CN101137963A - 用于验证可执行文件可信度的系统和方法 - Google Patents
用于验证可执行文件可信度的系统和方法 Download PDFInfo
- Publication number
- CN101137963A CN101137963A CNA2006800073203A CN200680007320A CN101137963A CN 101137963 A CN101137963 A CN 101137963A CN A2006800073203 A CNA2006800073203 A CN A2006800073203A CN 200680007320 A CN200680007320 A CN 200680007320A CN 101137963 A CN101137963 A CN 101137963A
- Authority
- CN
- China
- Prior art keywords
- executable file
- malware
- described executable
- file
- credible
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 54
- 238000012795 verification Methods 0.000 claims description 36
- 230000015654 memory Effects 0.000 claims description 18
- 230000008569 process Effects 0.000 claims description 13
- 238000004590 computer program Methods 0.000 claims description 10
- 230000004044 response Effects 0.000 claims description 10
- 238000009434 installation Methods 0.000 claims description 7
- 230000003612 virological effect Effects 0.000 claims 3
- 241000700605 Viruses Species 0.000 description 18
- 238000005516 engineering process Methods 0.000 description 9
- 230000009471 action Effects 0.000 description 5
- 238000004891 communication Methods 0.000 description 5
- 230000005055 memory storage Effects 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 230000002093 peripheral effect Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000001413 cellular effect Effects 0.000 description 2
- 230000000295 complement effect Effects 0.000 description 2
- 230000000875 corresponding effect Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000000712 assembly Effects 0.000 description 1
- 238000000429 assembly Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 230000001066 destructive effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000012856 packing Methods 0.000 description 1
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/51—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/17—Details of further file system functions
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
- Stored Programmes (AREA)
Abstract
描述了用于确认可执行文件的完整性的系统和方法。在一方面,这些系统和方法确定可执行文件正在被引入执行路径。该可执行文件然后根据多重恶意软件校验来自动估算,以检测该可执行文件是否表示一类恶意软件。如果该可执行文件表示一类恶意软件,则保护路径被实现。
Description
技术领域
本公开内容涉及数据认证和验证。
背景技术
在计算机包含病毒或特洛伊木马时,可执行文件(例如二进制映像、目标代码、便携式可执行文件(PE)、宏、类Visual Basic脚本(VBS)的脚本等)在计算机上运行是危险的。病毒是特别是在违反用户意愿且用户不知情时更改盘上的二进制映像的程序或代码。病毒也可自己复制。可不断复制自己的简单病毒相对易于生成。即使是简单的病毒也是危险的,因为它们可迅速地使用所有可用存储器并使系统中断。一些病毒能在网络上传送自己并绕过安全系统。与病毒不同,特洛伊木马不复制自己但它们会是破坏性的,从而常常冒充可由信任用户启动的良性应用程序。一类特洛伊木马是声称使计算机摆脱病毒、但相反将病毒引入计算机的程序。
一种识别已遭病毒或特洛伊木马破坏的可执行代码的方法包括在将可执行文件安装或下载到计算设备上时使用受信任的密码散列。密码散列或简称散列将可执行文件编译成简化形式或摘要。受信任散列被称为好的代码,或在创建散列时(在构建时)表示未遭破坏的代码。为了产生可执行文件(即二进制映像、可执行代码、脚本、宏等)的受信任散列,对包括诸如数据的关联资源的可执行文件执行报文摘要或校验和计算,以在从一个位置到另一个位置传送可执行文件之前获得第一受信任结果(例如在构建时)。对所传送的可执行文件进行相同的计算以获得第二结果。该第一受信任结果与第二结果作比较,以确定所接收到的可执行文件是原来发送的相同数据。例如,如果前后计算结果相匹配,则所接收的数据可能是准确的。否则,所接收到的可执行文件已遭破坏。这样,可有效地降低下载或安装遭破坏二进制映像的风险。
尽管在安装时验证文件的常规技术减少了安装与受信任散列相关联的文件的风险,但这些常规技术不会降低从不受信任源安装文件(例如无受信任散列或文件签名)、在文件已被安装到计算设备上之后执行文件、或执行作为基本输入输出系统(BIOS)一部分的文件的风险。与将文件从不受信任源安装到计算系统相关联的问题是众所周知的。更糟糕的是,在安装时验证完整性的文件可在安装后遭到破坏,从而使得任何初始可信度验证估算作废。此外,当今的计算机系统没有在受信任和可疑或恶意可执行对象代码之间进行分辨的内在机制。在文件被载入BIOS固件内的情形中,当文件在引导操作期间被载入以便执行时,常规系统通常在此时没有使足够的代码完整性校验基础结构到位(载入),来作为引导过程的一部分在文件执行之前充分地对该文件执行代码完整性校验或任何其它类型的病毒、间谍软件、或其它恶意软件(malware)校验。
发明内容
描述了用于确认可执行文件完整性的系统和方法。在一方面,这些系统和方法确定可执行文件正在被引入执行路径。该可执行文件然后鉴于多重恶意软件校验自动地估算,以检测该可执行文件是否表示一类恶意软件。多重恶意软件校验被集成到沿执行路径的操作系统可信度验证过程中。
附图说明
在附图中,组件参考标号的最左位标识该组件首次出现的特定附图。
图1示出用于验证可执行文件的可信度的一个示例性系统。
图2示出用于验证可执行文件的可信度的一个示例性过程。
图3示出适当计算环境的一个示例,在该计算环境中用于验证可执行文件的可信度的系统和方法可完整或部分地实现。
具体实施方式
纵览
用于验证可执行文件的可信度的系统和方法通过提供集成到操作系统(OS)中的综合性可信度验证工具解决了常规代码完整性校验技术和独立(非集成)恶意软件校验的限制。该可信度验证工具包括在可执行文件被载入到系统中时、以及在代码被映射到存储器中以便执行时自动调用的多个可信度验证器。这些可信度验证器各自确定可执行代码是否来自受信任源(例如由受信任证书权威机构签名的代码)、并进一步估算该可执行代码以找出特洛伊木马(代码完整性)、病毒、间谍软件、和/或其它类型的已知恶意软件。已知的恶意软件是与已知恶意软件签名或其它已知恶意软件特征相关联的恶意软件。
如果代码被确定为是恶意软件,则用于验证可执行文件的可信度的系统和方法将该代码标记为“不受信任”或不可信。不受信任代码不被安装或执行。如果代码被确定为不是来自受信任源、并被确定为不是恶意软件的已知类型,则系统管理员就有了核准代码的可靠性(例如通过用本地密钥对文件数字签名)的机会。该机会是根据来自可信度验证器链的代码不代表已知类型恶意软件的相应指示来提供给系统管理员的。这样,系统管理员可作出是否安装或执行尚未得到外部受信任第三方确认的代码的基于经验判定。一旦代码被标记成可信,则如果代码随后被更改(例如引入一特洛伊木马),这些更改也将在执行之前被用于可信度验证的系统和方法检测到,并且该代码将不被允许执行。
