Способ обнаружения работы вредоносной программы, запущенной с клиента, на сервере

Изобретение относится к способу определения файловой операции, запущенной на сервере с компьютера пользователя, как работы вредоносной программы. Технический результат настоящего изобретения заключается в обеспечении определения файловой операции, запущенной на сервере с компьютера пользователя, как работы вредоносной программы. Предложен способ, в котором перехватывают файловую операцию, запущенную на сервере со стороны компьютера пользователя, с помощью перехватчика; передают данные по перехваченной файловой операции анализатору, при этом данные включают, по меньшей мере, тип файловой операции, буферы данных с оригинальным содержимым файла и модифицированным содержимым файла, данные о компьютере пользователя; подсчитывают информационную энтропию для буфера данных с оригинальным содержимым файла с помощью анализатора; подсчитывают информационную энтропию для буфера данных с модифицированным содержимым файла с помощью анализатора; подсчитывают разность полученных значений энтропии с помощью анализатора; при превышении порогового значения подсчитанной разности определяют файловую операцию, запущенную на сервере со стороны компьютера пользователя, как работу вредоносной программы. 5 з.п. ф-лы, 5 ил.

 

Область техники

Изобретение относится к антивирусным технологиям, а более конкретно к способам обнаружения работы вредоносных программ, шифрующих данные.

Уровень техники

В настоящее время среди вредоносных программ получили распространение так называемые программы-шифровальщики (англ. cryptor ransomware), которые при запуске на компьютере пользователя шифруют наиболее важные данные (например, изображения, текстовые файлы и другие файлы, которые обычно используют пользователи). После шифрования пользователю предлагается заплатить мошеннику деньги, чтобы получить ключ для расшифровки файлов. Учитывая, что мошенниками все чаще используется асимметричное шифрование, то без знания закрытого ключа для расшифрования данных восстановление данных пользователя практически невозможно. Примером подобных программ-шифровальщиков может служить вредоносная программа CryptoLocker.

Разработчики антивирусных приложений давно знают о подобных программах и разработали ряд технологий, позволяющих определить работу программы-шифровальщика. Например, в патентной заявке US 20150058987 описан алгоритм подсчета энтропии для определения факта шифрования файла. Также в заявке учитывается исключение файлов по типу их формата для уменьшения ложных срабатываний и повышения быстродействия.

Подобные методы обнаружения хорошо зарекомендовали себя при работе на компьютере пользователя, позволяя вовремя обнаружить программу-шифровальщика. Однако существует проблема, связанная с тем, что если программа-шифровальщик будет перебирать диски на компьютере пользователя, на которых потом будет шифровать данные, то при обнаружении сетевого диска (который физически находиться на сервере) подобная вредоносная программа может зашифровать данные также и на сервере. Конечно, отслеживание всей файловой активности на сервере позволило бы решить указанную проблему, однако это серьезно снижает производительность работы сервера, что зачастую является неприемлемым. Таким образом, требуется новое решение для определения факта работы программы-шифровальщика, запущенной с клиента, на сервере.

Анализ предшествующего уровня техники позволяет сделать вывод о неэффективности и в некоторых случаях о невозможности применения предшествующих технологий, недостатки которых решаются настоящим изобретением, а именно способом обнаружения работы вредоносных программ, шифрующих данные.

Раскрытие изобретения

Технический результат настоящего изобретения заключается в обеспечении определения файловой операции, запущенной на сервере с компьютера пользователя, как работы вредоносной программы.

Согласно одному из вариантов реализации, предлагается способ определения работы вредоносной программы, запущенной с компьютера пользователя, на сервере: перехватывают файловую операцию со стороны компьютера пользователя на сервере с помощью перехватчика; передают данные по перехваченной файловой операции анализатору, при этом данные включают по меньшей мере одно из: тип файловой операции, буферы данных с оригинальным содержимым файла и модифицированным содержимым файла, данные о компьютере пользователя; подсчитывают информационную энтропию для буфера данных с оригинальным содержимым файла с помощью анализатора; подсчитывают информационную энтропию для буфера данных с модифицированным содержимым файла с помощью анализатора; подсчитывают разность полученных значений энтропии на этапах выше помощью анализатора; при превышении порогового значения подсчитанной разности определяют файловую операцию со стороны компьютера пользователя на сервере как работу вредоносной программы.

