RU2726877C1 - Method for selective repeated antivirus scanning of files on mobile device - Google Patents
Method for selective repeated antivirus scanning of files on mobile device Download PDFInfo
- Publication number
- RU2726877C1 RU2726877C1 RU2019111145A RU2019111145A RU2726877C1 RU 2726877 C1 RU2726877 C1 RU 2726877C1 RU 2019111145 A RU2019111145 A RU 2019111145A RU 2019111145 A RU2019111145 A RU 2019111145A RU 2726877 C1 RU2726877 C1 RU 2726877C1
- Authority
- RU
- Russia
- Prior art keywords
- file
- antivirus
- database
- files
- virus
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/14—Details of searching files based on file metadata
- G06F16/148—File search processing
- G06F16/152—File search processing using file content signatures, e.g. hash values
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/564—Static detection by virus signature recognition
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
Abstract
Description
Область техникиTechnical field
Настоящее изобретение относится к антивирусным технологиям, а более конкретно к способам избирательного проведения повторных антивирусных проверок архивных файлов на мобильном устройстве.The present invention relates to anti-virus technologies, and more specifically to methods for selectively re-scanning archived files on a mobile device.
Уровень техникиState of the art
В настоящий момент мобильные устройства - смартфоны, планшеты и т.п. - стали обязательным атрибутом практически каждого человека. При помощи таких устройств люди выполняют множество повседневных задач: от общения по электронной почте до оплаты покупок в магазинах. Широкое распространение таких устройств мотивирует злоумышленников создавать вредоносные программы - программы, предназначенные для неправомерного доступа к данным пользователя, а также к ресурсам мобильных устройств в целом.Currently, mobile devices - smartphones, tablets, etc. - have become an obligatory attribute of almost every person. People use these devices to perform a variety of daily tasks, from communicating by email to paying for purchases in stores. The widespread use of such devices motivates cybercriminals to create malicious programs - programs designed to unauthorized access to user data, as well as to the resources of mobile devices in general.
На данный момент для борьбы с вредоносными программами широко используются антивирусы - программы, предназначенные для защиты вычислительных устройств от вредоносных программ. Для обеспечения такой защиты применяются различные подходы и технологии: сигнатурный анализ, поведенческий анализ, эвристические правила и т.д. Проведение полного антивирусного сканирования мобильного устройства - ресурсоемкая операция. Регулярные полные антивирусные сканирования приводят к быстрому разряду аккумулятора мобильного устройства, что в свою очередь негативно влияет на восприятие антивирусных продуктов их пользователями. На Android-устройствах, в силу специфики данной ОС, большую часть проверяемых файлов составляют архивы в ZIP-формате. Их распаковка и проверка вложенных в них объектов занимает подавляющую часть от общего времени сканирования. Таким образом существует необходимость развития антивирусных технологий для оптимизации расходования ресурсов при проведении повторных антивирусных сканирований на мобильном устройстве. Использование предлагаемой технологии позволяет сократить как время повторных сканирований архивных файлов, так и общий расход электроэнергии на Android-устройствах.At the moment, antiviruses are widely used to combat malware - programs designed to protect computing devices from malware. To ensure such protection, various approaches and technologies are used: signature analysis, behavioral analysis, heuristic rules, etc. Performing a full anti-virus scan of a mobile device is a resource-intensive operation. Regular full antivirus scans lead to a rapid drain of the mobile device's battery, which in turn negatively affects the perception of antivirus products by their users. On Android devices, due to the specifics of this OS, most of the scanned files are archives in ZIP format. Unpacking them and checking the objects embedded in them takes the overwhelming part of the total scanning time. Thus, there is a need for the development of anti-virus technologies to optimize resource use when performing repeated anti-virus scans on a mobile device. The use of the proposed technology makes it possible to reduce both the time for repeated scans of archive files and the total power consumption on Android devices.
Раскрытие изобретенияDisclosure of invention
Настоящее изобретение предназначено для избирательного проведения повторной антивирусной проверки файлов.The present invention is intended to selectively re-scan files.
Технический результат настоящего изобретения заключается в снижении расхода ресурсов мобильного устройства при проведении повторных антивирусных проверок файлов.The technical result of the present invention is to reduce the consumption of resources of the mobile device during repeated anti-virus checks of files.
Еще одним техническим результатом является расширение арсенала средств для проведения повторных антивирусных проверок файлов.Another technical result is the expansion of the arsenal of tools for repeated anti-virus scan of files.
