RU91204U1 - Система определения новых версий программ - Google Patents

Система определения новых версий программ Download PDF

Info

Publication number
RU91204U1
RU91204U1 RU2009136239/22U RU2009136239U RU91204U1 RU 91204 U1 RU91204 U1 RU 91204U1 RU 2009136239/22 U RU2009136239/22 U RU 2009136239/22U RU 2009136239 U RU2009136239 U RU 2009136239U RU 91204 U1 RU91204 U1 RU 91204U1
Authority
RU
Russia
Prior art keywords
designed
event
processing modules
event processing
objects
Prior art date
Application number
RU2009136239/22U
Other languages
English (en)
Inventor
Владислав Валерьевич Мартыненко
Андрей Владимирович Собко
Original Assignee
ЗАО "Лаборатория Касперского"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ЗАО "Лаборатория Касперского" filed Critical ЗАО "Лаборатория Касперского"
Priority to RU2009136239/22U priority Critical patent/RU91204U1/ru
Application granted granted Critical
Publication of RU91204U1 publication Critical patent/RU91204U1/ru

Links

Landscapes

  • Debugging And Monitoring (AREA)

Abstract

1. Система определения новых версий программ содержит: средства перехвата, предназначенные для перехвата системных событий; потоковый обработчик, предназначенный для создания копии событий, полученных от средств перехвата; средства фильтрации, предназначенные для отбора системных событий, полученных от потокового обработчика по фильтрам; модули обработки событий, которые получают копии отфильтрованных событий от средства фильтрации и которые предназначены для выявления аномалий известных программ; средство хранения коллекции чистых объектов, предназначенное для хранения информации об известных доверенных объектах и предоставляющее данную информацию модулям обработки событий; средство хранения коллекции вредоносных объектов, предназначенное для хранения информации об известных вредоносных объектах и предоставляющее данную информацию модулям обработки событий. ! 2. Система по п.1, в которой модули обработки событий предназначены для выявления аномалий при обнаружении сходства процесса, вызвавшего событие, с заранее известным программным обеспечением из коллекции чистых объектов. ! 3. Система по п.2, в которой модули обработки событий предназначены также для классификации аномального процесса, а также для формирования вывода о наличии новой версии программного обеспечения. ! 4. Система по п.1, в которой модули обработки событий предназначены для выявления аномалий при обнаружении сходства процесса, вызвавшего событие, с заранее известным программным обеспечением из коллекции вредоносных объектов. ! 5. Система по п.4, в которой модули обработки событий предназначены также для классификации аномально�

