Способ обнаружения вредоносных программ для эвм заархивированных по неизвестному алгоритму

Изобретение относится к области обнаружения вредоносных программ для ЭВМ на электронных устройствах. Техническим результатом является повышение эффективности защиты ЭВМ от воздействия вредоносных программ для ЭВМ. Способ обнаружения вредоносных программ для ЭВМ, заархивированных по неизвестному алгоритму, содержит этапы, на которых: I) производят анализ алгоритма, по которому заархивированы файлы в архиве; II) производят анализ архива на предмет наличия вредоносных программ для ЭВМ, если алгоритм архивации известен; III) выполняют отнесение архива к списку файлов, требующих постоянного мониторинга их деятельности в случае обнаружения на этапе I признаков неизвестного алгоритма архивации; IV) приостанавливают действия и процессы, инициируемые архивом как только фиксируется попытка действий, потенциально присущих вредоносной программе для ЭВМ; V) производят снятие и анализ дампа памяти архива, действия и процессы которого приостановлены, реконструкцию исполняемых файлов из дампа памяти архива; VI) после реконструкции проводится сигнатурный поиск по реконструированным из архива исполняемым файлам.

 

Область техники

Данное изобретение относится к способам обнаружения вредоносных программ для ЭВМ на электронных устройствах.

Уровень техники

Вредоносные программы для ЭВМ являются серьезной угрозой информационной безопасности электронных устройств, поскольку они способны без согласия владельца электронного устройства предоставить третьим лицам полный доступ к информации, размещенной на электронном устройстве, заблокировать данную информацию либо уничтожить ее.

На сегодняшний день известны различные способы, позволяющие обнаружить вредоносные программы для ЭВМ, однако создатели вредоносных программ для ЭВМ применяют разнообразные способы для затруднения обнаружения вредоносных программ для ЭВМ на электронных устройствах. Одним из способов, затрудняющих обнаружение вредоносных программ для ЭВМ на электронных устройствах, является помещение в архивы (архивирование) таких вредоносных программ для ЭВМ при помощи соответствующих программ для ЭВМ, имеющих функции архивирования. Архивирование вредоносных программ для ЭВМ при помощи неизвестных антивирусным программам для ЭВМ алгоритмам архивирования приводит к невозможности обнаружения антивирусными программами для ЭВМ при помощи распространенного сигнатурного поиска такой заархивированной вредоносной программы для ЭВМ, поскольку архиваторы сжимают, видоизменяют и зашифровывают код вредоносной программы для ЭВМ.

Вредоносные программ для ЭВМ, заархивированные по неизвестному алгоритму, не могут быть обнаружены антивирусными программами для ЭВМ до момента распаковки архива, даже если вирусные базы содержат сигнатуру данной вредоносной программы для ЭВМ в незаархивированном виде. Следовательно, необходимо использовать способы, которые позволят обнаруживать вредоносные программы для ЭВМ после того, как вредоносная программа для ЭВМ выполнит разархивирование, но до того, как она сможет нанести вред операционной системе ЭВМ и ЭВМ в целом.

Существующие на данный момент системы и способы обнаружения вредоносных программ для ЭВМ на электронных устройствах обладают общими недостатками.

Так, изобретение, описанное в патенте US 8151355 В2, предлагает систему и способ обнаружения нежелательных программ для ЭВМ в архивах. Основными недостатками данного способа является, во-первых, то, что данный способ применим только к известным алгоритмам архивации, во-вторых, производится лишь только сигнатурный поиск без проведения поведенческого анализа.

Наиболее близким к заявленному способу обнаружения вредоносных программ для ЭВМ заархивированных по неизвестному алгоритму является изобретение, описанное в патенте US 20090210943 A1. Данное изобретение предлагает способ обнаружения вирусов внутри архивов, защищенных паролями. Основными минусами данного способа по сравнению с заявленным способом являются следующие:

- способ применим только к известным алгоритмам архивации;

- содержащиеся внутри архива программы для ЭВМ не исследуются, решение о наличии, либо отсутствии в архиве вредоносной программы для ЭВМ принимается на основе поверхностных данных в виде заголовка архива, количества программ для ЭВМ содержащихся внутри архива и объема, занимаемого архивом.