В одном из вариантов осуществления данного изобретения реализуется способ частичного сброса результатов предыдущей антивирусной проверки файлов, где файлы без информации о проведенной антивирусной проверке, содержащейся в базе данных, вновь подвергаются антивирусной проверке, реализуемый при помощи вычислительного устройства, согласно которому: (а) хранят локальную базу данных для файлов, где каждая запись добавляется в базу данных, когда соответствующий файл признается не вредоносным в результате антивирусной проверки, и содержит информацию, идентифицирующую файл, и информацию о проведенной антивирусной проверке, которая включает в себя по меньшей мере дату проведения антивирусной проверки файла; (б) устанавливают порог сброса записей; (в) после обновления антивирусных баз проводят оценку вероятности сброса результатов предыдущей антивирусной проверки для каждой записи из базы данных; при этом оценка тем выше, чем больше времени прошло с упомянутой даты проведения антивирусной проверки соответствующего файла, и чем большее количество обновлений антивирусных баз произошло с упомянутой даты проведения антивирусной проверки соответствующего файла; (г) удаляют из базы данных те записи, для которых упомянутая оценка вероятности сброса превышает установленный порог сброса записей.In one of the embodiments of the present invention, a method is implemented for partially resetting the results of a previous anti-virus scan of files, where files without information about the performed anti-virus scan contained in the database are again subjected to antivirus scan, implemented using a computing device, according to which: (a) a local a database for files, where each entry is added to the database when the corresponding file is deemed non-malicious by an anti-virus scan, and contains information identifying the file and information about the anti-virus scan performed, which includes at least the date the file was scanned for viruses ; (b) set a threshold for discarding records; (c) after updating the anti-virus databases, the probability of resetting the results of the previous anti-virus scan is assessed for each record from the database; the score is the higher, the more time has passed since the mentioned date of the anti-virus scan of the corresponding file, and the more updates of the anti-virus databases have occurred since the mentioned date of the anti-virus scan of the corresponding file; (d) deleting from the database those records for which said estimate of the probability of discarding exceeds the specified threshold for discarding records.
В другом варианте осуществления данного изобретения вычислительное устройство является мобильным устройством.In another embodiment of the present invention, the computing device is a mobile device.
Еще в одном варианте осуществления данного изобретения файл является архивным файлом.In yet another embodiment of the present invention, the file is an archive file.
В другом варианте осуществления данного изобретения, где информацией, идентифицирующей файл, является первая хеш-сумма файла и вторая хеш-сумма файла.In another embodiment of the present invention, where the file identifying information is the first file hash and the second file hash.
В другом варианте осуществления данного изобретения первая хеш-сумма считается от части содержимого файла.In another embodiment of the present invention, the first hash is counted from a portion of the file content.
Еще в одном варианте осуществления данного изобретения вторая хеш-сумма считается по всему содержимому файла.In yet another embodiment of the present invention, the second hash is counted over the entire contents of the file.
В другом варианте осуществления данного изобретения время вычисления первой хеш-суммы файла меньше времени вычисления второй хеш-суммы файла.In another embodiment of the present invention, the computation time of the first file hash is less than the computation time of the second file hash.
Краткое описание чертежейBrief Description of Drawings
Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:Additional objects, features and advantages of the present invention will become apparent from a reading of the following description of an embodiment of the invention with reference to the accompanying drawings, in which:
Фиг. 1 иллюстрирует структуру архивного файла на примере APK-файла.FIG. 1 illustrates the structure of an archive file using an APK file as an example.
Фиг. 2 отображает систему средств, реализующую настоящее изобретение.FIG. 2 depicts a system of means for implementing the present invention.
Фиг. 3 представляет пример компьютерной системы общего назначения, на которой может быть реализовано настоящее изобретение.FIG. 3 is an example of a general purpose computer system on which the present invention may be implemented.
Хотя изобретение может иметь различные модификации и альтернативные формы, характерные признаки, показанные в качестве примера на чертежах, будут описаны подробно. Следует понимать, однако, что цель описания заключается не в ограничении изобретения конкретным его воплощением. Наоборот, целью описания является охват всех изменений, модификаций, входящих в рамки данного изобретения, как это определено приложенной формуле.Although the invention may take various modifications and alternative forms, the characteristic features shown by way of example in the drawings will be described in detail. It should be understood, however, that the purpose of the description is not to limit the invention to a specific embodiment. On the contrary, the purpose of the description is to cover all changes, modifications falling within the scope of this invention, as defined by the appended claims.
