RU2017104135A - Система и способ анализа файла на вредоносность в виртуальной машине - Google Patents

Система и способ анализа файла на вредоносность в виртуальной машине Download PDF

Info

Publication number
RU2017104135A
RU2017104135A RU2017104135A RU2017104135A RU2017104135A RU 2017104135 A RU2017104135 A RU 2017104135A RU 2017104135 A RU2017104135 A RU 2017104135A RU 2017104135 A RU2017104135 A RU 2017104135A RU 2017104135 A RU2017104135 A RU 2017104135A
Authority
RU
Russia
Prior art keywords
file
event
context
processor
decision
Prior art date
Application number
RU2017104135A
Other languages
English (en)
Other versions
RU2017104135A3 (ru
RU2665911C2 (ru
Inventor
Владислав Валерьевич Пинтийский
Денис Вячеславович Аникин
Денис Юрьевич Кобычев
Максим Юрьевич Головкин
Виталий Владимирович Бутузов
Дмитрий Валериевич Карасовский
Дмитрий Александрович Кирсанов
Original Assignee
Акционерное общество "Лаборатория Касперского"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Акционерное общество "Лаборатория Касперского" filed Critical Акционерное общество "Лаборатория Касперского"
Priority to RU2017104135A priority Critical patent/RU2665911C2/ru
Priority to US15/451,850 priority patent/US10339301B2/en
Priority to EP17176076.2A priority patent/EP3361406A1/en
Priority to CN201710451089.7A priority patent/CN108399332B/zh
Priority to JP2017126206A priority patent/JP6588945B2/ja
Publication of RU2017104135A3 publication Critical patent/RU2017104135A3/ru
Publication of RU2017104135A publication Critical patent/RU2017104135A/ru
Application granted granted Critical
Publication of RU2665911C2 publication Critical patent/RU2665911C2/ru
Priority to US16/415,328 priority patent/US10642973B2/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Debugging And Monitoring (AREA)
  • Storage Device Security (AREA)

Claims (44)

1. Система анализа на вредоносность файла, открываемого в виртуальной машине в виде среды для безопасного исполнения файлов, которая содержит:
- средство перехвата, предназначенное для:
перехвата событий, которые возникают в процессе исполнения потока процесса, созданного при открытии упомянутого файла в виртуальной машине в виде среды для безопасного исполнения;
приостановки исполнения упомянутого потока;
считывания контекста процессора, на котором исполняется упомянутый поток, при возникновении каждого события;
сохранения каждого перехваченного события и контекста, считанного при возникновении указанного события, в журнал;
передачи журнала средству анализа;
изменения контекста процессора, на котором исполняется упомянутый поток, на основании полученного решения от средства анализа;
остановки процесса, созданного при открытии упомянутого файла, на основании полученного решения от средства анализа;
- средство анализа, предназначенное для:
сравнения сохраненных в журнале событий и контекста процессора с по меньшей мере одним шаблоном, причем на основании сравнения принимает по меньшей мере одно из решений: решение о признании файла вредоносным, решение об остановке исполнения файла, решение об изменении контекста процессора, решение об ожидании следующего события;
передачи решения средству перехвата.
2. Система по п. 1, в которой открытием файла является исполнение файла, если файл исполняемый.
3. Система по п. 1, в которой открытием файла является открытие файла приложением, если файл не исполняемый.
4. Система по п. 1, в которой событие представляет собой по меньшей мере одно из:
- вызов API-функции потоком;
- возврат из API-функции;
- системный вызов;
- возврат из системного вызова;
- оповещение от операционной системы.
5. Система по п. 1, в которой передача журнала производится каждый раз, когда произведено упомянутое сохранение перехваченного события и контекста процессора.
6. Система по п. 1, в которой контекст процессора содержит по меньшей мере значения регистров процессора.
7. Система по п. 1, в которой шаблон содержит по меньшей мере одно правило.
8. Система по п. 7, в которой правило содержит по меньшей мере одно событие.
9. Система по п. 7, в которой правило содержит по меньшей мере один контекст процессора.
10. Способ анализа на вредоносность файла, открываемого в виртуальной машине в виде среды для безопасного исполнения файлов, реализуемый с помощью средств перехвата и анализа по п. 1 формулы и содержащий этапы, на которых:
а) перехватывают событие, которое возникает в процессе исполнения потока процесса, созданного при открытии упомянутого файла в виртуальной машине в виде среды для безопасного исполнения, и приостанавливают исполнение упомянутого потока;
б) считывают контекст процессора, на котором исполняется упомянутый поток;
в) сохраняют перехваченное событие и упомянутый контекст в журнал;
г) сравнивают данные, сохраненные в журнале, с по меньшей мере одним шаблоном, при этом на основании сравнения принимают по меньшей мере одно из решений: решение о признании файла вредоносным, решение об остановке исполнения файла, решение об изменении контекста процессора, решение об ожидании следующего события;
д) исполняют действия, соответствующие принятым на шаге г) решениям.
11. Способ по п. 10, в котором открытием файла является исполнение файла, если файл исполняемый.
12. Способ по п. 10, в котором открытием файла является открытие файла приложением, если файл не исполняемый.
13. Способ по п. 10, в котором событие представляет собой по меньшей мере одно из:
- вызов API-функции потоком;
- возврат из API-функции;
- системный вызов;
- возврат из системного вызова;
- оповещение от операционной системы.
14. Способ по п. 10, в котором передача журнала производится каждый раз, когда произведено упомянутое сохранение перехваченного события и контекста процессора.
15. Способ по п. 10, в котором контекст процессора содержит по меньшей мере значения регистров процессора.
16. Способ по п. 10, в котором шаблон содержит по меньшей мере одно правило.
17. Способ по п. 16, в котором правило содержит по меньшей мере одно событие.
18. Способ по п. 16, в котором правило содержит по меньшей мере один контекст процессора.
RU2017104135A 2017-02-08 2017-02-08 Система и способ анализа файла на вредоносность в виртуальной машине RU2665911C2 (ru)

