RU2700185C1 - Способ обнаружения скрытого программного обеспечения в вычислительной системе, работающей под управлением POSIX-совместимой операционной системы - Google Patents

Способ обнаружения скрытого программного обеспечения в вычислительной системе, работающей под управлением POSIX-совместимой операционной системы Download PDF

Info

Publication number
RU2700185C1
RU2700185C1 RU2018127626A RU2018127626A RU2700185C1 RU 2700185 C1 RU2700185 C1 RU 2700185C1 RU 2018127626 A RU2018127626 A RU 2018127626A RU 2018127626 A RU2018127626 A RU 2018127626A RU 2700185 C1 RU2700185 C1 RU 2700185C1
Authority
RU
Russia
Prior art keywords
name
values
tool
pid
hidden
Prior art date
Application number
RU2018127626A
Other languages
English (en)
Inventor
Евгений Владимирович Андрюхин
Original Assignee
Закрытое акционерное общество "Перспективный мониторинг"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Закрытое акционерное общество "Перспективный мониторинг" filed Critical Закрытое акционерное общество "Перспективный мониторинг"
Priority to RU2018127626A priority Critical patent/RU2700185C1/ru
Application granted granted Critical
Publication of RU2700185C1 publication Critical patent/RU2700185C1/ru

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Stored Programmes (AREA)

Abstract

Изобретение относится к области обнаружения скрытого программного обеспечения в вычислительных системах, работающих под управлением POSIX-совместимых операционных систем. Техническим результатом является повышение защищенности вычислительной системы. В способе сравнивают значения статусов name, gid, полученные из 1-го программного средства, с соответствующими значениями name, gid, полученными из 4-го программного средства; сравнивают значения статусов name и uid, полученные из 2-го программного средства, с соответствующими значениями name и uid, полученными из 1-го программного средства; сравнивают значения статусов name и pid, полученные из 2-го программного средства, с соответствующими значениями name и pid, полученными из 3-го программного средства; сравнивают значения статусов pid и uid, полученные из 3-го программного средства, с соответствующими значениями pid и uid, полученными из 2-го программного средства; сравнивают значения статусов name, pid, ppid, state, полученные из 3-го программного средства, с соответствующими значениями name, pid, ppid, state, полученными из 4-го программного средства; если хотя бы одно из значений одноименных статусов не существует или не совпадает - приложение считается скрытым; предоставляют отчет о наличии скрытых приложений и процессов.

