JP2002342106A - 既知や未知のコンピュータウィルスの検索・駆除方法 - Google Patents
既知や未知のコンピュータウィルスの検索・駆除方法Info
- Publication number
- JP2002342106A JP2002342106A JP2001345236A JP2001345236A JP2002342106A JP 2002342106 A JP2002342106 A JP 2002342106A JP 2001345236 A JP2001345236 A JP 2001345236A JP 2001345236 A JP2001345236 A JP 2001345236A JP 2002342106 A JP2002342106 A JP 2002342106A
- Authority
- JP
- Japan
- Prior art keywords
- virus
- computer
- simulation
- viruses
- search
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/565—Static detection by checking file integrity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Storage Device Security (AREA)
- Measuring Or Testing Involving Enzymes Or Micro-Organisms (AREA)
- Investigating Or Analysing Biological Materials (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
駆除方法を提供する。 【解決手段】 ウィルスが存在する仮想のコンピュータ
環境を作成し、感染を誘発するために複数のバイトを提
供し、検索すべき目標対象をロードし、検索されるべき
目的対象をアクティブにし、目的対象に付着していた可
能性のあるウィルスを誘引して複数の対象を感染させる
と共に、実際に感染した基準サンプルを生成させ、アク
ティブにするステップで処理した後の複数の対象と、も
ともと提供された感染されるべき複数の対象とを比較
し、変化があるかどうかを調べて、目標対象はウィルス
を含んでいたかどうかを決定する。更に、生成した基準
サンプルを分析することにより学習し、ウィルスに関す
る情報や知識を抽出し、ウィルスを駆除すると共に、ウ
ィルスによって変更されたキー情報を、該ウィルスに関
する情報や知識や、感染したバイトに対してウィルスが
行った修正に基づき修正する。
Description
スを検索し除去する(つまり捜索して駆除する)ソフト
ウェアの分野に関わり、特に、未知のウィルスの検索・
駆除方法、それを実行する検索・駆除システム、記録媒
体及びこのウィルス撃退ソフトウェアを保存し伝達する
ための伝送媒体に関わる。
るコンピュータウィルスは大きな問題であった。感染
性、自己増殖性、破壊性というコンピュータウィルスの
特徴のため、データの損失や改変、ファイルに損傷を与
えたり、ソフトウェアを破壊したり、などコンピュータ
ウィルスはコンピュータのユーザを恐れさせて来た。人
々はそれらを検索・駆除するために様々なウィルス撃退
ソフトウェアを使ってきた。
ィルス撃退ソフトウェアは既知のウィルス、つまり既知
の様々なウィルス、従って、その特徴コードがすでに知
られているウィルスのみを検索・駆除してきた。この場
合において、ウィルスを持っている可能性のあるファイ
ルは、ウィルスの特徴コードによって検索され、探され
る。いったん特徴コードが見つけられたら、そのファイ
ルは感染していると決定され、ウィルスを駆除しにかか
る。しかしながら、この方法は、未知の種類のウィルス
は検索できなかった。ウィルス分析装置によって新しい
ウィルスが分析され発見された後でしか、特徴コードは
得られない。それゆえ新しいウィルスは特徴コードが従
来のウィルス撃退ソフトウェアに加えられるまで認識・
検索されない。
有値を検索することによって検出してきた。つまり新し
いウィルスが発見されたら、ウィルス分析装置がその固
