CN102893289B - 恶意软件保护 - Google Patents

恶意软件保护 Download PDF

Info

Publication number
CN102893289B
CN102893289B CN201180023604.2A CN201180023604A CN102893289B CN 102893289 B CN102893289 B CN 102893289B CN 201180023604 A CN201180023604 A CN 201180023604A CN 102893289 B CN102893289 B CN 102893289B
Authority
CN
China
Prior art keywords
executable file
computer system
file
malware
legal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201180023604.2A
Other languages
English (en)
Other versions
CN102893289A (zh
Inventor
杨诺·尼美拉
米科·海彭恩
圣特里·康加斯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Weiss Security
Original Assignee
F Secure Oyj
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by F Secure Oyj filed Critical F Secure Oyj
Publication of CN102893289A publication Critical patent/CN102893289A/zh
Application granted granted Critical
Publication of CN102893289B publication Critical patent/CN102893289B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/565Static detection by checking file integrity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/629Protecting access to data via a platform, e.g. using keys or access control rules to features or functions of an application

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Debugging And Monitoring (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

根据本发明的第一方面,提供了一种保护计算机系统免于遭受恶意软件的方法,当在仿真计算机系统中执行所述恶意软件时,所述恶意软件试图阻止检测或分析。所述方法包括:确定可执行文件是否应该被识别为合法的,如果不是,则执行所述可执行文件,同时向所述可执行文件提供其正在仿真计算机系统中执行的指示。

