RU91206U1 - HARDWARE ANTI-VIRUS - Google Patents
HARDWARE ANTI-VIRUS Download PDFInfo
- Publication number
- RU91206U1 RU91206U1 RU2009110879/22U RU2009110879U RU91206U1 RU 91206 U1 RU91206 U1 RU 91206U1 RU 2009110879/22 U RU2009110879/22 U RU 2009110879/22U RU 2009110879 U RU2009110879 U RU 2009110879U RU 91206 U1 RU91206 U1 RU 91206U1
- Authority
- RU
- Russia
- Prior art keywords
- antivirus
- hardware
- storage medium
- data
- malware
- Prior art date
Links
Landscapes
- Storage Device Security (AREA)
Abstract
1. Аппаратный антивирус, проверяющий носитель информации на содержание компонент вредоносного ПО, содержащий, по меньшей мере, один интерфейс, к которому подключают носитель информации, проверка данных носителя информации осуществляется центральным процессором антивируса, который использует оперативное запоминающее устройство, при этом основная работа антивируса заключается в проверке данных, которые содержатся на носителе информации, если же в данных обнаруживается компонент вредоносного ПО, то данные удаляют с носителя информации. ! 2. Аппаратный антивирус по п.1 встроен в контроллер носителя информации. ! 3. Аппаратный антивирус по п.1, который соединен с компьютерной системой.1. A hardware antivirus that checks the storage medium for the contents of the malware component, containing at least one interface to which the storage medium is connected, the data verification of the storage medium is carried out by the central processor of the antivirus, which uses random access memory, while the main operation of the antivirus is in checking the data contained on the storage medium, if a malware component is detected in the data, the data is deleted from the storage medium. ! 2. The hardware antivirus according to claim 1 is built into the storage medium controller. ! 3. The hardware antivirus according to claim 1, which is connected to a computer system.
Description
Полезная модель относится к способам защиты от вредоносного программного обеспечения и в частности идентификации компонент вредоносного программного обеспечения. Оно основано на создании системы аппаратного антивируса для лечения зараженных компьютерных систем.The utility model relates to methods of protection against malicious software, and in particular the identification of components of malicious software. It is based on the creation of a hardware antivirus system for the treatment of infected computer systems.
В настоящее время существует много различных антивирусов, но все они являются частью операционной системы. Антивирусное программное обеспечение (далее ПО) обычно использует два различных метода для выполнения своих задач: сканирование файлов для поиска известных вирусов и обнаружение подозрительного поведения любой из программ, похожей на поведение зараженной программы. Так как основной поток вредоносных компонент записывается на жесткие диски, то необходимость сканирования жестких дисков является очень востребованной.Currently, there are many different antiviruses, but they are all part of the operating system. Antivirus software (hereinafter referred to as software) usually uses two different methods to perform its tasks: scanning files to find known viruses and detecting suspicious behavior of any of the programs similar to the behavior of an infected program. Since the main stream of malicious components is written to hard drives, the need to scan hard drives is very popular.
Существующие антивирусы используют ресурсы общей оперативной памяти и процессора наравне с другими приложениями, в том числе и с вредоносным ПО. Антивирусы, установленные в ОС, имеют права, как администратора, так и пользователя, но эти же права имеют и некоторые компоненты вредоносного ПО. Поэтому имея равные права с вредоносной программой, антивирус не может удалить тот или иной ее компонент. Основной пример таких вредоносных программ - это «руткиты». Под руткитом понимается набор утилит или специальный модуль ядра, который взломщик устанавливает на взломанной компьютерной системе сразу после получения им прав администратора. Набор утилит, как правило, включает в себя разнообразные функции по «заметанию следов» вторжения в систему. Руткит позволяет взломщику закрепиться во взломанной системе и скрыть следы своего пребывания, скрывая файлы, процессы и присутствие самого руткита в системе. Таким образом, он может скрыться не только от пользователя, но и от антивирусов. Существует также вероятность того, что получив более привилегированные права, руткит сможет каким-то образом повредить антивирус или испортить его работоспособность. Существуют различные методы борьбы с руткитами, однако, не существует способа, который гарантированно сможет удалить руткит из системы.Existing antiviruses use the resources of shared RAM and processor on a par with other applications, including malware. Antiviruses installed in the OS have both administrator and user rights, but some components of malware also have the same rights. Therefore, having equal rights with the malware, the antivirus cannot remove one or another of its components. The main example of such malware is rootkits. A rootkit is a set of utilities or a special kernel module that an cracker installs on a hacked computer system immediately after he receives administrator rights. A set of utilities, as a rule, includes a variety of functions for "sweeping the traces" of an invasion of the system. The rootkit allows an attacker to gain a foothold in the hacked system and hide the traces of his stay by hiding files, processes and the presence of the rootkit in the system. Thus, it can hide not only from the user, but also from antiviruses. There is also the possibility that by gaining more privileged rights, the rootkit can somehow damage the antivirus or spoil its performance. There are various methods to combat rootkits, however, there is no way that is guaranteed to be able to remove the rootkit from the system.
