RU2639666C2 - Removing track of harmful activity from operating system, which is not downloaded on computer device at present - Google Patents

Removing track of harmful activity from operating system, which is not downloaded on computer device at present Download PDF

Info

Publication number
RU2639666C2
RU2639666C2 RU2016115995A RU2016115995A RU2639666C2 RU 2639666 C2 RU2639666 C2 RU 2639666C2 RU 2016115995 A RU2016115995 A RU 2016115995A RU 2016115995 A RU2016115995 A RU 2016115995A RU 2639666 C2 RU2639666 C2 RU 2639666C2
Authority
RU
Russia
Prior art keywords
inactive
file
files
malicious
critical
Prior art date
Application number
RU2016115995A
Other languages
Russian (ru)
Other versions
RU2016115995A (en
Inventor
Дмитрий Викторович Воронцов
Андрей Леонидович Киржеманов
Юрий Владимирович Справцев
Original Assignee
Акционерное общество "Лаборатория Касперского"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Акционерное общество "Лаборатория Касперского" filed Critical Акционерное общество "Лаборатория Касперского"
Priority to RU2016115995A priority Critical patent/RU2639666C2/en
Publication of RU2016115995A publication Critical patent/RU2016115995A/en
Application granted granted Critical
Publication of RU2639666C2 publication Critical patent/RU2639666C2/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/02Addressing or allocation; Relocation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/16Protection against loss of memory contents
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/4401Bootstrapping
    • G06F9/4406Loading of operating system

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Databases & Information Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Mining & Analysis (AREA)
  • Quality & Reliability (AREA)
  • Stored Programmes (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

FIELD: information technology.SUBSTANCE: invention relates to a system and method for eliminating the consequences of deleting a harmful file during an anti-virus scan of an inactive operating system (OS) that is installed and not started on the computer. The system contains: an OS enumeration tool designed to find the installed inactive OS, to determine the logical drive identifiers for each installed inactive OS; a file searching tool designed to conduct an anti-virus check of the files of the inactive OS; an inactive OS cleaning tool configured to find and remove data associated with the removed harmful file on the logical drives of the checked inactive OS, based on the comparison of the logical drive identifiers in the active OS and in the checked inactive OS when specifying the full path to the file; a critical file monitoring tool designed to test the remote harmful file on the criticality and when the file is critical to the inactive OS, to install a safe file version in the remote location of the harmful file.EFFECT: preventing errors when starting or performing of the operating system after removing a harmful file from the specified operating system when the operating system is inactive.6 cl, 5 dwg, 1 tbl

Description

Область техникиTechnical field

Данное изобретение относится к системам и способам антивирусной проверки операционных систем на наличие вредоносных файлов и, более конкретно, к системам и способам удаления следов вредоносной активности удаленных вредоносных файлов из неактивных операционных систем, установленных на компьютере пользователя и не запущенных в данный момент.This invention relates to systems and methods for anti-virus scanning of operating systems for malicious files and, more specifically, to systems and methods for removing traces of malicious activity of deleted malicious files from inactive operating systems installed on a user's computer and not currently running.

Уровень техникиState of the art

Компьютерная безопасность является неотъемлемой частью информационных технологий. Нарушение безопасности компьютеров может произойти в случае заражения компьютеров различными вредоносными программами (далее - вредоносными файлами), такими как вирусы, троянские программы, эксплойты (англ. exploit), руткиты (англ. rootkit), вирусы-невидимки (англ. stealth virus) и так далее. Заражение компьютеров может производиться различными способами, например через информационные сети, как локальные, так и глобальные или через внешние портативные запоминающие устройства («флэшки»). Примерами заражения через информационные сети являются такие способы, как получение и прочтение электронного письма по электронной почте пользователя, содержащего во вложении вредоносный файл, или заражение при посещении пользователем веб-сайта, на котором был размещен вредоносный файл. Также вредоносный файл (например, «сетевой червь») может попытаться самостоятельно попасть на компьютер пользователя, т.е. без ведома пользователя. Многообразие вредоносных файлов и способов заражения побудило к появлению множества различных инструментов по защите компьютеров от воздействия вредоносных файлов. Такими инструментами являются антивирусные приложения, различные системы («сканеры»), производящие поиск вредоносных файлов, межсетевые экраны (англ. firewall) и так далее, вплоть до комплексных систем защиты от вредоносных файлов и их распространения. При этом все равно компьютеры пользователей по-прежнему заражаются вредоносными файлами.Computer security is an integral part of information technology. Computer security breaches can occur if computers are infected with various malicious programs (hereinafter referred to as malicious files), such as viruses, trojans, exploits (rootkit), rootkits (stealth virus), and etc. Computers can be infected in various ways, for example, through information networks, both local and global, or through external portable storage devices (“flash drives”). Examples of infection through information networks are methods such as receiving and reading an e-mail by e-mail of a user containing a malicious file in the attachment, or infection when a user visits the website on which the malicious file was posted. Also, a malicious file (for example, a "network worm") may try to get to the user's computer, i.e. without the knowledge of the user. The variety of malicious files and methods of infection prompted the emergence of many different tools to protect computers from the effects of malicious files. Such tools are anti-virus applications, various systems ("scanners") that search for malicious files, firewalls (Eng. Firewall), and so on, up to complex systems for protecting against malicious files and distributing them. However, users' computers are still infected with malicious files anyway.

Одной из причин продолжающегося заражения компьютеров является способность некоторых вредоносных файлов, таких как файлы-невидимки, скрываться от инструментов защиты. Другой причиной может являться все большее появления вредоносных файлов с целью получения коммерческой выгоды как разработчиками вредоносного программного обеспечения (ПО), так и их распространителями (заказчикам), что привело к созданию более сложных вредоносных файлов и как следствие усложнению процесса их выявления. Например, такими вредоносными программами (файлами) могут являться так называемые руткиты или вредоносные файлы, которые сопротивляются лечению (т.е. могут самостоятельно восстановиться, англ. Cure-resistant malware). Руткит представляет собой набор программных инструментов, которые позволяют скрывать свое присутствие на компьютере, а именно, скрывать процессы, запущенные из вредоносных файлов. Кроме того, руткиты могут внедряться на нулевом уровне защиты (уровень ядра в архитектуре информационной безопасности и функциональной отказоустойчивости), согласно которому руткиты получают максимальные привилегии доступа к ресурсам компьютера. Это позволяет руткитам перехватывать системные службы, которые операционная система и приложения используют во время работы на компьютере, и оставаться незамеченным на компьютере. Например, если антивирусное приложение, находящееся на компьютере, производит проверку данных/файлов, хранящихся на жестком (физическом) диске, то в рамках процесса проверки операционная система делает как минимум один вызов функции «открыть файл» при доступе к проверяемому файлу. Тем не менее, руткит произведет перехват вызываемой функции и вернет запрашиваемому процессу ответ, например, в виде ошибки «файл отсутствует» или перенаправит вызов функции на другой «чистый» файл. Таким образом, антивирусному приложению не удастся проверить требуемый файл и, соответственно, обнаружить вредоносный файл.One of the reasons for the continued infection of computers is the ability of some malicious files, such as stealth files, to hide from protection tools. Another reason may be the increasing appearance of malicious files in order to obtain commercial benefits both by the developers of malicious software (software) and their distributors (customers), which led to the creation of more complex malicious files and, as a consequence, complicating the process of their detection. For example, such malicious programs (files) may be so-called rootkits or malicious files that resist treatment (i.e., they can recover on their own, Cure-resistant malware). A rootkit is a set of software tools that allow you to hide your presence on a computer, namely, hide processes launched from malicious files. In addition, rootkits can be implemented at the zero level of protection (the kernel level in the information security architecture and functional fault tolerance), according to which rootkits receive maximum privileges of access to computer resources. This allows rootkits to intercept system services that the operating system and applications use while working on the computer and go unnoticed on the computer. For example, if an anti-virus application located on a computer scans data / files stored on a hard (physical) disk, then as part of the scan process, the operating system makes at least one call to the “open file” function when accessing the file being scanned. However, the rootkit will intercept the called function and return the response to the requested process, for example, in the form of an “file missing” error or redirect the function call to another “clean” file. Thus, the antivirus application will not be able to scan the required file and, accordingly, detect the malicious file.

Одним из решений для выявления таких вредоносных файлов как руткиты являются решения, связанные с проведением антивирусной проверки до или непосредственно во время загрузки операционной системы. Другое решение позволяет загрузить стороннюю операционную систему с внешнего устройства (например, оптического диска или «флэшки») для проведения антивирусной проверки компьютерного устройства (системы), которая включает полную проверку данных (файлов) на устройстве хранения данных.One of the solutions to detect such malicious files as rootkits is solutions related to the anti-virus scan before or directly during the boot of the operating system. Another solution allows you to download a third-party operating system from an external device (for example, an optical disk or a "flash drive") to conduct an anti-virus scan of a computer device (system), which includes a full scan of data (files) on a data storage device.

Так, в патенте US 8230511 B2 описывается технология антивирусной проверки компьютерного устройства с помощью защищенной доверенной операционной системы, которое содержит антивирусное приложение, при этом операционная система и антивирусное приложение были запущены с внешнего устройства. При выявлении вредоносных файлов они удаляются из компьютерного устройства. После проведения антивирусной проверки и удаления найденных вредоносных файлов производится перезагрузка компьютерного устройства, во время которой загружается уже очищенная «внутренняя» операционная система компьютерного устройства, где под внутренней ОС понимается ОС, которая является установленной ОС компьютерного устройства.So, in patent US 8230511 B2 describes the technology of anti-virus scanning of a computer device using a secure trusted operating system that contains an anti-virus application, while the operating system and anti-virus application were launched from an external device. When malicious files are detected, they are deleted from the computer device. After an anti-virus scan and removal of the found malicious files, the computer device is rebooted, during which the already cleaned "internal" operating system of the computer device is loaded, where the internal OS is understood as the OS that is the installed OS of the computer device.

Однако при таком решении производится полная антивирусная проверка компьютерной системы (т.е. всех данных (файлов), содержащийся на ней), что занимает достаточно длительное время. Кроме того, стоит также учитывать следующее обстоятельство: при удалении вируса, который, например, содержится в критическом файле (т.е. файл, при удалении которого не будет запускаться или корректно работать ОС), возможен сбой в загрузке или в работе внутренней операционной системы. Другим обстоятельством является необходимость в корректные очистки ОС, например, реестра Windows, в противном случае ОС может перестать работать. Еще одним недостатком существующих подходов является отсутствие возможности проведения антивирусной проверки одной из неактивных операционных систем при наличии на компьютерном устройстве нескольких установленных операционных систем, так как указанные решения не смогут определить, какие файлы относятся к какой операционной системе. Под неактивной операционной системой понимается операционная система, которая установлена на компьютерном устройстве, но в данный момент времени не запущена. Также представленные подходы не решают проблему борьбы с вредоносными файлами, которые имеют возможность самостоятельно восстановиться, например, с помощью копии данного файла, после его удаления. Кроме того, всегда актуальны новые подходы, направленные на выявления вредоносный файлов, которые препятствуют запуску антивирусных решений и/или загрузке операционной системе.However, with this solution, a full anti-virus scan of the computer system (i.e., all data (files) contained on it) is performed, which takes quite a long time. In addition, the following circumstance should also be taken into account: when a virus is deleted, which, for example, is contained in a critical file (i.e. a file that, when deleted, the OS will not start or work correctly), it may fail to load or the internal operating system . Another circumstance is the need for the correct cleaning of the OS, for example, the Windows registry, otherwise the OS may stop working. Another drawback of existing approaches is the lack of the ability to conduct anti-virus scanning of one of the inactive operating systems if there are several installed operating systems on the computer device, since these solutions will not be able to determine which files belong to which operating system. Inactive operating system refers to an operating system that is installed on a computer device, but is not currently running. Also, the presented approaches do not solve the problem of combating malicious files that have the ability to recover on their own, for example, using a copy of this file, after it is deleted. In addition, new approaches aimed at identifying malicious files that prevent the launch of antivirus solutions and / or loading the operating system are always relevant.

Поэтому, хотя описанное выше решение позволяет обнаружить вредоносные файлы, требуются новые подходы для проведения антивирусной проверки операционной системы, в частности неактивной операционной системы, и/или устранения последствий удаления вредоносных файлов из неактивной операционной системы (т.е. корректное удаление файла, с поиском зависимых файлов и/или данных). Соответственно, существует потребность в системе и способе, которые позволяют устранить последствия удаления вредоносного файла из неактивной операционной системы так, чтобы не возникал сбой при запуске или работе операционной системы и вредоносный файл не смог восстановиться.Therefore, although the solution described above allows you to detect malicious files, new approaches are required to conduct an anti-virus scan of the operating system, in particular, an inactive operating system, and / or to eliminate the consequences of deleting malicious files from an inactive operating system (i.e., correctly deleting a file with a search dependent files and / or data). Accordingly, there is a need for a system and method that can eliminate the consequences of deleting a malicious file from an inactive operating system so that there is no failure during startup or operation of the operating system and the malicious file cannot recover.

