RU2726877C1 - Method for selective repeated antivirus scanning of files on mobile device - Google Patents

Method for selective repeated antivirus scanning of files on mobile device Download PDF

Info

Publication number
RU2726877C1
RU2726877C1 RU2019111145A RU2019111145A RU2726877C1 RU 2726877 C1 RU2726877 C1 RU 2726877C1 RU 2019111145 A RU2019111145 A RU 2019111145A RU 2019111145 A RU2019111145 A RU 2019111145A RU 2726877 C1 RU2726877 C1 RU 2726877C1
Authority
RU
Russia
Prior art keywords
file
antivirus
database
files
virus
Prior art date
Application number
RU2019111145A
Other languages
Russian (ru)
Inventor
Виктор Владимирович Чебышев
Дмитрий Николаевич Главатских
Константин Михайлович Филатов
Владимир Анатольевич Кусков
Original Assignee
Акционерное общество "Лаборатория Касперского"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Акционерное общество "Лаборатория Касперского" filed Critical Акционерное общество "Лаборатория Касперского"
Priority to RU2019111145A priority Critical patent/RU2726877C1/en
Application granted granted Critical
Publication of RU2726877C1 publication Critical patent/RU2726877C1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/14Details of searching files based on file metadata
    • G06F16/148File search processing
    • G06F16/152File search processing using file content signatures, e.g. hash values
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures

Abstract

FIELD: physics.SUBSTANCE: invention relates to the computer equipment. Disclosed is a method of partial resetting results of previous antivirus scanning of files, implemented using a mobile device, according to which a local database for files is stored, where each entry is added to the database when the corresponding file is considered not malicious as a result of the antivirus check, and contains information identifying the file, and information on performed antivirus checking, which includes at least date of antivirus scanning of file; setting the records reset threshold; after updating the antivirus databases, estimating the probability of resetting the results of the previous antivirus check for each record from the database; wherein evaluation of the value is higher, as more time has elapsed from the specified date of antivirus checking of the corresponding file and more updates of antivirus databases occurred from the specified date of antivirus checking of the corresponding file; removing records from the database, for which said probability of probability of discharge exceeds the established threshold of records reset.EFFECT: technical result consists in reduction of mobile device resources consumption during repeated antivirus checking of files.1 cl, 3 dwg

Description

Область техникиTechnical field

Настоящее изобретение относится к антивирусным технологиям, а более конкретно к способам избирательного проведения повторных антивирусных проверок архивных файлов на мобильном устройстве.The present invention relates to anti-virus technologies, and more specifically to methods for selectively re-scanning archived files on a mobile device.

Уровень техникиState of the art

В настоящий момент мобильные устройства - смартфоны, планшеты и т.п. - стали обязательным атрибутом практически каждого человека. При помощи таких устройств люди выполняют множество повседневных задач: от общения по электронной почте до оплаты покупок в магазинах. Широкое распространение таких устройств мотивирует злоумышленников создавать вредоносные программы - программы, предназначенные для неправомерного доступа к данным пользователя, а также к ресурсам мобильных устройств в целом.Currently, mobile devices - smartphones, tablets, etc. - have become an obligatory attribute of almost every person. People use these devices to perform a variety of daily tasks, from communicating by email to paying for purchases in stores. The widespread use of such devices motivates cybercriminals to create malicious programs - programs designed to unauthorized access to user data, as well as to the resources of mobile devices in general.

На данный момент для борьбы с вредоносными программами широко используются антивирусы - программы, предназначенные для защиты вычислительных устройств от вредоносных программ. Для обеспечения такой защиты применяются различные подходы и технологии: сигнатурный анализ, поведенческий анализ, эвристические правила и т.д. Проведение полного антивирусного сканирования мобильного устройства - ресурсоемкая операция. Регулярные полные антивирусные сканирования приводят к быстрому разряду аккумулятора мобильного устройства, что в свою очередь негативно влияет на восприятие антивирусных продуктов их пользователями. На Android-устройствах, в силу специфики данной ОС, большую часть проверяемых файлов составляют архивы в ZIP-формате. Их распаковка и проверка вложенных в них объектов занимает подавляющую часть от общего времени сканирования. Таким образом существует необходимость развития антивирусных технологий для оптимизации расходования ресурсов при проведении повторных антивирусных сканирований на мобильном устройстве. Использование предлагаемой технологии позволяет сократить как время повторных сканирований архивных файлов, так и общий расход электроэнергии на Android-устройствах.At the moment, antiviruses are widely used to combat malware - programs designed to protect computing devices from malware. To ensure such protection, various approaches and technologies are used: signature analysis, behavioral analysis, heuristic rules, etc. Performing a full anti-virus scan of a mobile device is a resource-intensive operation. Regular full antivirus scans lead to a rapid drain of the mobile device's battery, which in turn negatively affects the perception of antivirus products by their users. On Android devices, due to the specifics of this OS, most of the scanned files are archives in ZIP format. Unpacking them and checking the objects embedded in them takes the overwhelming part of the total scanning time. Thus, there is a need for the development of anti-virus technologies to optimize resource use when performing repeated anti-virus scans on a mobile device. The use of the proposed technology makes it possible to reduce both the time for repeated scans of archive files and the total power consumption on Android devices.

Раскрытие изобретенияDisclosure of invention

Настоящее изобретение предназначено для избирательного проведения повторной антивирусной проверки файлов.The present invention is intended to selectively re-scan files.

Технический результат настоящего изобретения заключается в снижении расхода ресурсов мобильного устройства при проведении повторных антивирусных проверок файлов.The technical result of the present invention is to reduce the consumption of resources of the mobile device during repeated anti-virus checks of files.

Еще одним техническим результатом является расширение арсенала средств для проведения повторных антивирусных проверок файлов.Another technical result is the expansion of the arsenal of tools for repeated anti-virus scan of files.

