[go: up one dir, main page]

RU96267U1 - SYSTEM OF COMPLETING ANTI-VIRUS DATABASES UNDER THE DETECTION OF UNKNOWN MALIGNANT COMPONENTS - Google Patents

SYSTEM OF COMPLETING ANTI-VIRUS DATABASES UNDER THE DETECTION OF UNKNOWN MALIGNANT COMPONENTS Download PDF

Info

Publication number
RU96267U1
RU96267U1 RU2010107432/22U RU2010107432U RU96267U1 RU 96267 U1 RU96267 U1 RU 96267U1 RU 2010107432/22 U RU2010107432/22 U RU 2010107432/22U RU 2010107432 U RU2010107432 U RU 2010107432U RU 96267 U1 RU96267 U1 RU 96267U1
Authority
RU
Russia
Prior art keywords
virus
files
event
processes
malicious
Prior art date
Application number
RU2010107432/22U
Other languages
Russian (ru)
Original Assignee
Закрытое акционерное общество "Лаборатория Касперского"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Закрытое акционерное общество "Лаборатория Касперского" filed Critical Закрытое акционерное общество "Лаборатория Касперского"
Priority to RU2010107432/22U priority Critical patent/RU96267U1/en
Application granted granted Critical
Publication of RU96267U1 publication Critical patent/RU96267U1/en

Links

Landscapes

  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

1. Система пополнения антивирусных баз путем обнаружения неизвестных вредоносных компонент в компьютерной системе, содержащая: ! а) монитор событий, предназначенный для отслеживания событий, происходящих в операционной системе, связанный с подсистемой ведения журнала; ! б) подсистему ведения журнала, предназначенную для обнаружения подозрительных событий из событий, происходящих в операционной системе, связанная с модулем анализа и антивирусной системой; ! в) модуль анализа, предназначенный для отслеживания истории произошедших событий создания процессов и дочерних процессов и выстраивания иерархии родитель - потомок, связанный с антивирусной системой; ! г) антивирусную систему, предназначенную для: ! (i) проверки исполняемых компьютерных файлов компьютера; ! (ii) после обнаружения известной вредоносной компоненты обращения к модулю анализа для определения, в каком событии участвовала найденная вредоносная компонента, используя иерархию типа родитель-потомок; ! (iii) создания информации о списке процессов-участников события, в котором участвовала найденная вредоносная компонента, а также созданных или измененных файлов, и процессов, запущенных из таких файлов, на основе связей в иерархии родитель - потомок; ! (iv) завершения всех активных процессов-участников, принадлежащих событию, в котором участвовала найденная вредоносная компонента; ! (v) удаления или помещения в карантин исполняемых файлов, которые использовались в рамках события, в котором участвовала найденная вредоносная компонента; ! при этом антивирусная система связана с сервером обновлений баз данных антивирусной системы; ! д) сервер обновле 1. A system for replenishing anti-virus databases by detecting unknown malicious components in a computer system, containing:! a) an event monitor designed to track events occurring in the operating system associated with the logging subsystem; ! b) a logging subsystem designed to detect suspicious events from events occurring in the operating system associated with the analysis module and anti-virus system; ! c) an analysis module designed to track the history of events that occurred during the creation of processes and child processes and to build a parent-child hierarchy associated with the antivirus system; ! d) an anti-virus system designed for:! (i) checking executable computer files of a computer; ! (ii) after detecting a known malicious component, calling the analysis module to determine in which event the detected malicious component participated, using a parent-child hierarchy; ! (iii) creating information about the list of processes participating in the event in which the found malicious component participated, as well as created or modified files, and processes launched from such files, based on relationships in the parent-child hierarchy; ! (iv) termination of all active participant processes belonging to the event in which the detected malicious component participated; ! (v) removing or quarantining executable files that were used as part of the event in which the detected malicious component participated; ! while the anti-virus system is connected to the anti-virus system database update server; ! d) the server is updated

Description

Область техникиTechnical field

Полезная модель относится к системам противодействия компьютерным вирусам, а именно к технологиям пополнения антивирусных баз при обнаружении неизвестных вредоносных компонент.The utility model relates to systems for counteracting computer viruses, namely to technologies for replenishing anti-virus databases when unknown unknown components are detected.

Уровень техникиState of the art

В настоящее время активно развиваются всевозможные средства передачи информации и данных через компьютерные сети, в том числе и растут объемы электронной почтовой пересылки. Вместе с тем растут и риски по заражению вирусами компьютеров и компьютерных сетей через такие средства связи, чему следует уделять соответствующее внимание. Вирусные угрозы принимают различные формы, но, по сути, остаются компьютерными вирусами - троянскими программами, червями и другими видами вредоносного кода.Currently, various means of transmitting information and data through computer networks are actively developing, including the increase in electronic mail forwarding. At the same time, the risks of viruses infecting computers and computer networks through such means of communication are growing, which should be given appropriate attention. Virus threats take various forms, but, in essence, remain computer viruses - trojans, worms and other types of malicious code.

Различные системы для обнаружения и предотвращения распространения вредоносных программ уже были описаны в таких патентах и заявках как US 7310817, US 7058975, US 20030120947, US 6772345, WO 03052564, US 20050188272. Однако, эти системы не способны бороться с теми вредоносными программами, которые представляют не один файл, а несколько модулей, каждый из которых выполняет определенную функцию.Various systems for detecting and preventing the spread of malware have already been described in patents and applications such as US 7310817, US 7058975, US 20030120947, US 6772345, WO 03052564, US 20050188272. However, these systems are not able to deal with those malicious programs that represent not one file, but several modules, each of which performs a specific function.