Перед использованием обычного антивируса необходима его предварительная установка в ОС. Также существует проблема загрузки системных ресурсов во время работы антивируса, так как он использует общие ресурсы. Постепенно возникает потребность в создании антивируса, который бы мог удалять вредоносное ПО, избегая проблемы доступа и прав, а также не загружающего компьютерную систему в целом.Before using a conventional antivirus, you must first install it in the OS. There is also a problem loading system resources while the antivirus is running, since it uses shared resources. Gradually, there is a need to create an antivirus that could remove malware, avoiding access and rights issues, as well as not loading the computer system as a whole.
Существуют также варианты исполнения антивирусов в виде аппаратных комплексов, которые позволяют избежать многих недостатков программных антивирусов, например, в виде использования ресурсов компьютера. Предлагаемое компанией Yoggie решение Gatekeeper (Card Pro и Pico) предлагает защиту от сетевых атак и вирусов, которые передаются через сеть (http://www.yoggie.com/Gatekeeper-Card-Pro). В то же время, Gatekeeper не предоставляет защиту от руткитов, так как это решение работает только как фильтр с данными, получаемыми через сеть. Нужно понимать, что подобные программно-аппаратные средства (firmware) не способны работать со всеми устройствами, которые можно использовать на современных компьютерах. Используя Gatekeeper как фильтр для данных, невозможно перехватить все вредоносные программ из-за того, что это решение использует традиционные антивирусные продукты, которые не дают стопроцентной гарантии обнаружения зловредных программ. Те зловредные программы, которые прошли через фильтр и попали на жесткий диск уже не могут быть обнаружены и удалены с помощью этого решения.There are also options for the execution of antiviruses in the form of hardware systems that can avoid many of the disadvantages of software antiviruses, for example, in the form of using computer resources. The Gatekeeper solution offered by Yoggie (Card Pro and Pico) offers protection against network attacks and viruses transmitted through the network (http://www.yoggie.com/Gatekeeper-Card-Pro). At the same time, Gatekeeper does not provide protection against rootkits, since this solution only works as a filter with data received through the network. You need to understand that such firmware and hardware (firmware) are not able to work with all devices that can be used on modern computers. Using Gatekeeper as a filter for data, it is impossible to intercept all malicious programs due to the fact that this solution uses traditional anti-virus products, which do not give a 100% guarantee of detection of malicious programs. Those malicious programs that went through the filter and got to the hard drive can no longer be detected and deleted using this solution.
Способ работы устройства Gatekeeper описан в патентной заявке US 20080276302. В этой заявке рассматриваются варианты наложения определенной политики безопасности на компьютер (host) при передаче данных. Данная заявка не рассматривает варианты лечения руткитов и иных вредоносных программ, которые скрывают свое присутствие в системе.The method of operation of the Gatekeeper device is described in patent application US 20080276302. This application discusses options for imposing a specific security policy on the computer (host) during data transfer. This application does not consider treatment options for rootkits and other malicious programs that hide their presence in the system.
Таким образом, требуется решение, которые было бы лишено недостатков программных антивирусов, так и смогло бы обойти недостатки аппаратных решений, позволяя контролировать как входящий поток данных, так и проверяя носители информации на наличие вредоносных программ. Поэтому для решения вышеперечисленных задач представлена полезная модель, реализованная в системе аппаратного антивируса и способе обновления систем проведения эффективного лечения компьютерных систем. Полезная модель основана на создании аппаратного антивируса для лечения от вредоносного ПО.Thus, a solution is needed that would be free from the disadvantages of software antiviruses, and could bypass the shortcomings of hardware solutions, allowing you to control both the incoming data stream and checking the storage media for malicious programs. Therefore, to solve the above problems, a useful model is presented, implemented in a hardware antivirus system and a method for updating systems for the effective treatment of computer systems. The utility model is based on the creation of hardware antivirus for the treatment of malware.