鉴于以上内容,只有在用于验证可执行文件的可信度的系统和方法指示可执行文件不是已知类型的恶意软件之后,这些系统和方法才允许安装或执行该可执行文件。这与常规系统形成了鲜明对比,常规系统在安装期间或在可执行文件被载入存储器中以便执行之前不自动对可执行文件执行多重文件恶意软件评估。此外,多重可信度验证在操作系统中的集成与常规系统中极为不同,在常规系统中病毒、间谍软件、或其它形式对恶意软件的校验是单独的进程,即未集成到操作系统中的进程。
现在将更详细地描述用于验证可执行文件的可信度的系统和方法的这些和其它方面。
一示例性系统
尽管不是必需的,但用于验证可执行文件的可信度的系统和方法将在由诸如个人计算机的计算设备执行的计算机可执行指令(程序模块)的一般上下文中进行描述。程序模块一般包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等。尽管这些系统和方法在前述上下文中描述,但下文中描述的动作和操作也可用硬件来实现。
图1示出了用于验证可执行文件的可信度的示例性系统100。在该实现中,系统100包括计算设备102。计算设备102是诸如个人计算机、膝上型电脑、服务器、小波形系数移动计算设备(例如蜂窝式电话、个人数字助理、或手持式计算机)等任何类型的计算设备。计算设备102包括程序模块104和程序数据106。程序模块104包括例如提供运行时间环境的操作系统108、以及诸如可执行对象代码(例如二进制映像、PE文件、DLL、脚本等)的其它程序模块110。作为运行时间环境的一部分,操作系统108包括提供集成的文件可信度验证工具的可信度验证器模块112。
作为对操作系统108检测到可执行文件(例如对象代码、脚本、DLL等)正在被安装到计算设备102上、和/或被载入存储器以便于执行的响应,可信度验证器112确定可执行代码是否来自受信任源(例如受信任证书权威机构)并实现多重可信度验证校验,以确定该可执行代码是否是已知类型的恶意软件(例如代码是否包括特洛伊木马、病毒、间谍软件等)。用于确定文件正在被安装到计算设备上、被载入(例如分页)到存储器中以便执行,用于确定文件是否是可执行文件,以及用于估算文件是否来自受信任权威机构的技术是公知的。
由可信度验证器112实现的可执行文件可信度验证校验包括,例如代码完整性、病毒、间谍软件、和/或其它恶意软件校验。通过比较可执行文件的受信任完整映像散列(如果存在)与可执行文件的经计算完整散列来估算可执行文件的代码完整性的技术是公知的。此外,对可执行文件校验病毒或特洛伊木马的技术是公知的。可信度验证器112响应于可执行文件的一部分被载入存储器以便执行而执行部分映像散列验证操作的示例性技术在2005年1月18日提交的题为“使用部分映像散列验证可执行文件完整性的系统和方法”(Systems and Methods for ValidatingExecutable File Integrity Using Partial Image Hashes)的序列号为11/037,566的美国专利申请中描述,该申请与本申请共同授让并通过引用结合于此。部分映像散列是比整个可执行文件少的散列。例如,部分映像散列是可执行文件的一个或多个页面(例如在PE文件等的情形中)、或可执行文件的不联结到页面边界的部分(例如在脚本等的情形中)的散列。
在一实现中,可信度验证器112以用于数字证书校验、病毒、特洛伊木马、间谍软件、和/或其它恶意软件校验的一个或多个数字证书的相应插入模块验证可执行文件的可信度。为示例性说明起见,这样的插入模块被示为“其它程序模块”110的相应部分。在一实现中,可定制由可信度验证器112信任链实现的各种恶意软件校验。例如,实现各个恶意软件校验的插入模块可被添加到信任链中和/或从中移除。
在一实现中,当访问与特定恶意软件校验相关联的功能时,可信度验证器112检测该特定恶意软件校验是否被无效、和/或该特定恶意软件校验的未获授权替代是否已被引入信任链。在一实现中,可信度验证器112通过引用恶意软件校验插件的受信任列表确定功能是否与特定恶意软件校验相关联、和/或恶意软件校验插入模块是否是一获授权模块。在该实现中,这样的列表由管理员或其它获授权实体维持。为了示例性说明起见,这样的列表被示为“其它数据”114的一个相应部分。
如果可信度验证器112确定可执行文件来自受信任源且不是恶意软件(例如不是病毒、不是间谍软件、不是特洛伊木马一成功的散列校验等),则操作系统108使得触发可信度验证过程(例如文件安装操作或将文件载入存储器以便执行的操作)的进程得以完成。然而,如果可信度验证器112确定该可执行文件不是来自受信任源,并且还确定该可执行文件不是已知类型的恶意软件,则可信度验证器112(或操作系统108)向系统管理员提供核准该可执行文件可信(例如通过用本地密钥对该文件签名)、指示该文件的可信度有问题、或指示该文件不可信的机会。(用本地密钥签名的技术是公知的。)
在一实现中,当可执行文件被确定为不是来自受信任源,并被确定为不是已知类型的恶意软件时,可信度验证器112(或操作系统108)向管理员提供对话框或其它用户界面(UI)组件(例如语音控制的),以使管理员能核准该可执行文件可信、可信度有问题、或不可信。为了示例性说明起见,这样的UI被示为“其它数据”114的一个相应部分。在该情形中,并且因为可信度验证器112根据多重恶意软件校验估算可执行文件,所以与常规系统和技术相比,可信度验证器112向管理员提供有关文件可信度的相当高级水平的知识。因而,系统管理员可作出是否核准文件可信的基于校验判定,随后允许或禁止先前尚未被受信任外部第三方确认的代码的文件安装和/或执行。
鉴于以上内容,可信度验证112操作在与计算机程序安装和执行操作相关联的各个时刻调用。为了说明起见,这些各个时刻被称为程序正在“被引入执行路径”的时刻。在该实现中,例如,可信度验证操作在程序安装期间和程序安装之后调用(例如响应于确定程序以载入存储器以便执行为目标)。在另一实现中,可信度验证器112操作在上述时刻的一个或多个实现,和/或在与程序被引入执行路径时相关联的其它时刻实现。
如果可信度验证器112确定可执行文件是恶意软件(不管它是否由受信任源签名),则可信度验证器112(或操作系统108)将该代码标记为“不受信任”或不可信。在该情形中,并且如果可信度验证器操作响应于代码安装操作,则操作系统108不将该不受信任代码装入计算设备102。此外,如果可信度验证器操作对操作系统108将代码载入存储器以便执行的准备作出响应,则操作系统108不允许该不受信任代码被载入存储器以便执行。这表示,即使可执行文件如上所述被标记为可信,如果该代码随后被更改(例如引入一特洛伊木马),则这样的更改也将在执行代码之前被可信度验证器112检测到,且该代码将不被允许执行。
现在描述示例性可信度验证器112的信任链操作(即恶意软件检测操作)。
示例性保护路径
响应于确定以安装到计算设备102或载入存储器以便执行为目的的可执行文件不可信,可信度验证器112或操作系统108自动实现可定制的保护路径。例如,在一实现中,该保护路径包括以下动作的一个或多个:
·将该可执行文件标记为不可信;
·指示安装模块不安装该文件,或指示存储器管理器116不将该文件的任一部分载入存储器以便执行;
·抛出标识失败文件验证的关联事件,和/或
·将该事件写入事件日志
·自动估算计算设备102上的几乎所有文件(可执行和数据文件),以确定各个文件是否来自受信任源并表示已知类型的恶意软件;和/或
·切断计算设备102的电源
在一实现中,保护路径标识用于在文件未通过可信度验证、发出警报、记录要进行的操作等时实现的一个或多个动作规则。在一实现中,保护路径基于提供统一用户体验的分组策略和/或用户界面设置。
一示例性过程
图2示出用于验证可执行文件的可信度的一示例性过程200。为了讨论和说明起见,该过程的操作参照图1的组件进行描述。组件参考标号的最左位标识该组件首次出现的特定附图。在框202,操作系统108(例如操作系统的文件系统或存储器管理器部分)确定可执行文件正在被安装到计算设备102上、或正在被载入(尚未载入)存储器以便执行。响应于该确定,可信度验证器112估算该可执行文件以确定它是否来自受信任源(例如由受信任证书权威机构数字签名)。
在框204,可信度验证器112确定该可执行文件是否表示已知类型的恶意软件。在一实现中,在可执行文件已被安装到计算设备102上之后,并且除以上所述之外,这些操作包括确定与该可执行文件相关联的签名是否匹配已知的恶意软件签名,根据该恶意软件签名可确定可执行文件是恶意软件。为了说明起见,一个或多个已知恶意软件签名的列表被示为“其它数据”114的一个相应部分。在一实现中,该列表被分配给可信度验证器112以标识在程序安装时已被初始视为可信、但在后来确定为构成或以其它方式包括恶意代码的任何可执行文件。
在框206,如果可执行文件不是来自受信任源且不是恶意软件,则可信度验证器112(或操作系统108)向管理员提供核准文件可信、指示该文件的可信度有问题、或指示该文件不可信的机会。在框208,如果可执行文件不是来自受信任源或被确定为是恶意软件(框204),则可信度验证器112将该文件标记/标识为不可信。在一实现中,其中可执行文件在先前标记为可信,这些操作包括自动废除与可执行文件相关联的可信度(或降低可信度)(例如当可执行文件被确定为具有与已知恶意软件签名相匹配的签名时)。
在框210,如果可执行文件不是来自受信任源或被标记为不可信,则可信度验证器112(或操作系统108)实现一保护路径。例如,如果可执行文件正在被安装到计算设备102上,则保护路径至少使该可执行文件的安装操作失败。在另一示例中,如果可执行文件的至少一部分被载入计算设备102上的存储器中以便执行,则保护路径至少使存储器载入操作失败,从而该文件将不被载入存储器以便执行。
一示例性操作环境
图3示出适当计算环境300的一个示例,其中用于验证可执行文件的可信度的系统和方法可全部或部分地实现。示例性计算环境300仅仅是适于图1示例性系统和图2示例性操作的适当计算环境的一个示例,并且并非旨在对本文所述的系统和方法的使用范围或功能提出任何限制。计算环境300不应被解释为具有与计算环境300中所示组件的任一个或组合相关的任何依赖或要求。