Серьезность ситуации с подобными программами в настоящее время нельзя недооценивать, так как многокомпонентные вредоносные программы представляют серьезную опасность, ведь при заражении компьютера они действуют следующим образом: небольшая программа-загрузчик попадает в компьютерную систему, после чего связывается с сервером и загружает вторую программу-загрузчик, которая загружает вредоносные компоненты общим числом 10-20 компонент. Такие компоненты предназначены для рассылки спама, троянов, сбора личных данных и пр. После выхода в свет нового вредоносного вируса проходит некоторое время, пока антивирусные базы данных будут обновлены с учетом новой угрозы.The seriousness of the situation with such programs at present cannot be underestimated, since multicomponent malware poses a serious danger, because when they infect a computer, they act as follows: a small downloader program enters the computer system, after which it communicates with the server and downloads the second downloader program, which downloads malicious components with a total of 10-20 components. Such components are designed to send spam, trojans, collect personal data, etc. After the release of a new malicious virus, it takes some time until the anti-virus databases are updated to take into account the new threat.

При этом часть из множества компонент уже описана в антивирусных базах данных, которые предоставляются поставщиками антивирусных систем защиты. Однако, не все из таких компонент удается достаточно оперативно добавить в антивирусную базу данных, а значит в компьютерной системе будут опознаны только те из вредоносных компонент, которые описаны в антивирусной базе данных. После окончания лечения антивирусная система ложно предполагает, что все угрозы устранены, а тем временем некоторые из компонент вредоносной программы остаются в компьютерной системе и продолжают беспрепятственно работать. Более того, некоторые из этих компонент способны распознать, что антивирусная система защиты удалила часть компонент вредоносной программы, чтобы затем скачать и установить их снова. Таким образом, пользователь попадает в замкнутый круг до тех пор, пока поставщик антивирусной системы не обновит свои базы для обнаружения всех компонент вредоносной программы.Moreover, part of the many components is already described in anti-virus databases, which are provided by suppliers of anti-virus protection systems. However, not all of these components can be quickly added to the anti-virus database, which means that only those malicious components that are described in the anti-virus database will be recognized in the computer system. After the end of treatment, the antivirus system falsely assumes that all threats have been eliminated, and in the meantime some of the components of the malicious program remain in the computer system and continue to work unhindered. Moreover, some of these components are able to recognize that the anti-virus protection system has removed some of the components of the malicious program, and then download and install them again. Thus, the user gets into a vicious circle until the anti-virus system provider updates its databases to detect all components of the malicious program.

Таким образом, необходимо разработать систему для защиты от подобных ситуаций, когда в систему загружаются многокомпонентные вирусы, и не все их компоненты распознаются антивирусной системой, что приводит к длительным и безуспешным попыткам вылечить их.Thus, it is necessary to develop a system to protect against such situations when multicomponent viruses are loaded into the system, and not all of their components are recognized by the antivirus system, which leads to lengthy and unsuccessful attempts to cure them.

Раскрытие полезной моделиUtility Model Disclosure

Настоящая полезная модель предназначена для пополнения антивирусных баз путем обнаружения неизвестных вредоносных компонент в компьютерной системе.This useful model is designed to replenish anti-virus databases by detecting unknown malicious components in a computer system.

Технический результат заключается в пополнении антивирусных баз путем обнаружения неизвестных вредоносных компонент в компьютерной системе. Этот результат достигается за счет использования системы, которая содержит:The technical result consists in replenishing anti-virus databases by detecting unknown malicious components in a computer system. This result is achieved through the use of a system that contains:

монитор событий, предназначенный для отслеживания событий, происходящих в операционной системе, связанный с подсистемой ведения журнала;an event monitor designed to track events occurring in the operating system associated with the logging subsystem;

подсистему ведения журнала, предназначенную для обнаружения подозрительных событий из событий, происходящих в операционной системе, связанная с модулем анализа и антивирусной системой;a logging subsystem designed to detect suspicious events from events occurring in the operating system associated with the analysis module and anti-virus system;

модуль анализа, предназначенный для отслеживания истории произошедших событий создания процессов и дочерних процессов, и выстраивания иерархии родитель-потомок, связанный с антивирусной системой;an analysis module designed to track the history of events that occurred during the creation of processes and child processes, and to build a parent-child hierarchy associated with the antivirus system;

антивирусную систему, предназначенную для: проверки исполняемых компьютерных файлов компьютера; после обнаружения известной вредоносной компоненты обращения к модулю анализа для определения, в каком событии участвовала найденная вредоносная компонента, используя иерархию типа родитель-потомок; создания информации о списке процессов-участников события, в котором участвовала найденная вредоносная компонента, а также созданных или измененных файлов, и процессов, запущенных из таких файлов, на основе связей в иерархии родитель-потомок; завершения всех активных процессов-участников, принадлежащих событию, в котором участвовала найденная вредоносная компонента; удаления или помещения в карантин исполняемых файлов, которые использовались в рамках события, в котором участвовала найденная вредоносная компонента; при этом антивирусная система связана с сервером обновлений баз данных антивирусной системы;anti-virus system designed for: checking executable computer files of a computer; after detecting a known malicious component, calling the analysis module to determine in which event the detected malicious component participated, using a parent-child hierarchy; creation of information about the list of processes participating in the event in which the found malicious component participated, as well as created or modified files, and processes launched from such files, based on the relationships in the parent-child hierarchy; completion of all active participant processes belonging to the event in which the detected malicious component participated; removing or quarantining executable files that were used as part of the event in which the detected malicious component participated; while the anti-virus system is connected to the anti-virus system database update server;

сервер обновлений баз данных антивирусной системы, предназначенный для использования полученной от антивирусной системы информации о списке процессов-участников события, в котором участвовала найденная вредоносная компонента, а также созданных или измененных файлов, и процессов, запущенных из таких файлов, для пополнения антивирусных баз данных с учетом обнаружения неизвестных вредоносных компонент, исходя из полученной информации от антивирусной системы.An anti-virus system database update server designed to use information received from the anti-virus system on the list of processes participating in the event in which the detected malicious component participated, as well as created or modified files, and processes launched from such files, to replenish anti-virus databases with taking into account the detection of unknown malicious components, based on the information received from the anti-virus system.

В одном из вариантов реализации события, происходящие в операционной системе, могут быть события, связанные с созданием, изменением исполняемых файлов, изменениями в системном реестре.In one embodiment, events occurring in the operating system may include events related to the creation, modification of executable files, and changes in the system registry.