Описание вариантов осуществления изобретенияDescription of embodiments of the invention
Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления на Android-устройствах. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться на любых вычислительных устройствах с отличными от Android операционными системами. Сущность, приведенная в описании, является не чем иным, как конкретными деталями, необходимыми для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется в объеме приложенной формулы.The objects and features of the present invention, methods for achieving these objects and features will become apparent by referring to exemplary embodiments on Android devices. However, the present invention is not limited to the exemplary embodiments disclosed below, but may be implemented on any computing device with a non-Android operating system. The essence recited in the description is nothing more than the specific details necessary to assist a person skilled in the art in a comprehensive understanding of the invention, and the present invention is defined within the scope of the appended claims.
Введем ряд определений и понятий, которые будут использоваться при описании вариантов осуществления изобретения.Let's introduce a number of definitions and concepts that will be used in describing embodiments of the invention.
Хеширование (от англ. hashing) - преобразование массива входных данных произвольной длины в (выходную) битовую строку установленной длины, выполняемое определенным алгоритмом.Hashing (from the English. Hashing) - the transformation of an array of input data of arbitrary length in (output) bit string of a specified length, performed by a certain algorithm.
Хеш-функция (или функция свертки) - функция, воплощающая алгоритм хеширования и выполняющая преобразование.Hash function (or convolution function) - a function that implements the hashing algorithm and performs a transformation.
Хеш-код (или хеш-сумма, свертка) - результат хеширования. Хеш-код, как правило, записывается в шестнадцатеричном виде. Таким образом для некоторого заданного файла значением хеш-функции MD5 будет строка из 32 шестнадцатеричных цифр - например, 026f8e459c8f89ef75fa7a78265a0025. Для хеш-функции CRC32 хеш-код будет F6DE2FEA, а для SHA-1 - 7DD987F846400079F4B03C058365A4869047B4A0.Hash code (or hash sum, convolution) is the hash result. The hash code is usually written in hexadecimal. Thus, for a given file, the MD5 hash value will be a string of 32 hexadecimal digits - for example, 026f8e459c8f89ef75fa7a78265a0025. For the hash function CRC32, the hash code will be F6DE2FEA, and for SHA-1 it will be 7DD987F846400079F4B03C058365A4869047B4A0.
Вредоносное приложение - приложение, способное нанести вред компьютеру или данным пользователя компьютера (иными словами, компьютерной системы, например, изображенной на Фиг. 3), например: сетевой червь, клавиатурный шпион, компьютерный вирус. В качестве нанесенного вреда может выступать неправомерный доступ к ресурсам компьютера, в том числе к данным, хранящимся на компьютере, с целью хищения, а также неправомерное использование ресурсов, в том числе для хранения данных, проведения вычислений и т.п.Malicious application - an application that can harm a computer or the data of a computer user (in other words, a computer system, for example, shown in Fig. 3), for example: a network worm, keylogger, computer virus. Harm can be unlawful access to computer resources, including data stored on a computer, for the purpose of theft, as well as unlawful use of resources, including for storing data, performing calculations, etc.
Доверенное приложение (не вредоносное приложение) - приложение, которое не наносит вреда компьютеру или его пользователю. Доверенным приложением может считаться приложение, разработанное доверенным производителем ПО (программного обеспечения), загруженное из доверенного источника (например, сайт, занесенный в базу данных доверенных сайтов) или приложение, идентификатор (или другие данные, по которым можно однозначно определить приложение) которого (например, хеш-сумма файла приложения) хранится в базе данных доверенных приложений. Идентификатор производителя, например, цифровой сертификат, может также храниться в базе данных доверенных приложений.A trusted application (not a malicious application) is an application that does not harm the computer or its user. A trusted application can be considered an application developed by a trusted software (software) manufacturer, downloaded from a trusted source (for example, a site entered in a database of trusted sites) or an application whose identifier (or other data by which the application can be uniquely identified) of which (for example , the hash of the application file) is stored in the trusted applications database. Vendor ID, such as a digital certificate, can also be stored in the trusted applications database.
Недоверенное приложение (неизвестное приложение) - приложение, которое не является доверенным, но также не признано вредоносным, например, при помощи антивирусного приложения. При этом недоверенное приложение может впоследствии быть признано вредоносным, например, при помощи антивирусной проверки.Untrusted application (unknown application) - an application that is not trusted, but also has not been identified as malicious, for example, by an anti-virus application. In this case, an untrusted application can subsequently be recognized as malicious, for example, using an anti-virus scan.