В одном из вариантов осуществления данного изобретения реализуется способ частичного сброса результатов предыдущей антивирусной проверки файлов, где файлы без информации о проведенной антивирусной проверке, содержащейся в базе данных, вновь подвергаются антивирусной проверке, реализуемый при помощи вычислительного устройства, согласно которому: (а) хранят локальную базу данных для файлов, где каждая запись добавляется в базу данных, когда соответствующий файл признается не вредоносным в результате антивирусной проверки, и содержит информацию, идентифицирующую файл, и информацию о проведенной антивирусной проверке, которая включает в себя по меньшей мере дату проведения антивирусной проверки файла; (б) устанавливают порог сброса записей; (в) после обновления антивирусных баз проводят оценку вероятности сброса результатов предыдущей антивирусной проверки для каждой записи из базы данных; при этом оценка тем выше, чем больше времени прошло с упомянутой даты проведения антивирусной проверки соответствующего файла, и чем большее количество обновлений антивирусных баз произошло с упомянутой даты проведения антивирусной проверки соответствующего файла; (г) удаляют из базы данных те записи, для которых упомянутая оценка вероятности сброса превышает установленный порог сброса записей.In one of the embodiments of the present invention, a method is implemented for partially resetting the results of a previous anti-virus scan of files, where files without information about the performed anti-virus scan contained in the database are again subjected to antivirus scan, implemented using a computing device, according to which: (a) a local a database for files, where each entry is added to the database when the corresponding file is deemed non-malicious by an anti-virus scan, and contains information identifying the file and information about the anti-virus scan performed, which includes at least the date the file was scanned for viruses ; (b) set a threshold for discarding records; (c) after updating the anti-virus databases, the probability of resetting the results of the previous anti-virus scan is assessed for each record from the database; the score is the higher, the more time has passed since the mentioned date of the anti-virus scan of the corresponding file, and the more updates of the anti-virus databases have occurred since the mentioned date of the anti-virus scan of the corresponding file; (d) deleting from the database those records for which said estimate of the probability of discarding exceeds the specified threshold for discarding records.

В другом варианте осуществления данного изобретения вычислительное устройство является мобильным устройством.In another embodiment of the present invention, the computing device is a mobile device.

Еще в одном варианте осуществления данного изобретения файл является архивным файлом.In yet another embodiment of the present invention, the file is an archive file.

В другом варианте осуществления данного изобретения, где информацией, идентифицирующей файл, является первая хеш-сумма файла и вторая хеш-сумма файла.In another embodiment of the present invention, where the file identifying information is the first file hash and the second file hash.

В другом варианте осуществления данного изобретения первая хеш-сумма считается от части содержимого файла.In another embodiment of the present invention, the first hash is counted from a portion of the file content.

Еще в одном варианте осуществления данного изобретения вторая хеш-сумма считается по всему содержимому файла.In yet another embodiment of the present invention, the second hash is counted over the entire contents of the file.

В другом варианте осуществления данного изобретения время вычисления первой хеш-суммы файла меньше времени вычисления второй хеш-суммы файла.In another embodiment of the present invention, the computation time of the first file hash is less than the computation time of the second file hash.

Краткое описание чертежейBrief Description of Drawings

Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:Additional objects, features and advantages of the present invention will become apparent from a reading of the following description of an embodiment of the invention with reference to the accompanying drawings, in which:

Фиг. 1 иллюстрирует структуру архивного файла на примере APK-файла.FIG. 1 illustrates the structure of an archive file using an APK file as an example.

Фиг. 2 отображает систему средств, реализующую настоящее изобретение.FIG. 2 depicts a system of means for implementing the present invention.

Фиг. 3 представляет пример компьютерной системы общего назначения, на которой может быть реализовано настоящее изобретение.FIG. 3 is an example of a general purpose computer system on which the present invention may be implemented.

Хотя изобретение может иметь различные модификации и альтернативные формы, характерные признаки, показанные в качестве примера на чертежах, будут описаны подробно. Следует понимать, однако, что цель описания заключается не в ограничении изобретения конкретным его воплощением. Наоборот, целью описания является охват всех изменений, модификаций, входящих в рамки данного изобретения, как это определено приложенной формуле.Although the invention may take various modifications and alternative forms, the characteristic features shown by way of example in the drawings will be described in detail. It should be understood, however, that the purpose of the description is not to limit the invention to a specific embodiment. On the contrary, the purpose of the description is to cover all changes, modifications falling within the scope of this invention, as defined by the appended claims.

Описание вариантов осуществления изобретенияDescription of embodiments of the invention

Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления на Android-устройствах. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться на любых вычислительных устройствах с отличными от Android операционными системами. Сущность, приведенная в описании, является не чем иным, как конкретными деталями, необходимыми для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется в объеме приложенной формулы.The objects and features of the present invention, methods for achieving these objects and features will become apparent by referring to exemplary embodiments on Android devices. However, the present invention is not limited to the exemplary embodiments disclosed below, but may be implemented on any computing device with a non-Android operating system. The essence recited in the description is nothing more than the specific details necessary to assist a person skilled in the art in a comprehensive understanding of the invention, and the present invention is defined within the scope of the appended claims.

Введем ряд определений и понятий, которые будут использоваться при описании вариантов осуществления изобретения.Let's introduce a number of definitions and concepts that will be used in describing embodiments of the invention.

Хеширование (от англ. hashing) - преобразование массива входных данных произвольной длины в (выходную) битовую строку установленной длины, выполняемое определенным алгоритмом.Hashing (from the English. Hashing) - the transformation of an array of input data of arbitrary length in (output) bit string of a specified length, performed by a certain algorithm.

