UA76687U - System for controlling operational system load - Google Patents

System for controlling operational system load Download PDF

Info

Publication number
UA76687U
UA76687U UAU201208196U UAU201208196U UA76687U UA 76687 U UA76687 U UA 76687U UA U201208196 U UAU201208196 U UA U201208196U UA U201208196 U UAU201208196 U UA U201208196U UA 76687 U UA76687 U UA 76687U
Authority
UA
Ukraine
Prior art keywords
components
control
tool
boot
loading
Prior art date
Application number
UAU201208196U
Other languages
Russian (ru)
Ukrainian (uk)
Inventor
Владимир Евгеньевич Цвигун
Original Assignee
Владимир Евгеньевич Цвигун
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Владимир Евгеньевич Цвигун filed Critical Владимир Евгеньевич Цвигун
Priority to UAU201208196U priority Critical patent/UA76687U/en
Priority to PCT/UA2012/000075 priority patent/WO2014007786A1/en
Publication of UA76687U publication Critical patent/UA76687U/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Stored Programmes (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

A system for controlling operational system load relates to computer security systems, in particular to systems for checking operational system for harmful, potentially dangerous and undesirable components, and is intended for solving problem of effective and prompt detection and removal of foreign components in the operational system.

Description

Корисна модель належить до систем безпеки комп'ютерних систем і конкретніше до систем перевірки операційної системи (ОС) на наявність шкідливих, потенційно небезпечних і небажаних компонент і призначена для вирішення проблеми ефективного і оперативного виявлення і усунення фактів присутності сторонніх компонент в ОС.The useful model belongs to the security systems of computer systems and more specifically to the systems of checking the operating system (OS) for the presence of harmful, potentially dangerous and unwanted components and is intended to solve the problem of effective and prompt detection and elimination of the presence of third-party components in the OS.

У сучасному світі комп'ютерна техніка отримує все більшу поширеність. Вона стає все більш доступною, функціональною, мобільною, а користувачі стають досвідченіші в роботі з комп'ютерною технікою. Такий високий рівень розвитку може нести в собі також ряд загроз, пов'язаних наприклад із слабким рівнем захищеності цифрових даних та ОС.In today's world, computer technology is becoming more and more common. It is becoming more accessible, functional, mobile, and users are becoming more experienced in working with computer equipment. Such a high level of development can also carry a number of threats associated, for example, with a weak level of security of digital data and OS.

Безпека даних на персональних комп'ютерах, мобільній техніці, промислових комп'ютерах є актуальною проблемою. Щодня з'являється велика кількість нових шкідливих програм, здатних стати причиною комп'ютерних збоїв, втрати і крадіжки персональних даних. Багато шкідливих програм модифікуються для того, щоб їх було складніше виявити та знешкодити.Data security on personal computers, mobile equipment, and industrial computers is an urgent problem. A large number of new malicious programs appear every day, which can cause computer failures, loss and theft of personal data. Many malware are modified to make them more difficult to detect and neutralize.

Нині існує багато різних програм (антивіруси, антируткіти та ін.) (далі Детектори), які встановлюються в ОС і виконують роль захисника. Усі відомі Детектори, які встановлюються вCurrently, there are many different programs (antiviruses, antirootkits, etc.) (hereinafter called Detectors) that are installed in the OS and play the role of a defender. All known detectors that are installed in

ОС і виконують роль захисника мають бути встановлені в ОС, яка вже можливо має встановлені сторонні компоненти. Цими компонентами можуть бути руткіти (від англ. Вооїкії), які уміють "ховати" свою присутність в ОС. Під руткітом розуміється набір утиліт або спеціальний модуль ядра, що включає в себе різноманітні функції по "замітанню слідів" вторгнення в систему. Руткіт закріплюється в операційній системі і приховує сліди свого перебування, приховуючи файли, процеси і присутність самого руткіта в системі. Таким чином, він може сховатися не тільки від користувача, але і від Детектора. Існує також імовірність того, що, отримавши більш привілейовані права, руткіт зможе якимось чином пошкодити сам Детектор, тим самим зіпсувати його працездатність.The OS and acting as a defender must be installed in an OS that may already have third-party components installed. These components can be rootkits (from the English Vooikia), which know how to "hide" their presence in the OS. A rootkit is a set of utilities or a special kernel module that includes various functions to "sweep the traces" of an intrusion into the system. The rootkit attaches itself to the operating system and hides the traces of its stay, hiding files, processes and the presence of the rootkit itself in the system. Thus, he can hide not only from the user, but also from the Detector. There is also the possibility that, having gained more privileged rights, the rootkit can somehow damage the Detector itself, thereby ruining its performance.

Також бувають випадки, коли в ОС встановлені сторонні компоненти, які не є небезпечними з точки зору Детекторів, або унаслідок дій самого користувача був випадково встановлений сторонній компонент, і Детектору було вказано, що встановлена програма легальна.There are also cases when third-party components are installed in the OS that are not dangerous from the point of view of the Detectors, or as a result of the actions of the user himself, a third-party component was accidentally installed, and the Detector was told that the installed program is legal.

