2 н. и 16 з.п. ф-лы, 3 ил.

Система и способ формирования правила проверки файла на вредоносность // 2757408

Изобретение относится к области информационной безопасности. Технический результат заключается в повышении точности обнаружения вредоносных файлов. Технический результат достигается за счет определения характеристики файла, который требуется проверить на вредоносность; выбора на основании определенных характеристик по меньшей мере двух модулей проверки файла на вредоносность из базы модулей; выбора правила проверки файла на вредоносность из базы правил для каждого выбранного модуля, где правило проверки файла на вредоносность представляет собой способ вычисления степени вредоносности файла; формирования правила проверки файла на вредоносность из выбранных правил. 2 н. и 16 з.п. ф-лы, 3 ил.

Система и способ двухэтапной классификации файлов // 2708356

Изобретение относится к области обнаружения вредоносных файлов. Техническим результатом является снижение количества ошибок первого и второго родов при обнаружении вредоносных файлов. Способ обнаружения вредоносных файлов содержит этапы: выделяют набор признаков файла, который содержит по меньшей мере простые признаки файла; простым признаком является признак, выделение которого не требует существенных вычислительных затрат; вычисляют гибкий хеш файла на основании выделенного набора признаков файла; гибкий хеш устойчив к изменениям признаков из выделенного набора признаков; выбирают классификатор, соответствующий вычисленному значению гибкого хеша файла, из набора классификаторов, состоящего из по меньшей мере одного классификатора; классификатор соответствует гибкому хешу, когда для обучения классификатора использовались по меньшей мере файлы, значения гибких хешей которых совпадают со значением упомянутого гибкого хеша; относят файл к одной из категорий файлов при помощи классификатора, выбранного на этапе ранее; признают файл вредоносным, если он был отнесен к категории вредоносных файлов. 2 н. и 12 з.п. ф-лы, 5 ил.

Система и способ обучения модели обнаружения вредоносных контейнеров // 2697955

Изобретение относится к области вычислительной техники. Техническим результатом является обеспечение обучения модели обнаружения вредоносных контейнеров. Раскрыта система обучения модели обнаружения вредоносных контейнеров, при этом в качестве контейнера выступает файл, содержащий в себе по меньшей мере два и более объектов, представляющих собой логически обособленные области данных упомянутого контейнера (далее - объекты), которая содержит: средство определения параметров, предназначенное для определения параметров каждого объекта, выбранного из анализируемого контейнера, при этом один из параметров характеризует функциональную связь объектов между собой; средство формирования свертки, предназначенное для формирования свертки на основании параметров объектов, определенных средством определения параметров, в качестве которой выступает многомерный вектор, каждому элементу которого соответствует свой уникальный параметр из определенных параметров, а значение упомянутого элемента соответствует количеству объектов, для которых был определен упомянутый параметр; средство обучения, предназначенное для машинного обучения модели обнаружения вредоносных контейнеров на основании по меньшей мере одной свертки, сформированной для безопасного контейнера и одного вредоносного контейнера, при этом упомянутая модель обнаружения представляет собой алгоритм вычисления степени вредоносности контейнера, а степень вредоносности контейнера - численное значение, характеризующее вероятность того, что упомянутый контейнер является вредоносным. 2 н. и 8 з.п. ф-лы, 5 ил., 2 табл.

Система и способ выявления вредоносного CIL-файла // 2660643

Изобретение относится к решениям для выявления вредоносных приложений. Технический результат – повышение безопасности работы пользователя на вычислительном устройстве. Способ выявления анализируемого файла, содержащего транслированный код с языков высокого уровня на промежуточный язык, вредоносным, в котором выделяют набор строк из анализируемого файла, вычисляют хеш набора выделенных строк, выявляют степень схожести набора выделенных строк анализируемого файла с наборами выделенных строк известных вредоносных файлов, выносят решение о вредоносности анализируемого файла. 4 з.п. ф-лы, 3 ил.

Способ эмуляции исполнения файлов, содержащих инструкции, отличные от машинных // 2659742

Изобретение относится к области эмуляции исполнения файлов. Техническим результатом является эмуляция исполнения файлов, содержащих инструкции, отличные от машинных. Раскрыт способ эмуляции исполнения файла, содержащего отличные от машинных инструкции, реализуемый электронным вычислительным устройством, в котором: a) формируют образ файла при помощи средства эмуляции путем считывания части файла, при этом файл содержит отличные от машинных инструкции; b) эмулируют при помощи средства эмуляции исполнение инструкций из образа файла; c) формируют при помощи средства эмуляции образ другого файла, если была осуществлена передача управления от инструкции из образа файла к инструкции в другом файле, путем считывания части другого файла, при этом формирование образа другого файла осуществляется путем считывания части другого файла; d) обнаруживают при помощи средства анализа в считанной части другого файла по меньшей мере один известный набор инструкций, при этом известным набором инструкций является набор инструкций, предназначенный для обработки отличных от машинных инструкций, содержащихся в файле, образ которого был сформирован на этапе а; e) устанавливают при помощи средства анализа точки останова в начале по меньшей мере одного обнаруженного известного набора инструкций в образе другого файла; f) эмулируют при помощи средства эмуляции исполнение инструкций из образа другого файла, при этом при достижении средством эмуляции точки останова в журнал эмуляции добавляется запись о эмуляции исполнения известного набора инструкций, в начале которого установлена упомянутая точка останова. 13 з.п. ф-лы, 4 ил.