Раскрытие изобретения

Задачей, на решение которой направлено заявляемое изобретение, является обнаружение вредоносных программ для ЭВМ заархивированных по алгоритму, неизвестному на момент проверки архива.

Данная задача решается за счет того, что способ обнаружения вредоносных программ для ЭВМ, заархивированных по неизвестному алгоритму, содержит этапы, на которых: анализируют алгоритм, по которому были заархивированы файлы; производят анализ архива, если алгоритм архивации известен; выполняют действия согласно заданным пользователями настройкам в случае обнаружения вредоносных программ для ЭВМ на предыдущем этапе; выполняют отнесение архива к списку файлов, требующих постоянного мониторинга их деятельности в случае обнаружения на этапе 1 признаков неизвестного алгоритма архивации; производят оценку действий, инициируемых архивом и заархивированных в нем программ для ЭВМ; приостанавливают действия и процессы инициируемые архивом, как только фиксируется попытка действий, потенциально присущих вредоносной программе для ЭВМ; снимают дамп памяти архива; производят анализ памяти архива и реконструкцию его исполняемого файла; передают модулю антивирусного сигнатурного поиска все реконструированные исполняемые файлы архива.

Существенными признаками заявленного изобретения являются: 1) анализ алгоритма, по которому заархивированы файлы в архиве; 2) анализ архива на предмет наличия вредоносных программ для ЭВМ, если алгоритм архивации известен; 3) анализ и контроль действий архива, если алгоритм архивации известен; 4) приостановка действий и процессов инициируемых архивом в случае обнаружения в ходе анализа и контроля действий, попытки осуществления архивом действий, присущих вредоносным программам для ЭВМ; 5) снятие и анализ дампа памяти архива, действия и процессы которого приостановлены, реконструкция исполняемых файлов из дампа памяти; 6) сигнатурный поиск по реконструированным из архива исполняемым файлам после реконструкции исполняемого файла.

Техническим результатом, обеспечиваемым заявленным способом обнаружения вредоносных программ для ЭВМ на электронных устройствах, является повышение эффективности защиты ЭВМ от воздействия вредоносных программ для ЭВМ.

Осуществление изобретения

Заявленное изобретение осуществляется следующим образом:

После того как архив помещен в операционную систему ЭВМ и был запущен в операционной системе ЭВМ, начинается отслеживание поведения процесса архива, контролируются все инициируемые архивом события и действия. Как только фиксируется попытка совершения архивом действий, потенциально присущих вредоносной программе (попытка доступа к памяти другого процесса, реестру или файловой системе, попытка перехвата траффика и другие), приостанавливается процесс архива. Приостановка процесса архива позволяет проверить, является ли архив вредоносным до того, как архив и хранящаяся в нем вредоносная программа для ЭВМ совершит какие-либо несанкционированные действия в операционной системе ЭВМ. Затем, снимается дамп памяти процесса архива и производится его анализ с целью воссоздания исполняемого файла(ов), содержащегося в архиве; при этом для одного процесса может быть реконструирован один или несколько исполняемых файлов. После реконструкции проводится сигнатурный поиск по реконструированным из архива исполняемым файлам.

Способ обнаружения вредоносных программ для ЭВМ, заархивированных по неизвестному алгоритму, содержащий этапы, на которых:

I) производят анализ алгоритма, по которому заархивированы файлы в архиве;

II) производят анализ архива на предмет наличия вредоносных программ для ЭВМ, если алгоритм архивации известен;

III) выполняют отнесение архива к списку файлов, требующих постоянного мониторинга их деятельности в случае обнаружения на этапе I признаков неизвестного алгоритма архивации;

IV) приостанавливают действия и процессы, инициируемые архивом, как только фиксируется попытка действий, потенциально присущих вредоносной программе для ЭВМ;

V) производят снятие и анализ дампа памяти архива, действия и процессы которого приостановлены, реконструкцию исполняемых файлов из дампа памяти архива;

VI) после реконструкции проводится сигнатурный поиск по реконструированным из архива исполняемым файлам.



