Способ выполнения кода интерпретатором

Авторы патента:

Кирсанов Дмитрий Александрович (RU)

Давыдов Василий Александрович (RU)

Гаврильченко Роман Юрьевич (RU)

Виноградов Дмитрий Валерьевич (RU)

G06F9/455 - эмуляция; моделирование программного обеспечения

Владельцы патента RU 2634171:

Акционерное общество "Лаборатория Касперского" (RU)

Изобретение относится к области выполнения кода интерпретатором. Техническим результатом является улучшение качества выполнения интерпретатором исследуемого программного кода путем интерпретации вспомогательного программного кода и обеспечение выполнения интерпретатором инструкций исследуемого программного кода, для которых у интерпретатора отсутствует правило интерпретации, без изменения самого интерпретатора путем интерпретации вспомогательного программного кода. Раскрыт реализуемый компьютером способ выполнения программного кода интерпретатором, в котором: а) последовательно выполняют каждую инструкцию исследуемого кода; б) когда интерпретатор переходит к выполнению инструкции исследуемого кода, содержащей неизвестный объект, для которого у интерпретатора отсутствует правило интерпретации, приостанавливают дальнейшее выполнение исследуемого кода, при этом объект является одним из: процедурой; экземпляром класса; методом или переменной экземпляра класса; сценарием; файлом; в) получают вспомогательный код, результат выполнения которого соответствует результату выполнения упомянутого неизвестного объекта, при этом вспомогательный код содержит известные объекты, для которых в интерпретаторе присутствует правило интерпретации; г) последовательно выполняют каждую инструкцию вспомогательного кода; и д) после завершения выполнения вспомогательного кода возобновляют выполнение исследуемого кода на шаге б) со следующей инструкции исследуемого кода, пока не будет выполнена последняя инструкция исследуемого кода. 7 з.п. ф-лы, 4 ил., 6 табл.

Область техники

Изобретение относится к интерпретаторам, а более конкретно к способам выполнения кода интерпретатором.

Уровень техники

Для анализа кода на наличие вредоносного функционала все чаще используются эмуляторы. В частности, таким способом обычно анализируется код, написанный на сценарных языках программирования. В общем случае эмулятор включает синтаксический анализатор (англ. parser) и интерпретатор. Синтаксический анализатор преобразовывает анализируемый программный код в промежуточный код (например, байт-код). Интерпретатор, используя промежуточный код и среду выполнения, последовательно выполняет (интерпретирует) инструкции промежуточного кода в соответствии с правилами интерпретации. Во время эмуляции у анализируемого кода нет доступа к ресурсам реального компьютера, т.к. его выполнение происходит в эмулируемой среде. Таким образом, выполняемый в эмуляторе анализируемый код не сможет удалить или изменить файлы на компьютере, считать данные из файлов и другим образом нанести ущерб компьютерной системе.

В то же время достаточно сложно реализовать эмулятор, который мог бы интерпретировать все объекты (функции, процедуры и методы, экземпляры классов и т.д.) выполняемого кода. Злоумышленники пользуются этим фактом и часто включают в свой программный код редко используемые объекты. Поэтому, если возвращаемое значение какой-либо функции не соответствует ожидаемому значению выполнения этой функции, вредоносный код «понимает», что он исполняется внутри эмулятора и прекращает свое дальнейшее исполнение или же не исполняет вредоносный функционал, чтобы не быть обнаруженным.

В свою очередь, производители антивирусных приложений стремятся оперативно добавлять в эмулятор правила интерпретации для новых объектов, включаемых злоумышленниками в свой вредоносный код. Однако для этого обычно требуется изменение программного кода самого эмулятора. После каждого такого изменения требуется тестирование и отладка программного кода эмулятора, и, таким образом, обновленная версия эмулятора не может быть оперативно предоставлена пользователям антивируса. Возникает техническая проблема, заключающаяся в необходимости интерпретации (т.е. выполнения интерпретатором) инструкций исследуемого программного кода, содержащих объекты, для которых у интерпретатора отсутствует правило интерпретации (т.е. программный код, результат выполнения которого соответствует результату выполнения соответствующей инструкции), без изменения самого программного кода интерпретатора. Объектом может быть процедура, экземпляр класса, метод или переменная экземпляра класса, сценарий или даже файл. Сценарий также называют скриптом (англ. script).

В работе (Min Gyung Kang et al., 2009)¹ (¹ Min Gyung Kang, Heng Yin, Steve Hanna, Stephen McCamant, Dawn Song. Emulating Emulation-Resistant Malware. VMSec'09, November 9, 2009, Chicago, Illinois, USA.) описан способ эмуляции кода, затрудняющего свою эмуляцию. Анализируемый код выполняется на эмуляторе и в так называемой «базовой системе» (англ. reference platform). Базовая система, в отличие от эмулятора, непригодна для анализа кода, однако она наиболее точно соответствует реальной компьютерной системе. На основе сравнения результатов выполнения на эмуляторе и в базовой системе определяют инструкции, после которых происходит расхождение в выполнении кода. Таким образом, найденные инструкции соответствуют коду, затрудняющему эмуляцию.

