公开(公告)号：CN111382043B

公开(公告)日：2023-10-13

申请号：CN201910586084.4

申请日：2019-07-01

Applicant: 卡巴斯基实验室股份制公司

Inventor： 阿列克谢·V·莫纳斯蒂尔斯基 ,  米哈伊尔·A·帕夫尤什切克 ,  弗拉季斯拉夫·V·皮恩提斯基 ,  丹尼斯·V·阿尼金 ,  德米特里·A·基尔萨诺夫

IPC: G06F11/34 ,  G06F9/455 ,  G06F21/57

Abstract: 本发明涉及在虚拟机中执行具有漏洞的文件时形成日志的系统和方法。在一个方面中，一种示例性方法包括：在打开所述文件时所创建的进程的线程的执行期间发现触发器的激活，其中，所述触发器描述伴随与尝试利用所述文件的漏洞相关的事件的条件；分析在打开所述文件时所创建的所述进程的堆栈，并发现在所述事件之前的以调用地址和返回地址的序列形式的函数调用链；分析发现所述函数调用链是否满足所述触发器的与尝试利用所述漏洞相关的条件；以及当满足所述触发器的所述条件时，将关于所述函数调用链的信息保存在日志中。

公开(公告)号：CN108399332A

公开(公告)日：2018-08-14

申请号：CN201710451089.7

申请日：2017-06-15

Applicant: 卡巴斯基实验室股份制公司

Inventor： 弗拉季斯拉夫·V·皮恩提斯基 ,  丹尼斯·V·阿尼金 ,  丹尼斯·Y·科比切夫 ,  马克西姆·Y·戈洛夫金 ,  维塔利·V·布图佐夫 ,  德米特里·V·卡拉索夫斯基 ,  德米特里·A·基尔萨诺夫

IPC: G06F21/56

CPC classification number: G06F21/53 ,  G06F9/45508 ,  G06F21/566 ,  G06F2221/034

Abstract: 本发明涉及在虚拟机中针对恶意性对文件进行分析的系统和方法。一种示例性方法包括：通过处理器在虚拟机中打开并执行文件；拦截在打开所述文件时所创建的进程的线程的执行过程中出现的事件；停止执行所述线程；读取所述处理器的上下文，其中在所述处理器上正在执行所述线程；将所述处理器的所述上下文与一个或多个规则相比较；以及基于所述比较的结果，执行如下项中的至少一者：将所述文件识别为恶意的；停止执行在打开所述文件时所创建的所述进程；改变所述处理器的所述上下文；以及等待下一个拦截的事件。

公开(公告)号：CN108228312B

公开(公告)日：2021-11-05

申请号：CN201710447504.1

申请日：2017-06-14

Applicant: 卡巴斯基实验室股份制公司

Inventor： 瓦西里·A·达维多夫 ,  德米特里·V·维诺格拉多夫 ,  罗曼·Y·加夫里尔琛科 ,  德米特里·A·基尔萨诺夫

IPC: G06F9/455 ,  G06F21/56

Abstract: 本发明涉及通过解释器执行代码的系统和方法。一种示例性方法包括：通过所述解释器在模拟的计算机环境中执行所述程序代码的指令；当通过所述解释器检测到所述程序代码的与未知对象相关联的指令时，通过所述解释器停止所述程序代码的指令的进一步执行，所述解释器缺少对于所述未知对象的解释规则；通过所述解释器获得辅助代码，所述辅助代码的执行结果对应于所述未知对象的执行结果，其中，所述辅助代码包含已知对象，所述解释器具有对于所述已知对象的解释规则；通过所述解释器执行所述辅助代码的指令；以及在完成所述辅助代码的执行之后，通过所述解释器恢复所述程序代码的指令的执行。