Вредоносный файл - файл, являющийся компонентом вредоносного приложения и содержащий программный код (исполняемый или интерпретируемый код).A malicious file is a file that is a component of a malicious application and contains program code (executable or interpreted code).
Недоверенный файл (неизвестный файл) - файл, являющийся компонентом недоверенного приложения и содержащий программный код (исполняемый или интерпретируемый код).Untrusted file (unknown file) - a file that is a component of an untrusted application and contains program code (executable or interpreted code).
Доверенный файл (не вредоносный файл) - файл, являющийся компонентом доверенного приложения.Trusted file (not a malicious file) - a file that is a component of a trusted application.
Архивный файл - это специальным образом организованный файл, содержащий в себе один или несколько файлов в сжатом или несжатом виде и служебную информацию об именах файлов, дате и времени их создания или модификации, размерах и т.д.An archive file is a specially organized file containing one or several files in compressed or uncompressed form and service information about the file names, date and time of their creation or modification, sizes, etc.
На Фиг. 1 изображена структура архивного APK-файла для ОС Android. Дистрибутивы для ОС Android поставляются в виде архивных исполняемых APK-файлов (англ. Android Package). Каждое приложение Android скомпилировано и упаковано в один файл, который включает в себя весь код приложения (DEX-файлы), ресурсы и файл .manifest, а также CERT.RSA - сертификат, которым подписано приложение, и CERT.SF -файл-информацию о ресурсах и сертификате. Файлы формата APK не шифруются, являются подмножеством формата архива ZIP. Каждый APK-файл - это сжатый архив для исполнения виртуальной машиной (например, DalvikVM), которая может быть установлена не только на операционной системе Android. Каждый ZIP-архив 110 (а, следовательно, и APK-файл) содержит так называемый «центральный каталог» 120 (central directory), который находится в конце архива для обеспечения возможности добавления новых файлов в архив. Этот каталог содержит список записей 125 (имен файлов и каталогов), входящих в архив, а также заголовки о записях. Каждый заголовок внутри центрального каталога содержит:FIG. 1 shows the structure of an APK archive file for Android OS. Distributions for Android OS are delivered as archive executable APK-files (Android Package). Each Android application is compiled and packaged into one file, which includes all the application code (DEX files), resources and a .manifest file, as well as CERT.RSA - the certificate that signed the application, and CERT.SF - file information about resources and certificate. APK files are not encrypted, they are a subset of the ZIP archive format. Each APK file is a compressed archive for execution by a virtual machine (for example, DalvikVM), which can be installed not only on the Android operating system. Each ZIP archive 110 (and therefore the APK file) contains a so-called "central directory" 120, which is located at the end of the archive to allow new files to be added to the archive. This directory contains a list of 125 entries (file and directory names) included in the archive, as well as the titles about the entries. Each header inside the central directory contains:
- размер после сжатия;- size after compression;
- размер до сжатия;- size before compression;
- длину имени файла;- the length of the file name;
- размер дополнительных данных о файле;- size of additional data about the file;
- размер комментария к файлу;- the size of the file comment;
- номер диска, с которого файл начинается;- disk number from which the file starts;
- относительное смещение до локального заголовка файла (количество байт от начала диска, на котором файл начинается, до локального заголовка к файлу);- relative offset to the local file header (the number of bytes from the beginning of the disk, on which the file begins, to the local file header);
- имя файла;- file name;
- дополнительные данные о файле;- additional data about the file;
- комментарий к файлу.- a comment to the file.
Центральный каталог заканчивается записью об окончании 126 (EOCD record), которая содержит:The central directory ends with an end record 126 (EOCD record), which contains:
- номер текущего диска;- current disc number;
- номер диска, с которого начинается центральный каталог;- disk number from which the central catalog begins;
- количество записей в центральном каталоге на этом диске;- the number of records in the central directory on this disk;
- общее количество записей в центральном каталоге;- the total number of records in the central catalog;
- размер центрального каталога;- the size of the central directory;
- смещение до центрального каталога относительно начала архива;- offset to the central directory relative to the beginning of the archive;
- размер комментария;- comment size;
- комментарий;- a comment;
Таким образом, после чтения и анализа центрального каталога можно получить доступ непосредственно к сжатым данным любой записи 140 (сжатым файлам), хранящейся в центральном каталоге, по смещению, описанному в заголовке.Thus, after reading and parsing the central directory, it is possible to access directly the compressed data of any record 140 (compressed files) stored in the central directory at the offset described in the header.
