DE112012000526T5 - Malware - Erkennung - Google Patents

Malware - Erkennung Download PDF

Info

Publication number
DE112012000526T5
DE112012000526T5 DE112012000526T DE112012000526T DE112012000526T5 DE 112012000526 T5 DE112012000526 T5 DE 112012000526T5 DE 112012000526 T DE112012000526 T DE 112012000526T DE 112012000526 T DE112012000526 T DE 112012000526T DE 112012000526 T5 DE112012000526 T5 DE 112012000526T5
Authority
DE
Germany
Prior art keywords
data
malware detection
detection processing
file
selected file
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE112012000526T
Other languages
English (en)
Inventor
Jari Lehtonen
Mika Stahlberg
Pavel Turbin
Kai Nyman
Andrew Patel
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
WithSecure Oyj
Original Assignee
F Secure Oyj
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by F Secure Oyj filed Critical F Secure Oyj
Publication of DE112012000526T5 publication Critical patent/DE112012000526T5/de
Ceased legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Radar Systems Or Details Thereof (AREA)

Abstract

Nach einem ersten Aspekt der vorliegenden Erfindung ist ein Verfahren zur Verarbeitung einer Mehrzahl an Dateien bereitgestellt, um für jede der Dateien zu bestimmen, ob sie Malware umfasst. Das Verfahren umfasst das Auswählen einer Datei zur Verarbeitung und das Erfassen von ersten diese Datei betreffenden Daten. Es wird bestimmt, ob basierend auf den ersten Daten eine Malware-Erkennungsverarbeitung ausgewählt werden kann. Wenn bestimmt wird, dass basierend auf den ersten Daten Malware-Erkennungsverarbeitung ausgewählt werden kann, wird basierend auf den ersten Daten ausgewählt, welche Malware-Erkennungsverarbeitung auf die Datei angewendet werden soll. Wenn bestimmt wird, dass basierend auf den ersten Daten keine Malware-Erkennungsverarbeitung ausgewählt werden kann, werden zweite die Datei betreffende Daten ausgewählt und die auf die Datei anzuwendende Malware-Erkennungsverarbeitung wird basierend auf den ersten und zweiten erfassten Daten ausgewählt. Die ausgewählte Malware-Erkennungsverarbeitung wird auf die Datei angewendet.