Однако описанный способ не позволяет выполнить инструкции кода, содержащие объекты, для которых у эмулятора (интерпретатора) отсутствует правило интерпретации и, таким образом, не решает упомянутую техническую проблему.

Раскрытие сущности изобретения

Технический результат заключается в улучшении качества выполнения интерпретатором исследуемого программного кода путем интерпретации вспомогательного программного кода.

Технический результат заключается в обеспечении выполнения интерпретатором инструкций исследуемого программного кода, для которых у интерпретатора отсутствует правило интерпретации, без изменения самого интерпретатора путем интерпретации вспомогательного программного кода.

Согласно варианту реализации используется реализуемый компьютером способ выполнения программного кода интерпретатором, в котором: последовательно выполняют каждую инструкцию исследуемого кода; когда интерпретатор переходит к выполнению инструкции исследуемого кода, содержащей неизвестный объект, для которого у интерпретатора отсутствует правило интерпретации, приостанавливают дальнейшее выполнение исследуемого кода, при этом объект является одним из: процедурой; экземпляром класса; методом или переменной экземпляра класса; сценарием; файлом; получают вспомогательный код, результат выполнения которого соответствует результату выполнения упомянутого неизвестного объекта, при этом вспомогательный код содержит известные объекты, для которых в интерпретаторе присутствует правило интерпретации; последовательно выполняют каждую инструкцию вспомогательного кода; и после завершения выполнения вспомогательного кода возобновляют выполнение исследуемого кода на втором шаге со следующей инструкции исследуемого кода, пока не будет выполнена последняя инструкция исследуемого кода.

Согласно одному из частных вариантов реализации инициализируют среду выполнения интерпретатора.

Согласно другому частному варианту реализации вспомогательный код содержится в среде выполнения интерпретатора и на третьем шаге вспомогательный код получают из среды выполнения интерпретатора.

Согласно еще одному частному варианту реализации вспомогательный код получают из локальной базы.

Согласно одному из частных вариантов реализации инициализируют среду выполнения интерпретатора для вспомогательного кода.

Согласно другому частному варианту реализации получают упомянутый вспомогательный код из удаленной базы, когда упомянутый вспомогательный код отсутствует в локальной базе.

Согласно еще одному частному варианту реализации выполнение кода и выполнение вспомогательного кода включает следующие этапы: лексический анализ, синтаксический анализ, создание промежуточного кода и интерпретацию промежуточного кода согласно правилам интерпретации.

Согласно одному из частных вариантов реализации вспомогательный код дополнительно содержит по меньшей мере один другой неизвестный объект, для которого получают другой вспомогательный код, результат выполнения упомянутого другого вспомогательного кода соответствует результату выполнения другого неизвестного объекта.

Краткое описание чертежей

Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:

Фиг. 1 представляет общий вид системы настоящего изобретения.

На Фиг. 2 представлена подробная схема эмулятора.

На Фиг. 3 представлен способ осуществления настоящего изобретения.

Фиг. 4 представляет пример компьютерной системы общего назначения.

Осуществление изобретения

Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, обеспеченными для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется в объеме приложенной формулы.

Фиг. 1 представляет общий вид системы настоящего изобретения. Антивирус 101 является компьютерным приложением обеспечения информационной безопасности и передает анализируемый исходный программный код 102 эмулятору 200. В частном варианте реализации эмулятор 200 является частью антивируса 101. Исходный программный код 102 может быть написан на сценарном (скриптовом) языке программирования, таком как JavaScript, VB Script, Python и др. Эмулятор 200 включает в себя лексический анализатор 103, синтаксический анализатор 104, семантический анализатор 105 и генератор промежуточного кода 106. Основой эмулятора 200 является интерпретатор 107. Интерпретатор 107 связан со средством журналирования 115 и средством анализа 113. В частном варианте реализации интерпретатор 107 содержит виртуальную машину.

Лексический анализатор 103 считывает поток символов, составляющих исходный программный код 102, и группирует эти символы в значащие последовательности - лексемы. Для каждой лексемы строится выходной токен, который передается синтаксическому анализатору 104. Синтаксический анализатор 104 использует токены для создания древовидного промежуточного кода, описывающего грамматическую структуру потока токенов - синтаксическое дерево. Семантический анализатор 105 использует синтаксическое дерево для проверки исходного программного кода на семантическую согласованность с определением языка. Генератор промежуточного кода 106 создает промежуточный код, который получает на вход интерпретатор 107. Промежуточный код является единым вне зависимости от языка, на котором написан исходный код 102.

