FR2897452A1 - Procede pour empecher l'execution de logiciels malveillants au sein d'un systeme informatique. - Google Patents
Procede pour empecher l'execution de logiciels malveillants au sein d'un systeme informatique. Download PDFInfo
- Publication number
- FR2897452A1 FR2897452A1 FR0753234A FR0753234A FR2897452A1 FR 2897452 A1 FR2897452 A1 FR 2897452A1 FR 0753234 A FR0753234 A FR 0753234A FR 0753234 A FR0753234 A FR 0753234A FR 2897452 A1 FR2897452 A1 FR 2897452A1
- Authority
- FR
- France
- Prior art keywords
- computer system
- application program
- execution
- instructions
- cross
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 41
- 241000700605 Viruses Species 0.000 title description 10
- 238000004590 computer program Methods 0.000 claims abstract 3
- 238000005192 partition Methods 0.000 claims description 7
- 230000006870 function Effects 0.000 description 5
- 230000005764 inhibitory process Effects 0.000 description 5
- 230000009466 transformation Effects 0.000 description 5
- 238000011900 installation process Methods 0.000 description 4
- 230000006399 behavior Effects 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 238000006243 chemical reaction Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 239000000969 carrier Substances 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000012885 constant function Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 238000005070 sampling Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/561—Virus type analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Devices For Executing Special Programs (AREA)
- Storage Device Security (AREA)
- Retry When Errors Occur (AREA)
Abstract
Un procédé destiné à empêcher l'exécution de logiciels malveillants au sein d'un système informatique est divulgué. Une permutation est effectuée sur un sous-ensemble d'instructions au sein d'un programme d'application pour donner une séquence permutée d'instructions avant toute exécution réelle du programme d'application sur le système informatique. Un numéro de séquence de permutation de la séquence permutée d'instructions est mémorisé dans un tableau de pointeurs d'instructions permutées. La séquence permutée d'instructions est exécutée dans un module d'exécution capable de traduire la séquence permutée d'instructions en un langage machine réel d'un processeur au sein du système informatique selon le numéro de séquence de permutation de la séquence permutée d'instructions mémorisé dans le tableau de pointeurs d'instructions permutées.
Description
PROCÉDÉ POUR EMPÊCHER L'EXÉCUTION DE LOGICIELS MALVEILLANTS AU SEIN D'UN
SYSTÈME INFORMATIQUE
CONTEXTE DE L'INVENTION
1. Domaine technique
La présente invention concerne la prévention contre les logiciels malveillants en général et, en particulier, un procédé destiné à empêcher l'exécution de logiciels malveillants au sein d'un système informatique.
2. Description de la technique apparentée Les logiciels malveillants, tels que les virus informatiques, peuvent pénétrer dans un système informatique de nombreuses façons. Par exemple, ils peuvent pénétrer dans le système informatique par l'intermédiaire d'un disque qui est destiné à être inséré dans le système informatique ou ils peuvent pénétrer par l'intermédiaire d'un e-mail qui est destiné à être ouvert par un utilisateur du système informatique. Les logiciels malveillants peuvent occasionner des problèmes au système informatique s'ils sont exécutés au sein du système informatique. Par exemple, la sécurité informatique peut être compromise ou des fichiers au sein du système informatique peuvent être détruits.
Certains types de logiciels malveillants peuvent facilement être détectés à l'aide de techniques de détection simples, tel qu'un balayage pour localiser une chaîne de recherche. Toutefois, ce type de processus de détection peut également facilement être déjoué en convertissant le code malveillant par compression ou cryptage, contournant ainsi les filtres à balayage. Une autre approche pour la détection des logiciels malveillants consiste à exécuter un programme tout en tentant d'intercepter des actions malveillantes pendant l'exécution du programme. Cette technique, connue sous le nom d'inhibition de comportement, présente un certain nombre de désavantages. En dépit de la tentative d'intercepter des actions malveillantes, le programme peut néanmoins occasionner des dommages au système informatique. Qui plus est, le mécanisme d'inhibition de comportement ne peut typiquement pas voir un journal complet d'actions lorsqu'il effectue une détermination d'inhibition. Donc, le mécanisme d'inhibition de comportement peut prendre des décisions d'inhibition sous-optimales, ce qui signifie que des programmes inoffensifs peuvent être inhibés tandis que des programmes nuisibles peuvent être autorisés à s'exécuter.
Encore une autre approche pour la détection des logiciels malveillants consiste à émuler du code suspect dans un environnement isolé d'un système informatique de telle sorte que le système informatique soit protégé des actions malveillantes du code suspect. Un inconvénient de l'émulation est que bien qu'elle puisse protéger des parties du système informatique des attaques de virus, elle n'est pas elle-même protégée. De plus, des données peuvent être contaminées, ce qui mène à une brèche dans l'environnement d'isolement.
Par conséquent, il serait souhaitable de mettre à disposition un procédé amélioré pour empêcher l'exécution de logiciels malveillants au sein d'un système informatique.