При цьому з кожним роком все більше збільшуються об'єми жорстких дисків, і для повної перевірки ОС може піти багато часу, години, а то і десятки години.At the same time, the volumes of hard drives are increasing every year, and it can take a lot of time, hours, or even tens of hours, to fully check the OS.

Таким чином, потрібно рішення, яке було б позбавлено недоліків Детекторів і дозволило б уThus, a solution is needed that would be devoid of the drawbacks of Detectors and would allow y

Зо будь-який момент часу перевірити ОС на наявність сторонніх компонент. Таке рішення не є замінником Детекторів, а тільки ліквідовує їх перелічені вище недоліки, використовуючи для цього інші рішення, і дозволяє визначити наскільки пошкоджена комп'ютерна система, щоб зробити висновок, чи потрібно "лікувати" комп'ютерну систему або відновити її з попередньої резервної копії (якщо вона є) або встановлювати ОС на комп'ютерну систему наново.From any moment of time, check the OS for the presence of third-party components. Such a solution is not a substitute for Detectors, but only eliminates their shortcomings listed above, using other solutions for this, and allows you to determine how damaged the computer system is in order to conclude whether it is necessary to "treat" the computer system or restore it from a previous backup copies (if any) or reinstall the OS on the computer system.

З рівня техніки відомий спосіб захисту комп'ютерів від дії програм-вірусів (патент України Мо 22370, МПК СОбЕ 11/00, опубл. 25.04.2007, бюл. Мо 5), що включає до свого складу контроль і виявлення несистемних додатків, в якому додатково введено операції по вибору стратегії і встановленню режиму моніторингу, скануванню дисків пристрою та відображенню результатів сканування з подальшим їх аналізом. Недоліком даного способу з використанням спеціально розробленого додатка, який функціонує та сканує диски пристрою на наявність програм-вірусів тільки в середовищі ОС Зутбріап О5 7.0.From the state of the art, there is a known method of protecting computers from the action of virus programs (patent of Ukraine Mo 22370, IPC СОбЕ 11/00, publ. 25.04.2007, bulletin Mo 5), which includes the control and detection of non-system applications, in which additionally includes operations for choosing a strategy and setting the monitoring mode, scanning the device's disks and displaying the scan results with their further analysis. The disadvantage of this method is the use of a specially developed application that functions and scans device disks for the presence of virus programs only in the Zutbriap O5 7.0 OS environment.

Відомо апаратний антивірус (Патент РФ Мо 92217, МПК СО6М 99/00, опубл. 10.03.2010 р.), що запобігає поширенню компонентів шкідливого програмного забезпечення (ПЗ), розташований між персональним комп'ютером і накопичувачем інформації, який містить мінімум два інтерфейси, один з яких підключають до системної шини комп'ютера, а інший підключають до носія інформації, який є при цьому прозорим фільтром, що забезпечує передачу даних між інтерфейсами, фільтрація згаданих даних здійснюється центральним процесором антивірусу, який використовує оперативний запам'ятовуючий пристрій, при цьому основна робота антивірусу полягає у фільтрації даних, які надходять з носія інформація, і якщо виявлений ними компонент шкідливий ПЗ, то дані блокують, інакше дані передають на інтерфейс, який підключений до системної шини. Недоліком даного антивірусу є те, що він тільки запобігає поширенню компонент шкідливого програмного забезпечення в комп'ютерних системах, а не здійснює перевірку операційної системи на наявність шкідливих і небажаних компонент.A known hardware antivirus (Russian Patent No. 92217, МПК СО6М 99/00, publ. 10.03.2010), which prevents the spread of malicious software (software) components, is located between a personal computer and an information storage device, which contains at least two interfaces , one of which is connected to the system bus of the computer, and the other is connected to the data carrier, which is also a transparent filter that ensures data transfer between interfaces, the filtering of the mentioned data is carried out by the central processor of the antivirus, which uses a non-volatile memory device, when Therefore, the main job of an antivirus is to filter the data that comes from the information carrier, and if the component detected by them is malicious software, then the data is blocked, otherwise the data is transferred to the interface that is connected to the system bus. The disadvantage of this antivirus is that it only prevents the spread of malicious software components in computer systems, and does not check the operating system for the presence of harmful and unwanted components.