Сущность изобретенияSUMMARY OF THE INVENTION

Настоящее изобретение предназначено для устранения последствий удаления вредоносной программы (файла) и оставшихся следов вредоносной активности удаленного файла из неактивной операционной системы.The present invention is intended to eliminate the consequences of deleting a malicious program (file) and remaining traces of malicious activity of a deleted file from an inactive operating system.

Технический результат изобретения заключается в предотвращении ошибок при запуске или работе операционной системы после удаления вредоносного файла из указанной операционной системы в момент, когда указанная операционная система была неактивна. Указанный технический результат достигается за счет определения критических файлов для упомянутой операционной системы, когда она неактивна, среди удаленных вредоносных файлов и проведения ряда мер по выявлению и удаления данных или файлов, связанных с упомянутыми вредоносными файлами.The technical result of the invention is to prevent errors during startup or operation of the operating system after deleting a malicious file from the specified operating system at the time when the specified operating system was inactive. The specified technical result is achieved by identifying critical files for the mentioned operating system, when it is inactive, among the deleted malicious files and by taking a number of measures to identify and delete data or files associated with the said malicious files.

Другой технический результат изобретения заключается в устранении следов вредоносной активности из неактивной операционной системы.Another technical result of the invention is to eliminate traces of malicious activity from an inactive operating system.

В качестве одного из вариантов исполнения предлагается система устранения последствий удаления вредоносного файла во время проведения антивирусной проверки файлов операционной системы, которая установлена и не запущена на компьютере, т.е. неактивной операционной системы (ОС), при этом заявленная система содержит: средство перечисления ОС, предназначенное для поиска по крайней мере одной установленной на компьютере неактивной ОС, определения идентификаторов логических дисков для каждой установленной неактивной ОС и передачи информации о каждой неактивной ОС и определенных идентификаторах логических дисков, соответствующих каждой неактивной ОС средству поиска вредоносных файлов в неактивной ОС; средство поиска файлов, предназначенное для проведения антивирусной проверки файлов по крайней мере одной неактивной операционной системы и передачи информации о выявленном и удаленном вредоносном файле, и неактивной ОС, над файлами которой производилась антивирусная проверка, и идентификаторах логических дисков соответствующие упомянутой неактивной ОС средству очистки неактивной ОС; базу данных, связанную со средством очистки неактивной ОС и средством контроля критических файлов, предназначенную для хранения по крайней мере списка критических файлов ОС, безопасных резервных копий критических файлов, содержащихся в списке критических файлов ОС; средство очистки неактивной ОС, предназначенное для: сопоставления идентификаторов логических дисков, относящихся к проверенной неактивной ОС, с идентификаторами логических дисков, относящихся к активной ОС, где под активной ОС понимается ОС, которая запущена в момент проведения указанной проверки; поиска и удаления данных, которые связаны с удаленным вредоносным файлом, на логических дисках, используемых проверенной неактивной ОС, согласно сопоставленным идентификаторам логических дисков, где во время поиска производится проверка и анализ по крайней мере системного реестра проверенной неактивной ОС, объектов автозапуска и ярлыков из папки «рабочий стол», при этом упомянутыми связанными данными с удаленным вредоносным файлом являются данные, которые содержат в себе наличие полного пути к месторасположению удаленного вредоносного файла; передачи информации об удаленном вредоносном файле и неактивной ОС и идентификаторах логических дисков, соответствующих упомянутой неактивной ОС средству контроля критических файлов; средство контроля критических файлов, предназначенное для проверки удаленного вредоносного файла на критичность по отношению к проверенной неактивной ОС на основании полученной информации о неактивной ОС и удаленном вредоносном файле с помощью поиска информации о критичности вредоносного файла в списке критических файлов ОС, при этом, когда вредоносный файл является критическим файлом для неактивной ОС, средство контроля критических файлов производит установку безопасной версии указанного файла в месторасположения удаленного вредоносного файла.As one embodiment, a system is proposed for eliminating the consequences of deleting a malicious file during an anti-virus scan of files of the operating system that is installed and not running on the computer, i.e. an inactive operating system (OS), while the claimed system contains: an OS listing tool for searching at least one inactive OS installed on a computer, determining logical drive identifiers for each installed inactive OS, and transmitting information about each inactive OS and certain logical identifiers disks corresponding to each inactive OS means to search for malicious files in the inactive OS; file search tool designed to perform anti-virus scanning of files of at least one inactive operating system and transfer information about the detected and deleted malicious file, and the inactive OS, the files of which were scanned for viruses, and logical drive identifiers corresponding to the said inactive OS to the inactive OS cleaning tool ; a database associated with the inactive OS cleaning tool and critical file control tool, designed to store at least a list of critical OS files, safe backups of critical files contained in the list of critical OS files; an inactive OS cleaning tool designed to: match identifiers of logical disks related to a verified inactive OS with identifiers of logical disks related to an active OS, where an active OS refers to the OS that was launched at the time of the specified check; search and delete data associated with the deleted malicious file on logical disks used by a verified inactive OS, according to the matching identifiers of logical disks, where during the search, at least the registry of the checked inactive OS, startup objects and shortcuts from the folder are checked and analyzed. “Desktop”, while the mentioned related data with the deleted malicious file is data that contains the full path to the location of the remote malicious of the file; transmitting information about the remote malicious file and the inactive OS and logical drive identifiers corresponding to the inactive OS to the critical file control tool; critical file control tool designed to check the remote malicious file for criticality with respect to the checked inactive OS based on the information about the inactive OS and the remote malicious file by searching for the criticality information of the malicious file in the list of critical OS files, when the malicious file is a critical file for an inactive OS, the critical file control tool installs a safe version of the specified file in the remote harm location onos file.

В качестве другого варианта исполнения предлагается способ устранения последствий удаления вредоносного файла во время проведения антивирусной проверки файлов операционной системы, которая установлена и не запущена на компьютере, т.е. неактивной операционной системы (ОС), при этом указанный способ содержит этапы, на которых: получают с помощью средства очищения неактивной ОС информацию о проведенной антивирусной проверке неактивной ОС, идентификаторах логических дисков, соответствующих упомянутой неактивной ОС и по крайней мере об одном удаленном вредоносном файле, при этом информация об упомянутом вредоносном файле содержит по крайней мере имя и месторасположения файла; сопоставляют с помощью средства очищения неактивной ОС идентификаторы логических дисков, относящиеся к проверенной неактивной ОС, с идентификаторами логических дисков, относящимися к активной ОС, где под активной ОС понимается ОС, которая запущена в момент проведения указанной проверки; производят с помощью средства очищения неактивной ОС поиск и удаления данных, которые связаны с удаленным вредоносным файлом, на логических дисках, используемых проверенной неактивной ОС, согласно сопоставленным идентификаторам логических дисков, где во время поиска проверяют и анализируют по крайней мере системный реестр проверенной неактивной ОС, объекты автозапуска и ярлыки из папки «рабочий стол», при этом упомянутыми связанными данными с удаленным вредоносным файлом являются данные, которые содержат в себе наличие полного пути к месторасположению удаленного вредоносного файла; производят с помощью средства контроля критических файлов проверку удаленного вредоносного файла на критичность по отношению к проверенной неактивной ОС на основании информации о неактивной ОС и удаленном вредоносном файле с помощью поиска информации о критичности вредоносного файла в списке критических файлов ОС; при этом, когда вредоносный файл является критическим файлом для неактивной ОС, производят установку безопасной версии указанного файла в месторасположении удаленного вредоносного файла.As another embodiment, a method is proposed for eliminating the consequences of deleting a malicious file during an anti-virus scan of files of an operating system that is installed and not running on a computer, i.e. an inactive operating system (OS), wherein said method comprises the steps of: obtaining, using the inactive OS cleaning tool, information about an anti-virus scan of an inactive OS, identifiers of logical disks corresponding to said inactive OS, and at least one deleted malicious file, wherein the information about said malicious file contains at least the name and location of the file; using the inactive OS cleaning tool, compare the identifiers of logical disks related to the verified inactive OS with the identifiers of logical disks related to the active OS, where the active OS is understood as the OS that was launched at the time of the specified check; using the inactive OS cleaning tool, search and delete data that is associated with the deleted malicious file on the logical disks used by the verified inactive OS according to the mapped logical drive identifiers, where at least the system registry of the verified inactive OS is checked and analyzed during the search, startup objects and shortcuts from the desktop folder, while the mentioned related data with the deleted malicious file is data that contains the full path to location of the remote malicious file; using the critical file control tool, check the remote malicious file for criticality with respect to the checked inactive OS based on information about the inactive OS and the remote malicious file by searching for criticality information of the malicious file in the list of critical OS files; at the same time, when the malicious file is a critical file for an inactive OS, a safe version of the specified file is installed in the location of the deleted malicious file.

В другом варианте исполнения способа информация о упомянутом вредоносном файле дополнительно содержит хэш-сумму файла, тип файла и классификацию вредоносности файла.In another embodiment of the method, the information about said malicious file further comprises a hash of the file, file type and classification of the harmfulness of the file.

В еще одном варианте исполнения способа объектами автозапуска являются как файлы, так и ссылки.In yet another embodiment of the method, startup objects are both files and links.

В другом варианте исполнения способа на шаге в) данными являются по крайней мере файлы и ссылки.In another embodiment of the method in step c), the data is at least files and links.

В еще одном варианте исполнения способа ссылки являются как внешними, такие как ярлык на рабочем столе, так и внутренними, такие как информационная строка в программном коде файла или реестра неактивной ОС.In another embodiment of the method, the links are both external, such as a shortcut on the desktop, and internal, such as an information line in the program code of a file or registry of an inactive OS.

Краткое описание прилагаемых чертежейBrief description of the attached drawings

Сопровождающие чертежи, которые включены для обеспечения дополнительного понимания изобретения и составляют часть этого описания, показывают варианты осуществления изобретения и совместно с описанием служат для объяснения принципов изобретения.The accompanying drawings, which are included to provide an additional understanding of the invention and form part of this description, show embodiments of the invention and together with the description serve to explain the principles of the invention.

Заявленное изобретение поясняется следующими чертежами, на которых:The claimed invention is illustrated by the following drawings, in which:

Фиг. 1 показывает пример компьютерной системы общего назначения, на которой может быть реализовано заявленное изобретение.FIG. 1 shows an example of a general purpose computer system on which the claimed invention can be implemented.

Фиг. 2 иллюстрирует среду исполнения системы антивирусной проверки неактивных операционных систем.FIG. Figure 2 illustrates the runtime of the anti-virus scan system for inactive operating systems.

Фиг. 3 иллюстрирует архитектуру системы антивирусной проверки неактивных операционных систем с последующим устранением последствий удаления вредоносного файла во время проведения антивирусной проверки файлов неактивной операционной системы.FIG. 3 illustrates the architecture of the anti-virus scan system for inactive operating systems with the subsequent elimination of the consequences of deleting a malicious file during the anti-virus scan of files of an inactive operating system.

Фиг. 4 иллюстрирует пример реализации способа перечисления операционных систем во время проведения антивирусной проверки неактивных операционных систем с помощью заявленного изобретения.FIG. 4 illustrates an example implementation of a method for listing operating systems during an anti-virus scan of inactive operating systems using the claimed invention.

Фиг. 5 иллюстрирует частый случай реализации способа поиска вредоносного файла, проверки вредоносного файла и очищения неактивной операционной системы от последствий удаления вредоносного файла.FIG. 5 illustrates a frequent case of implementing the method of searching for a malicious file, checking a malicious file, and clearing an inactive operating system of the consequences of deleting a malicious file.

Описание вариантов осуществления изобретенияDescription of Embodiments

Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, обеспеченными для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется только в объеме приложенной формулы.The objects and features of the present invention, methods for achieving these objects and features will become apparent by reference to exemplary embodiments. However, the present invention is not limited to the exemplary embodiments disclosed below, it can be embodied in various forms. The essence described in the description is nothing more than the specific details provided to assist the specialist in the field of technology in a comprehensive understanding of the invention, and the present invention is defined only in the scope of the attached claims.

На Фиг. 1 показана компьютерная система, на которой может быть реализовано описанное изобретение.In FIG. 1 shows a computer system on which the described invention may be implemented.

Фиг. 1 представляет пример компьютерной системы общего назначения (может быть как персональным компьютером, так и сервером) 20, содержащей центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26 содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.FIG. 1 represents an example of a general-purpose computer system (it can be either a personal computer or a server) 20 comprising a central processor 21, a system memory 22, and a system bus 23 that contains various system components, including memory associated with the central processor 21. The system bus 23 is implemented as any bus structure known in the art, which in turn contains a bus memory or a bus memory controller, a peripheral bus and a local bus that is capable of interacting with any other bus oh architecture. The system memory contains read-only memory (ROM) 24, random access memory (RAM) 25. The main input / output system (BIOS) 26 contains the basic procedures that ensure the transfer of information between the elements of the personal computer 20, for example, at the time of loading the operating system using ROM 24.

Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.The personal computer 20 in turn contains a hard disk 27 for reading and writing data, a magnetic disk drive 28 for reading and writing to removable magnetic disks 29, and an optical drive 30 for reading and writing to removable optical disks 31, such as a CD-ROM, DVD -ROM and other optical information carriers. The hard disk 27, the magnetic disk drive 28, the optical drive 30 are connected to the system bus 23 through the interface of the hard disk 32, the interface of the magnetic disks 33 and the interface of the optical drive 34, respectively. Drives and associated computer storage media are non-volatile means of storing computer instructions, data structures, software modules and other data of a personal computer 20.

Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флэш-карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.The present description discloses an implementation of a system that uses a hard disk 27, a removable magnetic disk 29, and a removable optical disk 31, but it should be understood that other types of computer storage media 56 that can store data in a form readable by a computer (solid state drives, flash memory cards, digital disks, random access memory (RAM), etc.) that are connected to the system bus 23 through the controller 55.

Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например колонками, принтером и т.п.Computer 20 has a file system 36 where the recorded operating system 35 is stored, as well as additional software applications 37, other program modules 38, and program data 39. The user is able to enter commands and information into personal computer 20 via input devices (keyboard 40, keypad “ the mouse "42). Other input devices (not displayed) can be used: microphone, joystick, game console, scanner, etc. Such input devices are, as usual, connected to the computer system 20 via a serial port 46, which in turn is connected to the system bus, but can be connected in another way, for example, using a parallel port, a game port, or a universal serial bus (USB). A monitor 47 or other type of display device is also connected to the system bus 23 via an interface such as a video adapter 48. In addition to the monitor 47, the personal computer may be equipped with other peripheral output devices (not displayed), such as speakers, a printer, and the like.

Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 является таким же персональным компьютером или сервером, который имеет большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 1. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.The personal computer 20 is capable of operating in a networked environment, using a network connection with another or several remote computers 49. The remote computer (or computers) 49 is the same personal computer or server that has most or all of the elements mentioned earlier in the description of the creature the personal computer 20 of FIG. 1. Other devices, such as routers, network stations, peer-to-peer devices, or other network nodes, may also be present on the computer network.

Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.Network connections can form a local area network (LAN) 50 and a wide area network (WAN). Such networks are used in corporate computer networks, internal networks of companies and, as a rule, have access to the Internet. In LAN or WAN networks, the personal computer 20 is connected to the local area network 50 via a network adapter or network interface 51. When using the networks, the personal computer 20 may use a modem 54 or other means of providing communication with a global computer network such as the Internet. The modem 54, which is an internal or external device, is connected to the system bus 23 via the serial port 46. It should be clarified that the network connections are only exemplary and are not required to display the exact network configuration, i.e. in reality, there are other ways to establish a technical connection between one computer and another.

Фиг. 2 иллюстрирует среду исполнения системы антивирусной проверки неактивных операционных систем.FIG. Figure 2 illustrates the runtime of the anti-virus scan system for inactive operating systems.

На Фиг. 2 рассматривается один из вариантов осуществления заявленной системы антивирусной проверки неактивных операционных систем, а именно антивирусная проверка файлов неактивной операционной системы с помощью антивирусного средства 130 при наличии на компьютерном устройстве (компьютере) 20 двух и более установленных операционных систем. Стоит отметить, что под неактивной операционной системой (ОС) понимается такая ОС, которая установлена на компьютер 20 пользователя, но при этом не используется (не запущена) в текущий момент времени и хранится на запоминающем устройстве, например на жестком диске 27. В свою очередь под активной операционной системой понимается ОС, которая загружена и исполняется на компьютере. Примером такой ОС является операционная система 35, т.е. загруженная ОС в оперативную память 25 компьютера 20 и используемая в текущий момент времени пользователем.In FIG. 2, one of the embodiments of the claimed anti-virus scan system for inactive operating systems is considered, namely, anti-virus scanning of files of an inactive operating system using an anti-virus tool 130 if there are 20 or more installed operating systems on a computer device (computer). It is worth noting that an inactive operating system (OS) refers to an OS that is installed on the user's computer 20, but is not used (not running) at the current time and is stored on a storage device, for example, on a hard disk 27. In turn An active operating system refers to an OS that is loaded and executed on a computer. An example of such an OS is operating system 35, i.e. loaded OS in the RAM 25 of the computer 20 and is currently used by the user.

Стоит отметить, что под запоминающим устройством понимается устройство, имеющее возможность хранить различные данные (файлы) или информацию, которую может использовать ОС, в том числе и данные самой ОС. Также запоминающее устройство может являться массивом запоминающих устройств, например, в виде RAID (англ. redundant array of independent disks - избыточный массив независимых жестких дисков), т.е. массив из нескольких дисков. Примерами запоминающих устройств являются как жесткий диск 27, так и такие устройства, как HHD (half-height drive - дисковый накопитель половинной высоты), SSD (Solid-State Disk - полупроводниковый диск), флэш-накопитель и другие. Массив запоминающих устройств может состоять как из устройств, физически связанных между собой, например нескольких жестких дисков, так и разнесенных в пространстве и связанных через сеть, например, с помощью сети «Интернет» 190. Сеть может являться как локальной, так и глобальной. Массив запоминающих устройств может содержать как одинаковые типы устройств, так и отличные друг от друга.It should be noted that a storage device is a device that can store various data (files) or information that the OS can use, including data from the OS itself. Also, the storage device can be an array of storage devices, for example, in the form of RAID (English redundant array of independent disks - redundant array of independent hard drives), i.e. an array of several disks. Examples of storage devices are both the 27 hard drive and devices such as HHD (half-height drive), SSD (Solid-State Disk), flash drives, and others. An array of storage devices can consist of devices that are physically connected to each other, for example, several hard drives, or spaced in space and connected through a network, for example, using the Internet 190. The network can be either local or global. An array of storage devices can contain both the same types of devices, and different from each other.

В настоящее время операционные системы, в частности операционные системы семейства «Microsoft Windows», при взаимодействии с запоминающим устройством используют возможность деления запоминающих устройств (жестких дисков) на разделы (англ. partition). Раздел может быть либо первичным (англ. primary partition), либо расширенным (дополнительным, англ. extended partition). Кроме того, диск содержит таблицу разделов (англ. partition table), которая является частью главной загрузочной записи (англ. master boot record, MBR). Кроме того, первичных разделов может быть несколько, при этом каждый раздел может иметь свою файловую систему. Расширенный раздел может быть только один и не имеет собственной файловой системы, но при этом может содержать другие логические разделы (диски), при этом количество логических дисков и их размер ограничивается только размером запоминающего устройства. Кроме того, логические диски также как первичные разделы могут иметь как один тип файловой системы, так и различный. Разделение диска на разделы необходимо, например, для установки нескольких операционных систем, которые устанавливаются на отдельные логические разделы (диски) для отделения файлов одной ОС от файлов другой или отделения файлов операционной системы от файлов пользователя, а также для удобства хранения и взаимодействия с файлами (данными), хранящимися на запоминающем устройстве.Currently, operating systems, in particular operating systems of the Microsoft Windows family, when interacting with a storage device, use the ability to divide storage devices (hard drives) into partitions (English partition). A partition can be either primary (English primary partition) or extended (optional, English extended partition). In addition, the disk contains a partition table (English partition table), which is part of the master boot record (English master boot record, MBR). In addition, there may be several primary partitions, with each partition having its own file system. An extended partition can be only one and does not have its own file system, but it can contain other logical partitions (disks), while the number of logical disks and their size is limited only by the size of the storage device. In addition, logical drives as well as primary partitions can have either one type of file system or a different one. Partitioning a disk into partitions is necessary, for example, to install several operating systems that are installed on separate logical partitions (disks) to separate files from one OS from files of another or to separate files from the operating system from user files, as well as for convenient storage and interaction with files ( data) stored on a storage device.

Стоит отметить, что логический диск воспринимается ОС как отдельное устройство, которое имеет собственное имя, каталог(и) и другие данные, соответствующие жесткому диску. Поэтому каждому логическому диску присваивается свой идентификатор, например буквенное наименование такое как, «C:», «D:», «Z:» и так далее. Разделение на логические диски, как правило, производится во время форматирования запоминающего устройства (далее данный термин будет использоваться как жесткий диск). Форматированием жесткого диска является разбиение жесткого диска в компьютере на адресуемые элементы с целью подготовки жесткого диска к приему информации. Кроме того, при установлении нескольких операционных систем на компьютер 20, каждая операционная система, как правило, будет хранить (размещать) свои данные (файлы) на отдельном логическом диске. Например, ОС «Windows ХР» будет размещена на локальном диске «С:», а ОС «Windows 7» на локальном диске «D:». В то же время, для каждой установленной операционной системы нумерация логических дисков будет индивидуальна (пример представлен в Таблице ниже).It is worth noting that the logical drive is perceived by the OS as a separate device that has its own name, directory (s) and other data corresponding to the hard drive. Therefore, each logical drive is assigned its own identifier, for example, a letter name such as "C:", "D:", "Z:" and so on. Partitioning into logical drives is usually done during formatting of the storage device (hereinafter this term will be used as a hard drive). Formatting a hard disk is the partitioning of the hard disk in the computer into addressable elements in order to prepare the hard disk for receiving information. In addition, when installing several operating systems on the computer 20, each operating system, as a rule, will store (place) its data (files) on a separate logical disk. For example, the Windows XP OS will be located on the local C: drive, and the Windows 7 OS on the local D: drive. At the same time, for each installed operating system, the numbering of logical drives will be individual (an example is presented in the Table below).

Итак, рассмотрим частный вариант реализации заявленного изобретения, при этом жесткий диск 160 содержит по крайней мере две операционные системы, которые установлены на компьютере. Одна ОС запущена, т.е. является активной ОС, другая(ие) ОС не запущены, т.е. являются неактивной(ыми) ОС. Стоит отметить, что чем больше неактивных ОС установлены на компьютере и хранятся на жестком диске, тем наиболее предпочтительнее использовать заявленное изобретение, т.к. при увеличении ОС затрудняется антивирусная проверка каждой неактивной ОС в отдельности. Так, для проведения антивирусной проверки неактивных операционных систем загружена в оперативной памяти 35 компьютера 20 операционная система 35, например «Linux», и запущено в загруженной ОС антивирусное средство 130, которое может являться как приложением 37, так и программно-аппаратным устройством, которое может быть исполнено на процессоре компьютера 20. Жесткий диск (запоминающее устройство) 160 может состоять как из одного жесткого диска 160а (не показан на Фиг. 2), так и из множества жестких дисков 160а…160n (не показаны на Фиг. 2).So, we consider a particular embodiment of the claimed invention, while the hard disk 160 contains at least two operating systems that are installed on the computer. One OS is running, i.e. is an active OS, the other OS is not running, i.e. are inactive OS. It is worth noting that the more inactive OSs are installed on the computer and stored on the hard drive, the more preferred it is to use the claimed invention, because when the OS is increased, anti-virus scanning of each inactive OS separately is difficult. So, to conduct an anti-virus scan of inactive operating systems, the operating system 35, for example, “Linux”, is loaded into the RAM 35 of the computer 20, and an antivirus tool 130 is launched in the loaded OS, which can be either application 37 or a hardware-software device that can be executed on the processor of the computer 20. The hard disk (storage device) 160 may consist of either a single hard disk 160a (not shown in Fig. 2) or a plurality of hard disks 160a ... 160n (not shown in Fig. 2).

Как было написано выше, жесткий диск 160 для каждой операционной системы представляет собой набор логических дисков, при этом для каждой операционной системы идентификатор (например, имя) каждого логического диска свой. Так, один и тот же раздел жесткого диска (т.е. локальный диск) будет иметь различные имена для различных ОС. Пример для компьютера, на котором жесткий диск разделен на четыре локальных диска и установлены две операционные системы (ОС «Windows ХР» и ОС «Windows 7»), представлен в таблице ниже.As described above, the hard disk 160 for each operating system is a set of logical drives, and for each operating system, the identifier (for example, name) of each logical drive is different. So, the same hard disk partition (i.e., local disk) will have different names for different OS. An example for a computer on which the hard disk is divided into four local disks and two operating systems are installed (OS “Windows XP” and OS “Windows 7”) is presented in the table below.