RESUME DE L'INVENTION En accord avec un mode de réalisation préféré de la présente invention, une permutation est effectuée sur un sous-ensemble d'instructions au sein d'un programme d'application pour donner une séquence permutée d'instructions avant toute exécution réelle du programme d'application sur un système informatique. Un numéro de séquence de permutation de la séquence permutée d'instructions est mémorisé dans un tableau de pointeurs d'instructions permutées. La séquence permutée d'instructions est exécutée dans un module d'exécution capable de traduire la séquence permutée d'instructions en un langage machine réel d'un processeur au sein du système informatique selon le numéro de séquence de permutation de la séquence permutée d'instructions mémorisé dans le tableau de pointeurs d'instructions permutées.
Un procédé destiné à empêcher l'exécution de logiciels malveillants au sein d'un système informatique comporte la compilation croisée d'un programme d'application pour donner un jeu de code compilé de façon croisée dudit programme d'application avant toute exécution réelle dudit programme d'application sur ledit système informatique. Le procédé comporte aussi l'exécution dudit jeu de code compilé de façon croisée dudit programme d'application dans un module d'exécution capable de reconnaître et de traduire ledit jeu de code compilé de façon croisée dudit programme d'application en un langage machine réel d'un processeur au sein dudit système informatique.
Toutes les caractéristiques et les avantages de la présente invention deviendront manifestes dans la 30 description écrite détaillée qui suit.
DESCRIPTION SUCCINCTE DES DESSINS
L'invention elle-même, ainsi qu'un mode d'utilisation 35 préféré, des objets supplémentaires et des avantages de celle-ci, seront mieux compris en faisant référence à la description détaillée qui suit d'un mode de réalisation illustratif lorsqu'elle est lue conjointement avec les dessins joints, où :
la Figure 1 est une vue conceptuelle d'un procédé destiné à empêcher l'exécution de logiciels malveillants au sein d'un système informatique, en accord avec un mode de réalisation préféré de la présente invention ;
la Figure 2 est un diagramme synoptique d'un environnement informatique dans lequel un mode de réalisation préféré de la présente invention est incorporé ; et
les Figures 3a à 3e illustrent une séquence dans laquelle des instructions sont en cours de permutation, en accord avec un mode de réalisation préféré de la présente invention.
DESCRIPTION DETAILLEE D'UN MODE DE REALISATION PREFERE Typiquement, il existe plusieurs niveaux de jeux d'instructions au sein d'un système informatique. Le premier niveau (le plus bas) est celui des instructions au niveau machine et le deuxième niveau est celui des instructions d'interface binaire d'applications du système d'exploitation. Au deuxième niveau, le système d'exploitation a rendu abstraites les instructions du niveau machine pour les rendre plus faciles à comprendre. Le troisième niveau est celui des instructions au niveau macro-commande, où une application a rendu encore plus abstrait le contrôle du système informatique pour permettre une facilité de programmation.
Comme de nombreuses techniques ont été dédiées à la protection des deuxième et troisième niveaux d'instructions, la présente invention est uniquement orientée vers la protection du premier niveau d'instructions, en particulier à un moment où celui-ci 4 est le niveau utilisé par de nombreux virus informatiques.
De façon générale, il est improbable, sinon impossible, d'écrire un programme de niveau machine qui puisse être exécuté au sein d'un système informatique sans connaître le jeu d'instructions au niveau machine d'un processeur au sein du système informatique. De plus, une installation de logiciel sur un système informatique impose au logiciel de comprendre en premier lieu le jeu d'instructions du système informatique sur lequel il est en train d'être installé. Ainsi, en accord avec un mode de réalisation préféré de la présente invention, un programme d'application est initialement transformé en un jeu de code compilé de façon croisée du programme d'application, et le jeu de code compilé de façon croisée du programme d'application est alors exécuté au sein d'un module d'exécution capable de reconnaître le jeu de code compilé de façon croisée du programme d'application.
En référence à présent aux dessins et en particulier à la Figure 1, on illustre une vue conceptuelle d'un procédé destiné à empêcher l'exécution de logiciels malveillants au sein d'un système informatique, en accord avec un mode de réalisation préféré de la présente invention. Comme représenté, un système informatique 10 comprend un module de transformation 11 et un module d'exécution 12. Tout programme d'application qui doit être exécuté au sein du système informatique 10 doit subir un processus d'installation. Au cours du processus d'installation, un utilisateur du système informatique 10 peut décider si un programme d'application doit ou non être installé au sein du système informatique 10. Si l'utilisateur décide que le programme d'application doit être installé au sein du système informatique 10, le programme d'application est alors envoyé au module de transformation 11 dans lequel le programme d'application sera transformé en un jeu de code compilé de façon croisée du programme d'application. Le jeu de code compilé de façon croisée du programme d'application peut ensuite être exécuté au sein du module d'exécution 12 capable de reconnaître et de traduire le jeu de code compilé de façon croisée du programme d'application dans le langage machine réel du processeur.
Sans passer par le processus d'installation, un programme d'application ne pourra pas être exécuté par le module d'exécution 12. Par exemple, comme représenté sur un chemin illicite 15, même si un programme de virus s'est faufilé sans avoir été détecté par un utilisateur et a été placé au sein du système informatique 10 à l'insu de l'utilisateur, le programme de virus ne peut toujours pas être exécuté par le module d'exécution 12 car le programme de virus n'a pas subi le processus d'installation. A ce titre, le système informatique 10 est à l'abri des dommages potentiels qui auraient pu être engendrés par le programme de virus.