Відома система виявлення та лікування руткітів (Патент РФ Мо 77472, МПК СОбЕ 21/22, опубл. 20.10.2008 р.), що включає засіб для створення першого образу для виділених файлів операційної системи і реєстру, при цьому цей засіб виконано з можливістю створення першого образу після завантаження завантажувальних драйверів, але до завантаження всіх інших драйверів; засіб для постійного зберігання першого образу, отриманого згаданим засобом для створення першого образу; засіб для створення другого образу для виділених файлів бо операційної системи і реєстру, який створюється після завантаження всіх драйверів, що залишилися; засіб для порівняння першого образу, отриманого зі згаданого засобу постійного зберігання, і другого образу, отриманого від засобу створення другого образу; засіб для видачі повідомлення користувачу про зараження руткітом комп'ютера за результатами порівняння, отриманим від згаданого засобу порівняння, при цьому засіб для видачі повідомлення виконано з можливістю видачі цього повідомлення в разі нерівності першого і другого образів. Дана корисна модель використовується тільки для виявлення руткітів, а не від всіх шкідливих програм, які вже є завантажені в операційну систему комп'ютерної системи, тобто її використання не дає змогу проконтролювати саме завантаження завантажуючих драйверів, виявити шкідливі, потенційно небезпечні і небажані компоненти в ОС.A well-known system for detecting and treating rootkits (Russian Patent No. 77472, IPC SObE 21/22, publ. 10.20.2008), which includes a tool for creating the first image for selected files of the operating system and the registry, while this tool is designed with the ability to create the first image after the boot drivers are loaded, but before all other drivers are loaded; a means for permanently storing the first image obtained by said means for creating the first image; a tool for creating a second image for selected files of the operating system and the registry, which is created after loading all remaining drivers; means for comparing the first image obtained from said permanent storage means and the second image obtained from the means for creating the second image; a means for issuing a message to the user about the infection of the computer with a rootkit based on the comparison results obtained from the mentioned comparison means, while the means for issuing a message is made with the possibility of issuing this message in case of inequality of the first and second images. This useful model is used only to detect rootkits, and not from all malicious programs that are already loaded into the operating system of the computer system, that is, its use does not allow you to control the actual loading of boot drivers, to detect harmful, potentially dangerous and unwanted components in the OS .

Найбільш близького технічного рішення до запропонованої корисної моделі в публічному доступі не виявлено.The closest technical solution to the proposed useful model was not found in public access.

В основу корисної моделі поставлено задачу створення системи контролю завантаження операційної системи, яка здійснює повний програмний контроль запуску всіх компонент ОС, включаючи ті, які не є складовими компонентами операційної системи, і виявляє шкідливі, потенційно небезпечні і небажані компоненти в ОС.The useful model is based on the task of creating an operating system boot control system that performs full software control over the launch of all OS components, including those that are not components of the operating system, and detects harmful, potentially dangerous, and unwanted components in the OS.

Поставлена задача вирішується тим, що запропоновано систему контролю завантаження операційної системи, яка містить: - засіб перевірки, призначений для з'ясування стану компонент комп'ютерної системи, які беруть участь до початку завантаження ОС і які згодом, передають управління на початок завантаження ОС; - засіб контролю, призначений для виконання контролю запуску на виконання системних компонент при завантаженні ОС, при цьому контроль здійснюється на підставі списків системних компонент і їх цифрових підписів та списку довірених компонент і їх хешів ЗНА 1; - засіб управління зв'язаний з засобом контролю і призначений для аналізу отриманих даних в процесі завантаження ОС та формування списків довірених компонент, і який налаштований для створення дампів списків файлів та їх описувачів, дампів з реєстру і для порівняння отриманих дампів, крім того, засіб управління додатково призначений для пошуку компонент у файловій системі як по хешу ЗНА, так і за шаблоном імені компоненти і разом з тим, засіб управління додатково призначений для запитів в мережі Інтернет про компоненту.The task is solved by proposing a system for monitoring the loading of the operating system, which includes: - a verification tool designed to find out the state of the components of the computer system, which participate before the start of the OS loading and which subsequently transfer control to the start of the OS loading; - a control tool designed to control the launch of system components when loading the OS, while the control is carried out on the basis of lists of system components and their digital signatures and a list of trusted components and their hashes of ZNA 1; - the control tool is connected to the control tool and is intended for the analysis of the received data during the OS loading process and the formation of lists of trusted components, and which is configured to create dumps of lists of files and their descriptors, dumps from the registry and to compare the received dumps, in addition, the tool the control is additionally designed to search for components in the file system both by the hash of the ZNA and by the pattern of the component name, and at the same time, the control tool is additionally designed for requests on the Internet about the component.

Зо Описана корисна модель дозволяє гарантовано контролювати увесь процес завантаженняЗ The described useful model allows guaranteed control of the entire loading process

ОС, починаючи з найпершого можливого не системного компонента, звіряючи його зі списком системних компонент і їх цифрових підписів. Це досягається двоетапним завантаженням ОС.OS, starting with the earliest possible non-system component, checking it against a list of system components and their digital signatures. This is achieved by two-stage booting of the OS.

Слід зазначити, що ці етапи незалежні один від іншого, тому їх можна виконувати, або не виконувати, або повторювати стільки раз, скільки потрібно для визначення стану ОС на комп'ютерній системі.It should be noted that these stages are independent of each other, so they can be performed, or not performed, or repeated as many times as necessary to determine the state of the OS on the computer system.

