Система определения новых версий программ

Авторы патента:

Мартыненко Владислав Валерьевич (RU)

Полезная модель относится к антивирусной защите, в частности к системам асинхронной обработки событий компьютерной системы и предназначено для обеспечения мер противодействия распространения вредоносных программ. Технический результат настоящей полезной модели заключается в увеличении скорости детектирования неизвестных программ.

Область техники

Полезная модель относится к антивирусной защите, в частности, к системам определения новых версий программ.

Уровень техники

В настоящее время существуют устройства детектирования неизвестных вредоносных программ методами эмуляции и эвристического детектирования. Однако существуют проблемы в связи с обходом эмуляции вредоносными программами или не совсем своевременным созданием эвристик на новое вредоносное программное обеспечение. Также существуют устройства перехвата событий компьютерной системы «на лету». Однако недостатком такого устройства является задержка работы процесса, вызвавшего событие, для исследования его на предмет вредоносного поведения. И в дальнейшем задержка работы всей системы. Необходимо также находить новые устройства обеспечения безопасности для пользовательской компьютерной системы, исследуя не только программное обеспечение, установленное на компьютере, но и различные веб-приложения, и т.д.

Существует множество различных устройств проведения проверок компьютеров на наличие вирусов, т.к. большинство из них находят новые пути обхода антивирусных решений. Современные вредоносные программы уже умеют обходить эмуляторы, а эвристический анализ не может постоянно исполняться для проверки вредоносного ПО. Обычно применяется устройство синхронной обработки данных на лету. Одно из таких устройств описано в заявке WO 2008048665 A2. Однако устройство синхронной обработки данных задерживает выполнение процесса, вызвавшего проверяемое событие, а соответственно и всей системы в целом.

Для анализа запущенных в компьютерной системе событий также используется устройство фильтрации системных событий. Например, подобное устройство описано в заявке US 7,406,199, где процессы, запускающие системные события, подвергаются фильтрации через заранее известные шаблоны и затем проверяются. Алгоритм предыдущего уровня техники, использующий синхронную обработку событий, изображен на Фиг.1.

Данная система основана на том, что событие отпускается на дальнейшую обработку только после проверки процесса, вызвавшего событие. После возникновения системного события в реальном времени на шаге 110 драйвер системы обрабатывает очередь фильтров для данного события на шаге 115. Если событие проходит через фильтр на шаге 120, то данное событие отправляется на проверку модулям системы на шаге 130, и если событие представляет угрозу для компьютерной системы на шаге 135, то процесс, вызвавший событие, останавливается модулем системы на шаге 150. Если же событие не представляет угрозы компьютеру, или оно не прошло через фильтр, то оно отпускается на дальнейшую обработку на шаге 140.

Недостатки предыдущего уровня техники, а именно достаточно медленная обработка событий, которая временно останавливает работу процессов компьютерной системы, а также невозможность определения новых версий чистых объектов требуют поиска решения, которое реализовано в представленной полезной модели.

Раскрытие полезной модели

Настоящая полезная модель предназначена для нахождения новых версий программ и их классификации.

Технический результат настоящей полезной модели заключается в увеличении скорости детектирования неизвестных программ.

Согласно одному объекту заявленной полезной модели система определения новых версий программ содержит:

средства перехвата, предназначенные для перехвата системных событий;

потоковый обработчик, предназначенный для создания копии событий, полученных от средств перехвата;

средства фильтрации, предназначенные для отбора системных событий, полученных от потокового обработчика по фильтрам;

модули обработки событий, которые получают копии отфильтрованных событий от средства фильтрации и которые предназначены для выявления аномалий известных программ;

средство хранения коллекции чистых объектов, предназначенное для хранения информации об известных доверенных объектах и предоставляющее данную информацию модулям обработки событий;

средство хранения коллекции вредоносных объектов, предназначенное для хранения информации об известных вредоносных объектах и предоставляющее данную информацию модулям обработки событий.

В частности модули обработки событий предназначены для выявления аномалий при обнаружении сходства процесса, вызвавшего событие, с заранее известным программным обеспечением из коллекции чистых объектов.

В частности модули обработки событий предназначены также для классификации аномального процесса, а также для формирования вывода о наличии новой версии программного обеспечения.

В частности модули обработки событий предназначены также для классификации аномального процесса, а также для формирования вывода о наличии измененной версии известного программного обеспечения, имеющей вредоносный характер поведения.