本文中所述的方法和系统可用于许多其它通用或专用计算系统、环境或配置。众所周知的适用计算系统、环境、和/或配置的示例包括但不限于个人计算机、膝上型电脑、小波形系数移动计算设备(例如蜂窝式电话、个人数字助理、或手持式计算机)、服务器计算机、多处理器计算机、基于多处理器的计算机、网络PC、微型计算机、大型计算机、包括任一以上系统和设备的分布式计算环境等等。该框架的紧凑型或子集版本也可用诸如手持式计算机的具有有限资源的客户机、或其它计算设备来实现。本发明在任务由通过通信网络链接的远程处理设备执行的分布式计算环境中实践。在分布式计算环境中,程序模块可置于本地和远程的存储器存储设备中。
参照图3,示例性系统300示出适当计算环境的一个示例,其中用于验证可执行文件的可信度的系统和方法可全部或部分地实现。系统300包括实现例如图1的客户机计算机102的计算机310形式的通用计算设备。计算机310的组件可包括但不限于处理单元320、系统存储器330、以及将包括系统存储器的各个系统组件耦合到处理单元320的系统总线321。该系统总线321可以是数种总线结构的任一种,包括存储器总线或存储器控制器、外围总线、以及使用各种总线架构的任一种的本地总线。作为示例而非限制,这些架构可包括工业标准架构(ISA)总线、微信道架构(MCA)总线、增强式ISA(EISA)总线、视频电子标准协会(VESA)本地总线、以及也称为Mezzanine总线的外围组件互连(PCI)总线。
计算机310通常包括各种计算机可读介质。计算机可读介质可以是可由计算机310访问的任何可用介质,并包括易失性和非易失性介质、可移动和不可移动介质。作为示例,但非限制,计算机可读介质可包括计算机存储介质和通信介质。计算机存储介质包括用存储诸如计算机可读指令、数据结构、程序模块或其它数据的信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其它存储器技术、CD-ROM、数字多功能盘(DVD)或其它光学存储、磁盘、磁带、磁盘存储或其它磁性存储设备、或可用来存储所需信息并可由计算机310访问的任何其它介质。
通信介质通常包括计算机可读指令、数据结构、程序模块或诸如载波或其它传输机制的经调制数据信号中的其它数据,并且包括任何信息输送介质。术语“经调制数据信号”表示其特征的一个或多个以编码信号中信息的方式设置或改变的信号。作为示例且非限制,通信介质包括诸如有线网络或直接接线连接的有线介质,以及诸如声学、RF、红外和其它无线介质的无线介质。以上任一种的组合也应被包括在计算机可读介质的范围内。
系统存储器330包括诸如只读存储器(ROM)331和随机存取存储器(RAM)332的易失性和/或非易失性存储器形式的计算机存储介质。包含诸如在启动时有助于在计算机310内的元件之间传送信息的基本例程的基本输入/输出系统333(BIOS)通常被存储在ROM 331中。RAM 332通常包含可被处理单元320立即访问和/或当时正被操作的数据和/或程序模块。作为示例,而非限制,图1示出了操作系统334、应用程序335、其它程序模块336、和程序数据337。
计算机310还可包括其它可移动/不可移动、易失性/非易失性计算机存储介质。仅作为示例,图3图示了读取和写入不可移动、非易失性磁性介质的硬盘驱动器341,读取和写入可移动、非易失性磁盘352的磁盘驱动器351,读取和写入可移动、非易失性光盘356,诸如CD-ROM或其它光学介质的光盘驱动器355。其它也用在示例性计算环境中的可移动/不可移动、易失性/非易失性计算机存储介质包括,但不限于,如磁带、闪存卡、数字化多功能光盘、数字化录像带、固态RAM、固态ROM等等。硬盘驱动器341通常通过诸如接口340的不可移动存储器接口与系统总线321连接,而磁盘驱动器351和光盘驱动器355通常通过诸如接口350的可移动存储器接口与系统总线321连接。
如上所述并如图3所示的盘驱动器及其相关联的计算机存储介质为计算机310提供计算机可读指令、数据结构、程序模块、和其它数据的存储。在图3中,例如,硬盘驱动器341被示为存储操作系统344、应用程序345、其它程序模块346、和程序数据347。注意这些组件可以与操作系统334、应用程序335、其它程序模块336、和程序数据337相同或不同。应用程序335包括例如图1的程序模块104。程序数据337包括例如图1的程序数据106。在此给予操作系统344、应用程序345、其它程序模块346、和程序数据347的数字不同至少说明他们是不同的副本。
用户可通过诸如键盘362的输入装置、和诸如鼠标、跟踪球或触摸板等定位装置361向计算机310输入命令和信息。其它输入装置(未示出)可包括话筒、游戏杆、游戏垫、卫星接收器、扫描仪等等。这些和其它输入设备常常通过与系统总线321耦合的用户输入接口360与处理单元320相连,但也可通过诸如并行端口、游戏端口或通用串行总线(USB)的其它接口和总线结构连接。
监视器391或其它类型的显示设备也可通过诸如视频接口390的接口与系统总线321相连。除了监视器,计算机还可包括诸如打印机396和音频设备397的其它外围输出设备,它们通过输出外围接口395相连。
计算机310可以在使用与诸如远程计算机380的一台或多台远程计算机的逻辑连接的网络化环境中运行。远程计算机380可以是个人计算机、服务器、路由器、网络PC、对等装置或其它公共网络节点,而且根据特定实现可包括上述与计算机102相关的许多或全部元件(例如程序模块104和程序数据106等),尽管在图3中仅图示了存储器存储设备381。图3中所描绘的逻辑连接包括局域网(LAN)371和广域网(WAN)373,但也可包括其它网络。这样的网络化环境在办公室、企业范围计算机网络、企业内部互联网和因特网上是常见的。
当用于LAN网络化环境中时,计算机310通过网络接口或适配器370与局域网371连接。当用于WAN网络化环境中时,计算机310通常包括调制解调器372或其它用于在诸如因特网的广域网373中建立通信的装置。可以是内置式或外置式的调制解调器372与系统总线321通过用户输入接口360或其它适当机制连接。在网络化环境中,与计算机310相关的程序模块或其一部分可存储在远程存储器存储装置中。作为示例,而非限制,图3示出了驻留于存储装置381中的远程应用程序385。所示网络连接是示例性的,且其它用于在计算机间建立通信链路的手段也可以使用。
结论
尽管本发明以结构特征和/或方法论操作或动作的专用语言描述了用于验证课执行文件的可信度的系统和方法,但是可以理解在所附权利要求书中定义的实施并不必限于所述特定特征或动作。例如,尽管可信度验证器112被视为与存储器管理器116和文件系统118无关,但在一实现中可信度验证器是存储器管理器116或文件系统118的一个插件。在另一实现中,尽管系统100已相关于验证可执行文件的可信度来描述,但使用所述方法系统100也可被实现为验证数据文件的可信度。因此,特定特征和操作被揭示为实现本发明的示例性形式。
Claims (20)
1.一种计算机实现方法,包括:
确定可执行文件正在被引入一执行路径;以及
响应于所述确定,用多重恶意软件校验自动估算所述可执行文件以检测所述可执行文件是否表示一类恶意软件,所述多重恶意软件校验被集成到沿所述执行路径的操作系统可信度验证过程中。
2.如权利要求1所述的方法,其特征在于,所述执行路径包括一安装路径、或与将所述可执行代码的至少一部分载入存储器以便执行相关联的路径。
3.如权利要求1所述的方法,其特征在于,所述多重恶意软件校验被集成到所述操作系统的文件系统模块或存储器管理器模块中。
4.如权利要求1所述的方法,其特征在于,所述多重集成恶意软件校验包括病毒校验、间谍软件校验、代码完整性校验。
5.如权利要求1所述的方法,其特征在于,所述可执行文件被安装在所述计算设备上,且其中所述方法还包括:
如果根据所述多重恶意软件校验所述可执行文件不是恶意软件,则允许实体将所述可执行文件标记为可信、可信度有问题、或不可信;以及
仅当所述可执行文件可信时,才将所述可执行文件安装到所述计算设备上。
6.如权利要求1所述的方法,其特征在于,所述可执行文件的至少一部分被载入存储器以便执行,且其中所述方法还包括:
如果根据所述多重恶意软件校验所述可执行文件不是恶意软件,则允许实体将所述可执行文件标记为可信、可信度有问题、或不可信;以及
仅当所述可执行文件可信时,才将所述可执行文件的至少一部分载入存储器以便执行。
7.如权利要求1所述的方法,其特征在于,所述方法还包括响应于确定所述可执行文件正在安装,自动确定所述可执行文件是否来自受信任源。
8.如权利要求1所述的方法,其特征在于,所述可执行文件在安装时被确定为可信,且其中所述方法还包括:
在安装了所述可执行文件之后,确定所述可执行文件包括恶意软件;以及
废除所述可执行文件的可信度。
9.一种包括计算机程序指令的计算机可读介质,这些计算机程序指令可由处理器执行用于:
确定可执行文件正在被引入一执行路径;以及
响应于所述确定,用多重恶意软件校验自动估算所述可执行文件以检测所述可执行文件是否表示一类恶意软件,所述多重恶意软件校验被集成到沿所述执行路径的操作系统可信度验证过程中。
10.如权利要求9所述的计算机可读介质,其特征在于,所述多重恶意软件校验被集成到所述操作系统的文件系统模块或存储器管理器模块中。
11.如权利要求9所述的计算机可读介质,其特征在于,所述多重集成恶意软件校验包括病毒校验、间谍软件校验、代码完整性校验。
12.如权利要求9所述的计算机可读介质,其特征在于,所述可执行文件被安装在所述计算设备上,且其中所述计算机程序指令还包括指令用于:
如果根据所述多重恶意软件校验所述可执行文件不是恶意软件,则允许实体将所述可执行文件标记为可信、可信度有问题、或不可信;以及
