RU107619U1 - SYSTEM FOR MONITORING PROGRAM PROGRESS - Google Patents

SYSTEM FOR MONITORING PROGRAM PROGRESS Download PDF

Info

Publication number
RU107619U1
RU107619U1 RU2011113680/08U RU2011113680U RU107619U1 RU 107619 U1 RU107619 U1 RU 107619U1 RU 2011113680/08 U RU2011113680/08 U RU 2011113680/08U RU 2011113680 U RU2011113680 U RU 2011113680U RU 107619 U1 RU107619 U1 RU 107619U1
Authority
RU
Russia
Prior art keywords
input
output
processor
address
bus
Prior art date
Application number
RU2011113680/08U
Other languages
Russian (ru)
Inventor
Андрей Владимирович Луценко
Original Assignee
Общество с ограниченной ответственностью "ЛАН-ПРОЕКТ"
Андрей Владимирович Луценко
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Общество с ограниченной ответственностью "ЛАН-ПРОЕКТ", Андрей Владимирович Луценко filed Critical Общество с ограниченной ответственностью "ЛАН-ПРОЕКТ"
Priority to RU2011113680/08U priority Critical patent/RU107619U1/en
Application granted granted Critical
Publication of RU107619U1 publication Critical patent/RU107619U1/en

Links

Landscapes

  • Debugging And Monitoring (AREA)
  • Storage Device Security (AREA)

Abstract

1. Система для контроля хода выполнения программ, содержащая процессор, первый вход-выход которого соединен с входом-выходом системной шины компьютера, и оперативное запоминающее устройство, вход-выход которого соединен со вторым входом-выходом процессора, отличающаяся тем, что введены блок памяти диапазонов адресов, первый вход-выход которого соединен с третьим входом-выходом процессора шиной загрузки диапазонов адресов, и блок сравнения адресов, первый вход-выход которого соединен со вторым входом выходом блока памяти диапазонов адресов шиной чтения диапазонов адресов и уровня привилегий, второй вход-выход соединен четвертым входом-выходом процессора шиной уровня привилегий, третий вход-выход соединен с пятым входом-выходом процессора шиной адресов обращений к оперативному запоминающему устройству, а выход соединен со входом процессора шиной передачи сигнала ошибки доступа. !2. Система по п.1, отличающаяся тем, что процессором через шину загрузки диапазонов адресов осуществляется размещение в блоке памяти диапазонов адресов контролируемых адресов оперативного запоминающего устройства для текущей программы, причем на каждый диапазон контролируемых адресов оперативного запоминающего устройства для текущей программы назначаются разрешенные состояния в виде разрешенного уровня привилегий текущей программы, типа обращения, режима обращения и режима работы процессора, а в процессе выполнения программы, когда осуществляется запрос к оперативному запоминающему устройству, текущий адрес запроса сравнивается со всеми диапазонами контролируемых адресов оперативного запоминающего устройства, зане� 1. A system for monitoring the progress of programs, comprising a processor, the first input-output of which is connected to the input-output of the computer system bus, and a random access memory device, the input-output of which is connected to the second input-output of the processor, characterized in that a memory unit is introduced address ranges, the first input-output of which is connected to the third input-output of the processor by the address range loading bus, and the address comparison unit, the first input-output of which is connected to the second input of the output of the address range memory block with a bus for reading ranges of addresses and privilege level, the second input-output is connected by the fourth input-output of the processor with a privilege level bus, the third input-output is connected with the fifth input-output of the processor by the address bus of accesses to the random access memory, and the output is connected with the input of the processor by the transfer bus access error signal. ! 2. The system according to claim 1, characterized in that the processor through the address range loading bus, the address ranges of the controlled addresses of the random access memory for the current program are placed in the memory block, and for each range of controlled addresses of the random access memory for the current program, the permitted states are assigned in the form of the allowed privileges of the current program, such as access, access mode and processor operating mode, and during program execution, when there is a request to random access memory, the current request address is compared with all ranges of controlled addresses of random access memory,

Description

Полезная модель относится к области антивирусной защиты в системах передачи и обработки данных и может быть использована для выявления вирусов в процессе контроля хода выполнения программ.The utility model relates to the field of anti-virus protection in data transmission and processing systems and can be used to detect viruses in the process of monitoring program execution.

