[go: up one dir, main page]

RU2018104335A - Системы и способы обеспечения компьютерной безопасности, использующие исключения асинхронной интроспекции - Google Patents

Системы и способы обеспечения компьютерной безопасности, использующие исключения асинхронной интроспекции Download PDF

Info

Publication number
RU2018104335A
RU2018104335A RU2018104335A RU2018104335A RU2018104335A RU 2018104335 A RU2018104335 A RU 2018104335A RU 2018104335 A RU2018104335 A RU 2018104335A RU 2018104335 A RU2018104335 A RU 2018104335A RU 2018104335 A RU2018104335 A RU 2018104335A
Authority
RU
Russia
Prior art keywords
condition
satisfied
target
response
determining whether
Prior art date
Application number
RU2018104335A
Other languages
English (en)
Other versions
RU2018104335A3 (ru
RU2703156C2 (ru
Inventor
Сандор ЛУКАКС
Кристьян-Богдан СИРБ
Андрей-Влад ЛУТАС
Original Assignee
БИТДЕФЕНДЕР АйПиАр МЕНЕДЖМЕНТ ЛТД
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by БИТДЕФЕНДЕР АйПиАр МЕНЕДЖМЕНТ ЛТД filed Critical БИТДЕФЕНДЕР АйПиАр МЕНЕДЖМЕНТ ЛТД
Publication of RU2018104335A publication Critical patent/RU2018104335A/ru
Publication of RU2018104335A3 publication Critical patent/RU2018104335A3/ru
Application granted granted Critical
Publication of RU2703156C2 publication Critical patent/RU2703156C2/ru

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/54Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by adding security routines or objects to programs
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0602Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
    • G06F3/062Securing storage systems
    • G06F3/0622Securing storage systems in relation to access
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0628Interfaces specially adapted for storage systems making use of a particular technique
    • G06F3/0646Horizontal data movement in storage systems, i.e. moving data in between storage devices or systems
    • G06F3/0652Erasing, e.g. deleting, data cleaning, moving of data to a wastebasket
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0628Interfaces specially adapted for storage systems making use of a particular technique
    • G06F3/0653Monitoring storage devices or systems
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0668Interfaces specially adapted for storage systems adopting a particular infrastructure
    • G06F3/0671In-line storage system
    • G06F3/0673Single storage device

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Human Computer Interaction (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)
  • Debugging And Monitoring (AREA)

Claims (77)