仅当所述可执行文件可信时,才将所述可执行文件安装到所述计算设备上。
13.如权利要求9所述的计算机可读介质,其特征在于,所述可执行文件的至少一部分被载入存储器以便执行,且其中所述计算机程序指令还包括指令用于:
如果根据所述多重恶意软件校验所述可执行文件不是恶意软件,则允许实体将所述可执行文件标记为可信、可信度有问题、或不可信;以及
仅当所述可执行文件可信时,才将所述可执行文件的至少一部分载入存储器以便执行。
14.如权利要求9所述的计算机可读介质,其特征在于,所述可执行文件在安装时被确定为可信,且其中所述计算机程序指令还包括指令用于:
在安装了所述可执行文件之后,确定所述可执行文件包括恶意软件;以及
废除所述可执行文件的可信度。
15.一种计算设备,包括:
处理器;以及
耦合到所述处理器的存储器,所述存储器包括计算机程序指令,这些计算机程序指令可由处理器执行用于:
确定可执行文件正在被引入一执行路径;以及
响应于所述确定,用多重恶意软件校验自动估算所述可执行文件以检测
所述可执行文件是否表示一类恶意软件,所述多重恶意软件校验被集成到沿
所述执行路径的操作系统可信度验证过程中。
16.如权利要求15所述的计算设备,其特征在于,所述执行路径包括一安装路径、或与将所述可执行代码的至少一部分载入存储器以便执行相关联的路径。
17.如权利要求15所述的计算设备,其特征在于,所述多重恶意软件校验被集成到所述操作系统的文件系统模块或存储器管理器模块中。
18.如权利要求15所述的计算设备,其特征在于,所述多重集成恶意软件校验包括病毒校验、间谍软件校验、代码完整性校验。
19.如权利要求15所述的计算设备,其特征在于,所述可执行文件被安装在所述计算设备上,且其中所述计算机程序指令还包括指令用于:
如果根据所述多重恶意软件校验所述可执行文件不是恶意软件,则允许实体将所述可执行文件标记为可信、可信度有问题、或不可信;以及
仅当所述可执行文件可信时,才将所述可执行文件安装到所述计算设备上。
20.如权利要求15所述的计算设备,其特征在于,所述可执行文件的至少一部分被载入存储器以便执行,且其中所述计算机程序指令还包括指令用于:
如果根据所述多重恶意软件校验所述可执行文件不是恶意软件,则允许实体将所述可执行文件标记为可信、可信度有问题、或不可信;以及
仅当所述可执行文件可信时,才将所述可执行文件的至少一部分载入存储器以便执行。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US11/100,770 US7490352B2 (en) | 2005-04-07 | 2005-04-07 | Systems and methods for verifying trust of executable files |
US11/100,770 | 2005-04-07 | ||
PCT/US2006/013006 WO2006110521A2 (en) | 2005-04-07 | 2006-04-06 | Systems and methods for verifying trust of executable files |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101137963A true CN101137963A (zh) | 2008-03-05 |
CN101137963B CN101137963B (zh) | 2010-05-26 |
Family
ID=37084554
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2006800073203A Expired - Fee Related CN101137963B (zh) | 2005-04-07 | 2006-04-06 | 用于验证可执行文件可信度的系统和方法 |
Country Status (7)
Country | Link |
---|---|
US (1) | US7490352B2 (zh) |
KR (1) | KR101247022B1 (zh) |
CN (1) | CN101137963B (zh) |
AU (1) | AU2006235153B2 (zh) |
BR (1) | BRPI0607420A2 (zh) |
IL (1) | IL184881A (zh) |
WO (1) | WO2006110521A2 (zh) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102279812A (zh) * | 2011-08-08 | 2011-12-14 | 宇龙计算机通信科技(深圳)有限公司 | 数据保护方法和终端 |
CN103425118A (zh) * | 2012-05-16 | 2013-12-04 | 费希尔-罗斯蒙特系统公司 | 用于识别过程控制系统的完整性降级的方法和装置 |
TWI514185B (zh) * | 2012-05-17 | 2015-12-21 | Hon Hai Prec Ind Co Ltd | 電子裝置的殺毒系統及方法 |
CN109472148A (zh) * | 2018-11-15 | 2019-03-15 | 百度在线网络技术(北京)有限公司 | 加载热补丁的方法、装置和存储介质 |
CN110023938A (zh) * | 2016-09-30 | 2019-07-16 | 爱维士软件有限责任公司 | 利用函数长度统计确定文件相似度的系统和方法 |
CN110874467A (zh) * | 2018-08-29 | 2020-03-10 | 阿里巴巴集团控股有限公司 | 信息处理方法、装置、系统以及处理器、存储介质 |
CN111291371A (zh) * | 2020-01-10 | 2020-06-16 | 北京深之度科技有限公司 | 一种应用程序安全验证方法及装置 |
CN111954881A (zh) * | 2018-04-10 | 2020-11-17 | 微软技术许可有限责任公司 | 用于检测恶意软件的深度强化学习技术 |
CN117032727A (zh) * | 2023-10-10 | 2023-11-10 | 腾讯科技(深圳)有限公司 | 基于区块链的文件编译方法、装置、设备、介质及产品 |
Families Citing this family (89)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CA2518466C (en) * | 2003-03-10 | 2011-06-21 | Cyberscan Technology, Inc. | Dynamic configuration of a gaming system |
US7577848B2 (en) * | 2005-01-18 | 2009-08-18 | Microsoft Corporation | Systems and methods for validating executable file integrity using partial image hashes |
US8060860B2 (en) * | 2005-04-22 | 2011-11-15 | Apple Inc. | Security methods and systems |
JP4898790B2 (ja) * | 2005-05-05 | 2012-03-21 | サーティコム コーポレーション | ファームウェアへの認証の追加実装 |
GB2427048A (en) * | 2005-06-09 | 2006-12-13 | Avecho Group Ltd | Detection of unwanted code or data in electronic mail |
US8161548B1 (en) | 2005-08-15 | 2012-04-17 | Trend Micro, Inc. | Malware detection using pattern classification |
WO2007027427A2 (en) * | 2005-08-29 | 2007-03-08 | Wms Gaming Inc. | On-the-fly encryption on a gaming machine |
US7788730B2 (en) * | 2006-01-17 | 2010-08-31 | International Business Machines Corporation | Secure bytecode instrumentation facility |
US7840958B1 (en) * | 2006-02-17 | 2010-11-23 | Trend Micro, Inc. | Preventing spyware installation |
US8201243B2 (en) * | 2006-04-20 | 2012-06-12 | Webroot Inc. | Backwards researching activity indicative of pestware |
US8888585B1 (en) * | 2006-05-10 | 2014-11-18 | Mcafee, Inc. | Game console system, method and computer program product with anti-malware/spyware and parental control capabilities |