В еще одном варианте реализации вредоносной программой является программа-шифровальщик (англ. cryptor ransomware).

В другом варианте реализации дополнительно производят создание резервной копии файла, над которым совершается файловая операция. Также дополнительно производят восстановление резервной копии файла на сервере после определения файловой операции со стороны компьютера пользователя на сервере как работу вредоносной программы.

В еще одном варианте реализации перехватчик и анализатор работают в асинхронном режиме.

В другом варианте реализации на компьютере пользователя установлено антивирусное приложение, которому передается информация о работе вредоносной программы.

Краткое описание чертежей

Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:

Фиг. 1 показывает пример работы программы-шифровальщика на сервере.

Фиг. 2 показывает пример работы настоящего изобретения.

Фиг. 3 иллюстрирует способ работы настоящего изобретения.

Фиг. 4 иллюстрирует функцию вероятности.

Фиг. 5 показывает пример компьютерной системы, с помощью которой может быть реализовано настоящее изобретение.

Описание вариантов осуществления изобретения

Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, необходимыми для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется в объеме приложенной формулы.

Фиг. 1 показывает пример работы программы-шифровальщика на стороне сервера. На компьютере пользователя 120 запускается программа-шифровальщик 140 (это может сделать как сам пользователь, приняв программу 140 за легитимную программу, или же программа 140 запустится сама, например, при старте компьютера 120 через ключ реестра, используемый для автозапуска). Если к компьютеру 120 подключен сетевой диск на сервере 110, то программа-шифровальщик 140 может также зашифровать файлы 130 на сетевом диске сервера 110.

Фиг. 2 показывает пример работы настоящего изобретения. По сравнению с Фиг. 1 добавлены перехватчик 150 и анализатор 160. В частном случае реализации перехватчик 150 является файловым драйвер-фильтром, а анализатор 160 является антивирусным приложением. Перехватчик 150 перехватывает запросы на работу с файлами 130 и передает данные анализатору 160. Перехват запросов на работу с файлами в одном из вариантов реализации основан на перехвате вызовов таких системных функций как CreateFile, ReadFile/WriteFile, DeleteFile, GetFileInformationByHandle, FindFirstFile и других (данный список функций применим для операционной системы Windows).

Для определения факта работы программы-шифровальщика 140 важно перехватить не только вызов системной функции, но также данные, которые она пытается записать вместо оригинального файла 130. Стоит отметить, что программы-шифровальщики 140 могут работать, как правило, с использованием двух алгоритмов при шифровании файлов 130: во-первых, они могут создать копию файла 130 и шифровать данные созданной копии, удалив после этого оригинальный файл 130; во-вторых, они могут перезаписывать непосредственно данные файла 130, считывая оригинальные данные в буфер, шифруя их и записывая их обратно.

В рамках настоящей заявки для определения факта работы программы-шифровальщика 140 использует известный подход по подсчету энтропии при записи данных на диск. Определение информационной энтропии (далее будем просто говорить об энтропии) дано в статье The Mathematical Theory of Communication, (с) 1949 by the Board of Trustees of the University of Illinois. Ha Фиг. 4 приведен пример расчета энтропии для одного и того же файла до его зашифровки и после. По оси X указан код символа (например, символы а, b, с и т.д. и соответствующие коды от 00h до FFh), а по оси Y - вероятность их появления в файле. Приведенный на Фиг. 4 график - функция вероятности - определяет вероятность появления определенного символа (байта) в файле. Энтропия же показывает, сколько нужно бит, чтобы закодировать эту информацию (символ). Таким образом, чем меньше упорядоченной информации в файле, тем больше энтропия (таким образом, файл с максимальной энтропией представляет беспорядочный набор символов, каждый из которых встречается примерно одинаковое число раз). Например, для текстового файла, где были лишь английские символы, энтропия была меньше, чем после его шифрования.