В частном варианте реализации дополнительно присутствует подсистема хранения резервных копий, связанная с монитором событий и антивирусной системой, предназначенная для сохранения файлов перед их изменением.In a private embodiment, there is an additional backup storage subsystem associated with the event monitor and anti-virus system, designed to save files before changing them.

В еще одном частном варианте антивирусная система восстанавливает файлы из подсистемы хранения резервных копий при их изменении вредоносными компонентами.In another private embodiment, the anti-virus system restores files from the backup storage subsystem when they are modified by malicious components.

В другом частном варианте подозрительными событиями являются те, которые имеют определенный уровень опасности с точки зрения антивирусной системы и могут быть действиями, которые включают попытки создания и/или изменения файлов в системных папках, изменение или удаление важных веток реестра, работа с процессами, скачивание файлов из сети без предупреждения пользователя.In another particular embodiment, suspicious events are those that have a certain level of danger from the point of view of the anti-virus system and may be actions that include attempts to create and / or modify files in system folders, change or delete important registry branches, work with processes, download files from the network without warning the user.

В еще одном частном варианте сервер обновлений баз данных антивирусной системы обновляет базы данных у всех пользователей после пополнения антивирусных баз данных с учетом обнаружения неизвестных вредоносных компонент.In yet another particular embodiment, the anti-virus database update server updates the databases of all users after updating the anti-virus databases, taking into account the detection of unknown malicious components.

Дополнительные преимущества полезной модели будут раскрыты далее в ходе описания вариантов реализации полезной модели. Также отметим, что все материалы данного описания направлены на детальное описание того технического предложения, которое изложено в формуле полезной модели.Additional advantages of the utility model will be disclosed later in the description of the implementation options of the utility model. Also note that all the materials in this description are aimed at a detailed description of the technical proposal, which is set out in the utility model formula.

Краткое описание чертежейBrief Description of the Drawings

Дополнительные цели, признаки и преимущества настоящей полезной модели будут раскрыты дальше в описании со ссылками на прилагаемые чертежи.Additional objectives, features and advantages of this utility model will be disclosed further in the description with reference to the accompanying drawings.

Фиг.1 отображает пример реализации полезной модели.Figure 1 shows an example implementation of a utility model.

Фиг.2 отображает последовательность реализуемых шагов, исполняемых настоящим техническим решением.Figure 2 displays the sequence of implemented steps performed by this technical solution.

Фиг.3 показывает отслеживание событий, выявленных случаев вредоносной деятельности в системе.Figure 3 shows the tracking of events detected cases of malicious activity in the system.

Фиг.4, отображает дополнительные подробности механизма выявления взаимосвязей между объектами и исполняемыми файлами/процессами.Figure 4, displays additional details of the mechanism for identifying relationships between objects and executable files / processes.

Фиг.5 отображает примерную схему компьютера общего назначения, на котором развертывается настоящее техническое решение.Figure 5 shows an exemplary diagram of a general purpose computer on which the present technical solution is deployed.

Описание вариантов осуществления полезной моделиDescription of Embodiments of a Utility Model

Основные преимущества настоящего решения вытекают из ведения журнала всех событий связанных с подозрительными файлами таким образом, что случай заражения вредоносной программой может быть реконструирован по записям журнала, если не все компоненты вредоносного программного обеспечения были известны заранее антивирусной системе. Интерес представляют попытки записи в системный реестр или создания и/или модификации исполнимых файлов, таких как. ехе файлы, сценарии (скрипты), пакетные командные файлы и т.п. С журналом таких событий оказывается возможным реконструировать цепь событий прошлого на нужную дату, а не только выявлять факты заражения или замещения некоторых файлов с относительно высокой вероятностью содержания вредоносных или зараженных файлов.The main advantages of this solution arise from the logging of all events associated with suspicious files so that the case of malware infection can be reconstructed from the log entries, if not all components of the malicious software were known in advance by the anti-virus system. Of interest are attempts to write to the system registry or create and / or modify executable files, such as. exe files, scripts (scripts), batch batch files, etc. With a log of such events, it is possible to reconstruct the chain of events of the past at the right date, and not only to reveal the facts of infection or substitution of some files with a relatively high probability of containing malicious or infected files.

Отметим также, что количество подобных исполнимых файлов в типичной компьютерной системе достигает нескольких сотен исполняемых файлов. Попытки записи в такие файлы достаточно сложны по сравнению с записью в обычный файл. Таким образом, большинство компьютеров содержат сотни и тысячи файлов в любой момент времени (например, при поиске в Интернет браузером создается множество маленьких файлов), но такие файлы не предназначены для исполнения, и в общем случае не представляют интереса в рамках рассматриваемой задачи. С другой стороны, попытки создания новых файлов представляют собой достаточно редкие события (пользователи редко скачивают и устанавливают новые программы - это достаточно редкое событие, которое обычно выполняется пользователем чаще всего только при первоначальной настройке компьютера или при переустановке операционной системы).We also note that the number of such executable files in a typical computer system reaches several hundred executable files. Attempts to write to such files are quite complicated compared to writing to a regular file. Thus, most computers contain hundreds and thousands of files at any given time (for example, when searching the Internet with a browser, a lot of small files are created), but such files are not intended for execution, and in the general case are not of interest in the framework of the problem under consideration. On the other hand, attempts to create new files are quite rare events (users rarely download and install new programs - this is a rare event that is usually performed by the user most often only during the initial setup of the computer or when reinstalling the operating system).

Аналогично, попытки изменения существующего исполняемого файла тоже достаточно необычны. Большинство исправлений системы, выпускаемых корпорацией Майкрософт, которые касаются операционной системы или иного программного обеспечения, например, MS Word, MS Excel и т.п., достаточно редки. С учетом сказанного, файл журнала событий обновления и записи программ не будет иметь слишком большой размер.Similarly, attempts to modify an existing executable file are also quite unusual. Most Microsoft system fixes that relate to the operating system or other software, such as MS Word, MS Excel, etc., are quite rare. With this in mind, the program and event log file of the program updates and recordings will not be too large.