有値としてのウィルスプログラム本体から特徴的な一又
は複数の特徴コードからなるクラスタ(塊)を抽出し、
しかる後、ウィルス検索ソフトはファイル中にウィルス
の固有値の存在を検索することによってファイルが感染
しているかどうかを調べる。しかし、ウィルス撃退技術
は過去十年でそれなりの進歩を遂げてきたが、ウィルス
検索の方法が、ウィルス検索ソフトウェアに基づいてい
る点では変わりがなかった。固有値検索方法(すなわち
ウィルス検索ソフトウェア)の致命的な欠点は、もしウ
ィルスが発見されたら、ウィルス分析装置によってウィ
ルス認識ライブラリに特徴コードが加えられ、ウィルス
検索ソフトウェアはおなじ種類のウィルスを認識でき
る。逆の言い方をすれば、ウィルス検索ソフトウェアは
いつもウィルスに遅れをとっており、ソフトウェアがウ
ィルスに対して効果を発揮するようにするためには、そ
の前に、ウィルス分析装置によってウィルスが分析され
ねばならない。
ス撃退技術、例えば、広域スペクトル検索方法、発見的
検索方法などは、従来の古典的なウィルスの特徴コード
に基づき、経験的に対象が感染しているかどうか、目標
対象(ターゲットオブジェクト)が疑いのあるコードを
持っているかどうかを、仮想マシーン上でウィルスに対
し検索すべきターゲットオブジェクトのコードで作動す
ることによって判断する。例えば、いくつかの国内、海
外のウィルス撃退会社は、未知のウィルスを検索するた
めの方法を開発してきた。そのすべてはディスクに書き
込んだり、ファイルに書き込んだりするようなウィルス
の特徴的な方法を要約すると言うおなじ考えに基づいて
いて、目標対象の特徴コードを検索する。これらの方法
は、実は、挙動上の特徴を定義付けるもので、帰納法的
ウィルス検索方法又は発見的ウィルス検索方法と呼ばれ
る。
でき、警告を鳴らすことができるが、しかし効果が少な
く、誤報や未報告の可能性も高い。これには二つの理由
がある。ひとつは、ウィルス攻撃の方法が多様で数え上
げることができない程あると言うことである。二つ目
は、ウィルスによる攻撃方法が、複数のソフトウェアツ
ールと同じくシステムに対して合法で、それゆえそれら
を識別することが難しい。この種の方法を用いて、未知
ウィルスのいくつかは、検索し・警告することができ
る。しかしながら、高い誤報率のためこれらの方法はユ
ーザに不必要な懸念をもたらす。そして致命的な欠点は
ウィルスを検索できるけど、ウィルスを駆除できないと
言うことにある。もし対象がウィルスによって攻撃され
たら、ウィルス撃退ソフトウェアの品質が高められるま
で、コンピュータをシャットダウンしなければならな
い。さらに目標対象が(ファイル、ブートセクタ、メモ
リなど)感染しているかどうか、を確定できず、“感染
した可能性がある”事を告げるに過ぎない。今まで、ウ
ィルス撃退製品はウィルス特徴ライブラリ(データベー
スやコードベース)なしに未知のウィルスを駆除したり
既知のものを駆除したりすることはできなかった。
フトウェアの上記の問題に鑑み、本発明の目的は、未知
や既知のウィルスを効果的に検索・駆除する方法・シス
テム、記録媒体及び伝送媒体を提供する。未知のウィル
スを効果的に検索する問題を解決するようにウィルスの
存在を検索するためにウィルスの感染性を主に利用す
る。これにより、ほとんどの未知のウィルスを検索・駆
除できる。これにより、人手で分析されて初めて、ウィ
ルスを検索・駆除できるという状況を完全に変えるであ
ろう。本発明は未知のウィルスを早期に検索・駆除で
き、それにより、情報やデータを壊すウィルスの可能性
を大幅に減らすことができる。ほとんどの未知・既知の
ウィルスに対する人手による分析を不要とするため、複
数の労力とお金が節約される。
ウィルスが存在する仮想のコンピュータ環境をコンピュ
ータ内にシュミレーションとして作成するステップと、
ウィルス感染を誘発するためにコンピュータウィルスに
よって感染されるべき複数の対象すなわちバイト(おび
き寄せのための対象物)を提供するステップと、シュミ
レーションとして作成された仮想コンピュータ環境に検
索すべき目標対象をロードするステップと、シュミレー
ション作成された仮想コンピュータ環境内にある検索さ
れるべき目的対象をアクティブにし、前記目的対象に付