Способ контроля доступа к составным файлам // 2659739

Изобретение относится к защите вычислительных устройств, а именно к контролю доступа к составным файлам. Технический результат – обеспечение защиты вычислительного устройства при доступе пользователя к составным файлам. Способ контроля доступа к составному файлу, в котором определяют, является ли файл составным, выделяют первый набор признаков из заголовка составного файла, если на этапе ранее было определено, что файл является составным, выделяют второй набор признаков из директории составного файла, если на этапе ранее было определено, что файл является составным, вычисляют хеш составного файла с использованием первого и второго набора признаков, предоставляют доступ к составному файлу со стороны пользователя вычислительного устройства, если вычисленный хеш составного файла совпадает с хешем доверенного составного файла. 4 з.п. ф-лы, 4 ил.

Способ эмуляции исполнения файлов // 2659734

Изобретение относится к области компьютерной техники. Техническим результатом является эмуляция исполнения файлов. Раскрыт способ эмуляции исполнения файла, реализуемый электронным вычислительным устройством, в котором: a. формируют образ файла при помощи средства эмуляции путем считывания части файла; b. обнаруживают при помощи средства анализа в считанной части файла по меньшей мере один известный набор инструкций; c. устанавливают при помощи средства анализа точки останова в начале по меньшей мере одного обнаруженного известного набора инструкций в образе файла; d. эмулируют при помощи средства эмуляции исполнение инструкций из образа файла, при этом при достижении средством эмуляции точки останова в журнал эмуляции добавляется запись о эмуляции исполнения известного набора инструкций, в начале которого установлена упомянутая точка останова. 11 з.п. ф-лы, 4 ил.

Система и способ обнаружения вредоносных файлов с использованием элементов статического анализа // 2654146

Изобретение относится к области обнаружения вредоносных файлов. Техническим результатом является обнаружение вредоносных файлов на основании анализа функциональных зависимостей между ресурсами анализируемых файлов. Раскрыта система признания файла вредоносным, которая содержит: а) средство извлечения ресурсов, предназначенное для: извлечения ресурсов из анализируемого файла; передачи извлеченных ресурсов средству формирования правил и средству поиска правил; б) средство формирования правил, предназначенное для: формирования по меньшей мере одного правила, устанавливающего функциональную зависимость между полученными ресурсами (далее - правило), при этом правило формируется путем создания из полученных ресурсов искусственной нейронной сети, где узлами искусственной нейронной сети являются средства анализа полученных ресурсов, а связи между узлами, сформированные во время создания нейронной сети, указывают на функциональную зависимость между полученными ресурсами; передачи каждого сформированного правила средству сравнения правил; в) средство поиска правил, предназначенное для: осуществления поиска по меньшей мере одного правила в базе ресурсов вредоносных файлов на основании полученных ресурсов; передачи каждого найденного правила средству сравнения правил; г) средство сравнения правил, предназначенное для: вычисления степени схожести между полученными от средства формирования правил и средства поиска правилами; передачи вычисленной степени схожести средству вынесения решения; д) средство вынесения решения, предназначенное для: признания анализируемого файла вредоносным, в случае, когда полученная степень схожести превышает заранее заданное пороговое значение. 2 н. и 14 з.п. ф-лы, 3 ил.

Способ обнаружения вредоносных составных файлов // 2634178

Изобретение относится к области защиты вычислительных устройств, а именно к способам обнаружения вредоносных составных файлов. Технический результат заключается в обеспечении защиты вычислительного устройства от вредоносных программ за счет обнаружения составного вредоносного файла. Способ обнаружения вредоносных составных файлов, в котором определяют при помощи средства вычисления, является ли файл составным; выделяют при помощи средства вычисления первый набор признаков из заголовка составного файла, если ранее на этапе было определено, что файл является составным; выделяют при помощи средства вычисления второй набор признаков из по меньшей мере одной директории составного файла, если ранее на этапе было определено, что файл является составным; вычисляют при помощи средства вычисления хеш составного файла с использованием по меньшей мере первого и второго набора признаков; признают при помощи средства сравнения составной файл вредоносным, если вычисленный хеш составного файла совпадает с хешем вредоносного составного файла; при этом хеш вредоносного составного файла хранится в базе данных хешей. 4 з.п. ф-лы, 4 ил.