Description

Область техники
Полезная модель относится к антивирусной защите, в частности, к системам определения новых версий программ.
Уровень техники
В настоящее время существуют устройства детектирования неизвестных вредоносных программ методами эмуляции и эвристического детектирования. Однако существуют проблемы в связи с обходом эмуляции вредоносными программами или не совсем своевременным созданием эвристик на новое вредоносное программное обеспечение. Также существуют устройства перехвата событий компьютерной системы «на лету». Однако недостатком такого устройства является задержка работы процесса, вызвавшего событие, для исследования его на предмет вредоносного поведения. И в дальнейшем задержка работы всей системы. Необходимо также находить новые устройства обеспечения безопасности для пользовательской компьютерной системы, исследуя не только программное обеспечение, установленное на компьютере, но и различные веб-приложения, и т.д.
Существует множество различных устройств проведения проверок компьютеров на наличие вирусов, т.к. большинство из них находят новые пути обхода антивирусных решений. Современные вредоносные программы уже умеют обходить эмуляторы, а эвристический анализ не может постоянно исполняться для проверки вредоносного ПО. Обычно применяется устройство синхронной обработки данных на лету. Одно из таких устройств описано в заявке WO 2008048665 A2. Однако устройство синхронной обработки данных задерживает выполнение процесса, вызвавшего проверяемое событие, а соответственно и всей системы в целом.
Для анализа запущенных в компьютерной системе событий также используется устройство фильтрации системных событий. Например, подобное устройство описано в заявке US 7,406,199, где процессы, запускающие системные события, подвергаются фильтрации через заранее известные шаблоны и затем проверяются. Алгоритм предыдущего уровня техники, использующий синхронную обработку событий, изображен на Фиг.1.
Данная система основана на том, что событие отпускается на дальнейшую обработку только после проверки процесса, вызвавшего событие. После возникновения системного события в реальном времени на шаге 110 драйвер системы обрабатывает очередь фильтров для данного события на шаге 115. Если событие проходит через фильтр на шаге 120, то данное событие отправляется на проверку модулям системы на шаге 130, и если событие представляет угрозу для компьютерной системы на шаге 135, то процесс, вызвавший событие, останавливается модулем системы на шаге 150. Если же событие не представляет угрозы компьютеру, или оно не прошло через фильтр, то оно отпускается на дальнейшую обработку на шаге 140.
Недостатки предыдущего уровня техники, а именно достаточно медленная обработка событий, которая временно останавливает работу процессов компьютерной системы, а также невозможность определения новых версий чистых объектов требуют поиска решения, которое реализовано в представленной полезной модели.
Раскрытие полезной модели
Настоящая полезная модель предназначена для нахождения новых версий программ и их классификации.
Технический результат настоящей полезной модели заключается в увеличении скорости детектирования неизвестных программ.
Согласно одному объекту заявленной полезной модели система определения новых версий программ содержит:
средства перехвата, предназначенные для перехвата системных событий;
потоковый обработчик, предназначенный для создания копии событий, полученных от средств перехвата;
средства фильтрации, предназначенные для отбора системных событий, полученных от потокового обработчика по фильтрам;
модули обработки событий, которые получают копии отфильтрованных событий от средства фильтрации и которые предназначены для выявления аномалий известных программ;
средство хранения коллекции чистых объектов, предназначенное для хранения информации об известных доверенных объектах и предоставляющее данную информацию модулям обработки событий;
средство хранения коллекции вредоносных объектов, предназначенное для хранения информации об известных вредоносных объектах и предоставляющее данную информацию модулям обработки событий.
В частности модули обработки событий предназначены для выявления аномалий при обнаружении сходства процесса, вызвавшего событие, с заранее известным программным обеспечением из коллекции чистых объектов.
В частности модули обработки событий предназначены также для классификации аномального процесса, а также для формирования вывода о наличии новой версии программного обеспечения.
В частности модули обработки событий предназначены для выявления аномалий при обнаружении сходства процесса, вызвавшего событие, с заранее известным программным обеспечением из коллекции вредоносных объектов.
В частности модули обработки событий предназначены также для классификации аномального процесса, а также для формирования вывода о наличии измененной версии известного программного обеспечения, имеющей вредоносный характер поведения.
Краткое описание чертежей
Дополнительные цели, признаки и преимущества настоящей полезной модели будут очевидными из прочтения последующего описания осуществления полезной модели со ссылкой на прилагаемые чертежи, на которых:
Фиг.1 показывает метод обнаружения вредоносных программ предыдущего уровня техники, использующий синхронную обработку событий компьютерной системы.
Фиг.2 показывает примерный вариант реализации системы обнаружения вредоносных программ.
Фиг.3 показывает блок-схему асинхронной обработки событий компьютерной системы.
Фиг.4 показывает блок-схему асинхронной обработки системных событий потоковым сканнером.
Фиг.5 показывает блок-схему обработки событий в антивирусном модуле.
Фиг.6 показывает блок-схему выполнения этапа обновления «черных» и «белых» списков.
Фиг.7 показывает примерный вариант реализации системы обнаружения зараженных веб-сайтов.
Фиг.8 показывает примерный вариант реализации системы обнаружения аномалий в конфигурации сети.
Фиг.9 показывает примерный вариант реализации разных уровней настроек пользователей.
