RU85249U1 - HARDWARE ANTI-VIRUS - Google Patents

HARDWARE ANTI-VIRUS Download PDF

Info

Publication number
RU85249U1
RU85249U1 RU2008151543/22U RU2008151543U RU85249U1 RU 85249 U1 RU85249 U1 RU 85249U1 RU 2008151543/22 U RU2008151543/22 U RU 2008151543/22U RU 2008151543 U RU2008151543 U RU 2008151543U RU 85249 U1 RU85249 U1 RU 85249U1
Authority
RU
Russia
Prior art keywords
antivirus
hardware
data
software
virus
Prior art date
Application number
RU2008151543/22U
Other languages
Russian (ru)
Inventor
Олег Владимирович Зайцев
Original Assignee
ЗАО "Лаборатория Касперского"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ЗАО "Лаборатория Касперского" filed Critical ЗАО "Лаборатория Касперского"
Priority to RU2008151543/22U priority Critical patent/RU85249U1/en
Application granted granted Critical
Publication of RU85249U1 publication Critical patent/RU85249U1/en

Links

Landscapes

  • Storage Device Security (AREA)

Abstract

1. Аппаратный антивирус, предотвращающий распространение компонентов вредоносного программного обеспечения (ПО), расположенный между персональным компьютером и накопителем информации, содержащий минимум два интерфейса, один из которых подключают к системной шине компьютера, а другой подключают к носителю информации, являющийся при этом прозрачным фильтром, обеспечивающим передачу данных между интерфейсами, фильтрация упомянутых данных осуществляется центральным процессором антивируса, который использует оперативное запоминающее устройство, при этом основная работа антивируса заключается в фильтрации поступающих данных, и если в них не обнаружен компонент вредоносного ПО, то данные записывают на носитель информации, если же в данных обнаружен компонент вредоносного ПО, то данные не записывают. ! 2. Аппаратный антивирус по п.1, встроенный в контроллер жесткого диска. ! 3. Аппаратный антивирус по п.1, который в случае обнаружения компонент вредоносного ПО имитирует запись на диск данных, не записывая данные на носитель информации. ! 4. Аппаратный антивирус по п.1, который в случае обнаружения компонент вредоносного ПО компьютерной системе передается сообщение об ошибке записи. ! 5. Аппаратный антивирус по п.1, имеющий набор зашифрованных команд, с помощью которых программный антивирус компьютера способен управлять аппаратным антивирусом, в обход иерархии пользовательских прав, напрямую обращаясь к носителю информации. ! 6. Аппаратный антивирус по пп.1 и 5, который дополнительно выполняет удаление руткитов с носителя информации под управлением программного антивируса, при этом программный антивирус руководст1. A hardware antivirus that prevents the spread of malware components (software) located between a personal computer and an information storage device, containing at least two interfaces, one of which is connected to the computer’s system bus, and the other is connected to the storage medium, which is a transparent filter, providing data transfer between interfaces, the filtering of the data is carried out by the central processor of the antivirus, which uses random access memory stroystvo, the antivirus main job is to filter incoming data, and if they are not detected malicious software component, the data is recorded on the recording medium, if the data is found in malicious software component, the data is not recorded. ! 2. The hardware antivirus according to claim 1, built into the hard disk controller. ! 3. The hardware antivirus according to claim 1, which, if a malware component is detected, simulates writing to a data disk without writing data to a storage medium. ! 4. The hardware antivirus according to claim 1, which, in the event of detection of a component of malicious software to the computer system, a write error message is transmitted. ! 5. The hardware antivirus according to claim 1, having a set of encrypted commands by which the computer software antivirus is able to manage the hardware antivirus, bypassing the hierarchy of user rights, directly accessing the storage medium. ! 6. Hardware antivirus according to claims 1 and 5, which additionally performs the removal of rootkits from the storage medium under the control of software antivirus, while the software antivirus manages

Description

Область техникиTechnical field

Настоящая полезная модель относится к системам обнаружения и лечения вредоносного программного обеспечения и, более конкретно, к использованию аппаратного антивируса для лечения зараженных компьютерных систем.This utility model relates to malware detection and treatment systems and, more specifically, to the use of hardware antivirus to treat infected computer systems.

Уровень техникиState of the art

Изобретение относится к способам защиты от вредоносного программного обеспечения и в частности идентификации компонент вредоносного программного обеспечения. Оно основано на создании системы аппаратного антивируса для лечения зараженных компьютерных систем.The invention relates to methods of protection against malicious software, and in particular the identification of components of malicious software. It is based on the creation of a hardware antivirus system for the treatment of infected computer systems.