Выполнение кода в интерпретаторе 107 (или, что то же самое - интерпретация) происходит в среде выполнения 110. Среда выполнения 110 (англ. run-time environment) решает вопросы схемы размещения и памяти для именованных объектов выполняемого кода, предоставляет механизмы для доступа к переменным, связи между процедурами, механизмы передачи параметров, взаимодействие с операционной системой, устройствами ввода-вывода и другими программами. Соответственно инициализация среды выполнения 110 заключается в выделении памяти и в предоставлении доступа к переменным и данным интерпретатору 107. Следует отметить, что интерпретатор 107 может выполнять лишь промежуточный код, созданный генератором промежуточного кода 106. Для удобства изложения понятия исследуемый код и промежуточный код считаются равнозначными. Промежуточный или исследуемый код является машинно-независимым кодом (будет выполнен интерпретатором для различных компьютерных архитектур). Таким образом, вне зависимости от языка программирования, на котором был написан исходный код 102, в результате работы лексического, синтаксического и семантического анализаторов 103-105 и генератора промежуточного кода 106 будет создан исследуемый код единой языковой грамматики, который сможет выполнить интерпретатор 107.

Локальная база 111 связана со средой выполнения 110 и содержит правила интерпретации для объектов исследуемого кода. В частном варианте реализации объект является одним из: процедурой, экземпляром класса, методом или переменной экземпляра класса. В еще одном частном варианте реализации исследуемый код может содержать вложенный участок кода сценария 109, а также код для работы с файлами 108, которые также являются объектами. В этом случае выполнение кода интерпретатором 107 будет происходить рекурсивно. Сценарий также называют скриптом (англ. script). Вложенный сценарий, например, не преобразован в промежуточный код и, следовательно, не может быть выполнен интерпретатором 107. Таким образом, вложенный сценарий 109 необходимо будет заново отправить лексическому анализатору 103, чтобы генератор промежуточного кода 106 создал промежуточный код, который будет исполнен интерпретатором 107.

Если в процессе исполнения исследуемого кода был сохранен файл на диск 108, содержимое этого файла также может быть выполнено интерпретатором 107. Однако содержимое файла содержит непреобразованный код, поэтому файл будет передан антивирусу 101 с последующим преобразованием кода модулями 103-106 к промежуточному коду.

Стоит отметить, что настоящее изобретение в первую очередь предназначено для выполнения антивирусной проверки кода. Однако стоит также подчеркнуть, что изобретение не ограничивается областью компьютерной безопасности и может быть применено в любой другой области компьютерной техники, где может быть использовано выполнение кода интерпретатором, например, для упрощения способа обновления правил интерпретации в интерпретаторе кода.

Интерпретатор 107 может быть дополнительно связан со средством журналирования 115, которое может производить запись в журнал интерпретатора 114 в ходе выполнения каждой инструкции промежуточного кода в интерпретаторе 107.

Средство анализа 113 предназначено для проверки записей журнала интерпретатора 114 на совпадение с записями базы антивирусных записей 112 согласно антивирусным правилам. Антивирусные правила задают условия, при которых исследуемый файл признается вредоносным или не вредоносным. При совпадении указанных записей исследуемый код определяется вредоносным, и средство анализа 113 передает эту информацию интерпретатору 107. Интерпретатор 107 в этом случае прекращает дальнейшее выполнение кода и передает управление антивирусу 101, который оповещает пользователя компьютера о найденной угрозе (вредоносном файле) и выполняет соответствующие шаги по устранению вредоносного содержимого исследуемого кода.

В таблице 1 приведен пример антивирусных записей, которые совпадают в журнале интерпретатора 114 и в базе антивирусных записей 112. Обычно антивирусные записи называют сингнатурами. Первая запись таблицы содержит запись open, означающую, что сформирован запрос на получение файла, расположенного по адресу URL: "http://*****************exe***.jpg" («*» означает любые символы). Вторая запись означает, что сформированный запрос был отправлен по адресу URL. Третья запись означает сохранение данных в файл "c:\\temp\\*********.exe". И четвертая запись означает запуск на исполнение сохраненного файла. Очевидно, что последовательное выполнение указанных четырех действий обычно свойственно для вредоносного файла. Поэтому антивирусное правило в этом примере будет следующим: если в журнале интерпретатора 114 последовательно содержатся записи 1-4 таблицы 1, то исследуемому коду выносится вердикт "HEUR:Trojan-Downloader.Script.Generic:" (см. таблицу 2). Указанный вердикт означает, что исследуемый код и соответственно исходный код 102 являются вредоносным файлом - трояном-загрузчиком.

На Фиг. 2 представлена подробная схема настоящего изобретения.

Интерпретатор 107 служит для последовательного выполнения каждой инструкции исследуемого кода (промежуточного кода) 201. Когда интерпретатор 107 переходит к выполнению инструкции исследуемого кода 201, содержащей объект, для которого у интерпретатора отсутствует правило интерпретации (т.е. неизвестный объект), дальнейшее выполнение исследуемого кода 201 приостанавливается. Правило интерпретации - это программный код, результат выполнения которого соответствует результату выполнения соответствующей инструкции. Далее интерпретатор 107 получает вспомогательный код, результат выполнения которого соответствует результату выполнения неизвестного объекта, при этом вспомогательный код содержит те объекты (т.е. известные объекты), для которых в интерпретаторе 107 присутствует правило интерпретации. Затем интерпретатор последовательно выполняет каждую инструкцию вспомогательного кода, и после завершения выполнения вспомогательного кода интерпретатор 107 возобновляет выполнение исследуемого кода 201 со следующей инструкции исследуемого кода 201, пока не будет выполнена последняя инструкция исследуемого кода 201.