Описание вариантов осуществления полезной модели
Далее будут описаны примерные варианты реализации настоящей полезной модели со ссылкой на сопровождающие чертежи. Объекты и признаки настоящей полезной модели станут очевидными посредством отсылки к примерным вариантам реализации. Однако настоящая полезная модель не ограничивается примерными вариантами реализации, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, определенная в описании, является ничем иным, как конкретными деталями, предоставленным для помощи специалисту в области техники в исчерпывающем понимании полезной модели, и настоящая полезная модель определяется только в объеме приложенной формулы.
Настоящая полезная модель используется в компьютерах общего назначения, например, обычных компьютерах или серверах. Такие компьютеры содержат процессор, системную память и системную шину, которая соединяет разные системные компоненты, включая системную память, с процессором. Системная шина может быть одним из нескольких типов шинной структуры, включая шину памяти или контроллер памяти, периферийной шиной и локальной шиной, использующей любую шинную архитектуру. Системная память включает в себя постоянную память (ROM) и оперативную память (RAM).
Базовая система ввода-вывода (BIOS), содержащая основные программы, которые помогают передавать информацию между элементами в компьютере, такую как во время запуска, сохраняется в ROM. Компьютер может дополнительно содержать накопитель на жестком диске для чтения или записи на жесткий диск, накопитель на магнитных дисках для считывания с или записи на сменный магнитный диск, и накопитель на оптических дисках для чтения с или записи на сменный оптический диск, такой как CD-ROM, DVD-ROM или другие оптические носители.
Накопитель на жестком диске, накопитель на магнитных дисках и накопитель на оптических дисках также соединяются с системной шиной посредством интерфейса накопителя на жестком диске, интерфейса накопителя на магнитных дисках и интерфейса накопителя на оптических дисках, соответственно. Накопители и связанные с ними машиночитаемые носители обеспечивают энергонезависимое хранение машиночитаемых команд, структур данных, программных модулей и других данных для компьютера.
Компьютер может также содержать магнитные кассеты, карты флэш-памяти, цифровые видеодиски, картриджи Бернулли, оперативные памяти (RAM), постоянные памяти (ROM) и другие виды памяти.
Ряд программных модулей может быть сохранен на жестком диске, магнитном диске, оптическом диске, ROM или RAM, включая операционную систему (например, Windows™ 2000). Компьютер включает в себя также файловую систему, связанную с или включенную в операционную систему, такую как Windows NT™ File System (NTFS), одну или более прикладных программ, другие программные модули и данные программ. Пользователь может вводить команды и информацию в компьютер с помощью устройств ввода/вывода, таких как клавиатура и указательное устройство (мышь).
Другие устройства ввода могут включать в себя микрофон, джойстик, игровой планшет, спутниковую антенну, сканер или т.п. Эти и другие устройства ввода/вывода соединены с процессором через интерфейс последовательного порта, который соединен с системной шиной. Следует отметить, что эти устройства ввода/вывода могут соединяться с другими интерфейсами, такими как параллельный порт или универсальный последовательный порт (USB). Монитор или другой тип устройства отображения также соединяется с системной шиной через интерфейс, такой как видеоадаптер. Кроме того компьютер может включать в себя другие периферийные устройства вывода, такие как динамики и принтеры.
Компьютер, в котором используются заявленные системы, работает в сетевой среде, использующей логические соединения с одним или более удаленными компьютерами. Удаленный компьютер (или компьютеры) могут быть другими компьютерами, серверами, маршрутизаторами, сетевыми PC, одноранговым устройством или другим общим сетевым узлом. Этот компьютер может быть подсоединен к локальной сети (LAN) или к глобальной сети (WAN), к сети в офисах, Интернету или Интранету.
Когда компьютер используется в сетевой среде LAN, компьютер соединяется с локальной сетью через сетевой интерфейс или адаптер. Когда используется в сетевой среде WAN, компьютер обычно включает в себя модем или другие средства для установления связи через глобальную сеть, такую как Интернет. Модем, который может быть внутренним или внешним, соединяется с системной шиной через интерфейс последовательного порта.
Одно из направлений полезной модели основано на создании системы, использующей асинхронную обработку событий для оценки типа приложения, т.е. выявления, относится ли приложение к вредоносному программному обеспечению (далее ПО) или нет.
В настоящее время для детектирования неизвестных вредоносных программ применяют средства эмуляции программ до их запуска на пользовательской компьютерной системе и анализа журнала поведения, собранного на основе данных эмуляции. Помимо эмуляции также применяется анализ поведения программы по заранее определенным шаблонам поведения. Также применяются различные системы фильтрации событий (для анализа поведения уже запущенных программ), которые применяются как для обычной работы операционной системы, так и для использования различными приложениями для контроля системы, в том числе и антивирусными приложениями. События отправляются на проверку и только затем передаются на дальнейшую обработку. Такой способ не является быстрым, т.к. на проверку процесса, вызвавшего событий уходит какое-то время, что в целом замедляет действие процесса, а значит и всей системы.
Данный метод обнаружения вредоносного ПО основывается на анализе поведения запущенных в системе приложений. Существующие методы позволяют сравнивать действия, совершаемые приложением, с уже существующим набором правил, описывающих последовательность действий системы. Каждое такое правило описывает либо вредоносное приложение, либо, наоборот, доверенное. В случае совпадения с тем или иным правилом можно оценить характер поведения приложения, запустившего процесс, который вызвал событие. Но т.к. коллекции файлов недостаточно оперативно изменяются и в частном случае не всегда имеют правила, описывающие процессы, запущенные в системе, то необходимо создать средство автоматического создания правил для ускорения времени реакции на неизвестные программы и обеспечения реакции без ложных срабатываний.