Хеш-функция (или функция свертки) - функция, воплощающая алгоритм хеширования и выполняющая преобразование.Hash function (or convolution function) - a function that implements the hashing algorithm and performs a transformation.

Хеш-код (или хеш-сумма, свертка) - результат хеширования. Хеш-код, как правило, записывается в шестнадцатеричном виде. Таким образом для некоторого заданного файла значением хеш-функции MD5 будет строка из 32 шестнадцатеричных цифр - например, 026f8e459c8f89ef75fa7a78265a0025. Для хеш-функции CRC32 хеш-код будет F6DE2FEA, а для SHA-1 - 7DD987F846400079F4B03C058365A4869047B4A0.Hash code (or hash sum, convolution) is the hash result. The hash code is usually written in hexadecimal. Thus, for a given file, the MD5 hash value will be a string of 32 hexadecimal digits - for example, 026f8e459c8f89ef75fa7a78265a0025. For the hash function CRC32, the hash code will be F6DE2FEA, and for SHA-1 it will be 7DD987F846400079F4B03C058365A4869047B4A0.

Вредоносное приложение - приложение, способное нанести вред компьютеру или данным пользователя компьютера (иными словами, компьютерной системы, например, изображенной на Фиг. 3), например: сетевой червь, клавиатурный шпион, компьютерный вирус. В качестве нанесенного вреда может выступать неправомерный доступ к ресурсам компьютера, в том числе к данным, хранящимся на компьютере, с целью хищения, а также неправомерное использование ресурсов, в том числе для хранения данных, проведения вычислений и т.п.Malicious application - an application that can harm a computer or the data of a computer user (in other words, a computer system, for example, shown in Fig. 3), for example: a network worm, keylogger, computer virus. Harm can be unlawful access to computer resources, including data stored on a computer, for the purpose of theft, as well as unlawful use of resources, including for storing data, performing calculations, etc.

Доверенное приложение (не вредоносное приложение) - приложение, которое не наносит вреда компьютеру или его пользователю. Доверенным приложением может считаться приложение, разработанное доверенным производителем ПО (программного обеспечения), загруженное из доверенного источника (например, сайт, занесенный в базу данных доверенных сайтов) или приложение, идентификатор (или другие данные, по которым можно однозначно определить приложение) которого (например, хеш-сумма файла приложения) хранится в базе данных доверенных приложений. Идентификатор производителя, например, цифровой сертификат, может также храниться в базе данных доверенных приложений.A trusted application (not a malicious application) is an application that does not harm the computer or its user. A trusted application can be considered an application developed by a trusted software (software) manufacturer, downloaded from a trusted source (for example, a site entered in a database of trusted sites) or an application whose identifier (or other data by which the application can be uniquely identified) of which (for example , the hash of the application file) is stored in the trusted applications database. Vendor ID, such as a digital certificate, can also be stored in the trusted applications database.

Недоверенное приложение (неизвестное приложение) - приложение, которое не является доверенным, но также не признано вредоносным, например, при помощи антивирусного приложения. При этом недоверенное приложение может впоследствии быть признано вредоносным, например, при помощи антивирусной проверки.Untrusted application (unknown application) - an application that is not trusted, but also has not been identified as malicious, for example, by an anti-virus application. In this case, an untrusted application can subsequently be recognized as malicious, for example, using an anti-virus scan.

Вредоносный файл - файл, являющийся компонентом вредоносного приложения и содержащий программный код (исполняемый или интерпретируемый код).A malicious file is a file that is a component of a malicious application and contains program code (executable or interpreted code).

Недоверенный файл (неизвестный файл) - файл, являющийся компонентом недоверенного приложения и содержащий программный код (исполняемый или интерпретируемый код).Untrusted file (unknown file) - a file that is a component of an untrusted application and contains program code (executable or interpreted code).

Доверенный файл (не вредоносный файл) - файл, являющийся компонентом доверенного приложения.Trusted file (not a malicious file) - a file that is a component of a trusted application.

Архивный файл - это специальным образом организованный файл, содержащий в себе один или несколько файлов в сжатом или несжатом виде и служебную информацию об именах файлов, дате и времени их создания или модификации, размерах и т.д.An archive file is a specially organized file containing one or several files in compressed or uncompressed form and service information about the file names, date and time of their creation or modification, sizes, etc.

На Фиг. 1 изображена структура архивного APK-файла для ОС Android. Дистрибутивы для ОС Android поставляются в виде архивных исполняемых APK-файлов (англ. Android Package). Каждое приложение Android скомпилировано и упаковано в один файл, который включает в себя весь код приложения (DEX-файлы), ресурсы и файл .manifest, а также CERT.RSA - сертификат, которым подписано приложение, и CERT.SF -файл-информацию о ресурсах и сертификате. Файлы формата APK не шифруются, являются подмножеством формата архива ZIP. Каждый APK-файл - это сжатый архив для исполнения виртуальной машиной (например, DalvikVM), которая может быть установлена не только на операционной системе Android. Каждый ZIP-архив 110 (а, следовательно, и APK-файл) содержит так называемый «центральный каталог» 120 (central directory), который находится в конце архива для обеспечения возможности добавления новых файлов в архив. Этот каталог содержит список записей 125 (имен файлов и каталогов), входящих в архив, а также заголовки о записях. Каждый заголовок внутри центрального каталога содержит:FIG. 1 shows the structure of an APK archive file for Android OS. Distributions for Android OS are delivered as archive executable APK-files (Android Package). Each Android application is compiled and packaged into one file, which includes all the application code (DEX files), resources and a .manifest file, as well as CERT.RSA - the certificate that signed the application, and CERT.SF - file information about resources and certificate. APK files are not encrypted, they are a subset of the ZIP archive format. Each APK file is a compressed archive for execution by a virtual machine (for example, DalvikVM), which can be installed not only on the Android operating system. Each ZIP archive 110 (and therefore the APK file) contains a so-called "central directory" 120, which is located at the end of the archive to allow new files to be added to the archive. This directory contains a list of 125 entries (file and directory names) included in the archive, as well as the titles about the entries. Each header inside the central directory contains:

- размер после сжатия;- size after compression;

- размер до сжатия;- size before compression;

- длину имени файла;- the length of the file name;

- размер дополнительных данных о файле;- size of additional data about the file;

- размер комментария к файлу;- the size of the file comment;

- номер диска, с которого файл начинается;- disk number from which the file starts;

- относительное смещение до локального заголовка файла (количество байт от начала диска, на котором файл начинается, до локального заголовка к файлу);- relative offset to the local file header (the number of bytes from the beginning of the disk, on which the file begins, to the local file header);

- имя файла;- file name;

- дополнительные данные о файле;- additional data about the file;

- комментарий к файлу.- a comment to the file.

Центральный каталог заканчивается записью об окончании 126 (EOCD record), которая содержит:The central directory ends with an end record 126 (EOCD record), which contains:

- номер текущего диска;- current disc number;

- номер диска, с которого начинается центральный каталог;- disk number from which the central catalog begins;

- количество записей в центральном каталоге на этом диске;- the number of records in the central directory on this disk;

- общее количество записей в центральном каталоге;- the total number of records in the central catalog;

- размер центрального каталога;- the size of the central directory;

- смещение до центрального каталога относительно начала архива;- offset to the central directory relative to the beginning of the archive;

- размер комментария;- comment size;

- комментарий;- a comment;

Таким образом, после чтения и анализа центрального каталога можно получить доступ непосредственно к сжатым данным любой записи 140 (сжатым файлам), хранящейся в центральном каталоге, по смещению, описанному в заголовке.Thus, after reading and parsing the central directory, it is possible to access directly the compressed data of any record 140 (compressed files) stored in the central directory at the offset described in the header.

Данные записи также начинаются с локального заголовка файла 141. Локальный заголовок файла частично включает в себя информацию, которая содержится в центральном каталоге, а именно:These records also begin with the local file header 141. The local file header includes some of the information that is contained in the central directory, namely:

- размер после сжатия;- size after compression;

- размер до сжатия;- size before compression;

- длину имени файла;- the length of the file name;

- размер дополнительных данных о файле;- size of additional data about the file;

- имя файла;- file name;

- дополнительные данные о файле.- additional data about the file.

Сжатые данные файла 142 начинаются непосредственно после заголовка. Данные записей внутри архива могут храниться в порядке, отличном от их последовательности внутри центрального каталога.The compressed file data 142 begins immediately after the header. Record data within an archive can be stored in a different order from their sequence within the central directory.

Для ускорения повторных антивирусных сканирований архивных файлов в рамках заявленного изобретения используется пара «длинный» -«короткий» хеш-коды, которые сохраняются в локальной базе данных вместе с информацией о ранее проведенной антивирусной проверке.To speed up repeated anti-virus scans of archive files within the framework of the claimed invention, a pair of "long" - "short" hash codes are used, which are stored in a local database along with information about the previously performed anti-virus scan.

«Коротким» (или первой хеш-суммой) называется хеш-код, который считается только от части архивного файла (например, от всего центрального каталога 120 или какой-либо его части), в том числе при подсчете «короткого» хеш-кода может дополнительно использоваться метаинформация об архивном файле 110, такая как например: время создания/доступа/модификации архивного файла 110, сертификат, проверочные хеш-коды для вложенных объектов 140 и т.п.A "short" (or first hash sum) is a hash code that is counted only from a part of the archive file (for example, from the entire central directory 120 or any part of it), including when calculating a "short" hash code additionally, meta information about the archive file 110 is used, such as, for example: the time of creation / access / modification of the archive file 110, a certificate, verification hash codes for nested objects 140, and the like.

«Длинным» (или второй хеш-суммой) называется хеш-код, который считается по всему содержимому архивного файла 110. Время его подсчета значительно (для больших архивных файлов на порядки) превосходит время подсчета «короткого» хеш-кода.The "long" (or second hash-sum) is a hash code that is counted over the entire contents of the archive file 110. The time it takes to calculate it significantly (for large archive files by orders of magnitude) exceeds the time it takes to calculate the "short" hash code.

В одном из вариантов осуществления заявленного изобретения ключевым отличием первой хеш-суммы от второй хеш-суммы является время вычисления хеш-сумм. При этом обе хеш-суммы могут быть вычислены по содержимому всего архивного файла 100 (или от его частей, как одинаковых, так и разных), а выигрыш во времени вычисления может достигаться за счет использования разных алгоритмов хеширования (например, для первой хеш-суммы может использоваться алгоритм хеширования CRC, а для второй - MD5).In one embodiment of the claimed invention, the key difference between the first hash and the second hash is the time it takes to compute the hash sums. In this case, both hash-sums can be calculated from the contents of the entire archive file 100 (or from its parts, both identical and different), and a gain in computation time can be achieved by using different hashing algorithms (for example, for the first hash-sum CRC hashing algorithm can be used, and for the second - MD5).

На Фиг. 2 приведен частный вариант системы средств, позволяющих реализовать способ проведения повторной антивирусной проверки архивного файла 110 (далее по тексту файла 110) в рамках заявленного изобретения. В общем случае система, предназначенная для реализации заявленного изобретения, включает в себя вычислительное устройство (например, компьютер общего назначения, который изображен на Фиг. 3, или частный вариант компьютера общего назначения - мобильное устройство 200), содержащее: по меньшей мере, один процессор; средство сетевого доступа, взаимодействующее, по меньшей мере, с одним процессором; и носитель информации, содержащий операционную систему (например, ОС Android), а также множество инструкций, при исполнении которых по меньшей мере на одном процессоре реализуется способ проведения повторной антивирусной проверки файла 110.FIG. 2 shows a particular version of the system of tools that allow you to implement a method for repeated anti-virus scanning of archive file 110 (hereinafter referred to as file 110) within the framework of the claimed invention. In the general case, a system designed to implement the claimed invention includes a computing device (for example, a general-purpose computer, which is shown in Fig. 3, or a private version of a general-purpose computer - a mobile device 200), containing: at least one processor ; network access means interacting with at least one processor; and a storage medium containing an operating system (for example, Android OS), as well as a plurality of instructions, when executed on at least one processor, a method for re-scanning the file 110 is implemented.