Priority Applications (6)

Application Number Priority Date Filing Date Title
RU2017104135A RU2665911C2 (ru) 2017-02-08 2017-02-08 Система и способ анализа файла на вредоносность в виртуальной машине
US15/451,850 US10339301B2 (en) 2017-02-08 2017-03-07 System and method of analysis of files for maliciousness in a virtual machine
EP17176076.2A EP3361406A1 (en) 2017-02-08 2017-06-14 System and method of analysis of files for maliciousness in a virtual machine
CN201710451089.7A CN108399332B (zh) 2017-02-08 2017-06-15 在虚拟机中针对恶意性对文件进行分析的系统和方法
JP2017126206A JP6588945B2 (ja) 2017-02-08 2017-06-28 仮想マシンにおける悪意のあるファイルを分析するシステム及び方法
US16/415,328 US10642973B2 (en) 2017-02-08 2019-05-17 System and method of analysis of files for maliciousness and determining an action

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2017104135A RU2665911C2 (ru) 2017-02-08 2017-02-08 Система и способ анализа файла на вредоносность в виртуальной машине

Publications (3)

Publication Number Publication Date
RU2017104135A3 RU2017104135A3 (ru) 2018-08-08
RU2017104135A true RU2017104135A (ru) 2018-08-08
RU2665911C2 RU2665911C2 (ru) 2018-09-04

Family

ID=63037270

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2017104135A RU2665911C2 (ru) 2017-02-08 2017-02-08 Система и способ анализа файла на вредоносность в виртуальной машине

Country Status (4)

Country Link
US (2) US10339301B2 (ru)
JP (1) JP6588945B2 (ru)
CN (1) CN108399332B (ru)
RU (1) RU2665911C2 (ru)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2816551C1 (ru) * 2023-07-27 2024-04-01 Общество с ограниченной ответственностью "СЕРЧИНФОРМ" Система и способ перехвата файловых потоков

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB201708340D0 (en) * 2017-05-24 2017-07-05 Petagene Ltd Data processing system and method
US10382468B2 (en) * 2017-07-03 2019-08-13 Juniper Networks, Inc. Malware identification via secondary file analysis
RU2708355C1 (ru) * 2018-06-29 2019-12-05 Акционерное общество "Лаборатория Касперского" Способ обнаружения вредоносных файлов, противодействующих анализу в изолированной среде
US11070632B2 (en) * 2018-10-17 2021-07-20 Servicenow, Inc. Identifying computing devices in a managed network that are involved in blockchain-based mining
RU2724790C1 (ru) 2018-12-28 2020-06-25 Акционерное общество "Лаборатория Касперского" Система и способ формирования журнала при исполнении файла с уязвимостями в виртуальной машине
CN111723361A (zh) * 2019-03-21 2020-09-29 北京京东尚科信息技术有限公司 一种恶意用户拦截方法和系统
US11080394B2 (en) * 2019-03-27 2021-08-03 Webroot Inc. Behavioral threat detection virtual machine
CN112395593B (zh) * 2019-08-15 2024-03-29 奇安信安全技术(珠海)有限公司 指令执行序列的监测方法及装置、存储介质、计算机设备
CN112579249A (zh) * 2019-09-30 2021-03-30 奇安信安全技术(珠海)有限公司 多cpu虚拟机的运行方法及装置、存储介质、计算机设备
US11531755B2 (en) * 2020-11-25 2022-12-20 Microsoft Technology Licensing, Llc Detecting ransomware among files using information that is not included in content of the files