 

Похожие патенты:

Изобретение относится к защите от несанкционированного доступа к информации. Технический результат - обеспечение одновременной обработки информации с разными уровнями конфиденциальности в двух соответствующих ЭВМ с использованием одного набора устройств для взаимодействия с пользователем и для доступа к разделяемым внешним носителям.

Изобретение относится к области защиты информации в автоматизированных системах, а именно к защите информации в системах электронного документооборота, и может найти применение при организации защищенного юридически значимого информационного обмена документированной информацией.

Изобретение относится к мобильным терминалам. Технический результат заключается в повышении защищенности терминала от несанкционированной разблокировки.

Изобретение относится к компьютерной безопасности. Технический результат заключается в обеспечении совместимости загрузочного диска с новой версией модуля полнодискового шифрования.

Изобретение относится к способу обеспечения безопасности вычислительного устройства. Технический результат заключается в обеспечении безопасности вычислительного устройства, которое достигается путем применения политик безопасности на указанном устройстве в зависимости от текущего уровня знаний пользователя.

Изобретение относится к способу построения системы защиты автоматизированных систем управления критически важными объектами от разрушающих программных воздействий.

Изобретение относится к компьютерной безопасности. Технический результат заключается в обеспечении автоматизированного управления персональными данными пользователя путем изменения параметров доступа к персональным данным в зависимости от выявленных рисков.

Изобретение относится к безопасному подключению мобильных устройств к компьютерам. Технический результат - защита данных пользователя при подключении мобильного устройства к компьютеру.

Изобретение относится к области техники связи, в частности к управлению соединениями. Технический результат заключается в повышении уровня безопасности доступа к сетям беспроводной связи.

Изобретение относится к области распознавания конфиденциальной фотографии. Технический результат – расширение арсенала технических средств для распознавания конфиденциальной фотографии.