Figure 00000001
Figure 00000001

Таким образом, при загрузке той или иной ОС идентификаторы (имена) логических дисков будут индивидуальны для каждой ОС, установленной на компьютер (как неактивной, так и активной). Поэтому для проверки какого-либо файла (данных, информации), хранящегося на жестком диске 160, какой-либо операционной системы, необходимо произвести обращения к указанному файлу в соответствии с полным путем к файлу в конкретной ОС. Полный путь представляет собой строковое выражение, задающее местоположение файла. Примером полного пути (маршрута) к исполняемому файлу приложения «Kaspersky Endpoint Security 10» является следующие строковое выражение: «C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 10 for Windows SP1\kesdr.exe».Thus, when loading an OS, the identifiers (names) of logical drives will be individual for each OS installed on the computer (both inactive and active). Therefore, to check any file (data, information) stored on the hard disk 160, any operating system, it is necessary to access the specified file in accordance with the full path to the file in a particular OS. The full path is a string expression specifying the location of the file. An example of the full path (route) to the executable file of the Kaspersky Endpoint Security 10 application is the following string expression: "C: \ Program Files (x86) \ Kaspersky Lab \ Kaspersky Endpoint Security 10 for Windows SP1 \ kesdr.exe".

Стоит отметить, что для вариантов реализации, когда на компьютере 20 установлена операционная система «Linux» кроме операционной системы Windows, то в «Linux» используется понятие «точка монтирования», которое соответствует идентификатору (имени) логических дисков так, что точка монтирования указывает на имя папки (файла) внутри файловой системы ОС «Linux», в которую отображается логический диск, имеющий соответствующий (определенный) идентификатор логического диска.It is worth noting that for the implementation options, when the Linux operating system is installed on computer 20 except the Windows operating system, then the term “mount point” is used in “Linux”, which corresponds to the identifier (name) of logical disks so that the mount point indicates the name of the folder (file) inside the Linux OS file system into which the logical drive is displayed having the corresponding (defined) identifier of the logical drive.

В свою очередь антивирусное средство 130, запущенное на компьютере 20 в активной операционной системе 35, содержит перечень средств 140, которые предназначены для проведения антивирусной проверки неактивных операционных систем, и базу данных 150. Состав средств из перечня средств 140 и их назначение представлены при описании Фиг. 3. База данных 150 хранит данные (информацию), предназначенные для выполнения антивирусной проверки неактивных ОС антивирусным средством 130 и/или его средствами из перечня средств 140. Примерами таких данных могут являться как описание вредоносных файлов (например, сигнатуры файлов в виде хеш-сумм), так и различные политики (правила) безопасности, контроля или выявления вредоносных файлов. Также база данных может хранить различную вспомогательную информацию, например списки о различных типах файлов. База данных 150 является пополняемой и изменяемой, при этом пополнение и изменение производятся в соответствии с потребностями (необходимой информацией для выполнения средствами своего назначения) как самого антивирусного средства 130, так и с потребностями средств из перечня средств 140. В зависимости от варианта реализации изменения могут вноситься как непосредственно с компьютера пользователя, так и удаленным путем, например, с помощью антивирусного сервера 180 через сеть «Интернет» 190. Кроме того, в одном из вариантов реализации база данных 150 может быть размещена отдельно (удаленно) от антивирусного средства 130, например на антивирусном сервере 180. Также стоит отметить, что кроме базы данных 150 может использоваться любойэлемент хранения информации. Так, например, файл, реестр или сектор на жестком диске.In turn, the anti-virus tool 130, running on the computer 20 in the active operating system 35, contains a list of tools 140 that are intended for anti-virus scanning of inactive operating systems, and a database 150. The composition of the tools from the list of tools 140 and their purpose are presented in the description of FIG. . 3. Database 150 stores data (information) intended for anti-virus scanning of inactive OS by anti-virus tool 130 and / or its tools from the list of tools 140. Examples of such data may be a description of malicious files (for example, file signatures in the form of hash sums ), as well as various policies (rules) of security, control or detection of malicious files. The database can also store various supporting information, for example lists of various types of files. Database 150 is replenished and changeable, while replenishment and change are made in accordance with the needs (necessary information to be fulfilled by the means of its intended use) of both the antivirus tool 130 itself and the needs of the funds from the list of tools 140. Depending on the implementation, the changes may can be entered either directly from the user's computer or remotely, for example, using the anti-virus server 180 via the Internet 190. In addition, in one embodiment, the database is 150 can be placed separately (remotely) from the anti-virus tool 130, for example, on the anti-virus server 180. It is also worth noting that in addition to the database 150, any information storage element can be used. So, for example, a file, registry or sector on the hard drive.

Особенностью проведения антивирусной проверки неактивных ОС является способность определения принадлежности файлов к проверяемой неактивной ОС за счет определения положения файлов в проверяемой ОС и проведения точечного и/или частичного сканирования (антивирусной проверки) файлов неактивной ОС, а не проверка всех данных (файлов) на жестком диске, представленная в известных изобретениях. Для этого заявленное изобретение производит перечисление (нумерацию) логических дисков для каждой неактивной ОС.A feature of antivirus scanning of inactive OSs is the ability to determine whether files belong to the inactive OS by detecting the location of files in the OS being scanned and to perform point and / or partial scanning (antivirus scan) of files of the inactive OS, rather than checking all data (files) on the hard drive presented in the known inventions. For this, the claimed invention enumerates (numbering) logical drives for each inactive OS.

Во время проведения антивирусной проверки неактивных ОС антивирусное средство 130 имеет возможность производить следующие действия:During the anti-virus scan of inactive OS, the anti-virus tool 130 has the ability to perform the following actions:

- поиск всех неактивных ОС, таких как 170а…170n, на жестком диске 160, во время которого определяются идентификаторы (имена) логических дисков для каждой ОС, и связь между именами логических дисков различных ОС,- search for all inactive OSs, such as 170a ... 170n, on the hard disk 160, during which identifiers (names) of logical disks for each OS are determined, and the relationship between the names of logical disks of different OSs,

- определение необходимости проведения антивирусной проверки каждой выявленной неактивной ОС,- determination of the need for anti-virus scanning of each detected inactive OS,

- формирование очереди антивирусной проверки неактивных ОС,- queuing anti-virus scans for inactive OS,

- поиск вредоносных файлов для каждой неактивной ОС,- search for malicious files for each inactive OS,

- при выявлении вредоносного файла проверку критичности обнаруженного вредоносного файла как для проверяемой неактивной ОС, так и для других ОС, содержащихся на компьютере пользователя,- upon detection of a malicious file, the criticality of the detected malicious file is checked both for the inactive OS being checked and for other operating systems contained on the user's computer,

- удаление или лечение вредоносного файла,- removal or treatment of a malicious file,

- очистку неактивной ОС (жесткого диска) от следов работы вредоносного файла, т.е. от следов вредоносной активности вредоносных файлов.- cleaning the inactive OS (hard disk) from traces of the malicious file, i.e. from traces of malicious activity of malicious files.

Стоит отметить, что под следами работы вредоносного файла понимаются различные связи вредоносного файла с другими файлами ОС, например: наличие ссылки на вредоносный файл в другом файле; файл-ссылка (например, симлинк, от англ. Symbolic link) на другую (вторую, третью, …) часть вредоносного файла, размещенную в другой папке или даже на другом локальном диске; ссылки из системного реестра ОС на выявленный вредоносный файл; или ярлык (англ. shortcut) в папке «Рабочий стол». Поиск же вредоносных файлов производится согласно идентификаторам дисков, которые соответствуют проверяемой неактивной ОС и в определенных местах (локальных дисках, каталогах, папках). Кроме того, в предпочтительном варианте реализации при проведении антивирусной проверки проводится проверка преимущественно автозапускаемых файлов, системных файлов ОС, критических файлов ОС и файлов, размещенных в папках автозапуска.It is worth noting that the traces of the operation of a malicious file are understood as various connections of the malicious file with other OS files, for example: the presence of a link to a malicious file in another file; a file link (for example, a symlink, from the English. Symbolic link) to another (second, third, ...) part of the malicious file located in another folder or even on another local drive; links from the OS registry to the identified malicious file; or a shortcut in the “Desktop” folder. The search for malicious files is carried out according to the identifiers of the disks that correspond to the inactive OS being checked and in certain places (local disks, directories, folders). In addition, in the preferred embodiment, when conducting an anti-virus scan, it checks mainly autorun files, OS system files, critical OS files and files located in autorun folders.

На Фиг. 3 показана архитектура системы антивирусной проверки неактивных операционных систем с последующим устранением последствий удаления вредоносного файла во время проведения антивирусной проверки файлов неактивной операционной системы. В одном из вариантов реализации система антивирусной проверки неактивных ОС (далее - заявленная система) содержит по крайней мере средство перечисления ОС 210, средство поиска вредоносных файлов в неактивных ОС (далее - средство поиска файлов) 220, средство очищения неактивной ОС (далее - средство очищения) 230 и средство контроля критических файлов (далее - средство контроля) 240. Кроме того, заявленная система или ее средства взаимодействуют с базой данных 150 и массивом жестких дисков (далее - жесткий диск) 160. Стоит отметить, заявленная система не ограничивается указанным составом средств, а также может иметь связь с удаленным сервером, например антивирусным сервером 180 (показан на Фиг. 2). Связь с сервером 180 будет производиться через сеть «Интернет» 190.In FIG. Figure 3 shows the architecture of the anti-virus scan system for inactive operating systems with the subsequent elimination of the consequences of deleting a malicious file during the anti-virus scan of files of an inactive operating system. In one embodiment, the anti-virus scan system for inactive OS (hereinafter referred to as the claimed system) contains at least OS 210 enumerator, malware search tool for inactive OS (hereinafter referred to as file search tool) 220, and an inactive OS cleaner (hereinafter referred to as a means of cleansing) ) 230 and a critical file control tool (hereinafter referred to as a control tool) 240. In addition, the claimed system or its tools interact with a database 150 and an array of hard disks (hereinafter referred to as a hard disk) 160. It should be noted that the claimed system does not granichivaetsya said composition means, and may also have a connection with a remote server such as central server 180 (shown in FIG. 2). Communication with the server 180 will be via the Internet 190.

Антивирусный сервер 180 может иметь различные назначения, в том числе в одном из вариантов реализации содержать базы данных 150 или, по крайней мере, одно из средств 210, 220, 230 и 240, т.е. иметь функционал и назначения указанных средств. В этом случае средство перечисления ОС 210, средство поиска файлов 220, средство сравнения 230 и средство контроля 240 могут частично или полностью перенаправлять возложенные на них задачи к антивирусному серверу 180. Тогда средства 210, 220, 230 и 240 будут являться средствами, которые передают и получают необходимую информации для работы системы антивирусной проверки неактивных ОС. Таким образом, упомянутая система в одном из вариантов реализации может являться распределенной системой.Anti-virus server 180 can have various purposes, including, in one embodiment, contain databases 150 or at least one of the tools 210, 220, 230, and 240, i.e. have the functionality and purpose of these funds. In this case, the OS 210 listing tool, the file search tool 220, the comparison tool 230, and the control tool 240 can partially or fully redirect tasks assigned to them to the anti-virus server 180. Then, the tools 210, 220, 230, and 240 will be the tools that transmit and receive the necessary information for the operation of the anti-virus scan system of inactive OS. Thus, said system in one embodiment may be a distributed system.

В другом варианте реализации средство перечисления ОС 210 и средство поиска файлов 220 могут быть объединены в системе антивирусной проверки файлов неактивных операционных систем, а в свою очередь средство очищения 230 и средство контроля 240 могут формировать систему устранения последствий удаления вредоносного файла во время проведения антивирусной проверки файлов неактивной операционной системы.In another embodiment, the OS enumerator 210 and the file search tool 220 can be combined in an anti-virus file scan system of inactive operating systems, and in turn, the cleaning tool 230 and the control tool 240 can form a system for eliminating the consequences of deleting a malicious file during the anti-virus file scan inactive operating system.

Итак, средство перечисления ОС 210 предназначено для поиска на жестком диске 160 всех хранящихся ОС 170а…170n и определения списка логических дисков и соответствующих идентификаторов (например, имен) логических дисков для каждой найденной ОС. Для этого средство перечисления ОС 210 определяет все жесткие (физические) диски, установленные на компьютере 20, и производит разбор (анализ) структуры физического диска 160 (в том случае, когда несколько физических дисков, производится разбор каждого) с целью определения разделов физического диска и количества логических дисков, на которые разделены жесткие диски 160, установленные на компьютере 20. В одном из вариантов реализации разбор структуры жесткого диска 160 производится с помощью набора драйверов для различных файловых систем. В зависимости от реализации изобретения набор драйверов может входить как в состав средства перечисления ОС 210, так и запрашиваться из базы данных 150.So, the OS 210 enumerator is designed to search on the hard disk 160 for all stored OS 170a ... 170n and determine the list of logical drives and the corresponding identifiers (for example, names) of logical drives for each OS found. For this, the OS 210 enumerator determines all the hard (physical) disks installed on the computer 20 and parses (analyzes) the structure of the physical disk 160 (in the case when several physical disks are parsed each) in order to determine the partitions of the physical disk and the number of logical disks into which the hard disks 160 installed on the computer 20 are divided. In one embodiment, the structure of the hard disk 160 is parsed using a set of drivers for various file systems. Depending on the implementation of the invention, a set of drivers may be included as part of the OS 210 enumerator, or be requested from the database 150.