Краткое описание чертежей

Дополнительные цели, признаки и преимущества настоящей полезной модели будут очевидными из прочтения последующего описания осуществления полезной модели со ссылкой на прилагаемые чертежи, на которых:

Фиг.1 показывает метод обнаружения вредоносных программ предыдущего уровня техники, использующий синхронную обработку событий компьютерной системы.

Фиг.2 показывает примерный вариант реализации системы обнаружения вредоносных программ.

Фиг.3 показывает блок-схему асинхронной обработки событий компьютерной системы.

Фиг.4 показывает блок-схему асинхронной обработки системных событий потоковым сканнером.

Фиг.5 показывает блок-схему обработки событий в антивирусном модуле.

Фиг.6 показывает блок-схему выполнения этапа обновления «черных» и «белых» списков.

Фиг.7 показывает примерный вариант реализации системы обнаружения зараженных веб-сайтов.

Фиг.8 показывает примерный вариант реализации системы обнаружения аномалий в конфигурации сети.

Фиг.9 показывает примерный вариант реализации разных уровней настроек пользователей.

Описание вариантов осуществления полезной модели

Далее будут описаны примерные варианты реализации настоящей полезной модели со ссылкой на сопровождающие чертежи. Объекты и признаки настоящей полезной модели станут очевидными посредством отсылки к примерным вариантам реализации. Однако настоящая полезная модель не ограничивается примерными вариантами реализации, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, определенная в описании, является ничем иным, как конкретными деталями, предоставленным для помощи специалисту в области техники в исчерпывающем понимании полезной модели, и настоящая полезная модель определяется только в объеме приложенной формулы.

Настоящая полезная модель используется в компьютерах общего назначения, например, обычных компьютерах или серверах. Такие компьютеры содержат процессор, системную память и системную шину, которая соединяет разные системные компоненты, включая системную память, с процессором. Системная шина может быть одним из нескольких типов шинной структуры, включая шину памяти или контроллер памяти, периферийной шиной и локальной шиной, использующей любую шинную архитектуру. Системная память включает в себя постоянную память (ROM) и оперативную память (RAM).

Базовая система ввода-вывода (BIOS), содержащая основные программы, которые помогают передавать информацию между элементами в компьютере, такую как во время запуска, сохраняется в ROM. Компьютер может дополнительно содержать накопитель на жестком диске для чтения или записи на жесткий диск, накопитель на магнитных дисках для считывания с или записи на сменный магнитный диск, и накопитель на оптических дисках для чтения с или записи на сменный оптический диск, такой как CD-ROM, DVD-ROM или другие оптические носители.

Накопитель на жестком диске, накопитель на магнитных дисках и накопитель на оптических дисках также соединяются с системной шиной посредством интерфейса накопителя на жестком диске, интерфейса накопителя на магнитных дисках и интерфейса накопителя на оптических дисках, соответственно. Накопители и связанные с ними машиночитаемые носители обеспечивают энергонезависимое хранение машиночитаемых команд, структур данных, программных модулей и других данных для компьютера.

Компьютер может также содержать магнитные кассеты, карты флэш-памяти, цифровые видеодиски, картриджи Бернулли, оперативные памяти (RAM), постоянные памяти (ROM) и другие виды памяти.

Ряд программных модулей может быть сохранен на жестком диске, магнитном диске, оптическом диске, ROM или RAM, включая операционную систему (например, Windows 2000). Компьютер включает в себя также файловую систему, связанную с или включенную в операционную систему, такую как Windows NT File System (NTFS), одну или более прикладных программ, другие программные модули и данные программ. Пользователь может вводить команды и информацию в компьютер с помощью устройств ввода/вывода, таких как клавиатура и указательное устройство (мышь).

Другие устройства ввода могут включать в себя микрофон, джойстик, игровой планшет, спутниковую антенну, сканер или т.п. Эти и другие устройства ввода/вывода соединены с процессором через интерфейс последовательного порта, который соединен с системной шиной. Следует отметить, что эти устройства ввода/вывода могут соединяться с другими интерфейсами, такими как параллельный порт или универсальный последовательный порт (USB). Монитор или другой тип устройства отображения также соединяется с системной шиной через интерфейс, такой как видеоадаптер. Кроме того компьютер может включать в себя другие периферийные устройства вывода, такие как динамики и принтеры.