Известно устройство, предотвращающий распространение компонентов вредоносного программного обеспечения, расположенное между персональным компьютером и накопителем информации, содержащий минимум два интерфейса, один из которых подключают к системной шине компьютера, а другой подключают к носителю информации, являющийся при этом прозрачным фильтром, обеспечивающим передачу данных между интерфейсами, фильтрация упомянутых данных осуществляется центральным процессором антивируса, который использует оперативное запоминающее устройство, при этом основная работа антивируса заключается в фильтрации поступающих данных с носителя информации, и если в них обнаружен компонент вредоносного программного обеспечения, то данные блокируют, иначе данные передают на интерфейс, который подключен к системной шине [RU 92217, U1, G06N 99/00, 10.03.2010].A device is known that prevents the spread of malware components located between a personal computer and an information storage device, containing at least two interfaces, one of which is connected to the computer’s system bus, and the other is connected to the storage medium, which is a transparent filter that ensures data transfer between interfaces , the filtering of the mentioned data is carried out by the central antivirus processor, which uses random access memory yours, while the main work of the antivirus is to filter incoming data from the storage medium, and if a malware component is detected in them, then the data is blocked, otherwise the data is transferred to the interface that is connected to the system bus [RU 92217, U1, G06N 99 / 00, 03/10/2010].

Недостатком устройства является относительно узкие функциональные возможности, поскольку способ обнаружения вирусов, реализуемый устройством, предполагает обнаружение только известных вирусов, сигнатуры которых имеются в памяти устройства. Кроме того нет возможности осуществлять фильтрацию выходного потока в упакованных форматах (типа архивов).The disadvantage of the device is its relatively narrow functionality, since the method of detecting viruses implemented by the device involves the detection of only known viruses whose signatures are in the device’s memory. In addition, there is no way to filter the output stream in packaged formats (such as archives).

Наиболее близким по технической сущности к предложенному, является устройство, расположенное между персональным компьютером и накопителем информации, содержащее минимум два интерфейса, один из которых подключают к системной шине компьютера, а другой подключают к носителю информации, являющимся, при этом, прозрачным фильтром, обеспечивающим передачу данных между интерфейсами, фильтрация упомянутых данных осуществляется центральным процессором антивируса, который использует оперативное запоминающее устройство, причем, основная работа антивируса заключается в фильтрации поступающих данных, и если в них не обнаружен компонент вредоносного программного обеспечения, то данные записывают на носитель информации, если же в данных обнаружен компонент вредоносного программного обеспечения, то данные не записывают [RU 85249, U1, G06N 1/00, 27.07.2009].The closest in technical essence to the proposed one is a device located between a personal computer and an information storage device containing at least two interfaces, one of which is connected to the computer system bus, and the other is connected to the storage medium, which is, at the same time, a transparent filter that ensures transmission data between interfaces, the filtering of the data is carried out by the central processor of the antivirus, which uses random access memory, moreover, the main work and the antivirus consists in filtering the incoming data, and if no malware component is detected in them, then the data is recorded on the storage medium, if the malware component is found in the data, then the data is not recorded [RU 85249, U1, G06N 1/00 July 27, 2009].

Недостатком наиболее близкого технического решения является относительно узкие функциональные возможности, поскольку способ обнаружения вирусов реализуемый устройством, предполагает обнаружение только известных вирусов, сигнатуры которых имеются в памяти устройства. Кроме того нет возможности осуществлять фильтрацию входного потока в упакованных форматах (типа архивов).The disadvantage of the closest technical solution is the relatively narrow functionality, since the method of detecting viruses implemented by the device involves the detection of only known viruses whose signatures are in the device’s memory. In addition, there is no way to filter the input stream in packaged formats (such as archives).

Требуемый технический результат заключается в расширении функциональных возможностей.The required technical result is to expand the functionality.

