WO2021187996A1 - Способ и система блокировки потенциально нежелательного программного обеспечения - Google Patents

Способ и система блокировки потенциально нежелательного программного обеспечения Download PDF

Info

Publication number
WO2021187996A1
WO2021187996A1 PCT/RU2020/000148 RU2020000148W WO2021187996A1 WO 2021187996 A1 WO2021187996 A1 WO 2021187996A1 RU 2020000148 W RU2020000148 W RU 2020000148W WO 2021187996 A1 WO2021187996 A1 WO 2021187996A1
Authority
WO
WIPO (PCT)
Prior art keywords
mini
filter
client agent
request
message broker
Prior art date
Application number
PCT/RU2020/000148
Other languages
English (en)
French (fr)
Inventor
Евгений Андреевич КОРОБОВ
Александр Юрьевич МИТИН
Максим Владимирович РУСАКОВ
Михаил Владимирович ШИЛЕНКО
Original Assignee
Айкьюпи Текнолоджи, Элтиди
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Айкьюпи Текнолоджи, Элтиди filed Critical Айкьюпи Текнолоджи, Элтиди
Priority to PCT/RU2020/000148 priority Critical patent/WO2021187996A1/ru
Publication of WO2021187996A1 publication Critical patent/WO2021187996A1/ru