В настоящее время существует много различных антивирусов, но все они являются частью операционной системы. Антивирусное программное обеспечение (далее ПО) обычно использует два различных метода для выполнения своих задач: сканирование файлов для поиска известных вирусов и обнаружение подозрительного поведения любой из программ, похожей на поведение зараженной программы. Так как основной поток вредоносных компонент записывается на жесткие диски, то необходимость сканирования жестких дисков является очень востребованной.Currently, there are many different antiviruses, but they are all part of the operating system. Antivirus software (hereinafter referred to as software) usually uses two different methods to perform its tasks: scanning files to find known viruses and detecting suspicious behavior of any of the programs similar to the behavior of an infected program. Since the main stream of malicious components is written to hard drives, the need to scan hard drives is very popular.

Существующие антивирусы используют ресурсы общей оперативной памяти и процессора наравне с другими приложениями, в том числе и с вредоносным ПО. Антивирусы, установленные в ОС, имеют права, как администратора, так и пользователя, но эти же права имеют и некоторые компоненты вредоносного ПО. Поэтому имея равные права с вредоносной программой, антивирус не может удалить тот или иной ее компонент. Основной пример таких вредоносных программ - это «руткиты». Под руткитом понимается набор утилит или специальный модуль ядра, который взломщик устанавливает на взломанной компьютерной системе сразу после получения им прав администратора. Набор утилит, как правило, включает в себя разнообразные функции по «заметанию следов» вторжения в систему. Руткит позволяет взломщику закрепиться во взломанной системе и скрыть следы своего пребывания, скрывая файлы, процессы и присутствие самого руткита в системе. Таким образом, он может скрыться не только от пользователя, но и от антивирусов. Существует также вероятность того, что получив более привилегированные права, руткит сможет каким-то образом повредить антивирус или испортить его работоспособность. Существуют различные методы борьбы с руткитами, но, однако, не существует способа, который гарантированно сможет удалить руткит из системы.Existing antiviruses use the resources of shared RAM and processor on a par with other applications, including malware. Antiviruses installed in the OS have both administrator and user rights, but some components of malware also have the same rights. Therefore, having equal rights with the malware, the antivirus cannot remove one or another of its components. The main example of such malware is rootkits. A rootkit is a set of utilities or a special kernel module that an cracker installs on a hacked computer system immediately after he receives administrator rights. A set of utilities, as a rule, includes a variety of functions for "sweeping the traces" of an invasion of the system. The rootkit allows an attacker to gain a foothold in the hacked system and hide the traces of his stay by hiding files, processes and the presence of the rootkit in the system. Thus, it can hide not only from the user, but also from antiviruses. There is also the possibility that by gaining more privileged rights, the rootkit can somehow damage the antivirus or spoil its performance. There are various methods to combat rootkits, but, however, there is no way that is guaranteed to be able to remove the rootkit from the system.

Перед использованием обычного антивируса необходима его предварительная установка в ОС. Также существует проблема загрузки системных ресурсов во время работы антивируса, так как он использует общие ресурсы. Постепенно возникает потребность в создании антивируса, который бы мог удалять вредоносное ПО, избегая проблемы доступа и прав, а также не загружающего компьютерную систему в целом.Before using a conventional antivirus, you must first install it in the OS. There is also a problem loading system resources while the antivirus is running, since it uses shared resources. Gradually, there is a need to create an antivirus that could remove malware, avoiding access and rights issues, as well as not loading the computer system as a whole.

Таким образом, техническим результатом заявленной полезной модели является использование аппаратного антивируса для повышения уровня лечения зараженных компьютерных систем.Thus, the technical result of the claimed utility model is the use of hardware antivirus to increase the level of treatment of infected computer systems.

Сущность изобретенияSUMMARY OF THE INVENTION

Указанный технический результат достигается за счет того, что согласно одному из вариантов реализации аппаратный антивирус, предотвращающий распространение компонентов вредоносного программного обеспечения (ПО), расположенный между персональным компьютером и накопителем информации, содержащий минимум два интерфейса, один из которых подключают к системной шине компьютера, а другой подключают к носителю информации, являющийся при этом прозрачным фильтром, обеспечивающим передачу данных между интерфейсами, фильтрация упомянутых данных осуществляется центральным процессором антивируса, который использует оперативное запоминающее устройство, при этом основная работа антивируса заключается в фильтрации поступающих данных, и если в них не обнаружен компонент вредоносного ПО, то данные записывают на носитель информации, если же в данных обнаружен компонент вредоносного ПО, то данные не записывают.This technical result is achieved due to the fact that, according to one embodiment, a hardware antivirus that prevents the spread of malware components (software) located between a personal computer and an information storage device containing at least two interfaces, one of which is connected to the computer’s system bus, and another is connected to the storage medium, which is at the same time a transparent filter that provides data transfer between interfaces, filtering the mentioned data s is carried out by the central processor of the antivirus, which uses a random access memory, the main work of the antivirus is to filter incoming data, and if no malware component is detected in them, then the data is written to the storage medium, if the malware component is found in the data, data is not recorded.