Система подключается непосредственно к носителю информации. Она может быть выполнена в виде отдельного устройства с возможностью подключения этого устройства к компьютеру, выполняя в таком случае функции прозрачного фильтра в разрыве интерфейсного кабеля. Таким образом, компьютер не будет подозревать о том, что данные, которые он пытается записать на носитель информации, подвергаются проверке. Соответственно, и компоненты вредоносного ПО также не будут фиксировать отслеживания их действий.The system connects directly to the storage medium. It can be made in the form of a separate device with the ability to connect this device to a computer, performing in this case the function of a transparent filter in the gap of the interface cable. Thus, the computer will not suspect that the data that it is trying to write to the storage medium is checked. Accordingly, the components of the malware will also not record the tracking of their actions.
Далее будут подробного рассмотрены описания системы аппаратного антивируса и метода ее обновления.Next, descriptions of the hardware antivirus system and the method for updating it will be considered in detail.
На Фиг.1 показана структурная блок-схема системы аппаратного антивируса в общем случае в соответствии с примером реализации. Система аппаратного антивируса 130 при подключении к носителю информации приступает к проверке содержащихся на носителе данных выявляя и обезвреживая различные вредоносные программы. При подключении к системной шине 110 персонального компьютера аппаратный антивирус работает с носителем информации 120 в режиме прозрачного фильтра. Система аппаратного антивируса имеет собственные центральный процессор 140, оперативное запоминающее устройство 150 и источник питания. Таким образом, система не будет требовать общих ресурсов персонального компьютера, она будет работать независимо, не загружая систему, как это делают сейчас почти все современные антивирусные решения.Figure 1 shows a structural block diagram of a hardware antivirus system in the General case in accordance with an example implementation. The system of hardware antivirus 130, when connected to a storage medium, proceeds to scan the data contained on the storage medium by detecting and neutralizing various malicious programs. When connected to the system bus 110 of a personal computer, a hardware antivirus works with the storage medium 120 in the transparent filter mode. The hardware antivirus system has its own central processor 140, random access memory 150 and a power source. Thus, the system will not require the common resources of a personal computer; it will work independently without loading the system, as almost all modern anti-virus solutions do now.
Когда к аппаратному антивирусу подключают носитель информации 120, то запускаются алгоритмы проверки записанных в нем данных на содержание вредоносного ПО, в ходе которых устраняют найденные вредоносные программы. Такой способ решает проблему скрытых системных файлов, которые находятся на носителе информации, т.к. для обработки данных используется независимое сканирование всех данных носителя информации. В этом случае во время сканирования носителя информации при рассмотрении файла можно понять, что первый сектор сканируемого файла описывает исполняемый файл и после этого его следует взять на контроль.When a storage medium 120 is connected to a hardware antivirus, algorithms are started to check the data recorded in it for the content of malware, during which they eliminate the malware found. This method solves the problem of hidden system files that are on the storage medium, because For data processing, an independent scan of all data of the storage medium is used. In this case, during the scanning of the storage medium when examining the file, it can be understood that the first sector of the scanned file describes the executable file and after that it should be taken under control.
На Фиг.2 показана блок-схема алгоритма работы системы аппаратного антивируса в режиме прозрачного фильтра. После создания записи, которую нужно записать на носитель информации, на шаге 210 персональный компьютер передает ее контроллеру носителя информации через шину компьютера на шаге 220 (в частном варианте). Система аппаратного антивируса при взаимодействии компьютера с контроллером носителя информации начинает сканировать передаваемые данные на наличие вредоносных программ на шаге 225. В случае если передаваемые данные не содержат вирусов на шаге 230, то данные записываются на носитель информации на шаге 240. Иначе, существует несколько подходов реакции на обнаружение вредоносных компонент. Система может имитировать запись на носитель информации, а на самом деле ее не делать. Вредоносная компонента будет считать, что операция будет выполнена успешно, а на самом деле изменения не будут внесены. Другой вариант реакции на вирусы - это передача компьютерной системе сообщения об ошибке записи. Таким образом, компьютерная система получит информацию о том, что произошел сбой при записи на шаге 235.Figure 2 shows a block diagram of the algorithm of the hardware antivirus system in the transparent filter mode. After creating the record that needs to be recorded on the storage medium, at step 210, the personal computer transmits it to the controller of the storage medium through the computer bus at step 220 (in a private embodiment). The hardware antivirus system, when the computer interacts with the storage medium controller, starts scanning the transmitted data for malware in step 225. If the transmitted data does not contain viruses in step 230, then the data is written to the storage medium in step 240. Otherwise, there are several reaction approaches to detect malicious components. The system can simulate recording on a storage medium, but in fact it does not. The malicious component will assume that the operation will be successful, but in fact no changes will be made. Another option for responding to viruses is to send a write error message to the computer system. Thus, the computer system will receive information that there was a failure during recording at step 235.
