RU107621U1 - Система для контроля хода выполнения программ - Google Patents
Система для контроля хода выполнения программ Download PDFInfo
- Publication number
- RU107621U1 RU107621U1 RU2011115970/08U RU2011115970U RU107621U1 RU 107621 U1 RU107621 U1 RU 107621U1 RU 2011115970/08 U RU2011115970/08 U RU 2011115970/08U RU 2011115970 U RU2011115970 U RU 2011115970U RU 107621 U1 RU107621 U1 RU 107621U1
- Authority
- RU
- Russia
- Prior art keywords
- addresses
- output
- data blocks
- processor
- input
- Prior art date
Links
Landscapes
- Storage Device Security (AREA)
Abstract
1. Система для контроля хода выполнения программ, содержащая процессор, первый вход-выход которого соединен с входом-выходом системной шины компьютера, и оперативное запоминающее устройство, вход-выход которого соединен со вторым входом-выходом процессора, отличающаяся тем, что введены блок памяти адресов размещения блоков данных, первый вход которого соединен с первым выходом процессора шиной загрузки адресов размещения блоков данных, блок сравнения адресов выборки команд с адресами размещения блоков данных, первый вход которого соединен с первым выходом блока памяти адресов размещения блоков данных, второй вход соединен со вторым выходом процессора шиной подачи адресов выборки команд, а выход соединен с первым выходом процессора шиной сигнализации о совпадении адресов, блок вычисления сигнатур блоков данных, вход которого соединен со вторым выходом блока памяти адресов размещения блоков данных, и блок сравнения сигнатур, первый вход которого соединен со вторым выходом блока сравнения адресов выборки команд с адресами размещения блоков данных шиной сигнализации о несовпадении адресов, второй вход соединен с выходом блока вычисления сигнатур блоков данных, третий вход соединен с третьим выходом процессора шиной подачи сигнатур программных блоков, а выход соединен со вторым выходом процессора шиной сигнализации о совпадении сигнатур. ! 2. Система по п.1, отличающаяся тем, что при контроле хода выполнения программ во время загрузки блоков данных из сети или внешних носителей в устройство оперативной памяти запоминаются адреса размещения этих блоков данных, для каждого такого блока данных вычисляетс
Description
Полезная модель относится к области антивирусной защиты в системах передачи и обработки данных и может быть использована для выявления вирусов в процессе контроля хода выполнения программ.
Известно устройство, предотвращающий распространение компонентов вредоносного программного обеспечения, расположенное между персональным компьютером и накопителем информации, содержащий минимум два интерфейса, один из которых подключают к системной шине компьютера, а другой подключают к носителю информации, являющийся при этом прозрачным фильтром, обеспечивающим передачу данных между интерфейсами, фильтрация упомянутых данных осуществляется центральным процессором антивируса, который использует оперативное запоминающее устройство, при этом основная работа антивируса заключается в фильтрации поступающих данных с носителя информации, и если в них обнаружен компонент вредоносного программного обеспечения, то данные блокируют, иначе данные передают на интерфейс, который подключен к системной шине [RU 92217, U1, G06N 99/00, 10.03.2010].
Недостатком устройства является относительно узкие функциональные возможности, поскольку способ обнаружения вирусов, реализуемый устройством, предполагает обнаружение только известных вирусов, сигнатуры которых имеются в памяти устройства. Кроме того нет возможности осуществлять фильтрацию выходного потока в упакованных форматах (типа архивов).
Наиболее близким по технической сущности к предложенному, является устройство, расположенное между персональным компьютером и накопителем информации, содержащее минимум два интерфейса, один из которых подключают к системной шине компьютера, а другой подключают к носителю информации, являющимся, при этом, прозрачным фильтром, обеспечивающим передачу данных между интерфейсами, фильтрация упомянутых данных осуществляется центральным процессором антивируса, который использует оперативное запоминающее устройство, причем, основная работа антивируса заключается в фильтрации поступающих данных, и если в них не обнаружен компонент вредоносного программного обеспечения, то данные записывают на носитель информации, если же в данных обнаружен компонент вредоносного программного обеспечения, то данные не записывают [RU 85249, U1, G06N 1/00, 27.07.2009].
Недостатком наиболее близкого технического решения является относительно узкие функциональные возможности, поскольку способ обнаружения вирусов, реализуемый устройством, предполагает обнаружение только известных вирусов, сигнатуры которых имеются в памяти устройства. Это не позволяет распознать и вирусы, загруженные в виде блоков данных из сети и внешних носителей.
Требуемый технический результат заключается в расширении функциональных возможностей.
Требуемый технический результат достигается тем, что в устройство, содержащее процессор, первый вход-выход которого соединен с входом-выходом системной шины компьютера, и оперативное запоминающее устройство, вход-выход которого соединен со вторым входом-выходом процессора, введены блок памяти адресов размещения блоков данных, первый вход которого соединении с первым выходом процессора шиной загрузки адресов размещения блоков данных, блок сравнения адресов выборки команд с адресами размещения блоков данных, первый вход которого соединен с первым выходом блока памяти адресов размещения блоков данных, второй вход - соединен со вторым выходом процессора шиной подачи адресов выборки команд, а выход - соединен с первым выходом процессора шиной сигнализации о совпадении адресов, блок вычисления сигнатур блоков данных, вход которого соединен со вторым выходом блока памяти адресов размещения блоков данных, и блок сравнения сигнатур, первый вход которого соединен со вторым выходом блока сравнения адресов выборки команд с адресами размещения блоков данных шиной сигнализации о несовпадении адресов, второй вход - соединен с выходом блока вычисления сигнатур блоков данных, третий вход - соединен с третьим выходом процессора шиной подачи сигнатур программных блоков, а выход - соединен со вторым выходом процессора шиной сигнализации о совпадении сигнатур.
Требуемый технический результат достигается тем, что, в предложенной системе при контроле хода выполнения программ во время загрузки блоков данных из сети или внешних носителей в устройство оперативной памяти запоминаются адреса размещения этих блоков данных, для каждого такого блока данных вычисляется сигнатура, адреса выборки команд процессором сравниваются с запомненными адресами размещения блоков данных из сети или внешних носителей, при совпадении адресов выполнение программы прерывается и процессор переходит к процедурам антивирусной защиты с ограничением доступа, при несовпадении адресов сравниваются сигнатуры программных блоков, исполняемых процессором, с запомненными сигнатурами блоков данных, при несовпадении сигнатур выполнение программ продолжается, а при совпадении сигнатур ход выполнения программ прерывается и процессор переходит к процедурам антивирусной защиты с ограничением доступа.
Кроме того, требуемый технический результат достигается тем, что, система может быть реализована аппаратно в виде специализированного вычислительного устройства в составе блока сравнения адресов выборки команд с адресами размещения блоков данных, блока памяти адресов размещения блоков данных, блока вычисления сигнатур блоков данных и блока сравнения сигнатур, которые размещаются в процессоре, реализующем соответствующие связи между блоком сравнения адресов выборки команд с адресами размещения блоков данных, блоком памяти адресов размещения блоков данных, блоком вычисления сигнатур блоков данных, блоком сравнения сигнатур, оперативным запоминающим устройством и системной шиной компьютера.
Кроме того, требуемый технический результат достигается тем, что, система может быть реализована виртуально путем эмуляции процессором.
На чертеже представлена функциональная схема системы для контроля хода выполнения программ.
Система для контроля хода выполнения программ содержит процессор 1, первый вход-выход которого соединен с входом-выходом системной шины 2 компьютера, и оперативное запоминающее устройство 3, вход-выход которого соединен со вторым входом-выходом процессора 1.
Кроме того, система для контроля хода выполнения программ содержит блок 4 памяти адресов размещения блоков данных, первый вход которого соединении с первым выходом процессора 1 шиной 5 загрузки адресов размещения блоков данных, блок 6 сравнения адресов выборки команд с адресами размещения блоков данных, первый вход которого соединен с первым выходом блока 4 памяти адресов размещения блоков данных, второй вход - соединен со вторым выходом процессора 1 шиной 7 подачи адресов выборки команд, а выход - соединен с первым выходом процессора 1 шиной 8 сигнализации о совпадении адресов.
Система для контроля хода выполнения программ содержит также блок 9 вычисления сигнатур блоков данных, вход которого соединен со вторым выходом блока 4 памяти адресов размещения блоков данных, и блок 10 сравнения сигнатур, первый вход которого соединен со вторым выходом блока 6 сравнения адресов выборки команд с адресами размещения блоков данных шиной 11 сигнализации о несовпадении адресов, второй вход - соединен с выходом блока 9 вычисления сигнатур блоков данных, третий вход - соединен с третьим выходом процессора 1 шиной 12 подачи сигнатур программных блоков, а выход - соединен со вторым выходом процессора 1 шиной 13 сигнализации о совпадении сигнатур.
Работает система для контроля хода выполнения программ следующим образом.
Расширение функциональных возможностей обеспечивается путем использования следующей технологии.
Программные компоненты большинства антивирусных программ работают на том же самом уровне, что и сами вирусы, не имея перед ними приоритета. Следовательно, для повышения эффективности антивирусной защиты аппаратура контроля должна инициировать программные модули на уровне, недоступном для любых пользовательских программ, включая даже для тех, которые работают на уровне ядра операционной системы.
В предложенной системе реализуется следующая технология.
При контроле хода выполнения программ во время загрузки блоков данных из сети или внешних носителей в устройство 3 оперативной памяти блоке 4 памяти запоминаются адреса размещения этих блоков данных.
Кроме того, для каждого такого блока данных в блоке 9 вычисления сигнатур вычисляется соответствующая ему сигнатура (контрольная сумма).
Адреса размещения блоков данных с внешних носителей и сети, и соответствующие этим блокам вычисленные сигнатуры сохраняются в блоке 4 памяти адресов размещения блоков данных и блока 9 вычисления сигнатур блоков данных, соответственно.
При выполнении программы адреса выборки команд процессором 1 сравниваются в блоке 6 с запомненными в блоке 4 адресами размещения блоков данных из сети или внешних носителей.
При совпадении адресов выполнение программы прерывается и процессор 1 переходит к процедурам антивирусной защиты с ограничением доступа, при несовпадении адресов производится сравнение сигнатур программных блоков, исполняемых процессором 1, с вычисленными и запомненными в блоке 5 сигнатурами блоков данных. Если сигнатуры не совпадают, то выполнение программ продолжается, а при совпадении сигнатур ход выполнения программ прерывается и процессор 1 переходит к процедурам антивирусной защиты с ограничением доступа.
Аннулирование информации в блоке 4 памяти адресов размещения блоков данных и блока 9 вычисления сигнатур блоков данных происходит после перезаписи информации с разрешенного устройства в адресное пространство оперативного запоминающего устройства 3.
Система может быть реализована аппаратно в виде специализированного вычислительного устройства в составе блока 6 сравнения адресов выборки команд с адресами размещения блоков данных, блока 4 памяти адресов размещения блоков данных, блока 9 вычисления сигнатур и блока 10 сравнения сигнатур, которые размещаются в процессоре 1, реализующем соответствующие связи между блоком 6 сравнения адресов выборки команд с адресами размещения блоков данных, блоком 4 памяти адресов размещения блоков данных, блоком 9 вычисления сигнатур, блоком 10 сравнения сигнатур, оперативным запоминающим устройством 3 и системной шиной 2 компьютера.
Система может быть реализована и виртуально путем эмуляции процессором 1.
Таким образом, благодаря усовершенствованию известного устройства, достигается требуемый технический результат, заключающийся в расширении функциональных возможностей, поскольку в предложенной системе реализуется метод обнаружения вирусов, загруженные в виде блоков данных из сети и внешних носителей, поскольку при контроле хода выполнения программ во время загрузки блоков данных из сети или внешних носителей в устройство оперативной памяти запоминаются адреса размещения этих блоков данных, для каждого такого блока данных вычисляется сигнатура, адреса выборки команд процессором сравниваются с запомненными адресами размещения блоков данных из сети или внешних носителей, при совпадении адресов выполнение программы прерывается и процессор переходит к процедурам антивирусной защиты с ограничением доступа, при несовпадении адресов сравниваются сигнатуры программных блоков, исполняемых процессором, с запомненными сигнатурами блоков данных, при несовпадении сигнатур выполнение программ продолжается, а при совпадении сигнатур ход выполнения программ прерывается и процессор переходит к процедурам антивирусной защиты с ограничением доступа.
Claims (4)
1. Система для контроля хода выполнения программ, содержащая процессор, первый вход-выход которого соединен с входом-выходом системной шины компьютера, и оперативное запоминающее устройство, вход-выход которого соединен со вторым входом-выходом процессора, отличающаяся тем, что введены блок памяти адресов размещения блоков данных, первый вход которого соединен с первым выходом процессора шиной загрузки адресов размещения блоков данных, блок сравнения адресов выборки команд с адресами размещения блоков данных, первый вход которого соединен с первым выходом блока памяти адресов размещения блоков данных, второй вход соединен со вторым выходом процессора шиной подачи адресов выборки команд, а выход соединен с первым выходом процессора шиной сигнализации о совпадении адресов, блок вычисления сигнатур блоков данных, вход которого соединен со вторым выходом блока памяти адресов размещения блоков данных, и блок сравнения сигнатур, первый вход которого соединен со вторым выходом блока сравнения адресов выборки команд с адресами размещения блоков данных шиной сигнализации о несовпадении адресов, второй вход соединен с выходом блока вычисления сигнатур блоков данных, третий вход соединен с третьим выходом процессора шиной подачи сигнатур программных блоков, а выход соединен со вторым выходом процессора шиной сигнализации о совпадении сигнатур.
2. Система по п.1, отличающаяся тем, что при контроле хода выполнения программ во время загрузки блоков данных из сети или внешних носителей в устройство оперативной памяти запоминаются адреса размещения этих блоков данных, для каждого такого блока данных вычисляется сигнатура, адреса выборки команд процессором сравниваются с запомненными адресами размещения блоков данных из сети или внешних носителей, при совпадении адресов выполнение программы прерывается и процессор переходит к процедурам антивирусной защиты с ограничением доступа, при несовпадении адресов сравниваются сигнатуры программных блоков, исполняемых процессором, с запомненными сигнатурами блоков данных, при несовпадении сигнатур выполнение программ продолжается, а при совпадении сигнатур ход выполнения программ прерывается и процессор переходит к процедурам антивирусной защиты с ограничением доступа.
3. Система по п.1, отличающаяся тем, что она реализована аппаратно в виде специализированного вычислительного устройства в составе блока сравнения адресов выборки команд с адресами размещения блоков данных, блока памяти адресов размещения блоков данных, блока вычисления сигнатур и блока сравнения сигнатур, которые размещаются в процессоре, реализующем соответствующие связи между блоком сравнения адресов выборки команд с адресами размещения блоков данных, блоком памяти адресов размещения блоков данных, блоком вычисления сигнатур блоков данных, блоком сравнения сигнатур, оперативным запоминающим устройством и системной шиной компьютера.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2011115970/08U RU107621U1 (ru) | 2011-04-25 | 2011-04-25 | Система для контроля хода выполнения программ |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2011115970/08U RU107621U1 (ru) | 2011-04-25 | 2011-04-25 | Система для контроля хода выполнения программ |
Publications (1)
Publication Number | Publication Date |
---|---|
RU107621U1 true RU107621U1 (ru) | 2011-08-20 |
Family
ID=44756128
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2011115970/08U RU107621U1 (ru) | 2011-04-25 | 2011-04-25 | Система для контроля хода выполнения программ |
Country Status (1)
Country | Link |
---|---|
RU (1) | RU107621U1 (ru) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2624552C2 (ru) * | 2015-06-30 | 2017-07-04 | Закрытое акционерное общество "Лаборатория Касперского" | Способ обнаружения вредоносных файлов, исполняемых с помощью стековой виртуальной машины |
-
2011
- 2011-04-25 RU RU2011115970/08U patent/RU107621U1/ru not_active IP Right Cessation
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2624552C2 (ru) * | 2015-06-30 | 2017-07-04 | Закрытое акционерное общество "Лаборатория Касперского" | Способ обнаружения вредоносных файлов, исполняемых с помощью стековой виртуальной машины |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106850582B (zh) | 一种基于指令监控的apt高级威胁检测方法 | |
US10599846B2 (en) | Segregating executable files exhibiting network activity | |
US10025931B1 (en) | Method and system for malware detection | |
US10055585B2 (en) | Hardware and software execution profiling | |
CA2856268C (en) | Methods of detection of software exploitation | |
JP6700351B2 (ja) | プロセスのアドレス空間内の悪意のあるコードの検出のためのシステムおよび方法 | |
EP2876572B1 (en) | Firmware-level security agent supporting operating system-level security in computer system | |
US20210303658A1 (en) | Hardware-Assisted System and Method for Detecting and Analyzing System Calls Made to an Operating System Kernel | |
US20140359183A1 (en) | Snoop-Based Kernel Integrity Monitoring Apparatus And Method Thereof | |
RU107619U1 (ru) | Система для контроля хода выполнения программ | |
RU107621U1 (ru) | Система для контроля хода выполнения программ | |
US20140196149A1 (en) | Anti-malware system, method of processing data in the same, and computing device | |
EP3036880B1 (en) | Method and apparatus for monitoring and filtering universal serial bus network traffic | |
WO2019136428A1 (en) | Systems and methods for detecting and mitigating code injection attacks | |
US20220138311A1 (en) | Systems and methods for detecting and mitigating code injection attacks | |
CN111444509A (zh) | 基于虚拟机实现的cpu漏洞检测方法及*** | |
US11811803B2 (en) | Method of threat detection | |
RU107620U1 (ru) | Система для контроля хода выполнения программ | |
CN114153759A (zh) | 一种内存取证方法、装置及电子设备 | |
CN113569240A (zh) | 恶意软件的检测方法、装置及设备 | |
CN112685744A (zh) | 一种利用栈相关寄存器检测软件漏洞的方法及装置 | |
WO2021080602A1 (en) | Malware identification | |
EP2720170A1 (en) | Automated protection against computer exploits | |
CN111221628A (zh) | 虚拟化平台上对虚拟机文件的安全检测方法及装置 | |
Thomas et al. | Active malware countermeasure approach for mission critical systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
MM1K | Utility model has become invalid (non-payment of fees) |
Effective date: 20130426 |