Description

恶意软件保护
技术领域
本发明涉及一种保护计算机系统免于遭受恶意软件程序的恶意活动的方法。
背景技术
Malware是malicous software(恶意软件)的缩写,其用作一种术语,指示被设计为在未经所有者同意的情况下潜入计算机系统或破坏计算机系统的任何软件。恶意软件可以包括计算机病毒、蠕虫、特洛伊木马、后门、广告软件、间谍软件和任何其它恶意且讨厌的软件。
当设备被恶意软件程序感染时,因为感染可能创建讨厌的处理器活动、存储器使用和网络业务,所以用户经常会注意到讨厌行为和系统性能劣化。感染还可能会造成稳定性问题,从而导致应用程序或系统范围上的崩溃。受感染设备的用户可能错误地认为低性能是由软件缺陷或硬件问题导致的,从而采取不适当的补救措施,但实际原因却是用户没有意识到的恶意软件感染。此外,即使恶意软件感染不会在设备性能上造成可察觉的变化,其也可能会执行其它恶意功能,比如潜在地监视和窃取有价值的商业、个人和/或金融信息,或者劫持设备使得其用于一些非法目的。
许多终端用户使用防病毒软件来检测恶意软件,可能地,去除恶意软件。为了检测恶意软件文件,防病毒软件必须具有从设备上存在的所有其它文件中识别出恶意软件文件的方法。典型地,这需要防病毒软件具有包括“签名”或“指纹”的数据库,这些“签名”或“指纹”是各个恶意软件程序文件的特性。当防病毒软件的供应商识别到新的恶意软件威胁时,对威胁进行分析且产生这种威胁的签名。于是,恶意软件“已知”,并且其签名可以分发给终端用户以更新其本地防病毒软件数据库。
使用依靠签名扫描来检测恶意软件的方法仍然使计算机易受到签名还未被分析的“未知”恶意软件程序的攻击。为了解决这个问题,除了扫描恶意软件签名之外,大多数防病毒应用程序附加地采用启发式分析。这种方法包括一般规则的应用,旨在将任意恶意软件的行为与干净/合法程序区分开来。例如,监视PC上所有程序的行为,如果某程序试图将数据写入可执行程序,则防病毒软件可以将此行为标记为可疑行为。启发法可以基于诸如API调用、经由互联网发送数据的尝试等行为。
为了检测和/或分析恶意软件程序,通常有用的是在隔离的环境或测试系统(此外称为虚拟机或仿真器)中运行程序。虚拟机或仿真器包括模仿真实计算机系统的多种部件的功能的程序。例如,使用操作系统的计算机可以运行模仿操作系统提供的环境的虚拟机。这可以包括CPU、存储器、通信接口和任何关联硬件的仿真。通过在仿真环境中运行程序,任何恶意活动都可以被限制在虚拟环境中,而不会使底层计算机系统有风险。于是,可以观察仿真环境内的程序的行为,和用于将程序识别为恶意软件的任何恶意软件签名或恶意行为。此外,对于已经是恶意软件的程序或者怀疑是恶意软件的程序,防病毒工程师通常在仿真环境中运行该程序,以分析或“调试”其行为。这允许防病毒工程师对恶意软件程序进行反向工程,从而确定检测方法并为受程序感染的计算机杀毒。
因此,恶意软件创建者试图避免使用了仿真和/或调试技术的恶意软件检测和分析工具。为此,恶意软件创建者设计了对何时在仿真环境中执行和/或区域何时被调试进行检测的恶意软件。如果这种恶意软件程序确定其正在仿真环境中执行和/或正被调试,就会尽快终止或者改变行为以不执行任何恶意活动或可疑行为。
发明内容
本发明的目的在于,提供一种保护计算机系统免于遭受恶意软件程序的恶意活动的方法。
根据本发明的第一方面,提供了一种保护计算机系统免于遭受恶意软件的方法,当在仿真计算机系统中执行所述恶意软件时,所述恶意软件试图阻止检测或分析。所述方法包括:确定可执行文件是否应该被识别为合法的,如果不是,则执行所述可执行文件,同时向所述可执行文件提供其正在仿真计算机系统中执行的指示。优选地,在非仿真计算机系统中执行该文件。
可以在计算机系统中执行所述确定可执行文件是否应该被识别为合法的步骤。备选地,计算机系统向服务器发送可执行文件或可执行文件的标识符,并从服务器接收对文件是否应该被识别为合法的加以指示的响应。
所述确定可执行文件是否应该被识别为合法的步骤可以包括以下任一项:
确定标识了合法可执行文件的数据库中是否包括所述可执行文件的标识符,如果是,则将所述可执行文件识别为合法的;
确定标识了违禁可执行文件的数据库中是否包括所述可执行文件的标识符,如果否,则将所述可执行文件识别为合法的;以及
确定关于可执行文件的、包括对每个可执行文件的合法性加以表示的值的数据库中是否包括所述可执行文件的标识符,如果是,确定与所述可执行文件相关联的值是否超过可执行文件被认为是合法时的阈值。
所述向可执行文件提供其正在仿真计算机系统中执行的指示的步骤可以包括:在所述可执行文件的执行期间,拦截所述可执行文件与计算机系统之间的指定通信;以及利用对在仿真计算机系统中的执行加以指示的数据来响应所拦截的通信。所述指定通信可以包括函数调用、消息和事件中的任一项。
根据本发明的第二方面,提供了一种包括计算机程序代码装置的计算机程序,在所述程序在计算机上运行时,所述计算机程序代码装置适于执行第一方面的所有步骤。
根据本发明的第三方面,提供了一种在计算机可读介质上实现的根据第二方面的计算机程序。
根据本发明的第四方面,提供了一种计算机系统。所述计算机系统包括:
存储器,存储器存储可执行文件;以及
处理器,用于确定所述可执行文件是否应该被识别为合法的;以及如果不是,则在计算机系统中执行所述可执行文件,同时向所述可执行文件提供其正在仿真计算机系统中执行的指示。
处理器还可以被配置为产生包括所述可执行文件或所述可执行文件的标识符的消息以发送至服务器,并处理从服务器接收的响应以确定所述响应是否指示文件应该被识别为合法的。计算机系统还可以包括用于向服务器发送消息的发送机和用于从服务器接收响应的接收机。
存储器还可以被配置为对标识了合法可执行文件的数据库进行存储,以及处理器还可以被配置为确定所述标识了合法可执行文件的数据库中是否包括可执行文件的标识符。备选地,存储器还可以被配置为对标识了违禁可执行文件的数据库进行存储,以及处理器还可以被配置为确定所述标识了违禁可执行文件的数据库中是否包括可执行文件的标识符。作为另一备选,存储器还可以被配置为存储关于可执行文件的信息的数据库,所述数据库包括对每个可执行文件的合法性加以表示的值,以及处理器还可以被配置为确定可执行文件的数据库中是否包括可执行文件的标识符。优选地,处理器还可以被配置为,如果数据库中包括可执行文件的标识符,则确定与可执行文件相关联的值是否超过了可执行文件被认为是合法时的阈值。
处理器还可以被配置为在可执行文件的执行期间,拦截可执行文件与计算机系统之间的指定通信,并且利用对仿真计算机系统中的执行加以指示的数据来响应所拦截的通信。
根据本发明的第五方面,提供了一种检测潜在恶意软件的方法。所述方法包括:执行可执行文件,同时向所述可执行文件提供其正在仿真计算机系统中执行的指示,监视所述可执行文件的行为,以及确定所述行为是否与仿真计算机系统中执行的恶意软件的预期行为相对应。
所述执行可执行文件同时向所述可执行文件提供其正在仿真计算机系统中执行的指示的步骤可以包括:在非仿真计算机环境中执行所述可执行文件,在所述可执行文件的执行期间,拦截所述可执行文件与计算机系统之间的指定通信,以及利用对仿真计算机系统中的执行加以指示的数据来响应所拦截的通信。备选地,所述执行可执行文件同时向所述可执行文件提供其正在仿真计算机系统中执行的指示的步骤可以包括:在仿真计算机系统中执行所述可执行文件。
仿真计算机系统中执行的恶意软件的预期行为可以包括以下任一项:
试图阻止执行而不提供通知;
试图收集关于仿真计算机系统的信息;以及
与非仿真计算机系统中可执行文件的行为显著不同。
根据本发明的第六方面,提供了一种包括计算机程序代码装置的计算机程序,在所述程序在计算机上运行时,所述计算机程序代码装置适于执行第五方面的所有步骤。
根据本发明的第七方面,提供了一种在计算机可读介质上实现的根据第六方面的计算机程序。
根据本发明的第八方面,提供了一种计算机系统。所述计算机系统包括:
存储器,存储器存储可执行文件;以及
处理器,用于执行可执行文件,同时向所述可执行文件提供其正在仿真计算机系统中执行的指示,监视所述可执行文件的行为,以及确定所述行为是否与仿真计算机系统中执行的恶意软件的预期行为相对应。
处理器还可以被配置为:在非仿真计算机环境中执行所述可执行文件,在所述可执行文件的执行期间,拦截所述可执行文件与计算机系统之间的指定通信,以及利用对仿真计算机系统中的执行加以指示的数据来响应所拦截的通信。备选地,处理器还可以被配置为:在仿真计算机系统中执行所述可执行文件。
处理器还可以被配置为确定可执行文件的行为是否包括以下任一项:
试图阻止执行而不提供通知;
试图收集关于仿真计算机系统的信息;以及
与非仿真计算机系统中可执行文件的行为显著不同。
根据本发明的第九方面,提供了一种维护关于可执行文件的信息的数据库的方法,所述数据库包括对每个可执行文件的合法性加以表示的值,以使多个计算机设备中的任一个能够确定可执行文件是否应该被识别为合法的。所述方法包括,在基于网络的服务侧,从所述多个计算机设备中执行了可执行文件的计算机设备接收关于可执行文件的数据,使用所述数据确定对可执行文件的合法性加以表示的值,以及向所述多个计算机设备中的任一个提供所述值。
所述关于可执行文件的数据可以包括以下任一项:
执行了可执行文件的计算机系统的标识符;
与执行了可执行文件的计算机系统观察到的可执行文件的任何可疑行为相关的信息;以及
对执行了可执行文件的计算机系统所确定的可执行文件的合法性加以表示的值。
所述使用数据确定对每个可执行文件的合法性加以表示的值可以包括以下任一项:
确定执行了可执行文件的每个计算机系统是否是可信的,并且基于执行了可执行文件的可信计算机系统的数目或比例来确定所述值;
分析与执行了可执行文件的每个计算机系统观察到的可执行文件的任何可疑行为相关的信息,并且基于所述可疑行为的数量、类型和程度来确定所述值;以及
核对由执行了可执行文件的每个计算机系统确定的值。
根据本发明的第十方面,提供了一种包括计算机程序代码装置的计算机程序,在所述程序在计算机上运行时,所述计算机程序代码装置适于执行第九方面的所有步骤。
根据本发明的第十一方面,提供了一种在计算机可读介质上实现的根据第十方面的计算机系统。
根据本发明的第十二方面,提供了一种服务器,用于维护关于可执行文件的信息的数据库,所述数据库包括对每个可执行文件的合法性加以表示的值,以使多个计算机设备中的任一个能够确定可执行文件是否应该被识别为合法的。所述服务器包括:接收机,从所述多个计算机设备中执行了可执行文件的一个或多个计算机设备接收关于可执行文件的数据;处理器,使用信息确定对可执行文件的合法性加以表示的值;以及发送机,向所述多个计算机设备中的一个或多个计算机设备提供所述值。
附图说明
图1示意性示出了根据本发明实施例的恶意软件保护系统;
图2是示出了根据本发明实施例的一种保护计算机免于遭受恶意软件的过程的流程图;
图3是示出了根据本发明实施例的一种执行信誉检查的过程的流程图;
图4是示出了根据本发明实施例的一种执行信誉检查的过程的流程图;
图5是示出了根据本发明实施例的一种保护计算机免于遭受恶意软件的过程的流程图;
图6是示出了根据本发明实施例的一种检测潜在恶意软件的过程的流程图。
具体实施方式
已认识到,可以通过使得看起来计算机上的所有程序在虚拟环境中运行而不是在实际计算机系统上运行,来提高计算机系统的安全性。这样做的话,计算机系统上被设计为避免虚拟环境中的检测的任何恶意软件很可能不执行会暴露其存在或允许其被分析的任何恶意活动。恶意软件程序会被有效地失效。这可以通过“伪造”对程序正在虚拟环境中执行加以指示的那些特性来完成。然而,作为一种版权保护方法,许多合法/可信任的程序也被设计为阻止自己在虚拟环境中执行,以防止用户使用仿真来绕开试用期结束或逃避支付软件许可费。因此,不希望伪造针对计算机系统上运行的所有程序的仿真,因为这对于运行这些合法程序的计算机系统能力而言是有害的。
为了至少部分地克服上述问题,本文提出了检查可执行文件的信誉(reputation),如果确定文件可能是或者很可能是恶意软件(例如,如果不知道其是良性的/合法的),则执行可执行文件且将仿真模仿应用于该可执行文件。然而,如果确定可执行文件是合法的或低风险的,则在计算机系统中执行可执行文件,而不将任何仿真模仿应用于此可执行文件。这样做的话,本发明使得使用合法目的的仿真检测的合法程序的执行将不受影响,同时也使得具备仿真检测的任何恶意软件可执行文件由于相信其需要逃避检测、杀毒或分析而不大可能执行它们恶意代码。
图1示意性地示出了根据本发明实施例的恶意软件保护系统。恶意软件保护系统包括经由诸如互联网或LAN等网络3与中央防病毒服务器2相连的至少一个计算机系统1。计算机系统1可以实现为计算机硬件和软件的组合。计算机系统1包括存储器4、处理器5和收发机6。存储器4存储处理器5实施的多种程序/可执行文件。存储器4还提供存储单元7,用于任何需要数据,比如可执行文件信誉数据、恶意软件定义数据、启发式分析规则、白名单、黑名单等等。存储器4中存储的由处理器5实施的程序/可执行文件包括信誉确定单元8、仿真模仿单元9,并可选地包括仿真器10,所有这些都可以是防病毒单元11的子单元。收发机6用于经由网络3与中央防病毒服务器2进行通信。
典型地,由计算机1上运行的防病毒单元11的供应商来操作中央防病毒服务器2。备选地,中央防病毒服务器2可以由网络管理员或监控员的服务器,计算机1是监控员负责的网络的一部分。中央防病毒服务器2可以实现为计算机硬件和软件的组合。中央防病毒服务器2包括存储器11、处理器12、收发机13和数据库14。存储器11存储由处理器12实施的多种程序/可执行文件。存储器11中存储的由处理器12实施的程序/可执行文件包括信誉确定单元15、仿真模仿单元16,以及可选地,包括仿真器17,所有这些可以是防病毒单元18的子单元。这些程序/单元可以与计算机系统1中实现的那些程序相同,或者可以是可与计算机系统1中实现的程序进行接口相连和合作的不同程序。收发机13用于经由网络3与计算机系统1进行通信。数据库14存储最近的可执行文件信誉数据,恶意软件定义数据、启发式分析规则、白名单、黑名单等。
图2是示出了根据本发明实施例的一种保护计算机免于遭受恶意软件的过程的流程图。执行步骤如下:
A1.计算机系统1发起可执行文件的检查。例如,可以由于可执行文件的接收、可执行文件的即将运行/执行而发起检查,或者可以作为对计算机系统1上可执行文件的要求扫描或计划扫描的一部分来发起检查。
A2.计算机系统1的信誉确定单元8检查可执行文件的信誉。
A3.如果信誉确定单元8确定文件可能是或很可能是恶意软件,则计算机系统1执行可执行文件,同时仿真模仿单元9向可执行文件提供所述可执行文件正在仿真环境中运行的指示。
A4.如果信誉确定单元8确定文件是或很可能是合法的/可信任的,则在计算机系统中执行可执行文件,而不将任何仿真模仿应用于此可执行文件。
在本发明的一个可能实施例中,可以通过将文件的标识符(即,文件名、文件自身或系统中的文件位置/路径的散列)与被认为是合法的可执行文件的标识符的列表(或称为许可名单或白名单)相比较来检查可执行文件的信誉。如果文件被识别为在白名单上,则可以配置或命令计算机系统1允许文件在真实(即,与虚拟相反的)环境中执行,而无任何有效的仿真指示符。如果文件被识别为不在白名单上,则可以配置或命令计算机系统1执行文件且使任何仿真指示符有效,作为针对潜在恶意行为的预防措施。当然,程序/可执行文件包括任何类型的可执行文件,比如二进制文件、脚本文件、应用文件、动态链接库、宏、XML等。
备选地,或者除了比照文件白名单来检查文件之外,还可以比照不认为是合法的或者认为是高风险的可执行文件的标识符列表(也称为阻止名单或黑名单)来比较文件标识符。对于被识别为处于黑名单上的这些文件,可以配置或命令计算机系统1在真实计算机系统环境中执行文件且使任何仿真指示符有效,作为针对潜在恶意行为的预防措施。换句话说,禁止文件在不受保护的系统中执行。如果文件被识别为不在黑名单上,则可以配置或命令计算机系统1执行文件,而无任何有效的仿真指示符。备选地,如果文件被识别为既不在白名单上也不在黑名单上,则可以配置或命令计算机系统1提示用户选择是否应该执行文件,或者提示用户选择是应该在具有有效仿真指示符的情况下还是在没有有效仿真指示符的情况下执行文件。