Существует несколько различных вариантов реализации работы системы аппаратного антивируса в режиме прозрачного фильтра с низкоуровневыми данными, которые идут через него. Один из них -изучение содержимого секторов во время их передачи. Но этот способ в одиночку содержит некоторые недостатки, связанные с ограниченностью возможностей системы. Получается, что система сканирует данные только во время их чтения/записи. Но существует много скрытых файлов, которые маскируются в системе. Эти файлы не будут опознаны системой аппаратного антивируса, так как не будут производить действий чтения/записи. Соответственно, они не будут опознаны как вредоносные.There are several different options for implementing the operation of a hardware antivirus system in the transparent filter mode with low-level data that goes through it. One of them is the study of the contents of sectors during their transmission. But this method alone contains some disadvantages associated with the limited capabilities of the system. It turns out that the system scans data only during its reading / writing. But there are many hidden files that are masked in the system. These files will not be recognized by the hardware antivirus system, as they will not perform read / write actions. Accordingly, they will not be recognized as malicious.
Также существует еще один способ обработки данных аппаратным антивирусом в режиме прозрачного фильтра - это работа вместе с обычным антивирусом. Работа заключается в том, что антивирус 310, изображенный на Фиг.3, имеет набор зашифрованных команд, с помощью которых он может давать те или иные указания системе аппаратного антивируса 320. Это даст доступ антивирусу 310 к носителю данных 330 в обход иерархии пользовательских прав. В этой ситуации антивирус 310 может найти руткит или другой компонент вредоносного ПО на носителе данных 330, который он не может обойти или удалить в связи с тем, что во многих операционных системах существует ограничение прав для приложений. Имея даже права администратора, антивирус 310 не может удалить руткит, который имеет те же права. Но в совокупности с системой аппаратного антивируса 320, которая работает вне операционной системы персонального компьютера, а соответственно и на нее не распространяется политика прав операционной системы, то таким образом достигается максимальная эффективность обычного антивируса 310 за счет функции удаления руткитов и других компонентов вредоносного ПО.There is also another way of processing data with hardware antivirus in transparent filter mode - this is working with a conventional antivirus. The job is that the antivirus 310, shown in Figure 3, has a set of encrypted commands with which it can give certain instructions to the hardware antivirus system 320. This will give antivirus 310 access to the storage medium 330 bypassing the user rights hierarchy. In this situation, antivirus 310 can find a rootkit or other component of malware on the data medium 330, which it cannot bypass or delete due to the fact that in many operating systems there is a restriction of rights for applications. Even having administrator rights, antivirus 310 cannot delete a rootkit that has the same rights. But in conjunction with the system of hardware antivirus 320, which works outside the operating system of a personal computer, and accordingly, the rights policy of the operating system does not apply to it, this way the maximum efficiency of conventional antivirus 310 is achieved due to the function of removing rootkits and other components of malware.