1. Хостовая система, содержащая аппаратный процессор и память, причем аппаратный процессор выполнен с возможностью исполнения целевого объекта, синхронного анализатора исключений и асинхронного анализатора исключений, причем аппаратный процессор дополнительно выполнен с возможностью
в ответ на обнаружение наступления события, вызванного исполнением целевого объекта, приостанавливать исполнение целевого объекта, и
в ответ на приостановку исполнения целевого объекта, переключаться на исполнение синхронного анализатора исключений;
причем синхронный анализатор исключений выполнен с возможностью:
определять, подозревается ли целевой объект во вредоносности согласно указанному событию,
в ответ, когда целевой объект подозревается во вредоносности, выборочно извлекать сигнатуру исключения из правила из множества сигнатур исключения из правила, причем сигнатура исключения из правила извлекается согласно указанному событию, причем сигнатура исключения из правила содержит кодировку первого условия и кодировку второго условия;
в ответ на извлечение сигнатуры исключения из правила, определять, удовлетворено ли первое условие согласно указанному событию и согласно целевому объекту;
в ответ на определение, удовлетворено ли первое условие, когда первое условие удовлетворено, заставлять аппаратный процессор возобновлять исполнение целевого объекта; и
в ответ на определение, удовлетворено ли первое условие, когда первое условие где удовлетворено, определять, что целевой объект является вредоносным; причем асинхронный анализатор исключений выполнен с возможностью:
в ответ на возобновление аппаратным процессором исполнения целевого объекта, определять, удовлетворено ли второе условие согласно указанному событию и согласно целевому объекту;
в ответ на определение, удовлетворено ли второе условие, когда второе условие удовлетворено, определять, что целевой объект не является вредоносным; и
в ответ на определение, удовлетворено ли второе условие, когда второе условие не удовлетворено, определять, что целевой объект является вредоносным.
2. Хостовая система по п. 1, причем
синхронный анализатор исключений дополнительно выполнен с возможностью, в ответ на определение, удовлетворено ли первое условие, когда первое условие удовлетворено, включать запрос на проведение анализа в очередь запросов, причем запрос на проведение анализа формулируется в соответствии со вторым условием, согласно указанному событию, а также согласно целевому объекту; и
асинхронный анализатор исключений дополнительно выполнен с возможностью, при подготовке к определению, удовлетворено ли второе условие, удалять запрос на проведение анализа из очереди запросов.
3. Хостовая система по п. 1, причем аппаратный процессор дополнительно выполнен с возможностью
в ответ на обнаружение попытки завершить целевой объект, приостанавливать указанную попытку; и
в ответ на приостановку попытки, переключаться на исполнение контроллера завершения, соединенного с асинхронным анализатором исключений, причем контроллер завершения выполнен с возможностью
искать в очереди запросов второй запрос на проведение анализа, сформулированного согласно целевому объекту, причем второй запрос на проведение анализа указывает третье условие,
запускать асинхронный анализатор исключений для обработки второго запроса на проведение анализа, и
в ответ на запуск асинхронного анализатора исключений, когда асинхронный анализатор исключений определяет, что третье условие удовлетворено, заставлять аппаратный процессор возобновить попытку завершения целевого объекта.
4. Хостовая система по п. 1, причем целевой объект исполняется внутри гостевой виртуальной машины, открытой посредством хостовой системы, при этом асинхронный анализатор исключений исполняется за пределами гостевой виртуальной машины.
5. Хостовая система по п. 1, причем асинхронный анализатор исключений исполняется в пределах виртуальной машины обеспечения безопасности, открытой посредством гостевой системы, при этом виртуальная машина обеспечения безопасности исполняется одновременно с гостевой виртуальной машиной.
6. Хостовая система по п. 1, причем сигнатура исключения из правила выполнена так, что определение, удовлетворено ли первое условие, имеет существенно более низкие вычислительные затраты по сравнению с определением, удовлетворено ли второе условие.
7. Хостовая система по п. 1, причем событие включает в себя попытку доступа к памяти, при которой нарушается разрешение на доступ к памяти.