Требуемый технический результат достигается тем, что в устройство, содержащее процессор, первый вход-выход которого соединен с входом-выходом системной шины компьютера, и оперативное запоминающее устройство, вход-выход которого соединен со вторым входом-выходом процессора, введены блок памяти диапазонов адресов, первый вход-выход которого соединен с третьим входом-выходом процессора шиной загрузки диапазонов адресов шиной загрузки диапазонов адресов, и блок сравнения адресов, первый вход-выход которого соединен со вторым входом выходом блока памяти диапазонов адресов шиной чтения диапазонов адресов и уровня привилегий, второй вход-выход - соединен четвертым входом-выходом процессора шиной уровня привилегий, третий вход-выход - соединен с пятым входом-выходом процессора шиной адресов обращений к оперативному запоминающему устройству, а выход - соединен со входом процессора шиной передачи сигнала ошибки доступа.The required technical result is achieved in that in the device containing the processor, the first input-output of which is connected to the input-output of the computer system bus, and the random access memory, the input-output of which is connected to the second input-output of the processor, an address range memory block is inserted, the first input-output of which is connected to the third input-output of the processor by the address range loading bus, the address range loading bus, and the address comparison unit, the first input-output of which is connected to the second input output ohm of the memory block of address ranges with a bus for reading ranges of addresses and privilege level, the second input-output is connected by the fourth input-output of the processor with a privilege level bus, the third input-output is connected with the fifth input-output of the processor by the address bus of accesses to the random access memory, and the output - connected to the processor input by a bus for transmitting an access error signal.

Кроме того, требуемый технический результат достигается тем, что, в предложенной системе процессором через шину загрузки диапазонов адресов осуществляется размещение в блоке памяти диапазонов адресов контролируемых адресов оперативного запоминающего устройства для текущей программы, причем, на каждый диапазон контролируемых адресов оперативного запоминающего устройства для текущей программы назначаются разрешенные состояния в виде разрешенного уровня привилегий текущей программы, типа обращения, режима обращения и режима работы процессора, а в процессе выполнения программы, когда осуществляется запрос к оперативному запоминающему устройству, текущий адрес запроса сравнивается со всеми диапазонами контролируемых адресов оперативного запоминающего устройства, занесенных в блок памяти диапазонов адресов, при попадании текущего адреса запроса в какой-либо из диапазонов контролируемых адресов оперативного запоминающего устройства для текущей программы блок сравнения адресов считывает из блока памяти диапазонов адресов разрешенные состояния для этого диапазона адресов, которые сравниваются в блоке сравнения адресов с текущими разрешенными состояниями процессора, и если сравниваемые разрешенные состояния совпадают, то блок сравнения адресов не инициирует передачу сигнала ошибки доступа в процессор по шине передачи сигнала ошибки доступа и процесс выполнения программы не прерывается, в противном случае - процесс прерывается.In addition, the required technical result is achieved by the fact that, in the proposed system, the processor via the address range loading bus places in the memory block the address ranges of the controlled addresses of the random access memory for the current program, moreover, for each range of controlled addresses of the random access memory for the current program are assigned allowed states in the form of the allowed privilege level of the current program, type of treatment, treatment mode and operation mode processor, and during the execution of the program, when a request is made to the random access memory, the current request address is compared with all ranges of controlled addresses of random access memory entered in the memory block of address ranges when the current request address falls into any of the ranges of controlled operational addresses memory device for the current program, the address comparison unit reads from the memory block of the address ranges the allowed states for this range to the addresses that are compared in the block comparing addresses with the current allowed states of the processor, and if the compared allowed states are the same, the block comparing addresses does not initiate the transmission of the access error signal to the processor via the transmission bus of the access error signal and the program execution process is not interrupted, otherwise - the process is interrupted.

Кроме того, требуемый технический результат достигается тем, что, система может быть реализована аппаратно в виде специализированного вычислительного устройства в составе блока сравнения адресов и блока памяти диапазонов адресов, которые размещаются в процессоре, реализующего соответствующие связи между блоком сравнения адресов, блоком памяти диапазонов адресов, оперативным запоминающим устройством и системной шиной компьютера.In addition, the required technical result is achieved in that the system can be implemented in hardware as a specialized computing device as part of an address comparison unit and an address range memory unit that are located in a processor that implements the appropriate connections between the address comparison unit, the address range memory unit, random access memory and computer system bus.

Кроме того, требуемый технический результат достигается тем, что, система может быть реализована виртуально путем эмуляции процессором.In addition, the required technical result is achieved in that the system can be implemented virtually by emulation by the processor.

На чертеже представлена функциональная схема системы для контроля хода выполнения программ.The drawing shows a functional diagram of a system for monitoring the progress of programs.

Система для контроля хода выполнения программ содержит процессор 1, первый вход-выход которого соединен с входом-выходом системной шины 2 компьютера, а также оперативное запоминающее устройство 3, вход-выход которого соединен со вторым входом-выходом процессора 1.A system for monitoring the progress of programs includes a processor 1, the first input-output of which is connected to the input-output of the system bus 2 of the computer, as well as random access memory 3, the input-output of which is connected to the second input-output of the processor 1.