Компьютер, в котором используются заявленные системы, работает в сетевой среде, использующей логические соединения с одним или более удаленными компьютерами. Удаленный компьютер (или компьютеры) могут быть другими компьютерами, серверами, маршрутизаторами, сетевыми PC, одноранговым устройством или другим общим сетевым узлом. Этот компьютер может быть подсоединен к локальной сети (LAN) или к глобальной сети (WAN), к сети в офисах, Интернету или Интранету.

Когда компьютер используется в сетевой среде LAN, компьютер соединяется с локальной сетью через сетевой интерфейс или адаптер. Когда используется в сетевой среде WAN, компьютер обычно включает в себя модем или другие средства для установления связи через глобальную сеть, такую как Интернет. Модем, который может быть внутренним или внешним, соединяется с системной шиной через интерфейс последовательного порта.

Одно из направлений полезной модели основано на создании системы, использующей асинхронную обработку событий для оценки типа приложения, т.е. выявления, относится ли приложение к вредоносному программному обеспечению (далее ПО) или нет.

В настоящее время для детектирования неизвестных вредоносных программ применяют средства эмуляции программ до их запуска на пользовательской компьютерной системе и анализа журнала поведения, собранного на основе данных эмуляции. Помимо эмуляции также применяется анализ поведения программы по заранее определенным шаблонам поведения. Также применяются различные системы фильтрации событий (для анализа поведения уже запущенных программ), которые применяются как для обычной работы операционной системы, так и для использования различными приложениями для контроля системы, в том числе и антивирусными приложениями. События отправляются на проверку и только затем передаются на дальнейшую обработку. Такой способ не является быстрым, т.к. на проверку процесса, вызвавшего событий уходит какое-то время, что в целом замедляет действие процесса, а значит и всей системы.

Данный метод обнаружения вредоносного ПО основывается на анализе поведения запущенных в системе приложений. Существующие методы позволяют сравнивать действия, совершаемые приложением, с уже существующим набором правил, описывающих последовательность действий системы. Каждое такое правило описывает либо вредоносное приложение, либо, наоборот, доверенное. В случае совпадения с тем или иным правилом можно оценить характер поведения приложения, запустившего процесс, который вызвал событие. Но т.к. коллекции файлов недостаточно оперативно изменяются и в частном случае не всегда имеют правила, описывающие процессы, запущенные в системе, то необходимо создать средство автоматического создания правил для ускорения времени реакции на неизвестные программы и обеспечения реакции без ложных срабатываний.

Поэтому для решения вышеперечисленных задач представлена полезная модель в виде системы, использующей асинхронную обработку событий для оценки типа приложения.

Предложенная система, изображенная на Фиг.2, объединяет работу драйвера 220 на уровне операционной системы с различными модулями 250 на уровне приложения с помощью потокового сканера 230, такими как

- система предотвращения вторжений (Host Intrusion Prevention System или HIPS), объединяющая функционал проактивной защиты и сетевого экрана, которая управляет разрешениями на доступ к файлу, реестру, системным правам, и т.д.;

- проактивная система защиты (Proactive Defense Module или PDM) - часть антивируса, предназначенная для детектирования "по поведению", в которой реализован механизм анализа событий, получаемых из ядра операционной системы в реальном времени;

- файрволл (сетевой экран или брандмауэр) и др. компонентами антивирусного продукта.

Потоковый сканер 230 предоставляет возможность создавать и настраивать для каждого модуля 250 собственные фильтры 240 драйверу 220. Фильтры 240 пропускают атомарные системные события 210, такие как, например, вызов системных функций (создание файла, просмотр реестра) и т.д.

После того, как драйвер 220 перехватил новое событие 210, он передает его потоковому сканеру 230, который пропускает событие 210 через фильтры 240. Если событие 210 прошло через какой-либо фильтр 240, сканер 230 копирует это событие и помещает копию в очередь событий на обработку модулями системы 250. Оригинальное событие он отпускает на дальнейшую обработку. Блок-схема, описывающая обработку событий 210 потоковым сканером 230, изображена на Фиг.3.

При возникновении события системы на шаге 310 оно перехватывается драйвером для обработки его через множество фильтров различных модулей системы на шаге 320. Если событие проходит через какой-либо фильтр из набора фильтров 240 на шаге 325, то создается копия события на шаге 330, затем эта копия добавляется в очередь событий на шаге 340. После этого оригинальное событие отправляется на дальнейшую обработку на шаге 345. Если же событие не проходит ни через один из фильтров, то оно сразу же отправляется на обработку на шаге 345.