US7877806B2 (en) * | 2006-07-28 | 2011-01-25 | Symantec Corporation | Real time malicious software detection |
US8065664B2 (en) * | 2006-08-07 | 2011-11-22 | Webroot Software, Inc. | System and method for defining and detecting pestware |
US8190868B2 (en) | 2006-08-07 | 2012-05-29 | Webroot Inc. | Malware management through kernel detection |
US9729513B2 (en) | 2007-11-08 | 2017-08-08 | Glasswall (Ip) Limited | Using multiple layers of policy management to manage risk |
EP1990724A1 (en) * | 2007-05-09 | 2008-11-12 | Telefonaktiebolaget LM Ericsson (publ) | Method for locating resource leaks during software development |
US20090094459A1 (en) * | 2007-10-09 | 2009-04-09 | Schneider Jerome L | Method and system for associating one or more pestware-related indications with a file on a computer-readable storage medium of a computer |
US20100023613A1 (en) * | 2007-11-12 | 2010-01-28 | Fujitsu Network Communications, Inc. | Managing Pluggable Modules Of A Network Element |
US8196213B2 (en) * | 2008-07-11 | 2012-06-05 | Microsoft Corporation | Verification of un-trusted code for consumption on an insecure device |
US11489857B2 (en) | 2009-04-21 | 2022-11-01 | Webroot Inc. | System and method for developing a risk profile for an internet resource |
US8499349B1 (en) * | 2009-04-22 | 2013-07-30 | Trend Micro, Inc. | Detection and restoration of files patched by malware |
US8589698B2 (en) * | 2009-05-15 | 2013-11-19 | International Business Machines Corporation | Integrity service using regenerated trust integrity gather program |
US8745743B2 (en) * | 2009-06-09 | 2014-06-03 | F-Secure Oyj | Anti-virus trusted files database |
KR101043299B1 (ko) * | 2009-07-21 | 2011-06-22 | (주) 세인트 시큐리티 | 악성 코드 탐지 방법, 시스템 및 컴퓨터 판독 가능한 저장매체 |
EP2312485B1 (en) * | 2009-08-31 | 2018-08-08 | BlackBerry Limited | System and method for controlling applications to mitigate the effects of malicious software |
KR101671795B1 (ko) * | 2010-01-18 | 2016-11-03 | 삼성전자주식회사 | 동적 링크 라이브러리 삽입 공격을 방지하는 컴퓨터 시스템 및 방법 |
KR101138748B1 (ko) * | 2010-01-22 | 2012-04-24 | 주식회사 안철수연구소 | 악성 코드 차단 장치, 시스템 및 방법 |
JP2013523043A (ja) | 2010-03-22 | 2013-06-13 | エルアールディシー システムズ、エルエルシー | ソースデータセットの完全性を識別及び保護する方法 |
US9213838B2 (en) * | 2011-05-13 | 2015-12-15 | Mcafee Ireland Holdings Limited | Systems and methods of processing data associated with detection and/or handling of malware |
US9721101B2 (en) * | 2013-06-24 | 2017-08-01 | Red Hat, Inc. | System wide root of trust chaining via signed applications |
US8782434B1 (en) | 2010-07-15 | 2014-07-15 | The Research Foundation For The State University Of New York | System and method for validating program execution at run-time |
US8904189B1 (en) * | 2010-07-15 | 2014-12-02 | The Research Foundation For The State University Of New York | System and method for validating program execution at run-time using control flow signatures |
RU2444056C1 (ru) | 2010-11-01 | 2012-02-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ ускорения решения проблем за счет накопления статистической информации |
US20120167218A1 (en) * | 2010-12-23 | 2012-06-28 | Rajesh Poornachandran | Signature-independent, system behavior-based malware detection |
US20120272320A1 (en) * | 2011-04-25 | 2012-10-25 | Verizon Patent And Licensing Inc. | Method and system for providing mobile device scanning |
US20120331303A1 (en) * | 2011-06-23 | 2012-12-27 | Andersson Jonathan E | Method and system for preventing execution of malware |
US20140032733A1 (en) | 2011-10-11 | 2014-01-30 | Citrix Systems, Inc. | Policy-Based Application Management |
US9215225B2 (en) | 2013-03-29 | 2015-12-15 | Citrix Systems, Inc. | Mobile device locking with context |
US9529996B2 (en) | 2011-10-11 | 2016-12-27 | Citrix Systems, Inc. | Controlling mobile device access to enterprise resources |
US9280377B2 (en) | 2013-03-29 | 2016-03-08 | Citrix Systems, Inc. | Application with multiple operation modes |
US8769693B2 (en) * | 2012-01-16 | 2014-07-01 | Microsoft Corporation | Trusted installation of a software application |
US9734333B2 (en) | 2012-04-17 | 2017-08-15 | Heat Software Usa Inc. | Information security techniques including detection, interdiction and/or mitigation of memory injection attacks |