Данные записи также начинаются с локального заголовка файла 141. Локальный заголовок файла частично включает в себя информацию, которая содержится в центральном каталоге, а именно:These records also begin with the
- размер после сжатия;- size after compression;
- размер до сжатия;- size before compression;
- длину имени файла;- the length of the file name;
- размер дополнительных данных о файле;- size of additional data about the file;
- имя файла;- file name;
- дополнительные данные о файле.- additional data about the file.
Сжатые данные файла 142 начинаются непосредственно после заголовка. Данные записей внутри архива могут храниться в порядке, отличном от их последовательности внутри центрального каталога.The
Для ускорения повторных антивирусных сканирований архивных файлов в рамках заявленного изобретения используется пара «длинный» -«короткий» хеш-коды, которые сохраняются в локальной базе данных вместе с информацией о ранее проведенной антивирусной проверке.To speed up repeated anti-virus scans of archive files within the framework of the claimed invention, a pair of "long" - "short" hash codes are used, which are stored in a local database along with information about the previously performed anti-virus scan.
«Коротким» (или первой хеш-суммой) называется хеш-код, который считается только от части архивного файла (например, от всего центрального каталога 120 или какой-либо его части), в том числе при подсчете «короткого» хеш-кода может дополнительно использоваться метаинформация об архивном файле 110, такая как например: время создания/доступа/модификации архивного файла 110, сертификат, проверочные хеш-коды для вложенных объектов 140 и т.п.A "short" (or first hash sum) is a hash code that is counted only from a part of the archive file (for example, from the entire
«Длинным» (или второй хеш-суммой) называется хеш-код, который считается по всему содержимому архивного файла 110. Время его подсчета значительно (для больших архивных файлов на порядки) превосходит время подсчета «короткого» хеш-кода.The "long" (or second hash-sum) is a hash code that is counted over the entire contents of the
В одном из вариантов осуществления заявленного изобретения ключевым отличием первой хеш-суммы от второй хеш-суммы является время вычисления хеш-сумм. При этом обе хеш-суммы могут быть вычислены по содержимому всего архивного файла 100 (или от его частей, как одинаковых, так и разных), а выигрыш во времени вычисления может достигаться за счет использования разных алгоритмов хеширования (например, для первой хеш-суммы может использоваться алгоритм хеширования CRC, а для второй - MD5).In one embodiment of the claimed invention, the key difference between the first hash and the second hash is the time it takes to compute the hash sums. In this case, both hash-sums can be calculated from the contents of the entire archive file 100 (or from its parts, both identical and different), and a gain in computation time can be achieved by using different hashing algorithms (for example, for the first hash-sum CRC hashing algorithm can be used, and for the second - MD5).
На Фиг. 2 приведен частный вариант системы средств, позволяющих реализовать способ проведения повторной антивирусной проверки архивного файла 110 (далее по тексту файла 110) в рамках заявленного изобретения. В общем случае система, предназначенная для реализации заявленного изобретения, включает в себя вычислительное устройство (например, компьютер общего назначения, который изображен на Фиг. 3, или частный вариант компьютера общего назначения - мобильное устройство 200), содержащее: по меньшей мере, один процессор; средство сетевого доступа, взаимодействующее, по меньшей мере, с одним процессором; и носитель информации, содержащий операционную систему (например, ОС Android), а также множество инструкций, при исполнении которых по меньшей мере на одном процессоре реализуется способ проведения повторной антивирусной проверки файла 110.FIG. 2 shows a particular version of the system of tools that allow you to implement a method for repeated anti-virus scanning of archive file 110 (hereinafter referred to as file 110) within the framework of the claimed invention. In the general case, a system designed to implement the claimed invention includes a computing device (for example, a general-purpose computer, which is shown in Fig. 3, or a private version of a general-purpose computer - a mobile device 200), containing: at least one processor ; network access means interacting with at least one processor; and a storage medium containing an operating system (for example, Android OS), as well as a plurality of instructions, when executed on at least one processor, a method for re-scanning the
В частном варианте система, предназначенная для реализации способа проведения повторной антивирусной проверки файла 110, включает в себя: мобильное устройство 200, содержащее средство безопасности 210, базу данных 220 и антивирусные базы 230, и облачные сервисы 240.In a private embodiment, a system for implementing a method for re-scanning a