При выявлении заражения следует подтвердить факт инфицирования с помощью выявления хотя бы одного известного вредоносного компонента. Впоследствии, реконструируют события для определения исходного момента проникновения угрозы в компьютерную систему. Другими словами, определяют процесс-родитель, который создал файл (или, если вредоносный компонент расположен в памяти, определяют процесс, который создал такой вредоносный или инфицированный процесс). Также выявляют все исполняемые файлы и процессы, созданные и измененные процессом-родителем, или участвовавшие в дереве иерархии взаимодействий с подозреваемым процессом. В результате создается список всех процессов, контактировавших с известным зараженным процессом.If an infection is detected, the fact of infection should be confirmed by identifying at least one known malicious component. Subsequently, events are reconstructed to determine the initial moment of the threat penetration into the computer system. In other words, they identify the parent process that created the file (or, if the malicious component is located in memory, determine the process that created the malicious or infected process). Also, all executable files and processes created and modified by the parent process, or participating in the hierarchy tree of interactions with the suspected process, are identified. As a result, a list of all processes in contact with a known infected process is created.

В большинстве случаев создание множества таких файлов за короткий момент времени, когда появляется несколько известных вредоносных файлов, с высокой вероятностью означает, что остальные файлы также являются вредоносными, даже если они неизвестны как вредоносные для антивирусной системы. Такие подозрительные файлы можно удалить или поместить в карантин, или они могут быть посланы антивирусной компании для анализа, и/или пользователь на свое усмотрение может удалить такие файлы (при выводе уведомления о событии инфицирования). Таким образом, обнаружив неизвестные вредоносные компоненты, можно вычислить их хеш сразу же, после чего отправить эту информацию антивирусной компании. Дополнительно можно также определить, какие файлы были изменены неизвестными вредоносными компонентами с целью определения потенциальных уязвимостей в уже существующем лицензионном программном обеспечении (ПО). Подобная информация может быть использована для скорейшего обновления антивирусных баз с целью обнаружения неизвестных вредоносных компонент у всех остальных пользователей.In most cases, the creation of many such files in a short moment of time, when several known malicious files appear, with a high probability means that the remaining files are also malicious, even if they are not known as malicious for the anti-virus system. Such suspicious files can be deleted or quarantined, or they can be sent to the antivirus company for analysis, and / or the user can delete such files at his discretion (when a notification about an infection event is displayed). Thus, having discovered unknown malicious components, you can calculate their hash immediately, and then send this information to the antivirus company. Additionally, you can also determine which files were modified by unknown malicious components in order to identify potential vulnerabilities in existing licensed software (software). Such information can be used to update the anti-virus databases as soon as possible in order to detect unknown malicious components from all other users.

Отметим, что целью полезной модели все же является другая проблема, которая возникает после заражения и после перезагрузки системы. В таком случае теряется любая информация, которая связана с событиями, которые происходили до перезагрузки. Обычно не удается восстановить события, предшествовавшие такому редкому инциденту, и остается только надеяться, что все вредоносные компоненты были известны антивирусной системе, от которых успешно избавились. Таким образом, если произошла перезагрузка системы, то файлы журналов способны пролить свет на происходившие перед этим события и позволят удалить недавно установленные новые компоненты, или восстановить из резервных копий те из исполняемых программных файлов, которые необходимы операционной системе или приложениям пользователя. В этой области антивирусные технологии касаются компьютерных экспертиз, которые пытаются реконструировать последовательность событий компьютерной системы, которая была заражена. Часто компьютерные расследования представляют из себя трудоемкий процесс, точность которого сильно зависит от полноты информации в файлах журнала, описывающей хронологию событий по созданию файлов, их модификации и созданию процессов, включая иерархию родитель-потомок взаимосвязей. Подобная информация может быть представлена в виде иерархического дерева, что делает в итоге задачу компьютерного расследования гораздо легче.Note that the purpose of the utility model is still another problem that occurs after infection and after a system reboot. In this case, any information that is associated with events that occurred before the reboot is lost. Usually, it is not possible to recover events that preceded such a rare incident, and one can only hope that all malicious components were known to the antivirus system, which they successfully got rid of. Thus, if the system rebooted, then the log files can shed light on the events that happened before and will allow you to remove recently installed new components, or restore from backup copies of those executable program files that are necessary for the operating system or user applications. In this area, antivirus technologies relate to computer forensics that try to reconstruct the sequence of events of a computer system that has been infected. Often, computer investigations are a time-consuming process, the accuracy of which depends heavily on the completeness of the information in the log files, which describes the chronology of events on file creation, their modification and process creation, including the parent-child hierarchy of relationships. Such information can be presented in the form of a hierarchical tree, which makes the task of computer investigation as a result much easier.

На фиг.1 представлен пример реализации полезной модели. Как отображено на фиг.1, в компьютерной системе монитор событий 104 установлен таким образом, чтобы отслеживать все события 107 по созданию, изменению исполняемых файлов, записям в системный реестр, и другие действия, которые происходят в операционной системе 106. Монитор событий 104 производит обнаружение подозрительных событий, ведет запись событий в журнал событий аудита 102 и проводит сохранение версий файлов перед их изменением в виде резервных копий 105. Подозрительные события могут быть определены заранее - это могут быть события, которые имеют определенный уровень опасности с точки зрения антивирусной системы 101. Подобными событиями могут быть попытки создания и/или изменения файлов в системных папках, изменение или удаление важных веток реестра, работа с процессами, скачивание файлов из сети без предупреждения пользователя и т.д. Журнал событий аудита 102 используется модулем анализа 103, который используется для отслеживания истории произошедших событий создания процессов и дочерних процессов (потомков), и выстраивания иерархии родитель-предок и так далее. Антивирусная система 101 отвечает за выявление присутствия известных вредоносных программ. Также при помощи журнала событий аудита 102 и модуля анализа 103 антивирусная система 101 удаляет, помещает в карантин, или излечивает зараженные файлы. Например, если был заражен файл, который необходим операционной системе, такой как системный файл, используемый в ходе загрузки операционной системы (например, процесс Explorer), то антивирусная система 101 восстанавливает доверенную версию такого файла из резервной копии 105. Антивирусная система 101 использует антивирусную базу данных 108, которая содержит данные о вредоносных программных файлах, и добавляет те из файлов, которые были выявлены в ходе расследования, как части одного события, если такие файлы еще не были отмечены как вредоносные программные компоненты. После чего антивирусная система 101 выполняет перезагрузку с доверенного устройства хранения.Figure 1 presents an example implementation of a utility model. As shown in FIG. 1, in a computer system, an event monitor 104 is installed so as to monitor all events 107 for creating, changing executable files, entries in the system registry, and other actions that occur in the operating system 106. Event monitor 104 detects suspicious events, records events in the audit event log 102 and saves file versions before changing them in the form of backups 105. Suspicious events can be determined in advance - these can be events that eyut a certain level of danger from the point of view of the anti-virus system 101. Such events may be attempts to create and / or modify files in the system folders, modification or deletion of important registry branches, working with processes, download files from the network without warning the user, etc. Audit event log 102 is used by analysis module 103, which is used to track the history of events that occurred during the creation of processes and child processes (descendants), and to build a parent-parent hierarchy and so on. Antivirus system 101 is responsible for detecting the presence of known malicious programs. Also, using the audit event log 102 and analysis module 103, the anti-virus system 101 deletes, quarantines, or disinfects infected files. For example, if a file that the operating system needed, such as the system file used during the boot of the operating system (for example, the Explorer process), was infected, then the anti-virus system 101 restores the trusted version of such a file from backup 105. The anti-virus system 101 uses the anti-virus database data 108, which contains data on malicious program files, and adds those from the files that were identified during the investigation, as part of a single event, if such files were not yet marked as malicious Software components. Then the anti-virus system 101 reboots from the trusted storage device.

