公开(公告)号：CN103631904A

公开(公告)日：2014-03-12

申请号：CN201310597847.8

申请日：2013-11-22

Applicant: 卡巴斯基实验室封闭式股份公司

Inventor： 米哈伊尔·A·帕夫柳席奇卡

IPC: G06F17/30

CPC classification number: G06F21/562

Abstract: 反病毒分析期间选择同或异步文件访问方法的系统和方法。所公开的是用于实施文件的反病毒分析的系统、方法和计算机程序产品。具体地，反病毒软件检测在计算机上执行文件的尝试并收集关于当前文件属性的信息。软件检索关于旧文件属性的信息。软件随后将当前文件属性与旧文件属性加以比较来确定文件是否已被修改。当确定文件被修改时，软件同步地访问文件来实施其反病毒分析。在文件的同步访问期间，禁止一个或多个其他程序访问所分析的文件。当确定文件未被修改时，软件异步地访问文件。在文件的异步访问期间，允许其他程序中的一个或多个访问所分析的文件。

公开(公告)号：CN103593608A

公开(公告)日：2014-02-19

申请号：CN201310642107.1

申请日：2013-12-03

Applicant: 卡巴斯基实验室封闭式股份公司

Inventor： 米哈伊尔·A·帕夫柳席奇卡

IPC: G06F21/53 ,  G06F21/56

CPC classification number: G06F21/566

Abstract: 用于检测由虚拟机所执行的恶意代码的系统和方法。防御由进程虚拟机可执行的恶意程序指令集（例如恶意程序）。扩张进程虚拟机的程序指令以在进程虚拟机内建立异常监视模块。当进程虚拟机执行隶属程序指令集时，异常监视模块检测作为结果发生的安全策略违反异常。作为对其的响应，异常监视模块采集代表围绕异常的发生的情形的上下文信息，并且提供上下文信息用于分析恶意代码的存在。异常监视模块基于分析的结果确定是否许可由进程虚拟机对隶属程序指令集的进一步执行。

公开(公告)号：CN103886252A

公开(公告)日：2014-06-25

申请号：CN201410020097.2

申请日：2014-01-16

Applicant: 卡巴斯基实验室封闭式股份公司

Inventor： 米哈伊尔·A·帕夫柳席奇卡

IPC: G06F21/52

CPC classification number: G06F21/566 ,  H04L63/1416 ,  H04L63/1441 ,  G06F21/563

Abstract: 受信进程地址空间中执行的软件代码的恶意性的选择评估。用于注入到与已知程序相关联的进程中的恶意代码的检测的系统和方法。监视计算机系统中的进程的执行。从正在监视的进程之中仅选择某些进程用于追踪。对于所选择的进程中的每一个，追踪由进程的线程所进行的函数调用。从所追踪的函数调用之中，仅标识是危险函数调用的那些函数调用。对于每个所标识的危险函数调用，使引起危险函数调用的程序指令经受分析以评估它们的恶意性。

公开(公告)号：CN102651061A

公开(公告)日：2012-08-29

申请号：CN201210100140.7

申请日：2012-04-06

Applicant: 卡巴斯基实验室封闭式股份公司

Inventor： 阿列克谢·A·波利亚科夫 ,  弗拉季斯拉夫·V·马蒂嫩科 ,  尤里·G·斯洛博迪亚努克 ,  丹尼斯·A·纳扎罗夫 ,  米哈伊尔·A·帕夫柳席奇卡

IPC: G06F21/22

CPC classification number: G06F21/552 ,  G06F21/566

Abstract: 本发明公开了用于检测具有复杂感染模式的恶意软件的系统、方法和计算机程序产品。该系统通过识别潜在的有害软件对象、监视潜在有害对象的各进程和线程的执行、编译被监视进程和线程的执行的事件的情境、以及将相关的进程和线程的情境进行合并而提供对抗恶意软件的增强的保护。基于使用恶意软件行为规则而对单独的和合并的对象情境的分析，该系统能检测到具有简单的和复杂的行为模式的恶意对象。

公开(公告)号：CN103631904B

公开(公告)日：2017-01-11

申请号：CN201310597847.8

申请日：2013-11-22

Applicant: 卡巴斯基实验室封闭式股份公司

Inventor： 米哈伊尔·A·帕夫柳席奇卡

IPC: G06F17/30

CPC classification number: G06F21/562

Abstract: 反病毒分析期间选择同或异步文件访问方法的系统和方法。所公开的是用于实施文件的反病毒分析的系统、方法和计算机程序产品。具体地，反病毒软件检测在计算机上执行文件的尝试并收集关于当前文件属性的信息。软件检索关于旧文件属性的信息。软件随后将当前文件属性与旧文件属性加以比较来确定文件是否已被修改。当确定文件被修改时，软件同步地访问文件来实施其反病毒分析。在文件的同步访问期间，禁止一个或多个其他程序访问所分析的文件。当确定文件未被修改时，软件异步地访问文件。在文件的异步访问期间，允许其他程序中的一个或多个访问所分析的文件。