Кроме того, система для контроля хода выполнения программ содержит блок 4 памяти диапазонов адресов, первый вход-выход которого соединен с третьим входом-выходом процессора 1 шиной 5 загрузки диапазонов адресов, и блок 6 сравнения адресов, первый вход-выход которого соединен со вторым входом выходом блока 4 памяти диапазонов адресов шиной 7 чтения диапазона адресов и уровня привилегий, второй вход-выход - соединен четвертым входом-выходом процессора 1 шиной 8 уровня привилегий, третий вход-выход - соединен с пятым входом-выходом процессора 1 шиной 9 адресов обращений к оперативному запоминающему устройству, а выход - соединен со входом процессора 1 шиной 10 передачи сигнала ошибки доступа.In addition, the system for monitoring the progress of the program comprises an address range memory unit 4, the first input-output of which is connected to the third input-output of the processor 1 by the address range loading bus 5, and an address comparison unit 6, the first input / output of which is connected to the second input the output of block 4 of the memory of address ranges with bus 7 for reading the address range and privilege level, the second input-output is connected by the fourth input-output of the processor 1 by bus 8 of the privilege level, the third input-output is connected to the fifth input-output of the processor 1 bus hydrochloric 9 references addresses for random access memory, and the output - connected to the input bus 10 of the processor 1 transmitting an access error signal.

Работает система для контроля хода выполнения программ следующим образом.The system operates to monitor the progress of programs as follows.

Расширение функциональных возможностей обеспечивается путем использования следующей технологии.Enhanced functionality is provided by using the following technology.

Программные компоненты большинства антивирусных программ работают на том же самом уровне, что и сами вирусы, не имея перед ними приоритета. Следовательно, для повышения эффективности антивирусной защиты аппаратура контроля должна инициировать программные модули на уровне, недоступном для любых пользовательских программ, включая даже для тех, которые работают на уровне ядра операционной системы.The software components of most anti-virus programs operate at the same level as the viruses themselves, without priority over them. Therefore, to increase the effectiveness of anti-virus protection, the control equipment should initiate software modules at a level inaccessible to any user programs, including even those that operate at the kernel level of the operating system.

Одно из направлений технической реализации такой идеи основано на контроле соглашений о разделении областей ядра и прикладных программ на несколько непрерывных адресных пространств. В этом случае возникает возможность выполнять аппаратный контроль привязки уровня привилегий выполняемого кода и режимов работы процессора к конкретным областям линейных адресов и, тем самым, выявлять атаки вирусов, направленные на повышение своего уровня привилегий.One of the directions for the technical implementation of such an idea is based on the control of agreements on the division of the core areas and application programs into several continuous address spaces. In this case, it becomes possible to perform hardware control of the binding of the privilege level of the executed code and the operating modes of the processor to specific areas of linear addresses and, thereby, to detect virus attacks aimed at increasing their privilege level.

В предложенной системе процессор 1 через шину 5 загрузки диапазонов адресов размещает в блоке 4 памяти диапазоны контролируемых адресов оперативного запоминающего устройства 3, причем, на каждый диапазон адресов назначаются признаки разрешенных состояний (разрешенных действий):In the proposed system, the processor 1 through the bus 5 load address ranges allocates in the memory block 4 ranges of controlled addresses of random access memory 3, moreover, for each address range are assigned signs of permitted states (permitted actions):

- разрешенный уровень привилегий текущей программы;- the allowed privilege level of the current program;

- тип обращения (чтение/запись);- type of appeal (read / write);

- режим обращения (выборка команд, работа со стеком, системные таблицы, работа с данными и т.п.);- access mode (fetching commands, working with the stack, system tables, working with data, etc.);

- режим работы процессора (реальный режим, защищенный режим, режим системного менеджмента, режим гипервизора и т.п.).- processor operating mode (real mode, protected mode, system management mode, hypervisor mode, etc.).

