Método para detectar amenazas en el núcleo de un sistema operativo.

Account number:
9177149
Download
La presente invención es realtiva a la detección de amenazas (malware). El método está implementado en una computadora con el sistema Operativo instalado en ella y consta de un paso en el cual un punto de interrupción es establecido cuando el acceso al sistema es hecho por la aplicación del usuario requiriendo la transferencia del control a través de una dirección en el núcleo del sistema operativo cargado. Seguidamente la estructura del SO cargado se chequea. Si el chequeo se efectúa, la dirección de la instrucción en la memoria de acceso aleatorio de la computadora lo que determina cuál instrucción de control se trasmitirá durante la llamada del sistema es determinada y las direcciónes de las instrucciones que se deben ejecutar durante la llamada al sistema se chequean para ver si se mantienen normales dentro del rango de instrucciones del núcleo del sistema operativo y de los módulos del núcleo del SO en la memoria de acceso aleatorio.  La presencia de amenazas es detectada en el evento de que la dirección de la instrucción no  pertenece al rango normal de direcciones. El método propuesto incluye el chequeo dinámico de la ejecución del código del núcleo del SO para detectar la intercepción ilegal y alteración del código en el núcleo y los módulos del núcleo  (drivers) que se descargaron. El método propuesto permite la detección de amenazas conocidas y no registradas previamente en un núcleo del SO o en los módulos que se han cargado.

Registered
3
November
2015