Description

Область техники, к которой относится изобретение
Предлагаемое изобретение относится к вычислительной технике и, в частности, к способам обнаружения скрытого программного обеспечения в вычислительных системах, работающих под управлением POSIX-совместимых операционных систем, например, Solaris, Android и др.
Уровень техники
В современных вычислительных системах, работающих под управлением POSIX-совместимых операционных систем (ОС), возможно появление программ, предназначенных для сокрытия в системе определенных объектов либо активностей (руткитов). Чаще всего такая активность связана с работой вредоносного программного обеспечения (ПО). Сокрытию, как правило, подвергаются ключи реестра (например, отвечающие за автозапуск объектов), файлы, процессы в памяти зараженного компьютера, сетевая активность.
Существуют решения, направленные на обнаружение процессов или активностей в вычислительной системе и способные выявлять скрытые процессы, но не уведомлять об этом пользователя.
Так, например, в составе ОС Android имеются штатные программные средства Activity Manager, Usage Stats Manager, Package Manager, Procfs [Google Inc. Activity Manager. [Электронный ресурс] - Режим доступа к ресурсу: https://developer.android.com/reference/android/app/ActivityManager; Google Inc. Package Manager. [Электронный ресурс] - Режим доступа к ресурсу: https://developer.android.com/reference/android/content/pm/PackageManager; Google Inc. Usage Stats Manager. [Электронный ресурс] - Режим доступа к ресурсу: https://developer.android.com/reference/android/app/usage/UsageStatsManager; Procfs (Proc File System) [Электронный ресурс] - Режим доступа к ресурсу: https://ru.bmstu.wiki/Procfs_(Proc_File_System)].
Activity Manager является системным сервисом, обрабатывающим все активности, запущенные в системе. Простые приложения состоят из одной активности. Более сложные приложения могут иметь несколько окон, т.е. они состоят из нескольких активностей, которыми необходимо управлять и которые могут взаимодействовать между собой. Работает Activity Manager следующим образом: после запроса пользователя на запуск приложения, например, нажатием на соответствующую иконку в меню, срабатывает onClick() событие, вызывающее метод startActivity() у объекта Activity Manager. Поскольку приложение не может напрямую вызвать обработчик, оно формирует и отправляет запрос на Binder, который, в свою очередь, перенаправляет запрос на Service Manager и отправляет обработчик приложению [EastBanc Technologies. Об открытости данных в Android-приложениях. [Электронный ресурс] - Режим доступа к ресурсу: https://habr.com/company/eastbanctech/blog/212321/].
Таким образом, использование Activity Manager дает возможность контролировать список запущенных приложений, их имена и идентификаторы процессов.
Недостатком Activity Manager является возможность использования фоновых процессов, не имеющих активностей, что позволяет обойти контроль.
Usage Stats Manager является системным сервисом, предоставляющим доступ к статистике использования устройства, в том числе и активностями, функционирующими в системе. Работает Usage Stats Manager следующим образом: в момент времени, указанный системой, либо по запросу пользователя, имеющего политику безопасности «android.permission.PACKAGE_USAGE_STATS», в случайный момент времени, Usage Stats Manager осуществляет обращение к хранилищу внутренних событий ОС и статистики. В такие события входят запросы всех системных служб, изменения состояний всех системных служб, а также выполненные действия.
Таким образом, использование Usage Stats Manager дает возможность контролировать список запущенных приложений, их состояния, имена, идентификаторы процессов и групп [Lorenzo Quiroli. Show арр usage with UsageStatsManager. [Электронный ресурс] - Режим доступа к ресурсу: https://medium.com/@quiro91/show-app-usage-with-usagestatsmanager-d47294537dab].
Недостатком Usage Stats Manager является возможность модификации или повреждения внутреннего хранилища, что позволяет обойти контроль.
Package Manager работает следующим образом: информация об установленном приложении записывается в XML файл [Ketan Parmar. In Depth: Android Pack-age Manager and Package Installer. [Электронный ресурс] - Режим доступа к ресурсу: https://dzone.com/articles/depth-android-package-manager], затем Package Manager контролирует этот файл, добавляя и удаляя строки по мере установки и удаления пакетов. Получение списка процессов происходит путем чтения файла. Таким образом, использование Package Manager дает возможность контролировать список установленных приложений, а также просмотреть имя приложения, состояние и набор предоставленных приложению разрешений.
