Claims (10)
1. Способ устранения последствий заражения виртуальных машин, в котором:1. A way to eliminate the effects of infection of virtual machines, in which:
a. при помощи средства защиты виртуальной машины, установленного на первой виртуальной машине, обнаруживают объект интереса в рамках виртуальной машины;a. with the help of the virtual machine protection installed on the first virtual machine, an object of interest is detected within the virtual machine;
b. анализируют при помощи средства обеспечения безопасности, установленного на второй виртуальной машине, обнаруженный на этапе ранее объект интереса с целью выявления признаков вредоносного объекта;b. analyze with the help of security tools installed on the second virtual machine the object of interest detected at the stage earlier in order to detect signs of a malicious object;
c. формируют, при помощи средства обеспечения безопасности, установленного на второй виртуальной машине, набор инструкций для устранения последствий заражения объектом интереса первой виртуальной машины, если на этапе ранее у объекта интереса были выявлены признаки вредоносного объекта;c. form, with the help of the security tool installed on the second virtual machine, a set of instructions for eliminating the consequences of infection by the object of interest of the first virtual machine, if at the stage earlier the signs of the malicious object revealed signs of a malicious object;
d. анализируют при помощи средства обеспечения безопасности, установленного на второй виртуальной машине, функциональные возможности, которыми обладает средство защиты виртуальной машины, передавшее на анализ объект интереса, с целью определения набора недостающих компонентов, необходимых средству защиты виртуальной машины для выполнения ранее сформированного набора инструкций для устранения последствий заражения объектом интереса первой виртуальной машины;d. analyze with the help of the security tool installed on the second virtual machine the functional capabilities of the virtual machine security tool that passed the object of interest to the analysis in order to determine the set of missing components necessary for the virtual machine security tool to execute the previously generated set of instructions to eliminate the consequences infection by the object of interest of the first virtual machine;
e. обновляют при помощи средства обеспечения безопасности, установленного на второй виртуальной машине, набор компонентов средства защиты виртуальной машины, установленного на первой виртуальной машине, путем передачи средству защиты виртуальной машины набора недостающих компонентов, определенных на этапе ранее;e. updating with the security tool installed on the second virtual machine, the set of components of the virtual machine security tool installed on the first virtual machine by transmitting to the virtual machine security tool a set of missing components identified in a step earlier;
f. выполняют при помощи средства защиты виртуальной машины, установленного на первой виртуальной машине, ранее сформированный набор инструкций для устранения последствий заражения объектом интереса первой виртуальной машины.f. using the means of protection of the virtual machine installed on the first virtual machine, a previously generated set of instructions for eliminating the effects of infection by the object of interest of the first virtual machine is performed.
2. Способ по п. 1, в котором объектом интереса является файл, процесс, область оперативной памяти или событие, возникающее в операционной системе.2. The method according to p. 1, in which the object of interest is a file, process, area of RAM or an event that occurs in the operating system.
3. Способ по п. 2, в котором событием, возникающим в операционной системе, считается, по меньшей мере, операция обращения к энергозависимой и энергонезависимой памяти, загрузка данных из сети, возникновение исключительной ситуации.3. The method according to claim 2, in which the event that occurs in the operating system is considered to be at least the operation of accessing volatile and non-volatile memory, downloading data from the network, and the occurrence of an exceptional situation.
4. Способ по п. 1, в котором анализ с целью выявления признаков вредоносного объекта производится на основании сигнатурного анализа, эвристического анализа или сравнения контрольной суммы объекта интереса или его части с информацией из базы данных, содержащей данные о соответствии контрольных сумм признакам вредоносных объектов.4. The method according to claim 1, in which the analysis in order to detect signs of a malicious object is performed based on signature analysis, heuristic analysis or comparison of the checksum of the object of interest or its part with information from a database containing data on the correspondence of checksums to the signs of malicious objects.