В описі корисної моделі введено такі означення: "Засіб перевірки" це Контролер 1, "Засіб контролю" - Контролер 2, "Засіб управління" - Консоль.In the description of the utility model, the following definitions are introduced: "Measure of verification" is Controller 1, "Measure of control" is Controller 2, "Measure of control" is Console.

Робота системи реалізується наступним чином.The system works as follows.

Перший етап. При включенні комп'ютерної системи завантаження виконується з завантаженого образу мінімальних розмірів, який містить модуль Контролер 1 (Засіб перевірки).The first stage. When the computer system is turned on, the download is performed from the downloaded image of minimum dimensions, which contains the Controller 1 (Verifier) module.

Для цього підготовлюють змінний носій (наприклад диск СО, ЮМО або флешка), на який записують завантажений образ, всередині якого міститься модуль Контролера 1 та вказують в настройках ВІО5, що завантаження потрібно виконувати в першу чергу зі змінного носія, якщо він під час завантаження підключений до комп'ютера. Отже, при включенні комп'ютерної системи змінний носій підключено і на екрані виведено запрошення "Рге55 апу Кеу 0 роої їїотTo do this, prepare a removable medium (for example, a CD-ROM, UMO or flash drive) on which the downloaded image is written, inside which the Controller 1 module is located, and indicate in the VIO5 settings that the download should be performed first of all from the removable medium, if it is connected during the download to the computer. So, when the computer system is turned on, the removable media is connected and the invitation "Рге55 апу Кеу 0 роой ійот" is displayed on the screen

Ср ог 0МО.». Натискаючи будь-яку кнопку, фактично виконуємо опцію "Завантаження зі змінного носія". Завантажившись, цей модуль звіряє завантажений сектор МВА жорсткого диска, сектораWed 0MO.". By pressing any button, we actually execute the "Download from removable media" option. After loading, this module compares the loaded MBA sector of the hard disk, sector

МВА/ЛРІ файлової системи, бут-завантажувач ОС, цифрові підписи ядра ОС, первинність завантаження модуля Контролер 2 (Засіб контролю), наявність модуля Контролер 2 і видає підсумковий звіт результатів.MBA/LRI of the file system, OS bootloader, digital signatures of the OS kernel, the priority of loading the Controller 2 module (Control Tool), the presence of the Controller 2 module and issues a summary report of the results.

У цьому звіті можуть бути позитивні результати, так і негативні результати. Наприклад, коли видається попередження, що головний завантажувальний МВА запис (англ. тавіеєг роої гесога,This report can have positive results as well as negative results. For example, when a warning is issued that the main download MBA record (eng. tavieeg rooi gesoga,

МВА) жорсткого диска невідомий, то перш ніж продовжити завантаження ОС, потрібно ліквідувати цю проблему. Для цього існують як утиліти від виробника ОС, так і інших продуцентів, за допомогою яких ця проблема вирішується. Або якщо користувач сам встановив нестандартний завантажувач, тоді це попередження можна ігнорувати.MBA) of the hard disk is unknown, then before continuing to boot the OS, you need to eliminate this problem. To do this, there are utilities from the OS manufacturer and other producers that solve this problem. Or if the user has installed a custom bootloader himself, then this warning can be ignored.

У разі коли Контролер 1 при перевірці виявляє, що порушена реєстрація первинності завантаження Контролера 2, тоді він сам виправляє це відхилення і реєструє цю подію в звіті.In the event that Controller 1 detects during the check that the registration of the priority of loading Controller 2 is violated, then it itself corrects this deviation and registers this event in the report.

Цей етап однозначно гарантує, що при включенні комп'ютерної системи з моменту бо отримання управління від ВІО5 (це перша програма, яку комп'ютер використовує відразу ж після включення, і яка має завдання - розпізнати пристрої на комп'ютерній системі (процесор, пам'ять, диски, відео та ін), перевірити їх справність, ініціювати і передати управління завантажувачу ОС (завантажувач ОС в свою чергу завантажує в пам'ять ядро ОС і модулі (драйвера) з типом завантаження "роої" та передає управління ядру ОС. Ядро ОС в свою чергу починає запускати в роботу (ініціювати) завантажені раніше модулі (драйвера) з типом завантаження "роої", і в цьому списку на запуск в роботу Контролер 2 завжди перший) і до початку роботи Контролера 2 ніхто сторонній не одержить управління.This stage unambiguously guarantees that when the computer system is turned on, from the moment of receiving control from VIO5 (this is the first program that the computer uses immediately after turning on, and which has the task of recognizing devices on the computer system (processor, memory disk, video, etc.), check their serviceability, initiate and transfer control to the OS bootloader (the OS bootloader, in turn, loads the OS kernel and modules (drivers) with the "rooi" loading type into memory and transfers control to the OS kernel. The OS kernel, in turn, begins to launch (initiate) previously loaded modules (drivers) with the "rooi" download type, and Controller 2 is always the first in this startup list) and no outsider will gain control until Controller 2 starts operating.

