RU2014136100A - System and method for eliminating the consequences of infection of virtual machines - Google Patents

System and method for eliminating the consequences of infection of virtual machines Download PDF

Info

Publication number
RU2014136100A
RU2014136100A RU2014136100A RU2014136100A RU2014136100A RU 2014136100 A RU2014136100 A RU 2014136100A RU 2014136100 A RU2014136100 A RU 2014136100A RU 2014136100 A RU2014136100 A RU 2014136100A RU 2014136100 A RU2014136100 A RU 2014136100A
Authority
RU
Russia
Prior art keywords
virtual machine
interest
infection
consequences
signs
Prior art date
Application number
RU2014136100A
Other languages
Russian (ru)
Other versions
RU2583709C2 (en
Inventor
Павел Николаевич Ярыкин
Владислав Валерьевич Мартыненко
Алексей Владимирович Монастырский
Original Assignee
Закрытое акционерное общество "Лаборатория Касперского"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Закрытое акционерное общество "Лаборатория Касперского" filed Critical Закрытое акционерное общество "Лаборатория Касперского"
Priority to RU2014136100/08A priority Critical patent/RU2583709C2/en
Publication of RU2014136100A publication Critical patent/RU2014136100A/en
Application granted granted Critical
Publication of RU2583709C2 publication Critical patent/RU2583709C2/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1479Generic software techniques for error detection or fault masking
    • G06F11/1482Generic software techniques for error detection or fault masking by means of middleware or OS functionality
    • G06F11/1484Generic software techniques for error detection or fault masking by means of middleware or OS functionality involving virtual machines
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/568Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Quality & Reliability (AREA)
  • Storage Device Security (AREA)

Abstract

1. Способ устранения последствий заражения виртуальных машин, в котором:a. при помощи средства защиты виртуальной машины, установленного на первой виртуальной машине, обнаруживают объект интереса в рамках виртуальной машины;b. анализируют при помощи средства обеспечения безопасности, установленного на второй виртуальной машине, обнаруженный на этапе ранее объект интереса с целью выявления признаков вредоносного объекта;c. формируют, при помощи средства обеспечения безопасности, установленного на второй виртуальной машине, набор инструкций для устранения последствий заражения объектом интереса первой виртуальной машины, если на этапе ранее у объекта интереса были выявлены признаки вредоносного объекта;d. анализируют при помощи средства обеспечения безопасности, установленного на второй виртуальной машине, функциональные возможности, которыми обладает средство защиты виртуальной машины, передавшее на анализ объект интереса, с целью определения набора недостающих компонентов, необходимых средству защиты виртуальной машины для выполнения ранее сформированного набора инструкций для устранения последствий заражения объектом интереса первой виртуальной машины;e. обновляют при помощи средства обеспечения безопасности, установленного на второй виртуальной машине, набор компонентов средства защиты виртуальной машины, установленного на первой виртуальной машине, путем передачи средству защиты виртуальной машины набора недостающих компонентов, определенных на этапе ранее;f. выполняют при помощи средства защиты виртуальной машины, установленного на первой виртуальной машине, ранее сформированный набор инстру1. A way to eliminate the effects of infection of virtual machines, in which: a. Using the virtual machine security features installed on the first virtual machine, an object of interest is detected within the virtual machine b. analyze with the help of the security tool installed on the second virtual machine the object of interest detected at the stage earlier in order to detect signs of a malicious object c. form, using the security tool installed on the second virtual machine, a set of instructions for eliminating the consequences of infection by the object of interest of the first virtual machine if, at a stage earlier, the object of interest revealed signs of a malicious object; d. analyze with the help of the security tool installed on the second virtual machine the functional capabilities of the virtual machine security tool that passed the object of interest to the analysis in order to determine the set of missing components necessary for the virtual machine security tool to execute the previously generated set of instructions to eliminate the consequences infection by the object of interest of the first virtual machine e. Update, using the security tool installed on the second virtual machine, the set of components of the virtual machine security tool installed on the first virtual machine by passing the set of missing components identified in the previous step to the virtual machine security tool f. using a virtual machine protection tool installed on the first virtual machine, a previously generated set of tools

