Патенты автора ЛУЦАС Андрей-Влад (RO)
Изобретение относится к защите компьютерных систем от вредоносных программ. Техническим результатом является повышение защиты виртуальной машины от вредоносных программ. Система содержит аппаратный процессор для управления: гипервизором, для предоставления виртуальной машины, содержащей виртуализированный процессор и виртуализированную память для применения виртуализированного процессора для выполнения целевого процесса; и движком самоанализа памяти, выполняющимся вне виртуальной машины и конфигурированным для: определения, в соответствии с таблицей страниц виртуальной машины, выгружена ли из виртуализированной памяти целевая страница пространства виртуальной памяти целевого процесса; и в ответ, когда целевая страница выгружена из виртуализированной памяти, непосредственного внесения в виртуальную машину указанной ошибки страницы, причем ошибка страницы приводит к тому, что операционная система виртуальной машины отображает целевую страницу в страницу виртуализированной памяти, при этом непосредственное внесение ошибки страницы предусматривает запись движком самоанализа памяти определенного значения в поле для ввода события. 3 н. и 20 з.п. ф-лы, 10 ил.
Изобретение относится к области защиты компьютерных систем от вредоносных программ. Техническим результатом является определение, является ли программная сущность вредоносной, на основе множества показателей оценки соответствующей сущности, что позволяет создать более надежное антивредоносное решение по сравнению с аналогичными традиционными решениями. Раскрыта хостовая система для определения вредоносной программной сущности, содержащая блок памяти, хранящий инструкции, при исполнении которых по меньшей мере одним аппаратным процессором хостовой системы хостовая система выполняет модуль управления сущностями, средство оценки сущностей и классифицирующий механизм, при этом: модуль управления сущностями конфигурирован с возможностью управлять коллекцией оцениваемых программных сущностей, причем управление коллекцией содержит: идентификацию набора сущностей-потомков первой сущности коллекции; определение, завершена ли первая сущность; в ответ, когда первая сущность завершена, определение, завершены ли все члены набора сущностей-потомков; и в ответ, когда все члены набора сущностей-потомков завершены, удаление первой сущности из коллекции; средство оценки сущностей конфигурировано с возможностью: оценивать первую сущность согласно критерию оценки; и в ответ, когда первая сущность удовлетворяет критерию оценки, передавать индикатор оценки в классифицирующий механизм; классифицирующий механизм конфигурирован с возможностью: записывать первый показатель, определенный для первой сущности, и второй показатель, определенный для второй сущности коллекции, причем первый и второй показатели определены согласно критерию оценки; в ответ на запись первого и второго показателей и в ответ на получение индикатора оценки, обновлять второй показатель согласно индикатору оценки; в ответ определять, является ли вторая сущность вредоносной согласно обновленному второму показателю, в ответ на получение индикатора оценки, обновлять первый показатель согласно индикатору оценки; и в ответ определять, является ли первая сущность вредоносной согласно обновленному первому показателю. 3 н. и 12 з.п. ф-лы, 13 ил.
Изобретение относится к области антивредоносных систем, использующих технологию аппаратной виртуализации. Техническим результатом является защита компьютерных систем от вредоносных программ. Раскрыта хостовая система, содержащая по меньшей мере один процессор, конфигурированный с возможностью выполнять: операционную систему, конфигурированную с возможностью выделять секцию виртуализированной физической памяти виртуальной машины целевому программному объекту, выполняемому в виртуальной машине, причем виртуальная машина открыта гипервизором, выполняемым на хостовой системе, при этом виртуализированная физическая память разделена на страницы, причем страница представляет собой наименьшую единицу памяти, индивидуально отображаемой между виртуализированной физической памятью и физической памятью хостовой системы; и модуль подготовки защиты, конфигурированный с возможностью, в ответ на определение того, удовлетворяет ли целевой программный объект критерию выбора для защиты от вредоносных программ, когда целевой программный объект удовлетворяет этому критерию выбора, изменять выделение памяти целевого объекта, при этом изменение выделения памяти включает в себя обеспечение того, что любая страница, содержащая по меньшей мере часть целевого программного объекта, зарезервирована для целевого программного объекта. 3 н. и 26 з.п. ф-лы, 10 ил.
Изобретение относится к области защиты компьютерных систем от вредоносных программ. Техническим результатом является помещение компонента, обнаруживающего запуски процесса, за пределами соответствующей виртуальной машины на более высокий уровень привилегий процессора, чем уровень привилегий операционной системы, что обеспечивает возможность предотвращать сокрытие вредоносного программного обеспечения от компонентов защиты от вредоносных программ. Описанные системы и способы обеспечивают возможность защиты компьютерной системы от вредоносных программ, в частности от вирусов и руткитов. Антивредоносный компонент выполняется внутри виртуальной машины (VM), предоставленной гипервизором. Модуль самоанализа памяти выполняется вне виртуальной машины на уровне гипервизора привилегии процессора и защищает процесс, выполняющийся внутри виртуальной машины посредством защиты от записи страницы памяти соответствующего процесса. Посредством комбинирования антивредоносных компонентов, выполняющихся внутри и снаружи соответствующей VM, некоторые варианты осуществления изобретения могут использовать множество данных поведения, к которым имеют доступ компоненты внутри VM, с обеспечением при этом целостности этих компонент снаружи соответствующей VM. 3 н. и 18 з.п. ф-лы, 11 ил.