公开(公告)号：CN107463513A

公开(公告)日：2017-12-12

申请号：CN201610866237.7

申请日：2016-09-29

Applicant: 卡巴斯基实验室股份制公司

Inventor： 弗拉季斯拉夫·V·皮恩提斯基 ,  丹尼斯·V·阿尼金 ,  德米特里·A·基尔萨诺夫

IPC: G06F12/109

Abstract: 本发明涉及在存储位置之间转移控制的系统和方法。公开了用于控制程序执行的系统和方法。示例性方法包括：在虚拟存储地址空间中确定存储扇区，存储扇区用于存储计算机程序的执行指令的至少一部分；在虚拟存储地址空间中确定包含与存储扇区相关联的代码指令和数据的一个或多个页面；创建所述虚拟存储地址空间的副本，所述副本包括所述存储扇区和所述一个或多个页面；标记在所述虚拟存储地址空间及其副本中的所述存储扇区和所述一个或多个页面；在执行存储在所述虚拟存储地址空间或其副本中的指令的同时，接收在不同的存储扇区之间转移所述计算机程序的执行的通知；以及将所述计算机程序的执行转移到接收所述通知的存储位置以外的存储位置。

公开(公告)号：CN105528179A

公开(公告)日：2016-04-27

申请号：CN201510502877.5

申请日：2015-08-14

Applicant: 卡巴斯基实验室股份制公司

Inventor： 弗拉迪斯拉夫·V·皮恩蒂斯科 ,  德米特里·A·基尔萨诺夫 ,  丹尼斯·V·阿尼金

IPC: G06F3/06

CPC classification number: G06F21/552 ,  G06F11/3003 ,  G06F11/3093 ,  G06F11/3466 ,  G06F11/3476 ,  G06F11/362 ,  G06F11/3664 ,  G06F12/1009 ,  G06F12/109 ,  G06F17/40 ,  G06F21/566 ,  G06F2201/865 ,  G06F2212/1032 ,  G06F2212/1052 ,  G06F2212/657

Abstract: 公开了用于控制程序的执行的系统和方法。一个示例性方法包括：在第一虚拟存储器位置中确定感兴趣的存储器扇区；在第二虚拟存储器位置中复制所述感兴趣的存储器扇区；标记第一虚拟地址空间中的所述感兴趣的存储器扇区，并且利用不同的标记来标记第二虚拟地址空间中的所复制的存储器扇区；在所述感兴趣的存储器扇区和所复制的存储器扇区之间选择一个存储器位置以用于所述程序的执行；由硬件处理器在所选择的存储器位置中执行所述程序，直到接收到将所述程序的执行从利用一个标记进行标记的存储器扇区转移到利用一个不同的标记进行标记的存储器扇区的通知；以及，将所述程序的执行转移到与在其中接收到所述通知的存储器位置不同的存储器位置。

公开(公告)号：CN113821297B

公开(公告)日：2024-05-24

申请号：CN202110098672.0

申请日：2021-01-25

Applicant: 卡巴斯基实验室股份制公司

Inventor： 弗拉季斯拉夫·V·皮恩提斯基 ,  丹尼斯·V·阿尼金 ,  德米特里·A·基尔萨诺夫 ,  谢尔盖·V·特罗费门科

IPC: G06F9/455 ,  G06F21/56 ,  G06F21/57

Abstract: 本发明公开了仿真器和仿真方法。一种对文件的执行进行仿真的方法，包括：在仿真器的虚拟处理器上对文件的指令的执行进行仿真。响应于应用程序编程接口(API)函数的启用，停止所述指令的执行。确定所启用的API函数是否存在于所述仿真器的可更新模块中。可更新模块包含API函数的实现。响应于确定所启用的API函数存在于可更新模块中，根据所述可更新模块中包含的对应实现来对所启用的API函数的执行进行仿真。另外，通过在计算设备的处理器上执行相应的虚拟API函数来生成所启用的API函数的执行结果。

公开(公告)号：CN108399332B

公开(公告)日：2022-03-08

申请号：CN201710451089.7

申请日：2017-06-15

Applicant: 卡巴斯基实验室股份制公司

Inventor： 弗拉季斯拉夫·V·皮恩提斯基 ,  丹尼斯·V·阿尼金 ,  丹尼斯·Y·科比切夫 ,  马克西姆·Y·戈洛夫金 ,  维塔利·V·布图佐夫 ,  德米特里·V·卡拉索夫斯基 ,  德米特里·A·基尔萨诺夫

IPC: G06F21/56

Abstract: 本发明涉及在虚拟机中针对恶意性对文件进行分析的系统和方法。一种示例性方法包括：通过处理器在虚拟机中打开并执行文件；拦截在打开所述文件时所创建的进程的线程的执行过程中出现的事件；停止执行所述线程；读取所述处理器的上下文，其中在所述处理器上正在执行所述线程；将所述处理器的所述上下文与一个或多个规则相比较；以及基于所述比较的结果，执行如下项中的至少一者：将所述文件识别为恶意的；停止执行在打开所述文件时所创建的所述进程；改变所述处理器的所述上下文；以及等待下一个拦截的事件。