Облачные сервисы 240 включают в себя: оперативно обновляемые базы знаний о репутации файлов (например, KSN от англ. Kaspersky Security Network), базы вредоносных файлов (так называемые «черные списки») и базы доверенных файлов («белые списки»). Облачные сервисы 240 позволяют средству безопасности 210 по хеш-коду файла 110 получать один из следующих вердиктов: вредоносный файл, не вредоносный файл (если файл 110 является доверенным файлом) и неизвестный файл.Cloud services 240 include: promptly updated knowledge bases about file reputation (for example, KSN from the English Kaspersky Security Network), databases of malicious files (so-called "black lists") and databases of trusted files ("white lists"). Cloud services 240 allow
В одном из вариантов реализации данного изобретения средство безопасности 210 является приложением безопасности (например, антивирусным приложением), установленным на операционную систему мобильного устройства 200. Средство безопасности предназначено для осуществления антивирусной проверки файла 110.In one embodiment, the
Антивирусная проверка файла 110 включает в себя комплекс мероприятий безопасности, направленных на определение, является ли файл 110 вредоносным файлом. В одном из вариантов реализации данного изобретения антивирусная проверка файла 110 включает в себя запрос вердикта для файла 110 от облачных сервисов 240 и антивирусное сканирование файла 110. В одном из вариантов реализации данного изобретения запрос вердикта осуществляется путем отправки при помощи средства безопасности 210 «длинного» хеш-кода файла 110 в облачные сервисы 240. Антивирусное сканирование файла 110 включает в себя по меньшей мере два широко известных из уровня техники метода анализа содержимого файла 110: сигнатурного анализа файла 110 и эвристического анализа файла 110. Сигнатурный анализ заключается в поиске соответствий какого-либо участка кода анализируемого приложения или его компонент известному коду (сигнатуре) из базы данных сигнатур вредоносных приложений и их компонент. Эвристический анализ включает в себя эмуляцию работы анализируемых приложений и их компонент, создание журналов эмуляции (содержащих данные по вызовам API-функций, переданным параметрам, участкам кода анализируемых приложений и т.д.) и поиск соответствий данных из созданных журналов с данными из базы данных поведенческих сигнатур вредоносных приложений и их компонент.Antivirus scanning of
Антивирусные базы 230 содержат регулярно обновляемые базы данных сигнатур вредоносных приложений и их компонент, используемых средством безопасности 210 для проведения упомянутого сигнатурного анализа, а также базы данных поведенческих сигнатур вредоносных приложений и их компонент, используемых средством безопасности 210 для проведения упомянутого эвристического анализа. В одном из вариантов реализации данного изобретения антивирусные базы 230 содержат информацию о дате каждого обновления.
База данных 220 предназначена для хранения информации полученной от средства безопасности 210. База состоит из записей, каждая из которых добавляется в базу данных, когда соответствующий файл (например, файл 110) признается не вредоносным в результате антивирусной проверки, и содержит информацию, идентифицирующую файл (пара «длинный» - «короткий» хеш-коды), а также информацию о проведенной антивирусной проверке, которая включает в себя по меньшей мере дату проведения антивирусной проверки файла и вердикт по файлу, полученный от облачных сервисов 240. Так как время вычисления «короткого» хеш-кода файла меньше времени вычисления «длинного» хеш-кода файла, то «короткий» хеш-код используется средством безопасности 210 для быстрого доступа к информации из базы данных 220, а «длинный» хеш-код файла используется средством безопасности 210 при проведении антивирусной проверки.The
Даты обновления антивирусных баз и даты проведения антивирусной проверки файлов являются временными метками, содержащими информацию о времени наступления упомянутых событий с точностью, необходимой для реализации заявленного изобретения.The dates of updating the anti-virus databases and the dates of the anti-virus scanning of files are time stamps containing information about the time of the occurrence of the above events with the accuracy necessary to implement the claimed invention.
Описанные выше варианты системы (общий и частный варианты) позволяют осуществить в рамках заявленного изобретения следующие способы, которые подробно будут описаны далее: способ проведения повторной антивирусной проверки файла и способ частичного сброса результатов предыдущей антивирусной проверки файлов.The above system variants (general and specific variants) allow the following methods to be carried out within the scope of the claimed invention, which will be described in detail below: a method for re-scanning a file for viruses and a method for partially resetting the results of a previous anti-virus scan of files.