Поэтому для решения вышеперечисленных задач представлена полезная модель в виде системы, использующей асинхронную обработку событий для оценки типа приложения.
Предложенная система, изображенная на Фиг.2, объединяет работу драйвера 220 на уровне операционной системы с различными модулями 250 на уровне приложения с помощью потокового сканера 230, такими как
- система предотвращения вторжений (Host Intrusion Prevention System или HIPS), объединяющая функционал проактивной защиты и сетевого экрана, которая управляет разрешениями на доступ к файлу, реестру, системным правам, и т.д.;
- проактивная система защиты (Proactive Defense Module или PDM) - часть антивируса, предназначенная для детектирования "по поведению", в которой реализован механизм анализа событий, получаемых из ядра операционной системы в реальном времени;
- файрволл (сетевой экран или брандмауэр) и др. компонентами антивирусного продукта.
Потоковый сканер 230 предоставляет возможность создавать и настраивать для каждого модуля 250 собственные фильтры 240 драйверу 220. Фильтры 240 пропускают атомарные системные события 210, такие как, например, вызов системных функций (создание файла, просмотр реестра) и т.д.
После того, как драйвер 220 перехватил новое событие 210, он передает его потоковому сканеру 230, который пропускает событие 210 через фильтры 240. Если событие 210 прошло через какой-либо фильтр 240, сканер 230 копирует это событие и помещает копию в очередь событий на обработку модулями системы 250. Оригинальное событие он отпускает на дальнейшую обработку. Блок-схема, описывающая обработку событий 210 потоковым сканером 230, изображена на Фиг.3.
При возникновении события системы на шаге 310 оно перехватывается драйвером для обработки его через множество фильтров различных модулей системы на шаге 320. Если событие проходит через какой-либо фильтр из набора фильтров 240 на шаге 325, то создается копия события на шаге 330, затем эта копия добавляется в очередь событий на шаге 340. После этого оригинальное событие отправляется на дальнейшую обработку на шаге 345. Если же событие не проходит ни через один из фильтров, то оно сразу же отправляется на обработку на шаге 345.
На Фиг.4 изображена блок-схема этапов обработки событий системы 210 модулем 250. Через определенный интервал времени каждый из модулей системы проверяет, есть ли в очереди события, прошедшие через его фильтр на шаге 410. Если события есть на шаге 420, модуль забирает копии событий на обработку на шаге 430, которая заключается в преобразовании события в служебную запись на шаге 440. После этого копия события удаляется из очереди на шаге 450. Служебная запись передается антивирусному ядру на проверку на шаге 460. После проверки выявляется, является ли событие вредоносным действием или нет. Если является, то процесс, создавший событие принудительно останавливается и блокируется.
Такая обработка событий является асинхронной. Преимущество ее в том, что она отпускает событие, и, соответственно, процесс, вызвавший это событие, продолжает работу. Таким образом, система не останавливает работу процесса, и проверка продолжается незаметно для пользователя компьютерной системы. У такого метода проверки событий есть недостатки. В то время, как сканер отправляет копию события на проверку антивирусному ядру, сам процесс выполняется в системе. И реакция ядра на вредоносный процесс будет более поздней, чем, если бы обработка была синхронной, и событие бы удерживалось ядром. Однако такой подход позволяет оптимизировать скорость работы компьютерной системы. Если процесс, вызвавший событие, вредоносный, то минимизировать потери можно сторонними средствами (например, этими средствами могут быть откаты, резервные копии, виртуализация и т.д.). На практике время задержки реакции антивирусного ядра на вредоносные программы исчисляется в миллисекундах.
Когда копия события 510 на Фиг.5 передается на обработку антивирусному ядру, применяются методы эвристического и сигнатурного детектирования 520. Можно использовать маленькие сигнатуры для обнаружения вредоносных программ. Такими сигнатурами для определенных вредоносных программ могут быть, например, создание соединения с определенным IP-адресом или создание определенного файла в системной директории. Можно так же регулировать срок жизни сигнатуры и уровень опасности. Также возможен запуск процесса на эмуляторе. Существующие вредоносные программы умеют анализировать, запускаются ли они под эмулятором, или работают в обычном режиме. Если вредоносная программа определит, что она работает под эмулятором, то она изменяет алгоритм своей работы, который не является вредоносным, и поэтому не определится эмулятором как вредоносный. Существующий обход эмуляторов - это основная проблема. Предоставленный метод анализа копии события позволяет избежать этой проблемы, т.к. не используется эмулятор.
Детектирование вредоносного поведения на «узких» сигнатурах, которые описывают атомарные операции, используется для создания тестовых и частичных обнаружений.
Частичные обнаружения 595 относятся к программам, для которых не удалось однозначно определить, является ли она вредоносной. Программа может попадать под следующие сигнатуры: самокопирование, регистрация в системном реестре, копирование в системную папку, и т.д.
Тестовые обнаружения 590 похожи на частичные обнаружения 595, но они описывают небольшой промежуток времени для выявления статистической информации по поведению процесса. Программы могут попадать под следующие сигнатуры: запись в новую ветку реестра, загрузка определенной библиотеки, чтение памяти из системного реестра, и т.д.