Когда процессор 1 в процессе выполнения программы осуществляет запрос к оперативной памяти компьютера путем формирования текущего адреса оперативного запоминающего устройства 3, то происходят следующие действия:When the processor 1 in the process of executing the program makes a request to the random access memory of the computer by forming the current address of the random access memory 3, the following actions occur:

- текущий адрес сравнивается со всеми диапазонами контролируемых адресов, занесенных в блок 4 памяти диапазонов адресов;- the current address is compared with all ranges of monitored addresses recorded in block 4 of memory address ranges;

- при попадании текущего адреса в какой-либо из диапазонов контролируемых адресов, занесенных в блок 4 памяти диапазонов адресов, блок 6 сравнения адресов считывает из блока 4 памяти диапазонов адресов разрешенные состояния для этого диапазона адресов;- when the current address falls into any of the ranges of monitored addresses entered in the address range memory unit 4, the address comparison unit 6 reads the allowed states from this address range memory unit 4 for this address range;

- разрешенные состояния для считанного диапазона адресов в блоке 6 сравниваются с текущим состоянием процессора (уровень привилегий, тип обращения, режим обращения, режим работы и т.п.);- the allowed states for the read address range in block 6 are compared with the current state of the processor (privilege level, type of access, access mode, operation mode, etc.);

- если разрешенные состояния соответствуют текущему состоянию процессора, то блок 6 сравнения адресов не инициирует сигнала ошибки и процесс выполнения программы (вычислений) не прерывается;- if the allowed states correspond to the current state of the processor, then the address comparison unit 6 does not initiate an error signal and the program (calculation) execution process is not interrupted;

- если обнаружено несоответствие, то блок 6 сравнения адресов выдает сигнал прерывания работы процессора 1;- if a mismatch is detected, then the address comparison unit 6 gives an interrupt signal to the processor 1;

- этот сигнал останавливает процесс выполнения программы, в которой обнаружено нарушение и, например, запускает программы антивирусной защиты (через систему прерываний);- this signal stops the process of executing a program in which a violation has been detected and, for example, launches anti-virus protection programs (through an interrupt system);

- для исключения возможности модификации вирусом программы антивирусной защиты, она должна находиться на уровне недоступном для нарушения ее работоспособности (режим системного менеджмента, режим гипервизора и т.п.).- to exclude the possibility of virus modification of the anti-virus protection program, it should be at a level inaccessible for disrupting its performance (system management mode, hypervisor mode, etc.).

Система может быть реализована аппаратно в виде специализированного вычислительного устройства, когда блок 6 сравнения адресов и блок 4 памяти диапазонов адресов размещаются в процессоре 1, реализующим соответствующие связи между блоком 6 сравнения адресов, блоком 4 памяти диапазонов адресов, оперативного запоминающего устройства 3 и системной шиной 2 компьютера.The system can be implemented in hardware in the form of a specialized computing device, when the address comparison unit 6 and the address range memory unit 4 are located in the processor 1, which implements the corresponding communications between the address comparison unit 6, the address range memory unit 4, random access memory 3, and system bus 2 a computer.

Таким образом, благодаря усовершенствованию известного устройства, достигается требуемый технический результат, заключающийся в расширении функциональных возможностей, поскольку при сохранении возможности фильтрации вирусов в поступающих данных, в системе дополнительно реализуется технология контроля разрешенных действий и состояний для диапазонов адресов, что позволяет контролировать процесс выполнения программы за счет того, что в блоке 4 памяти диапазонов адресов заносятся и хранятся признаки разрешенных состояний (действий), которые используются для прозрачная фильтрации, которая осуществляется над последовательностью операций обработки данных процессором 1, а не только над поступающими данными.Thus, due to the improvement of the known device, the required technical result is achieved, which consists in expanding the functionality, since while maintaining the ability to filter viruses in the incoming data, the system additionally implements the technology for monitoring allowed actions and states for address ranges, which allows you to control the program execution process for due to the fact that in block 4 of the memory of the address ranges are entered and stored signs of permitted states (actions), which matured transparent used for filtration, which is carried out over a sequence of data processing operations by processor 1, and not only on the incoming data.