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability

Definitions

  • the present invention relates to computer technology and computer programs. More specifically, the present invention relates to a system and method for blocking potentially unwanted and / or unknown software (executable code) by a computer system.
  • the invention is based on useful embeddable code that allows integration into the system processing environment of the Windows operating system in order to prevent the execution of potentially unwanted and / or unknown computer code.
  • Such an implementation allows you to completely control the resources of the computer system and prevent the execution of any potentially unwanted and / or unknown program code.
  • Mandatory access control is the minimum required method for implementing a secure information technology ecosystem. With this approach, the behavior of users and programs will be limited by the scope of the enterprise security policy, which will ensure the highest level of security.
  • a security policy is a set of conditions and checks that determine whether a program is safe to run in an enterprise.
  • SW Executable unauthorized software
  • embedded code can cause significant and irreversible harm a computer system both at the level of user presentation (software) and at the hardware level.
  • the system can be affected not only by malicious code, such as Trojans and viruses, but also by working applications: music players, office suites, games, and the like.
  • Another common anti-malware approach is background monitoring and real-time analysis of this data.
  • This approach typically monitors any system messages and I / O on the computer system to determine the "behavior" of the software and compares it to a "normal” state, or attempts to determine any linkages with known malware. Again, for the most part, this approach is based on signatures, or requires such careful configuration and monitoring that it is not economically feasible, therefore it is also ineffective in combating malware.
  • the present invention is intended to address the shortcomings of existing systems and methods for blocking the use of potentially unwanted and / or unknown software.
  • the object of the present invention is to improve the efficiency, reliability and speed of blocking any potentially unwanted and / or unknown software.
  • the present invention makes it possible to block any potentially unwanted and / or unknown code for its further classification and making a decision about launching in a computer system, which is implemented by controlling access to the file system.
  • a method is proposed for blocking the use of potentially unwanted and / or unknown software by a computer system, which includes the following steps:
  • the client agent searches for rules in its own database and requests an up-to-date list of rules from the message broker;
  • the message broker stores all possible rules, in cases where the rule does not exist, the message broker creates a new rule, either automatically, depending on the selected policy, or by waiting for a classification action in the control panel.
  • the “Interceptor” mini-filter sends a request to the file system for code execution or returns an error code to block code execution, depending on the received rule.
  • the client agent performs local operations and data synchronization with the message broker.
  • the message broker stores information in a database and notifies client agents of new changes. Performs logical operations to create new rules, either automatically or through the interface.
  • the protection driver ensures that potentially unwanted and / or unknown software is prevented from running.
  • the "Interceptor" mini-filter intercepts a request to the file system, leaves the request in A pending and asks the client agent for permission to execute the request.
  • the Statistics mini-filter collects information about requests to the file system.
  • a system for blocking potentially unwanted and / or unknown software by a computer system is proposed for implementing the above method, which is a useful injectable code for integration into the system processing environment of the Windows operating system at the kernel level and includes a security driver, a client agent , message broker, control panel, database and interface, while the protection driver includes the Interceptor mini-filter and the Statistics mini-filter, the client agent is an intermediary between the protection driver and the message broker and stores a local database of permissions for protection driver, and the message broker is an intermediary between the client agent and the database, which contains all the available permissions for the client agents.
  • a file system in the context of the present invention is a set of clusters (data blocks) into which the storage media existing within the operating system are divided.
  • the Windows file system driver organizes clusters into files and directories, keeps track of which clusters are in use, and during I / O operations, assembles clusters into a file.
  • the protection driver is a C ++ program that runs at the operating system kernel level.
  • the functionality of the protection driver allows you to ensure that there is no possibility of launching potentially unwanted and / or unknown executable code, it includes: the "Interceptor” mini-filter and the “Statistics” mini-filter.
  • a client computer system agent is an application written in the C ++ language. It starts automatically when the operating system starts up and runs regardless of the user's status. It is an intermediary between the security driver and the message broker and stores the local database of security driver permissions.
  • the message broker is a program written in the C ++ language using the Qt Framework. It is an intermediary between client agents and the database (DB), which contains all the available permissions for client agents.
  • DB database
  • Control Panel is a web based control panel and is a single page web application.
  • the interface is an intermediary between the administrator and the server side of the software. Communication between the components takes place in the j son format, websocket with optional SSL encryption to guarantee secure communication between process participants.
  • Figure 1 - describes the main elements and logic of the system according to the claimed invention.
  • Fig. 2. - represents the logic of the file system filters that receive events about access to protected files and have the ability to both allow and deny access to protected files.
  • Fig. Z. - illustrates an example of a computer system with which the technical solutions of the present invention can be used.
  • Fig. 4. describes the "Statistics" mini-filter, which collects statistics on running processes.
  • Fig. 5. describes the interrupt mini-filter "Interceptor", which makes decisions on access to run for the executable code.
  • a system for blocking the possibility of launching potentially unwanted and / or unknown executable code by a computer system can be considered, which is a useful injectable code for integration into the system processing environment and includes an operating system kernel-level protection driver, an agent of a client computer system, message broker, control panel, database (DB) and interface, while:
  • client agent client computer system agent
  • client computer system agent is an intermediary between the protection driver and the message broker, stores the local database of permissions for the protection driver
  • the protection driver is designed with the possibility of guaranteed prevention of the launch of potentially unwanted and / or unknown software, includes: the "Interceptor" mini-filter and the "Statistics”mini-filter;
  • the Interceptor mini-filter intercepts a request to the file system, leaves the request pending, and asks the client agent for permission to execute the request. If the client agent has given permission to execute, it passes the request; if the permission is negative, then the Interceptor mini-filter generates an error code; o mini-filter "Statistics” - collects information about requests to the file system.
  • the message broker is an intermediary between the client agent and the database, which contains all the available permissions for the client agents.
  • a method for blocking the launch of potentially unwanted and / or unknown executable code by a computer system can be considered, including the above system and containing the following steps:
  • Mini-filter Interceptor
  • Interceptor intercepts the request and requests permission from the client agent; if the permission or prohibition is already in the agent's database, the client agent issues the appropriate permission to the mini-filter, otherwise the client agent requests permission from the message broker;
  • a request is made to allocate a section of memory for an executable file, after which the request passes the "Interceptor" mini-filter, in which this event is processed at the level of the protection driver, then the request goes to the "Client Agent" of the OS, where writing to the local database of the client agent and sending a request to the message broker.
  • the computer system administrator in the control panel decides to enable or disable the event, and based on this decision, either the code is loaded into memory, or an error message is returned to the I / O system.
  • the filtering is done through the filter manager that comes with the Windows operating system. It is activated only when loading mini-filters (mini-filter A - "Interceptor” and mini-filter B - “Statistics”).
  • the filter manager connects directly to the filesystem stack.
  • Minifilters register to handle I / O events when using the filter manager functionality, thus gaining indirect access to the file system.
  • the mini-filters receive a set of data on the I / O operations that were specified during configuration. If necessary, minifilters can make changes to this data, thus affecting the operation of the file system.
  • FIG. 3 an example of a computer system is described.
  • a workstation personal computer or server on which the invention can be used.
  • the diagram describes a computer system that includes a bus, at least one processor, at least one communication port, a removable storage medium, a read-only memory, and a storage device.
  • the mini-filter intercepts requests to create a process, then stores information about the process and passes it to the file system.
  • the interceptor mini-filter (Mini-filter A - "Interceptor") operation algorithm is described.
  • the mini-filter intercepts the loading of the module and, based on the decision made, performs one of the actions: a) sending the request to the file system; b) return of an error code; c) requesting a solution from the client agent.