Способ проведения повторной антивирусной проверки файла 101, реализуемый при помощи систем, описанных выше, включает в себя этапы, на которых:The method for repeated anti-virus scanning of file 101, implemented using the systems described above, includes the stages at which:
хранят на мобильном устройстве 200 локальную базу данных 220, где каждая запись добавляется в базу данных 220, когда соответствующий файл (файл 110) признается не вредоносным в результате антивирусной проверки при помощи средства 210, и содержит первую хеш-сумму файла 110, вторую хеш-сумму файла 110 и информацию о проведенной антивирусной проверке, которая включает в себя по меньшей мере дату проведения антивирусной проверки файла и вердикт от облачных сервисов 240;store on the mobile device 200 a
вычисляют первую хеш-сумму файла 110 и находят (выявляют или извлекают, или определяют) в упомянутой базе вторую хеш-сумму файла 110 и информацию о проведенной антивирусной проверке, соответствующие первой хеш-сумме файла 110;calculating the first hash of the
используя вторую хеш-сумму файла 110, запрашивают вердикт для файла 110 от облачных сервисов 240; иusing the second hash of
проводят при помощи средства безопасности 210 антивирусное сканирование файла 110 всегда кроме случая, если полученный вердикт не изменился (в сравнении с вердиктом, содержащимся в информации о проведенной антивирусной проверке, полученной записи, соответствующей файлу 110), и с даты проведения антивирусной проверки не произошло ни одного обновления антивирусных баз (проверяется средством безопасности 210 путем сравнения упомянутой даты антивирусной проверки файла 110 с датой последнего обновления антивирусных баз 230).antivirus scanning of
Способ частичного сброса результатов предыдущей антивирусной проверки файлов, где файлы без информации о проведенной средством безопасности 210 антивирусной проверке, содержащейся в базе данных 220, вновь подвергаются антивирусной проверке при помощи средства безопасности 210, включает в себя этапы, на которых:A method for partially resetting the results of a previous anti-virus scan of files, where files without information about the anti-virus scan carried out by the
хранят на мобильном устройстве 200 локальную базу данных 220, где каждая запись добавляется в базу данных 220, когда соответствующий файл признается не вредоносным в результате антивирусной проверки при помощи средства 210, и содержит информацию, идентифицирующую файл, и информацию о проведенной антивирусной проверке, которая включает в себя по меньшей мере дату проведения антивирусной проверки файла;store on the mobile device 200 a
устанавливают при помощи средства безопасности 210 порог сброса записей (или получают при помощи средства безопасности 210 удаленно установленный порог, например, вычисленный в соответствии с определенным профилем пользователя);setting by means of security means 210 a threshold for discarding entries (or obtaining a remotely set threshold by means of security means 210, for example, calculated in accordance with a certain user profile);
после обновления антивирусных баз 230 при помощи средства безопасности 210 проводят оценку вероятности сброса результатов предыдущей антивирусной проверки для каждой записи из базы данных 220; при этом упомянутая оценка тем выше, чем больше времени прошло с упомянутой даты проведения антивирусной проверки соответствующего файла, и чем большее количество обновлений антивирусных баз произошло с упомянутой даты проведения антивирусной проверки соответствующего файла (вычисляется средством безопасности 210 по информации из антивирусных баз 230 о датах всех обновлений);after updating the
удаляют при помощи средства безопасности 210 из базы данных 220 те записи, для которых упомянутая оценка вероятности сброса превышает установленный порог сброса записей.deleting with the help of the means of
В одном из вариантов реализации заявленного изобретения порогом является некоторое числовое значение, например, от 0 до 100. Чем ниже пороговое значение, тем больше записей из базы данных 220 будет удалено, после проведения средством безопасности 210 упомянутой оценки вероятности сброса результатов предыдущих антивирусных проверок. Порог может динамически изменяться средством безопасности 210. В другом варианте реализации данного изобретения порог может быть определен удаленно и передан средству безопасности 210.In one embodiment of the claimed invention, the threshold is some numerical value, for example, from 0 to 100. The lower the threshold value, the more records from the
Фиг. 3 представляет пример компьютерной системы (или вычислительного устройства) общего назначения, персональный компьютер, мобильное устройство или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.FIG. 3 shows an example of a general-purpose computer system (or computing device), personal computer, mobile device, or server 20 comprising a
Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.The personal computer 20, in turn, contains a
Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.The present description discloses an implementation of a system that uses a
Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.Computer 20 has a
Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 3. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.The personal computer 20 is capable of operating in a networked environment using a network connection with other or more
Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.The network connections can form a local area network (LAN) 50 and a wide area network (WAN). Such networks are used in corporate computer networks, internal networks of companies and, as a rule, have access to the Internet. In LAN or WAN networks, personal computer 20 is connected to local network 50 via a network adapter or
В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой.In conclusion, it should be noted that the information given in the description are examples, which do not limit the scope of the present invention defined by the claims.