Недостатком Package Manager является возможность модификации или повреждения XML файла, что позволяет обойти контроль.
Программа Procfs позволяет получить доступ к информации о системных процессах, обрабатываемых в ядре ОС. При запуске Procfs создает двухуровневое представление пространств процессов. На верхнем уровне процессы представляют собой директории, именованные в соответствии с их идентификатором - pid. Также на верхнем уровне располагается ссылка на директорию, соответствующую процессу, выполняющему запрос; ссылка может иметь различное имя в различных ОС [Ross Anderson. Yet another Android side channel: input stealing for fun and profit. [Электронный ресурс] - Режим доступа к ресурсу: https://www.lightbluetouchpaper.org/2016/07/29/yet-another-android-side-channel/].
Недостатком Procfs является возможность модификации прошивки с целью внесения приложения в список системных, что позволяет обеспечить сокрытие приложения. Также современные версии ОС могут ограничивать доступ к Procfs со стороны процессов, запущенных с правами пользователя.
Известен также способ обнаружения скрытого программного обеспечения в вычислительной системе, работающей под управление POSIX-совместимой операционной системы [патент РФ №2624554, приоритет от 17.05.2016 г.], причем one-рационная система, помимо ядра, включает следующие программные средства:
Figure 00000001
1-е средство, выполненное с возможностью определять количество инсталлированных приложений в вычислительной системе,
Figure 00000001
2-е средство, выполненное с возможностью определять количество запущенных процессов в вычислительной системе,
Figure 00000001
3-е средство, выполненное с возможностью определять для процессов статусы pid, name, uid, groups, state,
Figure 00000001
4-е средство, выполненное с возможностью сравнивать результаты работы 1-го, 2-го и 3-го средств;
способ, заключающийся в том, что
Figure 00000001
получают с помощью 1-го средства количество инсталлированных приложений в вычислительной системе;
Figure 00000001
получают с помощью 2-го средства количество запущенных процессов в вычислительной системе;
Figure 00000001
получают с помощью 3-го средства значения статусов pid, name, uid, groups, state каждого процесса;
Figure 00000001
выполняют с помощью 4-го средства для каждого процесса, список которых получен с помощью 3-го средства, следующие действия:
Figure 00000002
сравнивают значение статуса groups, полученное из 3-го средства, с нулем; если значение статуса groups равно нулю - приложение считается скрытым и сведения о приложении заносятся в отчет о наличии скрытых приложений и процессов;
Figure 00000002
сравнивают значения статусов uid и name, полученные из 3-го средства, с соответствующими значениями uid и name, полученными из 1-го средства; если хотя бы одно из значений одноименных статусов не существует или не совпадает - приложение считается скрытым и сведения о приложении заносятся в отчет о наличии скрытых приложений и процессов;
Figure 00000002
сравнивают значения статусов pid, name и state, полученные из 3-го средства, с соответствующими значениями pid, name и state, полученными из 2-го средства; если хотя бы одно из значений одноименных статусов не существует или не совпадает - процесс считается скрытым и сведения о процессе заносятся в отчет о наличии скрытых приложений и процессов;
Figure 00000001
предоставляют отчет о наличии скрытых приложений и процессов;
Figure 00000001
удаляют из вычислительной системы выявленные скрытые приложения.
Способ выбран в качестве прототипа.
В известном способе не учитываются значения статусов ppid, что является недостатком, который не позволяет обнаружить класс скрытого ПО, использующего механизм фреймирования [Android.Xiny.60 - Служба вирусного мониторинга Dr. Web. [Электронный ресурс] - Режим доступа к ресурсу: https://vms.drweb.ru/virus/?i=8624213&lng=ru]. Фреймирование позволяет скрыть процесс через интерфейс приложения, при этом во время запуска легитимных программ в основные процессы внедряется вредоносный модуль, который выполняет вредоносные функции от имени легитимного приложения.
Однако, значения статусов ppid и gid вредоносного модуля будут отличаться от значений легитимного приложения вследствие разности способов получения статусов процессов, но с использованием известного способа обнаружить это невозможно.