备选地,或者除了比照文件白名单来检查文件之外,还可以比照不认为是合法的或者认为是高风险的可执行文件的标识符列表(也称为阻止名单或黑名单)来比较文件标识符。对于被识别为处于黑名单上的这些文件,可以配置或命令计算机系统1在真实计算机系统环境中执行文件且使任何仿真指示符有效,作为针对潜在恶意行为的预防措施。换句话说,禁止文件在不受保护的系统中执行。如果文件被识别为不在黑名单上,则可以配置或命令计算机系统1执行文件,而无任何有效的仿真指示符。备选地,如果文件被识别为既不在白名单上也不在黑名单上,则可以配置或命令计算机系统1提示用户选择是否应该执行文件,或者提示用户选择是应该在具有有效仿真指示符的情况下还是在没有有效仿真指示符的情况下执行文件。可以根据需要的安全级别来配置系统对待未知文件的方法。
例如,图3是示出了根据本发明实施例的一种执行信誉检查的过程的流程图。执行的步骤如下:
B1.计算机系统1发起可执行文件的检查。
B2.信誉确定单元8(例如,计算机系统1的或者服务器2的)在合法/可信可执行文件的白名单中查找可执行文件的标识符。
B3.如果文件被识别为位于白名单上,则确定此文件是合法的。
B4.如果文件被识别为不在白名单上,则确定此文件可能是恶意软件。
B5.备选地,如果可执行文件的黑名单也可用,则信誉确定单元8在违禁/可疑可执行文件的黑名单中查找可执行文件的标识符。如果文件被识别为位于黑名单上,则确定此文件可能是恶意软件(按照步骤B4)。
B6.如果文件被识别为既不在白名单上也不在黑名单上,则确定此文件未知。
当然,也可以对这些过程进行任何其它改变。例如,被识别为处于黑名单上的任何文件可以被阻止执行或者可以在虚拟环境中执行,而可以在实际环境中执行未知文件(例如,那些既不在白名单上也不在黑名单上的文件),同时将仿真模仿应用于这些未知文件。备选地,最初可以在虚拟环境中执行任意未知文件,并分析以通过检查恶意软件签名或恶意行为来确定这些未知文件是否可以被信任的。如果这个分析确定未知文件不是可疑的或者未知文件是恶意软件的风险低,则可以允许这个文件在实际环境中运行,同时具有或不具有仿真模仿。然后,如果可应用,可以将该文件的标识符添加到白名单。相反,如果先前的未知文件的分析确定文件应被认为是可疑的,则可以阻止这个文件执行,或者可以限制这个文件在仿真模仿有效的情况下在实际环境中执行。还可以将可疑文件的标识符添加到黑名单中。
作为白名单和黑名单的备选方式,信誉检查可以使用可执行文件标识符列表,其中,列表中的每个可执行文件与对文件是恶意软件的风险/概率加以表示的信誉分数或等级相关联。可以基于可执行文件的一些先前分析的结果来确定这个分数或等级。例如,图4是示出了根据本发明实施例的一种执行信誉检查的过程的流程图。当需要可执行文件的信誉检查时,在可执行文件数据库中查找以确定文件是否在数据库中具有条目(步骤C2)。如果文件不在数据库中(即,文件先前未被计算机系统执行过),则在计算机系统/服务器提供的实际环境内或者在计算机系统/服务器实现的仿真环境内执行该文件,并且监视程序的行为(步骤C3)。然后,对这个行为进行针对可疑行为的分析,并根据任何可疑行为的数量、类型和程度来给予这个行为合法性/可信度分数(步骤C4)。然后,将该分数供给中央服务器,将该分数与针对该相同可执行文件计算的/接收的任何其它分数相核对,并将核对的分数分发给在网络中的其它计算机系统(步骤C5)。
一旦可执行文件的条目已加入到数据库中,数据库的任何后续检查都将识别出数据库中该文件的条目,且可以获取该可执行文件的概率值(步骤C6)。然后,可以将这个获取的值与阈值相比较(步骤C7)。如果获取的值超过阈值,则应该将可执行文件当作可疑恶意软件来对待(步骤C8),并仅仅在仿真模仿有效的情况下执行该可执行文件。如果获取的值没有超出阈值,则应该认为可执行文件是可信的(步骤C9),可以执行该可执行文件,而不使仿真模仿有效。
可以通过核对其它计算机系统和/或服务器所执行的行为分析结果,来持续更新特定文件的信誉分数。此外,单独计算机使用的阈值分数可以取决于任何数目的因素(例如,取决于用户期望的安全级别),并且可以随各个单独计算机而发生改变。可以根据已安装和/或运行可执行文件且将此报告给了中央服务器的计算机系统的信誉,来确定信誉分数,和/或信誉分数可以随这些计算机系统的信誉而改变。例如,如果中央服务器从已知是可信计算机系统(比如,这些计算机系统属于可信软件开发商或其它可信实体)接收到已安装和/或运行了特定可执行文件的多个报告,则该可执行文件的信誉分数将提高。具体地,恶意软件保护系统给予这种可执行文件的信誉分数将高于该系统仅仅刚知道的可执行文件的信誉分数。
可以由计算机1在本地检查可执行文件信誉,也可以由中央服务器2进行远程检查,或者可以是这二者的组合。当在本地检查时,根据信誉检查是如何执行的,计算机系统1可以使用从中央服务器2接收的信誉信息且将其存储在自己的存储器内。当进行远程检查时,计算机系统1可以向中央服务器2发送可执行文件或关于该文件的信息,以使中央服务器2检查文件信誉。例如,计算机系统1可以向服务器发送文件的标识符,服务器将比照合法可执行文件的数据库来检查此标识符。然后,服务器2向计算机系统1作出响应,通知检查结果和/或提供关于应该如何执行该文件的指令。
可以在接收到可执行文件时(即,当从互联网或电子邮件下载文件时,或者当从某一计算机可读介质向计算机系统传送文件时),或响应于对执行/运行该文件的请求,来执行信誉检查。也可以将检查作为计算机系统1的计划扫描的一部分来执行,或者可以在用户请求时执行检查。然而,优选地,在文件的第一次执行之前执行检查。
存在恶意软件创建者用来使恶意软件程序能够确定其在仿真环境中运行的多种技术,因此,这可以用来欺骗恶意软件,使其确定自己正在仿真环境中运行。尽管仿真器的行为应该与实际计算机系统的行为基本相同,但是难以在仿真环境中实现所有真实功能性。例如,处理限制可以阻止仿真环境模仿操作系统提供的所有功能性。因此,在仿真器的响应与实际计算机系统的响应之间几乎总是存在行为上的差异,因此,程序可以将这些差异用于确定自己何时在仿真环境中执行。例如,恶意软件程序可以被设计成调用不常见或很少使用的指令,因为这些指令几乎从未被其它程序使用和/或太难被仿真,所以这些指令可能不被仿真器所支持。因此,调用这些功能将很有可能使仿真器抛出异常。于是,恶意软件程序可以使用这个异常,作为其正被仿真的指示。
恶意软件程序还可以通过试图访问网页从而确定其是否可以访问互联网,来试图对仿真进行检测。因为大多数仿真器不允许访问互联网,所以恶意软件可以将此用作其正在仿真器中执行的指示。此外,许多恶意软件程序使用返回计算机系统IP地址的调用来确定其是否可以访问互联网。同样,因为大多数仿真器不允许访问互联网,所以仿真器很可能无法成功地返回IP地址。因此,恶意软件程序可以将此用作其正在仿真环境中执行的指示。
检测仿真器是否在运行的备选方法是多于一次地调用函数,函数应该响应于每次调用而返回不同值。例如,这可以包括,将提供某一时间相关响应的函数调用两次,并且验证两个返回值之间是否存在差异。在中,这可以通过使用QueryPerformanceCounter API或GetTickCount API来实现,或者通过使用RDTSC(读取时间戳计数器)指令查询自机器启动以来处理器执行的周期的当前数目来实现。例如,可以调用RDTSC两次,并计算两个返回值之差。然后,可以将这个差与阈值相比较,如果差比阈值大,则可以确定文件当前正在仿真器中执行。
可执行文件可用来确定其是否正在仿真环境中执行的其它方法有很多,这些方法不断扩展以包括新方法。例如,用于检测仿真的一些其它方法包括:
●针对特定注册表键值(例如,关于工具等的注册表键值等)的存在来检查注册表;
●检查安装的特定应用程序(例如,内存转储工具、分析工具、调试器等)的存在;
●检查断点;以及
●检查中断描述符表(IDTR)或其它软件寄存器的位置。
为了对通常指示仿真的特性进行伪造,计算机系统可以钩住由选定的可执行文件使用的API(应用程序接口)(即,使可执行文件能够检查文件系统、注册表条目、互斥等,以及可执行文件可以用于检测仿真或其它恶意软件分析工具的任何对象)。然后,计算机系统可以向选定可执行文件的运行时代码提供信息,使得看起来就像文件正在仿真环境中执行一样。这允许计算机系统伪造选定文件的仿真,同时不影响向不认为是风险的那些可执行文件提供的信息。
术语钩住(hooking)涵盖了一系列的技术,用于通过拦截软件组件之间传递的函数调用、消息或事件来改变或添加程序(操作系统或应用程序)的行为。钩住机制使得无论何时程序接收到特定消息或特定事件,都能够指定代码段来运行。例如,在中,SetWindowsHookEx()Win32API调用使得目标过程将指定的DLL加载到其存储空间中并选择指定的函数,作为针对特定事件的钩子。当接收到适当事件时,目标过程将执行代码。
例如,如果对特定可执行文件的信誉检查确定应该执行此文件并将仿真模仿应用于此文件,则计算机系统1可以钩住可执行文件运行时代码进行的任何调用,以获取计算机系统IP地址(例如,GetIpAddrTableAPI或GetHostByName API)并返回异常。这样做的话,计算机系统1可以欺骗恶意软件程序,使得恶意软件程序确定自己正在仿真器中执行。备选地,一些恶意软件程序被设计为在特定国家中不执行任何恶意功能。原因可能是特定国家的当局可能更积极地识别和惩罚恶意软件创作者。因此,这些恶意软件程序可以请求计算机系统的IP地址,以确定计算机系统当前所处的国家。因此,计算机系统1可以利用对计算机正处于这样的一个国家加以指示的IP地址进行响应,从而阻止恶意软件执行任何恶意功能。
图5是示出了根据本发明实施例的一种保护计算机系统免于遭受恶意软件的过程的流程图。执行的步骤如下:
D1.信誉确定单元8对可执行文件的信誉检查确定,文件可能是恶意软件。例如,文件不在白名单上或者出现在黑名单上。
D2.因此,命令或配置计算机系统1应用恶意软件保护过程,且在实际/非仿真的计算机系统环境中执行可执行文件。
D3.仿真模仿单元9在文件的执行期间钩住可执行文件与计算机系统1之间的某些指定通信。这些指定通信可以包括与恶意软件的反仿真功能相关的任何函数调用、消息和事件。
D4.仿真模仿单元9实施的钩住允许拦截其任何相关通信。
D5.对于任何拦截的通信,仿真模仿单元9利用数据进行响应,该数据向可执行文件指示其正在仿真环境中运行,尽管实际上可执行文件正在非仿真的计算机系统环境中运行。这些仿真指示符欺骗可执行文件,使可执行文件确定自己正在仿真环境中执行,从而使得可执行文件不执行任何恶意功能。
D6.终止可执行文件的执行。例如,可执行文件可以响应于确定自己正被仿真中而自己终止,可以在文件执行结束时终止,或者可以由计算机系统终止。
如上所述,保护计算机免于遭受恶意软件的常规方法依赖于,通过使用恶意软件签名或通过对认为是指示恶意功能的行为进行识别,来检测恶意软件。然而,恶意软件创作者使用多种技术来避免这些检测方法。因此,这些恶意软件检测方法可能无法检测恶意软件程序,因而这些恶意软件程序可以继续运行恶意功能。本文所述的方法使得计算机系统即使还未检测到恶意软件程序的存在,也可以利用恶意软件反仿真功能作为使恶意软件程序的恶意功能失效或去激活的手段。此外,这些方法还使得不影响也实现反仿真功能的合法应用程序。
除了将恶意软件的反仿真功能用作保护计算机系统免于遭受恶意行为的手段之外,本文还提出将反仿真行为的检测用作确定是否应该将可执行文件认为是可疑的一种手段。尽管合法可执行文件和恶意可执行文件都可以实施反仿真功能,但是在检测到仿真时它们的行为可能显著不同。合法程序通常拒绝启动,并显示应用程序不在仿真环境中运行的通知。相反,恶意软件程序通常保持安静或显著地改变其行为。因此,对于在仿真环境中或者在仿真模仿有效的真实环境中执行的可执行文件而言,这种反仿真行为的存在指示了文件可能是恶意软件。
例如,图6是示出了根据本发明实施例的一种检测潜在恶意软件的过程的流程图。执行的步骤如下:
E1.要由计算机系统1执行的可执行文件被确定是恶意软件保护系统未知的。
E2.在这种情况下,用户或恶意软件保护系统可以确定是在仿真环境内执行文件,或者在真实环境中执行文件且将仿真模仿应用于文件。这种执行在中央服务器2或在计算机系统1处进行。
E3.恶意软件保护系统监视可执行文件的执行。
E4.恶意软件保护系统确定可执行文件是否在执行期间显示出任何反仿真行为。
E5.如果可执行文件在执行期间显示出反仿真行为,则确定可执行文件是可疑的,因而可执行文件可能是恶意软件。
E6.如果可执行文件在执行期间没有显示出任何明显的反仿真行为,则恶意软件保护系统将确定是否需要进一步的分析。例如,恶意软件保护系统可以确定需要比较可执行文件相信自己正在仿真环境中执行时该可执行文件的行为与该可执行文件相信自己正在非仿真环境中执行时该可执行文件的行为。
E7.如果确定需要进一步的分析,则恶意软件保护系统可以修改在可执行文件先前的执行期间已向可执行文件提供的数据。例如,恶意软件保护系统可以“关闭”一些或所有仿真指示,使得可执行文件确定自己没有被仿真。然后,这个过程返回步骤D2,执行文件。
E8.如果可执行文件没有显示出任何显著反仿真行为并且不需要进一步的分析,则恶意软件保护系统可以将文件识别为合法/可信任,或者至少识别为是恶意软件的概率低。
如果文件是合法的,则期望产生关于文件不在仿真环境中运行的通知,或者期望显示出一致的行为,不论文件是否具有其在仿真环境中运行或在非仿真环境中运行的指示。如果文件是恶意软件,则期望不运行且不提供任何通知,或者期望其显示出的行为依据文件是否具有其在仿真环境中运行或在非仿真环境中运行的指示而不同。根据该行为分析的结果,如果适当,则可以将文件的标识符添加到白名单或黑名单中,并将更新的名单从中央服务器分发至各个单独计算机系统。备选地,如上所述,这种分析可以确定可执行文件的信誉分数,然后可以以文件信誉列表或数据库的形式向计算机系统提供这个信息。
作为另一示例,一些恶意软件程序还可能被设计为收集与防病毒软件使用的仿真环境有关的信息。当确定自己正在仿真环境中运行时,这种恶意软件程序试图从该仿真环境中收集尽可能多的信息,并且向恶意软件创作者可访问的位置(例如,创作者家庭服务器)发送这个信息。因此,恶意软件保护系统可以监视正在仿真环境中运行的可执行文件的行为或者监视正在真实环境中运行的应用了仿真模仿的可执行文件的行为,以确定可执行文件是否执行了大量信息收集操作并试图连接至远程位置。如果是,则可以认为这个可执行文件是可疑的,并且是恶意软件的风险高。
本文提出的恶意软件检测方法使计算机系统可以利用恶意软件反仿真功能作为用于确定是否应该认为可执行文件可疑的一种手段,因此,这可以用作一种反馈以确定应该如何执行可执行文件的其它实例。这个方法克服了恶意检测方法依赖于对恶意软件签名或恶意软件的恶意/侵略性活动进行识别的此类限制,且将恶意软件自己的防御机制用作检测的手段。
一些恶意软件程序被设计成,如果认为自己运行在仿真环境中,则通过执行旨在损毁仿真器或阻止仿真器对其进行分析的动作来进行报复。例如,在检测仿真时,报复性恶意软件程序可以通过试图删除计算机系统中的所有文件或试图破坏操作系统的功能来进行反击。然而,这种报复性恶意软件程序极少,原因在于这种行为将暴露恶意软件程序的存在。在任何情况下,如果本发明的恶意软件保护系统遭遇这种报复性恶意软件程序,则系统可以被配置为对其仿真设置进行适当调整以终止攻击性行为,并且可以将这种报复性行为用作检测恶意软件的一种手段。例如,恶意软件保护系统可以使用主机入侵防止机制来对报复性行为作出响应,从而阻止恶意软件继续进行任何删除操作,或者简单地阻止恶意软件程序的任何进一步执行。
本领域技术人员应意识到,在不背离本发明的范围的情况下,可以对上述实施例进行多种修改。例如,尽管上述实施例具体描述了使用恶意软件的反仿真功能来阻止恶意行为和/或检测恶意软件的有无,但是还包括使用任何恶意软件反调试功能。调试恶意软件包括分析恶意软件程序的行为和功能以理解如何检测恶意软件程序和/或对其杀毒,恶意软件创作者通常将其恶意软件设计成防止调试。恶意软件采用的反调试功能与其反仿真功能相对应,并且可以包括检测调试器,当被调试时拒绝执行,当被调试时阻止任何恶意功能的执行,阻止调试器程序附着于恶意软件程序,阻碍调试过程等。