En pratique, le module de transformation 11 et le module d'exécution 12 doivent être isolés l'un de l'autre. En fait, le module d'exécution 12 doit être empêché d'accepter du code de toute source autre que le module de transformation 11.
En référence à présent à la Figure 2, on illustre un diagramme synoptique d'un environnement informatique dans lequel un mode de réalisation préféré de la présente invention est incorporé. Comme représenté, un système informatique 20 comprend une structure matérielle 21, un gestionnaire de machine virtuelle (VMM) ou hyperviseur 22 et des machines virtuelles 23a-23b. Les machines virtuelles 23a et 23b sont de préférence situées dans des partitions séparées de telle sorte que toute exécution au sein de la machine virtuelle 23a est isolée de la machine virtuelle 23b ou vice versa. Le VMM 22 contrôle toutes les communications entre les machines virtuelles 23a et 23b. De plus, le VMM 22 peut communiquer directement avec la structure matérielle 21. La structure matérielle 21 comprend des structures connues telles que des processeurs, des registres, des unités de gestion de la mémoire, des dispositifs de mémoire, des dispositifs d'entrée/sortie, etc.
Un système d'exploitation et de multiples programmes d'application peuvent être exécutés concurremment au sein de chacune des machines virtuelles 23a-23b. Par exemple, un système d'exploitation 24 et un programme d'application 25 sont exécutés au sein de la machine virtuelle 23a, tandis qu'un système d'exploitation 26 et un programme d'application 27 sont exécutés au sein de la machine virtuelle 23b.
Bien que cela ne soit pas obligatoire, le système d'exploitation 24 peut être différent du système d'exploitation 26. Par exemple, le système d'exploitation 24 peut être un système d'exploitation libre Linux, tandis que le système d'exploitation 26 peut être le système d'exploitation Windows produit par la Société Microsoft. De façon analogue, le processeur sous-jacent émulé par la machine virtuelle 23a peut également être différent du processeur sous-jacent émulé par la machine virtuelle 23b. Par exemple, le processeur sous-jacent émulé par la machine virtuelle 23a peut être un processeur Pentium produit par la Société Intel, tandis que le processeur sous-jacent émulé par la machine virtuelle 23b peut être un processeur PowerPC produit par la Société International Business Machines.
Chacune des machines virtuelles 23a-23b, ce qui inclut son système d'exploitation et ses programmes d'application associés, fonctionne au niveau de l'utilisateur. Lorsque le VMM 22 utilise l'exécution directe, le VMM 22 est réglé en mode dit utilisateur (c'est-à-dire avec des prérogatives réduites) de telle sorte qu'aucune des machines virtuelles 23a-23b ne puisse accéder directement aux divers registres privilégiés qui contrôlent le fonctionnement de la structure matérielle 21. Au lieu de cela, toutes les instructions privilégiées seront piégées dans le VMM 22.
Sur la Figure 2, on montre que la machine virtuelle 23a comprend un compilateur croisé 28 destiné à effectuer les compilations croisées initiales des programmes d'application. De plus, on montre que la machine virtuelle 23b comprend un module d'exécution 29 destiné à exécuter le code compilé de façon croisée des programmes d'application. Les compilations croisées sont effectuées de préférence via un algorithme de permutation et les résultats sont mémorisés dans un tableau 30 de pointeurs d'instructions permutées. Le tableau 30 de pointeurs d'instructions permutées comprend des entrées multiples de séquences de permutation. Chacune des séquences de permutation est associée à un jeu de code compilé de façon croisée d'un programme d'application. Toutes les séquences de permutation au sein du tableau 30 de pointeurs d'instructions permutées ont des chances d'être différentes les unes des autres, bien qu'elles n'aient pas l'obligation d'être différentes les unes des autres. Sur la Figure 2, on représente le tableau 30 de pointeurs d'instructions permutées comme étant placé au sein du VMM 22 ; toutefois, le tableau 30 de pointeurs d'instructions permutées peut également être placé au sein de la machine virtuelle 23a, pourvu qu'il soit également accessible à la machine virtuelle 23b.
Un procédé illustratif pour effectuer des permutations se déroule comme suit. Premièrement, un sous-ensemble d'instructions n est sélectionné parmi un groupe d'instructions à des fins de permutation. Toutes les permutations d'instructions ne seraient pas de la même utilité. Par exemple, des permutations d'instructions identité ne seraient d'aucune utilité. Aussi certaines instructions machine (telles qu'une instruction JUMP) devraient-elles être identifiées comme des instructions critiques afin de s'assurer que toutes les instructions critiques soient permutées.