Это снижает защищенность вычислительной системы.
Раскрытие изобретения
Техническим результатом является повышение защищенности вычислительной системы.
Для этого предлагается способ обнаружения скрытого программного обеспечения в вычислительной системе, работающей под управлением POSIX-совместимой операционной системы, причем операционная система, помимо ядра, включает следующие программные средства:
Figure 00000001
1-е средство, выполненное с возможностью определять количество приложений, способных к запуску посредством операционной системы в вычислительной системе, их статусы name, gid, uid, а также индексировать сопровождающие их сервисы, службы и метаданные;
Figure 00000001
2-е средство, выполненное с возможностью определять количество запущенных процессов в вычислительной системе, а также их статусы name, pid, uid;
Figure 00000001
3-е средство, выполненное с возможностью определять для запущенных процессов статусы pid, ppid, name, uid, state;
Figure 00000001
4-е средство, выполненное с возможностью определять для запущенных процессов статусы gid, name, pid, ppid, state;
Figure 00000001
5-е средство, выполненное с возможностью сравнивать результаты работы 1-го, 2-го, 3-го и 4-го средств;
способ, заключающийся в том, что
Figure 00000001
получают с помощью 1-го средства значения статусов name, gid, uid каждого приложения;
Figure 00000001
получают с помощью 2-го средства значения статусов name, pid, uid каждого процесса;
Figure 00000001
получают с помощью 3-го средства значения статусов pid, ppid, name, uid, state каждого процесса;
Figure 00000001
получают с помощью 4-го средства значения статусов gid, name, pid, ppid, state каждого процесса;
Figure 00000001
выполняют с помощью 5-го средства для каждого приложения, список которых получен с помощью 1-го средства, следующие действия:
Figure 00000003
сравнивают значения статусов name и gid, полученные из 1-го средства, с соответствующими значениями name и gid, полученными из 4-го средства; если хотя бы одно из значений одноименных статусов не существует или не совпадает - приложение считается скрытым, и сведения о приложении заносятся в отчет о наличии скрытых приложений и процессов;
Figure 00000003
сравнивают значения статусов name и uid, полученные из 2-го средства, с соответствующими значениями name и uid, полученными из 1-го средства; если хотя бы одно из значений одноименных статусов не существует или не совпадает - приложение считается скрытым, и сведения о приложении заносятся в отчет о наличии скрытых приложений и процессов;
Figure 00000003
сравнивают значения статусов name и pid, полученные из 2-го средства, с соответствующими значениями name и pid, полученными из 3-го средства; если хотя бы одно из значений одноименных статусов не существует или не совпадает - приложение считается скрытым, и сведения о приложении заносятся в отчет о наличии скрытых приложений и процессов;
Figure 00000003
сравнивают значения статусов pid и uid, полученные из 3-го средства, с соответствующими значениями pid и uid, полученными из 2-го средства; если хотя бы одно из значений одноименных статусов не существует или не совпадает - приложение считается скрытым, и сведения о приложении заносятся в отчет о наличии скрытых приложений и процессов;
Figure 00000003
сравнивают значения статусов name, pid, ppid, state, полученные из 3-го средства, с соответствующими значениями name, pid, ppid, state, полученными из 4-го средства; если хотя бы одно из значений одноименных статусов не существует или не совпадает - приложение считается скрытым и сведения о приложении заносятся в отчет о наличии скрытых приложений и процессов;
Figure 00000001
предоставляют отчет о наличии скрытых приложений и процессов;
Figure 00000001
при необходимости, удаляют из вычислительной системы выявленные скрытые приложения.
Для использования предложенного способа необходимо обеспечить в составе вычислительной системы следующие программные средства:
Figure 00000001
1-е средство, выполненное с возможностью определять количество приложений, способных к запуску посредством операционной системы в вычислительной системе, их статусы name, gid, uid, а также индексировать сопровождающие их сервисы, службы и метаданные;
Figure 00000001
2-е средство, выполненное с возможностью определять количество запущенных процессов в вычислительной системе, а также их статусы name, pid, uid;
Figure 00000001