В частном варианте реализации аппаратный антивирус встроен в контроллер жесткого диска.In a private embodiment, hardware antivirus is integrated into the hard disk controller.

В частном варианте реализации аппаратный антивирус в случае обнаружения компонент вредоносного ПО, имитирует запись на диск данных, не записывая данные на носитель информации.In a private embodiment, a hardware antivirus, in case of detection of a malware component, simulates writing to a data disk without writing data to a storage medium.

В частном варианте реализации аппаратный антивирус в случае обнаружения компонент вредоносного ПО, передает компьютерной системе сообщение об ошибке записи.In a particular embodiment, a hardware antivirus, in the event that a malware component is detected, transmits a write error message to the computer system.

В частном варианте реализации аппаратный антивирус имеет набор зашифрованных команд, с помощью которых программный антивирус компьютера способен управлять аппаратным антивирусом, в обход иерархии пользовательских прав, напрямую обращаясь к носителю информации.In a particular embodiment, the hardware antivirus has a set of encrypted commands with which the computer software antivirus is able to manage the hardware antivirus, bypassing the hierarchy of user rights, directly accessing the storage medium.

В частном варианте реализации аппаратный антивирус дополнительно выполняет удаление руткитов с носителя информации под управлением программного антивируса, при этом программный антивирус руководствуется обновляемыми антивирусными базами.In a particular embodiment, the hardware antivirus additionally performs the removal of rootkits from the storage medium under the control of the software antivirus, while the software antivirus is guided by updated antivirus databases.

В частном варианте реализации обновление антивирусных баз аппаратного антивируса происходит путем использования утилиты обновления антивирусных баз аппаратного антивируса, посредством которой устанавливают соединение с аппаратным антивирусом, посылая ему секретный код или зашифрованный ключ, который идентифицирует утилиту, в ответ на такой код аппаратный антивирус посылает ответ об успешной аутентификации, после которого утилита передает обновления антивирусных баз, которые сохраняются в памяти аппаратного антивируса.In a particular embodiment, the update of the anti-virus databases of the hardware anti-virus is performed by using the utility for updating the anti-virus databases of the hardware anti-virus, by which a connection is established with the hardware anti-virus, sending it a secret code or an encrypted key that identifies the utility, in response to such code, the hardware anti-virus sends a successful response authentication, after which the utility transfers updates to the anti-virus databases, which are stored in the memory of the hardware anti-virus.

В частном варианте реализации дополнительно осуществляется верификация антивирусных баз внутри аппаратного антивируса, и если верификация прошла успешно, то антивирусные базы добавляют в область рабочих баз и кода.In a particular embodiment, the anti-virus databases are additionally verified inside the hardware anti-virus, and if the verification is successful, then the anti-virus databases are added to the working database and code area.

В частном варианте реализации дополнительно проверяется актуальность антивирусных баз.In a private embodiment, the relevance of anti-virus databases is additionally checked.

Краткое описание прилагаемых чертежейBrief description of the attached drawings

Сопровождающие чертежи предназначены для дополнительного понимания заявленной полезной модели, составляют часть этого описания, иллюстрируют варианты реализации полезной модели и совместно с описанием служат для объяснения принципов полезной модели.The accompanying drawings are intended to further understand the claimed utility model, form part of this description, illustrate implementation options for the utility model, and together with the description serve to explain the principles of the utility model.

На чертежах:In the drawings:

Фиг.1 показывает структурную блок-схему системы аппаратного антивируса в общем случае в соответствии с примерным вариантом реализации.Figure 1 shows a structural block diagram of a hardware antivirus system in the General case in accordance with an exemplary embodiment.

На Фиг.2 показан алгоритм работы системы аппаратного антивируса в соответствии с примерным вариантом реализации.Figure 2 shows the algorithm of the hardware antivirus system in accordance with an exemplary embodiment.

Фиг.3 показывает структурную блок-схему системы совместной работы аппаратного и программного антивирусов в соответствии с примерным вариантом реализации.FIG. 3 shows a structural block diagram of a hardware and software antivirus collaboration system in accordance with an exemplary embodiment.

Фиг.4 показывает структурную блок-схему обновлений системы аппаратного антивируса в соответствии с примерным вариантом реализации.FIG. 4 shows a structural block diagram of a hardware antivirus system update in accordance with an exemplary embodiment.

