EMPLOYING CODE SIGNING AS A TOOL IN CYBER-SECURITY DECEPTION

A computer implemented method of detecting execution of unregistered code in a protected networked system, comprising maintaining a pages registry record in a storage of an endpoint in a protected networked system, the pages registry record comprising a registration signature for each of a plurality of registered executable pages, monitoring a plurality of executable pages at a page management level using an adjusted page fault handler of an operating system kernel executed by one or more processors of the endpoint, detecting one or more unregistered executable pages by identifying incompliance of a runtime signature calculated in runtime for the unregistered executable page(s) with respective registration signature stored in the pages registry record and initiating one or more actions in case of the detection of the unregistered executable page(s). L'invention concerne un procédé informatique de détection d'exécution de code non enregistré dans un système en réseau protégé, consistant à entretenir un enregistrement de registre de pages dans un stockage d'un point terminal dans un système en réseau protégé, l'enregistrement de registre de pages comprenant une signature d'enregistrement pour chaque page d'une pluralité de pages exécutables enregistrées, surveiller une pluralité de pages exécutables à un niveau de gestion de page grâce à un gestionnaire de défaillance de page adapté d'un noyau de système d'exploitation exécuté par un ou plusieurs processeurs du point terminal, détecter une ou plusieurs pages exécutables non enregistrées en identifiant la non-conformité d'une signature d'exécution calculée lors de l'exécution pour la ou les pages exécutables non enregistrées avec une signature d'enregistrement respective stockée dans l'enregistrement de registre de pages et lancer une ou plusieurs actions en cas de détection de la ou des pages exécutables non enregistrées.