3-е средство, выполненное с возможностью определять для запущенных процессов статусы pid, ppid, name, uid, state;
Figure 00000001
4-е средство, выполненное с возможностью определять для запущенных процессов статусы gid, name, pid, ppid, state;
Figure 00000001
5-е средство, выполненное с возможностью сравнивать результаты работы 1-го, 2-го, 3-го и 4-го средств.
1-е средство отслеживает приложения, способные к запуску посредством операционной системы в вычислительной системе. Опытным путем установлено, что если приложение было установлено неофициальным путем (в обход официальных центров дистрибуции), то идентификаторы статусов, будут обрабатываться системой некорректно, что может быть проверено путем сравнения с помощью 5-го средства, группы статусов name-gid, полученной с помощью 1-го средства, с группой статусов name-gid, полученной с помощью 4-го средства.
В случае, если значения статусов name-gid не существуют или не совпали, то приложение считается скрытым, а факт сокрытия заносится в отчет.
2-е средство отслеживает запущенные активности.
Данные, полученные от 2-го средства, позволяют с помощью 5-го средства провести две проверки:
Figure 00000001
во-первых, активность должна быть запущена приложением, следовательно, содержать запись о приложении в 1-ом средстве, что может быть проверено путем сравнения пары name-uid, полученной с помощью 2-го средства, с парой name-uid, полученной с помощью 1-го средства;
Figure 00000001
во-вторых, информация о запущенной активности должна вноситься в хранилище внутренних событий ОС, что может быть проверено путем сравнения пары name-pid, полученной с помощью механизма 2-го средства, с парой name-pid, полученной с помощью механизма 3-го средства;
В случае если хотя бы одна из проверок неуспешна (т.е. соответствующие поля не совпали или хотя бы одно из них не определено), то приложение считается скрытым, а факт сокрытия заносится в отчет.
3-е средство получает данные из хранилища внутренних событий ОС.
Данные, полученные от 3-го средства, позволяют с помощью 5-го средства провести две проверки:
Figure 00000001
во-первых, активность, содержащаяся в архиве, должна иметь запись об активности во 2-ом средстве, что может быть проверено путем сравнения статуса state, полученного с помощью 3-го средства, со значением «R» («Running»), а также пары статусов name-pid, полученной с помощью 3-го средства, с парой name-pid, полученной с помощью 2-го средства;
Figure 00000001
во-вторых, запущенное приложение должно иметь активность, следовательно, имеет pid и состояние «Running», что может быть проверено путем сравнения группы name-pid-ppid-state, полученной с помощью 3-го средства с группой name-pid-ppid-state, полученной с помощью 4-го средства.
4-е средство получает данные о системных процессах из ядра операционной системы.
Данные, полученные от 4-го средства, позволяют с помощью 5-го средства провести две проверки:
Figure 00000001
во-первых, необходимо определить приложения, установленные неофициальным путем, что возможно проверить путем сравнения группы статусов name-gid, полученной с помощью 4-го средства, с группой статусов name-gid, полученной с помощью 1-го средства;
Figure 00000001
во-вторых, приложение, получившее квант времени для выполнения кода на процессоре, должно быть отмечено как запущенное, что может быть проверено путем сравнения статуса state, полученного с помощью 4-го средства, со значением «R» («Running»), а также группы name-pid-ppid-state, полученной с помощью 4-го средства с группой name-pid-ppid-state, полученной с помощью 3-го средства. В случае если хотя бы одна из проверок неуспешна (т.е. соответствующие поля не совпали или хотя бы одно из них не определено), то приложение считается скрытым, а факт сокрытия заносится в отчет.
Таким образом, предложенный способ позволяет выявить скрытые приложения, которые известными способами не могут быть выявлены, и, при необходимости, предпринять меры по удалению (нейтрализации) этих приложений, что повышает защищенность вычислительной системы.
Осуществление изобретения
Реализация предложенного способа может быть осуществлена в вычислительной системе, работающих под управлением любой POSIX-совместимой ОС, например, Solaris, Android и др.
Рассмотрим осуществление способа на примере ОС Android 6.0.
В качестве 1-го средства, способного определять количество приложений, способных к запуску посредством операционной системы в вычислительной системе, может быть использована штатная программа Package Manager.