На Фиг.5 изображена блок-схема алгоритма обновлений для системы аппаратного антивируса в соответствии в соответствии с примерным вариантом реализации.Figure 5 shows a block diagram of an update algorithm for a hardware antivirus system in accordance with an exemplary embodiment.

На Фиг.6 также изображена блок-схема алгоритма верификации обновлений для системы аппаратного антивируса в соответствии в соответствии с примерным вариантом реализации.Figure 6 also shows a block diagram of an update verification algorithm for a hardware antivirus system in accordance with an exemplary embodiment.

Подробное описание предпочтительных вариантов осуществленияDetailed Description of Preferred Embodiments

Далее будут рассмотрено подробное описание сопровождающих чертежей системы аппаратного антивируса и метода ее обновления.Next, a detailed description of the accompanying drawings of the hardware antivirus system and the method for updating it will be considered.

Предлагаемая система находится между персональным компьютером и любым дисковым устройством. Она может быть выполнена в виде отдельного устройства или интегрирована в контроллер диска, а также может находиться в виде прозрачного фильтра в разрыве интерфейсного кабеля. Таким образом, компьютер не будет подозревать о том, что данные, которые он пытается записать на диск, подвергаются проверке. Соответственно, и компоненты вредоносного ПО также не будут фиксировать отслеживания их действий.The proposed system is located between a personal computer and any disk device. It can be made in the form of a separate device or integrated into the disk controller, and can also be in the form of a transparent filter in the gap of the interface cable. Thus, the computer will not suspect that the data that it is trying to write to disk is checked. Accordingly, the components of the malware will also not record the tracking of their actions.

На Фиг.1 показана структурная блок-схема системы аппаратного антивируса в общем случае в соответствии с примером реализации. Система аппаратного антивируса 130 находится между персональным компьютером и диском 120 и подключена к системной шине 110 персонального компьютера. Система аппаратного антивируса имеет собственные центральный процессор 140 и оперативное запоминающее устройство 150. Таким образом, система не будет требовать общих ресурсов персонального компьютера, она будет работать независимо, не загружая систему, как это делают сейчас почти все современные антивирусные решения. В одном из вариантов реализации, система может быть интегрирована в контроллер диска 120.Figure 1 shows a structural block diagram of a hardware antivirus system in the General case in accordance with an example implementation. The system of hardware antivirus 130 is located between the personal computer and the disk 120 and is connected to the system bus 110 of the personal computer. The hardware antivirus system has its own central processor 140 and random access memory 150. Thus, the system will not require the shared resources of a personal computer; it will work independently without loading the system, as almost all modern anti-virus solutions now do. In one embodiment, the system can be integrated into the disk controller 120.

На Фиг.2 показана блок-схема алгоритма работы системы аппаратного антивируса в соответствии с примером реализации. После создания записи, которую нужно записать на диск, на шаге 210 персональный компьютер передает ее контроллеру жесткого диска на шаге 220 (в частном варианте). В частном варианте в контроллер жесткого диска встроена система аппаратного антивируса, которая при взаимодействиях компьютера с диском начинает сканировать передаваемые данные на наличие вредоносных компонент на шаге 225. В случае если передаваемые данные не содержат вирусов на шаге 230, то данные записываются на диск на шаге 240. Иначе, существует несколько подходов реакции на обнаружение вредоносных компонент. Система может имитировать запись на диск, а на самом деле ее не делать. Вредоносная компонента будет думать, что операция будет выполнена успешно, а на самом деле изменения не будут внесены. Другой вариант реакции на вирусы - это передача компьютерной системе сообщения об ошибке записи. Таким образом, компьютерная система будет точно знать, что произошел сбой при записи на шаге 235.Figure 2 shows a block diagram of the algorithm of the hardware antivirus system in accordance with an example implementation. After creating the record that needs to be written to the disk, in step 210, the personal computer transfers it to the hard disk controller in step 220 (in the private version). In a particular embodiment, a hardware antivirus system is built into the hard disk controller, which, when the computer interacts with the disk, starts scanning the transmitted data for malicious components in step 225. If the transmitted data does not contain viruses in step 230, then the data is written to the disk in step 240 Otherwise, there are several approaches to the response to the detection of malicious components. The system can simulate writing to disk, but in fact it does not. The malicious component will think that the operation will succeed, but in fact no changes will be made. Another option for responding to viruses is to send a write error message to the computer system. Thus, the computer system will know for sure that there was a failure during recording in step 235.