Средство перечисления ОС 210 с помощью драйвера определяет список разделов физического диска, т.е. список логических дисков, на которое разделен физический диск 160. Далее средство 210 производит поиск и анализ установленных ОС на компьютере 20. Во время поиска установленных ОС средство 210 выявляет все файлы-загрузчики (т.е. файлы, которые необходимы для старта процесса загрузки ОС) операционных систем, содержащиеся на логических дисках. Кроме того, в одном из вариантов реализации при выявлении файла-загрузчика средство перечисления 210 проверяет его целостность. Целостность файла-загрузчика проверяется, например, с помощью определения наличия всей необходимой информации в файле. После чего средство перечисления 210 анализирует структуру каждого выявленного файла-загрузчика для определения по крайней мере типа ОС, к которой файл-загрузчик относится, полного пути (адреса) загрузки ОС и места хранения файлов, принадлежащих выявленной ОС. Кроме того, средство перечисления 210 дополнительно определяет имя семейства ОС, версия ОС, разрядность ОС, сервис для работы с файлами ОС, список пользователей, сервис для работы с системным реестром (только для Microsoft Windows). Например, путь загрузки для семейства ОС «Microsoft Windows ХР» определяется с помощью конфигуратора файла-загрузчика «boot.ini».The OS 210 enumerator using the driver determines the list of partitions of the physical disk, i.e. a list of logical disks into which the physical disk 160 is partitioned. Next, the tool 210 searches and analyzes the installed OS on the computer 20. During the search for the installed OS, the tool 210 detects all downloader files (that is, files that are necessary to start the OS boot process ) operating systems contained on logical drives. In addition, in one embodiment, when a loader file is detected, the enumerator 210 checks its integrity. The integrity of the file downloader is checked, for example, by determining the presence of all the necessary information in the file. After that, the listing tool 210 analyzes the structure of each identified bootloader file to determine at least the type of OS to which the bootloader belongs, the full path (address) of loading the OS, and the storage location of files belonging to the identified OS. In addition, Listing Tool 210 additionally determines the OS family name, OS version, OS bit depth, a service for working with OS files, a list of users, a service for working with the system registry (only for Microsoft Windows). For example, the boot path for the Microsoft Windows XP family of OS is determined using the boot.ini bootloader configurator.

Согласно определенному пути загрузки ОС производится проверка наличия ОС по указанному адресу и выявляется системный реестр соответствующей ОС. После чего средство 210 анализирует системный реестр каждой обнаруженной ОС, во время которого определяет, на каких логических дисках расположены файлы анализируемой ОС и какие имена логических дисков соответствуют анализируемой ОС. Таким образом, средство перечисления 210 выявляет все установленные неактивные операционные системы на компьютере 20, список логических дисков и имена логических дисков, соответствующие каждой установленной неактивной ОС. При этом дополнительно средство 210 сопоставит имена логических дисков одной неактивной ОС с именами логических дисков другой неактивной/активной ОС. Результатом сопоставления имен логических дисков различных ОС может являться сформированная таблица, содержащая информацию об именах логических дисков различных ОС. Далее средство перечисления 210 передает информацию об установленных неактивных ОС и соответствующих идентификаторах (именах) логических дисков средству поиска файлов 220. Под информацией об неактивных ОС понимается по крайней мере тип ОС, версия ОС и место размещения загрузочных файлов ОС, но не ограничивается ими.According to a specific OS loading path, the OS is checked for the specified address and the system registry of the corresponding OS is detected. After that, the tool 210 analyzes the system registry of each detected OS, during which it determines on which logical disks the files of the analyzed OS are located and which names of the logical disks correspond to the analyzed OS. Thus, the enumerator 210 detects all installed inactive operating systems on the computer 20, the list of logical drives and the names of the logical drives corresponding to each installed inactive OS. In addition, the tool 210 will match the logical drive names of one inactive OS with the logical drive names of another inactive / active OS. The result of matching the names of logical drives of different OSs can be a formed table containing information about the names of logical drives of different OSs. Further, the listing tool 210 transmits information about the installed inactive OS and the corresponding identifiers (names) of logical disks to the file search tool 220. Information about inactive OS means at least the type of OS, OS version, and location of the OS boot files, but is not limited to them.

В частном варианте реализации заявленного изобретения средство перечисления 210 может определить количество логических дисков с помощью активной (загруженной) ОС. Для этого средство 210 найдет системный реестр активной ОС и произведет его анализ (в случае с ОС «Windows»).In a particular embodiment of the claimed invention, the enumerator 210 can determine the number of logical drives using an active (loaded) OS. To do this, tool 210 will find the registry of the active OS and analyze it (in the case of the Windows operating system).

Средство поиска файлов 220 предназначено для определения (выбора) по крайней мере одной неактивной ОС, которую необходимо проверить на наличие вредоносных файлов, и проведения антивирусной проверки файлов выбранной неактивной ОС. Определения необходимости проведения антивирусной проверки файлов неактивной ОС производится на основании по крайней мере одного из следующих критериев:File search tool 220 is designed to determine (select) at least one inactive OS that needs to be checked for malicious files, and to conduct anti-virus scanning of files of the selected inactive OS. Determining the need for anti-virus scanning of files of an inactive OS is based on at least one of the following criteria:

- ответ пользователя на запрос о проведении антивирусной проверки неактивных ОС (запрос может быть, как по всем неактивным ОС, так и по некоторым из них), при этом в ответе пользователь указывает какие неактивные ОС необходимо проверить;- the user's response to the request for anti-virus scanning of inactive OS (the request can be, for all inactive OS, as well as for some of them), while in the response the user indicates which inactive OS should be checked;

- установленный флаг, указывающий на проведения антивирусной проверки каждой неактивной ОС после выявления соответствующей неактивной ОС, при этом в случае выявления неактивных ОС более одной может быть сформирован график проверки и последовательность проверки выявленных неактивных ОС;- a flag is set that indicates the anti-virus scan of each inactive OS after identifying the corresponding inactive OS, and in case of identifying inactive OS more than one, a scan schedule and a sequence of checks for detected inactive OSs can be generated;

- дата последней антивирусной проверки неактивной ОС устарела, например задается пользователем или по умолчанию временной порог между антивирусными проверками неактивной ОС, при превышении которого требуется проведения антивирусной проверки неактивной ОС;- the date of the last anti-virus scan of an inactive OS is outdated, for example, by the user or by default the time threshold between anti-virus checks of an inactive OS, exceeding which requires an anti-virus scan of an inactive OS;

- и т.д.- etc.

После определения необходимости проведения антивирусной проверки по крайней мере одной неактивной ОС средство поиска файлов 220 производит антивирусную проверку. Во время антивирусной проверки средство поиска файлов 220 определяет место размещения (полные путь хранения) каждого файла проверяемой неактивной ОС согласно именам (буквам) логических дисков, соответствующих проверяемой неактивной ОС. Для этого средство поиска файлов 220 сопоставляет идентификаторы (имена) логических дисков, относящихся к проверяемой неактивной ОС, с идентификаторами логических дисков, относящиеся к активной ОС. Стоит отметить, что антивирусная проверка может производиться как над всеми файлами проверяемой неактивной ОС, так и только над частью файлов. В предпочтительном варианте реализации производится антивирусная проверка файлов, которые относятся к автозапускаемым файлам, служащим для запуска проверяемой неактивной ОС, критическим файлам и исполняемым файлам, которые хранятся в папках «автозапуска» пользователей компьютера. Для того чтобы определить месторасположения указанных файлов, средство поиска файлов 220 использует полученные идентификаторы (например, имена) логических дисков для неактивной ОС и их соответствие идентификаторам (именам) логических дисков активной ОС. Для операционных систем семейства «Microsoft Windows» также будет проверен системный реестр неактивной ОС. Непосредственно антивирусная проверка файлов производится с помощью современных технических решений и технологий, содержащихся, например, в программных продуктах компании «АО Лаборатория Касперского».After determining the need for an anti-virus scan of at least one inactive OS, the file search tool 220 performs an anti-virus scan. During the anti-virus scan, the file search tool 220 determines the location (full storage path) of each file of the inactive OS to be checked according to the names (letters) of logical disks corresponding to the inactive OS to be checked. To do this, the file search tool 220 matches the identifiers (names) of the logical disks related to the inactive OS being checked with the identifiers of the logical disks related to the active OS. It is worth noting that anti-virus scanning can be performed both on all files of the inactive OS being scanned, and only on a part of the files. In a preferred embodiment, anti-virus scanning of files related to autorun files used to run the inactive OS to be scanned, critical files and executable files stored in the autorun folders of computer users is performed. In order to determine the location of these files, the file search tool 220 uses the obtained identifiers (for example, names) of logical disks for an inactive OS and their correspondence to the identifiers (names) of logical disks of the active OS. For operating systems of the Microsoft Windows family, the registry of the inactive OS will also be checked. Directly anti-virus scanning of files is performed using modern technical solutions and technologies contained, for example, in the software products of Kaspersky Lab JSC.

При выявлении вредоносного файла средство поиска файлов 220 принимает решение об удалении или лечении выявленного файла. В одном из вариантов реализации, до принятия решения по выявленному вредоносному файлу, указанный файл будет находится в режиме карантина (например, в папке «карантин», которая будет изолирована от других файлов). В одном из вариантов реализации средство поиска файлов 220 может самостоятельно принять решение об удалении файла. В другом варианте реализации средство файлов 220 передает информацию о найденном вредоносном файле средству очищения 230. Передаваемая информация содержит различные сведения о самом файле, такие как имя файла, тип файла, месторасположения файла, хеш-сумма файла и т.д.When a malicious file is detected, file search tool 220 decides to delete or disinfect the detected file. In one embodiment, before deciding on the detected malicious file, the specified file will be in quarantine mode (for example, in the quarantine folder, which will be isolated from other files). In one embodiment, the file search tool 220 may independently decide to delete the file. In another embodiment, the file tool 220 transmits information about the found malicious file to the cleanup tool 230. The transmitted information contains various information about the file itself, such as the file name, file type, file location, file hash, etc.

Стоит отметить, что при удалении вредоносного файла в неактивной операционной системе существует вероятность появления ошибки в работе неактивной ОС, когда указанная ОС будет загружаться или исполняться на компьютере, т.е. станет активной ОС. Для того чтобы устранить последствия удаления вредоносных файлов, требуется проведение ряда мер по выявлению и удаления данных или файлов, связанных с упомянутым вредоносным файлом. В рамках заявленного изобретения такие меры проводятся с помощью средства очищения неактивной ОС 230 и средства контроля 240.It is worth noting that when deleting a malicious file in an inactive operating system, there is a possibility of an error in the inactive OS when the specified OS will be loaded or executed on the computer, i.e. will become an active OS. In order to eliminate the consequences of deleting malicious files, a number of measures are required to identify and delete data or files associated with the said malicious file. In the framework of the claimed invention, such measures are carried out using a means of cleaning inactive OS 230 and means of control 240.

В свою очередь средство очищения неактивной ОС 230 предназначено для проведения дополнительного анализа, связанного с выявленным вредоносным файлом и/или последующим его удалением. Дополнительный анализ заключается в поиске различных данных (следов вредоносной активности), связанных с вредоносным файлом с целью устранения возможности восстановления вредоносного файла или устранения ошибки в работе неактивной ОС, когда она станет активной ОС. Стоит отметить, что связанными данными с удаленным вредоносным файлом являются данные, которые содержат в себе наличие полного пути к месторасположению удаленного вредоносного файла. Например, при анализе программного кода файла или анализе ссылки в системном реестре.In turn, the inactive OS 230 cleaner is designed to perform additional analysis related to the detected malicious file and / or its subsequent removal. An additional analysis is to search for various data (traces of malicious activity) associated with the malicious file in order to eliminate the possibility of recovering the malicious file or eliminate the error in the inactive OS when it becomes the active OS. It is worth noting that the data associated with the deleted malicious file is data that contains the full path to the location of the deleted malicious file. For example, when analyzing the program code of a file or analyzing a link in the system registry.

