JP5511506B2 - 所定のリソースを監視する監視プログラムの強制終了攻撃に対する耐性を有する装置、所定のリソースを監視する監視プログラムの強制終了攻撃に対する耐性を付与する方法及び該方法を装置で実行することが可能なコンピュータプログラム - Google Patents
所定のリソースを監視する監視プログラムの強制終了攻撃に対する耐性を有する装置、所定のリソースを監視する監視プログラムの強制終了攻撃に対する耐性を付与する方法及び該方法を装置で実行することが可能なコンピュータプログラム Download PDFInfo
- Publication number
- JP5511506B2 JP5511506B2 JP2010118879A JP2010118879A JP5511506B2 JP 5511506 B2 JP5511506 B2 JP 5511506B2 JP 2010118879 A JP2010118879 A JP 2010118879A JP 2010118879 A JP2010118879 A JP 2010118879A JP 5511506 B2 JP5511506 B2 JP 5511506B2
- Authority
- JP
- Japan
- Prior art keywords
- monitoring program
- monitoring
- thread
- program
- computer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
- Storage Device Security (AREA)
Description
図1は、本発明の実施の形態1に係る強制終了抑制装置を内蔵するコンピュータを、CPUを用いて構成した例を示すブロック図である。本発明の実施の形態1に係る強制終了抑制装置を内蔵するコンピュータ1は、複数の外部コンピュータ3、3、・・・と、ネットワーク2を介してデータ通信することが可能に接続されている。
実施の形態1に係る強制終了抑制装置を内蔵するコンピュータ1では、監視プログラムをログオンプロセスへ注入しているが、本実施の形態2では所定のリソースを監視する監視プログラムが監視対象である点で実施の形態1と相違する。なお、実施の形態2に係る強制終了抑制装置を内蔵するコンピュータ1の構成例及び機能ブロックは、実施の形態1に係る強制終了抑制装置を内蔵するコンピュータ1の構成例及び機能ブロックと同じであるため、同一の符号を付することにより詳細な説明は省略する。
実施の形態1及び2に係る強制終了抑制装置を内蔵するコンピュータ1では、監視プログラムを注入するプロセスをユーザが選択しているが、本実施の形態3では注入するプロセスをコンピュータ1が自動的に選択する点で実施の形態1及び2と相違する。なお、実施の形態3に係る強制終了抑制装置を内蔵するコンピュータ1の構成例は、実施の形態1及び2に係る強制終了抑制装置を内蔵するコンピュータ1の構成例と同じであるため、同一の符号を付することにより詳細な説明は省略する。
2 ネットワーク
3 外部コンピュータ
11 CPU
12 メモリ
13 記憶装置
14 I/Oインタフェース
15 ビデオインタフェース
16 可搬型ディスクドライブ
17 通信インタフェース
18 内部バス
23 表示装置
90 可搬型記録媒体
100 コンピュータプログラム
Claims (9)
- 所定のリソースを監視する監視プログラムの強制終了攻撃に対する耐性を有する装置であって、
前記監視プログラムを含む所定のプロセスを実行することが可能としてあり、
該所定のプロセスは、終了した場合に前記監視プログラムの監視対象となる所定のリソースを使用することができなくなるプロセスであり、
前記所定のプロセスの実行に応じて、前記監視プログラムを起動する監視プログラム起動手段を備え、
該監視プログラム起動手段は、前記所定のプロセスの実行に応じて、新たなスレッドを生成し、
生成したスレッド内で監視プログラムを実行するとともに、
生成した新たなスレッドを識別する情報を、稼働しているスレッドを識別する情報を抽出するスレッド抽出プログラムの戻り値から削除するスレッド削除手段をさらに有し、
前記監視プログラムが外部から強制終了させられた場合、前記所定のプロセスを終了するようにしてある装置。 - 前記監視プログラムは、ダイナミックリンクライブラリとして実装され、
該ダイナミックリンクライブラリを前記所定のプロセスに注入するようにしてある請求項1記載の装置。 - 前記所定のリソースは、前記監視プログラムを実行するコンピュータ本体であり、
前記所定のプロセスは、前記コンピュータ本体へのログオン及びログオフを制御するプロセスである請求項1又は2に記載の装置。 - 前記所定のリソースは、他のリソースを監視する他の監視プログラムであり、
前記監視プログラムは、前記他の監視プログラムの強制終了を検知する及び/又は前記他の監視プログラムを再起動する請求項1乃至3のいずれか一項に記載の装置。 - 所定のリソースを監視する監視プログラムの強制終了攻撃に対する耐性を付与する方法であって、
前記監視プログラムを含む所定のプロセスを、該所定のプロセスが終了した場合に前記監視プログラムの監視対象となる所定のリソースを使用することができなくなるプロセスとし、
前記所定のプロセスの実行に応じて、新たなスレッドを生成し、
生成したスレッド内で監視プログラムを実行し、
生成した新たなスレッドを識別する情報を、稼働しているスレッドを識別する情報を抽出するスレッド抽出プログラムの戻り値から削除し、
前記監視プログラムが外部から強制終了させられた場合、前記所定のプロセスを終了する方法。 - 前記監視プログラムは、ダイナミックリンクライブラリとして実装され、
該ダイナミックリンクライブラリを前記所定のプロセスに注入する請求項5記載の方法。 - 前記所定のリソースは、前記監視プログラムを実行するコンピュータ本体であり、
前記所定のプロセスは、前記コンピュータ本体へのログオン及びログオフを制御するプロセスである請求項5又は6に記載の方法。 - 前記所定のリソースは、他のリソースを監視する他の監視プログラムであり、
前記監視プログラムは、前記他の監視プログラムの強制終了を検知する及び/又は前記他の監視プログラムを再起動する請求項5乃至7のいずれか一項に記載の方法。 - 所定のリソースを監視する監視プログラムの強制終了攻撃に対する耐性を付与する方法をコンピュータで実行することが可能なコンピュータプログラムであって、
前記コンピュータは、前記監視プログラムを含む所定のプロセスを実行することが可能としてあり、
前記所定のプロセスは、終了した場合に前記監視プログラムの監視対象となる所定のリソースを使用することができなくなるプロセスであり、
前記コンピュータを、
前記所定のプロセスの実行に応じて、前記監視プログラムを起動する監視プログラム起動手段、及び
前記監視プログラムが外部から強制終了させられた場合、前記所定のプロセスを終了する手段として機能させ、
前記監視プログラム起動手段を、
前記所定のプロセスの実行に応じて、新たなスレッドを生成する手段、及び
生成したスレッド内で監視プログラムを実行する手段として機能させ、
