RU2664401C1 - Способ антивирусной защиты и устройство для его реализации - Google Patents
Способ антивирусной защиты и устройство для его реализации Download PDFInfo
- Publication number
- RU2664401C1 RU2664401C1 RU2017111459A RU2017111459A RU2664401C1 RU 2664401 C1 RU2664401 C1 RU 2664401C1 RU 2017111459 A RU2017111459 A RU 2017111459A RU 2017111459 A RU2017111459 A RU 2017111459A RU 2664401 C1 RU2664401 C1 RU 2664401C1
- Authority
- RU
- Russia
- Prior art keywords
- signature
- program
- command
- value
- specified value
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 21
- 230000002155 anti-virotic effect Effects 0.000 title claims abstract description 14
- 239000012634 fragment Substances 0.000 claims abstract description 12
- 241000700605 Viruses Species 0.000 claims abstract description 11
- 230000000694 effects Effects 0.000 abstract 1
- 239000000126 substance Substances 0.000 abstract 1
- 241000554155 Andes Species 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 150000001875 compounds Chemical class 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 230000002195 synergetic effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/08—Error detection or correction by redundancy in data representation, e.g. by using checking codes
- G06F11/10—Adding special bits or symbols to the coded information, e.g. parity check, casting out 9's or 11's
- G06F11/1004—Adding special bits or symbols to the coded information, e.g. parity check, casting out 9's or 11's to protect a block of data words, e.g. CRC or checksum
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/12—Protecting executable software
- G06F21/121—Restricting unauthorised execution of programs
- G06F21/125—Restricting unauthorised execution of programs by manipulating the program code, e.g. source code, compiled code, interpreted code, machine code
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Technology Law (AREA)
- Multimedia (AREA)
- Quality & Reliability (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Storage Device Security (AREA)
Abstract
Изобретение относится к области антивирусной защиты компьютеров. Техническим результатом является повышение эффективности защиты компьютеров от вредоносных программ. Способ антивирусной защиты заключается в том, что коды программы разделяют на фрагменты, затем начало и конец фрагмента задают как адреса контрольных точек и для каждого фрагмента на основе последовательности команд рассчитывают сигнатуру, после этого в контрольной точке в последовательность команд добавляют команду сравнения с сигнатурой с указанием значения сигнатуры, при выполнении кодов программы рассчитывается сигнатура и в контрольной точке сравнивается с указанным значением, если сигнатура совпала с указанным значением, то программа продолжает выполняться, в противном случае, если сигнатура не совпала с указанным значением, то выполнение программы прекращается, выводят сообщение об обнаруженном вирусе. 2 н.п. ф-лы, 3 ил.
Description
Изобретение относится к области вычислительной техники, к цифровым вычислительным машинам.
Технический результат - защита от вредоносного программного обеспечения.
Известны способы защиты от вредоносного программного обеспечения, где для поиска вирусов используются базы сигнатур. Эти базы постоянно обновляются. Сканирование компьютера и удаление вирусов занимает существенное время. Антивирусы работают только с уже известными и выявленными вирусами, для которых эти сигнатуры были выявлены. (Троянские программы Лаборатория Касперского [Электронный ресурс]. - Режим доступа: www.securelist.com/ru/threats/detect/trojan-programs).
Известны эвристические антивирусы, которые анализируют файловую систему и оценивают размер траффика в сети. У эвристического подхода есть свои недостатки, например наличие ложных срабатываний. (Пихтулов А.А., Михайлов Д. Эвристические признаки Bluetooth-вирусов для мобильных устройств / Наука и современность - М. - 2011. - с. 233-237).
В заявленном способе антивирусной защиты предлагается рассчитывать сигнатуры, но не для вирусов, а для полезных прикладных и системных программ, чтобы защититься от вредоносного программного обеспечения. В исполняемые коды прикладных и системных программ встраиваются значения сигнатур, которые отличают их от вредоносных программ. Отсутствие сигнатур или неправильное значение сигнатуры указывает на наличие вируса.
Заявленный способ антивирусной защиты поясняется графическими материалами, см. фиг. 1-2.
На фиг. 1 показано устройство компьютера с Гарвардской архитектурой, на фиг. 2 показана схема заявленного устройства.
Заявленный способ антивирусной защиты реализован следующей последовательностью действий, см. фиг. 1-2.
1. Коды программы разделяют на фрагменты, затем начало и конец фрагмента задают как адреса контрольных точек (КТ) и для каждого фрагмента на основе последовательности команд рассчитывают сигнатуру.
2. В контрольной точке в последовательность команд добавляют команду сравнения с сигнатурой с указанием значения сигнатуры.