На Фиг.4 изображена блок-схема этапов обработки событий системы 210 модулем 250. Через определенный интервал времени каждый из модулей системы проверяет, есть ли в очереди события, прошедшие через его фильтр на шаге 410. Если события есть на шаге 420, модуль забирает копии событий на обработку на шаге 430, которая заключается в преобразовании события в служебную запись на шаге 440. После этого копия события удаляется из очереди на шаге 450. Служебная запись передается антивирусному ядру на проверку на шаге 460. После проверки выявляется, является ли событие вредоносным действием или нет. Если является, то процесс, создавший событие принудительно останавливается и блокируется.

Такая обработка событий является асинхронной. Преимущество ее в том, что она отпускает событие, и, соответственно, процесс, вызвавший это событие, продолжает работу. Таким образом, система не останавливает работу процесса, и проверка продолжается незаметно для пользователя компьютерной системы. У такого метода проверки событий есть недостатки. В то время, как сканер отправляет копию события на проверку антивирусному ядру, сам процесс выполняется в системе. И реакция ядра на вредоносный процесс будет более поздней, чем, если бы обработка была синхронной, и событие бы удерживалось ядром. Однако такой подход позволяет оптимизировать скорость работы компьютерной системы. Если процесс, вызвавший событие, вредоносный, то минимизировать потери можно сторонними средствами (например, этими средствами могут быть откаты, резервные копии, виртуализация и т.д.). На практике время задержки реакции антивирусного ядра на вредоносные программы исчисляется в миллисекундах.

Когда копия события 510 на Фиг.5 передается на обработку антивирусному ядру, применяются методы эвристического и сигнатурного детектирования 520. Можно использовать маленькие сигнатуры для обнаружения вредоносных программ. Такими сигнатурами для определенных вредоносных программ могут быть, например, создание соединения с определенным IP-адресом или создание определенного файла в системной директории. Можно так же регулировать срок жизни сигнатуры и уровень опасности. Также возможен запуск процесса на эмуляторе. Существующие вредоносные программы умеют анализировать, запускаются ли они под эмулятором, или работают в обычном режиме. Если вредоносная программа определит, что она работает под эмулятором, то она изменяет алгоритм своей работы, который не является вредоносным, и поэтому не определится эмулятором как вредоносный. Существующий обход эмуляторов - это основная проблема. Предоставленный метод анализа копии события позволяет избежать этой проблемы, т.к. не используется эмулятор.

Детектирование вредоносного поведения на «узких» сигнатурах, которые описывают атомарные операции, используется для создания тестовых и частичных обнаружений.

Частичные обнаружения 595 относятся к программам, для которых не удалось однозначно определить, является ли она вредоносной. Программа может попадать под следующие сигнатуры: самокопирование, регистрация в системном реестре, копирование в системную папку, и т.д.

Тестовые обнаружения 590 похожи на частичные обнаружения 595, но они описывают небольшой промежуток времени для выявления статистической информации по поведению процесса. Программы могут попадать под следующие сигнатуры: запись в новую ветку реестра, загрузка определенной библиотеки, чтение памяти из системного реестра, и т.д.

Данные обнаружения не будут отображаться пользователю. Однако они будут отправляться в вирусную лабораторию антивирусной программой, установленной на компьютере пользователя. Далее они будут накапливаться в базе антивирусной лаборатории в списках «чистых» (те объекты, которые находятся в базе доверенных приложений) и вредоносных объектов для дальнейшего изучения. В вирусной лаборатории уже будет собираться информация о процессах, выполняющих такие действия. Тестовые обнаружения могут срабатывать на все неизвестные файлы. Блок-схема этапов такой работы изображена на Фиг.6.

Модуль получает копию события от сканнера на шаге 610. Затем он проверяет событие с помощью средств сигнатурного и эвристического детектирования на шаге 620. Модуль посылает процесс, вызвавший событие, на дальнейшую обработку эмулятором на шаге 630. Модуль проверяет процесс на возможность исполнения анти-эмуляционных трюков и наличие упаковщиков на шаге 640. Анти-эмуляционными трюками называется изменение алгоритма исполнения программы, если процесс понимает, что он исполняется под эмулятором. Упаковщиками же принято называть архивы, в которых могут быть запакованы вредоносные файлы. Модуль создает запись о поведении процесса после его завершения на шаге 650. Модуль принимает решение о том, является ли процесс вредоносным или «чистым» и в зависимости от решения помещает его соответственно в список вредоносных объектов 560 или в список чистых объектов 550 на шаге 660.

