RU2618947C2 - Способ предотвращения работы программ, содержащих нежелательный для пользователя функционал - Google Patents

Способ предотвращения работы программ, содержащих нежелательный для пользователя функционал Download PDF

Info

Publication number
RU2618947C2
RU2618947C2 RU2015125976A RU2015125976A RU2618947C2 RU 2618947 C2 RU2618947 C2 RU 2618947C2 RU 2015125976 A RU2015125976 A RU 2015125976A RU 2015125976 A RU2015125976 A RU 2015125976A RU 2618947 C2 RU2618947 C2 RU 2618947C2
Authority
RU
Russia
Prior art keywords
application
user
installation
unwanted
actions
Prior art date
Application number
RU2015125976A
Other languages
English (en)
Other versions
RU2015125976A (ru
Inventor
Вячеслав Владимирович Закоржевский
Александр Александрович Романенко
Сергей Васильевич Добровольский
Юрий Геннадьевич Слободянюк
Олег Александрович Юрзин
Михаил Александрович Павлющик
Александр Александрович Стройков
Александр Валентинович Амриллоев
Original Assignee
Закрытое акционерное общество "Лаборатория Касперского"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Закрытое акционерное общество "Лаборатория Касперского" filed Critical Закрытое акционерное общество "Лаборатория Касперского"
Priority to RU2015125976A priority Critical patent/RU2618947C2/ru
Priority to US14/944,821 priority patent/US9390266B1/en
Priority to EP15197087.8A priority patent/EP3113059B1/en
Priority to JP2016064920A priority patent/JP6577399B2/ja
Priority to CN201610248222.4A priority patent/CN106326731B/zh
Priority to US15/180,717 priority patent/US9659172B2/en
Publication of RU2015125976A publication Critical patent/RU2015125976A/ru
Application granted granted Critical
Publication of RU2618947C2 publication Critical patent/RU2618947C2/ru

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/561Virus type analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/567Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/01Input arrangements or combined input and output arrangements for interaction between user and computer
    • G06F3/048Interaction techniques based on graphical user interfaces [GUI]
    • G06F3/0481Interaction techniques based on graphical user interfaces [GUI] based on specific properties of the displayed interaction object or a metaphor-based environment, e.g. interaction with desktop elements like windows or icons, or assisted by a cursor's changing behaviour or appearance
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/01Input arrangements or combined input and output arrangements for interaction between user and computer
    • G06F3/048Interaction techniques based on graphical user interfaces [GUI]
    • G06F3/0484Interaction techniques based on graphical user interfaces [GUI] for the control of specific functions or operations, e.g. selecting or manipulating an object, an image or a displayed text element, setting a parameter value or selecting a range
    • G06F3/04842Selection of displayed objects or displayed text elements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Abstract

Изобретение относится к области предотвращения работы программ, которые содержат нежелательный для пользователей функционал. Техническим результатом является обеспечение отмены установки приложений, которые выполняют нежелательные действия приложения. Способ отмены установки приложений, которые выполняют нежелательные действия, заключается в следующем: а) обнаруживают попытку установки приложения; б) запускают установку обнаруженного приложения в защищенной среде, где защищенная среда включает эмулятор; в) определяют окна программы установки приложения и связанные с этими окнами элементы графического интерфейса; г) определяют нежелательные действия во время установки приложения в защищенной среде, при этом нежелательные действия приложения совершаются без ведома пользователя, перед выполнением нежелательного действия не происходит отображения каких-либо элементов графического интерфейса приложения, связанных с определенными на этапе ранее окнами программы установки приложения, и нежелательные действия включают по меньшей мере одно из: изменение стартовой страницы браузера; изменение браузера по умолчанию; изменение параметров прокси-сервера; добавление новой панели инструментов в браузере; создание ключа автозапуска в реестре; добавление иконок на рабочий стол; попытка доступа к файлам из личных папок пользователя; наличие в коде приложения ссылок на недоверенные сайты, где от пользователя требуют оплатить ключ для дальнейшей работы приложения или предоставить личную информацию; д) отменяют установку приложения, если определено по меньшей мере одно нежелательное действие. 2 з.п. ф-лы, 6 ил., 2 табл.