Claims (10)

1. Способ устранения последствий заражения виртуальных машин, в котором:1. A way to eliminate the effects of infection of virtual machines, in which: a. при помощи средства защиты виртуальной машины, установленного на первой виртуальной машине, обнаруживают объект интереса в рамках виртуальной машины;a. with the help of the virtual machine protection installed on the first virtual machine, an object of interest is detected within the virtual machine; b. анализируют при помощи средства обеспечения безопасности, установленного на второй виртуальной машине, обнаруженный на этапе ранее объект интереса с целью выявления признаков вредоносного объекта;b. analyze with the help of security tools installed on the second virtual machine the object of interest detected at the stage earlier in order to detect signs of a malicious object; c. формируют, при помощи средства обеспечения безопасности, установленного на второй виртуальной машине, набор инструкций для устранения последствий заражения объектом интереса первой виртуальной машины, если на этапе ранее у объекта интереса были выявлены признаки вредоносного объекта;c. form, with the help of the security tool installed on the second virtual machine, a set of instructions for eliminating the consequences of infection by the object of interest of the first virtual machine, if at the stage earlier the signs of the malicious object revealed signs of a malicious object; d. анализируют при помощи средства обеспечения безопасности, установленного на второй виртуальной машине, функциональные возможности, которыми обладает средство защиты виртуальной машины, передавшее на анализ объект интереса, с целью определения набора недостающих компонентов, необходимых средству защиты виртуальной машины для выполнения ранее сформированного набора инструкций для устранения последствий заражения объектом интереса первой виртуальной машины;d. analyze with the help of the security tool installed on the second virtual machine the functional capabilities of the virtual machine security tool that passed the object of interest to the analysis in order to determine the set of missing components necessary for the virtual machine security tool to execute the previously generated set of instructions to eliminate the consequences infection by the object of interest of the first virtual machine; e. обновляют при помощи средства обеспечения безопасности, установленного на второй виртуальной машине, набор компонентов средства защиты виртуальной машины, установленного на первой виртуальной машине, путем передачи средству защиты виртуальной машины набора недостающих компонентов, определенных на этапе ранее;e. updating with the security tool installed on the second virtual machine, the set of components of the virtual machine security tool installed on the first virtual machine by transmitting to the virtual machine security tool a set of missing components identified in a step earlier; f. выполняют при помощи средства защиты виртуальной машины, установленного на первой виртуальной машине, ранее сформированный набор инструкций для устранения последствий заражения объектом интереса первой виртуальной машины.f. using the means of protection of the virtual machine installed on the first virtual machine, a previously generated set of instructions for eliminating the effects of infection by the object of interest of the first virtual machine is performed. 2. Способ по п. 1, в котором объектом интереса является файл, процесс, область оперативной памяти или событие, возникающее в операционной системе.2. The method according to p. 1, in which the object of interest is a file, process, area of RAM or an event that occurs in the operating system. 3. Способ по п. 2, в котором событием, возникающим в операционной системе, считается, по меньшей мере, операция обращения к энергозависимой и энергонезависимой памяти, загрузка данных из сети, возникновение исключительной ситуации.3. The method according to claim 2, in which the event that occurs in the operating system is considered to be at least the operation of accessing volatile and non-volatile memory, downloading data from the network, and the occurrence of an exceptional situation. 4. Способ по п. 1, в котором анализ с целью выявления признаков вредоносного объекта производится на основании сигнатурного анализа, эвристического анализа или сравнения контрольной суммы объекта интереса или его части с информацией из базы данных, содержащей данные о соответствии контрольных сумм признакам вредоносных объектов.4. The method according to claim 1, in which the analysis in order to detect signs of a malicious object is performed based on signature analysis, heuristic analysis or comparison of the checksum of the object of interest or its part with information from a database containing data on the correspondence of checksums to the signs of malicious objects. 5. Способ по п. 1, в котором для формирования набора инструкций для устранения последствий заражения объектом интереса первой виртуальной машины используется информация из базы данных, содержащей данные о соответствии признаков вредоносных объектов действиям, которые необходимо выполнить, чтобы устранить последствия упомянутого заражения.5. The method according to claim 1, in which to generate a set of instructions for eliminating the consequences of infection by the object of interest of the first virtual machine, information is used from a database containing data on the correspondence of signs of malicious objects to the actions that must be performed to eliminate the consequences of the said infection. 