8. Хостовая система по п. 1, причем
определение, удовлетворено ли первое условие, предусматривает определение, внедрил ли целевой объект код во второй объект, и
определение, удовлетворено ли второе условие, предусматривает определение, является ли код вредоносным.
9. Долговременный машиночитаемый носитель информации, хранящий инструкции процессора, которые, при исполнении их аппаратным процессором хостовой системы, заставляют хостовую систему формировать синхронный анализатор исключений и асинхронный анализатор исключений, причем аппаратный процессор выполнен с возможностью
в ответ на обнаружение наступления события, вызванного исполнением целевого объекта, приостанавливать исполнение целевого объекта, и
в ответ на приостановку исполнения целевого объекта, переключаться на исполнение синхронного анализатора исключений;
причем синхронный анализатор исключений выполнен с возможностью:
определять, подозревается ли целевой объект во вредоносности согласно указанному событию,
в ответ, когда целевой объект подозревается во вредоносности, выборочно извлекать сигнатуры исключения из правила из множества сигнатур исключения из правила, причем сигнатура исключения из правила извлекается согласно указанному событию, причем сигнатура исключения из правила содержит кодировку первого условия и кодировку второго условия;
в ответ на извлечение сигнатуры исключения из правила определять, удовлетворено ли первое условие согласно указанному событию и согласно целевому объекту;
в ответ на определение, удовлетворено ли первое условие, когда первое условие удовлетворено, заставлять аппаратный процессор возобновлять исполнение целевого объекта; и
в ответ на определение, удовлетворено ли первое условие, когда первое условие не удовлетворено, определять, что целевой объект является вредоносным;
причем асинхронный анализатор исключений выполнен с возможностью:
в ответ на возобновление аппаратным процессором исполнения целевого объекта, определять, удовлетворено ли второе условие согласно указанному событию и согласно целевому объекту;
в ответ на определение, удовлетворено ли второе условие, когда второе условие удовлетворено, определять, что целевой объект не является вредоносным; и
в ответ на определение, удовлетворено ли второе условие, когда второе условие не удовлетворено, определять, что целевой объект является вредоносным.
10. Машиночитаемый носитель информации по п. 9, причем
синхронный анализатор исключений дополнительно выполнен с возможностью, в ответ на определение, удовлетворено ли первое условие, когда первое условие удовлетворено, включать запрос на проведение анализа в очередь запросов, причем запрос на проведение анализа формулируется в соответствии со вторым условием, согласно указанному событию, а также согласно целевому объекту, и
асинхронный анализатор исключений дополнительно выполнен с возможностью, при подготовке к определению, удовлетворено ли второе условие, удалять запрос на проведение анализа из очереди запросов.
11. Машиночитаемый носитель информации по п. 10, причем аппаратный процессор дополнительно выполнен с возможностью
в ответ на обнаружение попытки завершить целевой объект, приостанавливать указанную попытку; и
в ответ на приостановку попытки, переключаться на исполнение контроллера завершения, соединенного с асинхронным анализатором исключений, причем контроллер завершения выполнен с возможностью:
искать в очереди запросов второй запрос на проведение анализа, сформулированный согласно целевому объекту, причем второй запрос на проведение анализа указывает третье условие,
запускать асинхронный анализатор исключений для обработки второго запроса на проведение анализа, и
в ответ на запуск асинхронного анализатора исключений, когда асинхронный анализатор исключений определяет, что третье условие удовлетворено, заставлять аппаратный процессор возобновлять попытку завершения целевого объекта.
12. Машиночитаемый носитель информации по п. 9, причем целевой объект исполняется внутри гостевой виртуальной машины, открытой посредством хостовой системы, причем асинхронный анализатор исключений исполняется за пределами гостевой виртуальной машины.
13. Машиночитаемый носитель информации по п. 12, причем асинхронный анализатор исключений исполняется в пределах виртуальной машины обеспечения безопасности, открытой посредством гостевой системы, при этом виртуальная машина обеспечения безопасности исполняется одновременно с гостевой виртуальной машиной.