Способ определения похожести составных файлов // 2628922

Изобретение относится к области обработки данных, а именно к способам определения похожести составных файлов. Технический результат настоящего изобретения заключается в обнаружении похожих составных файлов, который достигается путем признания составных файлов похожими, если вычисленные хеши составных фалов совпадают. Способ определения похожести составных файлов содержит этапы, на которых: a) определяют при помощи средства вычисления, является ли первый файл составным (compound file); b) выделяют при помощи средства вычисления первый набор признаков из заголовка первого составного файла, если на этапе ранее было определено, что первый файл является составным; c) выделяют при помощи средства вычисления второй набор признаков из по меньшей мере одной директории (directory entry) первого составного файла, если на этапе ранее было определено, что первый файл является составным; d) вычисляют при помощи средства вычисления хеш (hash) первого составного файла с использованием первого и второго набора признаков; e) выполняют шаги a-d для второго составного файла; f) признают при помощи средства сравнения первый и второй составные файлы похожими, если вычисленные хеши файлов совпадают. 6 з.п. ф-лы, 4 ил.

Способ обнаружения вредоносных файлов, исполняемых с помощью стековой виртуальной машины // 2624552

Изобретение предназначено для обнаружения вредоносных файлов, исполняемых с помощью стековой виртуальной машины. Технический результат настоящего изобретения заключается в обнаружении вредоносных файлов, исполняемых с помощью стековой виртуальной машины, работающей на компьютерной системе, за счет создания и использования кластеров данных анализируемых файлов с использованием данных из кластеров, найденных в базе кластеров безопасных файлов, для обеспечения безопасности компьютерной системы. Способ обнаружения вредоносных файлов, исполняемых с помощью стековой виртуальной машины, в которой все операнды выполняемых функций размещаются лишь в одной структуре данных, в качестве которой выступает стек виртуальной машины, в котором: а) выделяют данные по меньшей мере из одного файла, исполняемого с помощью стековой виртуальной машины, при этом в качестве данных, выделяемых из файла, исполняемого с помощью стековой виртуальной машины, выступают по меньшей мере: параметры секции файла, в качестве которых выступают по меньшей мере: код секции, название секции, тип заголовка секции, смещение на данные в секции, размер данных секции; параметры функции, выполняемой с помощью стековой виртуальной машины, в качестве которых выступают по меньшей мере: индекс тела функции, позиция и длина кода функции в секции, индекс описателя функции, максимальная глубина стека при исполнении функции, количество используемых функцией локальных переменных, название функции, количество операндов, возвращаемый тип данных; б) осуществляют поиск в базе кластеров безопасных файлов по данным, выделенным на этапе а), по меньшей мере одного кластера, который содержит: значение одного из параметров секций файла, превышающее заданный порог; значение одного из параметров функций, выполняемых с помощью стековой виртуальной машины, превышающее заданный порог; в) у каждого найденного на этапе б) кластера выделяют данные, при этом в качестве данных выступают по меньшей мере: параметры секции файла, такие как: код секции, название секции, тип заголовка секции, смещение на данные в секции, размер данных секции; параметры функции, выполняемой с помощью стековой виртуальной машины, такие как: индекс тела функции, позиция и длина кода функции в секции, индекс описателя функции, максимальная глубина стека при исполнении функции, количество используемых функцией локальных переменных, название функции, количество операндов, возвращаемый тип данных; г) создают при помощи правил кластеризации по меньшей мере один кластер из выделенных на этапе а) данных за исключением данных, которые соответствуют данным, выделенным на этапе в); д) вычисляют контрольную сумму по меньшей мере одного созданного кластера; е) осуществляют поиск вычисленной контрольной суммы в базе контрольных сумм кластеров вредоносных файлов; ж) выносят вердикт об обнаружении по меньшей мере одного вредоносного файла в случае обнаружения в результате поиска, осуществленного на этапе е), в базе контрольных сумм кластеров вредоносных файлов вычисленной контрольной суммы. 2 з.п. ф-лы, 3 ил.

Система и способ оптимизации антивирусной проверки файлов // 2606559

Изобретение относится к системам и способам антивирусной проверки. Технический результат заключается в ускорении проведения антивирусной проверки исполняемых файлов путем исключения из проверки динамических библиотек, которые не содержат исполняемого кода. Система содержит средство проверки для получения динамической библиотеки на антивирусную проверку, передачи динамической библиотеки средству разбора, исключения из антивирусной проверки динамической библиотеки, которая не содержит исполняемого кода, на основании полученного от средства анализа решения; средство разбора для разбора структуры динамической библиотеки, во время которого определяют формат динамической библиотеки с помощью проверки заголовка динамической библиотеки, при этом форматом является «Native DLL», «.NET Assembly DLL», передачи информации о формате и структуре динамической библиотеки средству анализа; средство анализа для выбора перечня условий из базы данных на основании информации о формате динамической библиотеки, при этом перечень условий содержит условия для анализа структуры динамической библиотеки, вынесения решения об отсутствии исполняемого кода в динамической библиотеке при выполнении всех условий из перечня условий, передачи вынесенного решения средству проверки. 2 н. и 12 з.п. ф-лы, 3 ил.