3. При выполнении кодов программы рассчитывается сигнатура и в контрольной точке сравнивается с указанным значением.
4. Если сигнатура совпала с указанным значением, то программа продолжает выполняться, в противном случае, если сигнатура не совпала с указанным значением, то выполнение программы прекращается, выводят сообщение об обнаруженном вирусе.
Заявленный способ реализован в устройстве для антивирусной защиты, см. фиг. 3. Устройство включает процессор, память программ, память данных, дешифратор команд. К входам процессора подсоединены выходы дешифратора команд и памяти данных. В устройстве имеется дополнительный контроллер команд, выполненный с функциональной возможностью расчета значения сигнатуры и сравнения ее с заданным в коде программы значением. Входы контроллера команд подключаются к памяти программ, а выходы - к дешифратору команд.
Устройство для антивирусной защиты работает следующим образом.
Из памяти программ в контроллер команд поступают коды команд. Выходы контроллера команд подключены к дешифратору команд. Дешифратор обрабатывает код команды и передает ее в процессор для выполнения.
Контроллер команд выполнен с функциональной возможностью расчета значения сигнатуры кодов команд и последующего сравнения ее с заданным значением.
В исполняемые коды программы в контрольных точках добавлены команды сравнения сигнатуры с заданным значением, которое записано в коды программы, см. фиг. 2. При выполнении этой команды вычисленное значение сигнатуры сравнивается с заданным значением.
Если сигнатура совпала с указанным значением, то программа продолжает выполняться. В противном случае, если сигнатура не совпала с указанным значением, то выполнение программы прекращается, выводят сообщение об обнаруженном вирусе.
Технический результат заявленного способа антивирусной защиты получен за счет того, что согласно изобретению коды программы разделяют на фрагменты, затем начало и конец фрагмента задают как адреса контрольных точек и для каждого фрагмента на основе последовательности команд рассчитывают сигнатуру, после этого в контрольной точке в последовательность команд добавляют команду сравнения с сигнатурой с указанием значения сигнатуры, при выполнении кодов программы рассчитывается сигнатура и в контрольной точке сравнивается с указанным значением, если сигнатура совпала с указанным значением, то программа продолжает выполняться, в противном случае, если сигнатура не совпала с указанным значением, то выполнение программы прекращается, выводят сообщение об обнаруженном вирусе.
Технический результат заявленного устройства для реализации способа получен за счет того, что устройство включает процессор, память программ, память данных, дешифратор команд, где к входам процессора подсоединены выходы дешифратора команд и памяти данных, согласно изобретению в нем имеется дополнительный контроллер команд, выполненный с функциональной возможностью расчета значения сигнатуры и сравнения ее с заданным в коде программы значением, причем входы контроллера команд подключаются к памяти программ, а выходы - к дешифратору команд.
Заявленные в изобретении способ и устройство для антивирусной защиты могут быть реализованы аппаратными, программными или аппаратно-программными средствами на базе микропроцессоров, микроконтроллеров.
Указанные в независимом пункте формулы признаки являются существенными и взаимосвязаны между собой с образованием устойчивой совокупности необходимых признаков, достаточной для получения требуемого технического результата.
Свойства, регламентированные в заявленном способе отдельными признаками, общеизвестны из уровня техники и не требуют дополнительных пояснений.
Следует отметить, что заявленная совокупность существенных признаков обеспечивает в соединении синергетический (сверхсуммарный результат).
Таким образом, вышеизложенные сведения свидетельствуют о выполнении при использовании заявленного способа следующей совокупности условий:
- заявленный способ имеет практическое применение, предназначен для защиты компьютеров от вредоносного программного обеспечения;
- для заявленного способа в том виде, как он охарактеризован в независимом пункте нижеизложенной формулы, подтверждена возможность его осуществления с помощью известных из уровня техники на дату приоритета средств и методов;
- при осуществлении способа достигается усматриваемый заявителем технический результат.
На основании изложенного заявленный способ антивирусной защиты и устройство для его реализации соответствуют требованию условий патентоспособности «новизна» и «изобретательский уровень».
Claims (2)
1. Способ антивирусной защиты, при котором коды программы разделяют на фрагменты, затем начало и конец фрагмента задают как адреса контрольных точек и для каждого фрагмента на основе последовательности команд рассчитывают сигнатуру, после этого в контрольной точке в последовательность команд добавляют команду сравнения с сигнатурой с указанием значения сигнатуры, при выполнении кодов программы рассчитывается сигнатура и в контрольной точке сравнивается с указанным значением, если сигнатура совпала с указанным значением, то программа продолжает выполняться, в противном случае, если сигнатура не совпала с указанным значением, то выполнение программы прекращается, выводят сообщение об обнаруженном вирусе.