14. Машиночитаемый носитель информации по п. 9, причем сигнатура исключения из правила выполнена так, что определение, удовлетворено ли первое условие, имеет существенно более низкие вычислительные затраты по сравнению с определением, удовлетворено ли второе условие.
15. Машиночитаемый носитель информации по п. 9, причем событие включает в себя попытку получить доступ к памяти хостовой системы, при которой нарушается разрешение на доступ к памяти.
16. Машиночитаемый носитель информации по п. 9, причем
определение, удовлетворено ли первое условие, предусматривает определение, внедрил ли целевой объект код во второй объект; и
определение, удовлетворено ли второе условие, предусматривает определение, является ликод вредоносным.
17. Способ защиты хостовой системы от угроз нарушения компьютерной безопасности, причем хостовая система содержит аппаратный процессор и память, в соответствии с которым
применяют аппаратный процессор для обнаружения наступления события, вызванного исполнением целевого объекта;
в ответ на обнаружение наступления события, применяют аппаратный процессор для приостановки исполнения целевого объекта; и
в ответ на приостановку исполнения целевого объекта, применяют аппаратный процессор для переключения на исполнение синхронного анализатора исключений, выполненного с возможностью:
определять, подозревается ли целевой объект во вредоносности согласно указанному событию,
в ответ, когда целевой объект подозревается во вредоносности, выборочно извлекать сигнатуру исключения из правила из множества сигнатур исключения из правила, причем сигнатура исключения из правила извлекается согласно указанному событию, причем сигнатура исключения из правила содержи т кодировку первого условия и кодировку второго условия,
в ответ на извлечение сигнатуры исключения из правила, определяют, удовлетворено ли первое условие согласно указанному событию и согласно целевому объекту,
в ответ на определение, удовлетворено ли первое условие, когда первое условие удовлетворено, заставляют аппаратный процессор возобновлять исполнение целевого объекта, и
в ответ на определение, удовлетворено ли первое условие, когда первое условие не удовлетворено, определяют, что целевой объект является вредоносным;
в ответ на возобновление аппаратным процессором исполнения целевого объекта, применяют аппаратный процессор для определения, удовлетворено ли второе условие согласно указанному событию и согласно целевому объекту;
в ответ на определение, удовлетворено ли второе условие, когда второе условие удовлетворено, определяют, что целевой объект не является вредоносным; и
в ответ на определение, удовлетворено ли второе условие, когда второе условие не удовлетворено, определяют, что целевой объект является вредоносным.
18. Способ по п. 17, в котором дополнительно
в ответ на определение, удовлетворено ли первое условие, когда первое условие удовлетворено, применяют аппаратный процессор для включения запроса на проведение анализа в очередь запросов, причем запрос на проведение анализа формулируют в соответствии со вторым условием, согласно указанному событию, а также согласно целевому объекту; и
при подготовке к определению, удовлетворено ли второе условие, применяют аппаратный процессор для удаления запроса на проведение анализа из очереди запросов.
19. Способ по п. 18, в котором дополнительно
в ответ на обнаружение попытки завершить целевой объект применяют аппаратный процессор для приостановки указанной попытки; и
в ответ на приостановку попытки применяют аппаратный процессор для поиска в очереди запросов второго запроса на проведение анализа, сформулированного согласно целевому объекту, причем второй запрос на проведение анализа указывает третье условие,
в ответ на поиск второго запроса на проведение анализа определяют, удовлетворено ли третье условие согласно целевому объекту;
в ответ, когда третье условие удовлетворено, применяют аппаратный процессор для завершения целевого объекта.
RU2018104335A 2015-07-14 2016-07-14 Системы и способы обеспечения компьютерной безопасности, использующие исключения асинхронной интроспекции RU2703156C2 (ru)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201562192384P 2015-07-14 2015-07-14
US62/192,384 2015-07-14
US15/209,317 US9852295B2 (en) 2015-07-14 2016-07-13 Computer security systems and methods using asynchronous introspection exceptions
US15/209,317 2016-07-13
PCT/EP2016/066745 WO2017009415A1 (en) 2015-07-14 2016-07-14 Computer security systems and methods using asynchronous introspection exceptions