Description

Область техники
Изобретение относится к антивирусным технологиям, а более конкретно к способам предотвращения работы программ, которые содержат нежелательный для пользователей функционал.
Уровень техники
На текущий момент многие пользователи уже столкнулись с последствиями работы вредоносных программ, которые выражаются в блокировке компьютера, краже персональных данных, рассылке спама и других незаконных действиях. В то же время антивирусная индустрия не стояла на месте и разрабатывала технологии, которые позволяют эффективно бороться даже с неизвестными вредоносными программами, например эмуляция, поведенческий анализ и контроль программ (англ. application control). Подобные технологии позволяют во много раз снизить риск заражения компьютеров пользователей или причиняемый им ущерб.
Вместе с развитием вредоносных программ в последнее время получили популярность и приложения, которые не осуществляют вредоносных действий напрямую, но зачастую могут досаждать пользователю или вынуждать делать его необязательные действия, например, оплачивать лицензию программ, функционал которых бесполезен. Такие приложения часто называют unwanted programs, pestware или junkware. Далее будем называть их нежелательными программами (программным обеспечением, ПО).
Приведем примеры их действий (также будем называть эти действия нежелательными):
Figure 00000001
Несанкционированные изменения стартовой страницы браузера, службы поиска, установка всевозможных браузерных дополнений (плагинов), зачастую приводящих к нестабильной работе браузера. Это наиболее популярные нежелательные действия.
Figure 00000002
Такой класс приложений часто называется FakeAV - т.е. поддельный антивирус. С одной стороны, он не причиняет никакого вреда пользователю и его данным, но с другой -настоятельно предлагает купить лицензию за бесполезный функционал (который работает, но фактически не несет никакой пользы).
Figure 00000002
Программы-оптимизаторы. Помимо действительно полезных утилит, которые оптимизируют работу операционной системы (удаляют временные файлы, неиспользуемые ветки реестра и т.д.) существует много платных программ-оптимизаторов, которые не осуществляют никаких полезных действий, а лишь содержат интерфейс, который информирует пользователя о выполненных "полезных" действиях.
Figure 00000002
Также часто в список нежелательного ПО попадают программы-шпионы (англ. spyware), которые без ведома пользователя могут осуществлять сбор данных о нем и его компьютере. Возможны ситуации, когда пользователь добровольно устанавливает подобное ПО-чаще всего по невнимательности.
Подобные программы не выполняют никаких преступных действий, за которые в большинстве стран предусмотрено наказание вплоть до уголовного (например, распространение вредоносных программ или рассылка спама), а также они имеют все признаки легитимных программ - графический интерфейс, лицензионное соглашение. Тем не менее пользователи зачастую недовольны их работой - программы постоянно показывают окна своего интерфейса, не выполняют нужного функционала, что приводит к тому, что пользователи хотят удалить подобные программы и не устанавливать их больше.
В настоящий момент известны методы по обнаружению и удалению подобных программ. В патенте US 7765592 приведен способ обнаружения нежелательных программ по типу их активности, а также на основании внесенных ими изменений в компьютерной системе (например, на основании информации по изменению файлов). Также предоставляется пользовательский интерфейс для выбора нежелательных программ, фильтр для программ из доверенного списка (англ. trusted company list), определение различных видов программ типа Spyware по вносимым изменениям в системе. Компания Microsoft в своих утилитах по удалению нежелательных программ предоставляет своим пользователям возможность выделять нежелательные программы с указанием их признаков "нежелательности": недостатком графического интерфейса пользователя (англ. GUI, Graphical User Interface), недостаточностью информации о работе программы, показом рекламы и т.д.
Однако зачастую такие технологии не лишены определенных недостатков - например, не могут предотвратить установку нежелательных программ или отменить ("откатить") сделанные изменения.
Анализ предшествующего уровня техники позволяет сделать вывод о неэффективности и в некоторых случаях о невозможности применения предшествующих технологий, недостатки которых решаются настоящим изобретением, а именно способом предотвращения работы программ, которые содержат нежелательный для пользователей функционал.
Раскрытие изобретения
Технический результат настоящего изобретения заключается в обеспечении отмены установки приложений, которые выполняют нежелательные действия приложения.
Согласно одному из вариантов реализации, предлагается способ отмены установки приложений, которые содержат нежелательные действия: а) обнаруживают попытку установки приложения; б) запускают установку обнаруженного приложения в защищенной среде, где защищенная среда включает по меньшей мере одно из: эмулятор; песочница; установка с отслеживанием всех изменений в операционной системе; в) определяют нежелательные действия во время установки приложения в защищенной среде, при этом нежелательные действия приложения включают по меньшей мере одно из: изменение стартовой страницы браузера; изменение браузера по умолчанию; изменение параметров прокси-сервера; добавление новой панели инструментов в браузере; создание ключа автозапуска в реестре; добавление иконок на рабочий стол; попытка доступа к файлам из личных папок пользователя; наличие большого количества всплывающих окон в интерфейсе приложения; наличие в коде приложения ссылок на недоверенные сайты, где от пользователя требуют оплатить ключ для дальнейшей работы приложения или предоставить личную информацию; г) отменяют установку приложения, если определено по меньшей мере одно нежелательное действие.
Согласно еще одному варианту реализации нежелательное действие совершается без ведома пользователя.
Согласно другому варианту реализации нежелательное действие имеет вес нежелательности, выраженный в виде числа.
Согласно иному варианту реализации вес нежелательности увеличивается, если нежелательное действие совершается без ведома пользователя.
Согласно еще одному варианту отменяют установку приложения, если вес нежелательности превышает заданное пороговое значение.
Согласно еще одному варианту реализации заданное пороговое значение равно 100.
Согласно другому варианту реализации веса нежелательности нежелательных действий суммируются.
Краткое описание чертежей
Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:
Фиг. 1 представляет способ работы настоящего изобретения в рамках компьютерной системы пользователя.
Фиг. 2 отображает способ работы настоящего изобретения при попытке установки нежелательного программного обеспечения.
Фиг. 2а отображает подход к установке ПО с отменой нежелательных действий.
Фиг. 2б приводит пример окна инсталлятора потенциально нежелательного ПО.
Фиг. 3 отображает способ работы настоящего изобретения уже при установленном нежелательном программном обеспечении.
Фиг. 4 представляет пример компьютерной системы общего назначения, на которой может быть реализовано настоящее изобретение.
Описание вариантов осуществления изобретения
Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, необходимыми для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется в объеме приложенной формулы.
Фиг. 1 представляет способ работы настоящего изобретения в рамках компьютерной системы пользователя. Пользователь 150 использует различное ПО 110 (например, браузеры Chrome или Internet Explorer, текстовые редакторы Notepad или Word и другие), установленное в компьютерной системе 100. Также помимо ПО 110 в системе 100 есть компоненты операционной системы (ОС) 120, которые отвечают за взаимодействие программ и пользователя с различным аппаратным обеспечением (например, служба печати, сетевые службы и т.д.).
