SYSTEM AND METHOD OF DETECTING MALICIOUS CODE IN FILE

SYSTEM AND METHOD OF DETECTING MALICIOUS CODE IN FILE

FIELD: information technology.SUBSTANCE: method of detecting a malicious code in a file includes: executing a process running from a file using a sandbox; intercepting the API-function calls; consecutive recording of intercepted API-function calls in the first log, saving the process memory dump to...

Ausführliche Beschreibung

Gespeichert in:
Bibliographische Detailangaben
Hauptverfasser: Golovkin Maksim Yurevich, Pintijskij Vladislav Valerevich, Butuzov Vitalij Vladimirovich, Pavlyushchik Mikhail Aleksandrovich, Monastyrskij Aleksej Vladimirovich, Karasovskij Dmitrij Valerievich
Format: Patent
Sprache:eng ; rus
Schlagworte:
CALCULATING
COMPUTING
COUNTING
ELECTRIC DIGITAL DATA PROCESSING
PHYSICS
Online-Zugang:Volltext bestellen
Tags: Tag hinzufügen
Keine Tags, Fügen Sie den ersten Tag hinzu!
Beschreibung
Zusammenfassung:FIELD: information technology.SUBSTANCE: method of detecting a malicious code in a file includes: executing a process running from a file using a sandbox; intercepting the API-function calls; consecutive recording of intercepted API-function calls in the first log, saving the process memory dump to the dump database; repeating the previous operations until the exit condition is met; detecting, at least, one signature of the first type from among the signatures of the first type in the first log; after detecting the signature of the first type, transferring at least, one memory dump stored in the database of dumps to the emulator; during execution of the process in the emulator, sequential entering records containing information about the call of the API function in the second log; detecting a malicious code in a file, if the second log contains, at least, one signature of the second type from the signature database of the second type.EFFECT: improving the detection of a malicious code in a file in comparison with existing methods for detecting a malicious code.54 cl, 4 dwg Изобретение относится к системам и способам обнаружения вредоносного кода в файле. Технический результат заключается в улучшении обнаружения вредоносного кода в файле в сравнении с существующими методами обнаружения вредоносного кода. Способ обнаружения вредоносного кода в файле включает: исполнение процесса, запущенного из файла, с использованием песочницы; перехват вызовов API-функций; последовательное внесение записей о перехваченных вызовах API-функций в первый журнал, сохранение дампа памяти процесса в базу дампов; повторение предыдущих операций до выполнения условия выхода; выявление в первом журнале по меньшей мере одной сигнатуры первого типа из числа сигнатур первого типа; после выявления сигнатуры первого типа передачу на исполнение в эмулятор по меньшей мере одного дампа памяти, сохраненного в базе дампов; во время исполнения процесса в эмуляторе последовательное внесение во второй журнал записей, содержащих информацию о вызове API-функции; определение вредоносного кода в файле при условии выявления во втором журнале по меньшей мере одной сигнатуры второго типа из базы данных сигнатур второго типа. 2 н. и 52 з.п. ф-лы, 4 ил.