Publications (3)

Publication Number Publication Date
RU2018104335A true RU2018104335A (ru) 2019-08-14
RU2018104335A3 RU2018104335A3 (ru) 2019-08-30
RU2703156C2 RU2703156C2 (ru) 2019-10-15

Family

ID=56511556

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2018104335A RU2703156C2 (ru) 2015-07-14 2016-07-14 Системы и способы обеспечения компьютерной безопасности, использующие исключения асинхронной интроспекции

Country Status (11)

Country Link
US (1) US9852295B2 (ru)
EP (1) EP3323074B1 (ru)
JP (1) JP6842455B2 (ru)
KR (1) KR102297133B1 (ru)
CN (1) CN107851153B (ru)
AU (1) AU2016293058B2 (ru)
CA (1) CA2990343C (ru)
ES (1) ES2792912T3 (ru)
IL (1) IL256563B (ru)
RU (1) RU2703156C2 (ru)
WO (1) WO2017009415A1 (ru)

Families Citing this family (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10397277B2 (en) 2015-06-14 2019-08-27 Avocado Systems Inc. Dynamic data socket descriptor mirroring mechanism and use for security analytics
US10270810B2 (en) 2015-06-14 2019-04-23 Avocado Systems Inc. Data socket descriptor based policies for application and data behavior and security
US10193930B2 (en) 2015-06-29 2019-01-29 Avocado Systems Inc. Application security capability exchange via the application and data protection layer
US10356068B2 (en) 2015-07-14 2019-07-16 Avocado Systems Inc. Security key generator module for security sensitive applications
US10354070B2 (en) * 2015-08-22 2019-07-16 Avocado Systems Inc. Thread level access control to socket descriptors and end-to-end thread level policies for thread protection
US10599551B2 (en) * 2016-08-12 2020-03-24 The University Of Chicago Automatically detecting distributed concurrency errors in cloud systems
US10394641B2 (en) * 2017-04-10 2019-08-27 Arm Limited Apparatus and method for handling memory access operations
US10706180B2 (en) 2017-07-07 2020-07-07 Endgame, Inc. System and method for enabling a malware prevention module in response to a context switch within a certain process being executed by a processor
US11062021B2 (en) * 2017-08-29 2021-07-13 NortonLifeLock Inc. Systems and methods for preventing malicious applications from exploiting application services
US10546120B2 (en) * 2017-09-25 2020-01-28 AO Kaspersky Lab System and method of forming a log in a virtual machine for conducting an antivirus scan of a file
US10691800B2 (en) * 2017-09-29 2020-06-23 AO Kaspersky Lab System and method for detection of malicious code in the address space of processes
US10860411B2 (en) 2018-03-28 2020-12-08 Futurewei Technologies, Inc. Automatically detecting time-of-fault bugs in cloud systems
US11544379B2 (en) * 2018-04-13 2023-01-03 Webroot Inc. Malicious software detection based on API trust
US10599552B2 (en) 2018-04-25 2020-03-24 Futurewei Technologies, Inc. Model checker for finding distributed concurrency bugs
RU2701842C1 (ru) 2018-06-29 2019-10-01 Акционерное общество "Лаборатория Касперского" Способ формирования запроса информации о файле для осуществления антивирусной проверки и система для реализации способа (варианты)
EP3588350B1 (en) * 2018-06-29 2021-04-07 AO Kaspersky Lab Method and system for generating a request for information on a file to perform an antivirus scan
CN111367184B (zh) * 2018-12-26 2023-07-14 博西华电器(江苏)有限公司 一种家电控制系统、家电及控制方法
US11295011B2 (en) * 2019-01-08 2022-04-05 Vmware, Inc. Event-triggered behavior analysis
US11277436B1 (en) * 2019-06-24 2022-03-15 Ca, Inc. Identifying and mitigating harm from malicious network connections by a container
GB2589895B (en) * 2019-12-11 2022-03-16 Advanced Risc Mach Ltd Intermodal calling branch instruction
US12268519B2 (en) * 2020-04-22 2025-04-08 Warsaw Orthopedic, Inc. Motion limiting apparatus for assessing status of spinal implants
US12101323B2 (en) * 2020-12-23 2024-09-24 Acronis International Gmbh Systems and methods for protecting web conferences from intruders
US12020059B2 (en) * 2021-08-30 2024-06-25 International Business Machines Corporation Inaccessible prefix pages during virtual machine execution
CN113779561B (zh) * 2021-09-09 2024-03-01 安天科技集团股份有限公司 内核漏洞处理方法、装置、存储介质及电子设备
US11934515B2 (en) 2021-12-02 2024-03-19 Bank Of America Corporation Malware deterrence using computer environment indicators
US12047397B2 (en) * 2022-03-30 2024-07-23 Sophos Limited Scored threat signature analysis
US20230315849A1 (en) * 2022-03-31 2023-10-05 Sophos Limited Threat signature scoring