Также в системе 100 может присутствовать нежелательное ПО 130, которое может модифицировать стороннее ПО 110 и его настройки (например, в виде плагина для браузера изменив стартовую страницу), внести изменения в компоненты ОС 120 (например, путем установки драйвер-фильтра для осуществления сбора информации) или же периодически отображать пользователю 150 различную информацию (например, в случае программ FakeAV). Для удаления нежелательного ПО 130 используется средство обнаружения 140, которое определяет изменения в стороннем ПО 110, компонентах ОС 120 и работе пользователя 150 с графическим интерфейсом операционной системы. В одном из вариантов реализации средство обнаружения 140 является антивирусным программным обеспечением или входит в его состав в виде отдельного компонента.
Фиг. 2 отображает способ работы настоящего изобретения при попытке установки нежелательного программного обеспечения. На этапе 210 происходит обнаружение попытки установки неизвестного ПО. Неизвестным ПО может быть любое ПО, которое имеет один из следующих признаков:
Figure 00000003
не имеет цифровой подписи производителя ПО;
Figure 00000004
не содержится ни в базе разрешенных приложений (англ. whitelist), ни в базе вредоносных программ (англ. malware) по крайней мере одного из производителей антивирусного ПО.
В одном из вариантов реализации обнаруженной попыткой установки неизвестного ПО является перехват запуска любого исполняемого файла (установщика) с помощью средства обнаружения 140. В еще одном варианте реализации проверяются атрибуты запускаемого файла - имя (например, setup.exe), размер, цифровая подпись, дата появления на диске и другие. В зависимости от подобных атрибутов определяется необходимость проверки данного файла (пример реализации технологии рассмотрен в патенте US 7392544). Перехват запуска исполняемого файла может быть реализован с помощью перехвата загрузки через загрузчик (англ. image loader).
После обнаружения попытки установки неизвестного ПО на этапе 220 происходит запуск в защищенной среде (эмуляция файла также может считаться запуском в защищенной среде, так как все изменения не выходят за рамки эмулятора). Примером защищенной среды может служить песочница (англ. sandbox), которая представляет контролируемый набор ресурсов (таких как виртуальная память, файлы, ветки реестра, сетевые соединения) для исполнения. Еще одним вариантом установки неизвестного ПО является установка с отслеживанием всех изменений в системе 100 с возможностью последующего отката (пример подобной технологии описан в патенте US 8181247). По мере выполнения действий (при эмуляции или выполнении в защищенной среде) кода исполняемого файла на этапе 230 происходит оценка произведенных действий с точки зрения нежелательности.
Как уже было упомянуто, нежелательными действиями в общем являются действия приложения, которые досаждают пользователю или вынуждают делать его необязательные действия. Нежелательные действия производят изменения в стороннем ПО 110, компонентах ОС 120 и затрагивают работу пользователя 150 с графическим интерфейсом операционной системы. Конкретными примерами нежелательных действий могут быть (отметим, что действий может быть гораздо больше):
Figure 00000005
изменение стартовой страницы браузера;
Figure 00000006
изменение браузера по умолчанию;
Figure 00000007
изменение параметров сети (в том числе прокси-сервера и технологии LSP, Layered Service Provider);
Figure 00000008
добавление новой панели инструментов (англ. toolbar) в браузере без ведома пользователя;
Figure 00000009
создание ключа автозапуска в реестре;
Figure 00000010
добавление иконок на рабочий стол и/или панель быстрого запуска (англ. taskbar) без ведома пользователя;
Figure 00000011
попытка доступа к файлам из личных папок пользователя (например, из «C:/Users/<user_name>/My Documents») без ведома пользователя;
Figure 00000012
наличие большого количества всплывающих окон в интерфейсе приложения (может быть характерно для FakeAV);
Figure 00000013
наличие в коде URL-ссылок на недоверенные сайты, где от пользователя требуют оплатить ключ для дальнейшей работы приложения или предоставить личную информацию. Если какое-либо действие выполняется без ведома пользователя - это означает, что перед его выполнением не было отображения каких-либо элементов графического интерфейса приложения, где пользователю предлагается сделать выбор (например, добавить иконку приложения на рабочий стол). Таким образом, основные критерии нежелательности действия - это выполнение его без ведома пользователя или же внесение изменений в систему, которые напрямую окажут влияние на работу пользователя с операционной системой и приложениями (например, с браузером).
Стоит отметить, что установка неизвестного ПО часто состоит из установки нескольких компонент, в этом случае установка каждого компонента может рассматриваться как установка отдельного ПО и соответственно решение о нежелательности принимается по каждому компоненту отдельно.
Отметим, что в одном из вариантов реализации каждому действию присваивается определенный вес в зависимости от его нежелательности (с помощью средства обнаружения 140).
Например, в Таблице 1 приведены примеры весов нежелательности действий.
Figure 00000014
На примере приведенной таблицы видно, что если пользователь сам согласился с изменением стартовой страницы браузера (например, еще при установке неизвестного ПО), то вес нежелательности такого действий достаточно небольшой - всего 20 единиц, в то время как подобное действие без подтверждения самого пользователя сразу повысит нежелательность до 100 единиц. В данном примере считается, что при достижении нежелательности до 100 единиц, устанавливаемое(?) приложение (исполняемый файл) признается нежелательным (с помощью средства обнаружения 140), и его установка нежелательна (этап 240 на Фиг. 2). При нескольких действиях суммарный вес нежелательности может считаться в виде простой суммы весов нежелательности каждого действия, но более сложные варианты подсчета веса нежелательности учитывают также количество действий одного типа, используют корректировочные коэффициенты (например, для того, чтобы много действий с небольшим весом нежелательности не могли в сумме дать вес равный 100). В еще одном варианте реализации суммарный вес нежелательности равен максимальному весу нежелательности одного из действий.
Таким образом, на этапе 240 проверяется, является ли установка нежелательной с учетом проведенной оценки на этапе 230. Например, одним из критериев проверки может служить обязательное появление одного из действий в процессе эмуляции (выполнении в защищенной среде), такого как "Изменение стартовой страницы браузера". Другой вариант реализации предусматривает сравнение суммарного веса нежелательности с некоторым пороговым значением (например, 100). При выполнении критерия проверки или при превышении суммарного веса нежелательности на этапе 260 у пользователя все равно может быть запрошено разрешение на установку. В одном из вариантов реализации это может быть сделано для того, чтобы снизить риск ложных срабатываний (в данном случае подразумеваются ошибки первого рода, когда ошибочно блокируется легитимное приложение). Примером подобного подхода является одна из частей технологии UAC (англ. User Account Control) в Windows, когда пользователь все равно может установить неизвестное приложение даже при отсутствии цифровой подписи. Если пользователь соглашается на установку или в случае не выполнения условия на этапе 240 - происходит установка ПО на этапе 250. В ином случае установка отменяется на этапе 270. Выбор пользователя по установке ПО (или его отмене) может быть запомнен (с помощью средства обнаружения 140) и в будущем при обнаружении похожего нежелательного ПО этап 260 будет пропускаться автоматически, учитывая заранее сформированный выбор пользователя.