US9063721B2 (en) | 2012-09-14 | 2015-06-23 | The Research Foundation For The State University Of New York | Continuous run-time validation of program execution: a practical approach |
CN102890758B (zh) * | 2012-10-11 | 2014-12-17 | 北京深思洛克软件技术股份有限公司 | 一种保护可执行文件的方法及系统 |
US8745755B2 (en) | 2012-10-12 | 2014-06-03 | Citrix Systems, Inc. | Controlling device access to enterprise resources in an orchestration framework for connected devices |
US9774658B2 (en) | 2012-10-12 | 2017-09-26 | Citrix Systems, Inc. | Orchestration framework for connected devices |
US9516022B2 (en) | 2012-10-14 | 2016-12-06 | Getgo, Inc. | Automated meeting room |
US20140109176A1 (en) | 2012-10-15 | 2014-04-17 | Citrix Systems, Inc. | Configuring and providing profiles that manage execution of mobile applications |
US8910239B2 (en) | 2012-10-15 | 2014-12-09 | Citrix Systems, Inc. | Providing virtualized private network tunnels |
US9971585B2 (en) | 2012-10-16 | 2018-05-15 | Citrix Systems, Inc. | Wrapping unmanaged applications on a mobile device |
US20140109072A1 (en) | 2012-10-16 | 2014-04-17 | Citrix Systems, Inc. | Application wrapping for application management framework |
US9606774B2 (en) | 2012-10-16 | 2017-03-28 | Citrix Systems, Inc. | Wrapping an application with field-programmable business logic |
US20140108793A1 (en) | 2012-10-16 | 2014-04-17 | Citrix Systems, Inc. | Controlling mobile device access to secure data |
US9355223B2 (en) | 2013-03-29 | 2016-05-31 | Citrix Systems, Inc. | Providing a managed browser |
US10284627B2 (en) | 2013-03-29 | 2019-05-07 | Citrix Systems, Inc. | Data management for an application with multiple operation modes |
US9413736B2 (en) | 2013-03-29 | 2016-08-09 | Citrix Systems, Inc. | Providing an enterprise application store |
US9985850B2 (en) | 2013-03-29 | 2018-05-29 | Citrix Systems, Inc. | Providing mobile device management functionalities |
US8849979B1 (en) | 2013-03-29 | 2014-09-30 | Citrix Systems, Inc. | Providing mobile device management functionalities |
US9270467B1 (en) * | 2013-05-16 | 2016-02-23 | Symantec Corporation | Systems and methods for trust propagation of signed files across devices |
CN103281325B (zh) * | 2013-06-04 | 2018-03-02 | 北京奇虎科技有限公司 | 基于云安全的文件处理方法及装置 |
KR101498614B1 (ko) * | 2014-02-27 | 2015-03-04 | 한국전자통신연구원 | 악성코드 활동 차단 장치 및 방법 |
US9912690B2 (en) * | 2014-04-08 | 2018-03-06 | Capital One Financial Corporation | System and method for malware detection using hashing techniques |
CN107408182A (zh) * | 2014-11-07 | 2017-11-28 | 朴序晙 | 用于保护电子通信装置的保护系统、装置及方法 |
US10169584B1 (en) * | 2015-06-25 | 2019-01-01 | Symantec Corporation | Systems and methods for identifying non-malicious files on computing devices within organizations |
US10055586B1 (en) | 2015-06-29 | 2018-08-21 | Symantec Corporation | Systems and methods for determining the trustworthiness of files within organizations |
US10943014B2 (en) | 2015-10-01 | 2021-03-09 | Twistlock, Ltd | Profiling of spawned processes in container images and enforcing security policies respective thereof |
US10567411B2 (en) | 2015-10-01 | 2020-02-18 | Twistlock, Ltd. | Dynamically adapted traffic inspection and filtering in containerized environments |
US10664590B2 (en) * | 2015-10-01 | 2020-05-26 | Twistlock, Ltd. | Filesystem action profiling of containers and security enforcement |
US10599833B2 (en) | 2015-10-01 | 2020-03-24 | Twistlock, Ltd. | Networking-based profiling of containers and security enforcement |
US10706145B2 (en) | 2015-10-01 | 2020-07-07 | Twistlock, Ltd. | Runtime detection of vulnerabilities in software containers |
US10586042B2 (en) * | 2015-10-01 | 2020-03-10 | Twistlock, Ltd. | Profiling of container images and enforcing security policies respective thereof |
US10693899B2 (en) * | 2015-10-01 | 2020-06-23 | Twistlock, Ltd. | Traffic enforcement in containerized environments |
US10223534B2 (en) * | 2015-10-15 | 2019-03-05 | Twistlock, Ltd. | Static detection of vulnerabilities in base images of software containers |
US10922418B2 (en) | 2015-10-01 | 2021-02-16 | Twistlock, Ltd. | Runtime detection and mitigation of vulnerabilities in application software containers |
US10778446B2 (en) * | 2015-10-15 | 2020-09-15 | Twistlock, Ltd. | Detection of vulnerable root certificates in software containers |
