Патенты автора Павлющик Михаил Александрович (CA)

Изобретение относится к способу формирования журнала при исполнении файла с уязвимостями. Технический результат заключается в повышении точности выявления наличия в виртуальной машине вредоносного приложения, эксплуатирующего уязвимости безопасного файла. Способ содержит этапы, на которых: выявляют средством перехвата во время исполнения потока процесса, созданного при открытии упомянутого файла, событие, при возникновении которого срабатывает триггер, описывающий сопутствующие событию условия, связанные с попыткой эксплуатации вредоносным приложением уязвимости упомянутого файла; анализируют средством перехвата стек процесса, созданного при открытии упомянутого файла, выявляют последовательность вызовов функций, предшествующих событию, на котором сработал триггер; анализируют средством перехвата выявленную последовательность вызовов функций на предмет выполнения сопутствующих условий триггера; в случае выполнения сопутствующих условий триггера, связанных с попыткой эксплуатации вредоносным приложением уязвимости упомянутого файла, сохраняют в журнал данные о выявленной последовательности вызовов функций для последующего анализа средством анализа с целью выявления наличия в виртуальной машине вредоносного приложения. 13 з.п. ф-лы, 4 ил.

Изобретение относится к вычислительной технике. Технический результат заключается в обеспечении формирования сверток безопасных событий. Способ формирования набора сверток безопасных событий, в котором запускают в операционной системе по меньшей мере одного заведомо безопасного компьютерного устройства агент, регистрирующий события по меньшей мере одного вида, возникающие в операционной системе компьютерного устройства, где видами событий по меньшей мере являются: запуск процессов; загрузка модулей; файловые операции; реестровые операции; обнаруживают перехватчиками, установленными в операционной системе, возникшее в операционной системе событие; регистрируют агентом обнаруженное событие и получают от компьютерного устройства агентом контекст указанного события; выделяют из полученного контекста события признаки события и формируют на основе выделенных признаков свертку обнаруженного события; добавляют свертку в набор сверток безопасных событий. 2 н. и 43 з.п. ф-лы, 5 ил.

Изобретение относится к области информационной безопасности. Техническим результатом является обнаружение вредоносного кода в адресном пространстве процесса. Раскрыт способ обнаружения вредоносного кода в адресном пространстве процесса, выполняемый при помощи компьютерной системы, в котором: a) обнаруживают при помощи средства перехвата запуск процесса из доверенного исполняемого файла, при этом в адресном пространстве процесса находится образ упомянутого исполняемого файла; b) обнаруживают при помощи средства перехвата обращение, осуществляемое при исполнении процесса, к подозрительному адресу памяти, при этом адрес памяти является подозрительным, если этот адрес памяти принадлежит подозрительной области памяти в адресном пространстве процесса; подозрительной областью памяти в адресном пространстве процесса, запущенного из исполняемого файла, является область памяти, которая находится за пределами образа исполняемого файла в упомянутом адресном пространстве и в то же время является исполняемой областью памяти; c) осуществляют при помощи средства безопасности анализ области памяти в адресном пространстве процесса в окрестности подозрительного адреса памяти, при этом во время анализа обнаруживают в адресном пространстве процесса образ исполняемого файла, загруженного из другого файла; d) обнаруживают при помощи средства безопасности вредоносный код в адресном пространстве процесса путем анализа обнаруженного образа исполняемого файла, загруженного из другого файла, при этом анализ осуществляется при помощи сигнатур вредоносного кода. 5 з.п. ф-лы, 3 ил.