Одним из направлений полезной модели для контроля веб-сайтов является модификация системы 500, отслеживающая появление случаев, изображенных на Фиг.7. Это необходимо для контроля и быстрой реакции на сайты, представляющие угрозу. Одним из критериев нахождения зловредных сайтов является массовое обращение за короткий промежуток времени, похожее на эпидемию. На Фиг.7 изображен пример контроля сайтов на небольшом промежутке времени. Сайты 710 и 720 являются сайтами, работающими в нормальном режиме, а к сайту 730 происходит обращение от N различных пользователей 760. При значении N, большем некоторого значения, которое можно считать предельным, можно считать, что сайт 730 заражен вредоносным кодом.

Выявление аномалий может также использоваться для создания системы, изображенной на Фиг.8, где представлен пример корпоративной сети 800. Сеть 800 состоит из множества компьютеров (810-850). Если учитывать, что есть набор настроек компьютеров 890, состоящий из настроек разного уровня компьютерной сети (860, 870), то можно отслеживать аномалии применительно к состоянию компьютеров сети 800. Например, если в сети обнаружена компьютерная система 850 с настройками 880, причем настройки 880 не находятся в наборе 890 настроек корпоративной сети, то можно предположить, что либо компьютер заражен, либо используется не в соответствии с принятыми нормами в корпоративной сети.

Также, используя возможность выявления аномалий, можно отслеживать поведения пользователя на компьютерной системе, учитывая ряд факторов и условий, создавая эвристики поведения определенного пользователя. В случае возникновения аномалий поведения пользователя, система сделает вывод о том, что текущий пользователь отличен от постоянного и принять ряд ограничений, выставленный изначально пользователем. Такими ограничениями могут быть запрет записи в реестр или системные папки, ограничение доступа к ресурсам компьютера, ограничение доступа к ряду заранее определенных программ, и т.д. Одновременно с этими действиями приложение может создавать резервные копии компьютерной системы, точки отката, и другие действия для более тщательной защиты.

Используя слепки поведения пользователей, существует возможность создавать ряд настроек, которые пользователь выбирает по умолчанию для работы с приложением. На Фиг.9 изображены примеры уровней настроек для работы с антивирусным приложением. Например, при выборе настроек антивируса 910 пользователь может выбрать настройки базового уровня (Основной 915), настройки среднего уровня (Средний 920), настройки выше среднего (Продвинутый 925), профессиональные настройки (Эскперт 930). Для каждой из настроек проставляются статусы следующих видов защиты:

Оценка риска - компоненты обнаружения риска и сканирования системы, которые отслеживают файловую систему компьютера, почтовые клиенты, веб-активность пользователя.

Контроль приложений - технология контролирует работу запущенных приложений и блокирует выполнение опасных операций.

Сетевые атаки - технологии борьбы с возникновением сетевых атак.

Фильтрация спама - методы борьбы со спамом.

Статусы, представленные на Фиг.7, могут быть следующими: высокий, рекомендуемый и ручная настройка.

Следует также отметить, что новой версий программного обеспечения считается доверенная программа, которая ведет себя очень сходно со старой доверенной версией с некоторыми различиями в функциональности. Если новой версии нет в базе данных известных программ, то она рассматривается и как новая версия, и как возможно вредоносная программа в зависимости от изменений по сравнению со старой версией. Если изменения являются разрешенными (например, запись новых данных в служебные папки программы или сокращение размера кеша), то программа классифицируется как новая версия.

Ниже приведен пример журналов поведения браузера Opera версий 9.5.1 и 9.5.2. Различия в журналах выделены жирным шрифтом.