Description

  • Technisches Gebiet
  • Die vorliegende Erfindung betrifft die Erkennung von Malware und insbesondere, jedoch nicht ausschließlich, die Erkennung von Malware, bei der verschiedene Verfahren selektiv verwendet werden können, um Malware bei der Verarbeitung bestimmter Dateien zu erkennen.
  • Allgemeiner Stand der Technik
  • Die Bezeichnung „Malware” ist eine Abkürzung für bösartige (engl.: malicious) Software und bezieht sich auf jede beliebige Software, die entwickelt wurde, um ein Computersystem ohne informierte Zustimmung des Besitzers zu infiltrieren oder zu beschädigen. Malware kann Viren, Würmer, Trojaner, Rootkits, Adware, Spyware und jede beliebige andere schädliche und unerwünschte Software beinhalten. Jedes beliebige Computergerät, wie ein persönlicher Computer (PC), ein Laptop, ein persönlicher Datenassistent (PDA) oder ein Mobiltelefon, kann durch Malware gefährdet sein.
  • Wenn ein Gerät von Malware infiziert ist, bemerkt der Benutzer häufig unerwünschtes Verhalten und eine Verschlechterung der Systemleistung, da die Infektion unerwünschte(n) Prozessoraktivität, Speichernutzung und Netzwerkverkehr erzeugen kann. Dies kann außerdem Probleme mit der Stabilität verursachen, die Anwendungs- oder Systemabstürze zur Folge haben können. Der Benutzer eines infizierten Geräts kann fälschlicherweise annehmen, dass die schlechte Leistung durch Software-Fehler oder Hardware-Probleme verursacht wird und ungeeignete Abhilfemaßnahmen ergreifen, wenn der tatsächliche Grund eine ihm unbekannte Malware-Infektion ist.
  • Computergeräte verwenden Antivirensoftware, um Malware zu erkennen und möglicherweise zu entfernen. Diese Antivirensoftware kann verschiedene Verfahren verwenden, um Malware zu erkennen, einschließlich Scannen von Daten auf dem Computer. Das Scannen nach Malware beinhaltet allgemein das Untersuchen von Dateien auf einen Fingerabdruck oder eine „Signatur” eines Virus, der/die charakteristisch für ein individuelles Malware-Programm ist.
  • Die Geschwindigkeit, mit der neue Malware erzeugt und verbreitet wird, nimmt zu. Deshalb ist es wünschenswert, dass Software zum Scannen von Malware eine steigende Anzahl verschiedener Typen von Malware identifizieren kann und dabei keine übermäßigen Ansprüche an die CPU-Ressourcen stellt. Die zunehmende Anzahl an verschiedenen Malware-Programmen erhöht außerdem die Größe von Malware-Datenbanken. Zum Beispiel gab es einer Schätzung zufolge Ende des Jahres 2010 ungefähr 40 Millionen einzigartige Malware-Programme. Wenn jede Malware-Signatur eine Größe von nur 50 Bytes aufweist, würde der gesamte für die Speicherung der sich daraus ergebenden Malware-Signaturdatenbank erforderliche Speicherplatz 200 MB betragen. Angesichts der Tatsache, dass das Wachstum der Anzahl an Malware-Programmen derzeit in etwa exponentiell ist, würde man erwarten, dass sich die Größe der Datenbank jedes Jahr verdoppelt.
  • Es wurde vorgeschlagen, dass sogenannte „weiße Listen” von Dateien, von denen bekannt ist, dass sie keine Malware enthalten, erzeugt und verwendet werden, um die Malware-Scanprozess zu optimieren. Während die Verwendung von „weißen Listen” in einigen Fällen die Leistung verbessert, erfordert ihre Verwendung die Speicherung von zusätzlichen Daten, wodurch die oben beschriebenen Datenspeicherprobleme verschlimmert werden.
  • Während verschiedene Techniken vorgeschlagen wurden, um die Effizienz des Malware-Scans zu verbessern, besteht in der Tat ein Bedarf an einem Verfahren, das effizient verwendet werden kann, um zu bestimmen, welche Technik am effizientesten eingesetzt werden kann, um eine bestimmte Datei zu scannen.
  • Kurzdarstellung
  • Ein Ziel der Erfindung besteht darin, weitere Verbesserungen für das Scannen nach Malware bereitzustellen.
  • Nach einem ersten Aspekt der vorliegenden Erfindung wird ein computerimplementiertes Verfahren zur Verarbeitung einer Mehrzahl an Dateien bereitgestellt, um für jede der Dateien zu bestimmen, ob sie Malware enthält. Das Verfahren wird in einem Computer implementiert, der einen Speicher mit einer Mehrzahl an Dateien und einen Prozessor umfasst. Das Verfahren umfasst das Auswählen einer Datei zur Verarbeitung und das Erfassen von ersten die ausgewählte Datei betreffenden Daten. Es wird bestimmt, ob basierend auf den ersten Daten Malware-Erkennungsverarbeitung ausgewählt werden kann. Welche Malware-Erkennungsverarbeitung auf die ausgewählte Datei angewendet werden soll, wird basierend auf den ersten Daten ausgewählt, wenn bestimmt wird, dass Malware-Erkennungsverarbeitung basierend auf den ersten Daten ausgewählt werden kann. Wenn bestimmt wird, dass basierend auf den ersten Daten keine Malware-Erkennungsverarbeitung ausgewählt werden kann, werden zweite die ausgewählte Datei betreffende Daten ausgewählt und die auf die ausgewählte Datei anzuwendende Malware-Erkennungsverarbeitung wird basierend auf den ersten und zweiten erfassten Daten ausgewählt. Die ausgewählte Malware-Erkennungsverarbeitung wird auf die ausgewählte Datei angewendet.
  • Wenn erste Daten ausreichend sind, um Malware-Erkennungsverarbeitung für eine bestimmte Datei auszuwählen, wird die Malware-Erkennungsverarbeitung demnach basierend auf den ersten Daten ausgewählt. Wenn die ersten Daten jedoch nicht ausreichend sind, um effektiv eine Malware-Erkennungsverarbeitung auszuwählen, werden zweite Daten erfasst und die Malware-Erkennungsverarbeitung wird basierend auf der Kombination der ersten und zweiten Daten ausgewählt.
  • Jede der ersten und zweiten Daten kann eine oder mehrere Datenkomponenten umfassen. Es kann bestimmt werden, ob die Verarbeitung basierend auf einer Mehrzahl an ersten Datenkomponenten ausgewählt werden kann, und wenn dies nicht der Fall ist, können eine oder mehrere zweite Datenkomponente(n) erfasst werden. Es versteht sich, dass, wenn die zweiten Daten nicht ausreichend sind, um Malware-Erkennungsverarbeitung auszuwählen, dritte die ausgewählte Datei betreffende Daten erfasst werden können, um die Auswahl basierend auf der Kombination der ersten, zweiten und dritten Daten zu ermöglichen usw.
  • Das Erfassen der ersten Daten kann eine erste Zeit in Anspruch nehmen und das Erfassen der zweiten Daten kann eine zweite, längere Zeit in Anspruch nehmen. Auf diese Weise wird bestimmt, ob Daten, die verhältnismäßig schnell erfasst werden können, ausreichend sind, um eine Auswahl der Malware-Erkennungsverarbeitung zu ermöglichen, während Daten, die längere Zeit brauchen, um erfasst zu werden, nur erfasst werden, wenn dies erforderlich ist. Zum Beispiel können die ersten Daten erfasst werden, ohne dass die ausgewählte Datei gelesen wird. Diese ersten Daten können Metadaten umfassen, die zu der ausgewählten Datei gehören, oder können alternativ auf Parametern des Computer- oder Malware-Scanbetriebs basieren. Die zweiten Daten können aus der ausgewählten Datei gelesene Daten umfassen, zum Beispiel Daten, die aus einem Dateikopf der zweiten Datei gelesen wurden.
  • Bevor die ersten Daten erfasst werden, kann das Verfahren ferner das Zugreifen auf gespeicherte Daten und das Bestimmen, ob die gespeicherten Daten Daten umfassen, die auf die ausgewählte Datei anzuwendende Malware-Erkennungsverarbeitung anzeigen, umfassen. Die gespeicherten Daten können in Form eines Cache vorliegen und die ausgewählte Datei identifizierende Daten können als Grundlage für einen Suchvorgang im Cache verwendet werden. Wenn bestimmt wird, dass die gespeicherten Daten Daten umfassen, die auf die ausgewählte Datei anzuwendende Malware-Erkennungsverarbeitung anzeigen, kann die angezeigte Malware-Erkennungsverarbeitung auf die ausgewählte Datei angewendet werden. Die ersten Daten können erfasst werden wenn, jedoch nur wenn, bestimmt wird, dass die gespeicherten Daten keine Daten enthalten, die auf die ausgewählte Datei anzuwendende Malware-Erkennungsverarbeitung anzeigen.