Изобретение относится к использованию шаблонов опасного поведения программ с высоким уровнем ложных обнаружений. Технический результат – уменьшение количества ложных обнаружений угроз при использовании шаблона опасного поведения программ. Способ избирательного использования шаблона опасного поведения программ на компьютерных системах, по которому запускают на множестве компьютерных систем шаблон опасного поведения программ в первом режиме, при котором антивирусное приложение обнаруживает угрозы, соответствующие упомянутому шаблону, но не выполняет действия для их устранения, накапливают статистику обнаружений угроз в течение установленного периода времени, для каждой компьютерной системы, для которой количество ложных обнаружений угроз не превышает установленного порогового значения, осуществляют внесение в шаблон опасного поведения программ всех ложно обнаруженных угроз, соответствующих конкретной компьютерной системе, в качестве исключений и переводят шаблон опасного поведения программ во второй режим, при котором обнаруживаются угрозы, соответствующие упомянутому шаблону, и выполняются действия для их устранения. 5 з.п. ф-лы, 3 ил.

Изобретение относится к области информационной безопасности, а именно к обнаружению вредоносного скрипта. Технический результат – расширение арсенала технических средств для обнаружения вредоносного скрипта. Способ обнаружения вредоносного скрипта, выполняемый при помощи компьютерной системы, в котором обнаруживают запуск процесса из доверенного исполняемого файла скриптового интерпретатора, обнаруживают обращение, осуществляемое при исполнении процесса, к подозрительному адресу памяти, осуществляют анализ области памяти в адресном пространстве процесса в окрестности подозрительного адреса памяти, при этом во время анализа обнаруживают в адресном пространстве процесса образ исполняемого файла, загруженного из другого файла, обнаруживают вредоносный код в адресном пространстве процесса путем анализа обнаруженного образа исполняемого файла, загруженного из другого файла, признают вредоносным скрипт, инструкции которого выполнялись скриптовым интерпретатором до момента обнаружения вредоносного кода в адресном пространстве процесса, запущенного из доверенного исполняемого файла скриптового интерпретатора. 4 з.п. ф-лы, 3 ил.

Изобретение относится к использованию шаблонов опасного поведения программ с высоким уровнем ложных обнаружений. Технический результат – уменьшение количества ложных обнаружений угроз при использовании шаблона опасного поведения программ на компьютерной системе пользователя. Система изменения параметров шаблона опасного поведения программ под пользователя компьютерной системы содержит модуль обучения, модуль мониторинга активности. 2 н. и 10 з.п. ф-лы, 3 ил.

Изобретение относится к способам обнаружения аномальных событий, возникающих в операционной системе. Технический результат заключается в обеспечении обнаружения аномальных событий, возникающих в операционной системе клиента в процессе исполнения программного обеспечения. Запускают агент, регистрирующий события, возникающие в операционной системе. Обнаруживают при помощи по крайней мере одного перехватчика, установленного в операционной системе, возникшее в операционной системе событие. Регистрируют событие, обнаруженное перехватчиком, и получают от компьютерного устройства контекст указанного события при помощи агента. Выделяют средством формирования свертки из полученного контекста признаки события и формируют на основании выделенных признаков свертку события. Определяют средством сравнения популярность сформированной свертки события. Признают средством сравнения обнаруженное событие аномальным, если популярность свертки указанного события ниже порогового значения. 21 з.п. ф-лы, 5 ил.

Изобретение относится к системам и способам обнаружения вредоносного кода в файле. Технический результат заключается в улучшении обнаружения вредоносного кода в файле в сравнении с существующими методами обнаружения вредоносного кода. Способ обнаружения вредоносного кода в файле включает: исполнение процесса, запущенного из файла, с использованием песочницы; перехват вызовов API-функций; последовательное внесение записей о перехваченных вызовах API-функций в первый журнал, сохранение дампа памяти процесса в базу дампов; повторение предыдущих операций до выполнения условия выхода; выявление в первом журнале по меньшей мере одной сигнатуры первого типа из числа сигнатур первого типа; после выявления сигнатуры первого типа передачу на исполнение в эмулятор по меньшей мере одного дампа памяти, сохраненного в базе дампов; во время исполнения процесса в эмуляторе последовательное внесение во второй журнал записей, содержащих информацию о вызове API-функции; определение вредоносного кода в файле при условии выявления во втором журнале по меньшей мере одной сигнатуры второго типа из базы данных сигнатур второго типа. 2 н. и 52 з.п. ф-лы, 4 ил.