Opera 9.5.1	Неизвестная программа (возможно новая версия браузера Opera)
\Device\Harddisk Volume 1\Documents and Set-tings\kulich\Local Settings\Application Data\Opera\Opera\profile\opcache\assoc\	\Device\Harddisk Volume 1\Documents and Settings\kulich\Local Settings\Application Data\Opera\Opera\profile\opcache\assoc\
\Device\Harddisk Volume 1\Documents and Settings\kulich\Local Settings\Application Data\Opera\Opera\profile\vps\ 0000	\Device\Harddisk Volume 1\Documents and Settings\kulich\Local Settings\Application Data\Opera\Opera\profile\vps\0000
\Device\Harddisk Volume 1\Documents and Settings\kulich\Local Settings\Application Data\Opera\Opera\profile\vps\0000\	\Device\Harddisk Volume 1\Documents and Settings\kulich\Local Settings\Application Data\Opera\Opera\profile\vps\0000\
adoc.bx	adoc.bx
adoc.bx-j	adoc.bx-j
md.dat	md.dat
md.dat-j	md.dat-j
url.ax	url.ax
url.ax-j	url.ax-j
w.ax	w.ax
w.ax-j	w.ax-j
wb.vx	wb.vx
wb.vx-j	wb.vx-j
\Device\Harddisk Volume 1\GIMMI\OPERAS\
951
\Device\Harddisk Volume 1\GIMMI\OPERAS\951\
\Device\Harddisk Volume 1\PROGRAM FILES\	\Device\Harddisk Volume 1\PROGRAM FILES\
\Device\Harddisk Volume 1\PROGRAM	\Device\Harddisk Volume 1\PROGRAM
FILES\OPERA\	FILES\OPERA\
ENCODING.BIN	ENCODING.BIN
ENGLISH.LNG	ENGLISH.LNG
OPERA.DLL	OPERA.DLL
OPERA.EXE	OPERA.EXE
OPERADEF6.INI	OPERADEF6.INI
SEARCH.INI	SEARCH.INI
\Device\Harddisk Volume 1\PROGRAM	\Device\Harddisk Volume 1\PROGRAM
FILES\OPERA\DEFAULTS\	FILES\OPERA\DEFAULTS\
DIALOG.INI	DIALOG.INI
FASTFORWARD.INI	FASTFORWARD.INI
PLUGIN-IGNORE.INI	PLUGIN-IGNORE.INI
SPELLCHECK.INI	SPELLCHECK.INI
STANDARD_KEYBOARD.INI	STANDARD_KEYBOARD.INI
STANDARD_MENU.INI	STANDARD_MENU.INI
STANDARD_MOUSE.INI	STANDARD_MOUSE.INI
STANDARD_TOOLBAR.INI	STANDARD_TOOLBAR.INI
STANDARD_VOICE.INI	STANDARD_VOICE.INI
\Device\Harddisk Volume 1\PROGRAM
FILES\OPERA\LOCALE\
\Device\Harddisk Volume 1\PROGRAM	\Device\Harddisk Volume 1\PROGRAM
FILES\OPERA\LOCALE\RU\	FILES\OPERA\LOCALE\RU\
RU.LNG	RU.LNG
\Device\Harddisk Volume 1\PROGRAM	\Device\Harddisk Volume 1\PROGRAM
FILES\OPERA\PROGRAM\	FILES\OPERA\PROGRAM\
\Device\Harddisk Volume 1\PROGRAM	\Device\Harddisk Volume 1\PROGRAM
FILES\OPERA\PROGRAM\PLUGINS\	FILES\OPERA\PROGRAM\PLUGINS\
\Device\Harddisk Volume 1 \PROGRAM	\Device\Harddisk Volume 1\PROGRAM
FILES\OPERA\SKIN\	FILES\OPERA\SKIN\
STANDARD_SKIN.ZIP	STANDARD_SKIN.ZIP
\Device\Harddisk Volume 1\PROGRAM	\Device\Harddisk Volume 1\PROGRAM
FILES\OPERA\STYLES\	FILES\OPERA\STYLES\
CONTENTBLOCK.CSS	CONTENTBLOCK.CSS
MATHML.CSS	MATHML.CSS
WML.CSS	WML.CSS

\Device\Harddisk Volume 1\PROGRAM	\Device\Harddisk Volume 1\PROGRAM
FILES\OPERA\STYLES\USER\	FILES\OPERA\STYLES\USER\
DISABLEBREAKS.CSS	DISABLEBREAKS.CSS
DISABLEFLOATS.CSS	DISABLEFLOATS.CSS
DISABLEFORMS.CSS	DISABLEFORMS.CSS
DISABLEPOSITIONING.CSS	DISABLEPOSITIONING.CSS
DISABLETABLES.CSS	DISABLETABLES.CSS
TABLELAYOUT.CSS	TABLELAYOUT.CSS
\Device\Harddisk Volume 1\PROGRA~1\	\Device\Harddisk Volume 1\PROGRA~1\
\Device\Harddisk Volume 1\PROGRA~1\KASPER~1\	\Device\Harddisk Volume 1\PROGRA~ 1\KASPER~1\
\Device\Harddisk Volume 1\PROGRA~1\KASPER~1\KASPER~1\	\Device\Harddisk Volume 1\PROGRA ~1\KASPER~1\KASPER~1\

Браузер Opera версии 9.5.1 пишет данные в свою служебную папку Device\Harddisk Volume 1\GIMMI\OPERAS\, в то время как новая версия программы не записывает данные в эту папку.