Робота Контролера 1 завершується перезавантаженням комп'ютерної системи для подальшого завантаження основної ОС, якщо немає помилок у звіті, або, якщо є помилки, тоді використовують допоміжні утиліти інших продуцентів або виробника ОС, за допомогою яких усувають помилки.The operation of Controller 1 is completed by rebooting the computer system to further load the main OS, if there are no errors in the report, or if there are errors, then use the auxiliary utilities of other producers or the OS manufacturer, with which the errors are eliminated.

Другий етап. При завантаженні комп'ютерної системи знову буде відображено запрошення "Ргезз апу Кеу о роої їот СО ог ОМО", але на цей раз не потрібно натискати будь-яку кнопку, так через 5 сек очікування система передасть управління на завантаження з жорсткого диска.The second stage. When booting the computer system, the invitation "Rgezz apu Keu o rooi iot CO og OMO" will be displayed again, but this time you do not need to press any button, so after 5 seconds of waiting, the system will transfer control to boot from the hard disk.

На цьому етапі відображається список можливих варіантів завантаження ОС. Якщо на комп'ютерній системі встановлено одну ОС, то такий список не відображається, але якщо на початковому інтервалі після включення комп'ютерної системи натискати кнопку Е8, то цей список також буде відображено. В нашому випадку список відображатися буде у будь-якому випадку. Тому що, навіть якщо був тільки один запис, то другий такий запис створює інсталятор корисної моделі при встановленні її на комп'ютерну систему. Цей запис вирізняється тим, що має назву як основна ОС, в яку встановлено корисну модель, але має в своїй назві специфічний підрядок, який вказує, що тільки при виборі цього варіанту завантаження ОС буде виконуватися другий етап. Такий вибір дозволяє більш гнучкіше і безпечніше аналізувати основну ОС.At this stage, a list of possible OS boot options is displayed. If one OS is installed on the computer system, then such a list is not displayed, but if the E8 button is pressed during the initial interval after turning on the computer system, then this list will also be displayed. In our case, the list will be displayed in any case. Because, even if there was only one entry, the second such entry is created by the utility model installer when it is installed on the computer system. This entry is distinguished by the fact that it is named as the main OS in which the useful model is installed, but has a specific substring in its name that indicates that only when this OS boot option is selected, the second stage will be performed. This choice allows more flexible and safer analysis of the main OS.

Фактично для основної ОС є два варіанти завантаження, це звичайний, при якому Контролер 2 не активний і не виконує ніякої роботи. Та варіант, коли Контролер 2 включений і активно виконує свою роботу.There are actually two boot options for the main OS, this is the normal one where Controller 2 is inactive and does no work. The option when the Controller 2 is turned on and actively performs its work.

Такий вибір дає змогу: " використовувати другий етап не постійно, а по потребі, наприклад, коли виникають підозри на наявність невластивої поведінки ОС;Such a choice makes it possible to: "use the second stage not constantly, but as needed, for example, when there are suspicions of abnormal OS behavior;

Зо "- зрівняти роботу ОС без роботи Контролера 2 і з ним, в випаду, якщо виконується "лікування" ОС, наприклад, коли завантажується ОС, їй потрібно щоб в певних ключах реєстр мав "стандартні" значення обов'язкові для подальшого успішного завантаження. В таких випадках Контролер 2, виявивши відхилення, "емулює" (штучно відтворює) наявність потрібної інформації в таких ключах, при цьому відмічаючи такі випадки в лог-файл. Користувач має змогу внести правильні дані в такий ключ і перезавантажити ОС в звичайному режимі і перевірити правильність своїх дій; "- вилучити встановлену корисну модель з комп'ютерної системи, якщо в цьому виникає потреба. Хоча це можна зробити і при завантаженні з включеним Контролером 2, але в цьому випадку в Консолі потрібно використовувати опцію яка б дозволила вимкнути роботуZo "- to compare the operation of the OS without the operation of Controller 2 and with it, in the event that the OS is "treated", for example, when the OS is loaded, it needs the registry to have "standard" values in certain keys that are mandatory for further successful loading. In such cases, Controller 2, having detected deviations, "emulates" (artificially reproduces) the presence of the necessary information in such keys, while noting such cases in the log file. The user can enter the correct data in such a key and reboot the OS in normal mode and check the correctness of one's actions; "- remove the installed useful model from the computer system, if the need arises. Although this can be done when booting with Controller 2 turned on, but in this case, you need to use the option in the Console that would allow you to disable the operation

Контролера 2 і тоді можна звичайними засобами ОС вилучити корисну модель з комп'ютерної системи;Controller 2 and then it is possible to remove a useful model from the computer system using the usual means of the OS;

В нашому випадку вибравши варіант завантаження із специфічним підрядком в назві, ми фактично активуємо виконання другого етапу корисної моделі, тобто здійснюється активаціяIn our case, by choosing the download option with a specific substring in the name, we actually activate the execution of the second stage of the useful model, that is, the activation is carried out