Одним из вариантов отмены установки может быть перевод нежелательного ПО в неактивное состояние - например, отключение плагина в браузере. Это может быть более безопасным способом, т.к. минимизируется риск негативно повлиять на работу стороннего ПО 110 полагающегося на данный компонент, а также дает возможность пользователю поменять свое решение в будущем, т.е. включить плагин в настройках браузера, если он ему действительно нужен.
Отметим, что установка ПО на этапе 250 может быть выполнена с учетом отмены ряда нежелательных действий, что позволит произвести установку нужной пользователю программы. На Фиг. 2а отображен подход к установке ПО с отменой нежелательных действий. На этапе 251 производится проверка окон программы установки (англ. installer) при установке ПО - например, проверяются все активные элементы в окне (такие как RadioButton), их описание. На Фиг. 2б приведен пример окна инсталлятора потенциально нежелательного ПО. Снятие галочек с элементов типа Checkbox, которые приведут к смене стартовой страницы в браузере и установят нежелательную панель инструментов, позволит избежать указанных нежелательных действий. В одном из вариантов реализации изменение статуса элементов выполняется с помощью средства обнаружения 140. На этапе 252 (который может выполняться параллельно с этапом 251) также производится проверка изменений в системе по результатам работы инсталлятора - прежде всего, это отслеживание файловых и реестровых операций. На этапе 253 все найденные нежелательные действия отменяются или откатываются, если изменения уже произошли в ОС.Отмена нежелательных действий может быть реализована, например, в рамках одного из следующих вариантов:
Figure 00000015
использование утилит вроде Unchecky для изменения активных элементов в окнах инсталлятора (Radiobutton, Checkbox и другие);
Figure 00000016
запрет на выполнение определенных файловых или реестровых операций, таких как установка флага автозапуска или запись файлов в папку «C:/Windows/system32»;
Figure 00000017
выполнение установки в защищенной среде позволит "проэмулировать" ряд нежелательных действий при установке ПО, не выполнив их в реальной ОС, но вернув положительные результаты вызова функций во время установки. Например, при создании файла в системной папке файл реально создан не будет, но установщику будет возвращен результат вызова функции, отображающий успешное создание файла. С одной стороны, это позволит корректно выполнить установку ПО, но с другой - не позволит гарантировать его стабильную работу. Также стоит упомянуть об возможном использовании статистики по этапам на Фиг. 2, ее последующем хранении в облачном сервисе для более раннего (до самого факта запуска инсталлятора или совершения изменений в системе) предотвращения запуска инсталляторов таких нежелательных программ 130 или для более раннего предупреждения пользователя 150. За счет информации полученной от других пользователей и накопления ее в облачном сервисе можно на раннем этапе определить факт запуска такого инсталлятора (используя хэш или другую ключевую информацию из запускаемого файла). Также за счет информации полученной от других пользователей об источниках скачивания этих инсталляторов мы можем на раннем этапе заблокировать скачивание или предупредить пользователя 150 перед закачкой такой программы. Таким образом, можно не только предотвращать запуск таких программ 130, но и экономить пользователю 150 трафик и время.
Относительно этапа 253 также можно дополнить, что для определения опций, подлежащих переключению или блокировке с предупреждением при установке, можно использовать следующие подходы:
Figure 00000018
предварительный анализ инсталляторов популярных программ, с занесением результатов в базу данных, обновляемую через Интернет.
Figure 00000019
анализ текстов интерфейса (GUI) инсталлятора и эвристическое определение «нежелательности» тех или иных элементов управления на основе его результатов (например, анализ по ключевым словам). Фиг. 3 отображает способ работы настоящего изобретения уже при установленном нежелательном программном обеспечении. На этапе 310 происходит обнаружение неизвестного установленного ПО в системе 100. Как правило, такое обнаружение может быть связано с проведением полнодисковой антивирусной проверки (например, с помощью средства обнаружения 140) или во время запуска неизвестного установленного ПО. Еще один вариант может быть связан с поиском окна приложения, которое периодически показывается пользователю на переднем плане (например, в случае FakeAV), с последующим определением процесса, который владеет данным окном. На этапе 320 производится оценка нежелательности ПО.
Данная оценка связана с нежелательными действиями, которые производит неизвестное установленное ПО. Примеры подобных действий приведены в рамках описания Фиг. 2. Кроме того, оценка может происходить и во время работы самого ПО в режиме реального времени (например, используя технологию, описанную в патенте US 8566943). Оценка нежелательности также может включать использование весов нежелательности при оценке действий неизвестного установленного ПО. Более подробно примеры также приведены в рамках описания Фиг. 2. Если на этапе 330 неизвестное установленное ПО признается нежелательным, то на этапе 350 (который является опциональным в предпочтительном варианте реализации) у пользователя может быть запрошено разрешение на продолжение работы неизвестного установленного ПО. Если пользователь разрешит работу, то на этапе 340 неизвестное установленное ПО более не будет анализироваться как нежелательное ПО. В противном случае на этапе 360 происходит удаление неизвестного установленного ПО. Выбор пользователя по удалению подобного ПО (или его отмене) может быть запомнен и в будущем при обнаружении нежелательного ПО с аналогичными нежелательными действиями этап 350 будет пропускаться автоматически, учитывая заранее сформированный выбор пользователя.
Удаление неизвестного установленного ПО может быть произведено одним из следующих способов:
Figure 00000020
стандартное удаление приложения из Programs and Features (вызов деинсталлятора приложения);
Figure 00000021
автоматическое удаление всех файлов и веток реестра, относящихся к неизвестному установленному ПО (в одном из вариантов реализации средство обнаружения 140 отслеживает подобную файловую и реестровую активность);
Figure 00000022
оповещение пользователя о том, что в системе присутствует нежелательное ПО, которое желательно удалить.
Отметим также еще одно дополнение для шагов оценки нежелательности - этапы 240 на Фиг. 2 и 330 на Фиг. 3. Нежелательность также может учитывать производителя ПО, который чаще всего идентифицируется по цифровой подписи. Если для некоторых типов ПО одной и той же цифровой подписи был вынесен вердикт о нежелательности, то в будущем это может учитываться на перечисленных этапах, например, в виде увеличения веса нежелательности новых типов ПО с конкретной цифровой подписью. Подобная обратная связь может собираться с пользователей, на чьи компьютеры впервые попадает подобное ПО. Также пользователи могут сами указывать нежелательное ПО, запрещая установку (или удаляя) определенных приложений, отмечая их как нежелательные, что будет учитываться средством обнаружения 140, формируя в конечном счете некоторый рейтинг по нежелательности приложений исходя из их метаданных (таких как цифровая подпись, размер, иконка и т.д.).
В одном из вариантов реализации средство обнаружения 140 имеет заранее сформированный список нежелательного ПО, которое позволит сразу обнаружить уже установленное подобное ПО на компьютере пользователя. Примером подобного списка может являться следующая таблица:
Figure 00000023
Фиг. 4 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.
Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.
Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.
Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.
Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 4. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.
Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.
В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой.