Существует несколько различных вариантов реализации работы системы аппаратного антивируса с низкоуровневыми данными, которые идут через контроллер. Один из них - изучение содержимого секторов во время их передачи. Но этот способ в одиночку содержит некоторые недостатки, связанные с ограниченностью возможностей системы. Получается, что система сканирует данные только во время их чтения/записи. Но существует много скрытых файлов, которые маскируются в системе или бездействуют. Эти файлы не будут опознаны системой аппаратного антивируса, так как не будут производить действий чтения/записи. Соответственно, они не будут опознаны как вредоносные. Для решения этой проблемы существует другой способ обработки данных - сканировать диск независимо от персонального компьютера. При обращении к вредоносным объектам система должна их нейтрализовать. Существует проблема, связанная с тем, что для сканирования файловой системы необходим собственный анализатор файловой системы. В этом случае во время сканирования диска при рассмотрении файла можно понять, что первый сектор сканируемого файла описывает исполняемый файл и после этого его следует взять на контроль.There are several different options for implementing the hardware antivirus system with low-level data that goes through the controller. One of them is the study of the contents of sectors during their transmission. But this method alone contains some disadvantages associated with the limited capabilities of the system. It turns out that the system scans data only during its reading / writing. But there are many hidden files that are masked in the system or inactive. These files will not be recognized by the hardware antivirus system, as they will not perform read / write actions. Accordingly, they will not be recognized as malicious. To solve this problem, there is another way of processing data - to scan the disk regardless of the personal computer. When accessing malicious objects, the system must neutralize them. There is a problem that a file system analyzer is needed to scan a file system. In this case, when scanning a disk while examining a file, it can be understood that the first sector of the scanned file describes the executable file and after that it should be taken under control.

Также существует еще один способ обработки данных - это работа вместе с обычным антивирусом. Работа заключается в том, что антивирус 310, изображенный на Фиг.3, имеет набор зашифрованных команд, с помощью которых он может давать те или иные указания системе аппаратного антивируса 320. Это даст доступ антивирусу 310 к диску 330 в обход иерархии пользовательских прав. В этой ситуации антивирус 310 может найти руткит или другой компонент вредоносного ПО на диске 330, который он не может обойти или удалить в связи с тем, что во многих операционных системах существует ограничение прав для приложений. Имея даже права администратора, антивирус 310 не может удалить руткит, который имеет те же права. Но в совокупности с системой аппаратного антивируса 320, которая работает вне операционной системы персонального компьютера, а соответственно и на нее не распространяется политика прав операционной системы, достигается максимальная эффективность обычного антивируса 310 за счет функции удаления руткитов и других компонентов вредоносного ПО.There is also another way of processing data - this is working with a conventional antivirus. The job is that the antivirus 310, shown in Figure 3, has a set of encrypted commands with which it can give certain instructions to the hardware antivirus system 320. This will give antivirus 310 access to disk 330 bypassing the user rights hierarchy. In this situation, antivirus 310 can find a rootkit or other malware component on disk 330, which it cannot bypass or delete due to the fact that in many operating systems there is a restriction of rights for applications. Even having administrator rights, antivirus 310 cannot delete a rootkit that has the same rights. But in conjunction with the hardware antivirus 320 system, which works outside the operating system of a personal computer, and accordingly, the rights policy of the operating system does not apply to it, the maximum efficiency of a conventional antivirus 310 is achieved due to the removal of rootkits and other components of malware.