Family Cites Families (70)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6012081A (en) * 1996-07-03 2000-01-04 Siemens Aktiengesellschaft Service and event synchronous/asynchronous manager
US5826084A (en) 1997-03-25 1998-10-20 Texas Instruments Incorporated Microprocessor with circuits, systems, and methods for selectively bypassing external interrupts past the monitor program during virtual program operation
US7516453B1 (en) * 1998-10-26 2009-04-07 Vmware, Inc. Binary translator with precise exception synchronization mechanism
US7657419B2 (en) 2001-06-19 2010-02-02 International Business Machines Corporation Analytical virtual machine
US7748039B2 (en) 2002-08-30 2010-06-29 Symantec Corporation Method and apparatus for detecting malicious code in an information handling system
US20040117532A1 (en) 2002-12-11 2004-06-17 Bennett Steven M. Mechanism for controlling external interrupts in a virtual machine system
US20040168157A1 (en) 2003-02-18 2004-08-26 Robert Hundt System and method for creating a process invocation tree
US7421689B2 (en) 2003-10-28 2008-09-02 Hewlett-Packard Development Company, L.P. Processor-architecture for facilitating a virtual machine monitor
US7552434B2 (en) 2004-04-30 2009-06-23 Hewlett-Packard Development Company, L.P. Method of performing kernel task upon initial execution of process at user level
US7962909B1 (en) 2004-05-11 2011-06-14 Globalfoundries Inc. Limiting guest execution
US7454542B2 (en) * 2004-06-08 2008-11-18 Dartdevices Corporation System device and method for configuring and operating interoperable device having player and engine
US7685635B2 (en) 2005-03-11 2010-03-23 Microsoft Corporation Systems and methods for multi-level intercept processing in a virtual machine environment
US7587595B2 (en) 2005-05-13 2009-09-08 Intel Corporation Method and apparatus for providing software-based security coprocessors
CN101849228B (zh) * 2007-01-16 2013-05-08 吉兹莫克斯有限公司 用于创建面向IT的基于服务器的Web应用的方法和系统
US8561060B2 (en) 2007-04-26 2013-10-15 Advanced Micro Devices, Inc. Processor and method configured to determine an exit mechanism using an intercept configuration for a virtual machine
US8065728B2 (en) 2007-09-10 2011-11-22 Wisconsin Alumni Research Foundation Malware prevention system monitoring kernel events
US9779235B2 (en) 2007-10-17 2017-10-03 Sukamo Mertoguno Cognizant engines: systems and methods for enabling program observability and controlability at instruction level granularity
KR101489244B1 (ko) * 2007-12-24 2015-02-04 삼성전자 주식회사 가상 머신 모니터 기반의 프로그램 실행 시스템 및 그 제어방법
US20100031353A1 (en) 2008-02-04 2010-02-04 Microsoft Corporation Malware Detection Using Code Analysis and Behavior Monitoring
US8341105B1 (en) * 2008-02-19 2012-12-25 Mcafee, Inc. System, method, and computer program product for applying a rule to associated events
US9015704B2 (en) 2008-03-24 2015-04-21 International Business Machines Corporation Context agent injection using virtual machine introspection
JP2009238153A (ja) * 2008-03-28 2009-10-15 Nec Corp マルウェア対処システム、方法及びプログラム
US9235705B2 (en) 2008-05-19 2016-01-12 Wontok, Inc. Secure virtualization system software
US9609015B2 (en) 2008-05-28 2017-03-28 Zscaler, Inc. Systems and methods for dynamic cloud-based malware behavior analysis
US8578483B2 (en) 2008-07-31 2013-11-05 Carnegie Mellon University Systems and methods for preventing unauthorized modification of an operating system
US20100106767A1 (en) * 2008-10-24 2010-04-29 Microsoft Corporation Automatically securing distributed applications
US8225317B1 (en) * 2009-04-17 2012-07-17 Symantec Corporation Insertion and invocation of virtual appliance agents through exception handling regions of virtual machines
US8566943B2 (en) 2009-10-01 2013-10-22 Kaspersky Lab, Zao Asynchronous processing of events for malware detection
CN101673332A (zh) * 2009-10-12 2010-03-17 湖南大学 一种基于哈佛体系结构的内核代码保护方法
KR101057432B1 (ko) 2010-02-23 2011-08-22 주식회사 이세정보 프로세스의 행위 분석을 통한 유해 프로그램을 실시간으로 탐지하고 차단하는 시스템, 방법, 프로그램 및 기록매체
CN102169484B (zh) 2010-02-26 2014-08-13 威睿公司 虚拟化环境中综合的、相关的和动态的数据搜索
US8578345B1 (en) 2010-04-15 2013-11-05 Symantec Corporation Malware detection efficacy by identifying installation and uninstallation scenarios
US8949797B2 (en) 2010-04-16 2015-02-03 International Business Machines Corporation Optimizing performance of integrity monitoring
US8914879B2 (en) 2010-06-11 2014-12-16 Trustwave Holdings, Inc. System and method for improving coverage for web code