В частном варианте реализации объект является одним из: процедурой, экземпляром класса, методом или переменной экземпляра класса, сценарием, файлом.

На Фиг. 3 представлен способ осуществления настоящего изобретения.

Исследуемый код 201 поступает на вход интерпретатора 107 и, на шаге 301, интерпретатор 107 последовательно выполняет каждую инструкцию исследуемого кода 201 на этапе 202. Когда интерпретатор 107 переходит к выполнению инструкции исследуемого кода 201, содержащей объект (неизвестный объект), для которого у интерпретатора 107 отсутствует правило интерпретации (проверка на шаге 303), приостанавливают дальнейшее выполнение исследуемого кода на шаге 304, и на шаге 305 интерпретатор получает вспомогательный код 306, результат выполнения которого соответствует результату выполнения упомянутого неизвестного объекта, при этом вспомогательный код 306 содержит только те объекты (известные объекты), для которых в интерпретаторе 107 присутствует правило интерпретации. Далее вспомогательный код 306 передается на выполнение интерпретатору 107 на шаг 301, где последовательно выполняют каждую инструкцию вспомогательного кода 306, и после завершения выполнения вспомогательного кода 306, возобновляют выполнение исследуемого кода 201 на шаге 301 со следующей инструкции исследуемого кода 201. Проверка завершения выполнения вспомогательного кода 306 происходит на шаге 302 и 307. Работа способа изобретения происходит до момента, пока не будет выполнена последняя инструкция исследуемого кода 201. Указанное условие проверяется на шаге 302 и 307. После выполнения последней инструкции исследуемого кода 201 завершается работа интерпретатора 107 на шаге 308.

В частном варианте реализации на шаге 301 интерпретатор 107 инициализирует среду выполнения 110 интерпретатора 107 (этап 203). В еще одном частном случае вспомогательный код 306 содержится в среде выполнения 110 интерпретатора 107 и на шаге 305 вспомогательный код 306 получают из среды выполнения 110.

В частном варианте реализации вспомогательный код 306 получают из локальной базы 111. В этом случае может быть инициализирована среда выполнения (этап 203) для вспомогательного кода 306, т.к. среда выполнения 110 для интерпретатора 107 при своей инициализации не содержит объекты и переменные, используемые вспомогательным кодом 306.

В частном варианте реализации вспомогательный код 306 получают из удаленной базы (не отображена), когда указанный вспомогательный код 306 отсутствует в локальной базе 111.

В частном варианте реализации с помощью средства журналирования 115 производят запись в журнал интерпретатора 114 при выполнении каждой или части инструкций кода (на шаге 301). Список инструкций, для которых необходимо производить запись в журнал интерпретатора 114, может содержаться в эмуляторе 200. С помощью средства анализа 113 проверяют совпадение записей журнала интерпретатора 107 в базе антивирусных записей 112 согласно антивирусным правилам при произведении упомянутых записей. В случае совпадения указанных записей исследуемый код 102 определяют вредоносным.

В частном варианте реализации выполнение кода и выполнение вспомогательного кода включает следующие этапы: лексический анализ с использованием лексическим анализатора 103, синтаксический анализ с использованием синтаксического анализатора 104, семантический анализ с использованием семантического анализатора 105, создание промежуточного кода генератором промежуточного кода 106 и интерпретацию промежуточного кода согласно правилам интерпретации с помощью интерпретатора 107.

Стоит отметить, что вспомогательный код 306 может быть написан как на языке исходного кода 102, так и на языке преобразованного исследуемого кода 201, т.е. в преобразованном виде. Например, если исходный язык JavaScript, то преобразованный язык - байт-код виртуальной машины Java. В одном случае реализации, когда вспомогательный код 306 написан на языке исходного кода 102, вспомогательный код 306 будет вначале передан лексическому анализатору 103, затем синтаксическому анализатору 104 и семантическому анализатору 105 и, в итоге, генератор промежуточного кода 106 составит из вспомогательного кода 306 вспомогательный код в преобразованном виде, который уже будет выполняться интерпретатором 107. В частном варианте реализации, после преобразования вспомогательного кода 306, он может быть сохранен в преобразованном виде вместе с непреобразованным вспомогательным кодом 306 или в отдельном хранилище/кэше. При следующем запросе интерпретатором 107 этого вспомогательного кода интерпретатору 107 будет возвращен уже вспомогательный код в преобразованном виде.

В другом случае реализации, когда вспомогательный код 306 изначально представлен в преобразованном виде, вспомогательный код 306 будет отправлен сразу на исполнение интерпретатору 107.