Контролера 2. Як було зазначено раніше, перший етап забезпечує первинність отримання управління від ядра ОС Контролером 2. Отже, Контролер 2 завжди завантажується в списку першим і, починаючи з цього моменту, звіряє всіх інших зі списком компонент ОС та їх цифровими підписами, при цьому відхиляючи всіх хто не входить в цей список або кого немає в довіреному списку.Controller 2. As mentioned earlier, the first stage ensures the priority of receiving control from the OS kernel by Controller 2. Therefore, Controller 2 is always loaded first in the list and, starting from this moment, checks all others against the list of OS components and their digital signatures, while rejecting everyone who is not included in this list or who is not in the trusted list.

Всю виконану роботу Контролер 2 реєструє в лог-файл, в якому зазначається сам компонент, його розміри, права доступу до нього, його реєстрація в ОС, якщо така є. Якщо компонента належить ОС і в неї порушений цифровий підпис, тоді вона також потрапляє в цей список, але запуск її не відхиляється, так як в цьому випадку комп'ютерна система може перервати свої завантаження, і "зависнути або випасти в синій екран". Згодом, такий компонент, повинен бути замінений на оригінальний з дистрибутива ОС.Controller 2 records all the work performed in a log file, which indicates the component itself, its dimensions, access rights to it, its registration in the OS, if any. If the component belongs to the OS and has a broken digital signature, then it also falls into this list, but its launch is not rejected, since in this case the computer system may interrupt its downloads and "hang or fall into a blue screen". Subsequently, such a component must be replaced with the original one from the OS distribution.

Після завантаження ОС, за допомогою засобу управління (Консолі), можна переглянути лог роботи Контролера 2 і виконати маніпуляції з цими результатами. Тобто, додати відхилені компоненти в довірений список, перевірити в Інтернеті їх на небезпеку, якщо є невпевненість в них, і якщо вони шкідливі, то спочатку, використовуючи значення хеш 5НАЇТ цієї компоненти, знайти всі такі ж подібні компоненти (незалежно, які вони будуть мати імена, але вони всі є бо копіями шуканої компоненти) по всій комп'ютерній системі і тільки тоді видалити їх або перемістити в потрібне місце. Всі дії в Консолі виконуються швидко і інтуїтивно зрозуміло.After loading the OS, using the control tool (Console), you can view the Controller 2 log and manipulate these results. That is, add the rejected components to the trusted list, check them on the Internet for danger, if there is uncertainty about them, and if they are harmful, then first, using the hash value of 5FIND of this component, find all the same similar components (regardless of what they will have names, but they are all copies of the desired component) throughout the computer system and only then delete them or move them to the right place. All actions in the Console are performed quickly and intuitively.

Наприклад для внесення відхилених компонент в довірений список, достатньо відкрити список відхилених компонент, виділити ті компоненти, які хочемо внести в довірений список і через меню вибрати команду внесення компонент в довірений список. Відповідно, якщо перейдемо вFor example, to add rejected components to the trusted list, it is enough to open the list of rejected components, select the components that we want to add to the trusted list and select the command to add components to the trusted list from the menu. Accordingly, if we move to

Консолі в список довірених компонент, то зможемо побачити ці компоненти. Тепер, якщо виконати перезавантаження ОС, то ці компоненти будуть легітимними і відповідно будуть завантажені і виконані.Console in the list of trusted components, then we can see these components. Now, if you reboot the OS, these components will be legitimate and will be loaded and executed accordingly.

Також Контролер 2 в процесі своєї роботи веде лог подій, в якому реєструє всі важливі, З його точки зору події. Такі, як: - Зміна МВАЕ/ЛРІ /УВА; - Запуск процесу; - Запуск на виконання компоненти процесу; - Зупинка процесу; - Порушення цифрового підпису компоненти; - Спроба модифікації виконуваної компоненти; - Спроба видалення виконуваної компоненти; - Спроба виконання компоненти з іншої компоненти; - Запуск на виконання компоненти, яка можливо зашифрована; - Запуск потоку, який створений не стандартно; - Наявність, можливо, зайвих записів у файлі Нозвів; - Наявність відмінностей в параметрах реєстрації стандартних сервісів/до датків ОС в реєстрі; - Наявність в реєстрі реєстрації налагоджувана додатка, що запускається в ключі "Ітаде РієController 2 also keeps an event log in the course of its work, in which it registers all important events from its point of view. Such as: - Change of MVAE/LRI/UVA; - Starting the process; - Launch process components; - Stopping the process; - Violation of digital signature components; - Attempt to modify the executable component; - An attempt to delete an executable component; - Attempt to execute a component from another component; - Run the component, which may be encrypted; - Starting a stream that is not created by default; - The presence, possibly, of extra entries in the Nozviv file; - Presence of differences in the registration parameters of standard services/OS data in the registry; - The presence in the registration register of a configurable application that is launched in the "Itade Rieu" key