В частном варианте система, предназначенная для реализации способа проведения повторной антивирусной проверки файла 110, включает в себя: мобильное устройство 200, содержащее средство безопасности 210, базу данных 220 и антивирусные базы 230, и облачные сервисы 240.In a private embodiment, a system for implementing a method for re-scanning a file 110 for viruses includes: a mobile device 200 containing a security device 210, a database 220 and antivirus databases 230, and cloud services 240.

Облачные сервисы 240 включают в себя: оперативно обновляемые базы знаний о репутации файлов (например, KSN от англ. Kaspersky Security Network), базы вредоносных файлов (так называемые «черные списки») и базы доверенных файлов («белые списки»). Облачные сервисы 240 позволяют средству безопасности 210 по хеш-коду файла 110 получать один из следующих вердиктов: вредоносный файл, не вредоносный файл (если файл 110 является доверенным файлом) и неизвестный файл.Cloud services 240 include: promptly updated knowledge bases about file reputation (for example, KSN from the English Kaspersky Security Network), databases of malicious files (so-called "black lists") and databases of trusted files ("white lists"). Cloud services 240 allow security 210 to receive one of the following verdicts from the file 110 hash code, a non-malicious file (if file 110 is a trusted file), and an unknown file.

В одном из вариантов реализации данного изобретения средство безопасности 210 является приложением безопасности (например, антивирусным приложением), установленным на операционную систему мобильного устройства 200. Средство безопасности предназначено для осуществления антивирусной проверки файла 110.In one embodiment, the security tool 210 is a security application (e.g., an anti-virus application) installed on the operating system of the mobile device 200. The security tool is designed to perform anti-virus scanning of the file 110.

Антивирусная проверка файла 110 включает в себя комплекс мероприятий безопасности, направленных на определение, является ли файл 110 вредоносным файлом. В одном из вариантов реализации данного изобретения антивирусная проверка файла 110 включает в себя запрос вердикта для файла 110 от облачных сервисов 240 и антивирусное сканирование файла 110. В одном из вариантов реализации данного изобретения запрос вердикта осуществляется путем отправки при помощи средства безопасности 210 «длинного» хеш-кода файла 110 в облачные сервисы 240. Антивирусное сканирование файла 110 включает в себя по меньшей мере два широко известных из уровня техники метода анализа содержимого файла 110: сигнатурного анализа файла 110 и эвристического анализа файла 110. Сигнатурный анализ заключается в поиске соответствий какого-либо участка кода анализируемого приложения или его компонент известному коду (сигнатуре) из базы данных сигнатур вредоносных приложений и их компонент. Эвристический анализ включает в себя эмуляцию работы анализируемых приложений и их компонент, создание журналов эмуляции (содержащих данные по вызовам API-функций, переданным параметрам, участкам кода анализируемых приложений и т.д.) и поиск соответствий данных из созданных журналов с данными из базы данных поведенческих сигнатур вредоносных приложений и их компонент.Antivirus scanning of file 110 includes a set of security measures designed to determine if file 110 is a malicious file. In one embodiment of the present invention, antivirus scanning of file 110 includes requesting a verdict for file 110 from cloud services 240 and antivirus scanning of file 110. In one embodiment, the request for a verdict is performed by sending a long hash via security 210 -code of the file 110 to cloud services 240. Antivirus scanning of the file 110 includes at least two methods of analyzing the contents of the file 110 widely known from the prior art: the signature analysis of the file 110 and the heuristic analysis of the file 110. Signature analysis is to find matches for any a section of the code of the analyzed application or its components known to the code (signature) from the database of signatures of malicious applications and their components. Heuristic analysis includes emulation of the analyzed applications and their components, the creation of emulation logs (containing data on API function calls, passed parameters, code sections of the analyzed applications, etc.) and searching for data matches from the created logs with data from the database behavioral signatures of malicious applications and their components.

Антивирусные базы 230 содержат регулярно обновляемые базы данных сигнатур вредоносных приложений и их компонент, используемых средством безопасности 210 для проведения упомянутого сигнатурного анализа, а также базы данных поведенческих сигнатур вредоносных приложений и их компонент, используемых средством безопасности 210 для проведения упомянутого эвристического анализа. В одном из вариантов реализации данного изобретения антивирусные базы 230 содержат информацию о дате каждого обновления.Antivirus databases 230 contain regularly updated databases of malicious application signatures and their components used by the security tool 210 to perform the said signature analysis, as well as databases of behavioral signatures of malicious applications and their components used by the security tool 210 to perform the heuristic analysis. In one embodiment, the anti-virus databases 230 contain information about the date of each update.