Claims (21)

1.一种保护非仿真计算机系统免于遭受恶意软件的方法,当在仿真计算机系统中执行恶意软件时,所述恶意软件试图阻止检测或分析,所述方法包括:
确定是否应该将可执行文件识别为合法的;以及
如果不是,则在非仿真计算机系统中执行所述可执行文件,同时向所述可执行文件提供其正在仿真计算机系统内执行的指示。
2.根据权利要求1所述的方法,其中,在所述计算机系统中执行所述确定是否应该将可执行文件识别为合法的步骤。
3.根据前述权利要求中任一项所述的方法,其中,所述确定是否应该将可执行文件识别为合法的步骤包括以下任一项:
确定标识了合法可执行文件的数据库中是否包括所述可执行文件的标识符,如果是,则将所述可执行文件识别为合法的;
确定标识了违禁可执行文件的数据库中是否包括所述可执行文件的标识符,如果否,则将所述可执行文件识别为合法的;以及
确定关于可执行文件的、包括对每个可执行文件的合法性加以表示的值的数据库中是否包括所述可执行文件的标识符,如果是,确定与所述可执行文件相关联的所述值是否超过可执行文件被认为是合法时的阈值。
4.根据权利要求1或2所述的方法,其中,所述向所述可执行文件提供其正在仿真计算机系统内执行的指示的步骤包括:
在所述可执行文件的执行期间,拦截所述可执行文件与所述计算机系统之间的指定通信;以及
利用对在仿真计算机系统中的执行加以指示的数据来响应所拦截的通信。
5.根据权利要求4所述的方法,其中,所述指定通信能够包括函数调用、消息和事件中的任一项。
6.一种非仿真计算机系统,包括:
存储器,所述存储器存储可执行文件;以及
处理器,用于确定是否应该将所述可执行文件识别为合法的,以及如果确定不应该将所述可执行文件识别为合法的,则在所述非仿真计算机系统中执行所述可执行文件,同时向所述可执行文件提供其正在仿真计算机系统内执行的指示。
7.根据权利要求6所述的计算机系统,其中,处理器还被配置为产生包括所述可执行文件或所述可执行文件的标识符的消息以发送至服务器,并处理从服务器接收的响应以确定所述响应是否指示应该将文件识别为合法的。
8.根据权利要求6或7所述的计算机系统,其中,存储器还被配置为对标识了合法可执行文件的数据库进行存储,以及处理器还被配置为确定所述标识了合法可执行文件的数据库中是否包括可执行文件的标识符。
9.根据权利要求6或7所述的计算机系统,其中,存储器还被配置为对标识了违禁可执行文件的数据库进行存储,以及处理器还被配置为确定所述标识了违禁可执行文件的数据库中是否包括可执行文件的标识符。
10.根据权利要求6或7所述的计算机系统,其中,存储器还被配置为存储关于可执行文件的信息的数据库,所述数据库包括对每个可执行文件的合法性加以表示的值,以及处理器还被配置为确定所述数据库中是否包括所述可执行文件的标识符。
11.根据权利要求10所述的计算机系统,其中,处理器还被配置为,如果可执行文件的数据库中包括所述可执行文件的标识符,则确定与所述可执行文件相关联的所述值是否超过了所述可执行文件被认为是合法时的阈值。
12.根据权利要求6或7所述的计算机系统,其中,处理器还被配置为在所述可执行文件的执行期间拦截可执行文件与所述计算机系统之间的指定通信,并且利用对仿真计算机系统中的执行加以指示的数据来响应所拦截的通信。
13.一种检测潜在恶意软件的方法,所述方法包括:
在非仿真计算机系统中执行可执行文件,同时向所述可执行文件提供其正在仿真计算机系统中执行的指示;
监视所述可执行文件的行为;以及
确定所述行为是否与仿真计算机系统中执行的恶意软件的预期行为相对应。
14.根据权利要求13所述的方法,其中,所述执行可执行文件,同时向所述可执行文件提供其正在仿真计算机系统中执行的指示的步骤包括:
在非仿真计算机系统中执行所述可执行文件;
在所述可执行文件的执行期间,拦截所述可执行文件与计算机系统之间的指定通信;以及
利用对仿真计算机系统中的执行加以指示的数据来响应所拦截的通信。
15.根据权利要求13所述的方法,其中,所述执行可执行文件,同时向所述可执行文件提供其正在仿真计算机系统中执行的指示的步骤包括:
在仿真计算机系统中执行所述可执行文件。
16.根据权利要求13至15中任一项所述的方法,其中,所述仿真计算机系统中执行的恶意软件的预期行为包括以下任一项:
试图阻止执行而不提供通知;
试图收集关于仿真计算机系统的信息;以及
与非仿真计算机系统中可执行文件的行为显著不同。
17.一种非仿真计算机系统,包括:
存储器,所述存储器存储可执行文件;以及
处理器,用于在非仿真计算机系统中执行可执行文件,同时向所述可执行文件提供其正在仿真计算机系统中执行的指示,监视所述可执行文件的行为,以及确定所述行为是否与仿真计算机系统中执行的恶意软件的预期行为相对应。
18.一种维护关于可执行文件的信息的数据库的方法,所述数据库包括针对每个可执行文件,对可执行文件是恶意软件的可能性加以表示的值,以使多个计算机设备中的任一个能够确定可执行文件是否应该被识别为合法的,所述方法包括:
在基于网络的服务侧,从所述多个计算机设备中执行了可执行文件的计算机设备接收关于所述可执行文件的数据,使用所述数据确定对可执行文件是恶意软件的可能性加以表示的值,以及向所述多个计算机设备中的任一个提供所述值。
19.根据权利要求18所述的方法,其中,所述关于可执行文件的数据包括以下任一项:
执行了可执行文件的计算机系统的标识符;
与执行了可执行文件的计算机系统观察到的所述可执行文件的任何可疑行为相关的信息;以及
对执行了可执行文件的计算机系统所确定的可执行文件是恶意软件的可能性加以表示的值。
20.如权利要求19所述的方法,其中,针对每个可执行文件使用数据确定可执行文件是恶意软件的可能性加以表示的值包括以下任一项:
确定执行了可执行文件的每个计算机系统是否是可信的,并且基于执行了可执行文件的可信计算机系统的数目或比例来确定所述值;
分析与执行了可执行文件的每个计算机系统观察到的可执行文件的任何可疑行为相关的信息,并且基于可疑行为的数量、类型和程度来确定所述值;以及
核对由执行了可执行文件的每个计算机系统确定的值。
21.一种服务器,用于维护关于可执行文件的信息的数据库,所述数据库包括针对每个可执行文件,对可执行文件是恶意软件的可能性加以表示的值,以使多个计算机设备中的任一个能够确定可执行文件是否应该被识别为合法的,所述服务器包括:
接收机,从所述多个计算机设备中执行了可执行文件的一个或多个计算机设备接收关于可执行文件的数据;
处理器,使用所述数据确定对可执行文件是恶意软件的可能性加以表示的值;以及
发送机,向所述多个计算机设备中的一个或多个计算机设备提供所述值。
CN201180023604.2A 2010-03-15 2011-03-15 恶意软件保护 Active CN102893289B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US12/661,389 2010-03-15
US12/661,389 US9501644B2 (en) 2010-03-15 2010-03-15 Malware protection
PCT/EP2011/053835 WO2011113807A1 (en) 2010-03-15 2011-03-15 Malware protection

Publications (2)

Publication Number Publication Date
CN102893289A CN102893289A (zh) 2013-01-23
CN102893289B true CN102893289B (zh) 2015-09-23

Family

ID=44114407

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201180023604.2A Active CN102893289B (zh) 2010-03-15 2011-03-15 恶意软件保护

Country Status (5)

Country Link
US (2) US9501644B2 (zh)
EP (1) EP2548150B1 (zh)
CN (1) CN102893289B (zh)
RU (2) RU2566329C2 (zh)
WO (1) WO2011113807A1 (zh)