  • Das Auswählen von auf die ausgewählte Datei anzuwendender Malware-Erkennungsverarbeitung kann das Auswählen von einem oder mehreren aus einer vorgegebenen Mehrzahl an Malware-Erkennungsverarbeitungsverfahren umfassen. Zum Beispiel kann lokal eine Mehrzahl an Scan-Engines bereitgestellt sein und verschiedene entfernte Malware-Erkennungsverarbeitungsverfahren können ebenfalls bereitgestellt werden. Das Auswählen der Malware-Erkennungsverarbeitung kann dann durch Auswählen einer oder mehrerer der lokal bereitgestellten Scan-Engines und/oder Auswählen eines oder mehrerer der entfernten Malware-Erkennungsverarbeitungsverfahren stattfinden. Das Auswählen von auf die ausgewählte Datei anzuwendender Malware-Erkennungsverarbeitung kann zusätzlich oder alternativ das Auswählen von zu der jeweiligen Malware-Erkennungsverarbeitung zugehörigen Parametern umfassen.
  • Das Auswählen von auf die ausgewählte Datei anzuwendender Malware-Erkennungsverarbeitung kann das Auswählen einer Mehrzahl an Malware-Erkennungsprozessen umfassen, die nacheinander auf die ausgewählte Datei angewendet werden. Zum Beispiel kann die Auswahl einen ersten auf die ausgewählte Datei anzuwendenden Malware-Erkennungsprozess und einen zweiten auf die ausgewählte Datei anzuwendenden Malware-Erkennungsprozesses umfassen, wenn der erste Malware-Erkennungsprozess eine vorgegebene Ausgabe erzeugt. Die vorgegebene Ausgabe kann auf dem/der vom ersten Malware-Erkennungsprozess bestimmten Vorhandensein/Abwesenheit von Malware basieren.
  • Das Auswählen von auf die ausgewählte Datei anzuwendender Malware-Erkennungsverarbeitung kann das Auswählen einer Mehrzahl an Malware-Erkennungsprozessen umfassen, die gleichzeitig auf die Datei angewendet werden sollen. Zum Beispiel kann die Auswahl einen ersten Malware-Erkennungsprozess und einen zweiten Malware-Erkennungsprozess umfassen und die Ausgabe der Malware-Erkennungsverarbeitung kann auf einem vom ersten und zweiten Malware-Erkennungsprozess basieren, der zuerst eine Ausgabe bereitstellt. Das bedeutet, dass zwei Malware-Erkennungsprozesse parallel ausgeführt werden können und der Prozess, der zuerst abgeschlossen wird, die Ausgabe bereitstellen kann.
  • Das Auswählen von Malware-Erkennungsverarbeitung kann das Bestimmen, ob Malware-Erkennungsverarbeitung durchgeführt werden soll, umfassen.
  • Die Bezeichnung „Speicher”, wie sie hierin verwendet wird, soll sowohl flüchtige (z. B. RAM) als auch nicht flüchtige Speicher (z. B. eine Platte) einschließen.
  • Aspekte dieser Erfindung können in jeder beliebigen geeigneten Form implementiert sein. Zum Beispiel können Computerprogramme bereitgestellt sein, um die hierin beschriebenen Verfahren auszuführen. Derartige Computerprogramme können auf geeigneten, computerlesbaren Medien ausgeführt werden, wobei diese Bezeichnung geeignete, nicht flüchtige, greifbare Speichergeräte (z. B. Platten) beinhaltet. Aspekte dieser Erfindung können außerdem durch geeignet programmierte Computer und andere Vorrichtungen implementiert sein.
  • Kurzbeschreibung der Zeichnungen
  • Nachstehend sind Ausführungsformen der vorliegenden Erfindung, ausschließlich als Beispiel, unter Bezugnahme auf die beigefügten Zeichnungen beschrieben. Es zeigen:
  • 1 eine schematische Darstellung eines Netzwerks an Computern, das für die Ausführung der Erfindung geeignet ist;
  • 1A eine schematische Darstellung eines Servers aus 1;
  • 2 ein Ablaufdiagramm, das Prozesse zeigt, die in einer Ausführungsform der Erfindung ausgeführt werden;
  • 3 eine schematische Darstellung, die eine Reihenfolge zeigt, in der Daten in der Verarbeitung aus 2 erfasst und verarbeitet werden; und
  • 4 eine schematische Darstellung verschiedener Malware-Erkennungsverarbeitungen.
  • Ausführliche Beschreibung
  • Mit Bezugnahme auf 1 wird eine Mehrzahl an Computern 1, 2, 3 jeweils mit Malware-Erkennungssoftware bereitgestellt, um auf dem Computer gespeicherte Dateien zu erkennen, die von Malware betroffen sind. Die Computer 1, 2, 3 sind jeweils angeordnet, um mit dem Internet 4 zu kommunizieren und können über das Internet 4 mit anderen der Computer 1, 2, 3 sowie weiteren Computern kommunizieren. Die Kommunikation zwischen Computern unter Verwendung des Internets ermöglicht es, dass Malware zwischen Computern weitergegeben wird, und dadurch werden auf einem Computer gespeicherte Daten allgemein periodisch unter Verwendung von Malware-Erkennungssoftware verarbeitet, um entweder neue Dateien zu identifizieren, die von Malware betroffen sind, oder Dateien zu identifizieren, die seit dem vorherigen Scan der auf dem Computer gespeicherten Daten unter Verwendung der Malware-Erkennungssoftware infiziert wurden. Ein Server 5 ist angeordnet, um mit jedem der Computer 1, 2, 3 zu kommunizieren und stellt Backend-Malware-Erkennungssoftware bereit.
  • Die Backend-Malware-Erkennungssoftware kann verschiedene Funktionalitäten bereitstellen. Zum Beispiel kann die Backend-Malware-Erkennungssoftware Zugriff auf eine zentralisierte Datenbank an Malware-Signaturen bereitstellen. Auf ähnliche Weise kann die Backend-Malware-Erkennungssoftware Zugriff auf die sogenannte „weiße Liste” an Daten bereitstellen, die Dateien identifiziert, von denen bekannt ist, dass sie keine Malware enthalten, um die Verarbeitung derartiger Dateien effizienter zu gestalten. Malware-Signaturen und/oder die weiße Liste können periodisch an die auf jedem der Computer 1, 2, 3 ausgeführte Malware-Erkennungssoftware kommuniziert werden und auf diese Weise kann die auf jedem der Computer 1, 2, 3 ausgeführte Malware-Erkennungssoftware periodisch aktualisiert werden, damit neu identifizierte Malware erkannt werden kann oder Dateien, von denen bekannt ist, dass sie keine Malware enthalten, effizienter verarbeitet werden können.
  • In einigen Ausführungsformen kann die Backend-Malware-Erkennungssoftware angeordnet sein, um eine Anfrage von einer auf dem Computer 1, 2, 3 ausgeführten Malware-Erkennungssoftware zu empfangen, eine bestimmte Malware-Erkennungsverarbeitung durchzuführen. Zum Beispiel kann die auf den Computern 1, 2, 3 ausgeführte Malware-Erkennungssoftware konfiguriert sein, um bestimmte Dateien zur Malware-Erkennungsverarbeitung an die Backend-Malware-Erkennungssoftware zu übertragen, statt derartige Dateien lokal auf einem der Computer 1, 2, 3 zu verarbeiten. Auf ähnliche Weise kann die auf den Computern 1, 2, 3 ausgeführte Malware-Erkennungssoftware konfiguriert sein, um Daten, die bestimmte auf den Computern 1, 2, 3 gespeicherte Dateien identifizieren, zu übertragen, und die Backend-Malware-Erkennungssoftware kann konfiguriert sein, die übertragenen Daten zu empfangen und die übertragenen Daten im Hinblick auf eine gespeicherte weiße Liste zu verarbeiten, um zu bestimmen, ob bekannt ist, dass die identifizierte Datei keine Malware enthält.
  • Die Backend-Malware-Erkennungssoftware kann ferner konfiguriert sein, um eine Anfrage für einen bestimmten Code (z. B. ein Script) zu empfangen, der dann auf einen der Computer 1, 2, 3 heruntergeladen wird, damit auf einem der Computer 1, 2, 3 gespeicherte Dateien unter Verwendung des bestimmten Codes auf Malware gescannt werden können.
