СИСТЕМА И СПОСОБ СОХРАНЕНИЯ СОСТОЯНИЯ ЭМУЛЯТОРА И ЕГО ПОСЛЕДУЮЩЕГО ВОССТАНОВЛЕНИЯ

Изобретение относится к антивирусным решениям, а более конкретно к способам сохранения состояния эмулятора и его последующего восстановления. Технический результат заключается в сокращении времени на эмуляцию файла путем загрузки необходимых образов состояния эмулятора и обходе антиэмуляционных приемов при эмуляции файла. Получают файл на эмуляцию. Проверяют, выполняется ли эмуляция в первый раз. Определяют образ состояния эмулятора, включающий, по меньшей мере, образ эмулируемой системы, который загружается в эмулятор для последующей эмуляции файла. Производят эмуляцию файла. Создают образы состояния эмулятора, при этом каждый образ состояния эмулятора включает, по меньшей мере, образ эмулируемой системы. Проверяют некорректное завершение эмуляции файла. Выбирают необходимый образ состояния эмулятора для продолжения эмуляции в случае некорректного завершения эмуляции файла. Загружают выбранный образ состояния эмулятора для продолжения эмуляции файла. 2 н. и 12 з.п. ф-лы, 6 ил.

Система и способ обнаружения вредоносного кода в файле

Изобретение относится к системам и способам обнаружения вредоносного кода в файле. Технический результат заключается в улучшении обнаружения вредоносного кода в файле в сравнении с существующими методами обнаружения вредоносного кода. Способ обнаружения вредоносного кода в файле включает: исполнение процесса, запущенного из файла, с использованием песочницы; перехват вызовов API-функций; последовательное внесение записей о перехваченных вызовах API-функций в первый журнал, сохранение дампа памяти процесса в базу дампов; повторение предыдущих операций до выполнения условия выхода; выявление в первом журнале по меньшей мере одной сигнатуры первого типа из числа сигнатур первого типа; после выявления сигнатуры первого типа передачу на исполнение в эмулятор по меньшей мере одного дампа памяти, сохраненного в базе дампов; во время исполнения процесса в эмуляторе последовательное внесение во второй журнал записей, содержащих информацию о вызове API-функции; определение вредоносного кода в файле ...

СПОСОБ ПЕРЕДАЧИ УПРАВЛЕНИЯ МЕЖДУ ОБЛАСТЯМИ ПАМЯТИ

Изобретение относится к вычислительной технике. Технический результат заключается в отслеживании выполнения процессором кода, загруженного в памяти. Способ передачи выполнения инструкций из одной области памяти в другую, в котором определяют среди участков оригинальной области памяти по меньшей мере один интересующий участок памяти; создают по меньшей мере одну область памяти дублированием участков оригинальной области памяти, где дублируется по меньшей мере один интересующий участок оригинальной области памяти; помечают участки памяти в оригинальной области памяти, при этом метки для интересующего участка в оригинальной области памяти отличны от меток остальных участков оригинальной области; помечают участки в продублированной области памяти, при этом метки для интересующего участка в продублированной области памяти отличны от меток остальных участков продублированной области памяти; выбирают область памяти для выполнения записанных в ней инструкций процессором, причем выполняют инструкции ...

Система и способ формирования журнала при исполнении файла с уязвимостями в виртуальной машине

Изобретение относится к способу формирования журнала при исполнении файла с уязвимостями. Технический результат заключается в повышении точности выявления наличия в виртуальной машине вредоносного приложения, эксплуатирующего уязвимости безопасного файла. Способ содержит этапы, на которых: выявляют средством перехвата во время исполнения потока процесса, созданного при открытии упомянутого файла, событие, при возникновении которого срабатывает триггер, описывающий сопутствующие событию условия, связанные с попыткой эксплуатации вредоносным приложением уязвимости упомянутого файла; анализируют средством перехвата стек процесса, созданного при открытии упомянутого файла, выявляют последовательность вызовов функций, предшествующих событию, на котором сработал триггер; анализируют средством перехвата выявленную последовательность вызовов функций на предмет выполнения сопутствующих условий триггера; в случае выполнения сопутствующих условий триггера, связанных с попыткой эксплуатации вредоносным ...

Система и способ анализа файла на вредоносность в виртуальной машине

Способ выполнения инструкций в системной памяти

Изобретение относится к вычислительной технике. Технический результат заключается в организации выполнения инструкций, загруженных в системной памяти, путем попеременной передачи выполнения инструкций из одной области памяти в другую, отличную от той, выполнение инструкций в которой создало уведомление. Способ передачи выполнения инструкций из одной области памяти в другую, в котором определяют в оригинальной области памяти, состоящей из участков памяти, по меньшей мере, один интересующий участок памяти; создают область памяти дублированием интересующего участка памяти оригинальной области памяти; помечают все участки памяти в оригинальной области памяти; запускают выполнение инструкций, записанных в оригинальной области памяти, в любом из имеющихся участков памяти в оригинальной области памяти, кроме интересующего участка памяти; осуществляют выполнение инструкций в участках памяти оригинальной области памяти процессором до создания уведомления, при этом уведомление создается при передаче ...