Claims (16)

1. Способ отмены установки приложений, которые выполняют нежелательные действия:
а) обнаруживают попытку установки приложения;
б) запускают установку обнаруженного приложения в защищенной среде, где защищенная среда включает эмулятор;
в) определяют окна программы установки приложения и связанные с этими окнами элементы графического интерфейса;
г) определяют нежелательные действия во время установки приложения в защищенной среде, при этом нежелательные действия приложения совершаются без ведома пользователя, перед выполнением нежелательного действия не происходит отображения каких-либо элементов графического интерфейса приложения, связанных с определенными на этапе ранее окнами программы установки приложения, и нежелательные действия включают по меньшей мере одно из:
- изменение стартовой страницы браузера;
- изменение браузера по умолчанию;
- изменение параметров прокси-сервера;
- добавление новой панели инструментов в браузере;
- создание ключа автозапуска в реестре;
- добавление иконок на рабочий стол;
- попытка доступа к файлам из личных папок пользователя;
- наличие в коде приложения ссылок на недоверенные сайты, где от пользователя требуют оплатить ключ для дальнейшей работы приложения или предоставить личную информацию;
д) отменяют установку приложения, если определено по меньшей мере одно нежелательное действие.
2. Способ по п. 1, в котором нежелательное действие имеет вес нежелательности, выраженный в виде числа.
3. Способ по п. 2, в котором веса нежелательности нежелательных действий суммируются.
RU2015125976A 2015-06-30 2015-06-30 Способ предотвращения работы программ, содержащих нежелательный для пользователя функционал RU2618947C2 (ru)