6. Система устранения последствий заражения виртуальных машин, которая содержит:6. System for eliminating the consequences of infection of virtual machines, which contains: a. средство защиты виртуальной машины, установленное на первой виртуальной машине, связанное со средством обеспечения безопасности и предназначенное для обнаружения объекта интереса в рамках первой виртуальной машины, а также для выполнения набора инструкций для устранения последствий заражения объектом интереса первой виртуальной машины;a. virtual machine protector installed on the first virtual machine associated with the security tool and designed to detect the object of interest within the first virtual machine, as well as to execute a set of instructions to eliminate the consequences of infection of the object of interest of the first virtual machine; b. средство обеспечения безопасности, установленное на второй виртуальной машине и предназначенное для анализа объекта интереса с целью выявления признаков вредоносного объекта, формирования набора инструкций для устранения последствий заражения объектом интереса первой виртуальной машины, если при анализе упомянутого объекта были выявлены признаки вредоносного объекта, анализа функциональных возможностей средства защиты виртуальной машины, установленного на первой виртуальной машине, с целью определения набора недостающих компонентов, необходимых упомянутому средству защиты виртуальной машины для выполнения ранее сформированного набора инструкций для устранения последствий заражения объектом интереса первой виртуальной машины, а также обновления набора компонентов средства защиты виртуальной машины, установленного на первой виртуальной машине, путем передачи упомянутому средству защиты виртуальной машины набора ранее определенных недостающих компонентов.b. security tool installed on the second virtual machine and designed to analyze the object of interest in order to identify signs of a malicious object, to form a set of instructions for eliminating the consequences of infection of the object of interest in the first virtual machine, if the analysis of the said object revealed signs of a malicious object, analysis of the functionality of the tool protect a virtual machine installed on the first virtual machine to determine the set of missing components nth necessary for said virtual machine protection means for executing a previously generated set of instructions for eliminating the consequences of infection by the object of interest of the first virtual machine, as well as updating the set of components of virtual machine protection tools installed on the first virtual machine by transferring the set of previously defined missing components. 7. Система по п. 6, в которой объектом интереса является файл, процесс, область оперативной памяти или событие, возникающее в операционной системе.7. The system according to claim 6, in which the object of interest is a file, process, area of RAM or an event that occurs in the operating system. 8. Система по п. 7, в которой событием, возникающим в операционной системе, считается, по меньшей мере, операция обращения к энергозависимой и энергонезависимой памяти, загрузка данных из сети, возникновение исключительной ситуации.8. The system according to claim 7, in which the event that occurs in the operating system is considered to be at least the operation of accessing volatile and non-volatile memory, downloading data from the network, and the occurrence of an exceptional situation. 9. Система по п. 6, в которой анализ с целью выявления признаков вредоносного объекта производится на основании сигнатурного анализа, эвристического анализа или сравнения контрольной суммы объекта интереса или его части с информацией из базы данных, содержащей данные о соответствии контрольных сумм признакам вредоносных объектов.9. The system according to claim 6, in which the analysis with the aim of detecting signs of a malicious object is performed based on signature analysis, heuristic analysis, or comparing the checksum of the object of interest or part thereof with information from a database containing data on the correspondence of checksums to the signs of malicious objects. 10. Система по п. 6, в которой для формирования набора инструкций для устранения последствий заражения объектом интереса виртуальной машины используется информация из базы данных, содержащей данные о соответствии признаков вредоносных объектов действиям, которые необходимо выполнить, чтобы устранить последствия упомянутого заражения. 10. The system according to claim 6, in which to generate a set of instructions for eliminating the consequences of infection by an object of interest in a virtual machine, information is used from a database containing data on the correspondence of signs of malicious objects to the actions that must be performed to eliminate the consequences of the said infection.
RU2014136100/08A 2014-09-05 2014-09-05 System and method for elimination of consequences of infection of virtual machines RU2583709C2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2014136100/08A RU2583709C2 (en) 2014-09-05 2014-09-05 System and method for elimination of consequences of infection of virtual machines

