Патенты автора ГУПТА Дипак (US)

ОБЩАЯ РАСПАКОВКА ПРИЛОЖЕНИЙ ДЛЯ ОБНАРУЖЕНИЯ ВРЕДОНОСНЫХ ПРОГРАММ // 2658132

Изобретение относится к средствам обнаружения вредоносных программ в исполняемом модуле. Техническим результатом является обеспечение управляемой распаковки упакованного приложения независимо от знания алгоритма распаковки. Способ распаковки самораспаковывающегося исполняемого модуля для обнаружения вредоносной программы содержит: загрузку самораспаковывающегося исполняемого модуля в память, содержащего первый распаковывающий фиктивный модуль и упакованный исполняемый модуль; разрешение первому распаковывающему фиктивному модулю распаковывать упакованный исполняемый модуль в распакованный исполняемый модуль; обнаружение попытки записи на странице памяти, код на которой был ранее исполнен, путем контроля разрешений доступа к страницам памяти с использованием виртуализации с поддержкой аппаратными средствами; обнаружение завершения работы первого распаковывающего фиктивного модуля с использованием одной или более эвристик; и сканирование распакованного исполняемого модуля для обнаружения вредоносной программы, одна или более эвристик содержат определение, является ли запись на страницу памяти, генерирующую исключение записи страницы, записью на последнюю страницу секции страниц памяти. 3 н. и 22 з.п. ф-лы, 8 ил.

ОБЩАЯ РАСПАКОВКА ПРИЛОЖЕНИЙ ДЛЯ ОБНАРУЖЕНИЯ ВРЕДОНОСНЫХ ПРОГРАММ // 2632163

Изобретение относится к средствам обнаружения вредоносной программы в исполняемом модуле. Технический результат заключается в обнаружении вредоносной программы. Указанный результат достигается за счет исполнения компьютерно-исполняемых инструкций на носителе информации, чтобы побудить один или более блоков обработки: загрузить самораспаковывающийся исполняемый модуль в память. Распаковывают упакованный исполняемый модуль. Обнаруживают попытку записи на странице памяти, на которой был ранее исполнен код, путем управления разрешениями доступа к странице памяти, используя виртуализацию с поддержкой аппаратных средств. Обнаруживают завершение распаковки упакованного исполняемого модуля посредством первого распаковывающегося фиктивного модуля с использованием одной или более эвристик модуля. Выполняют сканирование распакованного исполняемого модуля для обнаружения вредоносной программы. При этом одна или более эвристик содержат: сравнение значения указателя стека и содержимого стека, записанного перед обнаружением завершения первого распаковывающегося фиктивного модуля, со значением указателя стека и содержимого стека, записанного до разрешения первого распаковывающегося фиктивного модуля начать распаковывать упакованный исполняемый модуль. 4 н. и 20 з.п. ф-лы, 8 ил.