US20120255003A1 (en) * 2011-03-31 2012-10-04 Mcafee, Inc. System and method for securing access to the objects of an operating system
US8863283B2 (en) * 2011-03-31 2014-10-14 Mcafee, Inc. System and method for securing access to system calls
US20120255031A1 (en) * 2011-03-28 2012-10-04 Mcafee, Inc. System and method for securing memory using below-operating system trapping
US20120254993A1 (en) 2011-03-28 2012-10-04 Mcafee, Inc. System and method for virtual machine monitor based anti-malware security
US8813227B2 (en) 2011-03-29 2014-08-19 Mcafee, Inc. System and method for below-operating system regulation and control of self-modifying code
US9032525B2 (en) * 2011-03-29 2015-05-12 Mcafee, Inc. System and method for below-operating system trapping of driver filter attachment
US8549644B2 (en) * 2011-03-28 2013-10-01 Mcafee, Inc. Systems and method for regulating software access to security-sensitive processor resources
US8959638B2 (en) * 2011-03-29 2015-02-17 Mcafee, Inc. System and method for below-operating system trapping and securing of interdriver communication
AU2012236739A1 (en) * 2011-03-28 2013-10-03 Mcafee, Inc. System and method for virtual machine monitor based anti-malware security
US8966629B2 (en) * 2011-03-31 2015-02-24 Mcafee, Inc. System and method for below-operating system trapping of driver loading and unloading
RU2454705C1 (ru) * 2011-04-19 2012-06-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ защиты компьютерного устройства от вредоносных объектов, использующих сложные схемы заражения
US8099596B1 (en) 2011-06-30 2012-01-17 Kaspersky Lab Zao System and method for malware protection using virtualization
US8578080B2 (en) * 2011-07-01 2013-11-05 Intel Corporation Secure handling of interrupted events utilizing a virtual interrupt definition table
US9298918B2 (en) * 2011-11-30 2016-03-29 Elwha Llc Taint injection and tracking
CN102663312B (zh) * 2012-03-20 2014-10-01 中国科学院信息工程研究所 一种基于虚拟机的rop攻击检测方法及系统
US9146767B2 (en) 2012-06-19 2015-09-29 Raytheon Company Secure cloud hypervisor monitor
US20140053272A1 (en) 2012-08-20 2014-02-20 Sandor Lukacs Multilevel Introspection of Nested Virtual Machines
US8850581B2 (en) 2012-11-07 2014-09-30 Microsoft Corporation Identification of malware detection signature candidate code
CN103839003B (zh) * 2012-11-22 2018-01-30 腾讯科技(深圳)有限公司 恶意文件检测方法及装置
US8762948B1 (en) 2012-12-20 2014-06-24 Kaspersky Lab Zao System and method for establishing rules for filtering insignificant events for analysis of software program
RU2535506C2 (ru) * 2012-12-25 2014-12-10 Закрытое акционерное обшество "Лаборатория Касперского" Система и способ формирования сценариев модели поведения приложений
RU2523112C1 (ru) 2012-12-25 2014-07-20 Закрытое акционерное общество "Лаборатория Касперского" Система и способ выбора оптимального типа антивирусной проверки при доступе к файлу
US10572665B2 (en) 2012-12-28 2020-02-25 Fireeye, Inc. System and method to create a number of breakpoints in a virtual machine via virtual machine trapping events
US9037873B2 (en) 2013-01-30 2015-05-19 Vmware, Inc. Method and system for preventing tampering with software agent in a virtual machine
CN104102878B (zh) * 2013-04-10 2017-02-08 中国科学院计算技术研究所 一种Linux平台下的恶意代码分析方法及系统
WO2015035559A1 (en) 2013-09-10 2015-03-19 Symantec Corporation Systems and methods for using event-correlation graphs to detect attacks on computing systems
US9323931B2 (en) 2013-10-04 2016-04-26 Bitdefender IPR Management Ltd. Complex scoring for malware detection
JP2015082191A (ja) * 2013-10-22 2015-04-27 キヤノン電子株式会社 情報処理装置、情報処理方法
US9619346B2 (en) 2013-10-31 2017-04-11 Assured Information Security, Inc. Virtual machine introspection facilities
US9973534B2 (en) * 2013-11-04 2018-05-15 Lookout, Inc. Methods and systems for secure network connections
CN105723348B (zh) 2013-12-17 2019-02-15 英特尔公司 使用事务性存储器检测未授权存储器修改及访问
CN104750534B (zh) 2013-12-26 2018-10-30 华为技术有限公司 触发虚拟机自省的方法、装置及系统
US9323926B2 (en) * 2013-12-30 2016-04-26 Intuit Inc. Method and system for intrusion and extrusion detection
US20150215327A1 (en) * 2014-01-28 2015-07-30 Intuit Inc. Method and system for extrusion and intrusion detection in a cloud computing environment using network communications devices
US10445509B2 (en) 2014-06-30 2019-10-15 Nicira, Inc. Encryption architecture
CN104715201B (zh) * 2015-03-31 2018-02-27 北京奇虎科技有限公司 一种虚拟机恶意行为检测方法和系统