База данных 220 предназначена для хранения информации полученной от средства безопасности 210. База состоит из записей, каждая из которых добавляется в базу данных, когда соответствующий файл (например, файл 110) признается не вредоносным в результате антивирусной проверки, и содержит информацию, идентифицирующую файл (пара «длинный» - «короткий» хеш-коды), а также информацию о проведенной антивирусной проверке, которая включает в себя по меньшей мере дату проведения антивирусной проверки файла и вердикт по файлу, полученный от облачных сервисов 240. Так как время вычисления «короткого» хеш-кода файла меньше времени вычисления «длинного» хеш-кода файла, то «короткий» хеш-код используется средством безопасности 210 для быстрого доступа к информации из базы данных 220, а «длинный» хеш-код файла используется средством безопасности 210 при проведении антивирусной проверки.The database 220 is designed to store information received from the security tool 210. The database consists of records, each of which is added to the database when the corresponding file (for example, file 110) is recognized as non-malicious as a result of antivirus scan, and contains information that identifies the file ( pair "long" - "short" hash codes), as well as information about the performed anti-virus check, which includes at least the date of the anti-virus scan of the file and the verdict on the file received from cloud services 240. Since the computation time is “short "File hash code is less than the computation time of the" long "file hash code, then the" short "hash code is used by the security tool 210 to quickly access information from the database 220, and the" long "file hash code is used by the security tool 210 when conducting anti-virus scanning.

Даты обновления антивирусных баз и даты проведения антивирусной проверки файлов являются временными метками, содержащими информацию о времени наступления упомянутых событий с точностью, необходимой для реализации заявленного изобретения.The dates of updating the anti-virus databases and the dates of the anti-virus scanning of files are time stamps containing information about the time of the occurrence of the above events with the accuracy necessary to implement the claimed invention.

Описанные выше варианты системы (общий и частный варианты) позволяют осуществить в рамках заявленного изобретения следующие способы, которые подробно будут описаны далее: способ проведения повторной антивирусной проверки файла и способ частичного сброса результатов предыдущей антивирусной проверки файлов.The above system variants (general and specific variants) allow the following methods to be carried out within the scope of the claimed invention, which will be described in detail below: a method for re-scanning a file for viruses and a method for partially resetting the results of a previous anti-virus scan of files.

Способ проведения повторной антивирусной проверки файла 101, реализуемый при помощи систем, описанных выше, включает в себя этапы, на которых:The method for repeated anti-virus scanning of file 101, implemented using the systems described above, includes the stages at which:

хранят на мобильном устройстве 200 локальную базу данных 220, где каждая запись добавляется в базу данных 220, когда соответствующий файл (файл 110) признается не вредоносным в результате антивирусной проверки при помощи средства 210, и содержит первую хеш-сумму файла 110, вторую хеш-сумму файла 110 и информацию о проведенной антивирусной проверке, которая включает в себя по меньшей мере дату проведения антивирусной проверки файла и вердикт от облачных сервисов 240;store on the mobile device 200 a local database 220, where each record is added to the database 220 when the corresponding file (file 110) is recognized as non-malicious as a result of anti-virus scanning using the tool 210, and contains the first hash of the file 110, the second hash the amount of the file 110 and information about the performed anti-virus check, which includes at least the date of the anti-virus check of the file and the verdict from cloud services 240;

вычисляют первую хеш-сумму файла 110 и находят (выявляют или извлекают, или определяют) в упомянутой базе вторую хеш-сумму файла 110 и информацию о проведенной антивирусной проверке, соответствующие первой хеш-сумме файла 110;calculating the first hash of the file 110 and finding (detecting or extracting, or determining) in said database the second hash of the file 110 and information about the performed anti-virus check corresponding to the first hash of the file 110;

используя вторую хеш-сумму файла 110, запрашивают вердикт для файла 110 от облачных сервисов 240; иusing the second hash of file 110, requesting a verdict for file 110 from cloud services 240; and

проводят при помощи средства безопасности 210 антивирусное сканирование файла 110 всегда кроме случая, если полученный вердикт не изменился (в сравнении с вердиктом, содержащимся в информации о проведенной антивирусной проверке, полученной записи, соответствующей файлу 110), и с даты проведения антивирусной проверки не произошло ни одного обновления антивирусных баз (проверяется средством безопасности 210 путем сравнения упомянутой даты антивирусной проверки файла 110 с датой последнего обновления антивирусных баз 230).antivirus scanning of file 110 is always carried out with the help of security means 210, except if the received verdict has not changed (in comparison with the verdict contained in the information about the performed anti-virus check, the received record corresponding to file 110), and since the date of the anti-virus check, no one update of the anti-virus databases (checked by the security tool 210 by comparing the mentioned date of the anti-virus scan of the file 110 with the date of the last update of the anti-virus databases 230).

Способ частичного сброса результатов предыдущей антивирусной проверки файлов, где файлы без информации о проведенной средством безопасности 210 антивирусной проверке, содержащейся в базе данных 220, вновь подвергаются антивирусной проверке при помощи средства безопасности 210, включает в себя этапы, на которых:A method for partially resetting the results of a previous anti-virus scan of files, where files without information about the anti-virus scan carried out by the security tool 210 contained in the database 220 are again subjected to anti-virus scanning using the security tool 210, includes the steps at which:

хранят на мобильном устройстве 200 локальную базу данных 220, где каждая запись добавляется в базу данных 220, когда соответствующий файл признается не вредоносным в результате антивирусной проверки при помощи средства 210, и содержит информацию, идентифицирующую файл, и информацию о проведенной антивирусной проверке, которая включает в себя по меньшей мере дату проведения антивирусной проверки файла;store on the mobile device 200 a local database 220, where each entry is added to the database 220 when the corresponding file is deemed non-malicious by an anti-virus scan by means 210, and contains information identifying the file and information about the anti-virus scan performed, which includes in itself at least the date when the file was scanned for viruses;

устанавливают при помощи средства безопасности 210 порог сброса записей (или получают при помощи средства безопасности 210 удаленно установленный порог, например, вычисленный в соответствии с определенным профилем пользователя);setting by means of security means 210 a threshold for discarding entries (or obtaining a remotely set threshold by means of security means 210, for example, calculated in accordance with a certain user profile);