  • 1A zeigt den Server 5 des Systems aus 1 genauer. Es versteht sich, dass jeder der Computer 1, 2, 3 die allgemeine, in 1A dargestellte Architektur aufweist. Es ist ersichtlich, dass der Server 5 eine CPU 5a umfasst, die konfiguriert ist, um auf einem flüchtigen Speicher 5b, bei dem es sich um einen Arbeitsspeicher handelt, gespeicherte Anweisungen zu lesen und auszuführen. Der flüchtige Speicher 5b speichert Anweisungen zur Ausführung durch die CPU 5a und Daten, die von diesen Anweisungen verwendet werden. Zum Beispiel kann die Backend-Malware-Erkennungssoftware während des Betriebs auf dem flüchtigen Speicher 5b gespeichert werden.
  • Der Server 5 umfasst ferner einen nicht flüchtigen Speicher in Form eines Festplattenlaufwerks 5c. Malware-Signaturen und die sogenannte „weiße Liste” kann/können auf dem Festplattenlaufwerk 5c gespeichert werden. Der Server 5 umfasst ferner eine I/O-Schnittstelle 5d, die mit Peripheriegeräten verbunden sind, die in Verbindung mit dem Server 5 verwendet werden. Der Server 5 weist eine Anzeige 5e auf, die konfiguriert ist, um eine Ausgabe vom Server anzuzeigen. Außerdem sind Eingabegeräte sind mit der I/O-Schnittstelle 5d verbunden. Derartige Eingabegeräte beinhalten eine Tastatur 5f und eine Maus 5g, die eine Interaktion des Benutzers mit dem Server ermöglichen. Eine Netzwerkschnittstelle 5h ermöglicht eine Verbindung des Servers 5 mit einem geeigneten Computernetzwerk, um Daten von und an andere(n) Rechnergeräte(n), wie den/die Computer(n) 1, 2, 3 aus 1, zu empfangen und zu übertragen. Die CPU 5a, der flüchtige Speicher 5b, das Festplattenlaufwerk 5c, die I/O-Schnittstelle 5d und die Netzwerkschnittstelle 5h sind über einen Bus 5i miteinander verbunden.
  • 2 ist ein Ablaufdiagramm, das die Verarbeitung zeigt, die auf jedem der Computer 1, 2, 3 durchgeführt wird, um eine Datei zu verarbeiten, um zu bestimmen, ob die verarbeitete Datei Malware umfasst. In der nachstehenden Beschreibung wird auf den Computer 1 verwiesen, wenngleich ersichtlich ist, dass die von den Computern 2, 3 ausgeführte Verarbeitung analog ist.
  • Im Schritt S1 wird eine Datei zur Verarbeitung ausgewählt. In Schritt S2 wird eine Überprüfung durchgeführt, um zu bestimmen, ob ein vom Computer 1 gespeicherter Cache zu dieser Datei zugehörige Daten umfasst, die anzeigen, wie die ausgewählte Datei verarbeitet werden sollte, um zu bestimmen, ob die ausgewählte Datei Malware umfasst. Wenn bestimmt wird, dass im Cash zu der ausgewählten Datei zugehörige Daten gespeichert sind, schreitet die Verarbeitung mit Schritt S3 fort, in dem die ausgewählte Datei basierend auf aus dem Cache erfassten Daten verarbeitet wird. Zum Beispiel kann die Überprüfung in Schritt S2 im Hinblick auf einen Pfad der ausgewählten Datei ausgeführt werden, der von einem auf dem Computer 1 ausgeführten Dateisystem spezifiziert wird. Falls der Cache zum Pfad der ausgewählten Datei zugehörige Daten speichert, kann eine weitere Überprüfung hinsichtlich eines auf dem Computer 1 gespeicherten Ereignis-Logs durchgeführt werden, um zu bestimmen, ob jegliche Veränderungen an der unter dem vorgegebenen Pfad gespeicherten Datei vorgenommen wurden, seit die Cache-Daten gespeichert wurden. Wenn keine derartigen Veränderungen vorgenommen wurden, werden die gecachten Daten verwendet, um zu bestimmen, wie die ausgewählte Datei verarbeitet werden sollte. In alternativen Ausführungsformen kann die Überprüfung aus Schritt S2 auf Sektoren einer von der ausgewählten Datei belegten Platte basieren, wobei der Cache Daten über bestimmte Sektoren der Platte speichert.
  • Wenn in Schritt S2 bestimmt wird, dass der Cache keine zur ausgewählten Datei zugehörigen Daten speichert, geht die Verarbeitung von Schritt S2 zu Schritt S4 über. An dieser Stelle werden Daten, die sich auf die ausgewählt Datei beziehen, erfasst und in Schritt S5 wird eine Überprüfung durchgeführt, um zu bestimmen, ob die in Schritt S4 erfassten Daten ausreichend sind, um entscheiden zu können, wie die ausgewählte Datei zur Malware-Erkennung verarbeitet werden sollte. Wenn die Überprüfung in Schritt S5 anzeigt, dass die erfassten Daten ausreichend sind, um eine Entscheidung zu treffen, fährt die Verarbeitung mit Schritt S6 fort, in dem die auszuführende Verarbeitung basierend auf den erfassten Daten ausgewählt wird, und anschließend wird die ausgewählte Verarbeitung in Schritt S7 auf die ausgewählte Datei angewendet.
  • Wenn in Schritt S5 bestimmt wird, dass die zur Datei zugehörigen Daten unzureichend sind, um zu entscheiden, welche Verarbeitung angewendet werden soll, schreitet die Verarbeitung mit Schritt S8 fort, in dem weitere Daten erfasst werden, bevor die Verarbeitung zu Schritt S5 zurückkehrt. Auf diese Weise stellen die Schritte S4, S5 und S8 einen Kreis dar, in dem verschiedene die Datei betreffende Daten nacheinander erfasst werden, und nachdem jeder Datenwert erfasst wurde, wird überprüft, ob ausreichende Daten verfügbar sind, um zu bestimmen, wie die ausgewählte Datei zwecks Malware-Erkennung verarbeitet werden soll.
  • Die in den Schritten S4 und S8 erfassten Daten können verschiedene Formen annehmen. Bei der sukzessiven Datenerfassung, werden Daten, deren Erfassung weniger rechenintensiv ist, erfasst, bevor Daten erfasst werden, deren Erfassung verhältnismäßig rechenintensiv ist. Daten, die sich auf die ausgewählte Datei beziehen, können entweder durch Lesen von mit der ausgewählten Datei verknüpften Metadaten erfasst werden oder durch Lesen von Inhalten der ausgewählten Datei. Daten, die durch Lesen von mit der ausgewählten Datei verknüpften Metadaten erfasst werden, werden vor Daten, die durch Lesen der Inhalte der ausgewählten Datei erfasst werden, erfasst, da der Zugriff auf Metadaten üblicherweise aus rechnerischer Sicht verhältnismäßig effizient ist.
  • Aus mit der ausgewählten Datei verknüpften Metadaten erfasste Daten können Daten umfassen, die den Pfad anzeigen, unter dem die ausgewählte Datei gespeichert ist, oder einen oder mehrere Zeitstempel, die zu der ausgewählten Datei gehören und zum Beispiel anzeigen, wann die ausgewählte Datei zuletzt erzeugt oder modifiziert wurde. Aus mit der ausgewählten Datei verknüpften Metadaten erfasste Daten können außerdem Daten umfassen, die eine Größe der ausgewählten Datei, ihren Dateinamen oder ihre Erweiterung anzeigen. Zusätzlich können die mit der ausgewählten Datei verknüpften Metadaten Genehmigungsdaten umfassen oder Daten, die eine Quelle der Datei angeben, entweder in Form einer Adresse (z. B. URL) von der die Datei heruntergeladen wurde, oder in Form eines Prozesses, der die Datei erstellt hat.
  • Durch Lesen der Inhalte der ausgewählten Datei erfasste Daten können häufig effektiv aus einem Kopf der Datei erfasst werden und Daten wie Dateitypdaten umfassen. Zusätzlich können Daten aus der Datei gelesen werden, die eine oder mehrere mit der Datei verknüpfte Signatur(en) anzeigen, die helfen können, zu bestimmen, ob der Ursprung der ausgewählten Datei „vertrauenswürdig” ist, sodass ein Malware-Scan nicht notwendig ist.
  • Die Entscheidung in Schritt S5, ob ausreichende Daten erfasst wurden, um die Malware-Erkennungsverarbeitung auszuwählen (und die tatsächliche Auswahl der Malware-Erkennungsverarbeitung in Schritt S6), basiert zusätzlich auf Daten, die sich auf die Art des ausgeführten Malware-Scans und Eigenschaften des Computers 1 beziehen.
  • Genauer gesagt kann die Verarbeitung der Schritte S5 und S6 insofern auf der Art des Malware-Erkennungs-Scans basieren, dass sie sich darauf beziehen kann, ob der Scan auf den Zugriff auf einen Filter hin oder nach Bedarf durchgeführt wird. Daten, die sich auf einen Scan beziehen, der auf den Zugriff auf eine Datei hin durchgeführt wird, können ferner darauf basieren, ob der Scan als Reaktion auf das Starten einer Anwendung oder einen Lese- oder Schreibvorgang einer Platte durchgeführt wurde. Daten, die sich auf den Scan beziehen, können außerdem darauf basieren, ob der Scan auf eine einzige Datei oder einen Satz an Dateien angewendet wird, oder auf einem Sicherheitsniveau, das in der Malware-Erkennungssoftware eingestellt ist.