Ниже в таблице 3 приведен пример части исходного кода 107, являющегося вредоносным. Для наглядного понимания приведен именно исходный код 102, а непреобразованный исследуемый код 201. Строка 4 содержит обращение к объекту «Scripting.Dictionary», для которого изначально отсутствовало правило интерпретации. В этом примере объект «Scripting.Dictionary» является неизвестным объектом. Поэтому на шаге 4 будет приостановлено исполнение исследуемого кода на интерпретаторе 107, и интерпретатору 107 будет передан вспомогательный код 306 из таблицы 4, результат выполнения которого соответствует результату выполнения при обращении к объекту «Scripting.Dictionary» в строке 4 таблицы 3. После исполнения вспомогательного кода 306 исполнение исследуемого кода будет возобновлено со строки 5 таблицы 3. Вспомогательный код 306 из таблицы 4 содержит только те объекты (известные объекты), для которых в интерпретаторе 107 присутствует правило интерпретации.

Стоит отметить, что обращение к редким объектам, например функциям, обычно свойственно вредоносным файлам - таким образом вредоносный файл проверяет, что он выполняется в эмуляторе, а не на реальном компьютере.

В еще одном частном варианте реализации вспомогательный код 306 может дополнительно содержать другие неизвестные объекты, для которых может быть получен соответствующих другой вспомогательный код, результат выполнения которого соответствует результату выполнения другого неизвестного объекта.

В таблице 5 приведен пример известных объектов. В таблице 6 приведен пример того, как вспомогательный код для неизвестных объектов содержит известные и неизвестные объекты.

Например, вспомогательный код для неизвестного объекта G содержит только известные объекты А, В, С. В то же время, вспомогательный код для неизвестного объекта Н содержит как известные объекты А, В, так и неизвестный другой объект G. Но для неизвестного другого объекта G также присутствует другой вспомогательный код, который зависит в свою очередь от известных объектов А, В, С.

Таким образом, в данном примере, когда в исследуемом коде 201 будет выполняться инструкция на шаге 202, содержащая неизвестный объект Н, выполнение исследуемого кода будет приостановлено на шаге 304. Далее будет получен вспомогательный код 306 для объекта Н на шаге 305, выполнение которого продолжится на шаге 202. Когда при выполнении вспомогательного кода для объекта Н, будет выполняться инструкция, содержащая другой неизвестный объект G, на шаге 305 будет получен уже другой вспомогательный код для другого неизвестного объекта G, выполнение которого продолжится на шаге 202. После завершения выполнения другого вспомогательного кода для объекта G продолжится выполнение вспомогательного кода 306 для объекта Н, а затем, после завершения выполнения вспомогательного кода 306 для объекта Н, будет продолжено выполнение исследуемого кода 201. При этом, очевидно, исследуемый код 201 может содержать другие неизвестные объекты, для которых снова потребуется получение вспомогательного кода. Кроме этого, «вложенность» зависимости неизвестных объектов от известных объектов может быть сколь угодно большой.

Первый технический результат, заключающийся в улучшении качества выполнения интерпретатором исследуемого программного кода, достигается путем интерпретации вспомогательного программного кода. Улучшение качества выполнения интерпретатором исследуемого программного кода заключается в том, что интерпретатор продолжает выполнение исследуемого программного кода даже тогда, когда исследуемый программный код содержит объекты, для которых у интерпретатора отсутствует правило интерпретации. Известные из уровня техники интерпретаторы и эмуляторы при выполнении инструкций, содержащих неизвестные функции, завершают свое выполнение ошибкой.

Второй технический результат, заключающийся в обеспечении выполнения интерпретатором инструкций исследуемого программного кода, для которых у интерпретатора отсутствует правило интерпретации, без изменения самого интерпретатора, достигается путем интерпретации вспомогательного программного кода. Данный технический результат достигается, т.к. за счет выполнения вспомогательного кода интерпретатором выполнение исследуемого кода не будет остановлено из-за отсутствия какого-либо правила интерпретации для инструкций, для которых у интерпретатора отсутствует правило интерпретации.

Описанное изобретение решает техническую проблему, заключающуюся в необходимости интерпретации инструкций исследуемого программного кода, содержащих объекты, для которых у интерпретатора отсутствует правило интерпретации, без изменения самого программного кода интерпретатора, т.к. в этом случае интерпретатор будет выполнять (интерпретировать) инструкции вспомогательного программного кода.

Фиг. 4 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.

Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.

Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.

Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47 персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например колонками, принтером и т.п.

Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 4. В вычислительной сети могут присутствовать также и другие устройства, например маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.

Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.

В соответствии с описанием компоненты, этапы исполнения, структура данных, описанные выше, могут быть выполнены, используя различные типы операционных систем, компьютерных платформ, программ.

В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой.