公开(公告)号：CN113821297A

公开(公告)日：2021-12-21

申请号：CN202110098672.0

申请日：2021-01-25

Applicant: 卡巴斯基实验室股份制公司

Inventor： 弗拉季斯拉夫·V·皮恩提斯基 ,  丹尼斯·V·阿尼金 ,  德米特里·A·基尔萨诺夫 ,  谢尔盖·V·特罗费门科

IPC: G06F9/455 ,  G06F21/56 ,  G06F21/57

Abstract: 本发明公开了仿真器和仿真方法。一种对文件的执行进行仿真的方法，包括：在仿真器的虚拟处理器上对文件的指令的执行进行仿真。响应于应用程序编程接口(API)函数的启用，停止所述指令的执行。确定所启用的API函数是否存在于所述仿真器的可更新模块中。可更新模块包含API函数的实现。响应于确定所启用的API函数存在于可更新模块中，根据所述可更新模块中包含的对应实现来对所启用的API函数的执行进行仿真。另外，通过在计算设备的处理器上执行相应的虚拟API函数来生成所启用的API函数的执行结果。

公开(公告)号：CN108228312A

公开(公告)日：2018-06-29

申请号：CN201710447504.1

申请日：2017-06-14

Applicant: 卡巴斯基实验室股份制公司

Inventor： 瓦西里·A·达维多夫 ,  德米特里·V·维诺格拉多夫 ,  罗曼·Y·加夫里尔琛科 ,  德米特里·A·基尔萨诺夫

IPC: G06F9/455 ,  G06F21/56

CPC classification number: G06F21/566 ,  G06F8/427 ,  G06F9/455 ,  G06F21/53 ,  G06F21/561 ,  G06F2221/033

Abstract: 本发明涉及通过解释器执行代码的系统和方法。一种示例性方法包括：通过所述解释器在模拟的计算机环境中执行所述程序代码的指令；当通过所述解释器检测到所述程序代码的与未知对象相关联的指令时，通过所述解释器停止所述程序代码的指令的进一步执行，所述解释器缺少对于所述未知对象的解释规则；通过所述解释器获得辅助代码，所述辅助代码的执行结果对应于所述未知对象的执行结果，其中，所述辅助代码包含已知对象，所述解释器具有对于所述已知对象的解释规则；通过所述解释器执行所述辅助代码的指令；以及在完成所述辅助代码的执行之后，通过所述解释器恢复所述程序代码的指令的执行。

公开(公告)号：CN105528179B

公开(公告)日：2018-06-12

申请号：CN201510502877.5

申请日：2015-08-14

Applicant: 卡巴斯基实验室股份制公司

Inventor： 弗拉迪斯拉夫·V·皮恩蒂斯科 ,  德米特里·A·基尔萨诺夫 ,  丹尼斯·V·阿尼金

IPC: G06F3/06

CPC classification number: G06F21/552 ,  G06F11/3003 ,  G06F11/3093 ,  G06F11/3466 ,  G06F11/3476 ,  G06F11/362 ,  G06F11/3664 ,  G06F12/1009 ,  G06F12/109 ,  G06F17/40 ,  G06F21/566 ,  G06F2201/865 ,  G06F2212/1032 ,  G06F2212/1052 ,  G06F2212/657

Abstract: 公开了用于控制程序的执行的系统和方法。一个示例性方法包括：在第一虚拟存储器位置中确定感兴趣的存储器扇区；在第二虚拟存储器位置中复制所述感兴趣的存储器扇区；标记第一虚拟地址空间中的所述感兴趣的存储器扇区，并且利用不同的标记来标记第二虚拟地址空间中的所复制的存储器扇区；在所述感兴趣的存储器扇区和所复制的存储器扇区之间选择一个存储器位置以用于所述程序的执行；由硬件处理器在所选择的存储器位置中执行所述程序，直到接收到将所述程序的执行从利用一个标记进行标记的存储器扇区转移到利用一个不同的标记进行标记的存储器扇区的通知；以及，将所述程序的执行转移到与在其中接收到所述通知的存储器位置不同的存储器位置。