Abstract

Настоящее изобретение относится к компьютерной технике и компьютерным программам. Более конкретно настоящее изобретение относится к системе и способу блокировки потенциально нежелательного и/или неизвестного исполняемого кода компьютерной системой. Задача настоящего изобретения заключается в повышении эффективности, надежности и скорости блокировки любого потенциально нежелательного и/или неизвестного исполняемого кода. Для осуществления вышеуказанной задачи предложен способ блокировки использования потенциально нежелательного и/или неизвестного программного обеспечения компьютерной системой с помощью мини-фильтров для дальнейшей его классификации и принятия решения о запуске в компьютерной системе.

Description

СПОСОБ И СИСТЕМА БЛОКИРОВКИ ПОТЕНЦИАЛЬНО НЕЖЕЛАТЕЛЬНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
Описание
Область техники, к которой относится изобретение
Настоящее изобретение относится к компьютерной технике и компьютерным программам. Более конкретно настоящее изобретение относится к системе и способу блокировки потенциально нежелательного и/или неизвестного программного обеспечения (исполняемого кода) компьютерной системой. В основе изобретения предложен полезный внедряемый код, позволяющий интегрироваться в среду системной обработки операционной системы Windows, с целью предотвращения выполнения потенциально нежелательного и/или неизвестного компьютерного кода. Иными словами, предложен механизм блокировки потенциально нежелательного программного обеспечения (исполняемого кода) до его исполнения. Подобное внедрение позволяет полностью контролировать ресурсы компьютерной системы и предотвратить выполнение любого потенциально нежелательного и/или неизвестного программного кода.
Уровень техники
Безопасность информации уже стала важнейшим фактором для любой компании, так как любая сфера деятельности (коммерческая или государственная) требует использования компьютерных систем. Операционная система Windows, как наиболее распространенная система для бизнеса и государственных структур, не удовлетворяет всем критериям безопасности уровня С-2 и находится на этапе дискретного контроля доступа. Такой уровень безопасности не в состоянии удовлетворить потребности современных компаний.
Мандатное управление доступом является необходимо-минимальным методом для реализации защищенной информационно-технологической экосистемы. При таком подходе поведение пользователей и программ будет ограничено рамками, входящими в политику безопасности предприятия, что позволит обеспечить максимально высокий уровень безопасности.
Политика безопасности - это набор условий и проверок, позволяющих установить, является ли программа безопасной для запуска на предприятии.
Исполняемое не авторизованное программное обеспечение (ПО) и внедряемый код способны нанести существенный и необратимый вред компьютерной системе как на уровне пользовательского представления (программном), так и на аппаратном. Влиять на систему может не только вредоносный код, такой как трояны и вирусы, но и рабочие приложения: музыкальный плееры, офисные пакеты, игры и подобные.
Нынешние подходы к решению этих проблем оказались малоэффективными. Одним из распространенных методов обнаружения частей потенциально нежелательного кода или вредоносных программ является использование системного сканирования, осуществляемого по инициативе пользователя, либо автоматически по расписанию на периодической основе. Во время сканирования детектор вредоносного ПО может искать части вируса или другого вредоносного ПО, используя базу данных известных сигнатур вредоносного ПО. Однако такие базы данных должны регулярно обновляться и, как правило, оказываются неэффективными, потому что модификаций одного и того же вируса может быть множество.
Еще одним распространенным подходом по борьбе с вредоносным ПО является фоновый мониторинг и анализ этих данных в режиме реального времени. Такой подход обычно отслеживает любые системные сообщения и операции ввода/вывода в компьютерной системе, чтобы определить «поведение» программного обеспечения и сравнивает его с «обычным» состоянием, либо пытается определить любые факторы связи с известным вредоносным ПО. Опять же в большинстве своем этот подход основан на сигнатурах, либо требует настолько тщательной настройки и мониторинга, что не является экономически целесообразным, поэтому так же малоэффективен в отношении борьбы с вредоносным ПО.
В связи с вышеизложенным, в настоящее время, назрела необходимость создания усовершенствованных эффективных системы и способа блокировки использования потенциально нежелательного и/или неизвестного программного обеспечения компьютерной системой.
Раскрытие изобретения
Настоящее изобретение предназначено для устранения недостатков существующих систем и способов блокировки использования потенциально нежелательного и/или неизвестного программного обеспечения.
Задача настоящего изобретения заключается в повышении эффективности, надежности и скорости блокировки любого потенциально нежелательного и/или неизвестного программного обеспечения. Настоящее изобретение позволяет блокировать любой потенциально нежелательный и/или неизвестный код для дальнейшей его классификации и принятия решения о запуске в компьютерной системе, что реализовано посредством контроля доступа к файловой системе. Для осуществления вышеуказанной задачи предложен способ блокировки использования потенциально нежелательного и/или неизвестного программного обеспечения компьютерной системой, включающий следующие этапы:
(a) регистрация мини-фильтров «Перехватчик» и «Статистик» драйвера защиты в фильтр-менеджере операционной системы Windows;
(b) обращение менеджера операций ввода-вывода операционной системы Windows к файловой системе и передачу обращения в фильтр- менеджер операционной системы Windows;
(c) осуществление операций мини-фильтров, зарегистрированных в фильтр-менеджере :
(d) регистрация мини-фильтром «Статистик» операции ввода-вывода;
(e) осуществление мини-фильтром «Перехватчик» перехвата запроса;
(f) проверка наличия правил разрешения или запрета в базе данных, осуществляемая в трех этапах:
• поиск правил в базе данных драйвера защиты, в случае отсутствия - выполняется запрос на поиск правил в базе данных клиентского агента;
• клиентский агент осуществляет поиск правил в собственной базе данных и запрашивает актуальный список правил у брокера сообщений;
• Брокер сообщений хранит все возможные правила, в случаях, когда правила не существует, брокер сообщений создает новое правило, либо автоматически, в зависимости от выбранной политики, либо посредством ожидания действия по классификации в панели управления.
(g) после получения правила мини-фильтр “Перехватчик” передает запрос файловой системе для исполнения кода или возвращает код ошибки для блокировки исполнения кода в зависимости от полученного правила.
Согласно настоящему изобретению посредством клиентского агента выполняют локальные операции и синхронизацию данных с брокером сообщений.
Согласно настоящему изобретению, брокер сообщений сохраняет информацию в базе данных и оповещает клиентских агентов о новых изменениях. Осуществляет логические операции по созданию новых правил, либо в автоматическом режиме, либо посредством интерфейса.
Согласно настоящему изобретению, драйвер защиты осуществляет гарантированное предотвращение запуска потенциально нежелательного и/или неизвестного программного обеспечения.
Согласно настоящему изобретению мини-фильтр «Перехватчик» осуществляет перехват запроса к файловой системе, оставляет запроса в A ожидании и запрашивает у клиентского агента разрешения на выполнение запроса.
Согласно настоящему изобретению мини-фильтр «Статистик» осуществляет сбор информации о запросах в файловую систему.
Также, для осуществления задач настоящего изобретения, предложена система блокировки потенциально нежелательного и/или неизвестного программного обеспечения компьютерной системой для осуществления вышеуказанного способа, представляющая собой полезный внедряемый код для интеграции в среду системной обработки операционной системы Windows на уровне ядра и включающая драйвер защиты, клиентский агент, брокер сообщений, панель управления, базу данных и интерфейс, при этом драйвер защиты включает в себя мини-фильтр «Перехватчик» и мини-фильтр «Статистик», клиентский агент является посредником между драйвером защиты и брокером сообщений и хранит локальную базу данных разрешений для драйвера защиты, а брокер сообщений является посредником между клиентским агентом и базой данных, которая содержит в себе все доступные разрешения для клиентских агентов.
Файловая система в контексте данного изобретения - набор кластеров (блоков данных), на которые разбиты существующие в рамках операционной системы носители информации. Драйвер файловой системы операционной системы Windows осуществляет организацию кластеров в файлы и каталоги, отслеживает какие кластеры используются и при операциях ввода/вывода осуществляет операции по сборке кластеров в файл.
Драйвер защиты представляет собой программу, написанную на языке «C++», которая работает на уровне ядра операционной системы. Функционал драйвера защиты позволяет гарантировать отсутствие любой возможности запуска потенциально нежелательного и/или неизвестного исполняемого кода, включает в себя: мини-фильтр “Перехватчик” и мини-фильтр “Статистик”.
Агент клиентской компьютерной системы представляет собой приложение, написанное на языке «C++». Автоматически запускается при запуске операционной системы и выполняется вне зависимости от статуса пользователя. Является посредником между драйвером защиты и брокером сообщений, хранит локальную базу данных разрешений для драйвера защиты.
Брокер сообщений представляет собой программу, написанную на языке «C++» с использованием Фреймворка «Qt». Является посредником между клиентскими агентами и базой данных (БД), которая содержит в себе все доступные разрешения для клиентских агентов.
Панель управления является веб-панелью управления и представляет собой одностраничное веб-приложение.
Интерфейс является посредником между администратором и серверной частью ПО. Общение между компонентами происходит в формате j son, websocket с дополнительным шифрованием SSL, чтобы гарантировать безопасный обмен данными между участниками процесса.
Краткое описание чертежей
Настоящее изобретение иллюстрируется следующими чертежами:
Фиг.1 - описывает основные элементы и логику работы системы по заявленному изобретению.
Фиг.2. - представляет логику работы фильтров файловой системы, которые получают события о доступе к защищенным файлам и имеют возможность как разрешать, так и запрещать доступ к защищенным файлам.