Il existe plusieurs façons de générer des permutations. Un des procédés consiste à utiliser une fonction basée sur un hachage ou un cryptage de telle sorte que chaque instruction dans un segment de données possède une conversion différente, c'est-à-dire H (Al) , H (A2) ,..., H(Ai), où H est la fonction basée sur un hachage et A est une instruction. Le problème posé par l'utilisation d'une fonction basée sur un hachage ou un cryptage est que, d'un point de vue général de compilation, les mêmes instructions peuvent avoir des résultats de hachage différents. Par exemple, l'instruction A5 et l'instruction A9 peuvent être la même instruction, mais H(A5) n'est pas nécessairement égale à H(A9) . Un autre procédé consiste à faire appel à une fonction de conversion différente P(A), où P est la permutation et A est l'instruction, ce qui génère P1(A), P2(A),..., Pn(A). Ce procédé donne un résultat de compilation croisée plus prévisible, puisque P1(J), où J est l'instruction donnée, doit être la même quel que soit l'endroit où elle apparaît dans le segment de code. Une séquence de permutation impose la façon dont le sous-ensemble d'instructions n doit être permuté ou transformé. Chaque séquence de permutation peut être vue comme une entrée présentant des emplacements multiples, chaque emplacement devant être occupé par un numéro d'instruction. Afin de générer une rième séquence de permutation, un nombre aléatoire compris entre 0 et n!-1 est initialement choisi. Par exemple, si le sous-ensemble d'instructions n à permuter est au nombre de 5 (ce qui signifie qu'il existe 5!=120 séquences de permutation), un nombre aléatoire 101 peut être choisi entre 0 et 5!-1 comme la 101ème séquence de permutation.
La position Pos de l'emplacement du premier numéro d'instruction est indiquée par le dividende du nombre aléatoire choisi r divisé par (n-1)!, comme suit : Pos = r (n-1)! Le reste de la division remplace le nombre aléatoire choisi r pour la détermination de la position Pos de l'emplacement du numéro d'instruction suivant jusqu'à ce que tous les emplacements soient occupés par des numéros d'instructions. Pour chaque détermination, n au dénominateur (n-1)! est décrémenté d'une unité.
Ainsi, pour le nombre aléatoire choisi 101, la position de l'emplacement du premier numéro d'instruction est 101/(5-1)!=4, comme représenté sur la Figure 3a. Le reste de 101/(5-1)! est 5 et la position de l'emplacement du deuxième numéro d'instruction est 5/(4-1)!=0, comme représenté sur la Figure 3b. Le reste de 5/(4-1)! est 5 et la position de l'emplacement du troisième numéro d'instruction est 5/(3-1)!=2, comme représenté sur la Figure 3c. Le reste de 5/(3-1)! est 1 et la position de l'emplacement du quatrième numéro d'instruction est 1/(2-1)!=1, comme représenté sur la Figure 3d. Le cinquième numéro d'instruction va occuper la position de l'emplacement restant disponible, comme illustré sur la Figure 3e.
La séquence de permutation "25431" (issue de la Figure 3e) est alors introduite dans le tableau 30 de pointeurs d'instructions permutées (de la Figure 2) en tant qu'entrée pour la 101ème séquence de permutation. Un programme d'application peut être permuté selon la 101ème séquence de permutation en un jeu de code compilé de façon croisée via le compilateur croisé 28 (de la Figure 2). Pendant l'exécution, le jeu de code compilé de façon croisée peut être exécuté via le module d'exécution 29 (de la Figure 2) selon la 101ème séquence de permutation mémorisée dans le tableau 30 de pointeurs d'instructions permutées.
Par exemple, si les cinq instructions à permuter sont ADD, SUBSTRACT, JUMP, BRANCH et STORE, alors chacune de ces instructions se voit attribuer un numéro d'instruction en conséquence, c'est-à-dire instruction numéro 1 = ADD, instruction numéro 2 = SUBSTRACT, instruction numéro 3 = JUMP, instruction numéro 4 = BRANCH et instruction numéro 5 = STORE. Lorsqu'on fera appel à la 101ème séquence de permutation pour effectuer la compilation croisée d'un programme d'application au sein du compilateur croisé 28 de la Figure 2, chaque occurrence des cinq instructions susmentionnées au sein du programme d'application sera transformée selon la séquence de permutation "25431". En d'autres termes, chaque instruction ADD au sein du programme d'application sera transformée en instruction SUBSTRACT, chaque instruction SUBSTRACT au sein du programme d'application sera transformée en instruction STORE, chaque instruction JUMP au sein du programme d'application sera transformée en instruction BRANCH, chaque instruction BRANCH au sein du programme d'application sera transformée en instruction JUMP, chaque instruction STORE au sein du programme d'application sera transformée en instruction ADD. Une inversion de la transformation susmentionnée est effectuée au sein du module d'exécution 29 de la Figure 2 pendant l'exécution du code compilé de façon croisée du programme d'application.
La permutation peut être effectuée de manière soit statique, soit dynamique. Si la permutation est effectuée de manière statique, alors un groupe de systèmes informatiques peut être réglé pour utiliser la même séquence de permutation. Une telle pratique serait plus facile pour un directeur des technologies de l'information car la compilation croisée de chaque programme d'application n'aurait à être effectuée qu'une fois pendant l'installation.
Si la permutation est effectuée de manière dynamique, il existe plusieurs choix. Un jeu de séquences de permutation peut être changé périodiquement. Une compilation croisée pour ces permutations peut être effectuée une fois puis, chaque fois qu'un système informatique s'amorce, il peut exécuter un jeu différent de programmes compilés de façon croisée, sur la base de la séquence de permutation effectivement en usage. En outre, la séquence de permutation peut changer de façon aléatoire chaque fois que le système informatique s'amorce. Dans ce cas, la compilation croisée devrait être faite "à la volée" par un compilateur croisé s'exécutant sur le système informatique.