Далее антивирусная система 101 соединяется посредством сети, например, используя интернет 109, с антивирусным сервером 110, который принадлежит поставщику антивирусного программного обеспечения, для передачи информации, которая описывает событие (например, передают копию файла журнала, копию вредоносных компонент или предполагаемых вредоносных компонент прежде не известных, но участвовавших в подозрительном событии). Таким образом, можно сформировать пакет, содержащий информацию обо всех взаимосвязанных вредоносных компонентах, а также о тех файлах или ветках реестра, которые были изменены в ходе их работы.Further, the anti-virus system 101 is connected via a network, for example, using the Internet 109, to the anti-virus server 110, which is owned by the anti-virus software provider, to transmit information that describes the event (for example, a copy of the log file, a copy of malicious components or suspected malicious components have not been transmitted known, but participating in a suspicious event). Thus, it is possible to form a package containing information about all interconnected malicious components, as well as about those files or registry branches that were changed during their work.

После этого антивирусный сервер 110 может выслать описание (например, хеш) неизвестных вредоносных компонент остальным пользователям, для которых можно сразу же организовать проверку на наличие ранее необнаруженных вредоносных компонент, а также восстановить поврежденные файлы из резервных копий 105.After that, the anti-virus server 110 can send a description (for example, a hash) of unknown malicious components to other users, for which you can immediately arrange for the presence of previously undetected malicious components, as well as restore damaged files from backup copies 105.

Фиг.2 описывает последовательность действий, используемых настоящим техническим решением. Как представлено на фиг.2, система ожидает наступления события, такого, которое задействует системный интерфейс прикладного программирования (API) в блоке поиска вызовов API (позиция 201) при создании или изменении файла, или при записи в системный реестр. Если подобное событие было обнаружено подсистемой фильтрации (позиция 202), то его обрабатывают при помощи фильтра 203, т.е. определяют степень опасности (подозрительности) события. Если подсистема наблюдения 204 выявляет, что обрабатываемое событие подозрительное, т.к. затрагивает исполняемый файл или ключи системного реестра, то параметры этого события записывают в базу данных или журнал событий 102 (позиция 205), после чего управление передается блоку поиска вызовов API 201. Стоит отметить, что события могут обрабатываться как одно за другим, так и учитывая взаимосвязи между ними - например, можно отдельно прослеживать вызовы API от выбранного процесса. Подобным образом, можно определить потенциально опасное поведение, когда неизвестная вредоносная программа начинает скачивать остальные компоненты на жесткий диск, которые затем могут начать выполнять другой вредоносный функционал.Figure 2 describes the sequence of actions used by this technical solution. As shown in FIG. 2, the system expects the occurrence of an event, such that the system application programming interface (API) is activated in the API call search block (position 201) when creating or modifying a file, or writing to the system registry. If a similar event was detected by the filtering subsystem (position 202), then it is processed using the filter 203, i.e. determine the degree of danger (suspicion) of the event. If the monitoring subsystem 204 detects that the event being processed is suspicious, because if it affects the executable file or registry keys, the parameters of this event are written to the database or event log 102 (position 205), after which the control is transferred to the API 201 call search block. It is worth noting that events can be processed either one after the other or taking into account the relationship between them - for example, you can separately track API calls from the selected process. Similarly, you can identify potentially dangerous behavior when an unknown malware starts downloading other components to the hard drive, which can then begin to execute other malicious functionality.

Фиг.3 отображает обработку события, которое связано с вредоносной активностью. Выявление вредоносного программного обеспечения осуществляется на этапе 301 при помощи антивирусной системы 101. На этапе 302 приступают к анализу для обнаружения файлов, которые могли быть затронуты выявленным вредоносным программным обеспечением. На этапе 303 по записям событий из журнала событий создают перечень файлов, связанных с событием, также в перечне указываются процессы, которые были созданы или модифицированы такими файлами, также как и потомки таких процессов. На этапе 304 пользователь оповещается о присутствии таких файлов, после чего запрашиваются дальнейшие действия системы. На этапе 305 зараженные файлы или вредоносные программные компоненты обезвреживают, например, удаляют, помещают в карантин, или завершают зараженный или вредоносный процесс, или восстанавливают файл из доверенной резервной копии. На этапе 306 информацию об обнаруженных вредоносных компонентах дополнительно отсылают на сервер антивирусной компании, после чего будут обновлены антивирусные базы, о чем будут оповещены оставшиеся пользователи.Figure 3 displays the processing of an event that is associated with malicious activity. The malware detection is carried out at step 301 using the anti-virus system 101. At step 302, an analysis is started to detect files that could be affected by the detected malware. At step 303, according to the event records from the event log, a list of files associated with the event is created, the processes that were created or modified by such files, as well as the descendants of such processes, are also listed. At step 304, the user is notified of the presence of such files, after which further system actions are requested. At step 305, infected files or malicious software components are neutralized, for example, deleted, quarantined, or the infected or malicious process is terminated, or the file is restored from a trusted backup. At step 306, information about the detected malicious components is additionally sent to the server of the anti-virus company, after which the anti-virus databases will be updated, and the remaining users will be notified.