  • Die Daten, die in den Schritten S5 und S6 verwendet werden und sich auf Eigenschaften des Computers 1 beziehen, können auf mit dem Computer 1 verknüpften Netzwerkparametern basieren, einschließlich der Qualität der Leistungsparameter und der mit der Netzwerknutzung zusammenhängenden Bandbreitennutzung. Zusätzlich können Parameter basierend auf aktueller CPU- und/oder Speichernutzung oder anderen Indikatoren der allgemeinen Systembelastung verwendet werden. Mit der Identität des aktuell angemeldeten Benutzers zusammenhängende Eigenschaften können ebenfalls verwendet werden.
  • 3 ist eine schematische Darstellung, die eine Reihenfolge zeigt, in der verschiedene Datenwerte in den Schritten S4 und S8 erfasst werden. Zunächst werden in Schritt S11 Daten erfasst, die sich auf den Computer 1 und die Art des Scans beziehen. Wenn die in Schritt S11 erfassten Daten ausreichend sind, um die Malware-Erkennungsverarbeitung auszuwählen, werden in Schritt S12 die Metadaten der ausgewählten Datei gelesen. Wenn die in Schritt S11 und S12 erfassten Daten zusammen ausreichend sind, um die Malware-Erkennungsverarbeitung auszuwählen, werden in Schritt S13 mit dem Dateityp der ausgewählten Datei verknüpfte Daten erfasst. Anschließend wird in Schritt S14 der Dateikopf gelesen, in Schritt S15 wird ein Hash der vollständigen Datei erfasst, während in Schritt S16 Prüfdaten der digitalen Signatur erfasst werden, wobei in jedem Schritt Daten erfasst werden, wenn, jedoch nur wenn, die vorab erfassten Daten nicht ausreichend sind, um die Auswahl von Malware-Erkennungsverarbeitung zu ermöglichen.
  • Die rechnerisch am einfachsten zu erfassenden Daten aus 3 sind diejenigen, die sich auf den Computer 1 und die Art des durchgeführten Scans beziehen, die in Schritt S11 erfasst werden, während die Daten, deren Erfassung am rechenintensivsten ist, diejenigen sind, die in Schritt S16 erfasst werden. Auf ähnliche Weise ist die rechnerische Komplexität der Datenerfassung in jedem Schritt aus 3 größer als die Komplexität der Datenerfassung in jedem vorherigen Schritt. Derartige Rechenkomplexität kann sich als eine Anzahl von CPU-Zyklen, die die Daten erfassen und/oder verarbeiten, äußern oder auf einer Quantität an Daten basieren, die von einer Platte gelesen werden müssen. Wie oben beschrieben wurde, werden Daten, die mit einem bestimmten der Schritte S12 bis S16 verknüpft sind, nur dann erfasst, wenn mit den vorangehenden Schritten verknüpfte Daten nicht ausreichend sind, um eine Malware-Erkennungsverarbeitung auszuwählen. Demnach werden Daten, deren Erfassung rechenintensiv ist, nur dann erfasst, wenn sie erforderlich sind, um eine Malware-Erkennungsverarbeitung auszuwählen.
  • 4 ist eine schematische Darstellung, die zeigt, wie die erfassten Daten 10 in Schritt S6 aus 2 durch eine Auswahllogik 11 verarbeitet werden, um eine Malware-Erkennungsverarbeitung auszuwählen. Insbesondere zeigt 4 mögliche, von der Auswahllogik 11 getroffene Verarbeitungsauswahlen.
  • Genauer gesagt ist ersichtlich, dass die Auswahllogik 11 basierend auf den erfassten Daten 10 bestimmen kann, dass kein Scan erforderlich ist, wie durch einen Block 12 dargestellt. Alternativ kann die Auswahllogik 11 bestimmen, dass die ausgewählte Datei erst unter Verwendung eines bestimmten Scan-Engines lokal gescannt werden sollte, wie durch Block 13 dargestellt, und dass anschließend mit der Datei verknüpfte Daten zur Verarbeitung durch die Backend-Malware-Erkennungssoftware an den Server 5 übertragen werden sollten, wie durch Block 14 dargestellt. Die wechselseitige Beziehung zwischen dem Scan aus Block 13 und der Übertragung an den Server aus Block 14, die durch einen Pfeil 15 dargestellt ist, kann abhängig von der Art des lokalen Scans und der Art der Verarbeitung durch den Server variieren. Zum Beispiel kann es vorkommen, dass, wenn der Scan aus Block 13 anzeigt, dass keine Malware gefunden wird, dies ausreichend ist, um eine weitere Verarbeitung zu verhindern. Alternativ kann es vorkommen, dass die Datei immer über das Netzwerk übertragen wird, wie durch Block 14 dargestellt, damit eine weitere Malware-Erkennungsverarbeitung ausgeführt werden kann.
  • Die Auswahllogik 11 kann bestimmen, dass eine bestimmte Datei von einem ersten lokalen Scan-Engine gescannt werden sollte, wie durch einen Block 16 dargestellt, dann durch einen zweiten lokalen Scan-Engine gescannt werden sollte, wie durch einen Block 17 dargestellt, bevor sie zur Verarbeitung durch einen Server über ein Netzwerk übertragen wird, wie durch einen Block 18 dargestellt. Der erste und zweite lokale Scan-Engine können verschiedene Formen annehmen, jedoch verarbeiten der erste und der zweite Scan-Engine die Datei auf verschiedene Arten, um zu bestimmen, ob Malware vorhanden ist. Es wird erneut darauf hingewiesen, dass die Beziehung zwischen den Scans mit dem ersten und zweiten lokalen Engine (dargestellt durch die Blöcke 16, 17) und die Übertragung zum Server (dargestellt durch den Block 18) durch die Pfeile 19 und 20 dargestellt sind und so ausgeführt sein können, dass die nachfolgende Verarbeitung nur dann ausgeführt wird, wenn die vorangehende Verarbeitung ein bestimmtes Ergebnis bereitstellt oder derart, dass die nachfolgende Verarbeitung unabhängig vom Ergebnis der vorangehenden Verarbeitung durchgeführt wird.
  • Die Auswahllogik 11 kann bestimmen, dass eine bestimmte Datei parallel auf zwei verschiedene Arten verarbeitet werden sollte, zum Beispiel kann die Auswahllogik bestimmen, dass eine bestimmte Datei von einem lokalen Scan-Engine gescannt werden soll, wie durch einen Block 21 dargestellt, und parallel zur entfernten Verarbeitung auf einem Server über ein Netzwerk übertragen werden soll, wie durch einen Block 22 dargestellt. In einem derartigen Fall kann die Auswahllogik 11 entweder bestimmen, dass eine Entscheidung, ob eine Datei Malware enthält, auf dem Ergebnis der lokalen und entfernten Verarbeitung basieren sollte, oder alternativ bestimmen, dass, wenn eine von der lokalen und entfernten Verarbeitung anzeigt, dass die Datei keine Malware enthält, die andere lokale oder entfernte Verarbeitung beendet werden kann.
  • Auf ähnliche Weise kann die Auswahllogik bestimmen, dass eine bestimmte Datei parallel von ersten und zweiten lokalen Scan-Engines gescannt werden soll, wie durch die Blöcke 23, 24 dargestellt, und außerdem zum Scannen auf einem Server über ein Netzwerk übertragen werden sollte, wie durch einen Block 25 dargestellt. Die Auswahllogik kann entweder bestimmen, dass all durch die Blöcke 23, 24, 25 dargestellten Verarbeitungen abgeschlossen werden müssen, oder bestimmen, dass eine Anzeige von der Verarbeitung eines der Blöcke, dass keine Malware vorhanden ist, ausreichend ist, um zu bestimmen, dass die Datei keine Malware enthält.
  • In einigen Fällen kann die Auswahllogik 11 bestimmen, dass die einzige Verarbeitung, die ausgeführt werden soll, eine Anfrage über das Netzwerk ist, die auf die jeweilige Datei betreffenden Daten basiert, wie durch einen Block 26 dargestellt.
  • In einigen Fällen kann die Auswahllogik 11 bestimmen, dass zuerst basierend auf die jeweilige Datei betreffenden Daten eine Anfrage über das Netzwerk durchgeführt werden sollte, wie durch den Block 27 dargestellt, und dass anschließend ein lokaler Scan mit einem bestimmten Scan-Engine durchgeführt werden sollte, wie durch einen Block 28 dargestellt.
  • In einigen Fällen kann die Auswahllogik 11 bestimmen, dass die Datei zum Scannen über das Netzwerk auf einen entfernten Server hochgeladen werden sollte, wie durch einen Block 29 dargestellt.
  • Es versteht sich, dass die in 4 dargestellte Verarbeitung beispielhaft ist.
  • Wie durch die Ellipse 30 dargestellt, kann auch eine andere Verarbeitung von der Auswahllogik 11 ausgewählt werden. Wenngleich mit Bezugnahme auf 4 verschiedene Verarbeitungen als nacheinander oder parallel ausgeführt beschrieben wurden, versteht es sich, dass verschiedene Teile der beschriebenen Verarbeitung in jeder beliebigen geeigneten Art kombiniert werden können.
  • Jeder der oben beschriebenen lokalen Scan-Engines kann jede beliebige geeignete Form aufweisen. Zum Beispiel kann ein lokaler Scan-Engine auf Virusmuster-Erkennungsverfahren basieren, ein anderer kann eine weiße Liste an bekannten sauberen Dateien verwenden und ein anderer kann nach Virussignaturen suchen. Zusätzlich zur Auswahl eines lokalen Scan-Engines, der für eine bestimmte Datei verwendet wird, kann die Auswahllogik 11 außerdem Einstellungen bestimmen, die der lokale Scan-Engine während des Scans verwenden soll.
  • Wenn in der Beschreibung von 4 auf das Durchführen einer Anfrage über ein Netzwerk verwiesen wird, kann eine derartige Anfrage verschiedene unterschiedliche Formen annehmen. Zum Beispiel kann ein aus einer bestimmten Datei erzeugtes Hash durchsucht werden oder ein Vergleich einer Signatur von der bestimmten Datei kann ausgeführt werden. Alternativ kann die über das Netzwerk ausgeführte Anfrage eine Anfrage für ein Script sein, das während des Malware-Scans angewendet werden soll.
  • Nachstehend sind Beispiele der Verarbeitung, die von der Auswahllogik 11 für verschiedene Dateien ausgewählt werden kann, beschrieben.
  • Wenn die Auswahllogik auf eine MS Word-Datei trifft, die von einem Prozess „WinWord.exe” erstellt wurde, kann bestimmt werden, dass kein Scan erforderlich ist. Auf ähnliche Weise erfordert eine Datei des Typs MS Word, die von FireFox.exe erstellt, aber von der URL „microsoft.com” heruntergeladen wurde, unter Umständen keinen Scan. Dateien, die ausführbar sind, jedoch eine authentische Signatur mit einem Zertifikat von einer vertrauenswürdigen Quelle aufweisen, müssen unter Umständen ebenfalls nicht gescannt werden.
  • Wenn eine Datei klein ist, zum Beispiel eine ausführbare Datei, die in einem Benutzerverzeichnis installiert ist, kann die Scan-Logik bestimmen, dass sie lokal mit einem ersten Scan-Engine gescannt werden sollte und dass parallel eine auf der Datei basierende Anfrage über das Netzwerk ausgeführt werden sollte. Falls weder der lokale Scan noch die Netzwerkanfrage Malware erkennt, kann ein weiterer Scan mit einem zweiten lokalen Engine durchgeführt werden.
  • Wenn es sich bei einer Datei um eine große Archivdatei handelt, die im Verzeichnis „c:/windows” gespeichert ist, kann als erster Schritt basierend auf von der Datei erfassten Daten eine Anfrage über das Netzwerk durchgeführt werden, da es wahrscheinlich ist, dass die Datei sauber und in einer auf dem Server gespeicherten weißen Liste enthalten ist. Falls durch die Netzwerkanfrage nicht bestätigt wird, dass die Datei sauber ist, kann die Datei nachfolgend mit einem oder mehreren lokalen Scan-Engines gescannt werden.
  • Wenn ein Scan einer auf CD-ROM gespeicherten Datei durchgeführt wird, kann die Auswahllogik entscheiden, dass in einem ersten Schritt eine Netzwerkanfrage durchgeführt werden sollte, um zu vermeiden, dass die gesamte Datei von der CD-ROM gelesen werden muss und um somit langsame Datei-I/O-Handlungen zu vermeiden.
  • Wenn eine Installationsdatei auf einem Mobilgerät gespeichert ist und auf eine Platte geschrieben wird und die Netzwerkbandbreite beschränkt ist, kann die Datei zunächst lokal gescannt werden und eine Netzwerkanfrage kann nur dann ausgeführt werden, wenn das Programm gestartet wird.
  • Wenn ein Versuch gestartet wird, auf die Datei zuzugreifen, die Netzwerkverbindung jedoch nicht verfügbar ist, können alle lokalen Engines von der Auswahllogik 11 ausgewählt werden und ein Benutzer kann gewarnt werden, dass ein Netzwerk-Scan aufgrund mangelnder Netzwerkkonnektivität nicht möglich war.
  • Wenn ein Scan ausgeführt werden soll, die CPU-Belastung jedoch hoch ist, kann die Auswahllogik eine Netzwerkanfrage auswählen, die einem lokalen Scan vorzuziehen ist, um eine zusätzliche Belastung der CPU zu vermeiden. In einem derartigen Fall kann der Scan durch lokale Engines mit niedriger Priorität durchgeführt werden.
  • In einigen Fällen kann die Auswahllogik darüber informiert sein, dass nur ein bestimmter oder eine bestimmte Untermenge der lokal bereitgestellten Scan-Engines zum Scannen eines bestimmten Dateityps geeignet ist. In einem derartigen Fall wählt die Auswahllogik nur den einen oder die mehreren geeigneten Engine(s) aus, um die ausgewählte Datei auf Malware zu scannen. Wenn eine Bilddatei gescannt werden soll, kann die Auswahllogik zusätzlich kein Hash der Bilddatei über das Netzwerk übertragen, da viele Bilddateien für einen einzelnen Benutzer einzigartig sind und es demnach unwahrscheinlich ist, dass sie der Backend-Malware-Erkennungssoftware bekannt sind.
  • Es versteht sich, dass abhängig von den jeweiligen mit einer zu scannenden Datei verknüpften Parametern, der Netzwerkverbindung und der CPU-Belastung verschiedene andere Auswahlmöglichkeiten getroffen werden können.
  • Mit Bezugnahme auf den Schritt S2 aus 2 wurde oben beschrieben, dass eine Überprüfung durchgeführt wird, um zu bestimmen, ob eine von der Verarbeitung ausgewählte Datei bereits verarbeitet wurde, sodass die Cache-Daten anzeigen, wie die ausgewählte Datei verarbeitet werden sollte. Wenn in Schritt S6 aus 2 ein bestimmtes Verarbeitungsverfahren ausgewählt wird, können die Cache-Daten basierend auf der ausgewählten Verarbeitung aktualisiert werden. Im Cache gespeicherte Daten können unter Umständen eine Zeit aufweisen, für die sie gültig sind, zum Beispiel bis die ausgewählte Datei modifiziert wird, bis der Computer neu gestartet wird oder für einen bestimmten Zeitraum, z. B. 24 Stunden.
  • Mit erneuter Bezugnahme auf 2 versteht sich, dass, wenngleich die Schritte S5 und S6 als separate Schritte dargestellt sind, die Verarbeitung der Schritte S5 und S6 in einigen Ausführungsformen kombiniert ist, sodass versucht wird, basierend auf den verfügbaren Daten Malware-Erkennungsverarbeitung auszuwählen, und falls dies erfolgreich ist, die ausgewählte Malware-Erkennungsverarbeitung angewendet wird, während, falls dies nicht erfolgreich ist, weitere Daten erfasst werden.
  • Wenngleich oben spezifische Ausführungsformen der Erfindung beschrieben wurden, versteht es sich, dass verschiedene Modifikationen an den beschriebenen Ausführungsformen vorgenommen werden können, ohne vom Geist und Umfang der vorliegenden Erfindung abzuweichen. Das bedeutet, dass die beschriebenen Ausführungsformen in jeglicher Hinsicht als beispielhaft und nicht einschränkend auszulegen sind. Insbesondere gilt, dass, wenn eine bestimmte Form für eine bestimmte Verarbeitung beschrieben wurde, es sich versteht, dass eine derartige Verarbeitung in jeder beliebigen geeigneten Form ausgeführt werden kann, die angeordnet ist, um geeignete Ausgabedaten bereitzustellen. Wenngleich die Verarbeitung oben als für einzelne Dateien nacheinander ausgeführt beschrieben wurde, können zusätzlich, wie oben angedeutet, verschiedene Verarbeitungsschritte für alle Dateien ausgeführt werden, bevor mit weiteren Verarbeitungsschritten fortgefahren wird.

Claims (17)

  1. Verfahren zur Verarbeitung einer Mehrzahl an Dateien, um für jede der Dateien zu bestimmen, ob sie Malware umfasst, wobei das Verfahren Folgendes umfasst: Auswählen einer Datei zur Verarbeitung; Erfassen von ersten Daten, die sich auf die ausgewählte Datei beziehen; Bestimmen, ob basierend auf den ersten Daten eine Malware-Erkennungsverarbeitung ausgewählt werden kann, und, wenn bestimmt wird, dass basierend auf den ersten Daten eine Malware-Erkennungsverarbeitung ausgewählt werden kann, Auswählen einer Malware-Erkennungsverarbeitung, die auf die ausgewählte Datei angewendet wird, basierend auf den ersten Daten; Wenn bestimmt wird, dass basierend auf den ersten Daten keine Malware-Erkennungsverarbeitung ausgewählt werden kann, Auswählen einer Malware-Erkennungsverarbeitung, die auf die ausgewählte Datei angewendet wird, basierend auf den zweiten von der Datei erfassten Daten; Anwenden der ausgewählten Malware-Erkennungsverarbeitung auf die ausgewählte Datei.
  2. Verfahren nach Anspruch 1, wobei das Erfassen der ersten Daten eine erste Zeit in Anspruch nimmt und das Erfassen der zweiten Daten eine zweite, längere Zeit in Anspruch nimmt.
  3. Verfahren nach einem der Ansprüche 1 oder 2, wobei die ersten Daten erfasst werden, ohne dass die ausgewählte Datei gelesen wird.
  4. Verfahren nach einem der vorangehenden Ansprüche, wobei die ersten Daten mit der ausgewählten Datei verbundene Metadaten umfassen.
  5. Verfahren nach einem der vorangehenden Ansprüche, wobei die zweiten Daten aus der ausgewählten Datei gelesene Daten umfassen.
  6. Verfahren nach einem der vorangehenden Ansprüche, wobei das Verfahren vor dem Erfassen der ersten Daten ferner Folgendes umfasst: Zugreifen auf gespeicherte Daten; Bestimmen, ob die gespeicherten Daten Daten umfassen, die eine auf die ausgewählte Datei anzuwendende Malware-Erkennungsverarbeitung anzeigen; Wenn bestimmt wird, dass die gespeicherten Daten Daten umfassen, die eine auf die ausgewählte Datei anzuwendende Malware-Erkennungsverarbeitung anzeigen, Anwenden der angezeigten Malware-Erkennungsverarbeitung auf die ausgewählte Datei; und Erfassen der ersten Daten, wenn, jedoch nur wenn, bestimmt wird, dass die gespeicherten Daten keine Daten umfassen, die eine auf die ausgewählte Datei anzuwendende Malware-Erkennungsverarbeitung anzeigen.
  7. Verfahren nach einem der vorangehenden Ansprüche, wobei das Auswählen einer auf die ausgewählte Datei anzuwendenden Malware-Erkennungsverarbeitung das Auswählen eines oder mehrerer aus einer vorgegebenen Mehrzahl an Malware-Erkennungsverarbeitungsverfahren umfasst.
  8. Verfahren nach einem der vorangehenden Ansprüche, wobei das Auswählen von auf die ausgewählte Datei anzuwendender Malware-Erkennungsverarbeitung das Auswählen von mit der jeweiligen Malware-Erkennungsverarbeitung verknüpften Parametern umfasst.
  9. Verfahren nach einem der vorangehenden Ansprüche, wobei das Auswählen von auf die ausgewählte Datei anzuwendender Malware-Erkennungsverarbeitung das Auswählen einer Mehrzahl an Malware-Erkennungsprozessen umfasst, die nacheinander auf die ausgewählte Datei angewendet werden.
  10. Verfahren nach Anspruch 9, wobei das Auswählen von auf die ausgewählte Datei anzuwendender Malware-Erkennungsverarbeitung das Auswählen eines ersten auf die ausgewählte Datei anzuwendenden Malware-Erkennungsprozesses und eines zweiten auf die ausgewählte Datei anzuwendenden Malware-Erkennungsprozesses umfasst, wenn der erste Malware-Erkennungsprozess eine vorgegebene Ausgabe erzeugt.
  11. Verfahren nach einem der Ansprüche 1 bis 8, wobei das Auswählen von auf die ausgewählte Datei anzuwendender Malware-Erkennungsverarbeitung das Auswählen einer Mehrzahl an Malware-Erkennungsprozessen umfasst, die gleichzeitig auf die ausgewählte Datei angewendet werden.
  12. Verfahren nach Anspruch 11, wobei das Auswählen einer auf die ausgewählte Datei anzuwendenden Malware-Erkennungsverarbeitung das Auswählen eines ersten Malware-Erkennungsprozesses und eines zweiten Malware-Erkennungsprozesses umfasst, und die Ausgabe des Malware-Erkennungsprozesses auf einem vom ersten und zweiten Malware-Erkennungsprozess basiert, der als erster eine Ausgabe bereitstellt.
  13. Verfahren nach einem der vorangehenden Ansprüche, wobei das Auswählen einer Malware-Erkennungsverarbeitung das Bestimmen umfasst, ob eine Malware-Erkennungsverarbeitung durchgeführt werden soll.
  14. Verfahren nach einem der vorangehenden Ansprüche, das ferner das Erfassen von zweiten erfassten Daten umfasst.
  15. Verfahren nach einem der vorangehenden Ansprüche, wobei, wenn bestimmt wird, dass basierend auf den ersten Daten keine Malware-Erkennungsverarbeitung ausgewählt werden kann, die auf die ausgewählte Datei anzuwendende Malware-Erkennungsverarbeitung basierend auf den ersten und zweiten erfassten Daten ausgewählt wird.
  16. Computerlesbares Medium, das einen Computerprogrammcode ausführt, der Anweisungen umfasst, die konfiguriert sind, um einen Computer zu steuern, ein Verfahren nach einem der Ansprüche 1 bis 15.
  17. Computervorrichtung zur Verarbeitung einer Mehrzahl an Dateien, um für jede der Dateien zu bestimmen, ob sie Malware umfasst, wobei die Vorrichtung Folgendes umfasst: einen Speicher zum Speichern von prozessorlesbaren Anweisungen; und einen Prozessor, der konfiguriert ist, um auf dem Speicher gespeicherte Anweisungen zu lesen und auszuführen; wobei die prozessorlesbaren Anweisungen Anweisungen umfassen, die konfiguriert sind, um den Prozessor zu steuern, ein Verfahren nach einem der Ansprüche 1 bis 15 auszuführen.
DE112012000526T 2011-01-21 2012-01-05 Malware - Erkennung Ceased DE112012000526T5 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US12/931,000 2011-01-21
US12/931,000 US9111094B2 (en) 2011-01-21 2011-01-21 Malware detection
PCT/EP2012/050124 WO2012098018A1 (en) 2011-01-21 2012-01-05 Malware detection