2. Устройство для реализации заявленного способа по п. 1, которое включает процессор, память программ, память данных, дешифратор команд, где к входам процессора подсоединены выходы дешифратора команд и памяти данных, отличающееся тем, что в нем имеется дополнительный контроллер команд, выполненный с функциональной возможностью расчета значения сигнатуры и сравнения ее с заданным в коде программы значением, причем входы контроллера команд подключаются к памяти программ, а выходы - к дешифратору команд.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2017111459A RU2664401C1 (ru) | 2017-04-05 | 2017-04-05 | Способ антивирусной защиты и устройство для его реализации |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2017111459A RU2664401C1 (ru) | 2017-04-05 | 2017-04-05 | Способ антивирусной защиты и устройство для его реализации |
Publications (1)
Publication Number | Publication Date |
---|---|
RU2664401C1 true RU2664401C1 (ru) | 2018-08-17 |
Family
ID=63177321
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2017111459A RU2664401C1 (ru) | 2017-04-05 | 2017-04-05 | Способ антивирусной защиты и устройство для его реализации |
Country Status (1)
Country | Link |
---|---|
RU (1) | RU2664401C1 (ru) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5493649A (en) * | 1994-06-21 | 1996-02-20 | Microsoft Corporation | Detecting corruption in a computer program at execution time using a checksum |
US6782478B1 (en) * | 1999-04-28 | 2004-08-24 | Thomas Probert | Techniques for encoding information in computer code |
RU2014121039A (ru) * | 2014-05-26 | 2015-12-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ обнаружения вредоносных файлов определенного типа |
RU2615317C1 (ru) * | 2016-01-28 | 2017-04-04 | Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) | Способ обнаружения кодов вредоносных компьютерных программ в трафике сети передачи данных, в том числе подвергнутых комбинациям полиморфных преобразований |
-
2017
- 2017-04-05 RU RU2017111459A patent/RU2664401C1/ru not_active IP Right Cessation
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5493649A (en) * | 1994-06-21 | 1996-02-20 | Microsoft Corporation | Detecting corruption in a computer program at execution time using a checksum |
US6782478B1 (en) * | 1999-04-28 | 2004-08-24 | Thomas Probert | Techniques for encoding information in computer code |
RU2014121039A (ru) * | 2014-05-26 | 2015-12-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ обнаружения вредоносных файлов определенного типа |
RU2615317C1 (ru) * | 2016-01-28 | 2017-04-04 | Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) | Способ обнаружения кодов вредоносных компьютерных программ в трафике сети передачи данных, в том числе подвергнутых комбинациям полиморфных преобразований |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11657152B2 (en) | Methods for behavioral detection and prevention of cyberattacks, and related apparatus and techniques | |
US10055585B2 (en) | Hardware and software execution profiling | |
US20180089430A1 (en) | Computer security profiling | |
EP3420489B1 (en) | Cybersecurity systems and techniques | |
US9330259B2 (en) | Malware discovery method and system | |
US9135443B2 (en) | Identifying malicious threads | |
US10127379B2 (en) | Profiling code execution | |
US8719935B2 (en) | Mitigating false positives in malware detection | |
US7614084B2 (en) | System and method for detecting multi-component malware | |
US7802300B1 (en) | Method and apparatus for detecting and removing kernel rootkits | |
JP2012501028A5 (ru) | ||
RU2487405C1 (ru) | Система и способ для исправления антивирусных записей | |
JP6837064B2 (ja) | ランタイム生成コードにおける悪意のあるコードの検出のためのシステムおよび方法 | |
US20170223040A1 (en) | Identifying device, identifying method and identifying program | |
US9177149B2 (en) | Method of detecting malware in an operating system kernel | |
Song et al. | PoMMaDe: pushdown model-checking for malware detection | |
CN106415577B (zh) | 用于识别可疑事件来源的系统和方法 | |
Paturi et al. | Mobile malware visual analytics and similarities of attack toolkits (malware gene analysis) | |
US20160224791A1 (en) | Process testing apparatus, process testing program, and process testing method | |
US10880316B2 (en) | Method and system for determining initial execution of an attack | |
US20060167948A1 (en) | Detection of computer system malware | |
Tasiopoulos et al. | Bypassing antivirus detection with encryption | |
RU2664401C1 (ru) | Способ антивирусной защиты и устройство для его реализации | |
Zarghoon et al. | Evaluation of AV systems against modern malware | |
US9536090B2 (en) | Method of defending a computer from malware |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
MM4A | The patent is invalid due to non-payment of fees |
Effective date: 20200406 |