В качестве 2-го средства, способного определять количество запущенных процессов в вычислительной системе, а также их статусы name, pid, uid может быть использована штатная программа Activity Manager.
В качестве 3-го средства, способного определять для процессов статусы pid, ppid, gid, может быть использована штатная программа Usage Stats Manager.
В качестве 4-го средства, способного определять для процессов статусы gid, name, pid, ppid, state, uid, может быть использована штатная программа Procfs.
Для подготовки к использованию предлагаемого способа необходимо сформировать 5-е средство, позволяющее сравнивать результаты работы 1-го, 2-го, 3-го и 4-го средств.
Это средство представляет собой программу, которую, зная ее назначение и выполняемые функции, может сформировать специалист в области программирования (программист). Подготовленное 5-е средство после сформирования устанавливается (инсталлируется) в вычислительную систему.
Затем вычислительная система начинает работу в обычном режиме. В ходе ее работы
Figure 00000001
получают с помощью 1-го средства значения статусов name, gid, uid каждого процесса,
Figure 00000001
получают с помощью 2-го средства значения статусов name, pid, uid каждого процесса,
Figure 00000001
получают с помощью 3-го средства значения статусов pid, ppid, name, uid, state каждого процесса,
Figure 00000001
получают с помощью 4-го средства значения статусов gid, name, pid, ppid, state каждого процесса.
Получение сведений осуществляется 5-м средством путем выполнения запросов ко всем остальным средствам. Все полученные сведения передаются в 5-е средство и образуют текущий список (таблицу).
После этого выполняют с помощью 5-го средства для каждого процесса из текущего списка следующие действия:
Figure 00000001
сравнивают значения статусов name и gid, полученные из 1-го средства, с соответствующими значениями name и gid, полученными из 4-го средства; если хотя бы одно из значений одноименных статусов не существует или не совпадает - приложение считается скрытым, и сведения о приложении заносятся в отчет о наличии скрытых приложений и процессов;
Figure 00000001
сравнивают значения статусов name и uid, полученные из 2-го средства, с соответствующими значениями name и uid, полученными из 1-го средства; если хотя бы одно из значений одноименных статусов не существует или не совпадает - приложение считается скрытым, и сведения о приложении заносятся в отчет о наличии скрытых приложений и процессов;
Figure 00000001
сравнивают значения статусов name и pid, полученные из 2-го средства, с соответствующими значениями name и pid, полученными из 3-го средства; если хотя бы одно из значений одноименных статусов не существует или не совпадает - приложение считается скрытым, и сведения о приложении заносятся в отчет о наличии скрытых приложений и процессов;
Figure 00000001
сравнивают значения статусов pid и uid, полученные из 3-го средства, с соответствующими значениями pid и uid, полученными из 2-го средства; если хотя бы одно из значений одноименных статусов не существует или не совпадает - приложение считается скрытым, и сведения о приложении заносятся в отчет о наличии скрытых приложений и процессов;
Figure 00000001
сравнивают значения статусов name, pid, ppid, state, полученные из 3-го средства, с соответствующими значениями name, pid, ppid, state, полученными из 4-го средства; если хотя бы одно из значений одноименных статусов не существует или не совпадает - приложение считается скрытым и сведения о приложении заносятся в отчет о наличии скрытых приложений и процессов.
В результате, формируется отчет (например, в виде текстового файла), в котором будут содержаться сведения о скрытых приложениях и процессах в вычислительной системе. Этот отчет может предоставляться администратору вычислительной системы и/или пользователям по выбору.
Реализацию способа можно производить в ходе работы вычислительной системы однократно, в заданные моменты времени или, что более предпочтительно, периодически.
В общем случае, отчет может содержать перечень скрытых приложений и процессов. В этом случае администратор вычислительной системы и/или пользователь, имеющий достаточную квалификацию, будет осведомлен о наличии потенциально вредоносных программ в системе и может, при необходимости, предпринять меры по удалению (нейтрализации) этих приложений и процессов одним из известных методов. Если же отчет пустой, то работа вычислительной системы может продолжаться в обычном режиме.