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2014136100/08A RU2583709C2 (en) 2014-09-05 2014-09-05 System and method for elimination of consequences of infection of virtual machines

Publications (2)

Publication Number Publication Date
RU2014136100A true RU2014136100A (en) 2016-04-10
RU2583709C2 RU2583709C2 (en) 2016-05-10

Family

ID=55647413

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2014136100/08A RU2583709C2 (en) 2014-09-05 2014-09-05 System and method for elimination of consequences of infection of virtual machines

Country Status (1)

Country Link
RU (1) RU2583709C2 (en)

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8479276B1 (en) * 2010-12-29 2013-07-02 Emc Corporation Malware detection using risk analysis based on file system and network activity
RU2453917C1 (en) * 2010-12-30 2012-06-20 Закрытое акционерное общество "Лаборатория Касперского" System and method for optimising execution of antivirus tasks in local area network
RU2477520C1 (en) * 2012-03-14 2013-03-10 Закрытое акционерное общество "Лаборатория Касперского" System and method for device configuration-based dynamic adaptation of antivirus application functional

Also Published As

Publication number Publication date
RU2583709C2 (en) 2016-05-10

Similar Documents

Publication Publication Date Title
Rathnayaka et al. An efficient approach for advanced malware analysis using memory forensic technique
US10055585B2 (en) Hardware and software execution profiling
MX2019006678A (en) System and methods for detection of cryptoware.
RU2013136976A (en) SYSTEM AND METHOD FOR TEMPORARY PROTECTION OF OPERATING SYSTEM OF SOFTWARE AND HARDWARE DEVICES FROM APPLICATIONS CONTAINING VULNERABILITY
US20160359875A1 (en) Apparatus, system and method for detecting and preventing malicious scripts using code pattern-based static analysis and api flow-based dynamic analysis
BR112017026437A2 (en) agricultural data analysis.
RU2015134147A (en) PROFILING CODE EXECUTION
RU2014148962A (en) System and method for restricting the operation of trusted applications in the presence of suspicious applications
KR20120105759A (en) Malicious code visualization apparatus, apparatus and method for detecting malicious code
RU2017101889A (en) SYSTEM AND METHOD FOR DETECTING MALICIOUS APPLICATIONS WITH THE ALGORITHM FOR GENERATING DOMAIN NAMES AND SYSTEMS INFECTED WITH SUCH MALIGNANT PROGRAMS
RU2012156443A (en) SYSTEM AND METHOD FOR DETECTING THREATS IN THE CODE USED BY THE VIRTUAL MACHINE
BR112017005234A2 (en) system for calculating aircraft performance and method for performing the same
JP2015508549A5 (en) Computer-implemented method, non-temporary computer-readable medium and computer system for identifying Trojanized applications (apps) for mobile environments
JP2019502197A5 (en)
EA201490684A3 (en) METHOD FOR DECORATING MALWARE PROGRAMS BLOCKING PC WORK WITH THE USE OF A SEPARATE DEVICE TO ACTIVATE THE USER TO PROTECT THE HARMFUL SOFTWARE PROTECTION
MY191557A (en) Management server and management method employing same
RU2018118828A (en) SYSTEMS AND METHODS FOR DETECTING MALICIOUS APPLICATIONS WITH DOMAIN GENERATION ALGORITHM (DGA)
JP2018523220A5 (en)
RU2016147356A (en) CANCELED PROTECTION OF POSSIBLE CONFIDENTIAL DATA ELEMENTS
US10409572B2 (en) Compiled file normalization
IN2013CH01239A (en)
CN105791250B (en) Application program detection method and device
JP2018508883A (en) Mechanisms for tracking contaminated data
EA202190489A1 (en) METHOD FOR GRANTING RIGHTS TO AUTHORIZING OPERATORS IN THE SYSTEM
US20060167948A1 (en) Detection of computer system malware

Legal Events

Date Code Title Description
MM4A The patent is invalid due to non-payment of fees

Effective date: 20200906

NF4A Reinstatement of patent

Effective date: 20210803