Система и способ анализа файла на вредоносность в виртуальной машине

Изобретение относится к решениям для выявления вредоносных файлов. Технический результат – повышение безопасности компьютерной системы. Система анализа на вредоносность файла, открываемого в виртуальной машине в виде среды для безопасного исполнения файлов, в которой перехватывают событие, которое возникает в процессе исполнения потока процесса, созданного при открытии файла в виртуальной машине в виде среды для безопасного исполнения, и приостанавливают исполнение потока; считывают контекст процессора, на котором исполняется поток; сохраняют перехваченное событие и контекст в журнал; сравнивают данные, сохраненные в журнале, с шаблонами, при этом на основании сравнения принимают по меньшей мере одно из решений: решение о признании файла вредоносным, решение об остановке исполнения файла, решение об изменении контекста процессора, решение об ожидании следующего события; исполняют действия, соответствующие принятым решениям. 2 н. и 16 з.п. ф-лы, 4 ил.

Способ обнаружения вредоносных исполняемых файлов, содержащих интерпретатор, посредством комбинирования эмуляторов

Изобретение относится к области компьютерной безопасности. Технический результат заключается в повышении безопасности компьютерных систем. Предложен способ признания вредоносным исполняемого файла, содержащего интерпретатор языка сценариев, по которому: передают исполняемый файл, содержащий интерпретатор языка сценариев и сценарий, связанный с упомянутым интерпретатором, анализатору; преобразуют с помощью анализатора команды из упомянутого сценария в псевдокод; производят эмуляцию выполнения псевдокода с помощью эмулятора сценариев и записывают результат в журнал работы эмуляторов; обнаруживают в процессе эмуляции по меньшей мере один переход из псевдокода в машинный код и переключают с помощью анализатора процесс эмуляции на эмулятор машинного кода; для каждого обнаруженного перехода производят эмуляцию выполнения машинного кода посредством эмулятора машинного кода и записывают результат в журнал работы эмуляторов, а при окончании процесса эмуляции выполнения машинного кода переключают ...

Эмулятор и способ эмуляции

Группа изобретений относится к области информационной безопасности. Техническим результатом является повышение достоверности эмуляции инструкций файла, повышение уровня обнаружения вредоносного кода, снижение времени реакции на новые угрозы. Устройство содержит средство эмуляции, предназначенное для эмуляции исполнения инструкций файла на виртуальном процессоре эмулятора; приостановления эмуляции исполнения инструкций на вызове API-функции; проверки наличия API-функции в наборе обновляемых модулей; эмуляции исполнения упомянутой API-функции по инструкциям согласно реализации из соответствующего обновляемого модуля, если API-функция найдена; передачи управления средству исполнения, если API-функция не найдена в наборе обновляемых модулей; продолжения эмуляции исполнения инструкций файла с инструкции по адресу возврата API-функции, используя результат исполнения API-функции; содержащийся в памяти набор обновляемых модулей из по меньшей мере одного обновляемого модуля, где каждый обновляемый ...

СПОСОБ ВЫЯВЛЕНИЯ НЕИЗВЕСТНЫХ ПРОГРАММ С ИСПОЛЬЗОВАНИЕМ ЭМУЛЯЦИИ ПРОЦЕССА ЗАГРУЗКИ

Изобретение относится к области противодействия вредоносным программам. Техническим результатом является выявление неизвестных программ, изменяющих процесс загрузки, и достигается за счет применения эмуляции процесса загрузки компьютерной системы и анализа обрабатываемых в эмулируемом процессе загрузки данных. Применение изобретения на практике позволяет собирать данные с носителя информации, относящиеся к загрузочным программам, анализировать собранные данные, обнаруживать и определять неизвестные виды вредоносных и безопасных программ, производить лечение активных вредоносных программ, предотвращать заражение компьютерных систем. 18 з.п. ф-лы, 10 ил.