Изобретение относится к области предотвращения работы программ, которые содержат нежелательный для пользователей функционал. Техническим результатом является обеспечение отмены установки приложений, которые выполняют нежелательные действия приложения. Способ отмены установки приложений, которые выполняют нежелательные действия, заключается в следующем: а) обнаруживают попытку установки приложения; б) запускают установку обнаруженного приложения в защищенной среде, где защищенная среда включает эмулятор; в) определяют окна программы установки приложения и связанные с этими окнами элементы графического интерфейса; г) определяют нежелательные действия во время установки приложения в защищенной среде, при этом нежелательные действия приложения совершаются без ведома пользователя, перед выполнением нежелательного действия не происходит отображения каких-либо элементов графического интерфейса приложения, связанных с определенными на этапе ранее окнами программы установки приложения, и нежелательные действия включают по меньшей мере одно из: изменение стартовой страницы браузера; изменение браузера по умолчанию; изменение параметров прокси-сервера; добавление новой панели инструментов в браузере; создание ключа автозапуска в реестре; добавление иконок на рабочий стол; попытка доступа к файлам из личных папок пользователя; наличие в коде приложения ссылок на недоверенные сайты, где от пользователя требуют оплатить ключ для дальнейшей работы приложения или предоставить личную информацию; д) отменяют установку приложения, если определено по меньшей мере одно нежелательное действие. 2 з.п. ф-лы, 6 ил., 2 табл.

Изобретение относится к области защиты от компьютерных угроз, а именно способам формирования антивирусной записи при обнаружении вредоносного кода в оперативной памяти. Технический результат настоящего изобретения заключается в обеспечении защиты вычислительного устройства, которое достигается путем использования сформированной антивирусной записи приложением безопасности для ограничения доступа с вычислительного устройства к ресурсам, унифицированный идентификатор которых содержится в упомянутой сформированной записи. 4 з.п. ф-лы, 4 ил.

Изобретение относится к области защиты от компьютерных угроз, а именно способам обнаружения вредоносного кода в оперативной памяти. Технический результат настоящего изобретения заключается в повышении защиты вычислительного устройства. Способ использования модуля контроля приложений содержит этапы, на которых: обнаруживают по меньшей мере один недоверенный процесс, при этом процесс является недоверенным, если он запущен из недоверенного приложения; собирают данные о приложении, из которого запущен по меньшей мере один недоверенный процесс; перехватывают вызов по меньшей мере одной функции межпроцессного взаимодействия, осуществляемый недоверенным процессом; определяют признаки вызова по меньшей мере одной перехваченной функции межпроцессного взаимодействия; определяют необходимость анализа кода в адресном пространстве процесса, являющегося целью вызова функции межпроцессного взаимодействия, при помощи по меньшей мере одного эвристического правила, применение которого к собранным данным о приложении, а также к определенным на этапе ранее признакам вызова определяет упомянутую необходимость анализа кода, при этом под целью вызова функции межпроцессного взаимодействия понимается процесс, в отношении которого осуществляется вызов функции межпроцессного взаимодействия; осуществляют анализ кода в области памяти, принадлежащей процессу, являющемуся целью вызова функции межпроцессного взаимодействия, с целью обнаружения вредоносного кода, при этом результатом анализа является признание или непризнание упомянутого кода в области памяти вредоносным; определяют функционал обнаруженного вредоносного кода в области памяти, принадлежащей процессу, являющемуся целью вызова функции межпроцессного взаимодействия, при этом под функционалом кода понимают совокупность системных вызовов, которые могут быть осуществлены во время исполнения кода; формируют по меньшей мере одно правило контроля приложения модулем контроля приложений, в адресном пространстве которого находится код, который был признан вредоносным, на основании определенного на этапе ранее функционала упомянутого вредоносного кода; используют модуль контроля приложений согласно по меньшей мере одному сформированному на этапе ранее правилу контроля приложения. 4 з.п. ф-лы, 4 ил.