Один из основных аспектов работы антивируса - это наличие обновлений антивирусных баз. Антивирусные базы всегда должны быть в актуальном состоянии для борьбы с самыми новыми компонентами вредоносного ПО. Ситуация с обновлениями может решаться несколькими способами. В одном частном варианте при работе системы аппаратного антивируса вместе с обычным антивирусом обновления будут скачиваться обычным антивирусом, а системе аппаратного антивируса они не потребуются. Но в этом случае система аппаратного антивируса выполняет второстепенную роль и предназначена для удаления руткитов, найденных обычным антивирусом. В другом частном варианте, изображенном на Фиг.4, для загрузки обновлений используется специальная утилита 410, которая устанавливается на пользовательскую компьютерную систему. В этом случае система аппаратного антивируса логически делится на две части: основную часть 420, которая состоит из рабочих антивирусных баз и кода, и часть обновлений 430. Связь системы аппаратного антивируса и персонального компьютера происходит с помощью утилиты 410, которая при загрузке новых обновлений начинает устанавливать соединение с системой аппаратного антивируса, посылая ей некоторый секретный код (или зашифрованный ключ), идентифицирующий ее как доверенное приложение. В свою очередь система аппаратного антивируса посылает ответ об успешной аутентификации утилите 410, а затем утилита 410 начинает передавать обновления в область обновлений 430. При этом рабочие базы и код в области 420 не затрагиваются. После загрузки баз утилита 410 сообщает, что обновления были загружены и готовы для дальнейшего использования. Следующим этапом является верификация баз внутри самой системы аппаратного антивируса, которая может включать в частном варианте методы сравнения электронно-цифровых подписей, контрольных сумм, подписей и т.д. Система это делает внутри себя, поэтому никакие компоненты вредоносного ПО не могут вмешаться в процесс верификации, также как и понять алгоритм проверки. В случае успешной верификации обновления загружаются из области 430 в область рабочих баз и кода 420. Такой двухступенчатый метод защищает систему аппаратного антивируса от загрузки вредоносного кода или устаревших баз. Даже если вредоносное ПО попытается загрузить вредоносный код вместо баз, то верификация внутри системы аппаратного антивируса не примет их как рабочие. Таким образом, система не будет повреждена в любом случае. Старые базы также не будут загружены, потому что при верификации проверяется и актуальность баз.One of the main aspects of the anti-virus operation is the availability of anti-virus database updates. Anti-virus databases should always be up to date to combat the latest malware components. The update situation can be addressed in several ways. In one particular embodiment, when a hardware antivirus system is running along with a regular antivirus, updates will be downloaded by a regular antivirus, but they will not be required by a hardware antivirus system. But in this case, the hardware antivirus system plays a secondary role and is designed to remove rootkits found by a conventional antivirus. In another particular embodiment depicted in FIG. 4, a special utility 410 is used to download updates, which is installed on a user computer system. In this case, the hardware antivirus system is logically divided into two parts: the main part 420, which consists of working anti-virus databases and code, and the update part 430. The hardware antivirus system and the personal computer are connected using the utility 410, which starts to install when new updates are downloaded connection to the hardware antivirus system, sending it some secret code (or an encrypted key) that identifies it as a trusted application. In turn, the hardware antivirus system sends a response about successful authentication to utility 410, and then utility 410 starts sending updates to update area 430. At the same time, the working databases and code in area 420 are not affected. After loading the databases, utility 410 reports that the updates have been downloaded and are ready for further use. The next step is to verify the databases inside the hardware antivirus system itself, which may include in a particular version methods for comparing electronic digital signatures, checksums, signatures, etc. The system does this internally, so no malware components can interfere with the verification process, as well as understand the verification algorithm. In case of successful verification, updates are downloaded from area 430 to the area of working databases and code 420. This two-stage method protects the hardware antivirus system from downloading malicious code or outdated databases. Even if malware tries to download malicious code instead of databases, then verification within the hardware antivirus system will not accept them as working. Thus, the system will not be damaged in any way. Old databases will also not be loaded, because the verification also checks the relevance of the databases.

На Фиг.5 изображена блок-схема алгоритма обновлений для системы аппаратного антивируса в соответствии с примером реализации со стороны утилиты, установленной на персональном компьютере. Утилита 410 начинает загружать обновления с некоторой периодичностью на шаге 510. Загрузив обновления, на шаге 520 утилита создает секретный код (ключ), идентифицирующий ее как доверенное приложение, и отсылает его системе аппаратного антивируса. На шаге 525 утилита получает ответ о результате аутентификации. В случае успешной аутентификации утилита начинает передавать загруженные обновления системе аппаратного антивируса на шаге 535. Завершив передачу данных, на шаге 540 утилита передает системе аппаратного антивируса сообщение об успешной передаче данных. Далее начинается вторая часть обработки и загрузки антивирусных баз, которая описана на Фиг.6.Figure 5 shows a block diagram of the update algorithm for a hardware antivirus system in accordance with an example implementation from a utility installed on a personal computer. Utility 410 starts downloading updates at a certain frequency in step 510. After downloading the updates, in step 520 the utility creates a secret code (key) that identifies it as a trusted application and sends it to the hardware antivirus system. At step 525, the utility receives a response about the authentication result. In case of successful authentication, the utility starts transmitting the downloaded updates to the hardware antivirus system in step 535. After completing the data transfer, in step 540 the utility transmits a message about the successful data transfer to the hardware antivirus system. Next, the second part of the processing and loading of anti-virus databases begins, which is described in Fig.6.