De plus, la séquence de permutation peut également être changée pour chaque programme d'application, et cela peut être accompli par différents procédés. La mise en oeuvre la plus simple consiste à faire utiliser au VMM le hachage de signature d'une application comme clé pour un algorithme de cryptage de flux, générant ainsi un jeu d'instructions unique pour ce programme d'application. Tout programme d'application modifié (notamment modifié dans une mémoire principale du fait d'un virus qui provoque un dépassement de tampon) commencera à générer un jeu d'instructions différent.
En variante, le VMM peut générer un nombre aléatoire chaque fois qu'un programme d'application est chargé et les segments de code du programme d'application passent par un moteur de cryptage de flux ou de hachage (puisqu'il n'a pas besoin d'être réversible) pour modifier la compilation croisée. Ce procédé donne un niveau supplémentaire de sécurité en ce que la fonction Pn(A) devient une fonction constante P(A) et reste imprévisible.
Comme il a été décrit, la présente invention met à disposition un procédé destiné à empêcher l'exécution de logiciels malveillants au sein d'un système informatique. Si le VMM conserve une permutation associée au hachage de chaque application permutée qui doit être exécutée, alors même une attaque par échantillonnage (où une application permutée tenant lieu d'échantillon est obtenue d'une manière quelconque par un attaquant et la permutation déterminée est appliquée à un virus envoyé ensuite pour effectuer une infection) échoue.
Il est également important d'observer que bien que la présente invention ait été décrite dans le contexte d'un système informatique entièrement fonctionnel, l'homme de métier appréciera que les mécanismes de la présente invention sont en mesure d'être distribués comme un programme sous des formes variées et que la présente invention s'applique indifféremment quel que soit le type particulier de support de signaux utilisé pour effectuer la distribution proprement dite. Des exemples de supports de signaux comprennent, sans caractère limitatif, des supports de type enregistrable tels que des disquettes ou des disques compacts et des supports de type à transmission tels que des liaisons analogiques ou numériques de communication.
Bien que l'invention ait été représentée et décrite en référence à un mode de réalisation préféré, il sera compris par l'homme de métier que divers changements dans la forme et les détails peuvent y être apportés sans s'écarter de l'esprit et du champ de l'invention.
Claims (36)
1. Procédé destiné à empêcher l'exécution de logiciels malveillants au sein d'un système informatique, ledit procédé comportant : la réalisation d'une permutation sur un sous-ensemble d'instructions au sein d'un programme d'application pour donner une séquence permutée d'instructions avant toute exécution réelle dudit programme d'application sur ledit système informatique ; la mémorisation d'un numéro de séquence de permutation de ladite séquence permutée d'instructions dans un tableau de pointeurs d'instructions permutées ; et l'exécution de ladite séquence permutée d'instructions dans un module d'exécution capable de traduire ladite séquence permutée d'instructions en un langage machine réel d'un processeur au sein dudit système informatique selon ledit numéro de séquence de permutation de ladite séquence permutée d'instructions mémorisé dans ledit tableau de pointeurs d'instructions permutées.
2. Procédé selon la revendication 1, dans lequel ledit programme d'application est un programme pouvant être exécuté au sein d'un système informatique sans être compilé de façon croisée.
3. Procédé selon la revendication 1 ou la revendication 2, ledit procédé comprenant en outre la mise à disposition d'une première machine virtuelle pour effectuer ladite permutation ; et la mise à disposition d'une deuxième machine virtuelle 30 pour effectuer ladite exécution.
4. Procédé selon la revendication 3, ledit procédé comprenant en outre la mise à disposition d'un gestionnaire de machine virtuelle au sein dudit système 35 informatique pour contrôler lesdites première et deuxième machines virtuelles.
5. Procédé selon la revendication 3 ou la revendication 4, ledit procédé comprenant en outre le placement desdites première et deuxième machines virtuelles dans des partitions séparées.
6. Procédé selon l'une des revendications 3, 4 ou 5, ledit procédé comprenant en outre la mise à disposition de systèmes d'exploitation différents dans lesdites première et deuxième machines virtuelles.
7. Support utilisable sur ordinateur doté d'un programme informatique destiné à empêcher l'exécution de logiciels malveillants au sein d'un système informatique, ledit support utilisable sur ordinateur comportant : un moyen de code de programme destiné à effectuer une permutation sur un sous-ensemble d'instructions au sein d'un programme d'application pour donner une séquence permutée d'instructions avant toute exécution réelle dudit programme d'application sur ledit système informatique ; un moyen de code de programme destiné à mémoriser un numéro de séquence de permutation de ladite séquence permutée d'instructions dans un tableau de pointeurs d'instructions permutées ; et un moyen de code de programme destiné à exécuter ladite séquence permutée d'instructions dans un module d'exécution capable de traduire ladite séquence permutée d'instructions en un langage machine réel d'un processeur au sein dudit système informatique selon ledit numéro de séquence de permutation de ladite séquence permutée d'instructions mémorisé dans ledit tableau de pointeurs d'instructions permutées.
8. Support utilisable sur ordinateur selon la revendication 7, dans lequel ledit programme d'application est un programme pouvant être exécuté ausein d'un système informatique sans être compilé de façon croisée.