Изобретение относится к информационной безопасности. Технический результат заключается в увеличении производительности антивирусной проверки путем антивирусной проверки, процесс выполнения которой зависит от уровня доверия сертификата, определенного с использованием базы данных доверенных сертификатов. Способ антивирусной проверки в зависимости от уровня доверия сертификата открытого ключа цифровой подписи файла, в котором получают идентификатор конечного сертификата; выстраивают цепочку сертификатов от конечного сертификата, определяемого полученным идентификатором сертификата, до корневого сертификата; определяют с помощью базы данных доверенных сертификатов и в зависимости от цепочки сертификатов уровень доверия для конечного сертификата; проводят антивирусную проверку файла в зависимости от уровня доверия конечного сертификата, а также от правил проверки. 2 н. и 16 з.п. ф-лы, 6 ил., 1 табл.

Изобретение относится к информационной безопасности. Технический результат заключается в оптимизации базы данных доверенных сертификатов путем пополнения базы данных доверенных сертификатов, использующейся при антивирусной проверке. Способ пополнения базы данных доверенных сертификатов, использующейся при антивирусной проверке, в котором получают идентификатор конечного сертификата открытого ключа цифровой подписи файла, отсутствующий в базе данных доверенных сертификатов; получают файл; определяют содержащийся в полученном файле конечный сертификат открытого ключа цифровой подписи упомянутого файла; проверяют действительность конечных сертификатов; задают уровень доверия для конечных сертификатов; пополняют базу данных сертификатами и определенными уровнями доверия сертификатов. 2 н. и 6 з.п. ф-лы, 6 ил., 1 табл.

Изобретение относится к информационной безопасности. Технический результат заключается в предотвращении использования уязвимостей, содержащихся в приложении, за счет контроля приложения с помощью создания правил ограничения действий указанного приложения. Способ защиты от угроз, использующих уязвимости в приложениях, в котором определяют наличие, по крайней мере, одной уязвимости у приложения; в случае наличия в указанном приложении, по крайней мере, одной уязвимости производят анализ указанного приложения с целью выявления типичных действий, совершающихся во время исполнения указанного приложения; создают, по крайней мере, одно правило ограничения для контроля указанного приложения с целью защиты от уязвимости, где правило ограничения блокирует действия, совершающиеся во время работы приложения и не являющиеся типичными действиями для указанного приложения. 2 н. и 13 з.п. ф-лы, 5 ил., 1 табл.

Изобретение относится к вычислительной технике. Технический результат заключается в повышении эффективности оценки вредоносности кода, исполняемого в адресном пространстве доверенного процесса. Способ оценки вредоносности кода, исполняемого в адресном пространстве доверенного процесса, в котором задают признаки ненадежных процессов, критические функции и критерии вредоносности исполняемого кода; сохраняют заданные признаки ненадежных процессов, критические функции и критерии вредоносности исполняемого кода; определяют среди запущенных в операционной системе процессов ненадежный процесс по наличию заданных признаков; перехватывают вызов критической функции, осуществляемый от имени ненадежного процесса; идентифицируют исполняемый код, инициировавший вызов критической функции, путем анализа стека вызовов; признают исполняемый код вредоносным на основе анализа заданных критериев. 2 н. и 12 з.п. ф-лы, 7 ил.

Изобретение относится к области защиты от компьютерных угроз, а именно к средствам анализа событий запуска файлов для определения рейтинга их безопасности. Технический результат настоящего изобретения заключается в снижении времени антивирусной проверки. Назначают рейтинг безопасности, по меньшей мере, одному файлу. Регистрируют инициированный пользователем запуск, по меньшей мере, одного файла. Производят мониторинг событий в операционной системе, в том числе и событий запуска файлов. Сравнивают информацию, по меньшей мере, об одном запущенном в операционной системе файле с информацией, по меньшей мере, об одном файле, запуск которого зарегистрирован. Уменьшают рейтинг безопасности файла, если информация о регистрации его запуска отсутствует, либо увеличивают рейтинг безопасности файла, если информация о регистрации его запуска присутствует. Исключают из антивирусной проверки файлы, рейтинг безопасности которых превышает заданное пороговое значение. 2 н. и 19 з.п. ф-лы, 5 ил.