Данные обнаружения не будут отображаться пользователю. Однако они будут отправляться в вирусную лабораторию антивирусной программой, установленной на компьютере пользователя. Далее они будут накапливаться в базе антивирусной лаборатории в списках «чистых» (те объекты, которые находятся в базе доверенных приложений) и вредоносных объектов для дальнейшего изучения. В вирусной лаборатории уже будет собираться информация о процессах, выполняющих такие действия. Тестовые обнаружения могут срабатывать на все неизвестные файлы. Блок-схема этапов такой работы изображена на Фиг.6.
Модуль получает копию события от сканнера на шаге 610. Затем он проверяет событие с помощью средств сигнатурного и эвристического детектирования на шаге 620. Модуль посылает процесс, вызвавший событие, на дальнейшую обработку эмулятором на шаге 630. Модуль проверяет процесс на возможность исполнения анти-эмуляционных трюков и наличие упаковщиков на шаге 640. Анти-эмуляционными трюками называется изменение алгоритма исполнения программы, если процесс понимает, что он исполняется под эмулятором. Упаковщиками же принято называть архивы, в которых могут быть запакованы вредоносные файлы. Модуль создает запись о поведении процесса после его завершения на шаге 650. Модуль принимает решение о том, является ли процесс вредоносным или «чистым» и в зависимости от решения помещает его соответственно в список вредоносных объектов 560 или в список чистых объектов 550 на шаге 660.
Одним из направлений полезной модели для контроля веб-сайтов является модификация системы 500, отслеживающая появление случаев, изображенных на Фиг.7. Это необходимо для контроля и быстрой реакции на сайты, представляющие угрозу. Одним из критериев нахождения зловредных сайтов является массовое обращение за короткий промежуток времени, похожее на эпидемию. На Фиг.7 изображен пример контроля сайтов на небольшом промежутке времени. Сайты 710 и 720 являются сайтами, работающими в нормальном режиме, а к сайту 730 происходит обращение от N различных пользователей 760. При значении N, большем некоторого значения, которое можно считать предельным, можно считать, что сайт 730 заражен вредоносным кодом.
Выявление аномалий может также использоваться для создания системы, изображенной на Фиг.8, где представлен пример корпоративной сети 800. Сеть 800 состоит из множества компьютеров (810-850). Если учитывать, что есть набор настроек компьютеров 890, состоящий из настроек разного уровня компьютерной сети (860, 870), то можно отслеживать аномалии применительно к состоянию компьютеров сети 800. Например, если в сети обнаружена компьютерная система 850 с настройками 880, причем настройки 880 не находятся в наборе 890 настроек корпоративной сети, то можно предположить, что либо компьютер заражен, либо используется не в соответствии с принятыми нормами в корпоративной сети.
Также, используя возможность выявления аномалий, можно отслеживать поведения пользователя на компьютерной системе, учитывая ряд факторов и условий, создавая эвристики поведения определенного пользователя. В случае возникновения аномалий поведения пользователя, система сделает вывод о том, что текущий пользователь отличен от постоянного и принять ряд ограничений, выставленный изначально пользователем. Такими ограничениями могут быть запрет записи в реестр или системные папки, ограничение доступа к ресурсам компьютера, ограничение доступа к ряду заранее определенных программ, и т.д. Одновременно с этими действиями приложение может создавать резервные копии компьютерной системы, точки отката, и другие действия для более тщательной защиты.
Используя слепки поведения пользователей, существует возможность создавать ряд настроек, которые пользователь выбирает по умолчанию для работы с приложением. На Фиг.9 изображены примеры уровней настроек для работы с антивирусным приложением. Например, при выборе настроек антивируса 910 пользователь может выбрать настройки базового уровня (Основной 915), настройки среднего уровня (Средний 920), настройки выше среднего (Продвинутый 925), профессиональные настройки (Эскперт 930). Для каждой из настроек проставляются статусы следующих видов защиты:
Оценка риска - компоненты обнаружения риска и сканирования системы, которые отслеживают файловую систему компьютера, почтовые клиенты, веб-активность пользователя.
Контроль приложений - технология контролирует работу запущенных приложений и блокирует выполнение опасных операций.
Сетевые атаки - технологии борьбы с возникновением сетевых атак.
Фильтрация спама - методы борьбы со спамом.
Статусы, представленные на Фиг.7, могут быть следующими: высокий, рекомендуемый и ручная настройка.
Следует также отметить, что новой версий программного обеспечения считается доверенная программа, которая ведет себя очень сходно со старой доверенной версией с некоторыми различиями в функциональности. Если новой версии нет в базе данных известных программ, то она рассматривается и как новая версия, и как возможно вредоносная программа в зависимости от изменений по сравнению со старой версией. Если изменения являются разрешенными (например, запись новых данных в служебные папки программы или сокращение размера кеша), то программа классифицируется как новая версия.
Ниже приведен пример журналов поведения браузера Opera версий 9.5.1 и 9.5.2. Различия в журналах выделены жирным шрифтом.
Opera 9.5.1 Неизвестная программа (возможно новая версия браузера Opera)
\Device\Harddisk Volume 1\Documents and Set-tings\kulich\Local Settings\Application Data\Opera\Opera\profile\opcache\assoc\ \Device\Harddisk Volume 1\Documents and Settings\kulich\Local Settings\Application Data\Opera\Opera\profile\opcache\assoc\
\Device\Harddisk Volume 1\Documents and Settings\kulich\Local Settings\Application Data\Opera\Opera\profile\vps\ 0000 \Device\Harddisk Volume 1\Documents and Settings\kulich\Local Settings\Application Data\Opera\Opera\profile\vps\0000
\Device\Harddisk Volume 1\Documents and Settings\kulich\Local Settings\Application Data\Opera\Opera\profile\vps\0000\ \Device\Harddisk Volume 1\Documents and Settings\kulich\Local Settings\Application Data\Opera\Opera\profile\vps\0000\