9. Support utilisable sur ordinateur selon la 5 revendication 7 ou la revendication 8, ledit support utilisable sur ordinateur comprenant en outre un moyen de code de programme destiné à mettre à disposition une première machine virtuelle pour contenir ledit moyen de code de programme destiné à effectuer 10 ladite permutation ; et un moyen de code de programme destiné à mettre à disposition une deuxième machine virtuelle pour contenir ledit moyen de code de programme destiné à l'exécution. 15
10. Support utilisable sur ordinateur selon la revendication 9, ledit support utilisable sur ordinateur comprenant en outre un moyen de code de programme destiné à mettre à disposition un gestionnaire de machine virtuelle au sein dudit système informatique 20 pour contrôler lesdites première et deuxième machines virtuelles.
11. Support utilisable sur ordinateur selon la revendication 9 ou la revendication utilisable sur ordinateur comprenant 10, ledit support en outre un moyen 25 de code de programme destiné à placer lesdites première et deuxième machines virtuelles dans des partitions séparées. 30
12. Support utilisable sur ordinateur selon l'une des revendications 9, 10 ou 11, ledit support utilisable sur ordinateur comprenant en outre un moyen de code de programme destiné à mettre à disposition des systèmes d'exploitation différents dans lesdites première et 35 deuxième machines virtuelles.
13. Système informatique capable d'empêcher l'exécution de logiciels malveillants, ledit système informatiquecomportant : un moyen de réalisation d'une permutation sur un sous-ensemble d'instructions au sein d'un programme d'application pour donner une séquence permutée d'instructions avant toute exécution réelle dudit programme d'application sur ledit système informatique ; un tableau de pointeurs d'instructions permutées destiné à mémoriser un numéro de séquence de permutation de ladite séquence permutée d'instructions ; et un moyen d'exécution de ladite séquence permutée d'instructions dans un module d'exécution capable de traduire ladite séquence permutée d'instructions en un langage machine réel d'un processeur au sein dudit système informatique selon ledit numéro de séquence de permutation de ladite séquence permutée d'instructions mémorisé dans ledit tableau de pointeurs d'instructions permutées.
14. Système informatique selon la revendication 13, dans lequel ledit programme d'application est un programme pouvant être exécuté au sein d'un système informatique sans être compilé de façon croisée.
15. Système informatique selon la revendication 13 ou 25 la revendication 14, ledit système informatique comprenant en outre une première machine virtuelle destinée à contenir ledit moyen de réalisation d'une permutation ; et une deuxième machine virtuelle destinée à contenir ledit 30 moyen d'exécution.
16. Système informatique selon la revendication 15, ledit système informatique comprenant en outre un gestionnaire de machine virtuelle destiné à contrôler 35 lesdites première et deuxième machines virtuelles.
17. Système informatique selon la revendication 15 ou la revendication 16, dans lequel lesdites première etdeuxième machines virtuelles sont situées dans des partitions séparées.
18. Système informatique selon suivant l'une des revendications 15, 16 ou 17, dans lequel un système d'exploitation au sein de ladite première machine virtuelle est différent d'un système d'exploitation au sein de ladite deuxième machine virtuelle.
19. Procédé destiné à empêcher l'exécution de logiciels malveillants au sein d'un système informatique, ledit procédé comportant : la compilation croisée d'un programme d'application pour donner un jeu de code compilé de façon croisée dudit programme d'application avant toute exécution réelle dudit programme d'application sur ledit système informatique ; et l'exécution dudit jeu de code compilé de façon croisée dudit programme d'application dans un module d'exécution capable de reconnaître et de traduire ledit jeu de code compilé de façon croisée dudit programme d'application en un langage machine réel d'un processeur au sein dudit système informatique.
20. Procédé selon la revendication 19, dans lequel ledit programme d'application est un programme pouvant être exécuté au sein d'un système informatique sans être compilé de façon croisée.
21. Procédé selon la revendication 19 ou la revendication 20, ledit procédé comprenant en outre la mise à disposition d'une première machine virtuelle pour effectuer ladite compilation croisée ; et la mise à disposition d'une deuxième machine virtuelle 35 pour effectuer ladite exécution.
22. Procédé selon la revendication 21, ledit procédé comprenant en outre la mise à disposition d'ungestionnaire de machine virtuelle au sein dudit système informatique pour contrôler lesdites première et deuxième machines virtuelles.
23. Procédé selon la revendication 21 ou la revendication 20, ledit procédé comprenant en outre le placement desdites première et deuxième machines virtuelles dans des partitions séparées.
24. Procédé selon l'une des revendications 21, 22 ou 23, ledit procédé comprenant en outre la mise à disposition de systèmes d'exploitation différents dans lesdites première et deuxième machines virtuelles.
25. Support utilisable sur ordinateur doté d'un programme informatique destiné à empêcher l'exécution de logiciels malveillants au sein d'un système informatique, ledit support utilisable sur ordinateur comportant : un moyen de code de programme destiné à effectuer une compilation croisée d'un programme d'application pour donner un jeu de code compilé de façon croisée dudit programme d'application avant toute exécution réelle dudit programme d'application sur ledit système informatique ; et un moyen de code de programme destiné à exécuter ledit jeu de code compilé de façon croisée dudit programme d'application dans un module d'exécution capable de reconnaître et de traduire ledit jeu de code compilé de façon croisée dudit programme d'application en un langage machine réel d'un processeur au sein dudit système informatique.
26. Support utilisable sur ordinateur selon la revendication 25, dans lequel ledit programme d'application est un programme pouvant être exécuté au sein d'un système informatique sans être compilé de façon croisée.