Изобретение относится к области систем и способов выявления факта присутствия в операционной системе вредоносных программ, которые препятствуют работе пользователя с операционной системой. Техническим результатом является выявление присутствия вредоносных программ, препятствующих взаимодействию пользователя с интерфейсом операционной системы. Для выявления фактов присутствия в операционной системе упомянутых вредоносных программ: (а) выявляют наступление события, характеризуемого нарушением во взаимодействии пользователя с интерфейсом операционной системы; (б) сравнивают текущее состояние операционной системы с шаблонами состояний, характеризующими работу операционной системы с вредоносной программой, препятствующей взаимодействию пользователя с интерфейсом операционной системы; и (в) при выявлении упомянутого события, характеризуемого нарушением во взаимодействии пользователя с интерфейсом операционной системы, и совпадении текущего состояния операционной системы с упомянутыми шаблонами состояний, характеризующими работу операционной системы с упомянутой вредоносной программой, выявляют факт присутствия этой вредоносной программы в операционной системе. 2 н. и 9 з.п. ф-лы, 6 ил.

Изобретение относится к средствам выбора оптимального типа антивирусной проверки при обращении к файлу. Технический результат заключается в повышении вероятности обнаружения вируса. Определяют идентификатор и текущие значения атрибутов проверяемого файла. Осуществляют поиск хранимых значений атрибутов файла в базе данных файлов по идентификатору. Определяют результат изменений значения каждого атрибута файла и совокупность изменений файла. Определяют на основе совокупности изменений файла правило выбора оптимального типа проверки, синхронной или асинхронной. Выполняют антивирусную проверку файла в соответствии с назначенным типом проверки. 2 н. и 18 з.п. ф-лы, 6 ил.

Изобретение относится к системам и способам обнаружения вредоносного программного обеспечения, код которого исполняется виртуальной машиной. Технический результат заключается в повышении безопасности виртуальной машины. Модифицируют код виртуальной машины для отслеживания исключений внутри виртуальной машины и управления виртуальной машиной. Отслеживают исключения внутри виртуальной машины. Останавливают виртуальную машину при наступлении исключения. Получают информацию о контексте исключения, содержащего данные о событиях виртуальной машины, приведших к этому исключению. Анализируют контекст исключения на наличие поведения, характерного для угрозы. Обнаруживают угрозу на основании анализа. 2 н. и 7 з.п. ф-лы, 4 ил.

Изобретение относится к вычислительной технике. Технический результат заключается в обнаружении программного кода, использующего уязвимости в программном обеспечении. Способ проверки исполняемого кода перед его выполнением, в котором определяют значения атрибутов страницы памяти в момент ее выделения или модификации атрибутов; сохраняют адрес страницы памяти при одновременно установленных значениях атрибутов страницы памяти, связанных с разрешением на запись и разрешением на выполнение исполняемого кода; меняют, по меньшей мере, один из атрибутов страницы памяти, связанный с разрешением на запись или выполнением исполняемого кода; получают исключение при обращении к странице памяти, адрес которой был сохранен; определяют атрибуты и адрес страницы памяти, при обращении к которой было получено исключение; производят проверку потока процесса, обращение которого к странице памяти вызвало исключение, и/или исполняемого кода, записанного в странице памяти, при обращении к которой было получено исключение. 2 н.п. ф-лы, 7 ил.

Изобретение относится к средствам проверки файлов на доверенность при антивирусной проверке

Изобретение относится к вычислительной технике

 


© Патентный поиск, поиск патентов на изобретения - FindPatent.RU 2012-2024
Политика конфиденциальности
Наверх