Так, например, необходимость проведения дополнительного анализа (очистки неактивной ОС) связана с тем, что вредоносный файл может состоять из нескольких частей или иметь независимые части, которые могут как восстанавливать вредоносный файл, в случае его удаления, так содержать и исполнять вредоносную нагрузку или несанкционированные с пользователем действия (например, производить расчеты с помощью ресурсов компьютера для третьих лиц), которая будет исполняться на ОС в независимости от удаления вредоносного файла. Также могут быть различные ссылки из других файлов или системного реестра (для ОС Windows) к выявленному вредоносному файлу, которые также могут восстанавливать вредоносный файл или в случае удаления файла могут приводить к ошибке в работе неактивной ОС, когда она будет загружена, вплоть до «зависания» ОС (невозможности продолжения работы ОС связанной, например, с зацикливанием команды). Так, в одном из примеров, файловая ссылка кроме текстового указателя на файл, к которому ссылка была изначально привязана, может содержать дополнительную информацию, относящуюся к вредоносному файлу и которая позволит восстановить указанный вредоносный файл.So, for example, the need for additional analysis (cleaning an inactive OS) is connected with the fact that a malicious file can consist of several parts or have independent parts that can both recover a malicious file if it is deleted, contain and execute malicious load or unauthorized with the user actions (for example, to make calculations using computer resources for third parties) that will be executed on the OS regardless of the removal of the malicious file. There may also be various links from other files or the system registry (for Windows OS) to the identified malicious file, which can also restore the malicious file or, if the file is deleted, can lead to an inactive OS error when it is downloaded, up to a “freeze” »OS (the inability to continue operating the OS associated, for example, with a looping command). So, in one example, a file link, in addition to a text pointer to the file to which the link was originally attached, may contain additional information related to the malicious file and which will allow you to restore the specified malicious file.

В другом примере вредоносная программа, имеющая распределенные по жесткому диску файлы, среди которых одним из файлов может являться символьная ссылка (англ. Symbolic). Символьная ссылка может содержать путь к любому объекту (файлу, другой ссылки, каталогу, несуществующему файлу), который должен быть открыт при обращении к символьной ссылке, причем объект может быть размещен как на логическом диске с другой файловой системой, так и в сети. В еще одном примере при удалении вредоносного файла был удален файл, отвечающий за работу какой-нибудь службы ОС, что приведет к нарушению в работе службы. Поэтому необходимо производить дополнительную проверку (очистку) неактивной ОС с целью выявления следов вредоносной активности вредоносного файла.In another example, a malicious program that has files distributed on the hard disk, among which one of the files may be a symbolic link (English Symbolic). A symbolic link can contain the path to any object (file, other link, directory, nonexistent file) that must be opened when accessing a symbolic link, and the object can be placed on a logical drive with another file system or on the network. In another example, when deleting a malicious file, the file responsible for the operation of some OS service was deleted, which will lead to disruption of the service. Therefore, it is necessary to perform additional verification (cleaning) of an inactive OS in order to detect traces of malicious activity of a malicious file.

В предпочтительном варианте реализации средство очистки 230 производит дополнительную проверку по крайней мере системного реестра неактивной ОС, объектов (файлов, ссылок) автозапуска и ярлыков (англ. shortcut) из папки «рабочий стол», при этом во время поиска объектов для удаления также используют соответствующие имена логических дисков для проверяемой неактивной ОС при определении полного пути к месторасположению объектов. Для этого средство очистки 230 перед дополнительной проверкой произведет согласование имен логических дисков всех операционных систем, обнаруженных на компьютере. Во время проверки производится анализ объектов, который, например, заключается в выявлении в программном коде файла полного пути к удаленному вредоносному файлу. При анализе системного реестра также производится выявление ссылок на удаленный вредоносный файл.In a preferred embodiment, the cleaning tool 230 performs an additional check of at least the registry of the inactive OS, objects (files, links), startup keys and shortcuts from the desktop folder, while the corresponding objects are also used for deletion during the search logical drive names for the inactive OS under test when determining the full path to the location of objects. To do this, the cleaner 230, before additional verification, will match the logical drive names of all operating systems found on the computer. During the scan, an analysis of the objects is performed, which, for example, consists in identifying the full path to the remote malicious file in the program code of the file. When analyzing the registry, links to a remote malicious file are also detected.

Рассмотрим такой пример: была выявлена символьная ссылка на логическом диске «С:», при этом имя логического диска соответствует неактивной ОС. Но поиск производится в активной ОС, которая имеет свое перечисление логических дисков. При анализе символьной ссылки был обнаружен указатель к файлу, размещенному на логическом диске «D:» (данное имя соответствует неактивной ОС). В тоже время для активной ОС указанный логический диск будет являться, например, логическим диском «Е:». В тоже время, логический диск «D:» активной ОС для неактивной ОС может являться, например, как логический диск «F:». Следовательно, если не произвести согласования имен для активной ОС и проверяемой неактивной ОС, то средство 230 произведет переход и поиск в другом месте хранения данных и ничего не выявит. Поэтому средство очищения 230 для правильно перехода по ссылке, указывающей на другую часть вредоносного файла, произведет согласование имен логических дисков всех операционных систем, обнаруженных на компьютере. После чего будет проведен дополнительный анализ.Consider this example: a symbolic link was found on the logical drive “C:”, while the name of the logical drive corresponds to an inactive OS. But the search is performed in the active OS, which has its own enumeration of logical drives. When analyzing a symbolic link, a pointer to a file located on the logical drive “D:” was found (this name corresponds to an inactive OS). At the same time, for the active OS, the specified logical drive will be, for example, the logical drive "E:". At the same time, the logical drive “D:” of the active OS for an inactive OS can be, for example, like the logical drive “F:”. Therefore, if you do not perform the name matching for the active OS and the inactive OS being tested, then the tool 230 will go over and search in another data storage location and will not reveal anything. Therefore, the cleaner 230 to correctly follow the link pointing to another part of the malicious file will reconcile the logical drive names of all operating systems found on the computer. After which additional analysis will be carried out.

По результатам дополнительной проверки средство очистки 230 удаляет найденные ссылки или файлы, если они также являются вредоносными, и/или сам вредоносный файл, который был обнаружен средством поиска файлов 220, если ранее вредоносный файл не был удален.Based on the results of an additional scan, the cleaning tool 230 deletes the found links or files, if they are also malicious, and / or the malicious file itself, which was detected by the file search tool 220 if the malicious file was not previously deleted.

Кроме того, заявленное изобретение (средство очистки 230) может произвести проверку на возможную ошибку в дальнейшей работе проверяемой неактивной ОС, после удаления вредоносного файла или перед его удалением. Для этого средство очистки 230 во время выполнения вышеописанных действий производит также анализ влияния (например, какую функцию выполняет вредоносный файл или связанные с ним файлы) вредоносного файла на другие файлы неактивной ОС и/или же произведет запрос к средству контроля критических файлов 240 для проверки вредоносного файла на критичность для проверяемой неактивной ОС.In addition, the claimed invention (cleaner 230) can check for a possible error in the further operation of the inactive OS being checked, after deleting the malicious file or before deleting it. To do this, the cleaning tool 230 also performs an analysis of the effect (for example, what function does the malicious file or files associated with it) of the malicious file on other files of the inactive OS and / or makes a request to the critical file control tool 240 to check for malicious criticality file for the tested inactive OS.

Так, в одном из вариантов реализации, кроме указанного запроса средство очистки 230 передает средству контроля 240 также информацию о вредоносном файле, полученную от средства поиска файлов 220. В другом варианте реализации информацию о выявленном вредоносном файле средство поиска файлов 220 само передает средству контроля критических файлов 240, в случае изначальной необходимости проведения проверки на критичность выявленного вредоносного файла. Необходимость зависит от первоначальных настроек заявленного изобретения. Средство контроля 240 предназначено для проверки выявленного вредоносного файла на соответствие списку критических файлов ОС, который хранится в базе данных 150. Одним из вариантов проверки является проверка с помощью хэш-сумм файлов. Так, формируются хэш-суммы вредоносного файла или получается в качестве информации от других средств, после чего производится поиск присутствия информации об упомянутом файле в списке критических файлов ОС. Критическим файлом является файл, в случае удаления которого произойдет сбой в работе ОС. Сбой ОС может быть как существенный для ОС, так и не существенный. Существенным сбоем, например, является отказ в загрузке ОС при запуске ОС. Примером несущественного сбоя является сбой в работе какой-либо службы или в отказе запуска драйвера для работы с внешними устройствами (микрофон, музыкальные колонки) или приложения пользователя. При определении того, что вредоносный файл является критически важным файлов для неактивной ОС, производится замена вредоносного файла на безопасный файл с функционалом, отвечающим за корректную работу неактивной ОС. Другими словами, безопасный файл является аналогом вредоносного файла только до момента заражения вредоносной активностью. В том случае, когда вредоносный файл был удален, средство контроля 240 произведет установку соответствующей безопасной версии такого файла согласно пути размещения удаленного вредоносного файла для неактивной ОС. В одном из вариантов реализации в базе данных 150 содержатся резервные копии всех критических файлов, информация о которые есть в списке критических файлов ОС.So, in one embodiment, in addition to the specified request, the cleaning tool 230 also transmits to the control tool 240 information about the malicious file received from the file search tool 220. In another embodiment, the information about the detected malicious file, the file search tool 220 itself transfers the critical file control tool 240, in the case of the initial need to conduct a criticality check of the detected malicious file. The need depends on the initial settings of the claimed invention. Control tool 240 is designed to check the detected malicious file for compliance with the list of critical OS files stored in the database 150. One of the verification options is to check using file hashes. So, the hash amounts of the malicious file are generated or obtained as information from other means, after which the presence of information about the mentioned file is searched in the list of critical OS files. A critical file is a file, if deleted, the OS will crash. An OS crash can be either significant for the OS or not significant. A significant malfunction, for example, is a failure to boot the OS when the OS starts. An example of a minor malfunction is a malfunction in a service or in a failure to launch a driver to work with external devices (microphone, music speakers) or a user's application. When determining that a malicious file is a critical file for an inactive OS, the malicious file is replaced with a safe file with functionality responsible for the correct operation of the inactive OS. In other words, a safe file is an analogue of a malicious file only until it is infected with malicious activity. In the event that the malicious file has been deleted, the control tool 240 will install the appropriate safe version of such a file according to the location of the deleted malicious file for the inactive OS. In one embodiment, the database 150 contains backup copies of all critical files, information about which is in the list of critical OS files.

В одном из вариантов реализации список критических файлов изначально содержит критические файлы для всех существующих операционных систем, при этом указанный список может быть адаптирован для каждого компьютера при определении установленных ОС на компьютере. Под адаптацией понимается формирование списка критических файлов только тех ОС, которые установлены на компьютере. Для пополнения списка критических файлов антивирусное средство 130 взаимодействует с антивирусным сервером 180.In one embodiment, the list of critical files initially contains critical files for all existing operating systems, while the specified list can be adapted for each computer when determining installed OS on the computer. Adaptation refers to the formation of a list of critical files of only those operating systems that are installed on the computer. To add to the list of critical files, the anti-virus tool 130 interacts with the anti-virus server 180.

В еще одном варианте реализации средство контроля 240 может произвести проверку файла на соответствие критическому файлу проверяемой неактивной ОС с помощью формирования виртуальной среды, где виртуальна среда соответствует неактивной ОС. Соответственно, в сформированной виртуальной среде будет проверена работа проверяемой неактивной ОС с и без соответствующего файла. После чего будет определена критичность проверяемого файла. Кроме того, виртуальная среда может быть сформирована как в рамках активной ОС, так и удаленно на сервере («облаке»), с которым связь осуществляется через сеть, например сеть Интернет.In yet another embodiment, the monitoring tool 240 may check the file against the critical file of the inactive OS being verified by creating a virtual environment where the virtual environment corresponds to an inactive OS. Accordingly, in the generated virtual environment, the operation of the checked inactive OS with and without the corresponding file will be checked. After that, the criticality of the checked file will be determined. In addition, a virtual environment can be formed both within the framework of the active OS and remotely on a server (“cloud”) with which communication is carried out through a network, for example, the Internet.

На Фиг. 4 представлен пример способа перечисления операционных систем во время проведения антивирусной проверки неактивных операционных систем с помощью заявленного изобретения. На этапе 310 с помощью средства перечисления 210 определяют количество жестких дисков, установленных на компьютере. Стоит отметить, что здесь и далее в качестве жесткого диска может быть использовано по крайней мере одно запоминающее устройство. В результате чего производится разбор (анализ) структуры каждого физического диска с целью определения разделов физического диска и количества логических дисков, на которые разделен жесткий диск. Разбор структуры каждого жесткого диска производится с помощью набора драйверов для различных файловых систем, при этом набор драйверов в зависимости от реализации изобретения содержится или в самом средстве перечисления 210, или запрашивается из базы данных 150. На этапе 320 с помощью средства перечисления 210 определяют список разделов по крайней мере одного физического диска, т.е. список логических дисков, на которые разделен по крайней мере один физический диск. Для этого средство перечисления 210 использует указанный набор драйверов для различных типов файловых систем. Когда список логических дисков определен, то на этапе 330 производят выявление (поиск) всех файлов-загрузчиков операционных систем, которые содержатся на выявленных логических дисках с помощью средства перечисления 210.In FIG. 4 shows an example of a method for listing operating systems during an anti-virus scan of inactive operating systems using the claimed invention. At 310, the number of hard drives installed on the computer is determined using the enumerator 210. It is worth noting that hereinafter at least one storage device can be used as a hard disk. As a result, the structure (analysis) of the structure of each physical disk is analyzed to determine the partitions of the physical disk and the number of logical disks into which the hard disk is divided. The analysis of the structure of each hard disk is performed using a set of drivers for various file systems, and the set of drivers, depending on the implementation of the invention, is either in the enumerator 210 itself or requested from the database 150. At 320, the enumeration list is determined using the enumerator 210 at least one physical disk, i.e. A list of logical drives into which at least one physical drive is partitioned. To this end, enumerator 210 uses the specified set of drivers for various types of file systems. When the list of logical disks is determined, then at step 330 identify (search) all the downloader files of the operating systems that are contained on the identified logical disks using the enumerator 210.