Фиг.З. - иллюстрирует пример компьютерной системы, с помощью которой могут быть использованы технические решения настоящего изобретения.
Фиг.4. - описывает мини-фильтр “Статистик”, который собирает статистику по запущенным процессам.
Фиг.5. - описывает мини-фильтр прерывания “Перехватчик”, который принимает решения по доступу на запуск для запускаемого кода.
Осуществление изобретения
В качестве примера осуществления заявленной системы блокировки может быть рассмотрена система блокировки возможности запуска потенциально нежелательного и/или неизвестного исполняемого кода компьютерной системой, представляющая собой полезный внедряемый код для интеграции в среду системной обработки и включающая драйвер защиты уровня ядра операционной системы, агент клиентской компьютерной системы, брокер сообщений, панель управления, базу данных (БД) и интерфейс, при этом:
• агент клиентский (агент клиентской компьютерной системы) является посредником между драйвером защиты и брокером сообщений, хранит локальную базу данных разрешений для драйвера защиты;
• драйвер защиты выполнен с возможностью гарантированного предотвращения запуска потенциально нежелательного и/или неизвестного программного обеспечения, включает в себя: мини- фильтр «Перехватчик» и мини-фильтр «Статистик»; о мини-фильтр «Перехватчик» перехватывает запрос к файловой системе, оставляет запрос в ожидании и запрашивает у клиентского агента разрешение на выполнение запроса. В случае если клиентский агент дал разрешение на выполнение, пропускает запрос, если разрешение отрицательное - то мини- фильтр «Перехватчик» генерирует код ошибки; о мини-фильтр «Статистик» - собирает информацию о запросах в файловую систему.
• брокер сообщений является посредником между клиентским агентом и базой данных, которая содержит в себе все доступные разрешения для клиентских агентов.
В качестве примера осуществления заявленного способа блокировки может быть рассмотрен способ блокировки запуска потенциально нежелательного и/или неизвестного исполняемого кода компьютерной системой, включающий вышеупомянутую систему и содержащий следующие этапы:
• мини-фильтры «Перехватчик» и «Статистик» драйвера защиты регистрируются в фильтр-менеджере операционной системы Windows;
• менеджер операций ввода-вывода операционной системы совершает обращение к файловой системе, обращение попадает в фильтр-менеджер операционной системы Windows;
• операция проходит через зарегистрированные в фильтр-менеджере мини-фильтры;
• мини-фильтр «Статистик» регистрирует операции ввода/вывода
• мини-фильтр «Перехватчик» осуществляет перехват запроса и запрашивает разрешение у клиентского агента; в случае если разрешение или запрет уже есть в базе данных агента, клиентский агент выдает мини-фильтру соответствующее разрешение, в иных случаях клиентский агент запрашивает разрешение у брокера сообщений;
• передача запроса файловой системе или возврат кода ошибки. Заявленное изобретение функционирует следующим образом.
Со ссылкой на Фиг.1 вначале происходит запрос на выделение секции памяти для исполняемого файла, после чего запрос проходит мини-фильтр “Перехватчик”, в котором это событие обрабатывается на уровне драйвера защиты, дальше запрос попадает на «Клиентский Агент» ОС, где происходит запись в локальную базу данных клиентского агента и отправка запроса брокеру сообщений. Администратор компьютерной системы в панели управления принимает решение разрешить или запретить событие и на основе этого решения либо выполняется загрузка кода в память, либо системе ввода\вывода возвращается сообщение об ошибке.
Со ссылкой на Фиг.2 фильтрация осуществляется через фильтр- менеджер, который поставляется с операционной системой Windows. Активируется только при загрузке мини-фильтров (мини-фильтр А — «Перехватчик» и мини-фильтр Б — «Статистик»). Фильтр-менеджер подключается напрямую к стеку файловой системы. Мини-фильтры регистрируются на обработку событий по операциям ввода/вывода при помощи функционала фильтр-менеджера, получая таким образом косвенный доступ к файловой системе. После регистрации в фильтр-менеджере и запуска, мини-фильтры получают набор данных по операциям ввода/вывода, которые были указаны при конфигурировании. При необходимости мини- фильтры могут вносить изменения в эти данные, таким образом влияя на работу файловой системы.
Со ссылкой на Фиг.З описывается пример компьютерной системы. Например: рабочая станция, персональный компьютер или сервер, на котором можно использовать изобретение. На схеме описывается компьютерная система, которая включает в себя шину, хотя бы один процессор, не меньше одного коммуникационного порта, съемный носитель информации, память только для чтения и устройство хранения информации.
Со ссылкой на Фиг.4 описывает алгоритм работы мини-фильтра статистики (мини-фильтр Б «Статистик»). Мини-фильтр перехватывает запросы на создание процесса, затем сохраняет информацию о процессе и передаёт файловой системе.
Со ссылкой на Фиг.5 описывает алгоритм работы мини-фильтра перехватчика (Мини-фильтр А — «Перехватчик»). Мини-фильтр перехватывает загрузку модуля и на основе принятого решения осуществляет одно из действий: а) передача запроса в файловую систему; б) возврат кода ошибки; в) запрос решения у клиентского агента.