Функция вероятности А на Фиг. 4 характерна для незашифрованного файла, где наибольшую вероятность появления имеет ограниченный набор символов - это верно для текстовых файлов, а также для заголовков бинарных файлов, так как заголовок описывает тип (формат) файла. После шифрования файла программой-шифровальщиком 140 функция вероятности примет вид функции В, где различное количество символов будут встречаться примерно с одинаковой частотой.

Один из известных вариантов определения факта работы программы-шифровальщика 140 заключается в подсчете "конвергенции" энтропии файла, т.е. разницы двух энтропий. Если "конвергенция" (далее будем использовать без кавычек) превышает определенный порог, то определяется, что файл был изменен (зашифрован). Максимальное значение "конвергенции" не превышает несколько десятков байт. Конвергенция может быть подсчитана по формуле

где Р - значение конвергенции в байтах,

Hmodified - значение энтропии после изменения файла (шифрования),

Horiginal - значение энтропии до изменения файла.

Фиг. 3 иллюстрирует способ работы настоящего изобретения. На этапе 310 происходит перехват файловой операции (вызова системной функции в виде запроса на работу с файлами) со стороны компьютера пользователя 120 на сервере 110. На этапе 320 создается резервная копия файла, который подвергается изменению. Создание резервной копии файла является известной технологией и может быть реализовано с помощью копирования файла в тот же самый каталог (или временный каталог для хранения резервных копий). Примером приложения, которое осуществляет резервное копирование, является Acronis Backup & Recovery.

На этапе 330 данные, связанные с перехваченной файловой операцией, отправляются на анализ анализатору 160. Данные могут включать тип файловой операции (вызванная API функция), буферы данных (с оригинальным содержимым файла и модифицированным содержимым), данные о компьютере пользователя 120. На этапе 340 происходит анализ буфера данных, которые будут записаны в файл 130. В том случае, если было определено, что по результатам анализа буфера данных файловую операцию пытается совершить известная программа-шифровальщик 140 (например, используя известную сигнатуру, с помощью которой ищут следы работы программы-шифровальщика 140 в буфере), то на этапе 370 соединение компьютера пользователя 120 с сервером 110 блокируется или разрывается. Дальнейшие этапы будут рассмотрены ниже.

Если же по анализу данных известная программа-шифровальщик 140 не была обнаружена, то на этапе 350 подсчитывается энтропия для перезаписанного участка файла и подсчитывается конвергенция энтропии для оригинального и перезаписанного участка файла с помощью анализатора 160. Предпочтительный вариант реализации включает анализ заголовка файла, который включает описание формата (типа) файла 130. При шифровании файла заголовок файла перезаписывается, что приводит к изменению формата файла (его потере). Как правило, для подобного анализа достаточно первых несколько килобайт файла. Подобный анализ выполняется на этапе 360 и если конвергенция не превышается заданный порог (например, 10 байт), то на этапе 365 разрешаются дальнейшие файловые операции (вызовы системных функций) со стороны компьютера пользователя 120.

В случае, если конвергенция энтропии превысила заданный порог, то определяется работа программы-шифровальщика 140 и на этапе 370 происходит блокировка (или разрыв) соединения компьютера пользователя 120 с сервером 110. На этапе 380 происходит восстановление (откат) резервной копии файла.

Важно отметить, что выполнение файловых операций со стороны компьютера пользователя 120 не блокируется, а выполняется без задержек со стороны перехватчика 150 - так называемый асинхронный режим работы. С одной стороны, выполнение файловых операций происходит без потери производительности, но с другой стороны требует создания резервных копий, т.к. при асинхронном режиме работы исходный файл оказывается частично перезаписан (зашифрован).

