Патенты автора Кобычев Денис Юрьевич (RU)

Способ обнаружения вредоносных файлов, противодействующих анализу в изолированной среде // 2708355

Изобретение относится к способу признания файла вредоносным. Технический результат заключается в расширении арсенала средств, предназначенных для признания вредоносными файлов, использующих средства для противодействия анализу в изолированной среде. Способ, по которому: открывают файл средством безопасности в виртуальной машине в виде среды для безопасного исполнения файлов; формируют с помощью средства перехвата гипервизора журнал, в который сохраняют события, возникающие во время исполнения по меньшей мере одного потока процесса, созданного при открытии файла в упомянутой виртуальной машине; формируют средством безопасности из журнала шаблон поведения, который состоит из тех событий, которые имеют отношение к безопасности; отслеживают средством безопасности события, возникающие во время исполнения по меньшей мере одного потока процесса, созданного при открытии файла на компьютерной системе; признают с помощью средства безопасности файл вредоносным при обнаружении по меньшей мере одного события, которое имеет отношение к безопасности и отсутствует в упомянутом шаблоне. 6 з.п. ф-лы, 4 ил.

Система и способ анализа файла на вредоносность в виртуальной машине // 2665911

Изобретение относится к решениям для выявления вредоносных файлов. Технический результат – повышение безопасности компьютерной системы. Система анализа на вредоносность файла, открываемого в виртуальной машине в виде среды для безопасного исполнения файлов, в которой перехватывают событие, которое возникает в процессе исполнения потока процесса, созданного при открытии файла в виртуальной машине в виде среды для безопасного исполнения, и приостанавливают исполнение потока; считывают контекст процессора, на котором исполняется поток; сохраняют перехваченное событие и контекст в журнал; сравнивают данные, сохраненные в журнале, с шаблонами, при этом на основании сравнения принимают по меньшей мере одно из решений: решение о признании файла вредоносным, решение об остановке исполнения файла, решение об изменении контекста процессора, решение об ожидании следующего события; исполняют действия, соответствующие принятым решениям. 2 н. и 16 з.п. ф-лы, 4 ил.

Система и способ формирования журнала в виртуальной машине для проведения антивирусной проверки файла // 2649794

Изобретение относится к решениям для выявления вредоносных файлов. Техническим результатом является повышение безопасности компьютерной системы, которое достигается путем принятия решения о признании вредоносным файла, открываемого в виртуальной машине. Раскрыт способ принятия решения о признании вредоносным файла, открываемого в виртуальной машине в виде среды для безопасного исполнения файлов, при этом способ содержит этапы, на которых: а) выявляют во время исполнения потока процесса, созданного при открытии упомянутого файла, возникновение события, которое связано с изменением по меньшей мере одной страницы виртуальной памяти; б) выявляют во время исполнения потока процесса, созданного при открытии упомянутого файла, передачу управления по меньшей мере в одну измененную страницу виртуальной памяти; в) формируют журнал, в который сохраняют: события, возникающие во время исполнения потока процесса, созданного при открытии упомянутого файла, в измененной странице памяти, и считываемый при возникновении сохраняемого в журнал события контекст процессора, на котором исполняется поток процесса, созданного при открытии упомянутого файла; г) сравнивают сохраненные в сформированном журнале события и контекст процессора с по меньшей мере одним шаблоном; д) принимают решение о признании файла вредоносным на основании результатов сравнения. 7 з.п. ф-лы, 4 ил.

Система и способ выполнения антивирусной проверки файла на виртуальной машине // 2628921

Изобретение относится к выполнению антивирусной проверки файла на виртуальной машине. Технический результат заключается в обнаружении вредоносного файла, содержащего программный код, который затрудняет обнаружение данного вредоносного файла при исполнении файла на виртуальной машине. Реализуемый компьютером способ выполнения антивирусной проверки файла на виртуальной машине, в котором: исполняют файл на виртуальной машине с последовательным внесением записей о вызовах API-функций и внесением записей о внутренних событиях в первый журнал, выявляют в первом журнале сигнатуру первого типа из базы данных сигнатур первого типа, производят повторное исполнение файла на виртуальной машине с внесением записей о внутренних событиях во второй журнал, после чего выявляют во втором журнале сигнатуру второго типа из базы данных сигнатур второго типа и определяют критерий внесения записей о вызовах API-функций на основании второго и первого журналов, производят третье исполнение файла на виртуальной машине с внесением в третий журнал записей только о внутренних событиях до тех пор, пока не будет выполнен критерий внесения записей о вызовах API-функций, после которого производится внесение записей о вызовах API-функций, выполняют антивирусную проверку файла путем выявления в третьем журнале вредоносной сигнатуры с использованием базы данных вредоносных сигнатур, файл будет признан вредоносным, когда вредоносная сигнатура будет выявлена в третьем журнале. 2 н. и 38 з.п. ф-лы, 3 табл., 6 ил.