Фиг.4 отображает дополнительные подробности, процесса выявления объектов, связанных с событием (см. этап 303 на фиг.3). Как отображено на фиг.4, этап 401 выполняет выявление всех взаимосвязей между объектами, заподозренными по результатам записей журнала событий 102. На этапе 402 компьютер проверяется на предмет еще не обработанных объектов, которые следует обработать. На этапе 403 выбирают следующий такой необработанный объект. На этапе 404 время создания объекта или его модификации сравнивают, чтобы определить, насколько оно близко со временем, когда произошло подозрительное событие. К этапу 405 определяются все связанные с объектом файлы в базе данных событий 105. На этапе 406 строят иерархию связей родитель-потомок для объекта. На этапе 407 смотрят, что есть такие взаимосвязи, и тогда на этапе 408 сохраняют взаимосвязи и идентификаторы объектов. После чего обработка возвращается на этап 402.Figure 4 displays additional details of the process for identifying objects associated with an event (see step 303 in Figure 3). As shown in FIG. 4, step 401 performs the identification of all relationships between objects suspected from the results of the event log entries 102. At step 402, the computer is checked for objects that have not yet been processed, which should be processed. At 403, the next such raw object is selected. At step 404, the creation time of the object or its modification is compared to determine how close it is to the time when the suspicious event occurred. By step 405, all files associated with the object in the event database 105 are determined. At step 406, a parent-child relationship hierarchy is constructed for the object. At 407, it is looked at that there are such relationships, and then at 408, the relationships and object identifiers are stored. After that, the processing returns to step 402.

Фиг.5 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, оперативное запоминающее устройство (ОЗУ) 25. Основную систему ввода/вывода (BIOS), содержащую основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки с использованием ПЗУ 24.5 is an example of a general purpose computer system, a personal computer or server 20 comprising a central processor 21, a system memory 22, and a system bus 23 that contains various system components, including memory associated with the central processor 21. The system bus 23 is implemented like any bus structure known in the art, which in turn contains a bus memory or a bus memory controller, a peripheral bus and a local bus that is capable of interacting with any other bus architecture. The system memory contains read-only memory (ROM) 24, random access memory (RAM) 25. The main input / output system (BIOS), containing the basic procedures that ensure the transfer of information between the elements of the personal computer 20, for example, at the time of loading using the ROM 24.

Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс привода магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20. Настоящее описание раскрывает реализацию системы, которая использует жесткий диск, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации, которые способны хранить данные в доступной для чтения компьютером форме (кассеты с магнитной лентой, карты памяти flash, цифровые диски, картриджи Бернулли, память с произвольным доступом (ОЗУ), постоянные запоминающие устройства (ПЗУ), и т.п.).The personal computer 20, in turn, contains a hard disk 27 for reading and writing, a magnetic disk drive 28 for reading and writing to removable magnetic disks 29, and an optical drive 30 for reading and writing to removable optical disks 31, such as a CD-ROM, DVD- ROM and other optical storage media. The hard disk 27, the magnetic disk drive 28, the optical drive 30 are connected to the system bus 23 through the interface of the hard disk 32, the magnetic disk drive interface 33 and the optical drive interface 34, respectively. Drives and associated computer storage media are non-volatile means of storing computer instructions, data structures, software modules and other data of a personal computer 20. This description discloses an implementation of a system that uses a hard disk, a removable magnetic disk 29, and a removable optical disk 31, but it should be understood that it is possible to use other types of computer storage media that are capable of storing data in a form readable by a computer (magnetic cassettes tnoj tape, memory card, flash, digital disks, Bernoulli cartridges, random access memory (RAM), read only memories (ROM), etc.).

Некоторые из программных модулей, в том числе операционная система 35, хранятся на жестком диске, магнитном диске 29, оптическом диске 31, ПЗУ 24 или ОЗУ 25. Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35 и дополнительные программные приложения 37, другие программные модули 38 и программные данные 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятор «мышь» 42). Другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, спутниковая тарелка, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к центральному процессору 21 через последовательный порт 46, который в свою очередь подсоединен в системной шине, но могут быть подключены иным способом, например, параллельный порт, игровой порт или универсальную последовательную шину (USB). Монитор 47 или иной тип устройства отображения, также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен иными периферийными устройствами вывода (не отображены), например, колонки принтер и т.п.Some of the software modules, including the operating system 35, are stored on a hard disk, a magnetic disk 29, an optical disk 31, a ROM 24 or a RAM 25. The computer 20 has a file system 36 where a recorded operating system 35 and additional software applications 37 are stored, other program modules 38 and program data 39. The user is able to enter commands and information into the personal computer 20 by means of input devices (keyboard 40, mouse manipulator 42). Other input devices (not displayed): microphone, joystick, game console, satellite dish, scanner, etc. Such input devices are, as usual, connected to the central processor 21 through a serial port 46, which in turn is connected to the system bus, but can be connected in another way, for example, a parallel port, a game port, or a universal serial bus (USB). A monitor 47 or other type of display device is also connected to the system bus 23 via an interface such as a video adapter 48. In addition to the monitor 47, the personal computer may be equipped with other peripheral output devices (not displayed), for example, printer speakers, etc. .