Claims (19)

  1. Способ обнаружения скрытого программного обеспечения в вычислительной системе, работающей под управлением POSIX-совместимой операционной системы, причем операционная система, помимо ядра, включает следующие программные средства:
  2. 1-е средство, выполненное с возможностью определять количество приложений, способных к запуску посредством операционной системы в вычислительной системе, их статусы name, gid, uid, а также индексировать сопровождающие их сервисы, службы и метаданные;
  3. 2-е средство, выполненное с возможностью определять количество запущенных процессов в вычислительной системе, а также их статусы name, pid, uid;
  4. 3-е средство, выполненное с возможностью определять для запущенных процессов статусы pid, ppid, name, uid, state;
  5. 4-е средство, выполненное с возможностью определять для запущенных процессов статусы gid, name, pid, ppid, state;
  6. 5-е средство, выполненное с возможностью сравнивать результаты работы 1-го, 2-го, 3-го и 4-го средств;
  7. способ, заключающийся в том, что
  8. получают с помощью 1-го средства значения статусов name, gid, uid каждого процесса;
  9. получают с помощью 2-го средства значения статусов name, pid, uid каждого процесса;
  10. получают с помощью 3-го средства значения статусов pid, ppid, name, uid, state каждого процесса;
  11. получают с помощью 4-го средства значения статусов gid, name, pid, ppid, state каждого процесса;
  12. выполняют с помощью 5-го средства для каждого приложения, список которых получен с помощью 1-го средства, следующие действия:
  13. сравнивают значения статусов name, gid, полученные из 1-го средства, с соответствующими значениями name, gid, полученными из 4-го средства; если хотя бы одно из значений одноименных статусов не существует или не совпадает - приложение считается скрытым и сведения о приложении заносятся в отчет о наличии скрытых приложений и процессов;
  14. сравнивают значения статусов name и uid, полученные из 2-го средства, с соответствующими значениями name и uid, полученными из 1-го средства; если хотя бы одно из значений одноименных статусов не существует или не совпадает - приложение считается скрытым и сведения о приложении заносятся в отчет о наличии скрытых приложений и процессов;
  15. сравнивают значения статусов name и pid, полученные из 2-го средства, с соответствующими значениями name и pid, полученными из 3-го средства; если хотя бы одно из значений одноименных статусов не существует или не совпадает - приложение считается скрытым и сведения о приложении заносятся в отчет о наличии скрытых приложений и процессов;
  16. сравнивают значения статусов pid и uid, полученные из 3-го средства, с соответствующими значениями pid и uid, полученными из 2-го средства; если хотя бы одно из значений одноименных статусов не существует или не совпадает - приложение считается скрытым и сведения о приложении заносятся в отчет о наличии скрытых приложений и процессов;
  17. сравнивают значения статусов name, pid, ppid, state, полученные из 3-го средства, с соответствующими значениями name, pid, ppid, state, полученными из 4-го средства; если хотя бы одно из значений одноименных статусов не существует или не совпадает - приложение считается скрытым и сведения о приложении заносятся в отчет о наличии скрытых приложений и процессов;
  18. предоставляют отчет о наличии скрытых приложений и процессов;
  19. при необходимости удаляют из вычислительной системы выявленные скрытые приложения.
RU2018127626A 2018-07-27 2018-07-27 Способ обнаружения скрытого программного обеспечения в вычислительной системе, работающей под управлением POSIX-совместимой операционной системы RU2700185C1 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2018127626A RU2700185C1 (ru) 2018-07-27 2018-07-27 Способ обнаружения скрытого программного обеспечения в вычислительной системе, работающей под управлением POSIX-совместимой операционной системы