Claims

Формула изобретения
1. Способ блокировки использования потенциально нежелательного и/или неизвестного программного обеспечения компьютерной системой, включающий следующие этапы:
(a) регистрация мини-фильтров «Перехватчик» и «Статистик» драйвера защиты в фильтр-менеджере операционной системы Windows;
(b) обращение менеджера операций ввода-вывода операционной системы Windows к файловой системе и передачу обращения в фильтр- менеджер операционной системы Windows;
(c) осуществление операции через зарегистрированные в фильтр- менеджере мини-фильтры;
(d) регистрация мини-фильтром «Статистик» операции ввода-вывода;
(e) осуществление мини-фильтром «Перехватчик» перехвата запроса и запрашивание разрешения у клиентского агента;
(f) проверка наличия разрешения или запрета в базе данных с последующей выдачей клиентским агентом мини-фильтру соответствующего разрешения в случае подтверждения наличия разрешения или запрета или с последующим запросом разрешения клиентским агентом у брокера сообщений в противном случае;
(g) передача запроса файловой системе или возврат кода ошибки.
2. Способ по пункту 1, в котором посредством клиентского агента выполняют локальные операции и синхронизацию данных с брокером сообщений.
3. Способ по пункту 1, в котором брокер сообщений сохраняет информацию в базе данных и оповещает клиентских агентов о новых изменениях.
4. Способ по пункту 1, в котором драйвер защиты осуществляет гарантированное предотвращение запуска потенциально нежелательного и/или неизвестного программного обеспечения.
5. Способ по пункту 1, в котором мини-фильтр «Перехватчик» осуществляет перехват запроса к файловой системе, оставляет запроса в ожидании и запрашивает у клиентского агента разрешения на выполнение запроса.
6. Способ по пункту 1, в котором мини-фильтр «Статистик» осуществляет сбор информации о запросах в файловую систему.
7. Система блокировки потенциально нежелательного и/или неизвестного программного обеспечения компьютерной системой для осуществления способа по любому из пунктов 1-6, представляющая собой полезный внедряемый код для интеграции в среду системной обработки операционной системы Windows на уровне ядра и включающая драйвер защиты, клиентский агент, брокер сообщений, панель управления, базу данных и интерфейс, при этом драйвер защиты включает в себя мини-фильтр «Перехватчик» и мини-фильтр «Статистик», клиентский агент является посредником между драйвером защиты и брокером сообщений и хранит локальную базу данных разрешений для драйвера защиты, а брокер сообщений является посредником между клиентским агентом и базой данных, которая содержит в себе все доступные разрешения для клиентских агентов.
PCT/RU2020/000148 2020-03-19 2020-03-19 Способ и система блокировки потенциально нежелательного программного обеспечения WO2021187996A1 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
PCT/RU2020/000148 WO2021187996A1 (ru) 2020-03-19 2020-03-19 Способ и система блокировки потенциально нежелательного программного обеспечения