Families Citing this family (272)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9106694B2 (en) 2004-04-01 2015-08-11 Fireeye, Inc. Electronic message analysis for malware detection
US8549638B2 (en) 2004-06-14 2013-10-01 Fireeye, Inc. System and method of containing computer worms
US8881282B1 (en) 2004-04-01 2014-11-04 Fireeye, Inc. Systems and methods for malware attack detection and identification
US8528086B1 (en) 2004-04-01 2013-09-03 Fireeye, Inc. System and method of detecting computer worms
US8171553B2 (en) 2004-04-01 2012-05-01 Fireeye, Inc. Heuristic based capture with replay to virtual machine
US7587537B1 (en) 2007-11-30 2009-09-08 Altera Corporation Serializer-deserializer circuits formed from input-output circuit registers
US8566946B1 (en) 2006-04-20 2013-10-22 Fireeye, Inc. Malware containment on connection
US8793787B2 (en) 2004-04-01 2014-07-29 Fireeye, Inc. Detecting malicious network content using virtual environment components
US8898788B1 (en) 2004-04-01 2014-11-25 Fireeye, Inc. Systems and methods for malware attack prevention
US8584239B2 (en) 2004-04-01 2013-11-12 Fireeye, Inc. Virtual machine with dynamic data flow analysis
US8201244B2 (en) * 2006-09-19 2012-06-12 Microsoft Corporation Automated malware signature generation
US8250657B1 (en) 2006-12-29 2012-08-21 Symantec Corporation Web site hygiene-based computer security
US8312536B2 (en) 2006-12-29 2012-11-13 Symantec Corporation Hygiene-based computer security
US8249935B1 (en) 2007-09-27 2012-08-21 Sprint Communications Company L.P. Method and system for blocking confidential information at a point-of-sale reader from eavesdropping
US9883381B1 (en) 2007-10-02 2018-01-30 Sprint Communications Company L.P. Providing secure access to smart card applications
US8499063B1 (en) 2008-03-31 2013-07-30 Symantec Corporation Uninstall and system performance based software application reputation
US8595282B2 (en) 2008-06-30 2013-11-26 Symantec Corporation Simplified communication of a reputation score for an entity
US8997219B2 (en) 2008-11-03 2015-03-31 Fireeye, Inc. Systems and methods for detecting malicious PDF network content
US10621092B2 (en) 2008-11-24 2020-04-14 Intel Corporation Merging level cache and data cache units having indicator bits related to speculative execution
US9672019B2 (en) 2008-11-24 2017-06-06 Intel Corporation Systems, apparatuses, and methods for a hardware and software system to automatically decompose a program to multiple parallel threads
US8768845B1 (en) * 2009-02-16 2014-07-01 Sprint Communications Company L.P. Electronic wallet removal from mobile electronic devices
US8904520B1 (en) 2009-03-19 2014-12-02 Symantec Corporation Communication-based reputation system
US8225406B1 (en) * 2009-03-31 2012-07-17 Symantec Corporation Systems and methods for using reputation data to detect shared-object-based security threats
US8832829B2 (en) 2009-09-30 2014-09-09 Fireeye, Inc. Network-based binary file extraction and analysis for malware detection
US8775153B2 (en) * 2009-12-23 2014-07-08 Intel Corporation Transitioning from source instruction set architecture (ISA) code to translated code in a partial emulation environment
US8341745B1 (en) 2010-02-22 2012-12-25 Symantec Corporation Inferring file and website reputations by belief propagation leveraging machine reputation
US9390263B2 (en) 2010-03-31 2016-07-12 Sophos Limited Use of an application controller to monitor and control software file and application environments
KR101122646B1 (ko) * 2010-04-28 2012-03-09 한국전자통신연구원 위장 가상 머신 정보를 이용한 인텔리전트 봇 대응 방법 및 장치
US8510836B1 (en) * 2010-07-06 2013-08-13 Symantec Corporation Lineage-based reputation system
US8806647B1 (en) * 2011-04-25 2014-08-12 Twitter, Inc. Behavioral scanning of mobile applications
US8826426B1 (en) * 2011-05-05 2014-09-02 Symantec Corporation Systems and methods for generating reputation-based ratings for uniform resource locators
US8983855B1 (en) 2011-05-16 2015-03-17 Mckesson Financial Holdings Systems and methods for evaluating adherence to a project control process
US20130055369A1 (en) * 2011-08-24 2013-02-28 Mcafee, Inc. System and method for day-zero authentication of activex controls
WO2013048468A1 (en) 2011-09-30 2013-04-04 Intel Corporation Instruction and logic to perform dynamic binary translation
US9519781B2 (en) * 2011-11-03 2016-12-13 Cyphort Inc. Systems and methods for virtualization and emulation assisted malware detection
US9686293B2 (en) 2011-11-03 2017-06-20 Cyphort Inc. Systems and methods for malware detection and mitigation
US9792430B2 (en) 2011-11-03 2017-10-17 Cyphort Inc. Systems and methods for virtualized malware detection
DE102012001101A1 (de) * 2012-01-23 2013-07-25 Joachim Linz Verfahren zum multilateralen und ganzheitlichen Erfassen und Verbessern der Mobildienst-Qualität mit Hilfe von Kunden-Terminals mit Rückmeldung an den Kunden.
US8650645B1 (en) * 2012-03-29 2014-02-11 Mckesson Financial Holdings Systems and methods for protecting proprietary data
US8856930B2 (en) * 2012-03-30 2014-10-07 F-Secure Corporation Download control
US9152784B2 (en) 2012-04-18 2015-10-06 Mcafee, Inc. Detection and prevention of installation of malicious mobile applications
RU2485577C1 (ru) 2012-05-11 2013-06-20 Закрытое акционерное общество "Лаборатория Касперского" Способ увеличения надежности определения вредоносного программного обеспечения
US9088604B1 (en) * 2012-06-13 2015-07-21 Symantec Corporation Systems and methods for treating locally created files as trustworthy
EP2864876B1 (en) * 2012-06-26 2017-10-04 Lynuxworks, Inc. Systems and methods involving features of hardware virtualization such as separation kernel hypervisors, hypervisors, hypervisor guest context, hypervisor context, rootkit detection/prevention, and/or other features
US9124472B1 (en) 2012-07-25 2015-09-01 Symantec Corporation Providing file information to a client responsive to a file download stability prediction
RU2514141C1 (ru) 2012-09-28 2014-04-27 Закрытое акционерное общество "Лаборатория Касперского" Способ эмуляции вызовов системных функций для обхода средств противодействия эмуляции
JP2014071796A (ja) * 2012-10-01 2014-04-21 Nec Corp マルウェア検知装置、マルウェア検知システム、マルウェア検知方法、及びプログラム
US9274816B2 (en) * 2012-12-21 2016-03-01 Mcafee, Inc. User driven emulation of applications
US10572665B2 (en) 2012-12-28 2020-02-25 Fireeye, Inc. System and method to create a number of breakpoints in a virtual machine via virtual machine trapping events
US10152591B2 (en) 2013-02-10 2018-12-11 Paypal, Inc. Protecting against malware variants using reconstructed code of malware
CN105144187B (zh) * 2013-02-10 2019-01-22 配拨股份有限公司 提供预测的安全产品以及评分现有安全产品的方法与产品
US9009823B1 (en) 2013-02-23 2015-04-14 Fireeye, Inc. Framework for efficient security coverage of mobile software applications installed on mobile devices
US9367681B1 (en) 2013-02-23 2016-06-14 Fireeye, Inc. Framework for efficient security coverage of mobile software applications using symbolic execution to reach regions of interest within an application
US9176843B1 (en) 2013-02-23 2015-11-03 Fireeye, Inc. Framework for efficient security coverage of mobile software applications
US9195829B1 (en) 2013-02-23 2015-11-24 Fireeye, Inc. User interface with real-time visual playback along with synchronous textual analysis log display and event/time index for anomalous behavior detection in applications
US8990944B1 (en) 2013-02-23 2015-03-24 Fireeye, Inc. Systems and methods for automatically detecting backdoors
US9626509B1 (en) 2013-03-13 2017-04-18 Fireeye, Inc. Malicious content analysis with multi-version application support within single operating environment
US9355247B1 (en) * 2013-03-13 2016-05-31 Fireeye, Inc. File extraction from memory dump for malicious content analysis
US9104867B1 (en) * 2013-03-13 2015-08-11 Fireeye, Inc. Malicious content analysis using simulated user interaction without user involvement
US9430646B1 (en) 2013-03-14 2016-08-30 Fireeye, Inc. Distributed systems and methods for automatically detecting unknown bots and botnets
US10649970B1 (en) * 2013-03-14 2020-05-12 Invincea, Inc. Methods and apparatus for detection of functionality
US9311479B1 (en) 2013-03-14 2016-04-12 Fireeye, Inc. Correlation and consolidation of analytic data for holistic view of a malware attack
US10713358B2 (en) 2013-03-15 2020-07-14 Fireeye, Inc. System and method to extract and utilize disassembly features to classify software intent
WO2014145805A1 (en) 2013-03-15 2014-09-18 Mandiant, Llc System and method employing structured intelligence to verify and contain threats at endpoints
US9298911B2 (en) * 2013-03-15 2016-03-29 Intel Corporation Method, apparatus, system, and computer readable medium for providing apparatus security
US9495180B2 (en) 2013-05-10 2016-11-15 Fireeye, Inc. Optimized resource allocation for virtual machines within a malware content detection system
US9635039B1 (en) 2013-05-13 2017-04-25 Fireeye, Inc. Classifying sets of malicious indicators for detecting command and control communications associated with malware
US10133863B2 (en) 2013-06-24 2018-11-20 Fireeye, Inc. Zero-day discovery system
US9489513B1 (en) * 2013-06-25 2016-11-08 Symantec Corporation Systems and methods for securing computing devices against imposter processes
US9300686B2 (en) 2013-06-28 2016-03-29 Fireeye, Inc. System and method for detecting malicious links in electronic messages
WO2015029037A2 (en) * 2013-08-27 2015-03-05 MINERVA LABS LTD. No:515155356 Method and system handling malware
EP3044718A4 (en) 2013-09-10 2017-05-17 Symantec Corporation Systems and methods for using event-correlation graphs to detect attacks on computing systems
US9065849B1 (en) * 2013-09-18 2015-06-23 Symantec Corporation Systems and methods for determining trustworthiness of software programs
JP2015060417A (ja) * 2013-09-19 2015-03-30 日本電気株式会社 異常検知装置、異常検知方法、異常検知プログラム、及び、保護装置
US9166997B1 (en) 2013-09-19 2015-10-20 Symantec Corporation Systems and methods for reducing false positives when using event-correlation graphs to detect attacks on computing systems
US9891936B2 (en) 2013-09-27 2018-02-13 Intel Corporation Method and apparatus for page-level monitoring
US9736179B2 (en) 2013-09-30 2017-08-15 Fireeye, Inc. System, apparatus and method for using malware analysis results to drive adaptive instrumentation of virtual machines to improve exploit detection
US9690936B1 (en) 2013-09-30 2017-06-27 Fireeye, Inc. Multistage system and method for analyzing obfuscated content for malware
US9294501B2 (en) 2013-09-30 2016-03-22 Fireeye, Inc. Fuzzy hash of behavioral results
US9171160B2 (en) 2013-09-30 2015-10-27 Fireeye, Inc. Dynamically adaptive framework and method for classifying malware using intelligent static, emulation, and dynamic analyses
US10515214B1 (en) 2013-09-30 2019-12-24 Fireeye, Inc. System and method for classifying malware within content created during analysis of a specimen
US9628507B2 (en) 2013-09-30 2017-04-18 Fireeye, Inc. Advanced persistent threat (APT) detection center
US9921978B1 (en) 2013-11-08 2018-03-20 Fireeye, Inc. System and method for enhanced security of storage devices
US9148441B1 (en) 2013-12-23 2015-09-29 Symantec Corporation Systems and methods for adjusting suspiciousness scores in event-correlation graphs
US9747446B1 (en) 2013-12-26 2017-08-29 Fireeye, Inc. System and method for run-time object classification
US9756074B2 (en) 2013-12-26 2017-09-05 Fireeye, Inc. System and method for IPS and VM-based detection of suspicious objects
EP3087526A4 (en) 2013-12-27 2017-06-21 McAfee, Inc. Segregating executable files exhibiting network activity
US9292686B2 (en) 2014-01-16 2016-03-22 Fireeye, Inc. Micro-virtualization architecture for threat-aware microvisor deployment in a node of a network environment
US9262635B2 (en) 2014-02-05 2016-02-16 Fireeye, Inc. Detection efficacy of virtual machine-based analysis with application specific events
US10326778B2 (en) 2014-02-24 2019-06-18 Cyphort Inc. System and method for detecting lateral movement and data exfiltration
US11405410B2 (en) 2014-02-24 2022-08-02 Cyphort Inc. System and method for detecting lateral movement and data exfiltration
US10095866B2 (en) 2014-02-24 2018-10-09 Cyphort Inc. System and method for threat risk scoring of security threats
US10225280B2 (en) 2014-02-24 2019-03-05 Cyphort Inc. System and method for verifying and detecting malware
US9977904B2 (en) * 2014-02-25 2018-05-22 Board Of Regents, The University Of Texas System Systems and methods for automated detection of application vulnerabilities
US9241010B1 (en) 2014-03-20 2016-01-19 Fireeye, Inc. System and method for network behavior detection
US9256739B1 (en) 2014-03-21 2016-02-09 Symantec Corporation Systems and methods for using event-correlation graphs to generate remediation procedures
US10242185B1 (en) 2014-03-21 2019-03-26 Fireeye, Inc. Dynamic guest image creation and rollback
US9591015B1 (en) 2014-03-28 2017-03-07 Fireeye, Inc. System and method for offloading packet processing and static analysis operations
US9432389B1 (en) 2014-03-31 2016-08-30 Fireeye, Inc. System, apparatus and method for detecting a malicious attack based on static analysis of a multi-flow object
US9223972B1 (en) 2014-03-31 2015-12-29 Fireeye, Inc. Dynamically remote tuning of a malware content detection system
US9516054B2 (en) * 2014-04-14 2016-12-06 Trap Data Security Ltd. System and method for cyber threats detection
WO2016004263A1 (en) 2014-07-01 2016-01-07 Lynx Software Technologies, Inc. Systems and methods involving aspects of hardware virtualization such as separation kernel hypervisors, hypervisors, hypervisor guest context, hypervisor context, anti-fingerprinting, and/or other features
US9203855B1 (en) 2014-05-15 2015-12-01 Lynx Software Technologies, Inc. Systems and methods involving aspects of hardware virtualization such as hypervisor, detection and interception of code or instruction execution including API calls, and/or other features
WO2015176029A1 (en) 2014-05-15 2015-11-19 Lynx Software Technologies, Inc. Systems and methods involving features of hardware virtualization such as hypervisor, pages of interest, and/or other features
WO2015176046A1 (en) 2014-05-15 2015-11-19 Lynx Software Technologies, Inc. Systems and methods involving features of hardware virtualization, hypervisor, apis of interest, and/or other features
US9438623B1 (en) 2014-06-06 2016-09-06 Fireeye, Inc. Computer exploit detection using heap spray pattern matching
US9973531B1 (en) 2014-06-06 2018-05-15 Fireeye, Inc. Shellcode detection
US9594912B1 (en) 2014-06-06 2017-03-14 Fireeye, Inc. Return-oriented programming detection
US10084813B2 (en) 2014-06-24 2018-09-25 Fireeye, Inc. Intrusion prevention and remedy system
US10432720B1 (en) 2014-06-25 2019-10-01 Symantec Corporation Systems and methods for strong information about transmission control protocol connections
US9398028B1 (en) 2014-06-26 2016-07-19 Fireeye, Inc. System, device and method for detecting a malicious attack based on communcations between remotely hosted virtual machines and malicious web servers
US10805340B1 (en) 2014-06-26 2020-10-13 Fireeye, Inc. Infection vector and malware tracking with an interactive user display
US10002252B2 (en) 2014-07-01 2018-06-19 Fireeye, Inc. Verification of trusted threat-aware microvisor
US11782745B2 (en) 2014-07-01 2023-10-10 Lynx Software Technologies, Inc. Systems and methods involving aspects of hardware virtualization such as separation kernel hypervisors, hypervisors, hypervisor guest context, hypervisor context, anti-fingerprinting and/or other features
CN104216946B (zh) * 2014-07-31 2019-03-26 百度在线网络技术(北京)有限公司 一种用于确定重打包应用程序的方法和装置
US9363280B1 (en) 2014-08-22 2016-06-07 Fireeye, Inc. System and method of detecting delivery of malware using cross-customer data
US10671726B1 (en) 2014-09-22 2020-06-02 Fireeye Inc. System and method for malware analysis using thread-level event monitoring
US9773112B1 (en) 2014-09-29 2017-09-26 Fireeye, Inc. Exploit detection of malware and malware families
US10027689B1 (en) 2014-09-29 2018-07-17 Fireeye, Inc. Interactive infection visualization for improved exploit detection and signature generation for malware and malware families
US9843594B1 (en) 2014-10-28 2017-12-12 Symantec Corporation Systems and methods for detecting anomalous messages in automobile networks
RU2584507C1 (ru) * 2014-12-19 2016-05-20 Закрытое акционерное общество "Лаборатория Касперского" Способ обеспечения безопасного выполнения файла сценария
US9690933B1 (en) 2014-12-22 2017-06-27 Fireeye, Inc. Framework for classifying an object as malicious with machine learning for deploying updated predictive models
US10834109B2 (en) * 2014-12-23 2020-11-10 Mcafee, Llc Determining a reputation for a process
US10075455B2 (en) 2014-12-26 2018-09-11 Fireeye, Inc. Zero-day rotating guest image profile
US9934376B1 (en) 2014-12-29 2018-04-03 Fireeye, Inc. Malware detection appliance architecture
US9838417B1 (en) 2014-12-30 2017-12-05 Fireeye, Inc. Intelligent context aware user interaction for malware detection
US20160203009A1 (en) * 2015-01-12 2016-07-14 Modea Holdings, Inc. Methods for emulating computing devices and devices thereof
US9715589B2 (en) 2015-01-23 2017-07-25 Red Hat, Inc. Operating system consistency and malware protection
US9846775B2 (en) 2015-03-05 2017-12-19 Minerva Labs Ltd. Systems and methods for malware evasion management
US10148693B2 (en) 2015-03-25 2018-12-04 Fireeye, Inc. Exploit detection system
US9690606B1 (en) 2015-03-25 2017-06-27 Fireeye, Inc. Selective system call monitoring
US10146893B1 (en) 2015-03-27 2018-12-04 Symantec Corporation Systems and methods for evaluating electronic control units within vehicle emulations
US9438613B1 (en) 2015-03-30 2016-09-06 Fireeye, Inc. Dynamic content activation for automated analysis of embedded objects
US10417031B2 (en) 2015-03-31 2019-09-17 Fireeye, Inc. Selective virtualization for security threat detection
US9483644B1 (en) 2015-03-31 2016-11-01 Fireeye, Inc. Methods for detecting file altering malware in VM based analysis
US10474813B1 (en) 2015-03-31 2019-11-12 Fireeye, Inc. Code injection technique for remediation at an endpoint of a network
US9654485B1 (en) 2015-04-13 2017-05-16 Fireeye, Inc. Analytics-based security monitoring system and method
US9594904B1 (en) 2015-04-23 2017-03-14 Fireeye, Inc. Detecting malware based on reflection