после обновления антивирусных баз 230 при помощи средства безопасности 210 проводят оценку вероятности сброса результатов предыдущей антивирусной проверки для каждой записи из базы данных 220; при этом упомянутая оценка тем выше, чем больше времени прошло с упомянутой даты проведения антивирусной проверки соответствующего файла, и чем большее количество обновлений антивирусных баз произошло с упомянутой даты проведения антивирусной проверки соответствующего файла (вычисляется средством безопасности 210 по информации из антивирусных баз 230 о датах всех обновлений);after updating the anti-virus databases 230 using the security tool 210, assess the likelihood of resetting the results of the previous anti-virus scan for each record from the database 220; in this case, the aforementioned rating is the higher, the more time has passed since the mentioned date of the anti-virus scan of the corresponding file, and the more updates of the anti-virus databases have occurred since the mentioned date of the anti-virus scan of the corresponding file (calculated by the security tool 210 from information from updates);

удаляют при помощи средства безопасности 210 из базы данных 220 те записи, для которых упомянутая оценка вероятности сброса превышает установленный порог сброса записей.deleting with the help of the means of security 210 from the database 220 those records for which the mentioned estimate of the probability of discarding exceeds the set threshold of discarding the records.

В одном из вариантов реализации заявленного изобретения порогом является некоторое числовое значение, например, от 0 до 100. Чем ниже пороговое значение, тем больше записей из базы данных 220 будет удалено, после проведения средством безопасности 210 упомянутой оценки вероятности сброса результатов предыдущих антивирусных проверок. Порог может динамически изменяться средством безопасности 210. В другом варианте реализации данного изобретения порог может быть определен удаленно и передан средству безопасности 210.In one embodiment of the claimed invention, the threshold is some numerical value, for example, from 0 to 100. The lower the threshold value, the more records from the database 220 will be deleted after the security 210 evaluates the probability of resetting the results of previous antivirus checks. The threshold may be dynamically changed by the safeguard 210. In another embodiment of the present invention, the threshold may be remotely determined and communicated to the safe 210.

Фиг. 3 представляет пример компьютерной системы (или вычислительного устройства) общего назначения, персональный компьютер, мобильное устройство или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.FIG. 3 shows an example of a general-purpose computer system (or computing device), personal computer, mobile device, or server 20 comprising a central processing unit 21, system memory 22, and a system bus 23 that contains various system components, including memory associated with the central processing unit. 21. The system bus 23 is implemented as any bus structure known in the art, which in turn contains a bus memory or bus memory controller, a peripheral bus and a local bus that is capable of interfacing with any other bus architecture. The system memory contains read-only memory (ROM) 24, random access memory (RAM) 25. The main input / output system (BIOS) 26 contains basic procedures that transfer information between the elements of the personal computer 20, for example, at the time of loading the operating room. systems using ROM 24.

Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.The personal computer 20, in turn, contains a hard disk 27 for reading and writing data, a magnetic disk drive 28 for reading and writing to removable magnetic disks 29 and an optical drive 30 for reading and writing to removable optical disks 31, such as CD-ROM, DVD -ROM and other optical media. The hard disk 27, the magnetic disk drive 28, and the optical drive 30 are connected to the system bus 23 via the hard disk interface 32, the magnetic disk interface 33, and the optical drive interface 34, respectively. Drives and corresponding computer storage media are non-volatile storage media for computer instructions, data structures, program modules and other data of a personal computer 20.

Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.The present description discloses an implementation of a system that uses a hard disk 27, a removable magnetic disk 29 and a removable optical disk 31, but it should be understood that other types of computer storage media 56 that are capable of storing data in a computer readable form (solid state drives, flash memory cards, digital disks, random access memory (RAM), etc.), which are connected to the system bus 23 through the controller 55.

Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.Computer 20 has a file system 36, which stores the recorded operating system 35, as well as additional software applications 37, other program modules 38 and program data 39. The user has the ability to enter commands and information into the personal computer 20 through input devices (keyboard 40, manipulator " mouse "42). Other input devices can be used (not shown): microphone, joystick, game console, scanner, etc. Such input devices are conventionally connected to computer system 20 through a serial port 46, which in turn is connected to the system bus, but can be connected in another way, for example, using a parallel port, game port, or universal serial bus (USB). A monitor 47 or other type of display device is also connected to the system bus 23 through an interface such as a video adapter 48. In addition to the monitor 47, the personal computer may be equipped with other peripheral output devices (not displayed), for example, speakers, a printer, etc. ...

Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 3. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.The personal computer 20 is capable of operating in a networked environment using a network connection with other or more remote computers 49. The remote computer (or computers) 49 are the same personal computers or servers that have most or all of the elements mentioned earlier in the description of the entity the personal computer 20 shown in FIG. 3. There may be other devices in the computer network, for example, routers, network stations, peer-to-peer devices or other network nodes.

Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.The network connections can form a local area network (LAN) 50 and a wide area network (WAN). Such networks are used in corporate computer networks, internal networks of companies and, as a rule, have access to the Internet. In LAN or WAN networks, personal computer 20 is connected to local network 50 via a network adapter or network interface 51. When using networks, personal computer 20 may use a modem 54 or other means of providing communication with a wide area network, such as the Internet. Modem 54, which is an internal or external device, is connected to the system bus 23 via a serial port 46. It should be noted that the network connections are only exemplary and are not required to reflect the exact configuration of the network, i.e. in fact, there are other ways of establishing a connection by technical means of communication of one computer with another.

В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой.In conclusion, it should be noted that the information given in the description are examples, which do not limit the scope of the present invention defined by the claims.