Ехесшіоп Орііопв"; - Відсутність системного файлу, який запитує система на запуск, а його фізично немає; - Наявність завантаження системного модуля, який насправді не є системним, а підміняє реальний системний, підміняючи деякий функціонал системного модуля, а інший функціонал переправляє на справжній системний, але перейменований файл; - Наявність у завантажених компонент підписки на отримання повідомлень про запускEhessiop Oriiopv"; - The absence of a system file that the system requests to start, but it is not physically present; - The presence of loading a system module, which is not actually a system module, but replaces a real system module, replacing some functionality of the system module, and other functionality forwards to a real system module , but the file has been renamed; - Availability of downloaded components to receive launch notifications

Зо процесів/завантаження виконуваних образів і/або створення потоків і/або зміни реєстру; - Наявність зміни системного значення за замовчуванням адреси / функціїFrom the processes/loading of executable images and/or creation of streams and/or registry changes; - The presence of changing the default system value of the address / function

ІотїСа|ІОгімегВошііпе; - Наявність зміни системного значення за замовчуванням адреси / функціїIotiSa|IOhimegVoshiiipe; - The presence of changing the default system value of the address / function

ІотСотрієїеНедниневі.IotSotryieNednynevi.

Всі ці події значно спрощують розуміння того, що відбувається в комп'ютерній системі і в сукупності з іншою інформацією дозволяють точно окреслити коло "підозрілих" компонент, які вимагають пильного дослідження своєї діяльності. Таблиця подій відображається динамічно вAll these events greatly simplify the understanding of what is happening in the computer system and, together with other information, make it possible to accurately outline the circle of "suspicious" components that require a careful study of their activity. The event table is displayed dynamically in

Консолі, і в ній в свою чергу можна виконувати різні дії для швидшого аналізу, тобто, встановлювати фільтри на колонки, сортувати по колонці, записати в файл і т.д.Console, and in it, in turn, you can perform various actions for faster analysis, that is, set filters on columns, sort by column, write to a file, etc.

Робота другого етапу може завершуватися двома варіантами. Перший - це коли було перевірено ОС, виконані дії по безпеці відповідно наданої інформації в Консолі і перезавантажено ОС, для подальшого входу в основу ОС в звичайному режимі, коли Контролер 2 не активний.The work of the second stage can be completed in two ways. The first is when the OS was checked, security actions were performed according to the information provided in the Console, and the OS was rebooted, for further entry into the OS base in normal mode when Controller 2 is not active.

Другий - це коли заносимо в довірений список Консолі всі компоненти, які використовуються користувачем на комп'ютерній системі і залишаємося працювати в такому режимі. У цьому варіанті скомпрометувати компоненти ОС або компоненти довірених програм користувача вкрай складно. Наприклад, через Інтернет за допомогою якої-небудь раніше невідомої М-дня вразливістю, яка не була закрита оновленнями компонент ОС або довірених компонент користувача. Така уразливість не зможе "закріпитися" в ОС, для присутності в системі при наступних перезавантаженнях ОС, так як запропонована система контролю завантаження ОС в будь-якому випадку забороняє створювати/змінювати виконувані компоненти всім, навіть якщо зміни буде ініціювати сама система. За винятком, якщо внести в довірений список компоненту і їй вказати що вона може виконати "Зміну виконуваного компонента" і/або "Видалення виконуваного компонента". Навіть якщо система була скомпрометована тільки через пам'ять, без звертання на жорсткий диск, то, досить перевантажити ОС і вона знову буде без "вразливостей".The second is when we enter all the components used by the user on the computer system into the trusted list of the Console and continue to work in this mode. In this variant, it is extremely difficult to compromise OS components or components of trusted user programs. For example, through the Internet with the help of some previously unknown M-day vulnerability that was not closed by updates of OS components or trusted user components. Such a vulnerability will not be able to "take root" in the OS, to be present in the system during subsequent OS reboots, since the proposed OS boot control system in any case prohibits the creation/modification of executable components by anyone, even if the changes will be initiated by the system itself. Except if you include the component in the trusted list and indicate to it that it can perform "Change executable component" and/or "Remove executable component". Even if the system was compromised only through memory, without accessing the hard disk, it is enough to overload the OS and it will again be without "vulnerabilities".

Запропонована система контролю завантаження ОС дозволяє швидко вирішувати кілька важливих задач:The proposed OS boot control system allows you to quickly solve several important tasks:

- знаходити і блокувати в комп'ютерній системі небажані об'єкти.- find and block unwanted objects in the computer system.

Небажані об'єкти комп'ютерної системи - це будь-який модуль, який не є об'єктом системи або підмінений об'єкт системи, але не є таким в дійсності;Unwanted computer system objects are any module that is not a system object or a substituted system object, but is not such in reality;

- швидко оцінити завдані збитки комп'ютерній системі, для визначення обсягу робіт, що простіше: лікувати комп'ютерну систему або перевстановити її або відновити з резервної копії.- quickly assess the damage caused to the computer system, to determine the scope of work, which is easier: treat the computer system or reinstall it or restore it from a backup copy.