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2018127626A RU2700185C1 (ru) 2018-07-27 2018-07-27 Способ обнаружения скрытого программного обеспечения в вычислительной системе, работающей под управлением POSIX-совместимой операционной системы

Publications (1)

Publication Number Publication Date
RU2700185C1 true RU2700185C1 (ru) 2019-09-13

Family

ID=67990000

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2018127626A RU2700185C1 (ru) 2018-07-27 2018-07-27 Способ обнаружения скрытого программного обеспечения в вычислительной системе, работающей под управлением POSIX-совместимой операционной системы

Country Status (1)

Country Link
RU (1) RU2700185C1 (ru)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070300061A1 (en) * 2006-06-21 2007-12-27 Eun Young Kim System and method for detecting hidden process using system event information
WO2010044616A2 (ko) * 2008-10-15 2010-04-22 주식회사 씨디네트웍스 은닉 프로세스 모니터링 방법 및 시스템
RU98613U1 (ru) * 2010-05-18 2010-10-20 Закрытое акционерное общество "Лаборатория Касперского" Система обнаружения скрытых ресурсов в системе
US7845009B2 (en) * 2006-05-16 2010-11-30 Intel Corporation Method and apparatus to detect kernel mode rootkit events through virtualization traps
RU2454705C1 (ru) * 2011-04-19 2012-06-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ защиты компьютерного устройства от вредоносных объектов, использующих сложные схемы заражения
RU2624554C1 (ru) * 2016-05-17 2017-07-04 Закрытое акционерное общество "Перспективный мониторинг" Способ обнаружения скрытого программного обеспечения в вычислительной системе, работающей под управлением POSIX-совместимой операционной системы

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7845009B2 (en) * 2006-05-16 2010-11-30 Intel Corporation Method and apparatus to detect kernel mode rootkit events through virtualization traps
US20070300061A1 (en) * 2006-06-21 2007-12-27 Eun Young Kim System and method for detecting hidden process using system event information
WO2010044616A2 (ko) * 2008-10-15 2010-04-22 주식회사 씨디네트웍스 은닉 프로세스 모니터링 방법 및 시스템
RU98613U1 (ru) * 2010-05-18 2010-10-20 Закрытое акционерное общество "Лаборатория Касперского" Система обнаружения скрытых ресурсов в системе
RU2454705C1 (ru) * 2011-04-19 2012-06-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ защиты компьютерного устройства от вредоносных объектов, использующих сложные схемы заражения
RU2624554C1 (ru) * 2016-05-17 2017-07-04 Закрытое акционерное общество "Перспективный мониторинг" Способ обнаружения скрытого программного обеспечения в вычислительной системе, работающей под управлением POSIX-совместимой операционной системы

Similar Documents

Publication Publication Date Title
US9659175B2 (en) Methods and apparatus for identifying and removing malicious applications
US7665139B1 (en) Method and apparatus to detect and prevent malicious changes to tokens
US10235520B2 (en) System and method for analyzing patch file
US9183377B1 (en) Unauthorized account monitoring system and method
US20140053267A1 (en) Method for identifying malicious executables
US20160080400A1 (en) File reputation evaluation
US20160246590A1 (en) Priority Status of Security Patches to RASP-Secured Applications
US20180026986A1 (en) Data loss prevention system and data loss prevention method
WO2021121382A1 (en) Security management of an autonomous vehicle
KR101223594B1 (ko) Lkm 루트킷 검출을 통한 실시간 운영정보 백업 방법 및 그 기록매체
US11658996B2 (en) Historic data breach detection
US20070038572A1 (en) Method, system and computer program for metering software usage
RU2738334C1 (ru) Способ и система принятия решения о необходимости автоматизированного реагирования на инцидент
RU2700185C1 (ru) Способ обнаружения скрытого программного обеспечения в вычислительной системе, работающей под управлением POSIX-совместимой операционной системы
EP2881883B1 (en) System and method for reducing load on an operating system when executing antivirus operations
RU2624554C1 (ru) Способ обнаружения скрытого программного обеспечения в вычислительной системе, работающей под управлением POSIX-совместимой операционной системы
Chang et al. Towards a multilayered permission‐based access control for extending Android security
US11611570B2 (en) Attack signature generation
US8788845B1 (en) Data access security
US20200329056A1 (en) Trusted advisor for improved security
US10089261B2 (en) Discriminating dynamic connection of disconnectable peripherals
KR101616702B1 (ko) 코드사인을 이용한 소프트웨어 관리방법
Daghmehchi Firoozjaei et al. Parent process termination: an adversarial technique for persistent malware
CN110633568B (zh) 用于主机的监控系统及其方法
US20230038774A1 (en) System, Method, and Apparatus for Smart Whitelisting/Blacklisting

Legal Events

Date Code Title Description
PD4A Correction of name of patent owner