Priority Applications (6)

Application Number Priority Date Filing Date Title
RU2015125976A RU2618947C2 (ru) 2015-06-30 2015-06-30 Способ предотвращения работы программ, содержащих нежелательный для пользователя функционал
US14/944,821 US9390266B1 (en) 2015-06-30 2015-11-18 System and method of preventing installation and execution of undesirable programs
EP15197087.8A EP3113059B1 (en) 2015-06-30 2015-11-30 System and method of preventing installation and execution of undesirable programs
JP2016064920A JP6577399B2 (ja) 2015-06-30 2016-03-29 望ましくないプログラムのインストール及び実行を予防するシステム及び方法
CN201610248222.4A CN106326731B (zh) 2015-06-30 2016-04-20 防止不良程序的安装和执行的系统和方法
US15/180,717 US9659172B2 (en) 2015-06-30 2016-06-13 System and method of preventing execution of undesirable programs

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2015125976A RU2618947C2 (ru) 2015-06-30 2015-06-30 Способ предотвращения работы программ, содержащих нежелательный для пользователя функционал

Publications (2)

Publication Number Publication Date
RU2015125976A RU2015125976A (ru) 2017-01-10
RU2618947C2 true RU2618947C2 (ru) 2017-05-11

Family

ID=56321063

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2015125976A RU2618947C2 (ru) 2015-06-30 2015-06-30 Способ предотвращения работы программ, содержащих нежелательный для пользователя функционал

Country Status (5)

Country Link
US (2) US9390266B1 (ru)
EP (1) EP3113059B1 (ru)
JP (1) JP6577399B2 (ru)
CN (1) CN106326731B (ru)
RU (1) RU2618947C2 (ru)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9646159B2 (en) 2015-03-31 2017-05-09 Juniper Networks, Inc. Multi-file malware analysis
US9928363B2 (en) * 2016-02-26 2018-03-27 Cylance Inc. Isolating data for analysis to avoid malicious attacks
RU2634177C1 (ru) * 2016-05-20 2017-10-24 Акционерное общество "Лаборатория Касперского" Система и способ обнаружения нежелательного программного обеспечения
US10367833B2 (en) * 2017-03-07 2019-07-30 International Business Machines Corporation Detection of forbidden software through analysis of GUI components
US10489593B2 (en) 2017-06-27 2019-11-26 Symantec Corporation Mitigation of malicious actions associated with graphical user interface elements
CN107832605A (zh) * 2017-11-22 2018-03-23 江苏神州信源系统工程有限公司 一种保护终端安全的方法和装置
CN108804941A (zh) * 2018-05-23 2018-11-13 郑州信大天瑞信息技术有限公司 一种应用安全态势感知方法
CN108734006A (zh) * 2018-05-25 2018-11-02 山东华软金盾软件股份有限公司 一种禁用 Windows 安装程序的方法
US11509676B2 (en) * 2020-01-22 2022-11-22 Tenable, Inc. Detecting untracked software components on an asset