1. Реализуемый компьютером способ выполнения программного кода интерпретатором, в котором:

а) последовательно выполняют каждую инструкцию исследуемого кода;

б) когда интерпретатор переходит к выполнению инструкции исследуемого кода, содержащей неизвестный объект, для которого у интерпретатора отсутствует правило интерпретации, приостанавливают дальнейшее выполнение исследуемого кода, при этом объект является одним из: процедурой; экземпляром класса; методом или переменной экземпляра класса; сценарием; файлом;

в) получают вспомогательный код, результат выполнения которого соответствует результату выполнения упомянутого неизвестного объекта, при этом вспомогательный код содержит известные объекты, для которых в интерпретаторе присутствует правило интерпретации;

г) последовательно выполняют каждую инструкцию вспомогательного кода; и

д) после завершения выполнения вспомогательного кода возобновляют выполнение исследуемого кода на шаге б) со следующей инструкции исследуемого кода, пока не будет выполнена последняя инструкция исследуемого кода.

2. Способ по п. 1, в котором на шаге а) инициализируют среду выполнения интерпретатора.

3. Способ по п. 2, в котором вспомогательный код содержится в среде выполнения интерпретатора и на шаге в) вспомогательный код получают из среды выполнения интерпретатора.

4. Способ по п. 1, в котором на шаге в) вспомогательный код получают из локальной базы.

5. Способ по п. 4, в котором инициализируют среду выполнения интерпретатора для вспомогательного кода.

6. Способ по п. 4, в котором на шаге в) получают упомянутый вспомогательный код из удаленной базы, когда упомянутый вспомогательный код отсутствует в локальной базе.

7. Способ по п. 1, в котором выполнение кода и выполнение вспомогательного кода включает следующие этапы: лексический анализ, синтаксический анализ, создание промежуточного кода и интерпретацию промежуточного кода согласно правилам интерпретации.

8. Способ по п. 1, в котором вспомогательный код дополнительно содержит по меньшей мере один другой неизвестный объект, для которого получают другой вспомогательный код, результат выполнения упомянутого другого вспомогательного кода соответствует результату выполнения другого неизвестного объекта.

Изобретение относится к области компьютерной безопасности. Технический результат заключается в повышении безопасности компьютерных систем.

Устройство виртуальной машины, имеющее управляемую ключом обфускацию, и способ // 2620712

Изобретение относится к области компьютерной техники и, в частности, к устройству виртуальной машины, выполняющему принятую последовательность инструкций. Технический результат заключается в повышении уровня конфиденциальности и безопасности в выполнении операционных процедур в виртуальных машинах, встроенных в электронное устройство.

Управление дублированным виртуальным хранилищем на сайтах восстановления // 2619894

Изобретение относится к области компьютерной техники, в частности к дублированию хранилища данных. Технический результат заключается в обеспечении корректности и исключении ошибок при сохранении дублированных данных.

Масштабирование экземпляра виртуальной машины // 2616167

Изобретение относится к методикам для масштабирования вычислительных ресурсов. Технический результат заключается в том, чтобы позволить экземпляру виртуальной машины наращиваться или сокращаться в размере и функциональных возможностях по требованию или согласно фактическому спросу на ресурсы, которые предоставляет виртуальная машина.

Способ выполнения кода в режиме гипервизора // 2609761

Изобретение относится к области компьютерной безопасности. Технический результат заключается в обеспечении выполнения кода в режиме гипервизора.

Система среды выполнения // 2601198

Изобретение относится к технологиям описания интерфейсов прикладного программирования. Техническим результатом является автоматизация описания интерфейса прикладного программирования.

Система и способ пополнения базы данных при одновременной антивирусной проверке объектов на множестве виртуальных машин // 2599945

Изобретение относится к компьютерной безопасности. Технический результат заключается в снижении общего времени антивирусной проверки идентичных объектов, размещенных на виртуальных машинах.

Способ обеспечения совместной работы нескольких гипервизоров в компьютерной системе // 2589853

Изобретение относится к виртуализации. Технический результат заключается в обеспечении постоянного выполнения одного из гипервизоров в компьютерной системе.

Устройство обработки информации, содержащее постоянное запоминающее устройство, и способ внесения исправлений в постоянное запоминающее устройство // 2582862

Изобретение относится к области обработки информации. Технический результат - обеспечение возможности внесения исправлений в конкретные инструкции ассемблирования или их группы без увеличения объема кода или замедления выполнения программы, когда исправления не внесены.

Способ и устройство для регулировки канала i/о на виртуальной платформе // 2573733

Изобретение относится к средствам для регулировки канала I/O на виртуальной платформе, которые применяются в области виртуальной технологии. Технический результат заключается в повышении эффективности распределения ресурсов.

Оценка процесса для выявления вредоносных программ в виртуальных машинах // 2634205

Изобретение относится к области защиты компьютерных систем от вредоносных программ. Техническим результатом является помещение компонента, обнаруживающего запуски процесса, за пределами соответствующей виртуальной машины на более высокий уровень привилегий процессора, чем уровень привилегий операционной системы, что обеспечивает возможность предотвращать сокрытие вредоносного программного обеспечения от компонентов защиты от вредоносных программ. Описанные системы и способы обеспечивают возможность защиты компьютерной системы от вредоносных программ, в частности от вирусов и руткитов. Антивредоносный компонент выполняется внутри виртуальной машины (VM), предоставленной гипервизором. Модуль самоанализа памяти выполняется вне виртуальной машины на уровне гипервизора привилегии процессора и защищает процесс, выполняющийся внутри виртуальной машины посредством защиты от записи страницы памяти соответствующего процесса. Посредством комбинирования антивредоносных компонентов, выполняющихся внутри и снаружи соответствующей VM, некоторые варианты осуществления изобретения могут использовать множество данных поведения, к которым имеют доступ компоненты внутри VM, с обеспечением при этом целостности этих компонент снаружи соответствующей VM. 3 н. и 18 з.п. ф-лы, 11 ил.