前記コンピュータを、生成した新たなスレッドを識別する情報を、稼働しているスレッドを識別する情報を抽出するスレッド抽出プログラムの戻り値から削除するスレッド削除手段として機能させるコンピュータプログラム。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010118879A JP5511506B2 (ja) | 2010-05-25 | 2010-05-25 | 所定のリソースを監視する監視プログラムの強制終了攻撃に対する耐性を有する装置、所定のリソースを監視する監視プログラムの強制終了攻撃に対する耐性を付与する方法及び該方法を装置で実行することが可能なコンピュータプログラム |
US13/115,498 US8776070B2 (en) | 2010-05-25 | 2011-05-25 | Method and apparatus having resistance to forced termination attack on monitoring program for monitoring a predetermined resource |
US13/412,795 US9003415B2 (en) | 2010-05-25 | 2012-03-06 | Method and apparatus having resistance to forced termination attack on monitoring program for monitoring a predetermined resource |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010118879A JP5511506B2 (ja) | 2010-05-25 | 2010-05-25 | 所定のリソースを監視する監視プログラムの強制終了攻撃に対する耐性を有する装置、所定のリソースを監視する監視プログラムの強制終了攻撃に対する耐性を付与する方法及び該方法を装置で実行することが可能なコンピュータプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2011248486A JP2011248486A (ja) | 2011-12-08 |
JP5511506B2 true JP5511506B2 (ja) | 2014-06-04 |
Family
ID=45413692
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010118879A Expired - Fee Related JP5511506B2 (ja) | 2010-05-25 | 2010-05-25 | 所定のリソースを監視する監視プログラムの強制終了攻撃に対する耐性を有する装置、所定のリソースを監視する監視プログラムの強制終了攻撃に対する耐性を付与する方法及び該方法を装置で実行することが可能なコンピュータプログラム |
Country Status (2)
Country | Link |
---|---|
US (1) | US8776070B2 (ja) |
JP (1) | JP5511506B2 (ja) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9003415B2 (en) * | 2010-05-25 | 2015-04-07 | International Business Machines Corporation | Method and apparatus having resistance to forced termination attack on monitoring program for monitoring a predetermined resource |
US8984331B2 (en) * | 2012-09-06 | 2015-03-17 | Triumfant, Inc. | Systems and methods for automated memory and thread execution anomaly detection in a computer network |
JP5986974B2 (ja) * | 2013-10-18 | 2016-09-06 | 日本電信電話株式会社 | プロセス監視システム、プロセス監視方法 |
CN104809400A (zh) * | 2015-04-28 | 2015-07-29 | 联动优势科技有限公司 | 一种进程保护的方法及装置 |
CN105117239A (zh) * | 2015-07-24 | 2015-12-02 | 上海修源网络科技有限公司 | 一种操作系统重启方法及装置 |
CN106874077B (zh) * | 2015-12-11 | 2020-04-21 | 腾讯科技(深圳)有限公司 | 进程运行方法及装置 |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH0259937A (ja) * | 1988-08-26 | 1990-02-28 | Hitachi Maxell Ltd | Icカード |
JPH10214208A (ja) | 1997-01-31 | 1998-08-11 | Meidensha Corp | ソフトウェアの異常監視方式 |
US6178529B1 (en) * | 1997-11-03 | 2001-01-23 | Microsoft Corporation | Method and system for resource monitoring of disparate resources in a server cluster |
US6385721B1 (en) | 1999-01-22 | 2002-05-07 | Hewlett-Packard Company | Computer with bootable hibernation partition |
US7243267B2 (en) * | 2002-03-01 | 2007-07-10 | Avaya Technology Llc | Automatic failure detection and recovery of applications |
US7484207B2 (en) * | 2002-12-11 | 2009-01-27 | O'z Co., Ltd. | Software execution control system and software execution control program |
JP2004246439A (ja) | 2003-02-12 | 2004-09-02 | Nec Corp | クラスタシステムにおけるストール防止方式,方法およびプログラム |
KR100483700B1 (ko) * | 2003-12-03 | 2005-04-19 | 주식회사 잉카인터넷 | 온라인 게임 클라이언트 보안을 위한 실시간 프로세스 불법 접근 및 조작 차단 방법 |
JP2006092057A (ja) | 2004-09-22 | 2006-04-06 | Hitachi Ltd | プロセスの強制終了処理方法 |
