RU107619U1 - Система для контроля хода выполнения программ - Google Patents
Система для контроля хода выполнения программ Download PDFInfo
- Publication number
- RU107619U1 RU107619U1 RU2011113680/08U RU2011113680U RU107619U1 RU 107619 U1 RU107619 U1 RU 107619U1 RU 2011113680/08 U RU2011113680/08 U RU 2011113680/08U RU 2011113680 U RU2011113680 U RU 2011113680U RU 107619 U1 RU107619 U1 RU 107619U1
- Authority
- RU
- Russia
- Prior art keywords
- input
- output
- processor
- address
- bus
- Prior art date
Links
Landscapes
- Debugging And Monitoring (AREA)
- Storage Device Security (AREA)
Abstract
1. Система для контроля хода выполнения программ, содержащая процессор, первый вход-выход которого соединен с входом-выходом системной шины компьютера, и оперативное запоминающее устройство, вход-выход которого соединен со вторым входом-выходом процессора, отличающаяся тем, что введены блок памяти диапазонов адресов, первый вход-выход которого соединен с третьим входом-выходом процессора шиной загрузки диапазонов адресов, и блок сравнения адресов, первый вход-выход которого соединен со вторым входом выходом блока памяти диапазонов адресов шиной чтения диапазонов адресов и уровня привилегий, второй вход-выход соединен четвертым входом-выходом процессора шиной уровня привилегий, третий вход-выход соединен с пятым входом-выходом процессора шиной адресов обращений к оперативному запоминающему устройству, а выход соединен со входом процессора шиной передачи сигнала ошибки доступа. !2. Система по п.1, отличающаяся тем, что процессором через шину загрузки диапазонов адресов осуществляется размещение в блоке памяти диапазонов адресов контролируемых адресов оперативного запоминающего устройства для текущей программы, причем на каждый диапазон контролируемых адресов оперативного запоминающего устройства для текущей программы назначаются разрешенные состояния в виде разрешенного уровня привилегий текущей программы, типа обращения, режима обращения и режима работы процессора, а в процессе выполнения программы, когда осуществляется запрос к оперативному запоминающему устройству, текущий адрес запроса сравнивается со всеми диапазонами контролируемых адресов оперативного запоминающего устройства, зане�
Description
Полезная модель относится к области антивирусной защиты в системах передачи и обработки данных и может быть использована для выявления вирусов в процессе контроля хода выполнения программ.
Известно устройство, предотвращающий распространение компонентов вредоносного программного обеспечения, расположенное между персональным компьютером и накопителем информации, содержащий минимум два интерфейса, один из которых подключают к системной шине компьютера, а другой подключают к носителю информации, являющийся при этом прозрачным фильтром, обеспечивающим передачу данных между интерфейсами, фильтрация упомянутых данных осуществляется центральным процессором антивируса, который использует оперативное запоминающее устройство, при этом основная работа антивируса заключается в фильтрации поступающих данных с носителя информации, и если в них обнаружен компонент вредоносного программного обеспечения, то данные блокируют, иначе данные передают на интерфейс, который подключен к системной шине [RU 92217, U1, G06N 99/00, 10.03.2010].
Недостатком устройства является относительно узкие функциональные возможности, поскольку способ обнаружения вирусов, реализуемый устройством, предполагает обнаружение только известных вирусов, сигнатуры которых имеются в памяти устройства. Кроме того нет возможности осуществлять фильтрацию выходного потока в упакованных форматах (типа архивов).
Наиболее близким по технической сущности к предложенному, является устройство, расположенное между персональным компьютером и накопителем информации, содержащее минимум два интерфейса, один из которых подключают к системной шине компьютера, а другой подключают к носителю информации, являющимся, при этом, прозрачным фильтром, обеспечивающим передачу данных между интерфейсами, фильтрация упомянутых данных осуществляется центральным процессором антивируса, который использует оперативное запоминающее устройство, причем, основная работа антивируса заключается в фильтрации поступающих данных, и если в них не обнаружен компонент вредоносного программного обеспечения, то данные записывают на носитель информации, если же в данных обнаружен компонент вредоносного программного обеспечения, то данные не записывают [RU 85249, U1, G06N 1/00, 27.07.2009].
Недостатком наиболее близкого технического решения является относительно узкие функциональные возможности, поскольку способ обнаружения вирусов реализуемый устройством, предполагает обнаружение только известных вирусов, сигнатуры которых имеются в памяти устройства. Кроме того нет возможности осуществлять фильтрацию входного потока в упакованных форматах (типа архивов).
Требуемый технический результат заключается в расширении функциональных возможностей.
Требуемый технический результат достигается тем, что в устройство, содержащее процессор, первый вход-выход которого соединен с входом-выходом системной шины компьютера, и оперативное запоминающее устройство, вход-выход которого соединен со вторым входом-выходом процессора, введены блок памяти диапазонов адресов, первый вход-выход которого соединен с третьим входом-выходом процессора шиной загрузки диапазонов адресов шиной загрузки диапазонов адресов, и блок сравнения адресов, первый вход-выход которого соединен со вторым входом выходом блока памяти диапазонов адресов шиной чтения диапазонов адресов и уровня привилегий, второй вход-выход - соединен четвертым входом-выходом процессора шиной уровня привилегий, третий вход-выход - соединен с пятым входом-выходом процессора шиной адресов обращений к оперативному запоминающему устройству, а выход - соединен со входом процессора шиной передачи сигнала ошибки доступа.
Кроме того, требуемый технический результат достигается тем, что, в предложенной системе процессором через шину загрузки диапазонов адресов осуществляется размещение в блоке памяти диапазонов адресов контролируемых адресов оперативного запоминающего устройства для текущей программы, причем, на каждый диапазон контролируемых адресов оперативного запоминающего устройства для текущей программы назначаются разрешенные состояния в виде разрешенного уровня привилегий текущей программы, типа обращения, режима обращения и режима работы процессора, а в процессе выполнения программы, когда осуществляется запрос к оперативному запоминающему устройству, текущий адрес запроса сравнивается со всеми диапазонами контролируемых адресов оперативного запоминающего устройства, занесенных в блок памяти диапазонов адресов, при попадании текущего адреса запроса в какой-либо из диапазонов контролируемых адресов оперативного запоминающего устройства для текущей программы блок сравнения адресов считывает из блока памяти диапазонов адресов разрешенные состояния для этого диапазона адресов, которые сравниваются в блоке сравнения адресов с текущими разрешенными состояниями процессора, и если сравниваемые разрешенные состояния совпадают, то блок сравнения адресов не инициирует передачу сигнала ошибки доступа в процессор по шине передачи сигнала ошибки доступа и процесс выполнения программы не прерывается, в противном случае - процесс прерывается.
Кроме того, требуемый технический результат достигается тем, что, система может быть реализована аппаратно в виде специализированного вычислительного устройства в составе блока сравнения адресов и блока памяти диапазонов адресов, которые размещаются в процессоре, реализующего соответствующие связи между блоком сравнения адресов, блоком памяти диапазонов адресов, оперативным запоминающим устройством и системной шиной компьютера.
Кроме того, требуемый технический результат достигается тем, что, система может быть реализована виртуально путем эмуляции процессором.
На чертеже представлена функциональная схема системы для контроля хода выполнения программ.
Система для контроля хода выполнения программ содержит процессор 1, первый вход-выход которого соединен с входом-выходом системной шины 2 компьютера, а также оперативное запоминающее устройство 3, вход-выход которого соединен со вторым входом-выходом процессора 1.