公开(公告)号：CN102629310A

公开(公告)日：2012-08-08

申请号：CN201210050079.X

申请日：2012-02-29

Applicant: 卡巴斯基实验室封闭式股份公司

Inventor： 米哈伊尔·A·帕夫柳席奇卡 ,  弗拉季斯拉夫·V·马蒂嫩科 ,  尤里·G·斯洛博迪亚努克

IPC: G06F21/20

Abstract: 本发明公开了用于保护计算机免遭恶意对象活动侵害的系统、方法和计算机程序产品。该方法包括：对计算机上一个或多个进程的执行事件进行监控；识别被监控事件之中的可核查事件，包括文件的创建、更改或者删除事件，系统注册表的更改事件，以及由在计算机上所执行的进程进行的网络访问事件；在单独的文件、注册表以及网络事件日志中记录识别出的可核查事件；对计算机上的一个或多个软件对象执行恶意软件检查；如果确定了对象是恶意的，那么从文件、注册表和网络事件日志中识别与所述恶意对象相关联的事件；对与所述恶意对象相关联的文件事件执行回退操作；对与所述恶意对象相关联的注册表事件执行回退操作；终止与所述恶意对象相关联的网络连接。

公开(公告)号：CN107103238A

公开(公告)日：2017-08-29

申请号：CN201710150404.2

申请日：2012-02-29

Applicant: 卡巴斯基实验室封闭式股份公司

Inventor： 米哈伊尔·A·帕夫柳席奇卡 ,  弗拉季斯拉夫·V·马蒂嫩科 ,  尤里·G·斯洛博迪亚努克

IPC: G06F21/56

CPC classification number: G06F21/566

Abstract: 本发明公开了用于保护计算机免遭恶意对象活动侵害的系统、方法和计算机程序产品。该方法包括：对计算机上一个或多个进程的执行事件进行监控；识别被监控事件之中的可核查事件，包括文件的创建、更改或者删除事件，系统注册表的更改事件，以及由在计算机上所执行的进程进行的网络访问事件；在单独的文件、注册表以及网络事件日志中记录识别出的可核查事件；对计算机上的一个或多个软件对象执行恶意软件检查；如果确定了对象是恶意的，那么从文件、注册表和网络事件日志中识别与所述恶意对象相关联的事件；对与所述恶意对象相关联的文件事件执行回退操作；对与所述恶意对象相关联的注册表事件执行回退操作；终止与所述恶意对象相关联的网络连接。

公开(公告)号：CN103886252B

公开(公告)日：2017-01-18

申请号：CN201410020097.2

申请日：2014-01-16

Applicant: 卡巴斯基实验室封闭式股份公司

Inventor： 米哈伊尔·A·帕夫柳席奇卡

IPC: G06F21/52

CPC classification number: G06F21/566 ,  H04L63/1416 ,  H04L63/1441

Abstract: 受信进程地址空间中执行的软件代码的恶意性的选择评估。用于注入到与已知程序相关联的进程中的恶意代码的检测的系统和方法。监视计算机系统中的进程的执行。从正在监视的进程之中仅选择某些进程用于追踪。对于所选择的进程中的每一个，追踪由进程的线程所进行的函数调用。从所追踪的函数调用之中，仅标识是危险函数调用的那些函数调用。对于每个所标识的危险函数调用，使引起危险函数调用的程序指令经受分析以评估它们的恶意性。

公开(公告)号：CN103593608B

公开(公告)日：2016-11-23

申请号：CN201310642107.1

申请日：2013-12-03

Applicant: 卡巴斯基实验室封闭式股份公司

Inventor： 米哈伊尔·A·帕夫柳席奇卡

IPC: G06F21/53 ,  G06F21/56

CPC classification number: G06F21/566

Abstract: 用于检测由虚拟机所执行的恶意代码的系统和方法。防御由进程虚拟机可执行的恶意程序指令集（例如恶意程序）。扩张进程虚拟机的程序指令以在进程虚拟机内建立异常监视模块。当进程虚拟机执行隶属程序指令集时，异常监视模块检测作为结果发生的安全策略违反异常。作为对其的响应，异常监视模块采集代表围绕异常的发生的情形的上下文信息，并且提供上下文信息用于分析恶意代码的存在。异常监视模块基于分析的结果确定是否许可由进程虚拟机对隶属程序指令集的进一步执行。

公开(公告)号：CN102651061B

公开(公告)日：2014-12-03

申请号：CN201210100140.7

申请日：2012-04-06

Applicant: 卡巴斯基实验室封闭式股份公司

Inventor： 阿列克谢·A·波利亚科夫 ,  弗拉季斯拉夫·V·马蒂嫩科 ,  尤里·G·斯洛博迪亚努克 ,  丹尼斯·A·纳扎罗夫 ,  米哈伊尔·A·帕夫柳席奇卡

IPC: G06F21/10

CPC classification number: G06F21/552 ,  G06F21/566

Abstract: 本发明公开了用于检测具有复杂感染模式的恶意软件的系统、方法和计算机程序产品。该系统通过识别潜在的有害软件对象、监视潜在有害对象的各进程和线程的执行、编译被监视进程和线程的执行的事件的情境、以及将相关的进程和线程的情境进行合并而提供对抗恶意软件的增强的保护。基于使用恶意软件行为规则而对单独的和合并的对象情境的分析，该系统能检测到具有简单的和复杂的行为模式的恶意对象。