5. Способ по п. 1, в котором для формирования набора инструкций для устранения последствий заражения объектом интереса первой виртуальной машины используется информация из базы данных, содержащей данные о соответствии признаков вредоносных объектов действиям, которые необходимо выполнить, чтобы устранить последствия упомянутого заражения.5. The method according to claim 1, in which to generate a set of instructions for eliminating the consequences of infection by the object of interest of the first virtual machine, information is used from a database containing data on the correspondence of signs of malicious objects to the actions that must be performed to eliminate the consequences of the said infection.
6. Система устранения последствий заражения виртуальных машин, которая содержит:6. System for eliminating the consequences of infection of virtual machines, which contains:
a. средство защиты виртуальной машины, установленное на первой виртуальной машине, связанное со средством обеспечения безопасности и предназначенное для обнаружения объекта интереса в рамках первой виртуальной машины, а также для выполнения набора инструкций для устранения последствий заражения объектом интереса первой виртуальной машины;a. virtual machine protector installed on the first virtual machine associated with the security tool and designed to detect the object of interest within the first virtual machine, as well as to execute a set of instructions to eliminate the consequences of infection of the object of interest of the first virtual machine;
b. средство обеспечения безопасности, установленное на второй виртуальной машине и предназначенное для анализа объекта интереса с целью выявления признаков вредоносного объекта, формирования набора инструкций для устранения последствий заражения объектом интереса первой виртуальной машины, если при анализе упомянутого объекта были выявлены признаки вредоносного объекта, анализа функциональных возможностей средства защиты виртуальной машины, установленного на первой виртуальной машине, с целью определения набора недостающих компонентов, необходимых упомянутому средству защиты виртуальной машины для выполнения ранее сформированного набора инструкций для устранения последствий заражения объектом интереса первой виртуальной машины, а также обновления набора компонентов средства защиты виртуальной машины, установленного на первой виртуальной машине, путем передачи упомянутому средству защиты виртуальной машины набора ранее определенных недостающих компонентов.b. security tool installed on the second virtual machine and designed to analyze the object of interest in order to identify signs of a malicious object, to form a set of instructions for eliminating the consequences of infection of the object of interest in the first virtual machine, if the analysis of the said object revealed signs of a malicious object, analysis of the functionality of the tool protect a virtual machine installed on the first virtual machine to determine the set of missing components nth necessary for said virtual machine protection means for executing a previously generated set of instructions for eliminating the consequences of infection by the object of interest of the first virtual machine, as well as updating the set of components of virtual machine protection tools installed on the first virtual machine by transferring the set of previously defined missing components.
7. Система по п. 6, в которой объектом интереса является файл, процесс, область оперативной памяти или событие, возникающее в операционной системе.7. The system according to claim 6, in which the object of interest is a file, process, area of RAM or an event that occurs in the operating system.
8. Система по п. 7, в которой событием, возникающим в операционной системе, считается, по меньшей мере, операция обращения к энергозависимой и энергонезависимой памяти, загрузка данных из сети, возникновение исключительной ситуации.8. The system according to claim 7, in which the event that occurs in the operating system is considered to be at least the operation of accessing volatile and non-volatile memory, downloading data from the network, and the occurrence of an exceptional situation.
9. Система по п. 6, в которой анализ с целью выявления признаков вредоносного объекта производится на основании сигнатурного анализа, эвристического анализа или сравнения контрольной суммы объекта интереса или его части с информацией из базы данных, содержащей данные о соответствии контрольных сумм признакам вредоносных объектов.9. The system according to claim 6, in which the analysis with the aim of detecting signs of a malicious object is performed based on signature analysis, heuristic analysis, or comparing the checksum of the object of interest or part thereof with information from a database containing data on the correspondence of checksums to the signs of malicious objects.
10. Система по п. 6, в которой для формирования набора инструкций для устранения последствий заражения объектом интереса виртуальной машины используется информация из базы данных, содержащей данные о соответствии признаков вредоносных объектов действиям, которые необходимо выполнить, чтобы устранить последствия упомянутого заражения.
10. The system according to claim 6, in which to generate a set of instructions for eliminating the consequences of infection by an object of interest in a virtual machine, information is used from a database containing data on the correspondence of signs of malicious objects to the actions that must be performed to eliminate the consequences of the said infection.