Персональный компьютер 20 способен работать в сетевом окружении, при этом используется логическое соединение с другим, или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами, серверами, роутерами, сетевыми станциями, пиринговыми устройствами или иным сетевым узлом, и по обыкновению, имеют большинство или все из упомянутых элементов описанных ранее при объяснении существа персонального компьютера 20, представленной на фиг.5 лишь только как устройство хранения 50 с приложениями 37'. Логические соединения подразумевают локальную вычислительную сеть (LAN) 51 и глобальную вычислительную сеть (WAN) 52, Такие сети являются обычным офисным оборудованием, а также применяются в корпоративных компьютерных сетях, внутренних сетях компаний и Интернет.The personal computer 20 is capable of operating in a networked environment, using a logical connection with another or several remote computers 49. The remote computer (or computers) 49 are the same personal computers, servers, routers, network stations, peer devices, or another network node, and, as usual, they have most or all of the elements mentioned above when explaining the essence of the personal computer 20 shown in FIG. 5 only as a storage device 50 s when Lodges 37 '. Logical connections mean a local area network (LAN) 51 and a wide area network (WAN) 52. Such networks are common office equipment and are also used in corporate computer networks, internal networks of companies and the Internet.

При использовании LAN сетей, персональный компьютер 20 подсоединен к локальной сети 51 через сетевой адаптер или интерфейс 53.When using LAN networks, the personal computer 20 is connected to the local network 51 via a network adapter or interface 53.

При использовании WAN сетей, персональный компьютер 20 имеет модем 54 или иные средства установления связи с глобальной вычислительной сетью 52, такой как Интернет. Модем 54, который является внутренним или внешним, подключен к системной шине 23 посредством последовательного порта 46. В сетевом окружении программные модули раскрытых персональных компьютеров 20, или части таких программ, хранят в удаленных устройствах хранения данных. Следует уточнить, что сетевые соединения являются лишь примерными, и не обязаны отображать точную сетевую конфигурацию сети, т.е. в действительности существуют иные способы установления логического соединения, иными техническими средствами связи одного компьютера с другим.When using WAN networks, the personal computer 20 has a modem 54 or other means of establishing communication with a wide area network 52, such as the Internet. The modem 54, which is internal or external, is connected to the system bus 23 via the serial port 46. In a networked environment, program modules of the disclosed personal computers 20, or portions of such programs, are stored in remote storage devices. It should be clarified that the network connections are only exemplary, and are not required to display the exact network configuration of the network, i.e. in reality, there are other ways to establish a logical connection, other technical means of communication from one computer to another.

Настоящее описание излагает основной изобретательский замысел авторов, который не может быть ограничен теми аппаратными устройствами, которые упоминались ранее. Следует отметить, что аппаратные устройства, прежде всего, предназначены для решения узкой задачи. С течением времени и с развитием технического прогресса такая узкая задача усложняется или эволюционирует. Появляются новые средства, которые способны выполнить новые требования. В этом смысле следует рассматривать такие аппаратные устройства с точки зрения класса решаемого ими технических задач, а не чисто технической реализации на некой элементной базе.The present description sets forth the main inventive concept of the authors, which cannot be limited to those hardware devices that were mentioned earlier. It should be noted that hardware devices are primarily designed to solve a narrow problem. Over time and with the development of technological progress, such a narrow task becomes more complicated or evolves. New tools are emerging that are able to fulfill new requirements. In this sense, such hardware devices should be considered from the point of view of the class of technical problems they solve, and not purely technical implementation on some element base.

Claims (6)

1. Система пополнения антивирусных баз путем обнаружения неизвестных вредоносных компонент в компьютерной системе, содержащая:1. A system for replenishing anti-virus databases by detecting unknown malicious components in a computer system, comprising: а) монитор событий, предназначенный для отслеживания событий, происходящих в операционной системе, связанный с подсистемой ведения журнала;a) an event monitor designed to track events occurring in the operating system associated with the logging subsystem; б) подсистему ведения журнала, предназначенную для обнаружения подозрительных событий из событий, происходящих в операционной системе, связанная с модулем анализа и антивирусной системой;b) a logging subsystem designed to detect suspicious events from events occurring in the operating system associated with the analysis module and anti-virus system; в) модуль анализа, предназначенный для отслеживания истории произошедших событий создания процессов и дочерних процессов и выстраивания иерархии родитель - потомок, связанный с антивирусной системой;c) an analysis module designed to track the history of events that occurred during the creation of processes and child processes and to build a parent-child hierarchy associated with the antivirus system; г) антивирусную систему, предназначенную для:d) an anti-virus system designed for: (i) проверки исполняемых компьютерных файлов компьютера;(i) checking executable computer files of a computer; (ii) после обнаружения известной вредоносной компоненты обращения к модулю анализа для определения, в каком событии участвовала найденная вредоносная компонента, используя иерархию типа родитель-потомок;(ii) after detecting a known malicious component, calling the analysis module to determine in which event the detected malicious component participated, using a parent-child hierarchy; (iii) создания информации о списке процессов-участников события, в котором участвовала найденная вредоносная компонента, а также созданных или измененных файлов, и процессов, запущенных из таких файлов, на основе связей в иерархии родитель - потомок;(iii) creating information about the list of processes participating in the event in which the found malicious component participated, as well as created or modified files, and processes launched from such files, based on relationships in the parent-child hierarchy; (iv) завершения всех активных процессов-участников, принадлежащих событию, в котором участвовала найденная вредоносная компонента;(iv) termination of all active participant processes belonging to the event in which the detected malicious component participated; (v) удаления или помещения в карантин исполняемых файлов, которые использовались в рамках события, в котором участвовала найденная вредоносная компонента;(v) removing or quarantining executable files that were used as part of the event in which the detected malicious component participated; при этом антивирусная система связана с сервером обновлений баз данных антивирусной системы;while the anti-virus system is connected to the anti-virus system database update server; д) сервер обновлений баз данных антивирусной системы, предназначенный для использования полученной от антивирусной системы информации о списке процессов-участников события, в котором участвовала найденная вредоносная компонента, а также созданных или измененных файлов, и процессов, запущенных из таких файлов, для пополнения антивирусных баз данных с учетом обнаружения неизвестных вредоносных компонент исходя из полученной информации от антивирусной системы.e) an anti-virus system database update server, designed to use information received from the anti-virus system on the list of processes participating in the event, in which the found malicious component participated, as well as created or modified files, and processes launched from such files, to replenish anti-virus databases data taking into account the detection of unknown malicious components based on the information received from the anti-virus system. 2. Система по п.1, в которой события, происходящие в операционной системе, являются событиями, связанными с созданием, изменением исполняемых файлов, изменениями в системном реестре.2. The system according to claim 1, in which the events occurring in the operating system are events associated with the creation, modification of executable files, changes in the system registry. 3. Система по п.1, в которой дополнительно присутствует подсистема хранения резервных копий, связанная с монитором событий и антивирусной системой, предназначенная для сохранения файлов перед их изменением.3. The system according to claim 1, in which there is additionally a backup storage subsystem associated with the event monitor and anti-virus system, designed to save files before changing them. 4. Система по п.4, в которой антивирусная система восстанавливает файлы из подсистемы хранения резервных копий при их изменении вредоносными компонентами.4. The system according to claim 4, in which the anti-virus system restores files from the backup storage subsystem when they are modified by malicious components. 5. Система по п.1, в которой подозрительными событиями являются те, которые имеют определенный уровень опасности с точки зрения антивирусной системы и являются действиями, которые включают попытки создания и/или изменения файлов в системных папках, изменение или удаление важных веток реестра, работа с процессами, скачивание файлов из сети без предупреждения пользователя.5. The system according to claim 1, in which the suspicious events are those that have a certain level of danger from the point of view of the anti-virus system and are actions that include attempts to create and / or modify files in system folders, change or delete important registry branches, work with processes, downloading files from the network without warning the user. 6. Система по п.1, в которой сервер обновлений баз данных антивирусной системы обновляет базы данных у всех пользователей после пополнения антивирусных баз данных с учетом обнаружения неизвестных вредоносных компонент.
Figure 00000001
6. The system according to claim 1, in which the anti-virus database update server updates the databases of all users after updating the anti-virus databases, taking into account the detection of unknown malicious components.
Figure 00000001
RU2010107432/22U 2010-03-02 2010-03-02 SYSTEM OF COMPLETING ANTI-VIRUS DATABASES UNDER THE DETECTION OF UNKNOWN MALIGNANT COMPONENTS RU96267U1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2010107432/22U RU96267U1 (en) 2010-03-02 2010-03-02 SYSTEM OF COMPLETING ANTI-VIRUS DATABASES UNDER THE DETECTION OF UNKNOWN MALIGNANT COMPONENTS