Один из основных аспектов работы антивируса - это наличие обновлений антивирусных баз. Антивирусные базы всегда должны быть в актуальном состоянии для борьбы с самыми новыми вредоносными программами. Ситуация с обновлениями может решаться несколькими способами. В одном частном варианте при работе системы аппаратного антивируса вместе с обычным антивирусом обновления будут скачиваться обычным антивирусом, а системе аппаратного антивируса они не потребуются. В этом случае система аппаратного антивируса выполняет второстепенную роль и предназначена для удаления руткитов, найденных обычным антивирусом. В другом частном варианте, изображенном на Фиг.4, для загрузки обновлений используется специальная утилита 410, которая устанавливается на пользовательскую компьютерную систему. В этом случае система аппаратного антивируса логически делится на две части: основную часть 420, которая состоит из рабочих антивирусных баз и кода, и часть обновлений 430. Связь системы аппаратного антивируса и персонального компьютера происходит с помощью утилиты 410, которая при загрузке новых обновлений начинает устанавливать соединение с системой аппаратного антивируса, посылая ей некоторый секретный код (или зашифрованный ключ), идентифицирующий ее как доверенное приложение. В свою очередь система аппаратного антивируса посылает ответ об успешной аутентификации утилите 410, а затем утилита 410 начинает передавать обновления в область обновлений 430. При этом рабочие базы и код в области 420 не затрагиваются. После загрузки баз утилита 410 сообщает, что обновления были загружены и готовы для дальнейшего использования. Следующим этапом является верификация баз внутри самой системы аппаратного антивируса, которая может включать в частном варианте методы сравнения электронно-цифровых подписей, контрольных сумм, подписей и т.д. Система это делает внутри себя, поэтому никакие компоненты вредоносного ПО не могут вмешаться в процесс верификации, также как и понять алгоритм проверки. В случае успешной верификации обновления загружаются из области 430 в область рабочих баз и кода 420. Такой двухступенчатый метод защищает систему аппаратного антивируса от загрузки вредоносного кода или устаревших баз. Даже если вредоносное ПО попытается загрузить вредоносный код вместо баз, то верификация внутри системы аппаратного антивируса не примет их как рабочие. Таким образом, система не будет повреждена. Старые базы также не будут загружены, потому что при верификации проверяется и актуальность баз.One of the main aspects of the anti-virus operation is the availability of anti-virus database updates. Anti-virus databases should always be up to date to deal with the latest malware. The update situation can be addressed in several ways. In one particular embodiment, when a hardware antivirus system is running along with a regular antivirus, updates will be downloaded by a regular antivirus, but they will not be required by a hardware antivirus system. In this case, the hardware antivirus system plays a secondary role and is designed to remove rootkits found by a conventional antivirus. In another particular embodiment depicted in FIG. 4, a special utility 410 is used to download updates, which is installed on a user computer system. In this case, the hardware antivirus system is logically divided into two parts: the main part 420, which consists of working anti-virus databases and code, and the update part 430. The hardware antivirus system and the personal computer are connected using the utility 410, which starts to install when new updates are downloaded connection to the hardware antivirus system, sending it some secret code (or an encrypted key) that identifies it as a trusted application. In turn, the hardware antivirus system sends a response about successful authentication to utility 410, and then utility 410 starts sending updates to update area 430. At the same time, the working databases and code in area 420 are not affected. After loading the databases, utility 410 reports that the updates have been downloaded and are ready for further use. The next step is to verify the databases inside the hardware antivirus system itself, which may include in a particular version methods for comparing electronic digital signatures, checksums, signatures, etc. The system does this internally, so no malware components can interfere with the verification process, as well as understand the verification algorithm. In case of successful verification, updates are downloaded from area 430 to the area of working databases and code 420. This two-stage method protects the hardware antivirus system from downloading malicious code or outdated databases. Even if malware tries to download malicious code instead of databases, then verification within the hardware antivirus system will not accept them as working. Thus, the system will not be damaged. Old databases will also not be loaded, because the verification also checks the relevance of the databases.
На Фиг.5 изображена блок-схема алгоритма обновлений для системы аппаратного антивируса в соответствии с примером реализации со стороны утилиты, установленной на персональном компьютере. Утилита 410 начинает загружать обновления с некоторой периодичностью на шаге 510. Загрузив обновления, на шаге 520 утилита создает секретный код (ключ), идентифицирующий ее как доверенное приложение, и отсылает его системе аппаратного антивируса. На шаге 525 утилита получает ответ о результате аутентификации. В случае успешной аутентификации утилита начинает передавать загруженные обновления системе аппаратного антивируса на шаге 535. Завершив передачу данных, на шаге 540 утилита передает системе аппаратного антивируса сообщение об успешной передаче данных. Далее начинается вторая часть обработки и загрузки антивирусных баз, которая описана на Фиг.6.Figure 5 shows a block diagram of the update algorithm for a hardware antivirus system in accordance with an example implementation from a utility installed on a personal computer. Utility 410 starts downloading updates at a certain frequency in step 510. After downloading the updates, in step 520 the utility creates a secret code (key) that identifies it as a trusted application and sends it to the hardware antivirus system. At step 525, the utility receives a response about the authentication result. In case of successful authentication, the utility starts transmitting the downloaded updates to the hardware antivirus system in step 535. After completing the data transfer, in step 540 the utility transmits a message about the successful data transfer to the hardware antivirus system. Next, the second part of the processing and loading of anti-virus databases begins, which is described in Fig.6.