adoc.bx adoc.bx
adoc.bx-j adoc.bx-j
md.dat md.dat
md.dat-j md.dat-j
url.ax url.ax
url.ax-j url.ax-j
w.ax w.ax
w.ax-j w.ax-j
wb.vx wb.vx
wb.vx-j wb.vx-j
\Device\Harddisk Volume 1\GIMMI\OPERAS\
951
\Device\Harddisk Volume 1\GIMMI\OPERAS\951\
\Device\Harddisk Volume 1\PROGRAM FILES\ \Device\Harddisk Volume 1\PROGRAM FILES\
\Device\Harddisk Volume 1\PROGRAM \Device\Harddisk Volume 1\PROGRAM
FILES\OPERA\ FILES\OPERA\
ENCODING.BIN ENCODING.BIN
ENGLISH.LNG ENGLISH.LNG
OPERA.DLL OPERA.DLL
OPERA.EXE OPERA.EXE
OPERADEF6.INI OPERADEF6.INI
SEARCH.INI SEARCH.INI
\Device\Harddisk Volume 1\PROGRAM \Device\Harddisk Volume 1\PROGRAM
FILES\OPERA\DEFAULTS\ FILES\OPERA\DEFAULTS\
DIALOG.INI DIALOG.INI
FASTFORWARD.INI FASTFORWARD.INI
PLUGIN-IGNORE.INI PLUGIN-IGNORE.INI
SPELLCHECK.INI SPELLCHECK.INI
STANDARD_KEYBOARD.INI STANDARD_KEYBOARD.INI
STANDARD_MENU.INI STANDARD_MENU.INI
STANDARD_MOUSE.INI STANDARD_MOUSE.INI
STANDARD_TOOLBAR.INI STANDARD_TOOLBAR.INI
STANDARD_VOICE.INI STANDARD_VOICE.INI
\Device\Harddisk Volume 1\PROGRAM
FILES\OPERA\LOCALE\
\Device\Harddisk Volume 1\PROGRAM \Device\Harddisk Volume 1\PROGRAM
FILES\OPERA\LOCALE\RU\ FILES\OPERA\LOCALE\RU\
RU.LNG RU.LNG
\Device\Harddisk Volume 1\PROGRAM \Device\Harddisk Volume 1\PROGRAM
FILES\OPERA\PROGRAM\ FILES\OPERA\PROGRAM\
\Device\Harddisk Volume 1\PROGRAM \Device\Harddisk Volume 1\PROGRAM
FILES\OPERA\PROGRAM\PLUGINS\ FILES\OPERA\PROGRAM\PLUGINS\
\Device\Harddisk Volume 1 \PROGRAM \Device\Harddisk Volume 1\PROGRAM
FILES\OPERA\SKIN\ FILES\OPERA\SKIN\
STANDARD_SKIN.ZIP STANDARD_SKIN.ZIP
\Device\Harddisk Volume 1\PROGRAM \Device\Harddisk Volume 1\PROGRAM
FILES\OPERA\STYLES\ FILES\OPERA\STYLES\
CONTENTBLOCK.CSS CONTENTBLOCK.CSS
MATHML.CSS MATHML.CSS
WML.CSS WML.CSS
\Device\Harddisk Volume 1\PROGRAM \Device\Harddisk Volume 1\PROGRAM
FILES\OPERA\STYLES\USER\ FILES\OPERA\STYLES\USER\
DISABLEBREAKS.CSS DISABLEBREAKS.CSS
DISABLEFLOATS.CSS DISABLEFLOATS.CSS
DISABLEFORMS.CSS DISABLEFORMS.CSS
DISABLEPOSITIONING.CSS DISABLEPOSITIONING.CSS
DISABLETABLES.CSS DISABLETABLES.CSS
TABLELAYOUT.CSS TABLELAYOUT.CSS
\Device\Harddisk Volume 1\PROGRA~1\ \Device\Harddisk Volume 1\PROGRA~1\
\Device\Harddisk Volume 1\PROGRA~1\KASPER~1\ \Device\Harddisk Volume 1\PROGRA~ 1\KASPER~1\
\Device\Harddisk Volume 1\PROGRA~1\KASPER~1\KASPER~1\ \Device\Harddisk Volume 1\PROGRA ~1\KASPER~1\KASPER~1\
Браузер Opera версии 9.5.1 пишет данные в свою служебную папку Device\Harddisk Volume 1\GIMMI\OPERAS\, в то время как новая версия программы не записывает данные в эту папку.
Следующий пример показывает, что новая версия изменила механизм кеширования (она записывает данные в кеш в папку \Device\Harddisk Volume 1\DOCUMENTS AND SET-TINGS\KULICH\LOCAL SET-TINGS\APPLICATION DATA\OPERA\OPERA\PROFILE\CACHE4\).
Opera 9.5.1 Неизвестная программа (возможно новая версия браузера Opera)
\Device\Harddisk Volume 1\DOCUMENTS AND \Device\Harddisk Volume 1\DOCUMENTS AND
SETTINGS\KULICH\LOCAL SETTINGS\APPLICATION SETTINGS\KULICH\LOCAL SETTINGS\APPLICATION
DATA\OPERA\OPERA\PROFILE\ DATA\OPERA\OPERA\PROFILE\
\Device\Harddisk Volume 1\DOCUMENTS AND SETTINGS\KULICH\LOCAL SETTINGS\APPLICATION \Device\Harddisk Volume 1\ DOCUMENTS AND SETTINGS\KULICH\LOCAL SETTINGS\APPLICATION
DATA\OPERA\OPERA\PROFILE\CACHE4\ DATA\OPERA\OPERA\PROFILE\CACHE4\
DCACHE4.URL DCACHE4.URL
OPR00002 OPR00002
OPR00003 OPR00003
OPR00009 OPR00009
OPR0000A OPR0000A
OPR0000B OPR0000B
OPR0000F OPR0000F
OPR0000Y OPR0000Y
OPR0000Z OPR0000Z
OPR00010 OPR00010
OPR00011 OPR00011
OPR00012
OPR00014 OPR00014
OPR00015 OPR00015
OPR00016
OPR00017
OPR00018 OPR00018
OPR00019
OPR0001B
OPR0001C OPR0001C
OPR0001D
OPR0001E OPR0001E
OPR0001F
OPR0001G OPR0001G
OPR0001H OPR0001H
OPR0001I OPR0001I
OPR0001K OPR0001K
OPR0001L
OPR0001N OPR0001N
OPR0001P OPR0001P
OPR0001Q OPR0001Q
OPR0001R OPR0001R
OPR0001T OPR0001T
OPR0001U OPR0001U
OPR0001W OPR0001W
OPR0001X OPR0001X
OPR0001Y OPR0001Y
OPR0001Z OPR0001Z
OPR00020 OPR00020
OPR00021 OPR00021
OPR00022 OPR00022
OPR00023 OPR00023
OPR00024 OPR00024
OPR0002E OPR0002E
OPR0002Z OPR0002Z
OPR00030 OPR00030
OPR00031 OPR00031
OPR00033
OPR00034 OPR00034
OPR00035 OPR00035
OPR00036 OPR00036
OPR00037
OPR00038 OPR00038
OPR0003A OPR0003A
OPR0003B
OPR0003F OPR0003F
OPR0003H OPR0003H
OPR0003K
OPR0003L
OPR0003M OPR0003M
OPR0003N OPR0003N
OPR0003O OPR0003O
OPR0003P OPR0003P
OPR0003Q OPR0003Q
OPR0003R OPR0003R
OPR0003S OPR0003S
OPR0003T
OPR0003U
OPR0003W OPR0003W
OPR0003X OPR0003X
OPR0003Y OPR0003Y
OPR0003Z OPR0003Z
OPR00041 OPR00041
OPR00043 OPR00043
OPR00044 OPR00044
OPR00045 OPR00045
OPR00046 OPR00046
OPR0004D OPR0004D
OPR00052 OPR00052
OPR00053 OPR00053
OPR0005Q OPR0005Q
OPR00064
OPR00067
OPR0006N
OPR0006O
OPR0006Z
OPR00070
\Device\Harddisk Volume 1\DOCUMENTS AND SETTINGS\KULICH\LOCAL SETTINGS\APPLICATION DATA\OPERA\OPERA\PROFILE\CACHE4\REVOCATION\ \Device\Harddisk Volume 1\DOCUMENTS AND SETTINGS\KULICH\LOCAL SETTINGS\APPLICATION DATA\OPERA\OPERA\PROFILE\CACHE4\REVOCATION\
DCACHE4.URL DCACHE4.URL
VLINK4.DAT VLINK4.DAT
В приведенных примерах говорится о «хороших» изменениях (они используют только ресурсы браузера, не затрагивая системных ресурсов), по которым можно судить о новой версии программы. С другой стороны можно сделать вывод о том, что программа имеет опасную для компьютерной системы функциональность, если она:
- использует системные папки;
- изменяет конфигурации драйверов;
- использует бинарные файлы; и т.д.
В этом случае функциональность программы признается вредоносной. Примеры вредоносных действий приведены ниже:
- Device HardDisk Volume 1 \windows\system 32
- notepad.exe
- regedit.exe
- calc.exe
- Device HardDisk Volume 1 \windows\system 32\drivers
- Acpi.sys
- http.sys
- beep.sys
В заключение следует отметить, что приведенные в описании сведения являются только примерами, которые не ограничивают объем настоящей полезной модели, определенной формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящей полезной модели, согласующиеся с сущностью и объемом настоящей полезной модели.