На Фиг.6 также изображена блок-схема алгоритма обновлений для системы аппаратного антивируса в соответствии с примером реализации. Система аппаратного антивируса получает секретный код (ключ) от приложения персонального компьютера на шаге 610. Получив код и идентифицировав приложение как доверенную утилиту, система аппаратного антивируса отсылает ей ответ об успешной аутентификации на шаге 620. Затем утилита передает новые антивирусные базы в область обновлений системы аппаратного антивируса 430. По окончании передачи баз утилита сообщает системе о готовности баз к дальнейшей загрузке на шаге 625. После этого система производит верификацию полученных антивирусных баз на шаге 630. В случае если верификация прошла успешно на шаге 635, то есть переданные данные - это антивирусные базы и они актуальные, то они перезаписываются из области обновлений 430 в область рабочих баз 420 на шаге 640. Если верификация баз не прошла, то они удаляются из области обновлений 430 на шаге 650. На этом загрузка антивирусных баз считается завершенной.6 also shows a block diagram of an update algorithm for a hardware antivirus system in accordance with an example implementation. The hardware antivirus system receives the secret code (key) from the personal computer application in step 610. After receiving the code and identifying the application as a trusted utility, the hardware antivirus system sends a response to it about successful authentication in step 620. Then, the utility transfers the new anti-virus databases to the hardware system updates area antivirus 430. At the end of the database transfer, the utility informs the system about the readiness of the databases for further download at step 625. After that, the system verifies the received anti-virus databases at step 630. If the verification was successful at step 635, that is, the transmitted data is anti-virus databases and they are current, then they are overwritten from the update area 430 to the area of working databases 420 at step 640. If the verification of the databases failed, then they they are removed from the update area 430 in step 650. On this, the download of anti-virus databases is considered complete.

Имея описанные здесь предпочтительные варианты реализации, будет очевидным для специалиста в уровне техники, что достигнуты определенные преимущества описанных систем. Будет также понятно, что различные модификации, адаптации и альтернативные варианты реализации этих системы могут быть сделаны в объеме и сущности настоящей полезной модели. Полезная модель определяется нижеследующей формулой.Having the preferred embodiments described herein, it will be apparent to those skilled in the art that certain advantages of the described systems are achieved. It will also be understood that various modifications, adaptations, and alternative implementations of these systems can be made in the scope and essence of a true utility model. A utility model is defined by the following formula.

Claims (9)

1. Аппаратный антивирус, предотвращающий распространение компонентов вредоносного программного обеспечения (ПО), расположенный между персональным компьютером и накопителем информации, содержащий минимум два интерфейса, один из которых подключают к системной шине компьютера, а другой подключают к носителю информации, являющийся при этом прозрачным фильтром, обеспечивающим передачу данных между интерфейсами, фильтрация упомянутых данных осуществляется центральным процессором антивируса, который использует оперативное запоминающее устройство, при этом основная работа антивируса заключается в фильтрации поступающих данных, и если в них не обнаружен компонент вредоносного ПО, то данные записывают на носитель информации, если же в данных обнаружен компонент вредоносного ПО, то данные не записывают.1. A hardware antivirus that prevents the spread of malware components (software) located between a personal computer and an information storage device, containing at least two interfaces, one of which is connected to the computer’s system bus, and the other is connected to the storage medium, which is a transparent filter, providing data transfer between interfaces, the filtering of the data is carried out by the central processor of the antivirus, which uses random access memory stroystvo, the antivirus main job is to filter incoming data, and if they are not detected malicious software component, the data is recorded on the recording medium, if the data is found in malicious software component, the data is not recorded. 2. Аппаратный антивирус по п.1, встроенный в контроллер жесткого диска.2. The hardware antivirus according to claim 1, built into the hard disk controller. 3. Аппаратный антивирус по п.1, который в случае обнаружения компонент вредоносного ПО имитирует запись на диск данных, не записывая данные на носитель информации.3. The hardware antivirus according to claim 1, which, if a malware component is detected, simulates writing to a data disk without writing data to a storage medium. 4. Аппаратный антивирус по п.1, который в случае обнаружения компонент вредоносного ПО компьютерной системе передается сообщение об ошибке записи.4. The hardware antivirus according to claim 1, which, in the event of detection of a component of malicious software to the computer system, a write error message is transmitted. 5. Аппаратный антивирус по п.1, имеющий набор зашифрованных команд, с помощью которых программный антивирус компьютера способен управлять аппаратным антивирусом, в обход иерархии пользовательских прав, напрямую обращаясь к носителю информации.5. The hardware antivirus according to claim 1, having a set of encrypted commands by which the computer software antivirus is able to manage the hardware antivirus, bypassing the hierarchy of user rights, directly accessing the storage medium. 6. Аппаратный антивирус по пп.1 и 5, который дополнительно выполняет удаление руткитов с носителя информации под управлением программного антивируса, при этом программный антивирус руководствуется обновляемыми антивирусными базами.6. Hardware antivirus according to claims 1 and 5, which additionally performs the removal of rootkits from the storage medium under the control of software antivirus, while the software antivirus is guided by updated antivirus databases. 7. Аппаратный антивирус по п.1, в котором обновление антивирусных баз происходит путем использования утилиты обновления антивирусных баз аппаратного антивируса, посредством которой устанавливают соединение с аппаратным антивирусом, посылая ему секретный код или зашифрованный ключ, который идентифицирует утилиту, в ответ на такой код аппаратный антивирус посылает ответ об успешной аутентификации, после которого утилита передает обновления антивирусных баз, которые сохраняются в памяти аппаратного антивируса.7. The hardware antivirus according to claim 1, in which the anti-virus database is updated by using the anti-virus database update utility of the hardware anti-virus, by which a connection is established with the hardware anti-virus, sending him a secret code or an encrypted key that identifies the utility in response to such a hardware code the antivirus sends a response about successful authentication, after which the utility sends updates to the antivirus databases that are stored in the memory of the hardware antivirus. 8. Аппаратный антивирус по п.7, в котором дополнительно осуществляется верификация антивирусных баз внутри аппаратного антивируса, и если верификация прошла успешно, то антивирусные базы добавляют в область рабочих баз и кода.8. The hardware antivirus according to claim 7, in which the anti-virus databases inside the hardware anti-virus are additionally verified, and if the verification is successful, then the anti-virus databases are added to the working database and code area. 9. Аппаратный антивирус по п.7, в котором дополнительно проверяется актуальность антивирусных баз.
Figure 00000001
9. The hardware antivirus according to claim 7, in which the relevance of the antivirus databases is additionally checked.
Figure 00000001
RU2008151543/22U 2008-12-26 2008-12-26 HARDWARE ANTI-VIRUS RU85249U1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2008151543/22U RU85249U1 (en) 2008-12-26 2008-12-26 HARDWARE ANTI-VIRUS