Изобретение предназначено для обнаружения вредоносных файлов, исполняемых с помощью стековой виртуальной машины. Технический результат настоящего изобретения заключается в обнаружении вредоносных файлов, исполняемых с помощью стековой виртуальной машины, работающей на компьютерной системе, за счет создания и использования кластеров данных анализируемых файлов с использованием данных из кластеров, найденных в базе кластеров безопасных файлов, для обеспечения безопасности компьютерной системы. Способ обнаружения вредоносных файлов, исполняемых с помощью стековой виртуальной машины, в которой все операнды выполняемых функций размещаются лишь в одной структуре данных, в качестве которой выступает стек виртуальной машины, в котором: а) выделяют данные по меньшей мере из одного файла, исполняемого с помощью стековой виртуальной машины, при этом в качестве данных, выделяемых из файла, исполняемого с помощью стековой виртуальной машины, выступают по меньшей мере: параметры секции файла, в качестве которых выступают по меньшей мере: код секции, название секции, тип заголовка секции, смещение на данные в секции, размер данных секции; параметры функции, выполняемой с помощью стековой виртуальной машины, в качестве которых выступают по меньшей мере: индекс тела функции, позиция и длина кода функции в секции, индекс описателя функции, максимальная глубина стека при исполнении функции, количество используемых функцией локальных переменных, название функции, количество операндов, возвращаемый тип данных; б) осуществляют поиск в базе кластеров безопасных файлов по данным, выделенным на этапе а), по меньшей мере одного кластера, который содержит: значение одного из параметров секций файла, превышающее заданный порог; значение одного из параметров функций, выполняемых с помощью стековой виртуальной машины, превышающее заданный порог; в) у каждого найденного на этапе б) кластера выделяют данные, при этом в качестве данных выступают по меньшей мере: параметры секции файла, такие как: код секции, название секции, тип заголовка секции, смещение на данные в секции, размер данных секции; параметры функции, выполняемой с помощью стековой виртуальной машины, такие как: индекс тела функции, позиция и длина кода функции в секции, индекс описателя функции, максимальная глубина стека при исполнении функции, количество используемых функцией локальных переменных, название функции, количество операндов, возвращаемый тип данных; г) создают при помощи правил кластеризации по меньшей мере один кластер из выделенных на этапе а) данных за исключением данных, которые соответствуют данным, выделенным на этапе в); д) вычисляют контрольную сумму по меньшей мере одного созданного кластера; е) осуществляют поиск вычисленной контрольной суммы в базе контрольных сумм кластеров вредоносных файлов; ж) выносят вердикт об обнаружении по меньшей мере одного вредоносного файла в случае обнаружения в результате поиска, осуществленного на этапе е), в базе контрольных сумм кластеров вредоносных файлов вычисленной контрольной суммы. 2 з.п. ф-лы, 3 ил.
Изобретение относится к области обнаружения скрытого программного обеспечения в вычислительных системах, работающих под управлением POSIX-совместимых операционных систем, например Solaris, Android и др. Техническим результатом является повышение защищенности вычислительной системы. Раскрыт способ обнаружения скрытого программного обеспечения в вычислительной системе, работающей под управлением POSIX-совместимой операционной системы, причем операционная система, помимо ядра, включает следующие программные средства: 1-е средство, выполненное с возможностью определять количество инсталлированных приложений в вычислительной системе, 2-е средство, выполненное с возможностью определять количество запущенных процессов в вычислительной системе, 3-е средство, выполненное с возможностью определять для процессов статусы pid, name, uid, groups, state, 4-е средство, выполненное с возможностью сравнивать результаты работы 1-го, 2-го и 3-го средств; при этом способ заключается в том, что получают с помощью 1-го средства количество инсталлированных приложений в вычислительной системе; получают с помощью 2-го средства количество запущенных процессов в вычислительной системе; получают с помощью 3-го средства значения статусов pid, name, uid, groups, state каждого процесса; выполняют с помощью 4-го средства для каждого процесса, список которых получен с помощью 3-го средства, следующие действия: сравнивают значение статуса groups, полученное из 3-го средства, с нулем; если значение статуса groups равно нулю - приложение считается скрытым и сведения о приложении заносятся в отчет о наличии скрытых приложений и процессов; сравнивают значения статусов uid и name, полученные из 3-го средства, с соответствующими значениями uid и name, полученными из 1-го средства; если хотя бы одно из значений одноименных статусов не существует или не совпадает - приложение считается скрытым и сведения о приложении заносятся в отчет о наличии скрытых приложений и процессов; сравнивают значения статусов pid, name и state, полученные из 3-го средства, с соответствующими значениями pid, name и state, полученными из 2-го средства; если хотя бы одно из значений одноименных статусов не существует или не совпадает - процесс считается скрытым и сведения о процессе заносятся в отчет о наличии скрытых приложений и процессов; предоставляют отчет о наличии скрытых приложений и процессов; удаляют из вычислительной системы выявленные скрытые приложения.

Изобретение относится к защите от несанкционированного доступа к информации при ее передаче по каналам связи. Технический результат – повышение пропускной способности средств защиты информации. Для этого в способе многопоточной защиты сетевого трафика дополнительно выполняется в зависимости от параметров, указанных в заголовках сетевых пакетов, распределение поступающих сетевых пакетов между блоками-вычислителями, выполняющими кодирование информационной части в сетевых пакетах, и адаптивное управление множеством блоков-вычислителей, количество которых динамически изменяется в зависимости от текущей загрузки вычислительных ресурсов (процессора и памяти) компьютерной системы. 2 н.п. ф-лы, 1 ил.