Claims (5)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2019111145A RU2726877C1 (en) | 2019-04-15 | 2019-04-15 | Method for selective repeated antivirus scanning of files on mobile device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2019111145A RU2726877C1 (en) | 2019-04-15 | 2019-04-15 | Method for selective repeated antivirus scanning of files on mobile device |
Publications (1)
Publication Number | Publication Date |
---|---|
RU2726877C1 true RU2726877C1 (en) | 2020-07-16 |
Family
ID=71616612
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2019111145A RU2726877C1 (en) | 2019-04-15 | 2019-04-15 | Method for selective repeated antivirus scanning of files on mobile device |
Country Status (1)
Country | Link |
---|---|
RU (1) | RU2726877C1 (en) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060294589A1 (en) * | 2005-06-23 | 2006-12-28 | International Business Machines Corporation | Method/system to speed up antivirus scans using a journal file system |
US20070150948A1 (en) * | 2003-12-24 | 2007-06-28 | Kristof De Spiegeleer | Method and system for identifying the content of files in a network |
US20070240218A1 (en) * | 2006-04-06 | 2007-10-11 | George Tuvell | Malware Detection System and Method for Mobile Platforms |
US20150007328A1 (en) * | 2012-02-07 | 2015-01-01 | Beijing Qihoo Technology Company Limited | Method and System for Quickly Scanning Files |
RU2601162C1 (en) * | 2015-06-30 | 2016-10-27 | Закрытое акционерное общество "Лаборатория Касперского" | Method of using dedicated computer security service |
-
2019
- 2019-04-15 RU RU2019111145A patent/RU2726877C1/en active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070150948A1 (en) * | 2003-12-24 | 2007-06-28 | Kristof De Spiegeleer | Method and system for identifying the content of files in a network |
US20060294589A1 (en) * | 2005-06-23 | 2006-12-28 | International Business Machines Corporation | Method/system to speed up antivirus scans using a journal file system |
US20070240218A1 (en) * | 2006-04-06 | 2007-10-11 | George Tuvell | Malware Detection System and Method for Mobile Platforms |
US20150007328A1 (en) * | 2012-02-07 | 2015-01-01 | Beijing Qihoo Technology Company Limited | Method and System for Quickly Scanning Files |
RU2601162C1 (en) * | 2015-06-30 | 2016-10-27 | Закрытое акционерное общество "Лаборатория Касперского" | Method of using dedicated computer security service |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2726878C1 (en) | Method for faster full antivirus scanning of files on mobile device | |
US10511616B2 (en) | Method and system for detecting and remediating polymorphic attacks across an enterprise | |
US10673884B2 (en) | Apparatus method and medium for tracing the origin of network transmissions using n-gram distribution of data | |
RU2607231C2 (en) | Fuzzy whitelisting anti-malware systems and methods | |
US7640589B1 (en) | Detection and minimization of false positives in anti-malware processing | |
JP6353498B2 (en) | System and method for generating an antivirus record set for detecting malware on user equipment | |
JP4881348B2 (en) | Distributed virus scanning of stored data | |
US8819835B2 (en) | Silent-mode signature testing in anti-malware processing | |
RU2491615C1 (en) | System and method of creating software detection records | |
RU2739865C2 (en) | System and method of detecting a malicious file | |
US9147073B2 (en) | System and method for automatic generation of heuristic algorithms for malicious object identification | |
RU2634178C1 (en) | Method of detecting harmful composite files | |
RU2624552C2 (en) | Method of malicious files detecting, executed by means of the stack-based virtual machine | |
US11451580B2 (en) | Method and system of decentralized malware identification | |
RU2739830C1 (en) | System and method of selecting means of detecting malicious files | |
JP2019003598A (en) | System and method for detecting abnormal events | |
RU2614929C1 (en) | Method for anti-virus records transmission used to detect malicious files | |
RU2510530C1 (en) | Method for automatic generation of heuristic algorithms for searching for malicious objects | |
RU2726877C1 (en) | Method for selective repeated antivirus scanning of files on mobile device | |
KR101670456B1 (en) | document security system and security method | |
RU107615U1 (en) | SYSTEM FOR REDUCING THE NUMBER OF FALSE FACES OF AN ANTI-VIRUS SYSTEM | |
KR101865785B1 (en) | document security system and security method through verifying and converting document file | |
RU2468427C1 (en) | System and method to protect computer system against activity of harmful objects | |
RU2659739C1 (en) | Method of composite file access control |