Claims (5)

1. Система определения новых версий программ содержит: средства перехвата, предназначенные для перехвата системных событий; потоковый обработчик, предназначенный для создания копии событий, полученных от средств перехвата; средства фильтрации, предназначенные для отбора системных событий, полученных от потокового обработчика по фильтрам; модули обработки событий, которые получают копии отфильтрованных событий от средства фильтрации и которые предназначены для выявления аномалий известных программ; средство хранения коллекции чистых объектов, предназначенное для хранения информации об известных доверенных объектах и предоставляющее данную информацию модулям обработки событий; средство хранения коллекции вредоносных объектов, предназначенное для хранения информации об известных вредоносных объектах и предоставляющее данную информацию модулям обработки событий.
2. Система по п.1, в которой модули обработки событий предназначены для выявления аномалий при обнаружении сходства процесса, вызвавшего событие, с заранее известным программным обеспечением из коллекции чистых объектов.
3. Система по п.2, в которой модули обработки событий предназначены также для классификации аномального процесса, а также для формирования вывода о наличии новой версии программного обеспечения.
4. Система по п.1, в которой модули обработки событий предназначены для выявления аномалий при обнаружении сходства процесса, вызвавшего событие, с заранее известным программным обеспечением из коллекции вредоносных объектов.
5. Система по п.4, в которой модули обработки событий предназначены также для классификации аномального процесса, а также для формирования вывода о наличии измененной версии известного программного обеспечения, имеющей вредоносный характер поведения.
Figure 00000001
RU2009136239/22U 2009-10-01 2009-10-01 Система определения новых версий программ RU91204U1 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2009136239/22U RU91204U1 (ru) 2009-10-01 2009-10-01 Система определения новых версий программ