US9825986B1 (en) 2015-06-29 2017-11-21 Symantec Corporation Systems and methods for generating contextually meaningful animated visualizations of computer security events
US11113086B1 (en) 2015-06-30 2021-09-07 Fireeye, Inc. Virtual system and method for securing external network connectivity
US10454950B1 (en) 2015-06-30 2019-10-22 Fireeye, Inc. Centralized aggregation technique for detecting lateral movement of stealthy cyber-attacks
US10642753B1 (en) 2015-06-30 2020-05-05 Fireeye, Inc. System and method for protecting a software component running in virtual machine using a virtualization layer
US10726127B1 (en) 2015-06-30 2020-07-28 Fireeye, Inc. System and method for protecting a software component running in a virtual machine through virtual interrupts by the virtualization layer
GB2540949B (en) * 2015-07-31 2019-01-30 Arm Ip Ltd Probabilistic Processor Monitoring
US9690938B1 (en) 2015-08-05 2017-06-27 Invincea, Inc. Methods and apparatus for machine learning based malware detection
US10715542B1 (en) 2015-08-14 2020-07-14 Fireeye, Inc. Mobile application risk analysis
US10176321B2 (en) 2015-09-22 2019-01-08 Fireeye, Inc. Leveraging behavior-based rules for malware family classification
US10033747B1 (en) 2015-09-29 2018-07-24 Fireeye, Inc. System and method for detecting interpreter-based exploit attacks
US9825976B1 (en) 2015-09-30 2017-11-21 Fireeye, Inc. Detection and classification of exploit kits
US10210329B1 (en) 2015-09-30 2019-02-19 Fireeye, Inc. Method to detect application execution hijacking using memory protection
US10601865B1 (en) 2015-09-30 2020-03-24 Fireeye, Inc. Detection of credential spearphishing attacks using email analysis
US10706149B1 (en) 2015-09-30 2020-07-07 Fireeye, Inc. Detecting delayed activation malware using a primary controller and plural time controllers
US10817606B1 (en) 2015-09-30 2020-10-27 Fireeye, Inc. Detecting delayed activation malware using a run-time monitoring agent and time-dilation logic
US9825989B1 (en) 2015-09-30 2017-11-21 Fireeye, Inc. Cyber attack early warning system
US9819696B2 (en) * 2015-11-04 2017-11-14 Bitdefender IPR Management Ltd. Systems and methods for detecting domain generation algorithm (DGA) malware
US10284575B2 (en) 2015-11-10 2019-05-07 Fireeye, Inc. Launcher for setting analysis environment variations for malware detection
US9984231B2 (en) * 2015-11-11 2018-05-29 Qualcomm Incorporated Detecting program evasion of virtual machines or emulators
US9967274B2 (en) 2015-11-25 2018-05-08 Symantec Corporation Systems and methods for identifying compromised devices within industrial control systems
US10846117B1 (en) 2015-12-10 2020-11-24 Fireeye, Inc. Technique for establishing secure communication between host and guest processes of a virtualization architecture
US10447728B1 (en) 2015-12-10 2019-10-15 Fireeye, Inc. Technique for protecting guest processes using a layered virtualization architecture
US10108446B1 (en) 2015-12-11 2018-10-23 Fireeye, Inc. Late load technique for deploying a virtualization layer underneath a running operating system
US10133866B1 (en) 2015-12-30 2018-11-20 Fireeye, Inc. System and method for triggering analysis of an object for malware in response to modification of that object
US10565378B1 (en) 2015-12-30 2020-02-18 Fireeye, Inc. Exploit of privilege detection framework
US10621338B1 (en) 2015-12-30 2020-04-14 Fireeye, Inc. Method to detect forgery and exploits using last branch recording registers
US10050998B1 (en) 2015-12-30 2018-08-14 Fireeye, Inc. Malicious message analysis system
US9824216B1 (en) 2015-12-31 2017-11-21 Fireeye, Inc. Susceptible environment detection system
US10581874B1 (en) 2015-12-31 2020-03-03 Fireeye, Inc. Malware detection system with contextual analysis
US11552986B1 (en) 2015-12-31 2023-01-10 Fireeye Security Holdings Us Llc Cyber-security framework for application of virtual features
US10104100B1 (en) 2016-03-03 2018-10-16 Symantec Corporation Systems and methods for detecting anomalies that are potentially indicative of malicious attacks
RU2628921C1 (ru) * 2016-03-18 2017-08-22 Акционерное общество "Лаборатория Касперского" Система и способ выполнения антивирусной проверки файла на виртуальной машине
US10262131B2 (en) * 2016-03-22 2019-04-16 Symantec Corporation Systems and methods for obtaining information about security threats on endpoint devices
US10671721B1 (en) 2016-03-25 2020-06-02 Fireeye, Inc. Timeout management services
US10476906B1 (en) 2016-03-25 2019-11-12 Fireeye, Inc. System and method for managing formation and modification of a cluster within a malware detection system
US10601863B1 (en) 2016-03-25 2020-03-24 Fireeye, Inc. System and method for managing sensor enrollment
US10785255B1 (en) 2016-03-25 2020-09-22 Fireeye, Inc. Cluster configuration within a scalable malware detection system
US10893059B1 (en) 2016-03-31 2021-01-12 Fireeye, Inc. Verification and enhancement using detection systems located at the network periphery and endpoint devices
US10826933B1 (en) 2016-03-31 2020-11-03 Fireeye, Inc. Technique for verifying exploit/malware at malware detection appliance through correlation with endpoints
JP6687844B2 (ja) * 2016-04-13 2020-04-28 富士通株式会社 マルウエア解析装置、マルウエア解析方法及びマルウエア解析プログラム
US10193903B1 (en) 2016-04-29 2019-01-29 Symantec Corporation Systems and methods for detecting suspicious microcontroller messages
WO2017223294A1 (en) 2016-06-22 2017-12-28 Invincea, Inc. Methods and apparatus for detecting whether a string of characters represents malicious activity using machine learning
US10169585B1 (en) 2016-06-22 2019-01-01 Fireeye, Inc. System and methods for advanced malware detection through placement of transition events
US10091077B1 (en) 2016-06-27 2018-10-02 Symantec Corporation Systems and methods for detecting transactional message sequences that are obscured in multicast communications
US10462173B1 (en) 2016-06-30 2019-10-29 Fireeye, Inc. Malware detection verification and enhancement by coordinating endpoint and malware detection systems
RU2634211C1 (ru) 2016-07-06 2017-10-24 Общество с ограниченной ответственностью "Траст" Способ и система анализа протоколов взаимодействия вредоносных программ с центрами управления и выявления компьютерных атак
US10372908B2 (en) * 2016-07-25 2019-08-06 Trap Data Security Ltd. System and method for detecting malware in a stream of bytes
RU2649793C2 (ru) 2016-08-03 2018-04-04 ООО "Группа АйБи" Способ и система выявления удаленного подключения при работе на страницах веб-ресурса
WO2018039967A1 (zh) * 2016-08-31 2018-03-08 深圳前海达闼云端智能科技有限公司 虚拟机切换方法、装置、电子设备和计算机程序产品
US10592678B1 (en) 2016-09-09 2020-03-17 Fireeye, Inc. Secure communications between peers using a verified virtual trusted platform module
GB2553836B (en) * 2016-09-16 2021-05-19 1E Ltd File execution
RU2634209C1 (ru) 2016-09-19 2017-10-24 Общество с ограниченной ответственностью "Группа АйБи ТДС" Система и способ автогенерации решающих правил для систем обнаружения вторжений с обратной связью
US10200259B1 (en) 2016-09-21 2019-02-05 Symantec Corporation Systems and methods for detecting obscure cyclic application-layer message sequences in transport-layer message sequences
US10491627B1 (en) 2016-09-29 2019-11-26 Fireeye, Inc. Advanced malware detection using similarity analysis
US10795991B1 (en) 2016-11-08 2020-10-06 Fireeye, Inc. Enterprise search
US9906545B1 (en) 2016-11-22 2018-02-27 Symantec Corporation Systems and methods for identifying message payload bit fields in electronic communications
US10587647B1 (en) 2016-11-22 2020-03-10 Fireeye, Inc. Technique for malware detection capability comparison of network security devices
RU2634171C1 (ru) * 2016-12-12 2017-10-24 Акционерное общество "Лаборатория Касперского" Способ выполнения кода интерпретатором
US10552610B1 (en) 2016-12-22 2020-02-04 Fireeye, Inc. Adaptive virtual machine snapshot update framework for malware behavioral analysis
US10389743B1 (en) * 2016-12-22 2019-08-20 Symantec Corporation Tracking of software executables that come from untrusted locations
US10581879B1 (en) 2016-12-22 2020-03-03 Fireeye, Inc. Enhanced malware detection for generated objects
US10303876B2 (en) 2016-12-27 2019-05-28 Mcafee, Llc Persistence probing to detect malware
US10523609B1 (en) 2016-12-27 2019-12-31 Fireeye, Inc. Multi-vector malware detection and analysis
RU2637477C1 (ru) 2016-12-29 2017-12-04 Общество с ограниченной ответственностью "Траст" Система и способ обнаружения фишинговых веб-страниц
RU2671991C2 (ru) 2016-12-29 2018-11-08 Общество с ограниченной ответственностью "Траст" Система и способ сбора информации для обнаружения фишинга
RU2665911C2 (ru) 2017-02-08 2018-09-04 Акционерное общество "Лаборатория Касперского" Система и способ анализа файла на вредоносность в виртуальной машине
US10904286B1 (en) 2017-03-24 2021-01-26 Fireeye, Inc. Detection of phishing attacks using similarity analysis
KR101899589B1 (ko) * 2017-03-29 2018-09-17 최승환 안전 소프트웨어 인증 시스템 및 방법
US10798112B2 (en) 2017-03-30 2020-10-06 Fireeye, Inc. Attribute-controlled malware detection
US10902119B1 (en) 2017-03-30 2021-01-26 Fireeye, Inc. Data extraction system for malware analysis
US10848397B1 (en) 2017-03-30 2020-11-24 Fireeye, Inc. System and method for enforcing compliance with subscription requirements for cyber-attack detection service
US10791138B1 (en) 2017-03-30 2020-09-29 Fireeye, Inc. Subscription-based malware detection
US10326788B1 (en) 2017-05-05 2019-06-18 Symantec Corporation Systems and methods for identifying suspicious controller area network messages
JP2018200641A (ja) * 2017-05-29 2018-12-20 富士通株式会社 異常検知プログラム、異常検知方法および情報処理装置
US10601848B1 (en) 2017-06-29 2020-03-24 Fireeye, Inc. Cyber-security system and method for weak indicator detection and correlation to generate strong indicators
US10855700B1 (en) 2017-06-29 2020-12-01 Fireeye, Inc. Post-intrusion detection of cyber-attacks during lateral movement within networks
US10503904B1 (en) 2017-06-29 2019-12-10 Fireeye, Inc. Ransomware detection and mitigation
US10305923B2 (en) 2017-06-30 2019-05-28 SparkCognition, Inc. Server-supported malware detection and protection
US10893068B1 (en) 2017-06-30 2021-01-12 Fireeye, Inc. Ransomware file modification prevention technique
US10747872B1 (en) 2017-09-27 2020-08-18 Fireeye, Inc. System and method for preventing malware evasion
US10805346B2 (en) 2017-10-01 2020-10-13 Fireeye, Inc. Phishing attack detection
US11108809B2 (en) 2017-10-27 2021-08-31 Fireeye, Inc. System and method for analyzing binary code for malware classification using artificial neural network techniques
RU2689816C2 (ru) 2017-11-21 2019-05-29 ООО "Группа АйБи" Способ для классифицирования последовательности действий пользователя (варианты)
US11240275B1 (en) 2017-12-28 2022-02-01 Fireeye Security Holdings Us Llc Platform and method for performing cybersecurity analyses employing an intelligence hub with a modular architecture
US11271955B2 (en) 2017-12-28 2022-03-08 Fireeye Security Holdings Us Llc Platform and method for retroactive reclassification employing a cybersecurity-based global data store
US11005860B1 (en) 2017-12-28 2021-05-11 Fireeye, Inc. Method and system for efficient cybersecurity analysis of endpoint events
RU2676247C1 (ru) 2018-01-17 2018-12-26 Общество С Ограниченной Ответственностью "Группа Айби" Способ и компьютерное устройство для кластеризации веб-ресурсов
RU2680736C1 (ru) 2018-01-17 2019-02-26 Общество с ограниченной ответственностью "Группа АйБи ТДС" Сервер и способ для определения вредоносных файлов в сетевом трафике
RU2677368C1 (ru) 2018-01-17 2019-01-16 Общество С Ограниченной Ответственностью "Группа Айби" Способ и система для автоматического определения нечетких дубликатов видеоконтента
RU2677361C1 (ru) 2018-01-17 2019-01-16 Общество с ограниченной ответственностью "Траст" Способ и система децентрализованной идентификации вредоносных программ
RU2668710C1 (ru) 2018-01-17 2018-10-02 Общество с ограниченной ответственностью "Группа АйБи ТДС" Вычислительное устройство и способ для обнаружения вредоносных доменных имен в сетевом трафике
RU2681699C1 (ru) 2018-02-13 2019-03-12 Общество с ограниченной ответственностью "Траст" Способ и сервер для поиска связанных сетевых ресурсов
US10826931B1 (en) 2018-03-29 2020-11-03 Fireeye, Inc. System and method for predicting and mitigating cybersecurity system misconfigurations
US11558401B1 (en) 2018-03-30 2023-01-17 Fireeye Security Holdings Us Llc Multi-vector malware detection data sharing system for improved detection
US10956477B1 (en) 2018-03-30 2021-03-23 Fireeye, Inc. System and method for detecting malicious scripts through natural language processing modeling
US11003773B1 (en) 2018-03-30 2021-05-11 Fireeye, Inc. System and method for automatically generating malware detection rule recommendations
US11075930B1 (en) 2018-06-27 2021-07-27 Fireeye, Inc. System and method for detecting repetitive cybersecurity attacks constituting an email campaign
US11314859B1 (en) 2018-06-27 2022-04-26 FireEye Security Holdings, Inc. Cyber-security system and method for detecting escalation of privileges within an access token
US11228491B1 (en) 2018-06-28 2022-01-18 Fireeye Security Holdings Us Llc System and method for distributed cluster configuration monitoring and management
RU2708355C1 (ru) * 2018-06-29 2019-12-05 Акционерное общество "Лаборатория Касперского" Способ обнаружения вредоносных файлов, противодействующих анализу в изолированной среде
US11316900B1 (en) 2018-06-29 2022-04-26 FireEye Security Holdings Inc. System and method for automatically prioritizing rules for cyber-threat detection and mitigation
EP3588346B1 (en) * 2018-06-29 2024-06-26 AO Kaspersky Lab Method of detecting malicious files resisting analysis in an isolated environment
US11200317B2 (en) * 2018-07-22 2021-12-14 Minerva Labs Ltd. Systems and methods for protecting a computing device against malicious code
US11182473B1 (en) 2018-09-13 2021-11-23 Fireeye Security Holdings Us Llc System and method for mitigating cyberattacks against processor operability by a guest process
US11763004B1 (en) 2018-09-27 2023-09-19 Fireeye Security Holdings Us Llc System and method for bootkit detection
RU2708508C1 (ru) 2018-12-17 2019-12-09 Общество с ограниченной ответственностью "Траст" Способ и вычислительное устройство для выявления подозрительных пользователей в системах обмена сообщениями
US12074887B1 (en) 2018-12-21 2024-08-27 Musarubra Us Llc System and method for selectively processing content after identification and removal of malicious content
US11368475B1 (en) 2018-12-21 2022-06-21 Fireeye Security Holdings Us Llc System and method for scanning remote services to locate stored objects with malware
RU2701040C1 (ru) 2018-12-28 2019-09-24 Общество с ограниченной ответственностью "Траст" Способ и вычислительное устройство для информирования о вредоносных веб-ресурсах
WO2020176005A1 (ru) 2019-02-27 2020-09-03 Общество С Ограниченной Ответственностью "Группа Айби" Способ и система идентификации пользователя по клавиатурному почерку
US11258806B1 (en) 2019-06-24 2022-02-22 Mandiant, Inc. System and method for automatically associating cybersecurity intelligence to cyberthreat actors
US11556640B1 (en) 2019-06-27 2023-01-17 Mandiant, Inc. Systems and methods for automated cybersecurity analysis of extracted binary string sets
US11392700B1 (en) 2019-06-28 2022-07-19 Fireeye Security Holdings Us Llc System and method for supporting cross-platform data verification
US11886585B1 (en) 2019-09-27 2024-01-30 Musarubra Us Llc System and method for identifying and mitigating cyberattacks through malicious position-independent code execution
US11637862B1 (en) 2019-09-30 2023-04-25 Mandiant, Inc. System and method for surfacing cyber-security threats with a self-learning recommendation engine
CN110929259B (zh) * 2019-11-14 2021-09-28 腾讯科技(深圳)有限公司 进程安全验证白名单生成方法、装置
RU2728498C1 (ru) 2019-12-05 2020-07-29 Общество с ограниченной ответственностью "Группа АйБи ТДС" Способ и система определения принадлежности программного обеспечения по его исходному коду
RU2728497C1 (ru) 2019-12-05 2020-07-29 Общество с ограниченной ответственностью "Группа АйБи ТДС" Способ и система определения принадлежности программного обеспечения по его машинному коду
RU2743974C1 (ru) 2019-12-19 2021-03-01 Общество с ограниченной ответственностью "Группа АйБи ТДС" Система и способ сканирования защищенности элементов сетевой архитектуры
SG10202001963TA (en) 2020-03-04 2021-10-28 Group Ib Global Private Ltd System and method for brand protection based on the search results
US11681804B2 (en) 2020-03-09 2023-06-20 Commvault Systems, Inc. System and method for automatic generation of malware detection traps
RU2757409C1 (ru) * 2020-06-19 2021-10-15 Акционерное общество "Лаборатория Касперского" Эмулятор и способ эмуляции
US11475090B2 (en) 2020-07-15 2022-10-18 Group-Ib Global Private Limited Method and system for identifying clusters of affiliated web resources
RU2743619C1 (ru) 2020-08-06 2021-02-20 Общество с ограниченной ответственностью "Группа АйБи ТДС" Способ и система генерации списка индикаторов компрометации
RU2748518C1 (ru) 2020-08-27 2021-05-26 Общество с ограниченной ответственностью "Траст" Способ противодействия вредоносному программному обеспечению (ВПО) путем имитации проверочной среды
CN112149115A (zh) * 2020-08-28 2020-12-29 杭州安恒信息技术股份有限公司 一种病毒库的更新方法、装置、电子装置和存储介质
US11853425B2 (en) * 2020-10-09 2023-12-26 Sophos Limited Dynamic sandbox scarecrow for malware management
RU2762079C1 (ru) * 2021-03-24 2021-12-15 Федеральное государственное бюджетное образовательное учреждение высшего образования "Владивостокский государственный университет экономики и сервиса" (ВГУЭС) Способ обнаружения вредоносных программ и элементов
US11947572B2 (en) 2021-03-29 2024-04-02 Group IB TDS, Ltd Method and system for clustering executable files
NL2030861B1 (en) 2021-06-01 2023-03-14 Trust Ltd System and method for external monitoring a cyberattack surface
RU2769075C1 (ru) 2021-06-10 2022-03-28 Общество с ограниченной ответственностью "Группа АйБи ТДС" Система и способ активного обнаружения вредоносных сетевых ресурсов
US11934515B2 (en) 2021-12-02 2024-03-19 Bank Of America Corporation Malware deterrence using computer environment indicators
US11966477B2 (en) * 2022-01-11 2024-04-23 Musarubra Us Llc Methods and apparatus for generic process chain entity mapping
US20230319087A1 (en) * 2022-03-30 2023-10-05 Attivo Networks Inc. Systems, methods, and devices for preventing credential passing attacks