На этапе 390 происходит взаимодействие со стороны анализатора 160 с компьютером пользователя 120. В том случае, если на компьютере пользователя 120 установлено антивирусное приложение (не отображено), то анализатор 160 может получить от него информацию о процессе (имя процесса, сколько времени процесс работает, хеш сумма файла из которого был запущен процесс, наличие цифровой подписи и т.д.), который сейчас работает с файлами 130 на сервере 110. В одном из вариантов реализации с этой целью используется протокол CIFS (Common Internet File System).

Приведем пример взаимодействия анализатора 160 с антивирусным приложением на компьютере пользователя 120. После перехвата с помощью перехватчика 150 файловой операции со стороны компьютера пользователя 120 на сервере 110 и после получения вердикта со стороны анализатора 160 о факте работы программы-шифровальщика 140 антивирусному приложению на стороне компьютера пользователя отправляется информация о процессе, который шифрует файлы 130. В качестве примера информация может включать:

Имя процесса: winserv.exe

Наличие цифровой подписи: нет

Исходя из полученной информации, антивирусное приложение на стороне компьютера пользователя 120 запускает поиск процесса с указанным именем winserv.exe среди всех запущенных процессов в операционной системе, после нахождения которого останавливает найденный процесс и удаляет файл, из которого последний был запущен.

В еще одном варианте реализации файлы 130 хранятся не на сервере 110, а на сетевой системе хранения данных (NAS, Network Attached Storage, не отображено на Фиг. 2), которая связана с сервером 110. Особенность работы с сетевой системой хранения данных требует расширения (или поддержки) протокола обмена данными между ней и сервером 110. В одном из вариантов реализации требуется расширение протокола ICAP (Internet Content Adaptation Protocol).

Фиг. 5 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26 содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.

Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.

Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.

Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например колонками, принтером и т.п.

Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 5. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.

Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.

В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой.

1. Способ определения файловой операции, запущенной на сервере с компьютера пользователя, как работы вредоносной программы, в котором:

а) перехватывают файловую операцию, запущенную на сервере со стороны компьютера пользователя, с помощью перехватчика;

б) передают данные по перехваченной файловой операции анализатору, при этом данные включают, по меньшей мере, тип файловой операции, буферы данных с оригинальным содержимым файла и модифицированным содержимым файла, данные о компьютере пользователя;

в) подсчитывают информационную энтропию для буфера данных с оригинальным содержимым файла с помощью анализатора;

г) подсчитывают информационную энтропию для буфера данных с модифицированным содержимым файла с помощью анализатора;

д) подсчитывают разность полученных значений энтропии на этапах в) и г) с помощью анализатора;

е) при превышении порогового значения подсчитанной на этапе д) разности определяют файловую операцию, запущенную на сервере со стороны компьютера пользователя, как работу вредоносной программы.

2. Способ по п. 1, в котором вредоносной программой является программа-шифровальщик.

3. Способ по п. 1, в котором дополнительно после этапа а) производят создание резервной копии файла, над которым совершается файловая операция.

4. Способ по п. 3, в котором дополнительно после этапа е) производят восстановление резервной копии файла на сервере после определения файловой операции, запущенной на сервере со стороны компьютера пользователя, как работу вредоносной программы.

5. Способ по п. 1, в котором перехватчик и анализатор работают в асинхронном режиме.

6. Способ по п. 1, в котором на компьютере пользователя установлено антивирусное приложение, которому передается информация о работе вредоносной программы.



 

Похожие патенты:

Изобретение относится к области информационной безопасности. Технический результат заключается в повышении надежности при подписании документа аналого-цифровой подписью.

Раскрыты способы, системы и машиночитаемые носители для проверки целостности целевого устройства. Технический результат заключается в защите памяти и проверке целостности целевых устройств.

Изобретение относится к области беспроводной связи. Технический результат изобретения заключается в сокращении времени, требуемого до инициирования службы, в случае когда при использовании существующей среды связи имеется возможность осуществления связи с ответным устройством.

Изобретение относится к области компьютерной безопасности. Технический результат заключается в повышении полноты обнаружения вредоносных компьютерных программ, в том числе подвергнутых полиморфным преобразованиям.