Кроме того, при выявлении файлов-загрузчиков средство перечисления 210 может произвести этап анализа указанного файла-загрузчика на целостность, т.е. на действительное наличие (присутствие) операционной системы на компьютере соответствующего файла-загрузчика, например с помощью проверки наличия всех требуемых данных для загрузки соответствующей ОС (перечень таких данных заранее известен). После чего на этапе 340 анализируют структуру каждого выявленного файла-загрузчика для определения установленных ОС на компьютере пользователя. При анализе структуры файла-загрузчика определятся по крайней мере тип (имя) ОС и место хранения файлов определенной ОС (на каком логическом диске размещена ОС). Кроме того, для каждой ОС семейства «Microsoft Windows» (например, «Windows Vista», «Windows ХР», «Windows 7») также производится поиск системного реестра.In addition, when detecting downloader files, enumerator 210 can perform the step of analyzing the indicated downloader file for integrity, i.e. the actual presence (presence) of the operating system on the computer of the corresponding file-loader, for example, by checking the availability of all the required data to load the corresponding OS (a list of such data is known in advance). Then, at step 340, the structure of each identified bootloader file is analyzed to determine the installed OS on the user's computer. When analyzing the structure of the file-loader, at least the type (name) of the OS and the storage location of the files of a particular OS (on which logical drive the OS is located) will be determined. In addition, for each operating system of the Microsoft Windows family (for example, Windows Vista, Windows XP, Windows 7), a registry is also searched.

После определения всех установленных операционных систем (другими словами, формирования списка ОС) на этапе 350 определяют для каждой неактивной ОС соответствующие имена логических дисков из списка логических дисков. Так, например, для ОС Windows будет произведен анализ системного реестра, во время которого определяются имена логических дисков для указанной ОС Windows. После определения для каждой неактивной ОС соответствующих имен логических дисков средство перечисления 210 на этапе 360 производит сопоставления имен логических дисков различных ОС, причем как неактивных, так и активной. Как привило, активной ОС является одна ОС, которая загружена в момент времени работы заявленного изобретения. После чего может быть сформирована таблица связи имен логических дисков всех установленных ОС. На этапе 370 средство перечисления 210 передает информацию об неактивных ОС средству поиска файлов 220. При этом информация включает как сведения о самих неактивных ОС, так и о соответствующих каждой неактивной ОС именах логических дисков (например, в виде таблицы связи имен логических дисков для всех ОС).After determining all installed operating systems (in other words, forming the OS list), at step 350, for each inactive OS, the corresponding logical drive names from the list of logical drives are determined. So, for example, for Windows, the system registry will be analyzed, during which the names of logical drives for the specified Windows are determined. After determining for each inactive OS the corresponding names of logical drives, enumerator 210 at step 360 compares the names of the logical drives of various OSs, both inactive and active. As a rule, the active OS is one OS that is loaded at the time of the claimed invention. After that, a table of connection of the names of logical drives of all installed operating systems can be formed. At step 370, enumerator 210 transmits information about inactive operating systems to file search engine 220. In this case, the information includes both information about the inactive operating systems themselves and the names of logical drives corresponding to each inactive operating systems (for example, in the form of a table of communication between logical drive names for all operating systems )

На Фиг. 5 представлен частый случай реализации способа поиска вредоносного файла и очищения неактивной операционной системы от последствий удаления вредоносного файла во время проведения антивирусной проверки неактивных операционных систем с помощью заявленного изобретения.In FIG. 5 presents a frequent case of implementing the method of searching for a malicious file and cleaning an inactive operating system of the consequences of deleting a malicious file during anti-virus scanning of inactive operating systems using the claimed invention.

На этапе 410 определяют необходимость проведения антивирусной проверки файлов для каждой выявленной неактивной ОС, при этом определение упомянутой необходимости производится на основании по крайней мере одного из перечисленных выше (при описании Фиг. 3) критериев. Например, таких как запрос пользователя или по дате проведения последней антивирусной проверки для соответствующей неактивной ОС. Стоит отметить, что под антивирусной проверкой файлов неактивной ОС или самой неактивной ОС в общем случае понимается проверка файлов, относящихся к автозапускаемым файлам и критическим файлам неактивной ОС. После определения неактивных ОС с помощью средства поиска файлов 220 определяют последовательность проведения антивирусной проверки неактивных ОС на этапе 420. В том случае, если антивирусная проверка необходима только для одной неактивной ОС, этап 420 может быть пропущен или последовательность будет содержать только одну неактивную ОС.At step 410, the need for anti-virus scanning of files for each identified inactive OS is determined, and the determination of the mentioned need is made based on at least one of the criteria listed above (in the description of Fig. 3). For example, such as a user’s request or by the date of the last anti-virus scan for the corresponding inactive OS. It should be noted that anti-virus scanning of files of an inactive OS or the inactive OS itself generally means scanning of files related to autorun files and critical files of an inactive OS. After determining the inactive OS using the file search tool 220, the sequence of anti-virus scanning of inactive OS is determined at step 420. In the event that an anti-virus scan is required for only one inactive OS, step 420 may be skipped or the sequence will contain only one inactive OS.

В другом случае, если неактивных ОС будет по крайней мере две, то последовательность будет строиться согласно критериям, которые определили необходимость антивирусной проверки файлов неактивных ОС. Так, например, если будет запрос пользователя, то и последовательность будет определена в данном запросе. Если по дате последней проверки, то по принципу: чем дольше не было проверки неактивной ОС, тем выше приоритет проверки среди ОС. Далее на этапе 430 выявляют файлы, для которых будет произведена антивирусная проверка, для каждой неактивной ОС. Для этого определяют место размещения указанных файлов согласно именам логических дисков неактивной ОС и их сопоставлением с именами логических дисков активной ОС. После чего согласно месту размещения (полному пути хранения) каждого файла на этапе 440 производят антивирусную проверку каждого файла, проверяемой неактивной ОС. В предпочтительном варианте реализации производят антивирусную проверку файлов, которые относятся к автозапускаемым файлам, которые необходимы для запуска проверяемой неактивной ОС, критическим файлам и исполняемым файлам, которые хранятся в папках «автозапуска» учетных записей пользователей компьютера. На этапе 450 производят антивирусную проверку файлов с помощью современных технических решений и технологий, содержащихся, например, в программных продуктах компании «АО Лаборатория Касперского». В случае отсутствия вредоносного файла в неактивной ОС антивирусная проверка заканчивается. В противном случае, если по крайней мере один вредоносный файл был найдет, то передают его на этап 460. На этапе 460 производят проверку найденного вредоносного файла на его критичность относительно проверяемой неактивной ОС. Также в частном случае реализации вредоносный файл проверяют на его соответствие к критическим файлам всех ОС, установленных на компьютере. В одном из вариантов реализации проверка критичности файла заключается в сравнении выявленного вредоносного файла со списком критических файлов, который хранится в базе данных 150, для всех ОС, установленных на компьютере пользователя. В том случае, если вредоносный файл не является критическим файлом, производят удаление данного вредоносного файла на этапе 470. В противном случае, указанный вредоносный файл помещают в карантин и производят его лечение на этапе 480. Лечение заключается в анализе кода файла с последующим выявлением вредоносного функционала и последующего удаления найденного вредоносного функционала из файла. В том случае, если лечение указанного файла невозможно, производится удаление файла через замену безопасным файлов, который выполняет тоже предназначение, но не содержит вредоносного функционала. В этом случае безопасный файл размещается по месторасположению найденного вредоносного файла. Стоит отметить, что выявление критических файлов и их лечение или удаление позволит в дальнейшем избежать ошибок в работе неактивной ОС, когда она будет загружена.In another case, if there are at least two inactive OSs, the sequence will be built according to the criteria that determined the need for anti-virus scanning of inactive OS files. So, for example, if there is a user request, then the sequence will be determined in this request. If by the date of the last scan, then by the principle: the longer the inactive OS was not scanned, the higher the priority of the scan among the OS. Next, at step 430, files for which an anti-virus scan will be performed are detected for each inactive OS. To do this, determine the location of these files according to the names of logical disks of the inactive OS and their comparison with the names of logical disks of the active OS. Then, according to the location (full storage path) of each file, at step 440, an anti-virus scan of each file checked by the inactive OS is performed. In a preferred embodiment, anti-virus scanning of files that relate to autorun files that are necessary to run the inactive OS to be scanned, critical files and executable files that are stored in the autorun folders of computer user accounts is performed. At step 450, anti-virus scanning of files is performed using modern technical solutions and technologies contained, for example, in the software products of Kaspersky Lab JSC. If there is no malicious file in the inactive OS, the anti-virus scan ends. Otherwise, if at least one malicious file was found, then it is transferred to step 460. At step 460, the found malicious file is checked for its criticality with respect to the inactive OS being checked. Also, in the particular case of the implementation, the malicious file is checked for its compliance with the critical files of all OSs installed on the computer. In one embodiment, the criticality check of the file consists in comparing the detected malicious file with the list of critical files stored in the database 150 for all operating systems installed on the user's computer. In the event that the malicious file is not a critical file, this malicious file is deleted at step 470. Otherwise, the specified malicious file is quarantined and disinfected at step 480. The treatment consists in analyzing the file code and then identifying the malicious functionality and subsequent removal of the found malicious functionality from the file. In the event that it is impossible to cure the specified file, the file is deleted by replacing the safe files, which also fulfills the purpose, but does not contain malicious functionality. In this case, the safe file is located at the location of the found malicious file. It is worth noting that the identification of critical files and their treatment or deletion will further avoid errors in the inactive OS when it is loaded.

На этапе 490 производят очищение проверяемой неактивной ОС с помощью средства очищения 230. Очищение заключается в поиске различных данных, связанных с вредоносным файлом, с целью устранения следов работы вредоносного файла, т.е. устранения возможности восстановления вредоносного файла или устранения ошибки в работе неактивной ОС, когда она будет загружена в процессор. На этапе же 490 производят очистку согласно вариантам реализации, представленным при описании средства очищения 230 на Фиг. 3. После чего антивирусная проверка в соответствии с шагами 440-490 производится для последующей неактивной ОС, в случае определения необходимости проведения антивирусной проверки для двух и более неактивных ОС.At step 490, the checked inactive OS is cleaned up using the cleanup tool 230. The cleanup consists in searching for various data associated with the malicious file in order to eliminate traces of the malicious file, i.e. eliminate the possibility of recovering a malicious file or eliminate the error in the inactive OS when it is loaded into the processor. At step 490, cleaning is carried out according to the embodiments presented in the description of the cleaning agent 230 in FIG. 3. After that, the anti-virus scan in accordance with steps 440-490 is performed for the subsequent inactive OS, if it is determined that an anti-virus scan is necessary for two or more inactive OS.

В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой.In conclusion, it should be noted that the information provided in the description are examples that do not limit the scope of the present invention defined by the claims.