Система и способ обнаружения вредоносного кода в файле // 2637997

Изобретение относится к системам и способам обнаружения вредоносного кода в файле. Технический результат заключается в улучшении обнаружения вредоносного кода в файле в сравнении с существующими методами обнаружения вредоносного кода. Способ обнаружения вредоносного кода в файле включает: исполнение процесса, запущенного из файла, с использованием песочницы; перехват вызовов API-функций; последовательное внесение записей о перехваченных вызовах API-функций в первый журнал, сохранение дампа памяти процесса в базу дампов; повторение предыдущих операций до выполнения условия выхода; выявление в первом журнале по меньшей мере одной сигнатуры первого типа из числа сигнатур первого типа; после выявления сигнатуры первого типа передачу на исполнение в эмулятор по меньшей мере одного дампа памяти, сохраненного в базе дампов; во время исполнения процесса в эмуляторе последовательное внесение во второй журнал записей, содержащих информацию о вызове API-функции; определение вредоносного кода в файле при условии выявления во втором журнале по меньшей мере одной сигнатуры второго типа из базы данных сигнатур второго типа. 2 н. и 52 з.п. ф-лы, 4 ил.

Движок интроспекции памяти для защиты целостности виртуальных машин // 2640300

Изобретение относится к области антивредоносных систем, использующих технологию аппаратной виртуализации. Техническим результатом является защита компьютерных систем от вредоносных программ. Раскрыта хостовая система, содержащая по меньшей мере один процессор, конфигурированный с возможностью выполнять: операционную систему, конфигурированную с возможностью выделять секцию виртуализированной физической памяти виртуальной машины целевому программному объекту, выполняемому в виртуальной машине, причем виртуальная машина открыта гипервизором, выполняемым на хостовой системе, при этом виртуализированная физическая память разделена на страницы, причем страница представляет собой наименьшую единицу памяти, индивидуально отображаемой между виртуализированной физической памятью и физической памятью хостовой системы; и модуль подготовки защиты, конфигурированный с возможностью, в ответ на определение того, удовлетворяет ли целевой программный объект критерию выбора для защиты от вредоносных программ, когда целевой программный объект удовлетворяет этому критерию выбора, изменять выделение памяти целевого объекта, при этом изменение выделения памяти включает в себя обеспечение того, что любая страница, содержащая по меньшей мере часть целевого программного объекта, зарезервирована для целевого программного объекта. 3 н. и 26 з.п. ф-лы, 10 ил.

Движок интроспекции памяти для защиты целостности виртуальных машин // 2640300

Способ сбора данных электронных анкет, основанный на событийном принципе // 2640715

Изобретение относится к способу и машиночитаемому носителю информации для управления электронной анкетой. Технический результат заключается в обеспечении возможности управления электронной анкетой. В способе идентифицируют поля электронной анкеты, которые могут предусматривать действия пользователя, при загрузке электронной анкеты терминалом пользователя, определяют и сохраняют в памяти данные для любого события, выполняемого на каждом из идентифицируемых полей, при этом этап идентификации выполняют на этапе инициализации, предшествующем этапу выполнения, который включает этап определения, при этом этап инициализации позволяет идентифицировать все поля электронной анкеты, с которыми может осуществлять действия пользователь, извлекают данные, сохраненные в памяти при отправке электронной анкеты, анализируют извлеченные данные, при этом данный этап анализа включает этап выделения цепочек последовательных событий, отражающих действия пользователя, для того, чтобы обеспечить возможность восстановления во времени, таким образом, чтобы электронная анкета была заполнена. 2 н. и 8 з.п. ф-лы, 2 ил., 12 табл.

Система и способ виртуализации функции мобильной сети // 2643451

Изобретение относится к беспроводной передаче данных. Технический результат - возможность каталогизации, установки и объединения сетевых функций с услугами сетевого уровня (связывание услуги) для предоставляемых услуг, чтобы способствовать гранулярным и стандартным механизмам мобильных сетей, уровнем услуг и приложений, для динамического обмена состояниями, договоренностями на уровне услуги (SLA), ресурсами и другой информацией. Для этого способ виртуализации функции мобильной сети (MNFV) включает в себя этапы, на которых: формируют кластер ядра развернутого пакета (EPC), ассоциируют подсеть с кластером EPC и загружают виртуальную машину (VM) и прикрепляют VM к EPC. 2 н. и 15 з.п. ф-лы, 20 ил., 7 табл.