Следующий пример показывает, что новая версия изменила механизм кеширования (она записывает данные в кеш в папку \Device\Harddisk Volume 1\DOCUMENTS AND SET-TINGS\KULICH\LOCAL SET-TINGS\APPLICATION DATA\OPERA\OPERA\PROFILE\CACHE4\).

Opera 9.5.1	Неизвестная программа (возможно новая версия браузера Opera)
\Device\Harddisk Volume 1\DOCUMENTS AND	\Device\Harddisk Volume 1\DOCUMENTS AND
SETTINGS\KULICH\LOCAL SETTINGS\APPLICATION	SETTINGS\KULICH\LOCAL SETTINGS\APPLICATION
DATA\OPERA\OPERA\PROFILE\	DATA\OPERA\OPERA\PROFILE\
\Device\Harddisk Volume 1\DOCUMENTS AND SETTINGS\KULICH\LOCAL SETTINGS\APPLICATION	\Device\Harddisk Volume 1\ DOCUMENTS AND SETTINGS\KULICH\LOCAL SETTINGS\APPLICATION
DATA\OPERA\OPERA\PROFILE\CACHE4\	DATA\OPERA\OPERA\PROFILE\CACHE4\
DCACHE4.URL	DCACHE4.URL
OPR00002	OPR00002
OPR00003	OPR00003
OPR00009	OPR00009
OPR0000A	OPR0000A
OPR0000B	OPR0000B
OPR0000F	OPR0000F
OPR0000Y	OPR0000Y
OPR0000Z	OPR0000Z
OPR00010	OPR00010
OPR00011	OPR00011
	OPR00012
OPR00014	OPR00014
OPR00015	OPR00015
	OPR00016
	OPR00017
OPR00018	OPR00018
	OPR00019

	OPR0001B
OPR0001C	OPR0001C
	OPR0001D
OPR0001E	OPR0001E
	OPR0001F
OPR0001G	OPR0001G
OPR0001H	OPR0001H
OPR0001I	OPR0001I
OPR0001K	OPR0001K
	OPR0001L
OPR0001N	OPR0001N
OPR0001P	OPR0001P
OPR0001Q	OPR0001Q
OPR0001R	OPR0001R
OPR0001T	OPR0001T
OPR0001U	OPR0001U
OPR0001W	OPR0001W
OPR0001X	OPR0001X
OPR0001Y	OPR0001Y
OPR0001Z	OPR0001Z
OPR00020	OPR00020
OPR00021	OPR00021
OPR00022	OPR00022
OPR00023	OPR00023
OPR00024	OPR00024
OPR0002E	OPR0002E
OPR0002Z	OPR0002Z
OPR00030	OPR00030
OPR00031	OPR00031
	OPR00033
OPR00034	OPR00034
OPR00035	OPR00035
OPR00036	OPR00036
	OPR00037
OPR00038	OPR00038
OPR0003A	OPR0003A
	OPR0003B
OPR0003F	OPR0003F
OPR0003H	OPR0003H
	OPR0003K
	OPR0003L
OPR0003M	OPR0003M
OPR0003N	OPR0003N
OPR0003O	OPR0003O
OPR0003P	OPR0003P
OPR0003Q	OPR0003Q
OPR0003R	OPR0003R
OPR0003S	OPR0003S
	OPR0003T
	OPR0003U
OPR0003W	OPR0003W
OPR0003X	OPR0003X
OPR0003Y	OPR0003Y
OPR0003Z	OPR0003Z
OPR00041	OPR00041
OPR00043	OPR00043
OPR00044	OPR00044
OPR00045	OPR00045
OPR00046	OPR00046
OPR0004D	OPR0004D
OPR00052	OPR00052
OPR00053	OPR00053

OPR0005Q	OPR0005Q
	OPR00064
	OPR00067
	OPR0006N
	OPR0006O
	OPR0006Z
	OPR00070
\Device\Harddisk Volume 1\DOCUMENTS AND SETTINGS\KULICH\LOCAL SETTINGS\APPLICATION DATA\OPERA\OPERA\PROFILE\CACHE4\REVOCATION\	\Device\Harddisk Volume 1\DOCUMENTS AND SETTINGS\KULICH\LOCAL SETTINGS\APPLICATION DATA\OPERA\OPERA\PROFILE\CACHE4\REVOCATION\
DCACHE4.URL	DCACHE4.URL
VLINK4.DAT	VLINK4.DAT

В приведенных примерах говорится о «хороших» изменениях (они используют только ресурсы браузера, не затрагивая системных ресурсов), по которым можно судить о новой версии программы. С другой стороны можно сделать вывод о том, что программа имеет опасную для компьютерной системы функциональность, если она:

- использует системные папки;

- изменяет конфигурации драйверов;

- использует бинарные файлы; и т.д.