Изобретение относится к способу признания транзакций доверенными. Технический результат заключается в уменьшении вероятности совершения ошибки первого рода при проверке транзакции на доверенность, а также в упрощении процедуры проверки безопасности транзакций. Предложен способ, в котором получают с помощью средства анализа по компьютерной сети от банка-эмитента параметры по меньшей мере одной транзакции пользователя; получают с помощью средства анализа от банка-эмитента атрибуты пользователя; сохраняют с помощью средства анализа полученные параметры по меньшей мере одной транзакции пользователя и атрибуты пользователя в базу данных транзакций; проверяют с помощью средства проверки выполнение по меньшей мере одного условия доверия из базы данных условий доверия; повторяют этапы до момента, пока не наступит по меньшей мере следующее условие проверки: в базе данных транзакций пользователя подряд сохранено заданное количество доверенных транзакций пользователя, для которых в базе данных транзакций определен флаг доверия; признают последующую транзакцию пользователя доверенной. 2 н. и 12 з.п. ф-лы, 3 ил.

Изобретение относится к системе и способу обнаружения аномалии в технологической системе. Технический результат заключается в обеспечении обнаружения аномалии системой контроля в технологической системе на основании обнаруженного отсутствия функциональной взаимосвязи элементов технологической системы. Система содержит технологическую систему, реализующую через изменение состояний субъектов управления изменение состояния объекта управления, кибернетическую систему контроля, моделирующую изменение состояния технологической системы, состоящую из взаимосвязанных кибернетических блоков, где каждый кибернетический блок в отдельности моделирует изменение состояния отдельного элемента технологической системы, при этом взаимосвязь кибернетических блоков в кибернетической системе повторяет взаимосвязь элементов технологической системы, изменение состояния которых блоки моделируют, модуль контроля, связанный с технологической системой и с кибернетической системой контроля. 2 н. и 17 з.п. ф-лы, 8 ил.

Изобретение относится к области категоризации образов сборок. Техническим результатом является повышение безопасности устройства путем ограничения доступа образа машинного кода, имеющего категорию доверия недоверенный, к ресурсам, предоставляемым операционной системой. Способ ограничения доступа образа машинного кода к ресурсам, предоставляемым операционной системой, в котором: а) ограничивают доступ на запись к по меньшей мере одному образу машинного кода; б) определяют родительскую сборку, где родительской сборкой является сборка, на основании которой создан образ, доступ на запись к которому ограничен; в) заменяют образ, доступ к которому ограничен, образом, созданным на основании определенной родительской сборки; г) определяют категорию доверия определенной родительской сборки; д) назначают категорию доверия, определенную для родительской сборки обновленному образу машинного кода; е) ограничивают доступ образа машинного кода, имеющего категорию доверия недоверенный, к ресурсам, предоставляемым операционной системой. 3 з.п. ф-лы, 9 ил.

Изобретение относится к компьютерной безопасности. Технический результат заключается в сокращении количества антивирусных записей на компьютерах пользователей, использование которых антивирусным приложением вызывает ложные срабатывания. Предложен способ управления антивирусными записями на множестве компьютеров пользователей, в котором в течение заданного времени собирают параметры антивирусной записи со статусом «рабочая» при ее срабатывании на компьютерах пользователей; собирают статистику срабатывания антивирусной записи и определяют общее количество компьютеров пользователей, на которых сработала антивирусная запись; с использованием параметров антивирусной записи и статистики срабатывания антивирусной записи определяют принадлежность антивирусной записи к классу антивирусных записей, использование которых вызывает ложное срабатывание, если определенное общее количество компьютеров пользователей превышает заданное пороговое значение; изменяют статус антивирусной записи с «рабочей» на «тестовую» и отправляют антивирусному приложению, установленному на компьютерах пользователей, измененный статус антивирусной записи. 2 н. и 28 з.п. ф-лы, 9 ил.