RU2606559C1 (ru) | 2015-10-22 | 2017-01-10 | Акционерное общество "Лаборатория Касперского" | Система и способ оптимизации антивирусной проверки файлов |
US9838405B1 (en) | 2015-11-20 | 2017-12-05 | Symantec Corporation | Systems and methods for determining types of malware infections on computing devices |
US10210331B2 (en) * | 2015-12-24 | 2019-02-19 | Mcafee, Llc | Executing full logical paths for malware detection |
US10003606B2 (en) | 2016-03-30 | 2018-06-19 | Symantec Corporation | Systems and methods for detecting security threats |
JP2017187963A (ja) * | 2016-04-07 | 2017-10-12 | ルネサスエレクトロニクス株式会社 | 電子機器およびシステム |
US10091231B1 (en) | 2016-09-15 | 2018-10-02 | Symantec Corporation | Systems and methods for detecting security blind spots |
US10542017B1 (en) | 2016-10-13 | 2020-01-21 | Symantec Corporation | Systems and methods for personalizing security incident reports |
US11537716B1 (en) * | 2018-11-13 | 2022-12-27 | F5, Inc. | Methods for detecting changes to a firmware and devices thereof |
US11288373B2 (en) * | 2019-04-11 | 2022-03-29 | Baidu Usa Llc | Boot failure recovery scheme for hardware-based system of autonomous driving vehicles |
RU2750628C2 (ru) * | 2019-06-28 | 2021-06-30 | Акционерное общество "Лаборатория Касперского" | Система и способ определения уровня доверия файла |
CN110611659B (zh) * | 2019-08-21 | 2022-08-09 | 南瑞集团有限公司 | 一种电力监控系统业务本质保护方法、装置及系统 |
US12088600B1 (en) * | 2019-09-18 | 2024-09-10 | Rapid7, Inc. | Machine learning system for detecting anomalies in hunt data |
US12079197B2 (en) * | 2019-10-18 | 2024-09-03 | Dover Microsystems, Inc. | Systems and methods for updating metadata |
US11954007B2 (en) | 2022-04-20 | 2024-04-09 | International Business Machines Corporation | Tracking usage of common libraries by means of digitally signed digests thereof |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6006328A (en) * | 1995-07-14 | 1999-12-21 | Christopher N. Drake | Computer software authentication, protection, and security system |
DE69610905T2 (de) * | 1995-12-28 | 2001-06-21 | Inc Indefense | Verfahren zum schutz von ausführbaren softwareprogrammen gegen infektion durch softwareviren |
US6006238A (en) * | 1997-01-31 | 1999-12-21 | Network Computing Devices, Inc. | Method and apparatus for migrating/shadowing data between a server and its clients |
US5956481A (en) * | 1997-02-06 | 1999-09-21 | Microsoft Corporation | Method and apparatus for protecting data files on a computer from virus infection |
AU2001298116A1 (en) * | 2000-01-18 | 2009-07-29 | Telcordia Technologies, Inc. | Method and systems for identifying the existence of one or more unknown programs in a system |
WO2001092981A2 (en) * | 2000-05-28 | 2001-12-06 | Yaron Mayer | System and method for comprehensive general generic protection for computers against malicious programs that may steal information and/or cause damages |
GB2365158A (en) * | 2000-07-28 | 2002-02-13 | Content Technologies Ltd | File analysis using byte distributions |
US7748039B2 (en) * | 2002-08-30 | 2010-06-29 | Symantec Corporation | Method and apparatus for detecting malicious code in an information handling system |
US7552473B2 (en) * | 2003-08-12 | 2009-06-23 | Symantec Corporation | Detecting and blocking drive sharing worms |
US20060130144A1 (en) * | 2004-12-14 | 2006-06-15 | Delta Insights, Llc | Protecting computing systems from unauthorized programs |
US7577848B2 (en) | 2005-01-18 | 2009-08-18 | Microsoft Corporation | Systems and methods for validating executable file integrity using partial image hashes |
-
2005
- 2005-04-07 US US11/100,770 patent/US7490352B2/en not_active Expired - Fee Related
-
2006
- 2006-04-06 KR KR1020077019176A patent/KR101247022B1/ko active IP Right Grant
- 2006-04-06 BR BRPI0607420-0A patent/BRPI0607420A2/pt not_active Application Discontinuation
- 2006-04-06 CN CN2006800073203A patent/CN101137963B/zh not_active Expired - Fee Related
- 2006-04-06 WO PCT/US2006/013006 patent/WO2006110521A2/en active Application Filing
- 2006-04-06 AU AU2006235153A patent/AU2006235153B2/en not_active Ceased
-
2007
- 2007-07-26 IL IL184881A patent/IL184881A/en active IP Right Grant