Also Published As

Publication number Publication date
EP3323074A1 (en) 2018-05-23
EP3323074B1 (en) 2020-03-18
ES2792912T3 (es) 2020-11-12
CN107851153A (zh) 2018-03-27
IL256563B (en) 2021-02-28
US20170039371A1 (en) 2017-02-09
JP2018520446A (ja) 2018-07-26
AU2016293058A1 (en) 2018-01-18
KR20180029047A (ko) 2018-03-19
CA2990343A1 (en) 2017-01-19
AU2016293058B2 (en) 2020-11-05
US9852295B2 (en) 2017-12-26
RU2018104335A3 (ru) 2019-08-30
CA2990343C (en) 2021-09-28
WO2017009415A1 (en) 2017-01-19
HK1247295A1 (zh) 2018-09-21
IL256563A (en) 2018-02-28
KR102297133B1 (ko) 2021-09-06
CN107851153B (zh) 2021-03-30
JP6842455B2 (ja) 2021-03-17
RU2703156C2 (ru) 2019-10-15

Similar Documents

Publication Publication Date Title
RU2018104335A (ru) Системы и способы обеспечения компьютерной безопасности, использующие исключения асинхронной интроспекции
JP2018520446A5 (ru)
US8813226B2 (en) Defense method and device against intelligent bots using masqueraded virtual machine information
RU2016103212A (ru) Оценка процесса для выявления вредоносных программ в виртуальных машинах
JP6494744B2 (ja) リターン指向プログラミング攻撃の透過的な検出及び抽出
Graziano et al. Hypervisor memory forensics
US10102373B2 (en) Method and apparatus for capturing operation in a container-based virtualization system
JP2016526730A5 (ru)
RU2018118828A (ru) Системы и способы обнаружения вредоносных программ с алгоритмом генерации доменов (dga)
RU2017104753A (ru) Системы и способы предоставления текущей команды процессора при выходе из виртуальной машины
CN105103158A (zh) 剖析代码执行
WO2012135192A3 (en) System and method for virtual machine monitor based anti-malware security
RU2013154735A (ru) Способ упреждающего сканирования на наличие вредоносного программного обеспечения
RU2016109436A (ru) Селективное обеспечение соблюдения целостности кода, обеспечиваемое менеджером виртуальной машины
RU2017105763A (ru) Неразрушаемый белый список
US20180183814A1 (en) Detecting execution of modified executable code
US9940484B2 (en) Techniques for detecting false positive return-oriented programming attacks
EA201490684A3 (ru) Способ обезвреживания вредоносных программ, блокирующих работу пк, с использованием отдельного устройства для активации пользователем процедуры противодействия вредоносному программному обеспечению
Pandey et al. Performance of malware detection tools: A comparison
RU2012149006A (ru) Средство функциональной виртуализации для блокировки командной функции многофункциональной команды виртуального процесса
CN105488388A (zh) 一种基于cpu时空隔离机制实现应用软件行为监控系统的方法
US20170116417A1 (en) Apparatus and method for detecting malicious code
WO2015101148A1 (zh) 一种实现虚拟机自省的方法和装置
KR101421630B1 (ko) 코드 인젝션된 악성코드 탐지 시스템 및 방법
KR20150134172A (ko) 악성코드 탐지 장치 및 방법

Legal Events

Date Code Title Description
PD4A Correction of name of patent owner