Publications (1)

Publication Number Publication Date
DE112012000526T5 true DE112012000526T5 (de) 2013-10-31

Family

ID=45569574

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112012000526T Ceased DE112012000526T5 (de) 2011-01-21 2012-01-05 Malware - Erkennung

Country Status (4)

Country Link
US (1) US9111094B2 (de)
DE (1) DE112012000526T5 (de)
GB (1) GB2502715A (de)
WO (1) WO2012098018A1 (de)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101908944B1 (ko) * 2011-12-13 2018-10-18 삼성전자주식회사 데이터 분석 시스템에서 맬웨어를 분석하기 위한 장치 및 방법
US9516451B2 (en) * 2012-04-10 2016-12-06 Mcafee, Inc. Opportunistic system scanning
US9407653B2 (en) * 2012-04-10 2016-08-02 Mcafee, Inc. Unified scan management
US9049207B2 (en) 2012-04-11 2015-06-02 Mcafee, Inc. Asset detection system
US8955137B2 (en) 2012-12-21 2015-02-10 State Farm Mutual Automobile Insurance Company System and method for uploading and verifying a document
JP6176868B2 (ja) * 2013-02-10 2017-08-09 ペイパル・インク 予測的なセキュリティ製品を提供し、既存のセキュリティ製品を評価する方法と製品
WO2016186902A1 (en) * 2015-05-20 2016-11-24 Alibaba Group Holding Limited Detecting malicious files
CN106295328B (zh) * 2015-05-20 2019-06-18 阿里巴巴集团控股有限公司 文件检测方法、装置及系统
RU2614929C1 (ru) 2015-09-30 2017-03-30 Акционерное общество "Лаборатория Касперского" Способ передачи антивирусных записей, используемых для обнаружения вредоносных файлов
US10210331B2 (en) * 2015-12-24 2019-02-19 Mcafee, Llc Executing full logical paths for malware detection
RU2716553C1 (ru) * 2016-07-27 2020-03-12 Нек Корпорейшн Устройство создания сигнатуры, способ создания сигнатуры, носитель записи, в котором записана программа создания сигнатуры, и система определения программного обеспечения
US10733301B2 (en) 2016-08-24 2020-08-04 Microsoft Technology Licensing, Llc Computing device protection based on device attributes and device risk factor
US10721212B2 (en) * 2016-12-19 2020-07-21 General Electric Company Network policy update with operational technology
US10511631B2 (en) 2017-01-25 2019-12-17 Microsoft Technology Licensing, Llc Safe data access through any data channel
WO2018187541A1 (en) 2017-04-06 2018-10-11 Walmart Apollo, Llc Infected file detection and quarantine system
RU2673407C1 (ru) * 2017-10-18 2018-11-26 Акционерное общество "Лаборатория Касперского" Система и способ определения вредоносного файла
RU2739830C1 (ru) * 2019-09-30 2020-12-28 Акционерное общество "Лаборатория Касперского" Система и способ выбора средства обнаружения вредоносных файлов

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5473769A (en) 1992-03-30 1995-12-05 Cozza; Paul D. Method and apparatus for increasing the speed of the detecting of computer viruses
US7065789B1 (en) 2001-05-22 2006-06-20 Computer Associates Think, Inc. System and method for increasing heuristics suspicion levels in analyzed computer code
US7694150B1 (en) 2004-06-22 2010-04-06 Cisco Technology, Inc System and methods for integration of behavioral and signature based security
US7676845B2 (en) 2005-03-24 2010-03-09 Microsoft Corporation System and method of selectively scanning a file on a computing device for malware
US8201244B2 (en) * 2006-09-19 2012-06-12 Microsoft Corporation Automated malware signature generation
US7865965B2 (en) * 2007-06-15 2011-01-04 Microsoft Corporation Optimization of distributed anti-virus scanning
KR100942795B1 (ko) * 2007-11-21 2010-02-18 한국전자통신연구원 악성프로그램 탐지장치 및 그 방법
GB2463467B (en) 2008-09-11 2013-03-06 F Secure Oyj Malware detection method and apparatus
US8484727B2 (en) * 2008-11-26 2013-07-09 Kaspersky Lab Zao System and method for computer malware detection
US20100192222A1 (en) * 2009-01-23 2010-07-29 Microsoft Corporation Malware detection using multiple classifiers
US9087195B2 (en) * 2009-07-10 2015-07-21 Kaspersky Lab Zao Systems and methods for detecting obfuscated malware
US8572740B2 (en) * 2009-10-01 2013-10-29 Kaspersky Lab, Zao Method and system for detection of previously unknown malware
US8719939B2 (en) * 2009-12-31 2014-05-06 Mcafee, Inc. Malware detection via reputation system
US8863279B2 (en) * 2010-03-08 2014-10-14 Raytheon Company System and method for malware detection
US8468602B2 (en) * 2010-03-08 2013-06-18 Raytheon Company System and method for host-level malware detection
US8869277B2 (en) * 2010-09-30 2014-10-21 Microsoft Corporation Realtime multiple engine selection and combining
US7962959B1 (en) * 2010-12-01 2011-06-14 Kaspersky Lab Zao Computer resource optimization during malware detection using antivirus cache
US8756691B2 (en) * 2010-11-10 2014-06-17 Symantec Corporation IP-based blocking of malware

Also Published As

Publication number Publication date
GB201312856D0 (en) 2013-09-04
US9111094B2 (en) 2015-08-18
GB2502715A (en) 2013-12-04
US20120192273A1 (en) 2012-07-26
WO2012098018A1 (en) 2012-07-26

Similar Documents

Publication Publication Date Title
DE112012000526T5 (de) Malware - Erkennung
DE112019001121B4 (de) Auf einem computer implementiertes verfahren zum identifizieren von malware und system hierfür
DE112019005729T5 (de) Erkennen von sicherheitsrisiken in zusammenhang mit einer software-komponente
US10693943B2 (en) Configuring tags to monitor other webpage tags in a tag management system
DE69804658T2 (de) Anitivirenbeschleuniger
DE202011111121U1 (de) System zum Erfassen komplexer Schadsoftware
DE112005001739B4 (de) Nachverfolgung geschützter Speicherbereiche zur Beschleunigung von Antivirusprogrammen
DE112012002106B4 (de) Vorausschauendes Malware Scannen
DE60303753T2 (de) Selektives Erkennen von böswilligem Rechnercode
DE202012013609U1 (de) System zur Verteilung der Verarbeitung von Computer-Sicherheitsaufgaben
DE112011101831B4 (de) Schutz vor websiteübergreifenden Scripting-Attacken
DE102012208141B4 (de) Ausgleich nachlassender Funktionsfähigkeit
DE112020003944T5 (de) Verfahren, System und Speichermedium für die Sicherheit von Softwarekomponenten
DE112012000512T5 (de) Aktualisieren von Software
DE202014010893U1 (de) Rufwegsucher
DE112013000656T5 (de) System und Verfahren zum Verringern der Speichernutzung durch optimales Platzieren von virtuellen Maschinen in einem virtualisierten Rechenzentrum
DE102013200159A1 (de) Management von Sicherheitsrichtlinien unter Verwendung einer Störungsanalyse
DE102012208842A1 (de) Zugangsüberwachungsverfahren, Informationsverarbeitungsvorrichtung und Zugangsüberwachungsprogramm
DE112012000744T5 (de) Erkennung eines trojanischen Pferdes
DE112012005051T5 (de) Korrekturbereitstellungssystem
DE102014116369A1 (de) Verwaltung von sprachmarkern bei internationaler datenspeicherung
DE112016000261T5 (de) Bewahren der Dateiintegrität
DE102012223167A1 (de) Gemeinsame Nutzung von Artefakten zwischen kollaborativen Systemen
DE112018001290T5 (de) Verfahren zum Schätzen der Löschbarkeit von Datenobjekten
DE112014001997T5 (de) Kennzeichnen von Client-Zuständen

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: G06F0021000000

Ipc: G06F0021560000

R002 Refusal decision in examination/registration proceedings
R003 Refusal decision now final