27. Support utilisable sur ordinateur selon la revendication 25 ou la revendication 26, ledit support utilisable sur ordinateur comprenant en outre un moyen de code de programme destiné à mettre à disposition une première machine virtuelle pour contenir ledit moyen de code de programme destiné à effectuer la compilation croisée ; et un moyen de code de programme destiné à mettre à 10 disposition une deuxième machine virtuelle pour contenir ledit moyen de code de programme destiné à l'exécution.
28. Support utilisable sur ordinateur selon la revendication 27, ledit support utilisable sur 15 ordinateur comprenant en outre un moyen de code de programme destiné à mettre à disposition un gestionnaire de machine virtuelle au sein dudit système informatique pour contrôler lesdites première et deuxième machines virtuelles. 20
29. Support utilisable sur ordinateur selon la revendication 27 ou la revendication 28, ledit support utilisable sur ordinateur comprenant en outre un moyen de code de programme destiné à placer lesdites première 25 et deuxième machines virtuelles dans des partitions séparées.
30. Support utilisable sur ordinateur selon l'une des revendications 27, 28 ou 29, ledit support utilisable 30 sur ordinateur comprenant en outre un moyen de code de programme destiné à mettre à disposition des systèmes d'exploitation différents dans lesdites première et deuxième machines virtuelles. 35
31. Système informatique capable d'empêcher l'exécution de logiciels malveillants, ledit système informatique comportant : un moyen de compilation croisée d'un programmed'application pour donner un jeu de code compilé de façon croisée dudit programme d'application avant toute exécution réelle dudit programme d'application sur ledit système informatique ; et un moyen d'exécution dudit jeu de code compilé de façon croisée dudit programme d'application dans un module d'exécution capable de reconnaître et de traduire ledit jeu de code compilé de façon croisée dudit programme d'application en un langage machine réel d'un processeur au sein dudit système informatique.
32. Système informatique selon la revendication 31, dans lequel ledit programme d'application est un programme pouvant être exécuté au sein d'un système informatique sans être compilé de façon croisée.
33. Système informatique selon la revendication 31 ou la revendication 32, ledit système informatique comprenant en outre une première machine virtuelle destinée à contenir ledit moyen de compilation croisée ; et une deuxième machine virtuelle destinée à contenir ledit moyen d'exécution.
34. Système informatique selon la revendication 33, ledit système informatique comprenant en outre un gestionnaire de machine virtuelle destiné à contrôler lesdites première et deuxième machines virtuelles.
35. Système informatique selon la revendication 33 ou la revendication 34, lesdites première et deuxième machines virtuelles étant situées dans des partitions séparées.
36. Système informatique selon l'une des revendications 33, 34 ou 35, dans lequel un système d'exploitation au sein de ladite première machine virtuelle est différent d'un système d'exploitation au sein de ladite deuxième machine virtuelle.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/353,893 US8694797B2 (en) | 2006-02-14 | 2006-02-14 | Method for preventing malicious software from execution within a computer system |
| US11/353,896 US8041958B2 (en) | 2006-02-14 | 2006-02-14 | Method for preventing malicious software from execution within a computer system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| FR2897452A1 true FR2897452A1 (fr) | 2007-08-17 |
| FR2897452B1 FR2897452B1 (fr) | 2016-12-09 |
Family
ID=37908644
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| FR0753234A Expired - Fee Related FR2897452B1 (fr) | 2006-02-14 | 2007-02-13 | Procede pour empecher l'execution de logiciels malveillants au sein d'un systeme informatique. |
Country Status (5)
| Country | Link |
|---|---|
| JP (1) | JP4575350B2 (fr) |
| DE (1) | DE102007005887B4 (fr) |
| FR (1) | FR2897452B1 (fr) |
| GB (1) | GB2436442B (fr) |
| SG (1) | SG135173A1 (fr) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108027737B (zh) * | 2015-04-07 | 2021-07-27 | 瑞安安全股份有限公司 | 通过二进制和存储器多样性进行混淆的系统和方法 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000056966A (ja) * | 1998-08-07 | 2000-02-25 | Nippon Telegr & Teleph Corp <Ntt> | マイクロプロセッサシステムおよびマイクロプロセッサ動作解析防止方法 |
| JP4042280B2 (ja) * | 1999-12-21 | 2008-02-06 | 富士ゼロックス株式会社 | 実行プログラムの生成方法及び実行プログラム生成装置、実行プログラムの実行方法、並びに、コンピュータ可読プログラム記憶媒体 |
| US6507904B1 (en) * | 2000-03-31 | 2003-01-14 | Intel Corporation | Executing isolated mode instructions in a secure system running in privilege rings |
| FR2841997B1 (fr) * | 2002-07-08 | 2005-11-11 | Gemplus Card Int | Securisation d'application telechargee notamment dans une carte a puce |
| JP4568489B2 (ja) * | 2003-09-11 | 2010-10-27 | 富士通株式会社 | プログラム保護方法、プログラム保護プログラムおよびプログラム保護装置 |
| US7424620B2 (en) | 2003-09-25 | 2008-09-09 | Sun Microsystems, Inc. | Interleaved data and instruction streams for application program obfuscation |