Изобретение относится к области обеспечения безопасности программного обеспечения. Техническим результатом является реализация контроля исполнения приложений дополненной реальности, установленных на устройстве пользователя, в зависимости от состояния окружения.

Изобретение относится к области компьютерной безопасности. Технический результат заключается в снижении потребляемых антивирусным приложением ресурсов компьютера пользователя, а именно памяти на жестком диске для хранения антивирусных записей.

Изобретение относится к области защиты данных при их передаче по сети. Технический результат - повышение уровня защиты информации, содержащейся на веб-странице, путем шифрования упомянутой информации во время передачи упомянутой веб-страницы приложению пользователя.

Изобретение относится к вычислительной технике. Технический результат заключается в определении похожих файлов.

Изобретение относится к антивирусным технологиям, а более конкретно к способу устранения уязвимостей устройств, имеющих выход в Интернет, таких как роутеры. Технический результат настоящего изобретения заключается в обеспечении информационной безопасности, связанной с роутером.

Изобретение относится к обеспечению безопасности мобильных устройств. Технический результат заключается в предотвращении совершения вредоносных действий на мобильных устройствах, содержащих операционную систему Android.

Изобретение относится к способу и системе формирования набора антивирусных записей, используемых для обнаружения вредоносных файлов на компьютере пользователя. Технический результат заключается в снижении потребляемых антивирусным приложением ресурсов компьютера, а именно памяти на жестком диске, используемой для хранения антивирусных записей. Предложен способ, в котором создают набор антивирусных записей для обнаружения каждого вредоносного файла из базы данных файлов, собирают статистику использования каждой созданной на этапе ранее антивирусной записи, вычисляют мощность каждой созданной антивирусной записи на основании собранной на этапе ранее статистики использования каждой антивирусной записи, формируют набор антивирусных записей таким образом, что для каждого вредоносного файла из базы данных файлов выбирается антивирусная запись, с помощью которой антивирусное приложение признало этот файл вредоносным, с наибольшей мощностью, при этом выбранные антивирусные записи добавляются средством формирования набора антивирусных записей в упомянутый набор антивирусных записей для последующей передачи компьютеру пользователя и использования антивирусным приложением на компьютере пользователя. 2 н.п. ф-лы, 3 ил.

Изобретение относится к области защиты мобильных устройств связи от несанкционированной деятельности, а именно к обработке аномалии терминала. Технический результат заключается в расширении арсенала технических средств, обеспечивающих обнаружение или предохранение устройств от кражи или утери за счет возможности отличать авторизованных пользователей терминалов от неавторизованных и инициировать сигнальные операции. Для этого записывают информацию о привычках использования, соответствующую пользователю, на терминале, получают эксплуатационную информацию, которая в настоящий момент обнаружена терминалом; и сообщают тревожную информацию об аномалии заранее определенному объекту, когда эксплуатационная информация не соответствует информации о привычках использования. При этом информация о привычках использования содержит по меньшей мере одно из следующего: информация о высоте, способ держания, расстояние между терминалом и глазами пользователя и угол держания. 3 н. и 8 з.п. ф-лы, 10 ил.

Изобретение относится к области компьютерной безопасности, а именно к системам и способам настройки антивирусной проверки. Технический результат настоящего изобретения заключается в обеспечении настройки антивирусной проверки. Указанный технический результат достигается за счет определения даты и времени начала антивирусной проверки и выбора метода антивирусной проверки на основании собранных данных для настройки антивирусной проверки. 2 н. и 6 з.п. ф-лы, 8 ил.

Изобретение относится к области защиты от компьютерных угроз, а именно к способам обнаружения вредоносного приложения на устройстве пользователя. Технический результат заключается в обеспечении обнаружения вредоносных приложений на вычислительном устройстве, при взаимодействии пользователя с удаленным банковским сервером. В способе собирают при помощи средства обеспечения безопасности информации о том, какие приложения вычислительного устройства осуществляют доступ к данным о поведении пользователя при взаимодействии пользователя с каждой группой элементов графического интерфейса для взаимодействия с удаленным банковским сервером; вычисляют при помощи средства классификации поведения коэффициент аномальности поведения; обнаруживают при помощи средства принятия решения мошенническую активность при взаимодействии устройства пользователя с удаленным банковским сервером, признают при помощи средства обеспечения безопасности приложение на вычислительном устройстве вредоносным. 1 з.п. ф-лы, 4 ил.