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090100519A1 (en) * 2007-10-16 2009-04-16 Mcafee, Inc. Installer detection and warning system and method
RU91205U1 (ru) * 2009-10-01 2010-01-27 ЗАО "Лаборатория Касперского" Система асинхронной обработки событий для обнаружения неизвестных вредоносных программ
US8555385B1 (en) * 2011-03-14 2013-10-08 Symantec Corporation Techniques for behavior based malware analysis
US8763125B1 (en) * 2008-09-26 2014-06-24 Trend Micro, Inc. Disabling execution of malware having a self-defense mechanism
US20150101049A1 (en) * 2013-10-04 2015-04-09 Bitdefender IPR Management Ltd. Complex Scoring for Malware Detection

Family Cites Families (42)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7114184B2 (en) * 2001-03-30 2006-09-26 Computer Associates Think, Inc. System and method for restoring computer systems damaged by a malicious computer program
US7254526B2 (en) * 2001-08-24 2007-08-07 International Business Machines Corporation Apparatus and method for determining compatibility of web sites with designated requirements based on functional characteristics of the web sites
US7765592B2 (en) * 2004-01-10 2010-07-27 Microsoft Corporation Changed file identification, software conflict resolution and unwanted file removal
US8156489B2 (en) * 2004-05-21 2012-04-10 Computer Associates Think, Inc. Distributed installation configuration system and method
US7908653B2 (en) * 2004-06-29 2011-03-15 Intel Corporation Method of improving computer security through sandboxing
US7409719B2 (en) * 2004-12-21 2008-08-05 Microsoft Corporation Computer security management, such as in a virtual machine or hardened operating system
US7739682B1 (en) * 2005-03-24 2010-06-15 The Weather Channel, Inc. Systems and methods for selectively blocking application installation
GB0513375D0 (en) * 2005-06-30 2005-08-03 Retento Ltd Computer security
US8196205B2 (en) * 2006-01-23 2012-06-05 University Of Washington Through Its Center For Commercialization Detection of spyware threats within virtual machine
US7870612B2 (en) * 2006-09-11 2011-01-11 Fujian Eastern Micropoint Info-Tech Co., Ltd Antivirus protection system and method for computers
US8413135B2 (en) * 2006-10-30 2013-04-02 At&T Intellectual Property I, L.P. Methods, systems, and computer program products for controlling software application installations
US8782786B2 (en) * 2007-03-30 2014-07-15 Sophos Limited Remedial action against malicious code at a client facility
CN100504903C (zh) * 2007-09-18 2009-06-24 北京大学 一种恶意代码自动识别方法
US8019700B2 (en) * 2007-10-05 2011-09-13 Google Inc. Detecting an intrusive landing page
US7392544B1 (en) * 2007-12-18 2008-06-24 Kaspersky Lab, Zao Method and system for anti-malware scanning with variable scan settings
WO2009119722A1 (ja) * 2008-03-28 2009-10-01 国立大学法人北海道大学 抗h5亜型a型インフルエンザウイルスヘマグルチニンモノクローナル抗体
US8099472B2 (en) * 2008-10-21 2012-01-17 Lookout, Inc. System and method for a mobile cross-platform software system
US8347386B2 (en) * 2008-10-21 2013-01-01 Lookout, Inc. System and method for server-coupled malware prevention
US9235704B2 (en) * 2008-10-21 2016-01-12 Lookout, Inc. System and method for a scanning API
US8533844B2 (en) * 2008-10-21 2013-09-10 Lookout, Inc. System and method for security data collection and analysis
US8745361B2 (en) * 2008-12-02 2014-06-03 Microsoft Corporation Sandboxed execution of plug-ins
US8631330B1 (en) * 2009-08-16 2014-01-14 Bitdefender IPR Management Ltd. Security application graphical user interface customization systems and methods
US8566943B2 (en) 2009-10-01 2013-10-22 Kaspersky Lab, Zao Asynchronous processing of events for malware detection
CN102045214B (zh) * 2009-10-20 2013-06-26 成都市华为赛门铁克科技有限公司 僵尸网络检测方法、装置和系统
US8479286B2 (en) * 2009-12-15 2013-07-02 Mcafee, Inc. Systems and methods for behavioral sandboxing
US9245154B2 (en) * 2010-03-08 2016-01-26 Eva Andreasson System and method for securing input signals when using touch-screens and other input interfaces
US20110225649A1 (en) * 2010-03-11 2011-09-15 International Business Machines Corporation Protecting Computer Systems From Malicious Software
CN101901321A (zh) * 2010-06-04 2010-12-01 华为终端有限公司 终端防御恶意程序的方法、装置及系统
JP2012008732A (ja) * 2010-06-23 2012-01-12 Kddi Corp インストール制御装置およびプログラム
US8844039B2 (en) * 2010-06-30 2014-09-23 F-Secure Corporation Malware image recognition
JP5557623B2 (ja) * 2010-06-30 2014-07-23 三菱電機株式会社 感染検査システム及び感染検査方法及び記録媒体及びプログラム
CN101924762B (zh) * 2010-08-18 2013-02-27 北京奇虎科技有限公司 一种基于云安全的主动防御方法
AU2011293160B2 (en) * 2010-08-26 2015-04-09 Verisign, Inc. Method and system for automatic detection and analysis of malware
US9047441B2 (en) * 2011-05-24 2015-06-02 Palo Alto Networks, Inc. Malware analysis system
US9323928B2 (en) * 2011-06-01 2016-04-26 Mcafee, Inc. System and method for non-signature based detection of malicious processes
US9158919B2 (en) * 2011-06-13 2015-10-13 Microsoft Technology Licensing, Llc Threat level assessment of applications
US8181247B1 (en) * 2011-08-29 2012-05-15 Kaspersky Lab Zao System and method for protecting a computer system from the activity of malicious objects
US20130333039A1 (en) * 2012-06-07 2013-12-12 Mcafee, Inc. Evaluating Whether to Block or Allow Installation of a Software Application
EP2759956B1 (en) * 2013-01-25 2017-01-11 Synopsys, Inc. System for testing computer application
US9117080B2 (en) * 2013-07-05 2015-08-25 Bitdefender IPR Management Ltd. Process evaluation for malware detection in virtual machines
US20150235277A1 (en) * 2014-02-19 2015-08-20 Kyle W. Bagley Provision of Advertising in Social Media Content In a User Compensation Based Model
CN104199703A (zh) * 2014-09-05 2014-12-10 北京奇虎科技有限公司 静默安装的管理方法及装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090100519A1 (en) * 2007-10-16 2009-04-16 Mcafee, Inc. Installer detection and warning system and method
US8763125B1 (en) * 2008-09-26 2014-06-24 Trend Micro, Inc. Disabling execution of malware having a self-defense mechanism
RU91205U1 (ru) * 2009-10-01 2010-01-27 ЗАО "Лаборатория Касперского" Система асинхронной обработки событий для обнаружения неизвестных вредоносных программ
US8555385B1 (en) * 2011-03-14 2013-10-08 Symantec Corporation Techniques for behavior based malware analysis
US20150101049A1 (en) * 2013-10-04 2015-04-09 Bitdefender IPR Management Ltd. Complex Scoring for Malware Detection