| US7363620B2 (en) | 2003-09-25 | 2008-04-22 | Sun Microsystems, Inc. | Non-linear execution of application program instructions for application program obfuscation |
| US7493483B2 (en) | 2004-02-19 | 2009-02-17 | International Business Machines Corporation | Method to prevent vulnerability to virus and worm attacks through instruction remapping |
-
2006
- 2006-12-27 JP JP2006351470A patent/JP4575350B2/ja active Active
-
2007
- 2007-02-01 DE DE102007005887.1A patent/DE102007005887B4/de active Active
- 2007-02-13 FR FR0753234A patent/FR2897452B1/fr not_active Expired - Fee Related
- 2007-02-13 SG SG200701830-2A patent/SG135173A1/en unknown
- 2007-02-14 GB GB0702890A patent/GB2436442B/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| DE102007005887B4 (de) | 2019-06-13 |
| IE20080383A1 (en) | 2008-08-20 |
| GB2436442A (en) | 2007-09-26 |
| DE102007005887A1 (de) | 2007-08-30 |
| SG135173A1 (en) | 2007-09-28 |
| JP4575350B2 (ja) | 2010-11-04 |
| FR2897452B1 (fr) | 2016-12-09 |
| JP2007220091A (ja) | 2007-08-30 |
| IE20070090A1 (en) | 2007-09-19 |
| GB2436442B (en) | 2008-04-16 |
| GB0702890D0 (en) | 2007-03-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2764462B1 (fr) | Procede de generation, a partir d'un fichier initial de paquetage comportant une application a securiser et un fichier initial de configuration, d'un fichier de paquetage pour la securisation de l'application, produit programme d'ordinateur et dispositif informatique associes | |
| FR3000249A3 (fr) | Systeme et procede de detection d'un code malveillant execute par une machine virtuelle | |
| FR2867871A1 (fr) | Procede et dispositif de securisation de l'acces a un peripherique | |
| US9038161B2 (en) | Exploit nonspecific host intrusion prevention/detection methods and systems and smart filters therefor | |
| US20070192620A1 (en) | Method for preventing malicious software from execution within a computer system | |
| EP3885953B1 (fr) | Procédé et dispositif de contrôle dynamique, au niveau fichier, de l'intégrité de fichiers de programme dans une mémoire persistante d'un ordinateur, programme d'ordinateur et ordinateur l'incorporant | |
| EP3761199B1 (fr) | Procédé d'exécution d'un code binaire d'une fonction sécurisée par un microprocesseur | |
| US8694797B2 (en) | Method for preventing malicious software from execution within a computer system | |
| EP2880588A1 (fr) | Systeme de detection de modification d'une pile d'appel de sous-programme | |
| WO2007068706A1 (fr) | Procede pour securiser l'execution d'un code logiciel en langage intermediaire dans un appareil portatif | |
| US10032022B1 (en) | System and method for self-protecting code | |
| FR3069935A1 (fr) | Dispositifs et procedes de protection de propriete intellectuelle de logiciel pour des plates-formes integrees | |
| FR2897452A1 (fr) | Procede pour empecher l'execution de logiciels malveillants au sein d'un systeme informatique. | |
| EP3470999B1 (fr) | Sécurisation d'instructions de branchement conditionnel composé dans un programme informatique en code intermédiaire | |
| FR3008267A1 (fr) | Dispositif, systeme et procede de securisation de transfert de donnees entre un dispositif de stockage de donnees portable source et un systeme informatique destinataire | |
| US20210073355A1 (en) | Controlling processor instruction execution | |
| EP4057168B1 (fr) | Procédé d exécution d'un programme d ordinateur par un appareil électronique | |
| EP4057169B1 (fr) | Procédé d'exécution d'un code binaire d'un programme d'ordinateur par un microprocesseur | |
| EP2075733B1 (fr) | Dispositif et un procédé de protection contre la rétro conception | |
| US11392696B1 (en) | Systems and methods for detecting code implanted into a published application | |
| WO2021123684A1 (fr) | Système électronique et procédés d'activation dynamique de contre-mesures | |
| Hili et al. | The BIOS and Rootkits | |
| FR3105484A1 (fr) | Méthode de vérification dynamique de l’intégrité d’un code machine | |
| WO2022129467A1 (fr) | Methode d'association d'un programme logiciel executable avec une plateforme informatique | |
| CA3183198A1 (fr) | Dispositif, methode et programme pour une communication securisee entre boites blanches |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| ST | Notification of lapse |
Effective date: 20081031 |
|
| RN | Application for restoration | ||
| FC | Decision of inpi director general to approve request for restoration | ||
| PLFP | Fee payment |
Year of fee payment: 10 |
|
| PLFP | Fee payment |
Year of fee payment: 11 |
|
| PLFP | Fee payment |
Year of fee payment: 12 |
|
| PLFP | Fee payment |
Year of fee payment: 13 |
|
| PLFP | Fee payment |
Year of fee payment: 14 |
|
| TP | Transmission of property |
Owner name: LENOVO PC INTERNATIONAL LIMITED, HK Effective date: 20200206 |
|
| PLFP | Fee payment |
Year of fee payment: 15 |
|
| PLFP | Fee payment |
Year of fee payment: 16 |
|
| PLFP | Fee payment |
Year of fee payment: 17 |
|
| PLFP | Fee payment |
Year of fee payment: 18 |