Claims (1)

ФОРМУЛА КОРИСНОЇ МОДЕЛІUSEFUL MODEL FORMULA Система контролю завантаження операційної системи (ОС), яка містить:An operating system (OS) boot control system that includes: - засіб перевірки, призначений для з'ясування стану компонент комп'ютерної системи, які беруть участь до початку завантаження ОС і які згодом передають управління на початок завантаження ОС;- a verification tool designed to find out the state of the components of the computer system, which participate before the start of the OS boot and which subsequently transfer control to the start of the OS boot; - засіб контролю, призначений для виконання контролю запуску на виконання системних компонент при завантаженні ОС, при цьому контроль здійснюється на підставі списків системних компонент і їх цифрових підписів та списку довірених компонент і їх хешів ЗНА 1;- a control tool designed to control the launch of system components when loading the OS, while the control is carried out on the basis of lists of system components and their digital signatures and a list of trusted components and their hashes of ZNA 1; - засіб управління, зв'язаний з засобом контролю і призначений для аналізу отриманих даних в процесі завантаження ОС та формування списків довірених компонент, і який налаштований для створення дампів списків файлів та їх описувачів, дампів з реєстру і для порівняння отриманих дампів, крім того засіб управління додатково призначений для пошуку компонент у файловій системі як по хешу ЗНА, так і за шаблоном імені компоненти і разом з тим, засіб управління додатково призначений для запитів в мережі Інтернет про компоненту.- a control tool connected to the control tool and designed to analyze the data received in the process of loading the OS and forming lists of trusted components, and which is configured to create dumps of lists of files and their descriptors, dumps from the registry and to compare the received dumps, in addition, the tool the control is additionally designed to search for components in the file system both by the hash of the ZNA and by the pattern of the component name, and at the same time, the control tool is additionally designed for requests on the Internet about the component.
UAU201208196U 2012-07-04 2012-07-04 System for controlling operational system load UA76687U (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
UAU201208196U UA76687U (en) 2012-07-04 2012-07-04 System for controlling operational system load
PCT/UA2012/000075 WO2014007786A1 (en) 2012-07-04 2012-08-09 System for monitoring an operating system startup

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
UAU201208196U UA76687U (en) 2012-07-04 2012-07-04 System for controlling operational system load

Publications (1)

Publication Number Publication Date
UA76687U true UA76687U (en) 2013-01-10

Family

ID=49882368

Family Applications (1)

Application Number Title Priority Date Filing Date
UAU201208196U UA76687U (en) 2012-07-04 2012-07-04 System for controlling operational system load

Country Status (2)

Country Link
UA (1) UA76687U (en)
WO (1) WO2014007786A1 (en)

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7725703B2 (en) * 2005-01-07 2010-05-25 Microsoft Corporation Systems and methods for securely booting a computer with a trusted processing module

Also Published As

Publication number Publication date
WO2014007786A1 (en) 2014-01-09

Similar Documents

Publication Publication Date Title
US10474819B2 (en) Methods and systems for maintaining a sandbox for use in malware detection
US12013760B2 (en) Methods and systems for recognizing unintended file system changes
US9087199B2 (en) System and method for providing a secured operating system execution environment
EP3039608B1 (en) Hardware and software execution profiling
US7627898B2 (en) Method and system for detecting infection of an operating system
US8910283B1 (en) Firmware-level security agent supporting operating system-level security in computer system
US20070113062A1 (en) Bootable computer system circumventing compromised instructions
US7921461B1 (en) System and method for rootkit detection and cure
US20130117006A1 (en) Simulated boot process to detect introduction of unauthorized information
US9396329B2 (en) Methods and apparatus for a safe and secure software update solution against attacks from malicious or unauthorized programs to update protected secondary storage
US8495741B1 (en) Remediating malware infections through obfuscation
US6907524B1 (en) Extensible firmware interface virus scan
US9448888B2 (en) Preventing a rollback attack in a computing system that includes a primary memory bank and a backup memory bank
Buescher et al. Banksafe information stealer detection inside the web browser
RU2583714C2 (en) Security agent, operating at embedded software level with support of operating system security level
US9390275B1 (en) System and method for controlling hard drive data change
Ries Inside windows rootkits
US8572742B1 (en) Detecting and repairing master boot record infections
Mahapatra et al. An online cross view difference and behavior based kernel rootkit detector
US9342694B2 (en) Security method and apparatus
US11816211B2 (en) Active signaling in response to attacks on a transformed binary
Corregedor et al. Implementing Rootkits to address operating system vulnerabilities
Németh et al. Detection of persistent rootkit components on embedded IoT devices
UA76687U (en) System for controlling operational system load
Flatley Rootkit Detection Using a Cross-View Clean Boot Method