Кроме того, система для контроля хода выполнения программ содержит блок 4 памяти диапазонов адресов, первый вход-выход которого соединен с третьим входом-выходом процессора 1 шиной 5 загрузки диапазонов адресов, и блок 6 сравнения адресов, первый вход-выход которого соединен со вторым входом выходом блока 4 памяти диапазонов адресов шиной 7 чтения диапазона адресов и уровня привилегий, второй вход-выход - соединен четвертым входом-выходом процессора 1 шиной 8 уровня привилегий, третий вход-выход - соединен с пятым входом-выходом процессора 1 шиной 9 адресов обращений к оперативному запоминающему устройству, а выход - соединен со входом процессора 1 шиной 10 передачи сигнала ошибки доступа.
Работает система для контроля хода выполнения программ следующим образом.
Расширение функциональных возможностей обеспечивается путем использования следующей технологии.
Программные компоненты большинства антивирусных программ работают на том же самом уровне, что и сами вирусы, не имея перед ними приоритета. Следовательно, для повышения эффективности антивирусной защиты аппаратура контроля должна инициировать программные модули на уровне, недоступном для любых пользовательских программ, включая даже для тех, которые работают на уровне ядра операционной системы.
Одно из направлений технической реализации такой идеи основано на контроле соглашений о разделении областей ядра и прикладных программ на несколько непрерывных адресных пространств. В этом случае возникает возможность выполнять аппаратный контроль привязки уровня привилегий выполняемого кода и режимов работы процессора к конкретным областям линейных адресов и, тем самым, выявлять атаки вирусов, направленные на повышение своего уровня привилегий.
В предложенной системе процессор 1 через шину 5 загрузки диапазонов адресов размещает в блоке 4 памяти диапазоны контролируемых адресов оперативного запоминающего устройства 3, причем, на каждый диапазон адресов назначаются признаки разрешенных состояний (разрешенных действий):
- разрешенный уровень привилегий текущей программы;
- тип обращения (чтение/запись);
- режим обращения (выборка команд, работа со стеком, системные таблицы, работа с данными и т.п.);
- режим работы процессора (реальный режим, защищенный режим, режим системного менеджмента, режим гипервизора и т.п.).
Когда процессор 1 в процессе выполнения программы осуществляет запрос к оперативной памяти компьютера путем формирования текущего адреса оперативного запоминающего устройства 3, то происходят следующие действия:
- текущий адрес сравнивается со всеми диапазонами контролируемых адресов, занесенных в блок 4 памяти диапазонов адресов;
- при попадании текущего адреса в какой-либо из диапазонов контролируемых адресов, занесенных в блок 4 памяти диапазонов адресов, блок 6 сравнения адресов считывает из блока 4 памяти диапазонов адресов разрешенные состояния для этого диапазона адресов;
- разрешенные состояния для считанного диапазона адресов в блоке 6 сравниваются с текущим состоянием процессора (уровень привилегий, тип обращения, режим обращения, режим работы и т.п.);
- если разрешенные состояния соответствуют текущему состоянию процессора, то блок 6 сравнения адресов не инициирует сигнала ошибки и процесс выполнения программы (вычислений) не прерывается;
- если обнаружено несоответствие, то блок 6 сравнения адресов выдает сигнал прерывания работы процессора 1;
- этот сигнал останавливает процесс выполнения программы, в которой обнаружено нарушение и, например, запускает программы антивирусной защиты (через систему прерываний);
- для исключения возможности модификации вирусом программы антивирусной защиты, она должна находиться на уровне недоступном для нарушения ее работоспособности (режим системного менеджмента, режим гипервизора и т.п.).
Система может быть реализована аппаратно в виде специализированного вычислительного устройства, когда блок 6 сравнения адресов и блок 4 памяти диапазонов адресов размещаются в процессоре 1, реализующим соответствующие связи между блоком 6 сравнения адресов, блоком 4 памяти диапазонов адресов, оперативного запоминающего устройства 3 и системной шиной 2 компьютера.
Таким образом, благодаря усовершенствованию известного устройства, достигается требуемый технический результат, заключающийся в расширении функциональных возможностей, поскольку при сохранении возможности фильтрации вирусов в поступающих данных, в системе дополнительно реализуется технология контроля разрешенных действий и состояний для диапазонов адресов, что позволяет контролировать процесс выполнения программы за счет того, что в блоке 4 памяти диапазонов адресов заносятся и хранятся признаки разрешенных состояний (действий), которые используются для прозрачная фильтрации, которая осуществляется над последовательностью операций обработки данных процессором 1, а не только над поступающими данными.