На Фиг.6 также изображена блок-схема алгоритма обновлений для системы аппаратного антивируса в соответствии с примером реализации. Система аппаратного антивируса получает секретный код (ключ) от приложения персонального компьютера на шаге 610. Получив код и идентифицировав приложение как доверенную утилиту, система аппаратного антивируса отсылает ей ответ об успешной аутентификации на шаге 620. Затем утилита передает новые антивирусные базы в область обновлений системы аппаратного антивируса 430. По окончании передачи баз утилита сообщает системе о готовности баз к дальнейшей загрузке на шаге 625. После этого система производит верификацию полученных антивирусных баз на шаге 630. В случае если верификация прошла успешно на шаге 635, то есть переданные данные - это антивирусные базы и они актуальные, то они перезаписываются из области обновлений 430 в область рабочих баз 420 на шаге 640. Если верификация баз не прошла, то они удаляются из области обновлений 430 на шаге 650. На этом загрузка антивирусных баз считается завершенной.6 also shows a block diagram of an update algorithm for a hardware antivirus system in accordance with an example implementation. The hardware antivirus system receives the secret code (key) from the personal computer application in step 610. After receiving the code and identifying the application as a trusted utility, the hardware antivirus system sends a response to it about successful authentication in step 620. Then, the utility transfers the new anti-virus databases to the hardware system updates area antivirus 430. At the end of the database transfer, the utility informs the system about the readiness of the databases for further download at step 625. After that, the system verifies the received anti-virus databases at step 630. If the verification was successful at step 635, that is, the transmitted data is anti-virus databases and they are current, then they are overwritten from the update area 430 to the area of working databases 420 at step 640. If the verification of the databases failed, then they they are removed from the update area 430 in step 650. On this, the download of anti-virus databases is considered complete.
Claims (3)
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2009110879/22U RU91206U1 (en) | 2009-03-26 | 2009-03-26 | HARDWARE ANTI-VIRUS |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2009110879/22U RU91206U1 (en) | 2009-03-26 | 2009-03-26 | HARDWARE ANTI-VIRUS |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| RU91206U1 true RU91206U1 (en) | 2010-01-27 |
Family
ID=42122586
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| RU2009110879/22U RU91206U1 (en) | 2009-03-26 | 2009-03-26 | HARDWARE ANTI-VIRUS |
Country Status (1)
| Country | Link |
|---|---|
| RU (1) | RU91206U1 (en) |
-
2009
- 2009-03-26 RU RU2009110879/22U patent/RU91206U1/en active IP Right Revival
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11611586B2 (en) | Systems and methods for detecting a suspicious process in an operating system environment using a file honeypots | |
| JP6639588B2 (en) | System and method for detecting malicious files | |
| JP7121112B2 (en) | secure storage device | |
| US11586736B2 (en) | Systems and methods for detecting malicious processes | |
| US10242186B2 (en) | System and method for detecting malicious code in address space of a process | |
| US8719935B2 (en) | Mitigating false positives in malware detection | |
| US7657941B1 (en) | Hardware-based anti-virus system | |
| US7853999B2 (en) | Trusted operating environment for malware detection | |
| US20060200863A1 (en) | On-access scan of memory for malware | |
| US9053321B2 (en) | Antivirus system and method for removable media devices | |
| US9588829B2 (en) | Security method and apparatus directed at removable storage devices | |
| US11494491B2 (en) | Systems and methods for protecting against malware code injections in trusted processes by a multi-target injector | |
| US20180004981A1 (en) | Preventing access of a host device to malicious data in a portable device | |
| WO2008048665A2 (en) | Method, system, and computer program product for malware detection analysis, and response | |
| US9330260B1 (en) | Detecting auto-start malware by checking its aggressive load point behaviors | |
| US11971986B2 (en) | Self-protection of anti-malware tool and critical system resources protection | |
| US9251350B2 (en) | Trusted operating environment for malware detection | |
| RU2665910C1 (en) | System and method of detecting the harmful code in the address process space | |
| RU92217U1 (en) | HARDWARE ANTI-VIRUS | |
| US11636204B2 (en) | Systems and methods for countering removal of digital forensics information by malicious software | |
| RU85249U1 (en) | HARDWARE ANTI-VIRUS | |
| RU91206U1 (en) | HARDWARE ANTI-VIRUS | |
| RU2592383C1 (en) | Method of creating antivirus record when detecting malicious code in random-access memory | |
| RU2739832C1 (en) | System and method of detecting changed system files for checking for malware in a cloud service | |
| RU2768196C9 (en) | Protected storage device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| NF1K | Reinstatement of utility model |
Effective date: 20110410 |