Способ и устройство для управления авторизацией виртуальной очереди вывода, а также компьютерный носитель информации // 2643666

Группа изобретений относится к системам связи и характеризует технологии управления авторизацией виртуальной очереди вывода. Техническим результатом является осуществление шейпинга трафика с агрегацией множества пользовательских сервисов согласно информации о состоянии шейпинга. Предложен способ управления авторизацией виртуальной очереди вывода (VOQ). Способ содержит этап, на котором, согласно алгоритму планирования в планировщике блока планирования, непосредственно связанного с физическим портом, и согласно весу и приоритету блока планирования на следующем уровне планирования относительно текущего уровня планирования, определяют индекс блока планирования на следующем уровне планирования относительно текущего уровня планирования. Далее, осуществляют получение информации о списке связей планирования для каждого планировщика в блоке планирования на следующем уровне планирования относительно текущего уровня планирования согласно индексу блока планирования на следующем уровне планирования относительно текущего уровня планирования и определяют индекс авторизуемого планировщика, соответствующего классу обслуживания, который совпадает с текущей авторизацией в блоке планирования на следующем уровне планирования, согласно информации о списке связей планирования. 3 н. и 10 з.п. ф-лы, 5 ил.

Способ, устройство и система управления обработкой отказов // 2644146

Изобретение относится к области связи. Технический результат изобретения заключается в обеспечении управления отказами, реализуемого путем формирования сообщений об отказах и их обработкой в среде виртуализации сетевых функций NFV. Способ содержит этапы, на которых получают посредством администратора виртуализированных сетевых функций (VNFM) информацию об отказах объекта виртуализации сетевых функций VNF, содержащую идентификатор отказавшего объекта и тип отказа, причем информация об отказах используется для указания, что отказ происходит в первом объекте VNF, имеющем идентификатор отказавшего объекта, формируют посредством VNFM всестороннюю информацию об отказах в соответствии с информацией об отказах и выполняют посредством VNFM устранение отказов или сообщают об обработке в соответствии с всесторонней информацией об отказах. 2 н. и 18 з.п. ф-лы, 4 табл., 17 ил.

Сложное классифицирование для выявления вредоносных программ // 2645268

Изобретение относится к области защиты компьютерных систем от вредоносных программ. Техническим результатом является определение, является ли программная сущность вредоносной, на основе множества показателей оценки соответствующей сущности, что позволяет создать более надежное антивредоносное решение по сравнению с аналогичными традиционными решениями. Раскрыта хостовая система для определения вредоносной программной сущности, содержащая блок памяти, хранящий инструкции, при исполнении которых по меньшей мере одним аппаратным процессором хостовой системы хостовая система выполняет модуль управления сущностями, средство оценки сущностей и классифицирующий механизм, при этом: модуль управления сущностями конфигурирован с возможностью управлять коллекцией оцениваемых программных сущностей, причем управление коллекцией содержит: идентификацию набора сущностей-потомков первой сущности коллекции; определение, завершена ли первая сущность; в ответ, когда первая сущность завершена, определение, завершены ли все члены набора сущностей-потомков; и в ответ, когда все члены набора сущностей-потомков завершены, удаление первой сущности из коллекции; средство оценки сущностей конфигурировано с возможностью: оценивать первую сущность согласно критерию оценки; и в ответ, когда первая сущность удовлетворяет критерию оценки, передавать индикатор оценки в классифицирующий механизм; классифицирующий механизм конфигурирован с возможностью: записывать первый показатель, определенный для первой сущности, и второй показатель, определенный для второй сущности коллекции, причем первый и второй показатели определены согласно критерию оценки; в ответ на запись первого и второго показателей и в ответ на получение индикатора оценки, обновлять второй показатель согласно индикатору оценки; в ответ определять, является ли вторая сущность вредоносной согласно обновленному второму показателю, в ответ на получение индикатора оценки, обновлять первый показатель согласно индикатору оценки; и в ответ определять, является ли первая сущность вредоносной согласно обновленному первому показателю. 3 н. и 12 з.п. ф-лы, 13 ил.

Выгрузка потоков виртуальных машин в физические очереди // 2645595

Изобретение относится к области сред виртуализации. Техническим результатом является выгрузка сетевых потоков виртуальных машин в физические очереди сетевого аппаратного обеспечения. Компьютерная система исполняет одну или несколько виртуальных машин и программирует физическое сетевое устройство одним или несколькими правилами, которые управляют сетевым трафиком для виртуальных машин. Компьютерная система также программирует сетевое устройство для управления сетевым трафиком с использованием этих правил. В частности, сетевое устройство программируется для определения доступности одной или нескольких физических очередей в сетевом устройстве, которые могут использоваться для обработки сетевых потоков для виртуальных машин. Сетевое устройство также программируется для идентификации сетевых потоков для виртуальных машин, включая идентификацию характеристик каждого сетевого потока. Сетевое устройство также программируется для назначения, на основе характеристик сетевых потоков и на основе правил, одного или нескольких из сетевых потоков по меньшей мере одной из физических очередей. 3 н. и 17 з.п. ф-лы, 5 ил.