Изобретение относится к способу антивирусной проверки образа машинного кода. Технический результат заключается в обеспечении антивирусной проверки образа машинного кода компьютерной системы. Предложен способ, в котором получают образ машинного кода для антивирусной проверки; собирают данные об образе машинного кода из образа, полученного для антивирусной проверки; обращаются к структурам данных операционной системы, хранящим информацию о создании образов машинных кодов, и собирают из структур данных операционной системы данные о создании образа машинного кода, полученного для антивирусной проверки; обнаруживают родительскую сборку, где родительской сборкой является сборка, на основании которой создан полученный образ, используя сличение данных собранных на этапах ранее; осуществляют антивирусную проверку обнаруженной родительской сборки; исключают образ машинного кода из антивирусной проверки, распространив результаты антивирусной проверки родительской сборки на образ машинного кода. 2 з.п. ф-лы, 9 ил.

Изобретение относится к системе и способу применения политик шифрования данных. Технический результат заключается в защите данных жестких дисков. Система содержит сервер администрирования, предназначенный для задания политик шифрования данных жестких дисков на компьютере, включающих опции шифровать/расшифровать жесткие диски с помощью ключей шифрования, автоматическое создание учетных записей РВА, критерии автоматического создания учетных записей РВА, при этом компьютер содержит средство защиты, связанное с сервером администрирования и предназначенное для получения политик шифрования данных от сервера администрирования, определения списка учетных записей пользователей в операционной системе, для которых необходимо создать учетные записи РВА в соответствии с полученными в политике критериями автоматического создания учетных записей РВА, создания учетных записей РВА для каждой обнаруженной учетной записи пользователя, создания ключей шифрования, передачи средству шифрования ключей шифрования и политик шифрования; средство шифрования, связанное со средством защиты, предназначенное для шифрования/расшифровки данных с помощью ключей шифрования в соответствии с политиками шифрования. 2 н. и 6 з.п. ф-лы, 1 табл., 6 ил.

Изобретение относится к области управления доступом к пользовательскому интерфейсу. Технический результат – обеспечение управления доступом к пользовательским интерфейсам, каждый из которых обеспечивает разный уровень управления окружающей средой. Система для управления доступом к пользовательскому интерфейсу для управления окружающей средой при помощи системы создания окружающей среды содержит: несколько пользовательских интерфейсов; несколько кодов управления доступом, при этом каждый код управления доступом назначен одному из нескольких пользовательских интерфейсов; средство управления доступом к пользовательскому интерфейсу, приспособленное для приема кода управления доступом из нескольких кодов управления доступом и осуществления доступа к пользовательскому интерфейсу, назначенному принятому коду управления доступом; при этом каждый пользовательский интерфейс приспособлен для обеспечения степени управляемости, связанной с принятым кодом управления доступом для системы создания окружающей среды, предлагая большее или меньшее количество выбираемых настроек окружающей среды и средств управления для создания и регулирования различных окружающих сред. 6 н. и 8 з.п. ф-лы, 2 ил.

Изобретение относится к области вычислительных устройств и, в частности, к способу, установке и устройству процесса разблокировки для терминала. Технический результат заключается в повышении безопасности доступа к электронному устройству. Технический результат достигается за счет определения, принадлежит ли текущий пользователь разблокировки к первой предварительно установленной группе пользователей в соответствии с инструкцией разблокировки, получения и сохранения информации о текущем пользователе разблокировки, если текущий пользователь разблокировки не принадлежит к первой предварительно установленной группе пользователей, разблокировке терминала, если текущий пользователь разблокировки принадлежит к первой предварительно установленной группе пользователей, отображения сохраненной информации о и/или записанной операции пользователя разблокировки, который не принадлежит к первой предварительно установленной группе пользователей, вывода информации приглашения, приглашающую отменить операцию, и после того, как информация приглашения подтверждается, полной или выборочной отмены операции. 3 н. и 10 з.п. ф-лы, 15 ил.