Claims (4)

1. Система для контроля хода выполнения программ, содержащая процессор, первый вход-выход которого соединен с входом-выходом системной шины компьютера, и оперативное запоминающее устройство, вход-выход которого соединен со вторым входом-выходом процессора, отличающаяся тем, что введены блок памяти диапазонов адресов, первый вход-выход которого соединен с третьим входом-выходом процессора шиной загрузки диапазонов адресов, и блок сравнения адресов, первый вход-выход которого соединен со вторым входом выходом блока памяти диапазонов адресов шиной чтения диапазонов адресов и уровня привилегий, второй вход-выход соединен четвертым входом-выходом процессора шиной уровня привилегий, третий вход-выход соединен с пятым входом-выходом процессора шиной адресов обращений к оперативному запоминающему устройству, а выход соединен со входом процессора шиной передачи сигнала ошибки доступа.1. A system for monitoring the progress of programs, comprising a processor, the first input-output of which is connected to the input-output of the computer system bus, and a random access memory device, the input-output of which is connected to the second input-output of the processor, characterized in that a memory unit is introduced address ranges, the first input-output of which is connected to the third input-output of the processor by the address range loading bus, and the address comparison unit, the first input-output of which is connected to the second input of the output of the address range memory block with a bus for reading ranges of addresses and privilege level, the second input-output is connected by the fourth input-output of the processor with a privilege level bus, the third input-output is connected with the fifth input-output of the processor by the address bus of accesses to the random access memory, and the output is connected with the input of the processor by the transfer bus access error signal. 2. Система по п.1, отличающаяся тем, что процессором через шину загрузки диапазонов адресов осуществляется размещение в блоке памяти диапазонов адресов контролируемых адресов оперативного запоминающего устройства для текущей программы, причем на каждый диапазон контролируемых адресов оперативного запоминающего устройства для текущей программы назначаются разрешенные состояния в виде разрешенного уровня привилегий текущей программы, типа обращения, режима обращения и режима работы процессора, а в процессе выполнения программы, когда осуществляется запрос к оперативному запоминающему устройству, текущий адрес запроса сравнивается со всеми диапазонами контролируемых адресов оперативного запоминающего устройства, занесенных в блок памяти диапазонов адресов, при попадании текущего адреса запроса в какой-либо из диапазонов контролируемых адресов оперативного запоминающего устройства для текущей программы, блок сравнения адресов считывает из блока памяти диапазонов адресов разрешенные состояния для этого диапазона адресов, которые сравниваются в блоке сравнения адресов с текущими разрешенными состояниями процессора, и если сравниваемые разрешенные состояния совпадают, то блок сравнения адресов не инициирует передачу сигнала ошибки доступа в процессор по шине передачи сигнала ошибки доступа и процесс выполнения программы не прерывается, в противном случае - процесс прерывается.2. The system according to claim 1, characterized in that the processor through the bus load ranges of addresses is placed in the memory block address ranges of the controlled addresses of random access memory for the current program, and for each range of controlled addresses of random access memory for the current program are assigned the allowed state in the form of the allowed privilege level of the current program, such as access, access mode and processor operating mode, and during program execution, when a request is made to the random access memory, the current request address is compared with all ranges of monitored addresses of random access memory stored in the memory block of address ranges, when the current request address is in any of the ranges of controlled addresses of random access memory for the current program, the address comparison unit reads from the memory block of the address ranges the allowed states for this address range, which are compared in the comparison unit addresses with the current allowed states of the processor, and if the compared allowed states are the same, the address comparison unit does not initiate the transmission of the access error signal to the processor via the access error signal transmission bus and the program execution process is not interrupted, otherwise the process is interrupted. 3. Система по п.1, отличающаяся тем, что, система реализована аппаратно в виде специализированного вычислительного устройства в составе блока сравнения адресов и блока памяти диапазонов адресов, которые размещаются в процессоре, реализующем соответствующие связи между блоком сравнения адресов, блоком памяти диапазонов адресов, оперативным запоминающим устройством и системной шиной компьютера.3. The system according to claim 1, characterized in that the system is implemented in hardware in the form of a specialized computing device comprising an address comparison unit and an address range memory unit that are located in a processor that implements appropriate communications between the address comparison unit and the address range memory unit, random access memory and computer system bus. 4. Система по п.1, отличающаяся тем, что она может быть реализована виртуально путем эмуляции процессором.
Figure 00000001
4. The system according to claim 1, characterized in that it can be implemented virtually by emulation by the processor.
Figure 00000001
RU2011113680/08U 2011-04-11 2011-04-11 SYSTEM FOR MONITORING PROGRAM PROGRESS RU107619U1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2011113680/08U RU107619U1 (en) 2011-04-11 2011-04-11 SYSTEM FOR MONITORING PROGRAM PROGRESS

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2011113680/08U RU107619U1 (en) 2011-04-11 2011-04-11 SYSTEM FOR MONITORING PROGRAM PROGRESS

Publications (1)