Изобретение относится к области управления полномочиями. Технический результат – снижение вычислительной нагрузки, связанной с предотвращением модификации конфигураций терминала неавторизованным пользователем. Способ управления полномочиями, включающий: получение информации об отпечатке пальца пользователя на основе операции касания пользователем области заранее заданного интерфейса терминала; определение, является ли пользователь авторизованным пользователем, в соответствии с полученной информацией об отпечатке пальца; и, если пользователь является неавторизованным пользователем, запрет предоставления полномочий для модификации конфигураций терминала пользователем; при этом операция касания включает операцию длительного нажатия; процедура получения информации об отпечатке пальца пользователя на основе операции касания экрана пользователем области заранее заданного интерфейса терминала включает: контроль событий касания пользователем области заранее заданного интерфейса терминала; определение, является ли контролируемое событие касания событием длительного нажатия; и, если контролируемое событие касания является событием длительного нажатия, получение информации о координате касания в процессе события длительного нажатия и информации об отпечатке пальца пользователя в позиции координаты касания. 3 н. и 10 з.п. ф-лы, 10 ил.

Изобретение относится к системе и устройству обработки информации. Технический результат заключается в повышении безопасности при использовании системы обработки информации из терминала. Устройство обработки информации накапливает задания, принятые от оконечного устройства; получает информацию о пользователе, которая идентифицирует пользователя оконечного устройства, и первую идентификационную информацию, сохраненную в устройстве хранения идентификационной информации оконечного устройства, которая идентифицирует оконечное устройство; определяет, соответствует ли первая идентификационная информация второй идентификационной информации, причем вторая идентификационная информация включена в первое задание, принятое и накопленное посредством устройства обработки информации, при этом вторая идентификационная информация идентифицирует оконечное устройство, которое отправило первое задание на устройство обработки информации, а первое задание включает в себя другую информацию о пользователе, которая соответствует полученной информации о пользователе; и исполняет первое задание, если первая идентификационная информация соответствует второй идентификационной информации. 4 н. и 7 з.п. ф-лы, 25 ил.

Настоящее изобретение относится к устройству управления доступом к компьютерной системе, устройство содержит по меньшей мере один многофункциональный порт (Ui), который может быть соединен с различными категориями периферийных устройств, и интерфейс доступа (INT), который может быть соединен с компьютерной системой, при этом устройство содержит средство управления доступом (Масс), соединенное между многофункциональным портом (Ui) и интерфейсом (INT), указанное средство управления доступом физически выполнено с возможностью авторизации доступа к интерфейсу со стороны периферийного устройства (Р), соединенного с многофункциональным портом (Ui), только если указанное периферийное устройство принадлежит к категории периферийных устройств, индивидуально и постоянно ассоциированной с многофункциональным портом (Ui), соединенным с периферийным устройством. Настоящее устройство относится к соответствующему способу управления доступом. 3 н. и 10 з.п. ф-лы, 5 ил.

Изобретение относится к области обнаружения вредоносных программ для ЭВМ на электронных устройствах. Техническим результатом является повышение эффективности защиты ЭВМ от воздействия вредоносных программ для ЭВМ. Способ обнаружения вредоносных программ для ЭВМ, заархивированных по неизвестному алгоритму, содержит этапы, на которых: I) производят анализ алгоритма, по которому заархивированы файлы в архиве; II) производят анализ архива на предмет наличия вредоносных программ для ЭВМ, если алгоритм архивации известен; III) выполняют отнесение архива к списку файлов, требующих постоянного мониторинга их деятельности в случае обнаружения на этапе I признаков неизвестного алгоритма архивации; IV) приостанавливают действия и процессы, инициируемые архивом как только фиксируется попытка действий, потенциально присущих вредоносной программе для ЭВМ; V) производят снятие и анализ дампа памяти архива, действия и процессы которого приостановлены, реконструкцию исполняемых файлов из дампа памяти архива; VI) после реконструкции проводится сигнатурный поиск по реконструированным из архива исполняемым файлам.

Наверх