СИСТЕМА И СПОСОБ СОХРАНЕНИЯ СОСТОЯНИЯ ЭМУЛЯТОРА И ЕГО ПОСЛЕДУЮЩЕГО ВОССТАНОВЛЕНИЯ

... 1. Способ для эмуляции файлов, содержащий этапы на которых:а) получают файл на эмуляцию;б) проверяют, выполняется ли эмуляция в первый раз;в) определяют образ состояния эмулятора, который загружается в эмулятор для последующей эмуляции файла;г) производят эмуляцию файла;д) создают образы состояния эмулятора;е) проверяют некорректное завершение эмуляции файла;ж) выбирают необходимый образ для продолжения эмуляции в случае некорректного завершения эмуляции файла;з) загружают выбранный образ для продолжения эмуляции файла.2. Способ по п.1, в котором получают файл на эмуляцию по крайней мере в одном из следующих случаев:- файл является неизвестным и требуется провести его эмуляцию для определения его возможной вредоносности;- эмуляция необходима для определения всех возможных кодов ошибок;- эмуляция необходима для исследования функционала приложения, когда необходимо определить, какие используются системные вызовы, список необходимых сторонних библиотек.3. Способ по п.1, в котором необходимым ...

Способ обнаружения вредоносных исполняемых файлов, содержащих интерпретатор, посредством комбинирования эмуляторов

Способ фильтрации событий для передачи на удаленное устройство

Настоящее техническое решение относится к области вычислительной техники. Технический результат заключается в снижении нагрузки на вычислительные ресурсы удаленного устройства, осуществляющего обработку событий, получаемых с по меньшей мере одного компьютера. Технический результат достигается за счёт способа фильтрации событий для передачи на удаленное устройство, который содержит этапы, на которых: для каждого собираемого события определяют его тип, при этом для каждого типа определена доля событий, подлежащих передаче на удаленное устройство, среди событий данного типа; определяют интервал времени, за который было собрано заданное количество событий; среди событий каждого типа выбирают для передачи на удаленное устройство долю событий; устанавливают долю событий для по меньшей мере одного типа событий в зависимости от результата сравнения определенного интервала времени с заданным периодом времени; выполняют предыдущие этапы в отношении последующих собираемых событий c учетом обновленной ...

Система и способ выполнения антивирусной проверки файла на виртуальной машине

Изобретение относится к выполнению антивирусной проверки файла на виртуальной машине. Технический результат заключается в обнаружении вредоносного файла, содержащего программный код, который затрудняет обнаружение данного вредоносного файла при исполнении файла на виртуальной машине. Реализуемый компьютером способ выполнения антивирусной проверки файла на виртуальной машине, в котором: исполняют файл на виртуальной машине с последовательным внесением записей о вызовах API-функций и внесением записей о внутренних событиях в первый журнал, выявляют в первом журнале сигнатуру первого типа из базы данных сигнатур первого типа, производят повторное исполнение файла на виртуальной машине с внесением записей о внутренних событиях во второй журнал, после чего выявляют во втором журнале сигнатуру второго типа из базы данных сигнатур второго типа и определяют критерий внесения записей о вызовах API-функций на основании второго и первого журналов, производят третье исполнение файла на виртуальной ...

Способ передачи управления между адресными пространствами

Изобретение относится к способу передачи выполнения инструкций из одного адресного пространства другому. Технический результат заключается в управлении выполнением инструкций кода. В способе определяют в оригинальном адресном пространстве процесса интересующий участок памяти, определяют страницы памяти оригинального адресного пространства процесса, содержащие инструкции кода и данные интересующего участка памяти, создают адресное пространство дублированием страниц оригинального адресного пространства процесса, где дублируются страницы, содержащие инструкции кода и данные интересующего участка памяти, помечают страницы памяти в оригинальном адресном пространстве, помечают в оригинальном адресном пространстве инструкции кода интересующего участка в страницах, содержащих помимо инструкций кода и данных интересующего участка памяти инструкции кода и данные участков, отличных от интересующего участка, помечают страницы памяти в продублированном адресном памяти, осуществляют выполнение инструкций ...

Система и способ формирования журнала в виртуальной машине для проведения антивирусной проверки файла

Изобретение относится к решениям для выявления вредоносных файлов. Техническим результатом является повышение безопасности компьютерной системы, которое достигается путем принятия решения о признании вредоносным файла, открываемого в виртуальной машине. Раскрыт способ принятия решения о признании вредоносным файла, открываемого в виртуальной машине в виде среды для безопасного исполнения файлов, при этом способ содержит этапы, на которых: а) выявляют во время исполнения потока процесса, созданного при открытии упомянутого файла, возникновение события, которое связано с изменением по меньшей мере одной страницы виртуальной памяти; б) выявляют во время исполнения потока процесса, созданного при открытии упомянутого файла, передачу управления по меньшей мере в одну измененную страницу виртуальной памяти; в) формируют журнал, в который сохраняют: события, возникающие во время исполнения потока процесса, созданного при открытии упомянутого файла, в измененной странице памяти, и считываемый при ...