Изобретение относится к способу блокировки доступа к данным на мобильных устройствах с использованием интерфейса программирования приложений, который используется для создания приложений для пользователей с ограниченными возможностями (Accessibility API). Технический результат заключается в повышении безопасности работы пользователя на мобильном устройстве. Предложен способ, в котором регистрируют приложение безопасности в качестве системной службы операционной системы на мобильном устройстве для пользователей с ограниченными возможностями (Accessibility Service); перехватывают с использованием Accessibility API интерфейса данные, полученные приложением, выполняющимся в изолированной среде; определяют категорию перехваченных данных; перехватывают с использованием Accessibility API интерфейса события приложения, выполняющегося в изолированной среде и данные которого были перехвачены на этапе ранее, при этом информация о событии содержит тип события; определяют политику блокировки доступа к данным на основании определенной категории перехваченных данных и информации о перехваченном событии; блокируют доступ к данным с использованием Accessibility API интерфейса, если доступ к данным запрещен в соответствии с определенной ранее политикой блокировки доступа к данным. 1 з.п. ф-лы, 3 ил.

Изобретение относится к области предотвращения работы программ, которые содержат нежелательный для пользователей функционал. Техническим результатом является обеспечение отмены установки приложений, которые выполняют нежелательные действия приложения. Способ отмены установки приложений, которые выполняют нежелательные действия, заключается в следующем: а) обнаруживают попытку установки приложения; б) запускают установку обнаруженного приложения в защищенной среде, где защищенная среда включает эмулятор; в) определяют окна программы установки приложения и связанные с этими окнами элементы графического интерфейса; г) определяют нежелательные действия во время установки приложения в защищенной среде, при этом нежелательные действия приложения совершаются без ведома пользователя, перед выполнением нежелательного действия не происходит отображения каких-либо элементов графического интерфейса приложения, связанных с определенными на этапе ранее окнами программы установки приложения, и нежелательные действия включают по меньшей мере одно из: изменение стартовой страницы браузера; изменение браузера по умолчанию; изменение параметров прокси-сервера; добавление новой панели инструментов в браузере; создание ключа автозапуска в реестре; добавление иконок на рабочий стол; попытка доступа к файлам из личных папок пользователя; наличие в коде приложения ссылок на недоверенные сайты, где от пользователя требуют оплатить ключ для дальнейшей работы приложения или предоставить личную информацию; д) отменяют установку приложения, если определено по меньшей мере одно нежелательное действие. 2 з.п. ф-лы, 6 ил., 2 табл.

Изобретение относится к способу определения файловой операции, запущенной на сервере с компьютера пользователя, как работы вредоносной программы. Технический результат настоящего изобретения заключается в обеспечении определения файловой операции, запущенной на сервере с компьютера пользователя, как работы вредоносной программы. Предложен способ, в котором перехватывают файловую операцию, запущенную на сервере со стороны компьютера пользователя, с помощью перехватчика; передают данные по перехваченной файловой операции анализатору, при этом данные включают, по меньшей мере, тип файловой операции, буферы данных с оригинальным содержимым файла и модифицированным содержимым файла, данные о компьютере пользователя; подсчитывают информационную энтропию для буфера данных с оригинальным содержимым файла с помощью анализатора; подсчитывают информационную энтропию для буфера данных с модифицированным содержимым файла с помощью анализатора; подсчитывают разность полученных значений энтропии с помощью анализатора; при превышении порогового значения подсчитанной разности определяют файловую операцию, запущенную на сервере со стороны компьютера пользователя, как работу вредоносной программы. 5 з.п. ф-лы, 5 ил.

Наверх