Also Published As

Publication number Publication date
EP3113059B1 (en) 2018-01-10
CN106326731B (zh) 2019-05-31
EP3113059A1 (en) 2017-01-04
JP6577399B2 (ja) 2019-09-18
US9659172B2 (en) 2017-05-23
US20170004305A1 (en) 2017-01-05
CN106326731A (zh) 2017-01-11
US9390266B1 (en) 2016-07-12
RU2015125976A (ru) 2017-01-10
JP2017021773A (ja) 2017-01-26

Similar Documents

Publication Publication Date Title
RU2618947C2 (ru) Способ предотвращения работы программ, содержащих нежелательный для пользователя функционал
RU2589862C1 (ru) Способ обнаружения вредоносного кода в оперативной памяти
US10291634B2 (en) System and method for determining summary events of an attack
JP6482489B2 (ja) 脆弱なアプリケーションによるファイルのオープンを制御するシステム及び方法。
US9547765B2 (en) Validating a type of a peripheral device
RU2514140C1 (ru) Система и способ увеличения качества обнаружений вредоносных объектов с использованием правил и приоритетов
RU2531861C1 (ru) Система и способ оценки вредоносности кода, исполняемого в адресном пространстве доверенного процесса
RU2571723C2 (ru) Система и способ для снижения нагрузки на операционную систему при работе антивирусного приложения
RU2568295C2 (ru) Система и способ временной защиты операционной системы программно-аппаратных устройств от приложений, содержащих уязвимости
US8079085B1 (en) Reducing false positives during behavior monitoring
US8037290B1 (en) Preboot security data update
EP2696282A1 (en) System and method for updating authorized software
EP2515250A1 (en) System and method for detection of complex malware
US20050172337A1 (en) System and method for unpacking packed executables for malware evaluation
JP2009543186A (ja) ブート環境におけるマルウェアの識別
RU101233U1 (ru) Система ограничения прав доступа к ресурсам на основе расчета рейтинга опасности
RU2617923C2 (ru) Система и способ настройки антивирусной проверки
US20230185921A1 (en) Prioritizing vulnerabilities
JP2014530401A (ja) マルウェアリスクスキャナー
RU2583714C2 (ru) Агент безопасности, функционирующий на уровне встроенного программного обеспечения, с поддержкой безопасности уровня операционной системы
RU2587424C1 (ru) Способ контроля приложений
US20170171224A1 (en) Method and System for Determining Initial Execution of an Attack
EP2958045B1 (en) System and method for treatment of malware using antivirus driver
RU2592383C1 (ru) Способ формирования антивирусной записи при обнаружении вредоносного кода в оперативной памяти
RU2573782C1 (ru) Система и способ настройки компьютерной системы в соответствии с политикой безопасности