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2008151543/22U RU85249U1 (en) 2008-12-26 2008-12-26 HARDWARE ANTI-VIRUS

Publications (1)

Publication Number Publication Date
RU85249U1 true RU85249U1 (en) 2009-07-27

Family

ID=41048790

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2008151543/22U RU85249U1 (en) 2008-12-26 2008-12-26 HARDWARE ANTI-VIRUS

Country Status (1)

Country Link
RU (1) RU85249U1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU174367U1 (en) * 2016-10-06 2017-10-11 Федеральное государственное казенное военное образовательное учреждение высшего профессионального образования "Военная академия воздушно-космической обороны имени Маршала Советского Союза Г.К. Жукова" Министерства обороны Российской Федерации DEVICE FOR CHECKING REMOVABLE MEDIA FOR INFORMATION IN THE presence of a malicious code

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU174367U1 (en) * 2016-10-06 2017-10-11 Федеральное государственное казенное военное образовательное учреждение высшего профессионального образования "Военная академия воздушно-космической обороны имени Маршала Советского Союза Г.К. Жукова" Министерства обороны Российской Федерации DEVICE FOR CHECKING REMOVABLE MEDIA FOR INFORMATION IN THE presence of a malicious code

Similar Documents

Publication Publication Date Title
US11611586B2 (en) Systems and methods for detecting a suspicious process in an operating system environment using a file honeypots
US10242186B2 (en) System and method for detecting malicious code in address space of a process
US20220335129A1 (en) Systems and methods for detecting malicious processes
EP3123311B1 (en) Malicious code protection for computer systems based on process modification
US7657941B1 (en) Hardware-based anti-virus system
US7836504B2 (en) On-access scan of memory for malware
US8719935B2 (en) Mitigating false positives in malware detection
US8099596B1 (en) System and method for malware protection using virtualization
US7853999B2 (en) Trusted operating environment for malware detection
EP2691908B1 (en) System and method for virtual machine monitor based anti-malware security
US8510838B1 (en) Malware protection using file input/output virtualization
US9053321B2 (en) Antivirus system and method for removable media devices
US20110047618A1 (en) Method, System, and Computer Program Product for Malware Detection, Analysis, and Response
US11494491B2 (en) Systems and methods for protecting against malware code injections in trusted processes by a multi-target injector
JP2006134307A (en) System and method for aggregating knowledge base of antivirus software applications
US8079032B2 (en) Method and system for rendering harmless a locked pestware executable object
US11971986B2 (en) Self-protection of anti-malware tool and critical system resources protection
US9251350B2 (en) Trusted operating environment for malware detection
US8201253B1 (en) Performing security functions when a process is created
RU2665910C1 (en) System and method of detecting the harmful code in the address process space
RU85249U1 (en) HARDWARE ANTI-VIRUS
RU92217U1 (en) HARDWARE ANTI-VIRUS
RU91206U1 (en) HARDWARE ANTI-VIRUS
RU2592383C1 (en) Method of creating antivirus record when detecting malicious code in random-access memory
US10452817B1 (en) File input/output redirection in an API-proxy-based application emulator

Legal Events

Date Code Title Description
MM1K Utility model has become invalid (non-payment of fees)

Effective date: 20090617

NF1K Reinstatement of utility model

Effective date: 20100510

MM9K Utility model has become invalid (non-payment of fees)

Effective date: 20171227