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2009136239/22U RU91204U1 (ru) 2009-10-01 2009-10-01 Система определения новых версий программ

Publications (1)

Publication Number Publication Date
RU91204U1 true RU91204U1 (ru) 2010-01-27

Family

ID=42122584

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2009136239/22U RU91204U1 (ru) 2009-10-01 2009-10-01 Система определения новых версий программ

Country Status (1)

Country Link
RU (1) RU91204U1 (ru)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2687711C1 (ru) * 2015-05-19 2019-05-15 Хуавэй Текнолоджиз Ко., Лтд. Способ аппаратного ускорения и связанное устройство

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2687711C1 (ru) * 2015-05-19 2019-05-15 Хуавэй Текнолоджиз Ко., Лтд. Способ аппаратного ускорения и связанное устройство
US10620986B2 (en) 2015-05-19 2020-04-14 Huawei Technologies Co., Ltd. Hardware acceleration method and related device
US11068298B2 (en) 2015-05-19 2021-07-20 Huawei Technologies Co., Ltd. Hardware acceleration method and related device
US11544100B2 (en) 2015-05-19 2023-01-03 Huawei Technologies Co., Ltd. Hardware acceleration method and related device

Similar Documents

Publication Publication Date Title
US8566943B2 (en) Asynchronous processing of events for malware detection
RU91205U1 (ru) Система асинхронной обработки событий для обнаружения неизвестных вредоносных программ
RU2571723C2 (ru) Система и способ для снижения нагрузки на операционную систему при работе антивирусного приложения
US8925076B2 (en) Application-specific re-adjustment of computer security settings
Yin et al. Panorama: capturing system-wide information flow for malware detection and analysis
Moser et al. Exploring multiple execution paths for malware analysis
US7627898B2 (en) Method and system for detecting infection of an operating system
RU2531861C1 (ru) Система и способ оценки вредоносности кода, исполняемого в адресном пространстве доверенного процесса
US7356736B2 (en) Simulated computer system for monitoring of software performance
US7845008B2 (en) Virus scanner for journaling file system
US20060294592A1 (en) Automated rootkit detector
JP2018041438A (ja) ファイル中の悪意のあるコードの検出システム及び方法
RU2665911C2 (ru) Система и способ анализа файла на вредоносность в виртуальной машине
CN109074450B (zh) 威胁防御技术
JP6909770B2 (ja) ウィルス対策レコードを作成するシステムと方法
WO2008048665A2 (en) Method, system, and computer program product for malware detection analysis, and response
US9444832B1 (en) Systems and methods for optimizing antivirus determinations
RU2724790C1 (ru) Система и способ формирования журнала при исполнении файла с уязвимостями в виртуальной машине
EP2306356B1 (en) Asynchronous processing of events for malware detection
RU2649794C1 (ru) Система и способ формирования журнала в виртуальной машине для проведения антивирусной проверки файла
US8201253B1 (en) Performing security functions when a process is created
US11170103B2 (en) Method of detecting malicious files resisting analysis in an isolated environment
RU91204U1 (ru) Система определения новых версий программ
US20230315850A1 (en) Rootkit detection based on system dump sequence analysis
US9342694B2 (en) Security method and apparatus