JP2007265121A (ja) * | 2006-03-29 | 2007-10-11 | Fujitsu Ltd | 強制終了条件監視装置、強制終了条件監視方法および強制終了条件監視プログラム |
JP4048382B1 (ja) * | 2006-09-01 | 2008-02-20 | 富士ゼロックス株式会社 | 情報処理システムおよびプログラム |
-
2010
- 2010-05-25 JP JP2010118879A patent/JP5511506B2/ja not_active Expired - Fee Related
-
2011
- 2011-05-25 US US13/115,498 patent/US8776070B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
US8776070B2 (en) | 2014-07-08 |
JP2011248486A (ja) | 2011-12-08 |
US20110296426A1 (en) | 2011-12-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5511506B2 (ja) | 所定のリソースを監視する監視プログラムの強制終了攻撃に対する耐性を有する装置、所定のリソースを監視する監視プログラムの強制終了攻撃に対する耐性を付与する方法及び該方法を装置で実行することが可能なコンピュータプログラム | |
US8677491B2 (en) | Malware detection | |
US10032024B2 (en) | System and method for virtual partition monitoring | |
US8621628B2 (en) | Protecting user mode processes from improper tampering or termination | |
US8650578B1 (en) | System and method for intercepting process creation events | |
US8239947B1 (en) | Method using kernel mode assistance for the detection and removal of threats which are actively preventing detection and removal from a running system | |
JP6706273B2 (ja) | インタープリタ仮想マシンを用いた挙動マルウェア検出 | |
US9990490B2 (en) | Generic privilege escalation prevention | |
EP2902937B1 (en) | Method, apparatus, and system for triggering virtual machine introspection | |
US8495741B1 (en) | Remediating malware infections through obfuscation | |
JP2009543186A (ja) | ブート環境におけるマルウェアの識別 | |
JP5026494B2 (ja) | 高速で起動するコンピュータ | |
US20100186093A1 (en) | Portable mass storage device with hooking process | |
US7562391B1 (en) | Reducing false positive indications of buffer overflow attacks | |
US20120096550A1 (en) | Providing security for a virtual machine by selectively triggering a host security scan | |
EP3079057B1 (en) | Method and device for realizing virtual machine introspection | |
KR101011145B1 (ko) | 응용 모듈 삽입 장치, 응용 모듈 삽입 기능을 구비한 컴퓨팅 장치 및 응용 모듈 삽입 방법을 실행하기 위한 프로그램을 기록한 기록매체 | |
US20070261117A1 (en) | Method and system for detecting a compressed pestware executable object | |
US20200394297A1 (en) | Securely and efficiently providing user notifications about security actions | |
US11461465B1 (en) | Protection of kernel extension in a computer | |
US9003415B2 (en) | Method and apparatus having resistance to forced termination attack on monitoring program for monitoring a predetermined resource | |
JP2008176352A (ja) | コンピュータプログラム、コンピュータ装置、及び動作制御方法 | |
US8572742B1 (en) | Detecting and repairing master boot record infections | |
JP5955475B1 (ja) | プログラム、情報処理装置、及び情報処理方法 | |
KR20110057297A (ko) | 악성 봇 동적 분석 시스템 및 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20130215 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140121 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140204 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140217 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140311 |
|
RD14 | Notification of resignation of power of sub attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7434 Effective date: 20140311 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140325 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5511506 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |