Способ обнаружения вредоносных программ для ЭВМ заархивированных по неизвестному алгоритму

Область техники

Данное изобретение относится к способам обнаружения вредоносных программ для ЭВМ на электронных устройствах.

Уровень техники

Вредоносные программы для ЭВМ являются серьезной угрозой информационной безопасности электронных устройств, поскольку они способны без согласия владельца электронного устройства предоставить третьим лицам полный доступ к информации, размещенной на электронном устройстве, заблокировать данную информацию либо уничтожить ее.

На сегодняшний день известны различные способы, позволяющие обнаружить вредоносные программы для ЭВМ, однако создатели вредоносных программ для ЭВМ применяют разнообразные способы для затруднения обнаружения вредоносных программ для ЭВМ на электронных устройствах. Одним из способов, затрудняющих обнаружение вредоносных программ для ЭВМ на электронных устройствах, является помещение в архивы (архивирование) таких вредоносных программ для ЭВМ при помощи соответствующих программ для ЭВМ, имеющих функции архивирования. Архивирование вредоносных программ для ЭВМ при помощи неизвестных антивирусным программам для ЭВМ алгоритмам архивирования приводит к невозможности обнаружения антивирусными программами для ЭВМ при помощи распространенного сигнатурного поиска такой заархивированной вредоносной программы для ЭВМ, поскольку архиваторы сжимают, видоизменяют и зашифровывают код вредоносной программы для ЭВМ.

Вредоносные программ для ЭВМ, заархивированные по неизвестному алгоритму, не могут быть обнаружены антивирусными программами для ЭВМ до момента распаковки архива, даже если вирусные базы содержат сигнатуру данной вредоносной программы для ЭВМ в незаархивированном виде. Следовательно, необходимо использовать способы, которые позволят обнаруживать вредоносные программы для ЭВМ после того, как вредоносная программа для ЭВМ выполнит разархивирование, но до того, как она сможет нанести вред операционной системе ЭВМ и ЭВМ в целом.

Существующие на данный момент системы и способы обнаружения вредоносных программ для ЭВМ на электронных устройствах обладают общими недостатками.

Так, изобретение, описанное в патенте US 8151355 В2, предлагает систему и способ обнаружения нежелательных программ для ЭВМ в архивах. Основными недостатками данного способа является, во-первых, то, что данный способ применим только к известным алгоритмам архивации, во-вторых, производится лишь только сигнатурный поиск без проведения поведенческого анализа.

Наиболее близким к заявленному способу обнаружения вредоносных программ для ЭВМ заархивированных по неизвестному алгоритму является изобретение, описанное в патенте US 20090210943 A1. Данное изобретение предлагает способ обнаружения вирусов внутри архивов, защищенных паролями. Основными минусами данного способа по сравнению с заявленным способом являются следующие:

- способ применим только к известным алгоритмам архивации;

- содержащиеся внутри архива программы для ЭВМ не исследуются, решение о наличии, либо отсутствии в архиве вредоносной программы для ЭВМ принимается на основе поверхностных данных в виде заголовка архива, количества программ для ЭВМ содержащихся внутри архива и объема, занимаемого архивом.

Раскрытие изобретения

Задачей, на решение которой направлено заявляемое изобретение, является обнаружение вредоносных программ для ЭВМ заархивированных по алгоритму, неизвестному на момент проверки архива.

Данная задача решается за счет того, что способ обнаружения вредоносных программ для ЭВМ, заархивированных по неизвестному алгоритму, содержит этапы, на которых: анализируют алгоритм, по которому были заархивированы файлы; производят анализ архива, если алгоритм архивации известен; выполняют действия согласно заданным пользователями настройкам в случае обнаружения вредоносных программ для ЭВМ на предыдущем этапе; выполняют отнесение архива к списку файлов, требующих постоянного мониторинга их деятельности в случае обнаружения на этапе 1 признаков неизвестного алгоритма архивации; производят оценку действий, инициируемых архивом и заархивированных в нем программ для ЭВМ; приостанавливают действия и процессы инициируемые архивом, как только фиксируется попытка действий, потенциально присущих вредоносной программе для ЭВМ; снимают дамп памяти архива; производят анализ памяти архива и реконструкцию его исполняемого файла; передают модулю антивирусного сигнатурного поиска все реконструированные исполняемые файлы архива.

Существенными признаками заявленного изобретения являются: 1) анализ алгоритма, по которому заархивированы файлы в архиве; 2) анализ архива на предмет наличия вредоносных программ для ЭВМ, если алгоритм архивации известен; 3) анализ и контроль действий архива, если алгоритм архивации известен; 4) приостановка действий и процессов инициируемых архивом в случае обнаружения в ходе анализа и контроля действий, попытки осуществления архивом действий, присущих вредоносным программам для ЭВМ; 5) снятие и анализ дампа памяти архива, действия и процессы которого приостановлены, реконструкция исполняемых файлов из дампа памяти; 6) сигнатурный поиск по реконструированным из архива исполняемым файлам после реконструкции исполняемого файла.

Техническим результатом, обеспечиваемым заявленным способом обнаружения вредоносных программ для ЭВМ на электронных устройствах, является повышение эффективности защиты ЭВМ от воздействия вредоносных программ для ЭВМ.

Осуществление изобретения

Заявленное изобретение осуществляется следующим образом:

После того как архив помещен в операционную систему ЭВМ и был запущен в операционной системе ЭВМ, начинается отслеживание поведения процесса архива, контролируются все инициируемые архивом события и действия. Как только фиксируется попытка совершения архивом действий, потенциально присущих вредоносной программе (попытка доступа к памяти другого процесса, реестру или файловой системе, попытка перехвата траффика и другие), приостанавливается процесс архива. Приостановка процесса архива позволяет проверить, является ли архив вредоносным до того, как архив и хранящаяся в нем вредоносная программа для ЭВМ совершит какие-либо несанкционированные действия в операционной системе ЭВМ. Затем, снимается дамп памяти процесса архива и производится его анализ с целью воссоздания исполняемого файла(ов), содержащегося в архиве; при этом для одного процесса может быть реконструирован один или несколько исполняемых файлов. После реконструкции проводится сигнатурный поиск по реконструированным из архива исполняемым файлам.