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/RU2020/000148 WO2021187996A1 (ru) 2020-03-19 2020-03-19 Способ и система блокировки потенциально нежелательного программного обеспечения

Publications (1)

Publication Number Publication Date
WO2021187996A1 true WO2021187996A1 (ru) 2021-09-23

Family

ID=77771774

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/RU2020/000148 WO2021187996A1 (ru) 2020-03-19 2020-03-19 Способ и система блокировки потенциально нежелательного программного обеспечения

Country Status (1)

Country Link
WO (1) WO2021187996A1 (ru)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120059876A1 (en) * 2009-05-02 2012-03-08 Chinta Madhav Methods and systems for launching applications into existing isolation environments
US20120079594A1 (en) * 2010-09-27 2012-03-29 Hyun Cheol Jeong Malware auto-analysis system and method using kernel callback mechanism
US20120255018A1 (en) * 2011-03-31 2012-10-04 Mcafee, Inc. System and method for securing memory and storage of an electronic device with a below-operating system security agent
US20180351968A1 (en) * 2017-05-30 2018-12-06 Cyemptive Technologies, Inc. Real-time detection of and protection from malware and steganography in a kernel mode

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120059876A1 (en) * 2009-05-02 2012-03-08 Chinta Madhav Methods and systems for launching applications into existing isolation environments
US20120079594A1 (en) * 2010-09-27 2012-03-29 Hyun Cheol Jeong Malware auto-analysis system and method using kernel callback mechanism
US20120255018A1 (en) * 2011-03-31 2012-10-04 Mcafee, Inc. System and method for securing memory and storage of an electronic device with a below-operating system security agent
US20180351968A1 (en) * 2017-05-30 2018-12-06 Cyemptive Technologies, Inc. Real-time detection of and protection from malware and steganography in a kernel mode

Similar Documents

Publication Publication Date Title
EP3430556B1 (en) System and method for process hollowing detection
US7784098B1 (en) Snapshot and restore technique for computer system recovery
KR101201118B1 (ko) 바이러스 방지 소프트웨어 어플리케이션들의 지식 베이스를모으는 시스템 및 방법
US7814021B2 (en) Managed distribution of digital assets
US8935791B2 (en) Asynchronous filtering and processing of events for malware detection
US8346805B2 (en) Filter driver for identifying disk files by analysis of content
US9141812B2 (en) Stateful reference monitor
US8959642B2 (en) Real time lockdown
US20110239306A1 (en) Data leak protection application
US7665139B1 (en) Method and apparatus to detect and prevent malicious changes to tokens
US20110047618A1 (en) Method, System, and Computer Program Product for Malware Detection, Analysis, and Response
US8291493B2 (en) Windows registry modification verification
US20070050369A1 (en) Accessing file under confinement
EP2920737B1 (en) Dynamic selection and loading of anti-malware signatures
US20100287597A1 (en) Security policy trigger for policy enforcement
KR100919643B1 (ko) 이원화된 독립적 환경을 통한 내외부망 분리 장치 및 그제어 방법
US8108935B1 (en) Methods and systems for protecting active copies of data
EP2306356B1 (en) Asynchronous processing of events for malware detection
KR20210068444A (ko) 컴퓨터 시스템에서 비승인 드라이버의 설치를 제어하는 기법
KR100704721B1 (ko) 실시간 감시를 통한 컴퓨터 보호 방법 및 이에 따라 보호되는 컴퓨터 보호 시스템과 실행가능한 파일이 보호되는 시스템
Çeliktaş The ransomware detection and prevention tool design by using signature and anomaly based detection methods
RU2460133C1 (ru) Система и способ защиты компьютерных приложений
WO2021187996A1 (ru) Способ и система блокировки потенциально нежелательного программного обеспечения
Korkin MemoryRanger Prevents Hijacking FILE_OBJECT Structures in Windows Kernel
EP1944676B1 (en) Stateful reference monitor

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 20925060

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 20925060

Country of ref document: EP

Kind code of ref document: A1