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3085899B2 (ja) * 1995-06-19 2000-09-11 株式会社東芝 マルチプロセッサシステム
JP3688773B2 (ja) * 1995-10-31 2005-08-31 株式会社東芝 Mri装置
US7908653B2 (en) * 2004-06-29 2011-03-15 Intel Corporation Method of improving computer security through sandboxing
US7779472B1 (en) 2005-10-11 2010-08-17 Trend Micro, Inc. Application behavior based malware detection
US8290763B1 (en) * 2008-09-04 2012-10-16 Mcafee, Inc. Emulation system, method, and computer program product for passing system calls to an operating system for direct execution
US9594656B2 (en) * 2009-10-26 2017-03-14 Microsoft Technology Licensing, Llc Analysis and visualization of application concurrency and processor resource utilization
US8479286B2 (en) 2009-12-15 2013-07-02 Mcafee, Inc. Systems and methods for behavioral sandboxing
US9501644B2 (en) 2010-03-15 2016-11-22 F-Secure Oyj Malware protection
US20120144489A1 (en) 2010-12-07 2012-06-07 Microsoft Corporation Antimalware Protection of Virtual Machines
US8479276B1 (en) * 2010-12-29 2013-07-02 Emc Corporation Malware detection using risk analysis based on file system and network activity
US8555385B1 (en) * 2011-03-14 2013-10-08 Symantec Corporation Techniques for behavior based malware analysis
US9298910B2 (en) * 2011-06-08 2016-03-29 Mcafee, Inc. System and method for virtual partition monitoring
US9177146B1 (en) 2011-10-11 2015-11-03 Trend Micro, Inc. Layout scanner for application classification
CN102750475B (zh) * 2012-06-07 2017-08-15 中国电子科技集团公司第三十研究所 基于虚拟机内外视图交叉比对恶意代码行为检测方法及系统
US9619346B2 (en) 2013-10-31 2017-04-11 Assured Information Security, Inc. Virtual machine introspection facilities
US9262635B2 (en) * 2014-02-05 2016-02-16 Fireeye, Inc. Detection efficacy of virtual machine-based analysis with application specific events
JP2015166952A (ja) 2014-03-04 2015-09-24 順子 杉中 情報処理装置、情報処理監視方法、プログラム、及び記録媒体
RU2580030C2 (ru) 2014-04-18 2016-04-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ распределения задач антивирусной проверки между виртуальными машинами в виртуальной сети
US20150379268A1 (en) * 2014-06-27 2015-12-31 Prabhat Singh System and method for the tracing and detection of malware
US9984230B2 (en) * 2015-06-26 2018-05-29 Mcafee, Llc Profiling event based exploit detection
CN106682513A (zh) * 2016-11-28 2017-05-17 北京奇虎科技有限公司 一种目标样本文件的检测方法和装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2816551C1 (ru) * 2023-07-27 2024-04-01 Общество с ограниченной ответственностью "СЕРЧИНФОРМ" Система и способ перехвата файловых потоков

Also Published As

Publication number Publication date
US20180225447A1 (en) 2018-08-09
CN108399332B (zh) 2022-03-08
RU2017104135A3 (ru) 2018-08-08
US10339301B2 (en) 2019-07-02
CN108399332A (zh) 2018-08-14
JP6588945B2 (ja) 2019-10-09
RU2665911C2 (ru) 2018-09-04
US10642973B2 (en) 2020-05-05
JP2018129019A (ja) 2018-08-16
US20190272371A1 (en) 2019-09-05

Similar Documents

Publication Publication Date Title
RU2017104135A (ru) Система и способ анализа файла на вредоносность в виртуальной машине
US10055585B2 (en) Hardware and software execution profiling
JP5908132B2 (ja) プログラムの脆弱点を用いた攻撃の探知装置および方法
Galal et al. Behavior-based features model for malware detection
US20180300484A1 (en) Detection of anomalous program execution using hardware-based micro architectural data
RU2531861C1 (ru) Система и способ оценки вредоносности кода, исполняемого в адресном пространстве доверенного процесса
JP6388485B2 (ja) マルウェア発見方法及びシステム
US10382468B2 (en) Malware identification via secondary file analysis
US10102373B2 (en) Method and apparatus for capturing operation in a container-based virtualization system
US11363058B2 (en) Detecting execution of modified executable code
RU2015141551A (ru) Способ обнаружения работы вредоносной программы, запущенной с клиента, на сервере
RU2510075C2 (ru) Способ обнаружения вредоносного программного обеспечения в ядре операционной системы
RU2724790C1 (ru) Система и способ формирования журнала при исполнении файла с уязвимостями в виртуальной машине
US10860716B2 (en) Detecting malware concealed by delay loops of software programs
Jiang et al. Android malware family classification based on sensitive opcode sequence
US10204223B2 (en) System and method to mitigate malicious calls
Ali et al. Agent-based vs agent-less sandbox for dynamic behavioral analysis
KR20110057297A (ko) 악성 봇 동적 분석 시스템 및 방법
KR101262228B1 (ko) 문서기반 악성코드 탐지 장치 및 방법
JPWO2019049478A1 (ja) コールスタック取得装置、コールスタック取得方法およびコールスタック取得プログラム
EP3674940B1 (en) System and method of forming a log when executing a file with vulnerabilities in a virtual machine
Karpin et al. CRYPTON–EXPOSING MALWARE’S DEEPEST SECRETS
Xiong et al. DynamoRIO-Based Malware Detection System under 10G Network Environment
Lösche et al. Platform Independent Malware Analysis Framework