Claims (5)

Способ частичного сброса результатов предыдущей антивирусной проверки файлов, где файлы без информации о проведенной антивирусной проверке, содержащейся в базе данных, вновь подвергаются антивирусной проверке, реализуемый при помощи мобильного устройства, согласно которому:A method for partially resetting the results of the previous anti-virus scan of files, where files without information about the performed anti-virus scan contained in the database are again subjected to an anti-virus scan, implemented using a mobile device, according to which: а) хранят локальную базу данных для файлов, где каждая запись добавляется в базу данных, когда соответствующий файл признается не вредоносным в результате антивирусной проверки, и содержит информацию, идентифицирующую файл, и информацию о проведенной антивирусной проверке, которая включает в себя по меньшей мере дату проведения антивирусной проверки файла;a) store a local database for files, where each entry is added to the database when the corresponding file is deemed non-malicious by an anti-virus scan, and contains information identifying the file and information about the anti-virus scan performed, which includes at least the date conducting an anti-virus scan of the file; б) устанавливают порог сброса записей;b) set the threshold for discarding records; в) после обновления антивирусных баз проводят оценку вероятности сброса результатов предыдущей антивирусной проверки для каждой записи из базы данных; при этом оценка тем выше, чем больше времени прошло с упомянутой даты проведения антивирусной проверки соответствующего файла и чем большее количество обновлений антивирусных баз произошло с упомянутой даты проведения антивирусной проверки соответствующего файла;c) after updating the anti-virus databases, the probability of resetting the results of the previous anti-virus scan is assessed for each record from the database; the score is the higher, the more time has passed since the mentioned date of the anti-virus scan of the corresponding file and the more updates of the anti-virus databases have occurred since the mentioned date of the anti-virus scan of the corresponding file; г) удаляют из базы данных те записи, для которых упомянутая оценка вероятности сброса превышает установленный порог сброса записей.d) delete from the database those records for which the mentioned estimate of the probability of discarding exceeds the established threshold for discarding records.
RU2019111145A 2019-04-15 2019-04-15 Method for selective repeated antivirus scanning of files on mobile device RU2726877C1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2019111145A RU2726877C1 (en) 2019-04-15 2019-04-15 Method for selective repeated antivirus scanning of files on mobile device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2019111145A RU2726877C1 (en) 2019-04-15 2019-04-15 Method for selective repeated antivirus scanning of files on mobile device

Publications (1)

Publication Number Publication Date
RU2726877C1 true RU2726877C1 (en) 2020-07-16

Family

ID=71616612

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2019111145A RU2726877C1 (en) 2019-04-15 2019-04-15 Method for selective repeated antivirus scanning of files on mobile device

Country Status (1)

Country Link
RU (1) RU2726877C1 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060294589A1 (en) * 2005-06-23 2006-12-28 International Business Machines Corporation Method/system to speed up antivirus scans using a journal file system
US20070150948A1 (en) * 2003-12-24 2007-06-28 Kristof De Spiegeleer Method and system for identifying the content of files in a network
US20070240218A1 (en) * 2006-04-06 2007-10-11 George Tuvell Malware Detection System and Method for Mobile Platforms
US20150007328A1 (en) * 2012-02-07 2015-01-01 Beijing Qihoo Technology Company Limited Method and System for Quickly Scanning Files
RU2601162C1 (en) * 2015-06-30 2016-10-27 Закрытое акционерное общество "Лаборатория Касперского" Method of using dedicated computer security service

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070150948A1 (en) * 2003-12-24 2007-06-28 Kristof De Spiegeleer Method and system for identifying the content of files in a network
US20060294589A1 (en) * 2005-06-23 2006-12-28 International Business Machines Corporation Method/system to speed up antivirus scans using a journal file system
US20070240218A1 (en) * 2006-04-06 2007-10-11 George Tuvell Malware Detection System and Method for Mobile Platforms
US20150007328A1 (en) * 2012-02-07 2015-01-01 Beijing Qihoo Technology Company Limited Method and System for Quickly Scanning Files
RU2601162C1 (en) * 2015-06-30 2016-10-27 Закрытое акционерное общество "Лаборатория Касперского" Method of using dedicated computer security service

Similar Documents

Publication Publication Date Title
RU2726878C1 (en) Method for faster full antivirus scanning of files on mobile device
US10511616B2 (en) Method and system for detecting and remediating polymorphic attacks across an enterprise
US10673884B2 (en) Apparatus method and medium for tracing the origin of network transmissions using n-gram distribution of data
RU2607231C2 (en) Fuzzy whitelisting anti-malware systems and methods
US7640589B1 (en) Detection and minimization of false positives in anti-malware processing
JP6353498B2 (en) System and method for generating an antivirus record set for detecting malware on user equipment
JP4881348B2 (en) Distributed virus scanning of stored data
US8819835B2 (en) Silent-mode signature testing in anti-malware processing
RU2491615C1 (en) System and method of creating software detection records
RU2739865C2 (en) System and method of detecting a malicious file
US9147073B2 (en) System and method for automatic generation of heuristic algorithms for malicious object identification
RU2634178C1 (en) Method of detecting harmful composite files
RU2624552C2 (en) Method of malicious files detecting, executed by means of the stack-based virtual machine
US11451580B2 (en) Method and system of decentralized malware identification
RU2739830C1 (en) System and method of selecting means of detecting malicious files
JP2019003598A (en) System and method for detecting abnormal events
RU2614929C1 (en) Method for anti-virus records transmission used to detect malicious files
RU2510530C1 (en) Method for automatic generation of heuristic algorithms for searching for malicious objects
RU2726877C1 (en) Method for selective repeated antivirus scanning of files on mobile device
KR101670456B1 (en) document security system and security method
RU107615U1 (en) SYSTEM FOR REDUCING THE NUMBER OF FALSE FACES OF AN ANTI-VIRUS SYSTEM
KR101865785B1 (en) document security system and security method through verifying and converting document file
RU2468427C1 (en) System and method to protect computer system against activity of harmful objects
RU2659739C1 (en) Method of composite file access control