Publication Number Publication Date
RU107619U1 true RU107619U1 (en) 2011-08-20

Family

ID=44756126

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2011113680/08U RU107619U1 (en) 2011-04-11 2011-04-11 SYSTEM FOR MONITORING PROGRAM PROGRESS

Country Status (1)

Country Link
RU (1) RU107619U1 (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013154459A1 (en) * 2012-04-11 2013-10-17 Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" Method for detecting malware in an operating system kernel
RU2537814C2 (en) * 2013-02-06 2015-01-10 Закрытое акционерное общество "Крафтвэй корпорейшн ПЛС" Method of launching hypervisor in computer system at early computer booting stage
RU2538286C2 (en) * 2013-02-06 2015-01-10 Закрытое акционерное общество "Крафтвэй корпорейшн ПЛС" Method of launching hypervisor in computer system at early computer booting stage
RU2595510C1 (en) * 2015-09-30 2016-08-27 Акционерное общество "Лаборатория Касперского" Method for excluding processes of antivirus scanning on the basis of data on file

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013154459A1 (en) * 2012-04-11 2013-10-17 Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" Method for detecting malware in an operating system kernel
US9177149B2 (en) 2012-04-11 2015-11-03 Joint Stock Company “InfoTeCS” Method of detecting malware in an operating system kernel
RU2537814C2 (en) * 2013-02-06 2015-01-10 Закрытое акционерное общество "Крафтвэй корпорейшн ПЛС" Method of launching hypervisor in computer system at early computer booting stage
RU2538286C2 (en) * 2013-02-06 2015-01-10 Закрытое акционерное общество "Крафтвэй корпорейшн ПЛС" Method of launching hypervisor in computer system at early computer booting stage
RU2538286C9 (en) * 2013-02-06 2018-07-12 Закрытое акционерное общество "Крафтвэй корпорэйшн ПЛС" Method of launching hypervisor in computer system at early computer booting stage
RU2537814C9 (en) * 2013-02-06 2018-07-13 Закрытое акционерное общество "Крафтвэй корпорэйшн ПЛС" Method of launching hypervisor in computer system at early computer booting stage
RU2595510C1 (en) * 2015-09-30 2016-08-27 Акционерное общество "Лаборатория Касперского" Method for excluding processes of antivirus scanning on the basis of data on file

Similar Documents

Publication Publication Date Title
US11861005B2 (en) Systems and methods involving features of hardware virtualization such as separation kernel hypervisors, hypervisors, hypervisor guest context, hypervisor context, rootkit detection/prevention, and/or other features
US10417424B2 (en) Method of remediating operations performed by a program and system thereof
US10242186B2 (en) System and method for detecting malicious code in address space of a process
JP6129897B2 (en) Method and system for realizing identification of header field attribute indicating malware by computer
US10630643B2 (en) Dual memory introspection for securing multiple network endpoints
US9881157B1 (en) Anti-malware systems and methods using hardware-assisted code injection
US8990934B2 (en) Automated protection against computer exploits
US20190005243A1 (en) Segregating executable files exhibiting network activity
US9230107B2 (en) Security devices and methods for detection of malware by detecting data modification
US9009836B1 (en) Security architecture for virtual machines
RU2627107C2 (en) Code execution profiling
Williams et al. Device Driver Safety Through a Reference Validation Mechanism.
EP3039608B1 (en) Hardware and software execution profiling
US20120266243A1 (en) Emulation for malware detection
JP6196356B2 (en) Action capture method and apparatus for virtual system based on container
US9111089B1 (en) Systems and methods for safely executing programs
Prakash et al. Enforcing system-wide control flow integrity for exploit detection and diagnosis
RU107619U1 (en) SYSTEM FOR MONITORING PROGRAM PROGRESS
CN106156621A (en) A kind of method and device detecting virtual machine escape
CN111428240B (en) Method and device for detecting illegal access of memory of software
Stewin Detecting peripheral-based attacks on the host memory
EP2881883A1 (en) System and method for reducing load on an operating system when executing antivirus operations
Hale et al. Guarded Modules: Adaptively Extending the {VMM's} Privilege Into the Guest
EP2720170B1 (en) Automated protection against computer exploits
RU107620U1 (en) SYSTEM FOR MONITORING PROGRAM PROGRESS

Legal Events

Date Code Title Description
MM1K Utility model has become invalid (non-payment of fees)

Effective date: 20130412