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1549012A1 (en) * 2003-12-24 2005-06-29 DataCenterTechnologies N.V. Method and system for identifying the content of files in a network
CN101281571A (zh) * 2008-04-22 2008-10-08 白杰 防御未知病毒程序的方法
CN101350049A (zh) * 2007-07-16 2009-01-21 珠海金山软件股份有限公司 鉴定病毒文件的方法、装置及网络设备

Family Cites Families (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5964889A (en) 1997-04-16 1999-10-12 Symantec Corporation Method to analyze a program for presence of computer viruses by examining the opcode for faults before emulating instruction in emulator
US7093239B1 (en) 2000-07-14 2006-08-15 Internet Security Systems, Inc. Computer immune system and method for detecting unwanted code in a computer system
US7376970B2 (en) 2004-02-20 2008-05-20 Microsoft Corporation System and method for proactive computer virus protection
US7984304B1 (en) * 2004-03-02 2011-07-19 Vmware, Inc. Dynamic verification of validity of executable code
US7664626B1 (en) * 2006-03-24 2010-02-16 Symantec Corporation Ambiguous-state support in virtual machine emulators
US8789172B2 (en) * 2006-09-18 2014-07-22 The Trustees Of Columbia University In The City Of New York Methods, media, and systems for detecting attack on a digital processing device
US8528089B2 (en) * 2006-12-19 2013-09-03 Mcafee, Inc. Known files database for malware elimination
US8856782B2 (en) * 2007-03-01 2014-10-07 George Mason Research Foundation, Inc. On-demand disposable virtual work system
US8108856B2 (en) * 2007-03-30 2012-01-31 Intel Corporation Method and apparatus for adaptive integrity measurement of computer software
US8402529B1 (en) * 2007-05-30 2013-03-19 M86 Security, Inc. Preventing propagation of malicious software during execution in a virtual machine
US7620992B2 (en) 2007-10-02 2009-11-17 Kaspersky Lab Zao System and method for detecting multi-component malware
US20100031353A1 (en) * 2008-02-04 2010-02-04 Microsoft Corporation Malware Detection Using Code Analysis and Behavior Monitoring
US8201246B1 (en) * 2008-02-25 2012-06-12 Trend Micro Incorporated Preventing malicious codes from performing malicious actions in a computer system
US8782797B2 (en) * 2008-07-17 2014-07-15 Microsoft Corporation Lockbox for mitigating same origin policy failures
US8370932B2 (en) * 2008-09-23 2013-02-05 Webroot Inc. Method and apparatus for detecting malware in network traffic
US20100192222A1 (en) * 2009-01-23 2010-07-29 Microsoft Corporation Malware detection using multiple classifiers
US8745743B2 (en) * 2009-06-09 2014-06-03 F-Secure Oyj Anti-virus trusted files database
US8001606B1 (en) * 2009-06-30 2011-08-16 Symantec Corporation Malware detection using a white list
US8809621B2 (en) * 2009-08-05 2014-08-19 Syngenta Participations Ag Yield traits for maize
US8528080B2 (en) * 2009-09-15 2013-09-03 Reefedge Networks, Llc Short-range mobile honeypot for sampling and tracking threats
US8832829B2 (en) * 2009-09-30 2014-09-09 Fireeye, Inc. Network-based binary file extraction and analysis for malware detection
RU91205U1 (ru) * 2009-10-01 2010-01-27 ЗАО "Лаборатория Касперского" Система асинхронной обработки событий для обнаружения неизвестных вредоносных программ
US8341745B1 (en) * 2010-02-22 2012-12-25 Symantec Corporation Inferring file and website reputations by belief propagation leveraging machine reputation
US8966623B2 (en) * 2010-03-08 2015-02-24 Vmware, Inc. Managing execution of a running-page in a virtual machine
US8789174B1 (en) * 2010-04-13 2014-07-22 Symantec Corporation Method and apparatus for examining network traffic and automatically detecting anomalous activity to secure a computer
KR101122646B1 (ko) * 2010-04-28 2012-03-09 한국전자통신연구원 위장 가상 머신 정보를 이용한 인텔리전트 봇 대응 방법 및 장치
RU2444056C1 (ru) * 2010-11-01 2012-02-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ ускорения решения проблем за счет накопления статистической информации
US9047441B2 (en) * 2011-05-24 2015-06-02 Palo Alto Networks, Inc. Malware analysis system
US8726404B2 (en) * 2011-11-14 2014-05-13 Intel Corporation Regulating access to and protecting portions of applications of virtual machines
US9274832B2 (en) * 2013-02-07 2016-03-01 Htc Corporation Method and electronic device for thread scheduling
US10242190B2 (en) * 2014-07-23 2019-03-26 Leviathan Security Group, Inc. System and method for detection of malicious code by iterative emulation of microcode
US10229268B2 (en) * 2015-03-28 2019-03-12 Leviathan, Inc. System and method for emulation-based detection of malicious code with unmet operating system or architecture dependencies