В этом случае функциональность программы признается вредоносной. Примеры вредоносных действий приведены ниже:

- Device HardDisk Volume 1 \windows\system 32

- notepad.exe

- regedit.exe

- calc.exe

- Device HardDisk Volume 1 \windows\system 32\drivers

- Acpi.sys

- http.sys

- beep.sys

В заключение следует отметить, что приведенные в описании сведения являются только примерами, которые не ограничивают объем настоящей полезной модели, определенной формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящей полезной модели, согласующиеся с сущностью и объемом настоящей полезной модели.

1. Система определения новых версий программ содержит: средства перехвата, предназначенные для перехвата системных событий; потоковый обработчик, предназначенный для создания копии событий, полученных от средств перехвата; средства фильтрации, предназначенные для отбора системных событий, полученных от потокового обработчика по фильтрам; модули обработки событий, которые получают копии отфильтрованных событий от средства фильтрации и которые предназначены для выявления аномалий известных программ; средство хранения коллекции чистых объектов, предназначенное для хранения информации об известных доверенных объектах и предоставляющее данную информацию модулям обработки событий; средство хранения коллекции вредоносных объектов, предназначенное для хранения информации об известных вредоносных объектах и предоставляющее данную информацию модулям обработки событий.

2. Система по п.1, в которой модули обработки событий предназначены для выявления аномалий при обнаружении сходства процесса, вызвавшего событие, с заранее известным программным обеспечением из коллекции чистых объектов.

3. Система по п.2, в которой модули обработки событий предназначены также для классификации аномального процесса, а также для формирования вывода о наличии новой версии программного обеспечения.

4. Система по п.1, в которой модули обработки событий предназначены для выявления аномалий при обнаружении сходства процесса, вызвавшего событие, с заранее известным программным обеспечением из коллекции вредоносных объектов.

5. Система по п.4, в которой модули обработки событий предназначены также для классификации аномального процесса, а также для формирования вывода о наличии измененной версии известного программного обеспечения, имеющей вредоносный характер поведения.

Съемный носитель информации // 102139

Комплекс инженерно-технической защиты охраняемого объекта с идентификацией речи // 105051

Моделирующее устройство ситуационного управления рисками в бюджетной сфере // 125367

Тренажер // 77075

Прибор охранно-пожарной сигнализации // 66579

Комбинированная марка // 96269

Система обнаружения и построения прогноза развития эпидемий компьютерных вирусов // 91203

Система определения показателя эффективности управления безопасностью для оптимизации настройки безопасности операционных систем // 101300

Система для обеспечения общей безопасности мобильных устройств // 108896

Схема блока индикации и управления, включающая устройство для организации систем информационной безопасности на предприятии // 137144

Съемный носитель информации на основе энерго-независимой памяти с расширенным набором функций информационной безопасности персональных данных // 130441

Система формирования правил политик безопасности, реализующих модели безопасности на основе состояний информационных систем // 105486

Накопитель с защитой от несанкционированного доступа к памяти // 84594

Устройство дистанционного контроля активности мобильного телефона // 95934

Устройство определения рукописных документов, принадлежащих исполнителю текста на русском языке // 111926

Корпус плуга // 89319

Система для управления умным домом с помощью мобильного устройства // 135825

Автоматизированная система по обеспечению процесса распространения интеллектуальной собственности // 117674

Средства информационной безопасности и система комплексной (в том числе, технической) защиты территориально-распределенных объектов от утечки информации по техническим каналам за счет побочных электромагнитных излучений и наводок // 132288

Средства информационной безопасности относятся к радиотехнике и могут быть использованы для обеспечения комплексной (в том числе, технической) защиты территориально-распределенных объектов информатизации от утечки информации по техническим каналам за счет побочных электромагнитных излучений и наводок (ПЭМИН) в диапазоне частот 10 кГц-1,8 ГГц.

Компьютер для запуска тонкого гипервизора в uefi на ранней стадии загрузки компьютера // 128742