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2010107432/22U RU96267U1 (en) 2010-03-02 2010-03-02 SYSTEM OF COMPLETING ANTI-VIRUS DATABASES UNDER THE DETECTION OF UNKNOWN MALIGNANT COMPONENTS

Publications (1)

Publication Number Publication Date
RU96267U1 true RU96267U1 (en) 2010-07-20

Family

ID=42686438

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2010107432/22U RU96267U1 (en) 2010-03-02 2010-03-02 SYSTEM OF COMPLETING ANTI-VIRUS DATABASES UNDER THE DETECTION OF UNKNOWN MALIGNANT COMPONENTS

Country Status (1)

Country Link
RU (1) RU96267U1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2514140C1 (en) * 2012-09-28 2014-04-27 Закрытое акционерное общество "Лаборатория Касперского" System and method for improving quality of detecting malicious objects using rules and priorities
RU2536664C2 (en) * 2012-12-25 2014-12-27 Закрытое акционерное общество "Лаборатория Касперского" System and method for automatic modification of antivirus database
RU2599945C2 (en) * 2015-02-20 2016-10-20 Закрытое акционерное общество "Лаборатория Касперского" System and method for database augmentation with objects antivirus inspection on a plurality of virtual machines

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2514140C1 (en) * 2012-09-28 2014-04-27 Закрытое акционерное общество "Лаборатория Касперского" System and method for improving quality of detecting malicious objects using rules and priorities
RU2536664C2 (en) * 2012-12-25 2014-12-27 Закрытое акционерное общество "Лаборатория Касперского" System and method for automatic modification of antivirus database
RU2599945C2 (en) * 2015-02-20 2016-10-20 Закрытое акционерное общество "Лаборатория Касперского" System and method for database augmentation with objects antivirus inspection on a plurality of virtual machines

Similar Documents

Publication Publication Date Title
US7472420B1 (en) Method and system for detection of previously unknown malware components
JP6949951B2 (en) Systems and methods for repairing memory corruption in computer applications
Wang et al. Detecting stealth software with strider ghostbuster
US10291634B2 (en) System and method for determining summary events of an attack
US8181247B1 (en) System and method for protecting a computer system from the activity of malicious objects
EP3712793B1 (en) Integrity assurance during runtime
RU2454705C1 (en) System and method of protecting computing device from malicious objects using complex infection schemes
US8935789B2 (en) Fixing computer files infected by virus and other malware
US8255998B2 (en) Information protection method and system
US8719935B2 (en) Mitigating false positives in malware detection
US8468604B2 (en) Method and system for detecting malware
US8099785B1 (en) Method and system for treatment of cure-resistant computer malware
US7934261B1 (en) On-demand cleanup system
US7231637B1 (en) Security and software testing of pre-release anti-virus updates on client and transmitting the results to the server
US20210026947A1 (en) Intrusion detection and prevention for unknown software vulnerabilities using live patching
JP2019079500A (en) System and method of detecting malicious file
RU2697954C2 (en) System and method of creating antivirus record
EP1915719B1 (en) Information protection method and system
WO2007035575A2 (en) Method and apparatus for removing harmful software
US20110283358A1 (en) Method and system to detect malware that removes anti-virus file system filter driver from a device stack
US9330260B1 (en) Detecting auto-start malware by checking its aggressive load point behaviors
RU101233U1 (en) SYSTEM OF RESTRICTION OF RIGHTS OF ACCESS TO RESOURCES BASED ON THE CALCULATION OF DANGER RATING
RU2583714C2 (en) Security agent, operating at embedded software level with support of operating system security level
RU96267U1 (en) SYSTEM OF COMPLETING ANTI-VIRUS DATABASES UNDER THE DETECTION OF UNKNOWN MALIGNANT COMPONENTS
RU2468427C1 (en) System and method to protect computer system against activity of harmful objects