Claims (20)

1. Система устранения последствий удаления вредоносного файла во время проведения антивирусной проверки файлов операционной системы, которая установлена и не запущена на компьютере, т.е. неактивной операционной системы (ОС), при этом заявленная система содержит:1. The system for eliminating the consequences of deleting a malicious file during anti-virus scanning of files of the operating system that is installed and not running on the computer, i.e. inactive operating system (OS), while the claimed system contains: а) средство перечисления ОС, предназначенное для поиска по крайней мере одной установленной на компьютере неактивной ОС, определения идентификаторов логических дисков для каждой установленной неактивной ОС и передачи информации о каждой неактивной ОС и определенных идентификаторах логических дисков, соответствующих каждой неактивной ОС, средству поиска файлов;a) an OS listing tool designed to search for at least one inactive OS installed on a computer, determine logical drive identifiers for each installed inactive OS, and transfer information about each inactive OS and specific logical drive identifiers corresponding to each inactive OS to a file search tool; б) средство поиска файлов, предназначенное для проведения антивирусной проверки файлов по крайней мере одной неактивной ОС и передачи информации о выявленном и удаленном вредоносном файле, а также информации о неактивной ОС, над файлами которой производилась антивирусная проверка, и идентификаторах логических дисков, соответствующих упомянутой неактивной ОС, средству очистки неактивной ОС;b) a file search tool designed to conduct anti-virus scanning of files of at least one inactive OS and transfer information about the detected and deleted malicious file, as well as information about the inactive OS, the files of which the anti-virus scan was performed, and identifiers of logical drives corresponding to the said inactive OS, inactive OS cleaner; в) базу данных, связанную со средством очистки неактивной ОС и средством контроля критических файлов, предназначенную для хранения по крайней мере списка критических файлов ОС, безопасных резервных копий критических файлов, содержащихся в списке критических файлов ОС;c) the database associated with the inactive OS cleaning tool and the critical file control tool, designed to store at least a list of critical OS files, safe backups of critical files contained in the list of critical OS files; г) средство очистки неактивной ОС, предназначенное для:d) inactive OS cleaner, intended for: - сопоставления идентификаторов логических дисков, относящихся к проверенной неактивной ОС, с идентификаторами логических дисков, относящимися к активной ОС, где под активной ОС понимается ОС, которая запущена в момент проведения указанной проверки;- mapping identifiers of logical disks related to the verified inactive OS with identifiers of logical disks related to the active OS, where the active OS is understood as the OS that was launched at the time of this verification; - поиска и удаления данных, которые связаны с удаленным вредоносным файлом, на логических дисках, используемых проверенной неактивной ОС, на основании сопоставления идентификаторов логических дисков в активной ОС и в проверяемой неактивной ОС при указании полного пути к файлу, где во время поиска производится проверка и анализ по крайней мере системного реестра проверенной неактивной ОС, объектов автозапуска и ярлыков из папки «рабочий стол», при этом упомянутыми связанными данными с удаленным вредоносным файлом являются данные, которые содержат в себе наличие полного пути к месторасположению удаленного вредоносного файла;- search and delete data associated with the deleted malicious file on logical disks used by a verified inactive OS, based on a comparison of the identifiers of logical disks in the active OS and in the inactive OS being verified, indicating the full path to the file, where the scan is performed during the search and analysis of at least the registry of the checked inactive OS, startup objects, and shortcuts from the desktop folder, while the mentioned related data with the deleted malicious file is the data that e do not contain the full path to the location of the remote malicious file; - передачи информации об удаленном вредоносном файле и неактивной ОС и идентификаторах логических дисков, соответствующих упомянутой неактивной ОС, средству контроля критических файлов;- transfer of information about the remote malicious file and the inactive OS and logical drive identifiers corresponding to the said inactive OS to the critical file control tool; д) средство контроля критических файлов, предназначенное для проверки удаленного вредоносного файла на критичность по отношению к проверенной неактивной ОС на основании полученной информации о неактивной ОС и удаленном вредоносном файле с помощью поиска информации о критичности вредоносного файла в списке критических файлов ОС,e) a critical file control tool designed to check the remote malicious file for criticality with respect to the checked inactive OS based on the information about the inactive OS and the remote malicious file by searching for criticality information of the malicious file in the list of critical OS files, - при этом, когда вредоносный файл является критическим файлом для неактивной ОС, средство контроля критических файлов производит установку безопасной версии указанного файла в месторасположение удаленного вредоносного файла.- at the same time, when the malicious file is a critical file for an inactive OS, the critical file control tool installs a safe version of the specified file in the location of the deleted malicious file. 2. Реализуемый компьютером способ устранения последствий удаления вредоносного файла во время проведения антивирусной проверки файлов операционной системы, которая установлена и не запущена на компьютере, т.е. неактивной операционной системы (ОС), при этом указанный способ содержит этапы, на которых:2. A computer-implemented method for eliminating the consequences of deleting a malicious file during anti-virus scanning of files of an operating system that is installed and not running on the computer, i.e. an inactive operating system (OS), wherein said method comprises the steps of: а) получают с помощью средства очищения неактивной ОС информацию о проведенной антивирусной проверке неактивной ОС, идентификаторах логических дисков, соответствующих упомянутой неактивной ОС, и по крайней мере об одном удаленном вредоносном файле, при этом информация об упомянутом вредоносном файле содержит по крайней мере имя и месторасположение файла;a) obtain, using the inactive OS cleaning tool, information about the anti-virus scan of the inactive OS, identifiers of logical disks corresponding to the said inactive OS, and at least one deleted malicious file, while the information about the said malicious file contains at least the name and location file; б) сопоставляют с помощью средства очищения неактивной ОС идентификаторы логических дисков, относящиеся к проверенной неактивной ОС, с идентификаторами логических дисков, относящимися к активной ОС, где под активной ОС понимается ОС, которая запущена в момент проведения указанной проверки;b) compare the identifiers of logical disks related to the verified inactive OS with the identifiers of logical disks related to the active OS using the means of cleaning an inactive OS, where the active OS is understood as the OS that was launched at the time of the specified check; в) производят с помощью средства очищения неактивной ОС поиск и удаление данных, которые связаны с удаленным вредоносным файлом, на логических дисках, используемых проверенной неактивной ОС, на основании сопоставления идентификаторов логических дисков в активной ОС и в проверяемой неактивной ОС при указании полного пути к файлу, где во время поиска проверяют и анализируют по крайней мере системный реестр проверенной неактивной ОС, объекты автозапуска и ярлыки из папки «рабочий стол», при этом упомянутыми связанными данными с удаленным вредоносным файлом являются данные, которые содержат в себе наличие полного пути к месторасположению удаленного вредоносного файла;c) using the inactive OS cleanup tool, search and delete data that is associated with the deleted malicious file on logical disks used by the verified inactive OS, based on a comparison of the identifiers of logical disks in the active OS and in the checked inactive OS when specifying the full path to the file , where during the search they check and analyze at least the system registry of the checked inactive OS, startup objects and shortcuts from the “desktop” folder, with the mentioned associated data with the remote redonosnym file are data that contain the presence of the full path to the location of the remote malicious file; г) производят с помощью средства контроля критических файлов проверку удаленного вредоносного файла на критичность по отношению к проверенной неактивной ОС на основании информации о неактивной ОС и удаленном вредоносном файле с помощью поиска информации о критичности вредоносного файла в списке критических файлов ОС;d) using the critical file control tool, check the remote malicious file for criticality against the verified inactive OS based on information about the inactive OS and the remote malicious file by searching for criticality information of the malicious file in the list of critical OS files; - при этом, когда вредоносный файл является критическим файлом для неактивной ОС, производят установку безопасной версии указанного файла в месторасположение удаленного вредоносного файла.- at the same time, when the malicious file is a critical file for an inactive OS, a safe version of the specified file is installed in the location of the deleted malicious file. 3. Способ по п. 2, в котором информация об упомянутом вредоносном файле дополнительно содержит хэш-сумму файла, тип файла и классификацию вредоносности файла.3. The method of claim 2, wherein the information about said malicious file further comprises a hash of the file, file type, and classification of the maliciousness of the file. 4. Способ по п. 2, в котором объектами автозапуска являются как файлы, так и ссылки.4. The method according to p. 2, in which the startup objects are both files and links. 5. Способ по п. 2, в котором на шаге в) данными являются по крайней мере файлы и ссылки.5. The method of claim 2, wherein in step c) the data is at least files and links. 6. Способ по п. 5, в котором ссылки являются как внешними, такие как ярлык на рабочем столе, так и внутренними, такие как информационная строка в программном коде файла или реестра неактивной ОС.6. The method according to claim 5, in which the links are both external, such as a shortcut on the desktop, and internal, such as an information line in the program code of a file or registry of an inactive OS.
RU2016115995A 2016-04-25 2016-04-25 Removing track of harmful activity from operating system, which is not downloaded on computer device at present RU2639666C2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2016115995A RU2639666C2 (en) 2016-04-25 2016-04-25 Removing track of harmful activity from operating system, which is not downloaded on computer device at present

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2016115995A RU2639666C2 (en) 2016-04-25 2016-04-25 Removing track of harmful activity from operating system, which is not downloaded on computer device at present

Publications (2)

Publication Number Publication Date
RU2016115995A RU2016115995A (en) 2017-10-30
RU2639666C2 true RU2639666C2 (en) 2017-12-21

Family

ID=60264147

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2016115995A RU2639666C2 (en) 2016-04-25 2016-04-25 Removing track of harmful activity from operating system, which is not downloaded on computer device at present

Country Status (1)

Country Link
RU (1) RU2639666C2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110851831B (en) * 2019-11-12 2023-04-28 腾讯科技(深圳)有限公司 Virus processing method, device, computer equipment and computer readable storage medium

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060123207A1 (en) * 2004-12-02 2006-06-08 Akira Yamamoto Disk system having function of virtualizing logical disk in portable storage device
WO2006061454A1 (en) * 2004-12-08 2006-06-15 Maisatech Oy Method of accessing files in electronic devices
US20060288419A1 (en) * 2005-06-21 2006-12-21 Farstone Tech., Inc. Protection system and method regarding the same
US20070100905A1 (en) * 2005-11-03 2007-05-03 St. Bernard Software, Inc. Malware and spyware attack recovery system and method
US20100030782A1 (en) * 2002-02-27 2010-02-04 Science Park Corporation Computer file system driver control method, program thereof, and program recording medium
US20100058325A1 (en) * 2008-08-29 2010-03-04 Macken Luke J Live Operating System Installation Method and System for Universal Serial Bus Devices
US20110078796A1 (en) * 2007-05-11 2011-03-31 Microsoft Corporation Trusted Operating Environment For Malware Detection
RU2486588C1 (en) * 2012-03-14 2013-06-27 Закрытое акционерное общество "Лаборатория Касперского" System and method for efficient treatment of computer from malware and effects of its work

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100030782A1 (en) * 2002-02-27 2010-02-04 Science Park Corporation Computer file system driver control method, program thereof, and program recording medium
US20060123207A1 (en) * 2004-12-02 2006-06-08 Akira Yamamoto Disk system having function of virtualizing logical disk in portable storage device
WO2006061454A1 (en) * 2004-12-08 2006-06-15 Maisatech Oy Method of accessing files in electronic devices
US20060288419A1 (en) * 2005-06-21 2006-12-21 Farstone Tech., Inc. Protection system and method regarding the same
US20070100905A1 (en) * 2005-11-03 2007-05-03 St. Bernard Software, Inc. Malware and spyware attack recovery system and method
US20110078796A1 (en) * 2007-05-11 2011-03-31 Microsoft Corporation Trusted Operating Environment For Malware Detection
US20100058325A1 (en) * 2008-08-29 2010-03-04 Macken Luke J Live Operating System Installation Method and System for Universal Serial Bus Devices
RU2486588C1 (en) * 2012-03-14 2013-06-27 Закрытое акционерное общество "Лаборатория Касперского" System and method for efficient treatment of computer from malware and effects of its work

Also Published As

Publication number Publication date
RU2016115995A (en) 2017-10-30

Similar Documents

Publication Publication Date Title
US8607342B1 (en) Evaluation of incremental backup copies for presence of malicious codes in computer systems
EP2610774B1 (en) System and method for detecting malware targeting the boot process of a computer
US9400886B1 (en) System and method for using snapshots for rootkit detection
US7472420B1 (en) Method and system for detection of previously unknown malware components
US7841006B2 (en) Discovery of kernel rootkits by detecting hidden information
US8190868B2 (en) Malware management through kernel detection
US20120017276A1 (en) System and method of identifying and removing malware on a computer system
RU2514140C1 (en) System and method for improving quality of detecting malicious objects using rules and priorities
US20070094654A1 (en) Updating rescue software
US20050262567A1 (en) Systems and methods for computer security
RU2697954C2 (en) System and method of creating antivirus record
US20120030766A1 (en) Method and system for defining a safe storage area for use in recovering a computer system
US20130276113A1 (en) System, method, and computer program product for removing malware from a system while the system is offline
EP3029564B1 (en) System and method for providing access to original routines of boot drivers
RU101233U1 (en) SYSTEM OF RESTRICTION OF RIGHTS OF ACCESS TO RESOURCES BASED ON THE CALCULATION OF DANGER RATING
US8201253B1 (en) Performing security functions when a process is created
RU2583714C2 (en) Security agent, operating at embedded software level with support of operating system security level
US20170053118A1 (en) Changed Block Tracking Driver for Agentless Security Scans of Virtual Disks
RU2639666C2 (en) Removing track of harmful activity from operating system, which is not downloaded on computer device at present
RU2638735C2 (en) System and method of optimizing anti-virus testing of inactive operating systems
EP2958045B1 (en) System and method for treatment of malware using antivirus driver
US10339313B2 (en) System and method for bypassing a malware infected driver
US9342694B2 (en) Security method and apparatus
WO2007123492A1 (en) Method of safeguarding against malicious software (malware)
RU2628920C2 (en) Method for detecting harmful assemblies