Claims (4)
1. Система для контроля хода выполнения программ, содержащая процессор, первый вход-выход которого соединен с входом-выходом системной шины компьютера, и оперативное запоминающее устройство, вход-выход которого соединен со вторым входом-выходом процессора, отличающаяся тем, что введены блок памяти диапазонов адресов, первый вход-выход которого соединен с третьим входом-выходом процессора шиной загрузки диапазонов адресов, и блок сравнения адресов, первый вход-выход которого соединен со вторым входом выходом блока памяти диапазонов адресов шиной чтения диапазонов адресов и уровня привилегий, второй вход-выход соединен четвертым входом-выходом процессора шиной уровня привилегий, третий вход-выход соединен с пятым входом-выходом процессора шиной адресов обращений к оперативному запоминающему устройству, а выход соединен со входом процессора шиной передачи сигнала ошибки доступа.
2. Система по п.1, отличающаяся тем, что процессором через шину загрузки диапазонов адресов осуществляется размещение в блоке памяти диапазонов адресов контролируемых адресов оперативного запоминающего устройства для текущей программы, причем на каждый диапазон контролируемых адресов оперативного запоминающего устройства для текущей программы назначаются разрешенные состояния в виде разрешенного уровня привилегий текущей программы, типа обращения, режима обращения и режима работы процессора, а в процессе выполнения программы, когда осуществляется запрос к оперативному запоминающему устройству, текущий адрес запроса сравнивается со всеми диапазонами контролируемых адресов оперативного запоминающего устройства, занесенных в блок памяти диапазонов адресов, при попадании текущего адреса запроса в какой-либо из диапазонов контролируемых адресов оперативного запоминающего устройства для текущей программы, блок сравнения адресов считывает из блока памяти диапазонов адресов разрешенные состояния для этого диапазона адресов, которые сравниваются в блоке сравнения адресов с текущими разрешенными состояниями процессора, и если сравниваемые разрешенные состояния совпадают, то блок сравнения адресов не инициирует передачу сигнала ошибки доступа в процессор по шине передачи сигнала ошибки доступа и процесс выполнения программы не прерывается, в противном случае - процесс прерывается.
3. Система по п.1, отличающаяся тем, что, система реализована аппаратно в виде специализированного вычислительного устройства в составе блока сравнения адресов и блока памяти диапазонов адресов, которые размещаются в процессоре, реализующем соответствующие связи между блоком сравнения адресов, блоком памяти диапазонов адресов, оперативным запоминающим устройством и системной шиной компьютера.
4. Система по п.1, отличающаяся тем, что она может быть реализована виртуально путем эмуляции процессором.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2011113680/08U RU107619U1 (ru) | 2011-04-11 | 2011-04-11 | Система для контроля хода выполнения программ |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2011113680/08U RU107619U1 (ru) | 2011-04-11 | 2011-04-11 | Система для контроля хода выполнения программ |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| RU107619U1 true RU107619U1 (ru) | 2011-08-20 |
Family
ID=44756126
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| RU2011113680/08U RU107619U1 (ru) | 2011-04-11 | 2011-04-11 | Система для контроля хода выполнения программ |
Country Status (1)
| Country | Link |
|---|---|
| RU (1) | RU107619U1 (ru) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013154459A1 (ru) * | 2012-04-11 | 2013-10-17 | Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" | Способ обнаружения вредоносного программного обеспечения в ядре операционной системы |
| RU2538286C2 (ru) * | 2013-02-06 | 2015-01-10 | Закрытое акционерное общество "Крафтвэй корпорейшн ПЛС" | Способ запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера |
| RU2537814C2 (ru) * | 2013-02-06 | 2015-01-10 | Закрытое акционерное общество "Крафтвэй корпорейшн ПЛС" | Способ запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера |
| RU2595510C1 (ru) * | 2015-09-30 | 2016-08-27 | Акционерное общество "Лаборатория Касперского" | Способ исключения процессов из антивирусной проверки на основании данных о файле |
-
2011
- 2011-04-11 RU RU2011113680/08U patent/RU107619U1/ru not_active IP Right Cessation
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013154459A1 (ru) * | 2012-04-11 | 2013-10-17 | Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" | Способ обнаружения вредоносного программного обеспечения в ядре операционной системы |
| US9177149B2 (en) | 2012-04-11 | 2015-11-03 | Joint Stock Company “InfoTeCS” | Method of detecting malware in an operating system kernel |
| RU2538286C2 (ru) * | 2013-02-06 | 2015-01-10 | Закрытое акционерное общество "Крафтвэй корпорейшн ПЛС" | Способ запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера |
| RU2537814C2 (ru) * | 2013-02-06 | 2015-01-10 | Закрытое акционерное общество "Крафтвэй корпорейшн ПЛС" | Способ запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера |
| RU2538286C9 (ru) * | 2013-02-06 | 2018-07-12 | Закрытое акционерное общество "Крафтвэй корпорэйшн ПЛС" | Способ запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера |
| RU2537814C9 (ru) * | 2013-02-06 | 2018-07-13 | Закрытое акционерное общество "Крафтвэй корпорэйшн ПЛС" | Способ запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера |
| RU2595510C1 (ru) * | 2015-09-30 | 2016-08-27 | Акционерное общество "Лаборатория Касперского" | Способ исключения процессов из антивирусной проверки на основании данных о файле |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11861005B2 (en) | Systems and methods involving features of hardware virtualization such as separation kernel hypervisors, hypervisors, hypervisor guest context, hypervisor context, rootkit detection/prevention, and/or other features | |
| US10599846B2 (en) | Segregating executable files exhibiting network activity | |
| US10417424B2 (en) | Method of remediating operations performed by a program and system thereof | |
| EP3113063B1 (en) | System and method for detecting malicious code in random access memory | |
| US9881157B1 (en) | Anti-malware systems and methods using hardware-assisted code injection | |
| US8990934B2 (en) | Automated protection against computer exploits | |
| Lanzi et al. | K-Tracer: A System for Extracting Kernel Malware Behavior. | |
| US9230107B2 (en) | Security devices and methods for detection of malware by detecting data modification | |
| RU2627107C2 (ru) | Профилирование выполнения кода | |
| Williams et al. | Device Driver Safety Through a Reference Validation Mechanism. | |
| US9009836B1 (en) | Security architecture for virtual machines | |
| EP2237186A2 (en) | Method for accelerating hardware emulator used for malware detection and analysis | |
| JP6196356B2 (ja) | コンテナに基づく仮想化システム用動作キャプチャ方法、および装置 | |
| Prakash et al. | Enforcing system-wide control flow integrity for exploit detection and diagnosis | |
| JP2010146566A (ja) | マルウェア検出方法およびシステム | |
| US9424427B1 (en) | Anti-rootkit systems and methods | |
| RU107619U1 (ru) | Система для контроля хода выполнения программ | |
| CN105095763B (zh) | 漏洞防御方法及装置、电子设备 | |
| CN111428240B (zh) | 一种用于检测软件的内存违规访问的方法及装置 | |
| Stewin | Detecting peripheral-based attacks on the host memory | |
| EP2881883B1 (en) | System and method for reducing load on an operating system when executing antivirus operations | |
| Hale et al. | Guarded Modules: Adaptively Extending the {VMM's} Privilege Into the Guest | |
| EP2720170B1 (en) | Automated protection against computer exploits | |
| RU107620U1 (ru) | Система для контроля хода выполнения программ | |
| RU107621U1 (ru) | Система для контроля хода выполнения программ |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MM1K | Utility model has become invalid (non-payment of fees) |
Effective date: 20130412 |