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1549012A1 (en) * 2003-12-24 2005-06-29 DataCenterTechnologies N.V. Method and system for identifying the content of files in a network
CN101350049A (zh) * 2007-07-16 2009-01-21 珠海金山软件股份有限公司 鉴定病毒文件的方法、装置及网络设备
CN101281571A (zh) * 2008-04-22 2008-10-08 白杰 防御未知病毒程序的方法

Also Published As

Publication number Publication date
WO2011113807A1 (en) 2011-09-22
RU2015136264A (ru) 2017-03-02
RU2015136264A3 (zh) 2019-02-06
US20110225655A1 (en) 2011-09-15
EP2548150A1 (en) 2013-01-23
RU2698776C2 (ru) 2019-08-29
US20160378985A1 (en) 2016-12-29
RU2012142156A (ru) 2014-04-20
RU2566329C2 (ru) 2015-10-20
US9858416B2 (en) 2018-01-02
EP2548150B1 (en) 2019-02-13
US9501644B2 (en) 2016-11-22
CN102893289A (zh) 2013-01-23

Similar Documents

Publication Publication Date Title
CN102893289B (zh) 恶意软件保护
US10657251B1 (en) Multistage system and method for analyzing obfuscated content for malware
US8627475B2 (en) Early detection of potential malware
CN103620613B (zh) 用于基于虚拟机监视器的反恶意软件安全的系统和方法
US10089465B2 (en) Systems and methods for tracking malicious behavior across multiple software entities
KR100791290B1 (ko) 디바이스 간에 악성 어플리케이션의 행위 정보를 사용하는장치 및 방법
US9886579B2 (en) Method and system for proactive detection of malicious shared libraries via a remote reputation system
US7571482B2 (en) Automated rootkit detector
US8042186B1 (en) System and method for detection of complex malware
US20140053267A1 (en) Method for identifying malicious executables
CN102656593B (zh) 对使用链接文件的恶意软件进行检测和响应
Alzahrani et al. An analysis of conti ransomware leaked source codes
US20190245870A1 (en) Mitigating communication and control attempts
US12041070B2 (en) Detecting malicious activity on an endpoint based on real-time system events
CN102984134B (zh) 安全防御系统
Gao et al. Borrowing your enemy’s arrows: the case of code reuse in android via direct inter-app code invocation
CN105844161B (zh) 安全防御方法、装置与系统
KR20090111416A (ko) 악성 사이트 검사 방법, 악성 사이트 정보 수집 방법,장치, 시스템 및 컴퓨터 프로그램이 기록된 기록매체
Ma et al. Active warden attack: On the (in) effectiveness of Android app repackage-proofing
Zhang et al. SAFTE: A Self-injection based anti-fuzzing technique
Mody et al. Standards and policies on packer use
RU2673407C1 (ru) Система и способ определения вредоносного файла
Genç et al. Case Study: Analysis and Mitigation of a Novel Sandbox-Evasion Technique
Wu et al. The Instruction Separation Framework against Man-At-The-End Attacks: Protect What is Mattered On-the-Fly
Dorner et al. If It Looks Like a Rootkit and Deceives Like a Rootkit: A Critical Examination of Kernel-Level Anti-Cheat Systems

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CP01 Change in the name or title of a patent holder

Address after: Helsinki, Finland

Patentee after: Weiss Security

Address before: Helsinki, Finland

Patentee before: F-SECURE Corp.

CP01 Change in the name or title of a patent holder