Cited By (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102279812B (zh) * | 2011-08-08 | 2013-12-25 | 宇龙计算机通信科技(深圳)有限公司 | 数据保护方法和终端 |
CN102279812A (zh) * | 2011-08-08 | 2011-12-14 | 宇龙计算机通信科技(深圳)有限公司 | 数据保护方法和终端 |
CN108804951B (zh) * | 2012-05-16 | 2022-07-08 | 费希尔-罗斯蒙特系统公司 | 用于识别过程控制系统的完整性降级的方法和装置 |
CN103425118A (zh) * | 2012-05-16 | 2013-12-04 | 费希尔-罗斯蒙特系统公司 | 用于识别过程控制系统的完整性降级的方法和装置 |
CN103425118B (zh) * | 2012-05-16 | 2018-07-03 | 费希尔-罗斯蒙特系统公司 | 用于识别过程控制系统的完整性降级的方法和装置 |
CN108804951A (zh) * | 2012-05-16 | 2018-11-13 | 费希尔-罗斯蒙特系统公司 | 用于识别过程控制系统的完整性降级的方法和装置 |
TWI514185B (zh) * | 2012-05-17 | 2015-12-21 | Hon Hai Prec Ind Co Ltd | 電子裝置的殺毒系統及方法 |
CN110023938A (zh) * | 2016-09-30 | 2019-07-16 | 爱维士软件有限责任公司 | 利用函数长度统计确定文件相似度的系统和方法 |
CN110023938B (zh) * | 2016-09-30 | 2023-05-05 | 爱维士软件有限责任公司 | 利用函数长度统计确定文件相似度的系统和方法 |
CN111954881A (zh) * | 2018-04-10 | 2020-11-17 | 微软技术许可有限责任公司 | 用于检测恶意软件的深度强化学习技术 |
CN110874467A (zh) * | 2018-08-29 | 2020-03-10 | 阿里巴巴集团控股有限公司 | 信息处理方法、装置、系统以及处理器、存储介质 |
CN110874467B (zh) * | 2018-08-29 | 2023-05-02 | 阿里巴巴集团控股有限公司 | 信息处理方法、装置、系统以及处理器、存储介质 |
CN109472148A (zh) * | 2018-11-15 | 2019-03-15 | 百度在线网络技术(北京)有限公司 | 加载热补丁的方法、装置和存储介质 |
CN109472148B (zh) * | 2018-11-15 | 2021-04-02 | 百度在线网络技术(北京)有限公司 | 加载热补丁的方法、装置和存储介质 |
CN111291371A (zh) * | 2020-01-10 | 2020-06-16 | 北京深之度科技有限公司 | 一种应用程序安全验证方法及装置 |
CN117032727A (zh) * | 2023-10-10 | 2023-11-10 | 腾讯科技(深圳)有限公司 | 基于区块链的文件编译方法、装置、设备、介质及产品 |
CN117032727B (zh) * | 2023-10-10 | 2024-02-09 | 腾讯科技(深圳)有限公司 | 基于区块链的文件编译方法、装置、设备、介质及产品 |
Also Published As
Publication number | Publication date |
---|---|
AU2006235153B2 (en) | 2011-02-24 |
US7490352B2 (en) | 2009-02-10 |
CN101137963B (zh) | 2010-05-26 |
WO2006110521A2 (en) | 2006-10-19 |
KR101247022B1 (ko) | 2013-03-25 |
IL184881A (en) | 2012-05-31 |
KR20070119619A (ko) | 2007-12-20 |
US20060230451A1 (en) | 2006-10-12 |
BRPI0607420A2 (pt) | 2009-09-08 |
AU2006235153A1 (en) | 2006-10-19 |
IL184881A0 (en) | 2007-12-03 |
WO2006110521A3 (en) | 2007-10-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101137963B (zh) | 用于验证可执行文件可信度的系统和方法 | |
Parno | Bootstrapping Trust in a" Trusted" Platform. | |
JP6019484B2 (ja) | サーバで結合されたマルウェア防止のためのシステムと方法 | |
US9098706B1 (en) | Installer trust chain validation | |
KR101897605B1 (ko) | 휴대 단말기의 무결성 보호 방법 및 장치 | |
US20150200934A1 (en) | Computing device integrity verification | |
JP2009518762A (ja) | インテグリティデータベースサービスを用いた、トラステッドプラットフォーム上のコンポーンテントのインテグリティの検証方法 | |
CN101199159A (zh) | 安全引导 | |
JP2009076069A (ja) | ソフトウエアメーカー信頼性延長アプリケーション | |
JP2008005156A (ja) | 情報処理端末および状態通知方法 | |
KR20060044773A (ko) | 소프트웨어 업데이트를 제한하는 방법 및 시스템 | |
CN102883324A (zh) | 移动终端中的插件调用安全验证方法及装置、移动终端 | |
US20080060062A1 (en) | Methods and systems for preventing information theft | |
Gallery et al. | Trusted computing: Security and applications | |
Aljaidi et al. | A critical evaluation of a recent cybersecurity attack on itunes software updater | |
US7100205B2 (en) | Secure attention instruction central processing unit and system architecture | |
CN101167296A (zh) | 受保护计算环境的可更新和可个性化元件 | |
US20080060063A1 (en) | Methods and systems for preventing information theft | |
EP1338939A1 (en) | State validation device for a computer | |
Msgna et al. | Secure application execution in mobile devices | |
JP2008117370A (ja) | 装置状態を確認する方法 | |
WO2023145044A1 (ja) | 機器検証システム、機器検証方法、および記録媒体 | |
Sullivan | The definitive guide to controlling malware, spyware, phishing, and spam | |
JP7566230B1 (ja) | 配置場所選定装置、配置場所選定方法、及び配置場所選定プログラム | |
Kim | Understanding of adversary behavior and security threats in public key infrastructures |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
ASS | Succession or assignment of patent right |
Owner name: MICROSOFT TECHNOLOGY LICENSING LLC Free format text: FORMER OWNER: MICROSOFT CORP. Effective date: 20150518 |
|
C41 | Transfer of patent application or patent right or utility model | ||
TR01 | Transfer of patent right |
Effective date of registration: 20150518 Address after: Washington State Patentee after: MICROSOFT TECHNOLOGY LICENSING, LLC Address before: Washington State Patentee before: Microsoft Corp. |
|
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100526 |
|
CF01 | Termination of patent right due to non-payment of annual fee |