着していた可能性のあるウィルスを誘引して感染される
べき複数の対象を感染させると共に、実際に感染した基
準サンプルを生成させるステップと、前記アクティブに
するステップで処理した後の複数の対象と、もともと提
供された感染されるべき複数の対象とを比較するステッ
プと、そして、変化があるかどうかを調べて、もし変化
があれば検索されるべき目標対象はウィルスを含んでい
た、また、変化がなければ目標対象はウィルスを含んで
いなかったと決定するステップと、を含んでなるコンピ
ュータウィルス検索・駆除方法を提供する。
駆除方法は、更に、生成した基準サンプルを分析するこ
とによりウィルスから学習し、ウィルスを分析すると共
に、検索されるべき目標対象がウィルスを含んでいると
決定されたらウィルスに関する情報や知識を抽出するス
テップと、そして、ウィルス本体を除去することにより
感染した対象からウィルスを駆除すると共に、ウィルス
によって変更されたキー情報を該ウィルスに関する前記
情報や知識に基づき、また、前記感染した対象、すなわ
ち、バイトに対してウィルスが行った修正に基づき修正
するステップを含む。
除のための一般的なコンピュータシステムを提供するも
ので、コンピュータウィルスが存在する仮想のコンピュ
ータ環境をコンピュータ内にシュミレーションとして作
成するコンピュータシュミレーションユニットと;ウィ
ルス感染を誘発するために提供されたコンピュータウィ
ルスによって感染されるべき複数の対象すなわちバイト
(おびき寄せのための対象物)と;シュミレーションと
して作成された仮想コンピュータ環境に検索すべき目標
対象をロードする制御ユニットと、シュミレーション作
成された仮想コンピュータ環境内にある検索されるべき
目的対象をアクティブにし、前記目的対象に付着してい
た可能性のあるウィルスを誘引して感染されるべき複数
の対象を感染させると共に、実際に感染した基準サンプ
ルを生成させるウィルス感染誘引ユニットと、前記アク
ティブにするステップで処理した後の複数の対象と、も
ともと提供された感染されるべき複数の対象とを比較
し、変化があるかどうかを調べて、もし変化があれば検
索されるべき目標対象はウィルスを含んでいた、また、
変化がなければ目標対象はウィルスを含んでいなかった
と決定するウィルス存否決定ユニットと、を含んでなる
コンピュータウィルス検索・駆除システムを提供する。
駆除システムは、更に、生成した基準サンプルを分析す
ることによりウィルスから学習し、ウィルスを分析する
と共に、検索されるべき目標対象がウィルスを含んでい
ると決定されたらウィルスに関する情報や知識を抽出す
るウィルス分析学習ユニットと、そして、ウィルス本体
を除去することにより感染した対象からウィルスを駆除
すると共に、ウィルスによって変更されたキー情報を該
ウィルスに関する前記情報や知識に基づき、また、前記
感染した対象、すなわち、バイトに対してウィルスが行
った修正に基づき修正するウィルス駆除ユニットとを含
む。
ピュータ駆除方法の各ステップを実行させるようにした
コンピュータ読込可能な記録媒体を提供する。さらに、
本発明はコンピュータに上述のコンピュータ駆除方法の
各ステップを実行させるようにしたネットワーク伝送を
経由した伝送媒体を提供する。
大切な特徴である感染性のためにコンピュータウィルス
はそう名づけられた。もし、プログラムに感染性があっ
たら、それはウィルスを持っていると決定される。それ
ゆえ、プログラムの感染性を認識することによってウィ
ルスを認識することが最も効果的な方法である。しかし
ながら、ウィルスの感染性により、感染性を認識する事
は、ウィルスを何らかの対象に感染させることを意味す
る。もし決定が実際の状況で実行されたら、それはウィ
ルス検索の間にウィルスが拡散していることを意味す
る。だから検索されるべき目標対象が感染しているかど
うかを証明するために仮想環境において、実行されなけ
ればならない。本発明はウィルスの感染性を利用し、ウ
ィルスを持っている疑いのある対象をコンピュータウィ
ルスが存在する仮想のコンピュータ環境内に置き、再生
産し、それをアクティブにし誘引してバイトに感染させ
る。さらに様々なウィルスは目標対象の大きさ、内容な
どのような特定の感染状況を必要とすることもあるの
で、本発明は異なる大きさ、内容を含むバイト対象を含
む全ての種類のバイトを提供する。例えば、format.com
やsort.com等のファイルがDOS COMタイプのウィルスを
誘引するのに使われる。Debug.exeやlable.exe等のファ
イルがDOS EXEタイプのウィルスを誘引するのに使われ
る。フロッピィディスクブートセクタ、ハードディスク
ブートセクタやハードディスクの主ブートセクタはDOS
BOOTタイプのウィルスを誘引するためにシュミレーショ
ンされる。そして、notepad.exeやword.exe等のファイ
ルがWINDOWS PEタイプのウィルスを誘引するのに使われ
る。等々。異なるバイト対象ができる限りウィルスの必
要条件を満たすために使われる。
ィルスの検索・駆除・報告・検索のための新しい技術に
係るもので、行動・結果に従うウィルス撃退方法の一種
である。本発明はウィルスの再生・拡散が認識される全
てのプロセスにおいて、実際のコンピュータ環境をシュ
ミレーションするための仮想コンピュータ環境を使う。
同時にウィルスの再生や拡散の手順を観察し、ウィルス
の感染方法を学習する。感染過程を逆に辿ることにより
そのようなウィルスを駆除する方法が提供される。以下
は細かい説明である。まずウィルスが存在し再生産され
る仮想環境が確立され、検索されるべき目標対象は仮想
環境に置かれる。二番目に、疑いのある対象がアクティ
ブにされる。もし本当にウィルスを持っていたら仮想環
境は感染されたものとなる。様々な操作が仮想環境内の
バイトに対して行われ、できる限りウィルスが感染する
ように誘引する。つまりウィルスの再生及び感染の実験
は仮想環境でなされる。もしバイトがウィルスに感染し
ていたら、検索されるべき目標対象はウィルスを持って
いると言うこととなり、ウィルスによって感染したバイ
トは基準サンプルとなる。三番目に、もし前の再生ステ
ップや感染の実験が成功したら、基準サンプルはウィル
ス分析装置の代わりのプログラムによって分析され、ウ
ィルスの検索・駆除のために必要な情報が基準サンプル
から引き出される。四番目に、プログラムの基準サンプ
ルの分析から得られる情報はウィルスを駆除するために
ウィルスを持つ感染した目標対象に当て嵌められる。
検索・駆除のためのコンピュータシステムの一実施態様
におけるブロック図である。図1に示されているよう
に、一般的なコンピュータシステム1はコンピュータに
よって実行される本発明に係るウィルス検索・駆除ユニ
ット2を含む。コンピュータシステム1は一般的なCPU、
メモリ、OS、周辺保存装置(ハードディスク、フロッピ
ィディスク、など)(図1には示されていない)を含
む。ウィルス検索・駆除ユニット2の全体のプログラム
はコンピュータシステム1内のCPUによって実行される。
コンピュータシステムはさらに目標対象19を含む。こ
の目標対象19は、コンピュータシステム2内のハード
ディスクやフロッピィディスクのブートセクタにあるフ
ァイル、及び、ウィルスを持っている可能性のあるイン
ターネットを通してダウンロードされ且つ伝送されるフ
ァイル及びデータである。
・駆除ユニット2は、検索されるべき目標対象19をシ
ュミレーションとして作成されたコンピュータ環境に入
力し、全てのウィルス検索構成要素のプロセスを管理す
るためのウィルス検索コントロールユニット3と;ウィ
ルスが再生され、拡散する仮想コンピュータ環境とし
て、シュミレーション作成された全コンピュータシステ
ムを作るコンピュータシュミレーションユニット4、す
なわち仮想のコンピュータと;ウィルス感染を誘引する
ための一又は複数の基準バイト(すなわち、コンピュー
タウィルスに感染した可能性のある目標対象)と;検索
されるべき目標対象19を仮想コンピュータ4にロード
し、オペレーションを実行し、基準バイト11を用い
て、検索されるべき目標対象19によって保持されてい
た可能性のあるウィルスを基準バイト11及び仮想ハー
ドディスク、フロッピィディスクやシュミレーション作
成されたコンピュータ環境の同様のものに感染させると
共に、感染された基準サンプル13を生成するウィルス
感染誘発ユニット10と;そして、仮想ハードディス
ク、フロッピィディスク、シュミレーション作成された
コンピュータ環境の同様のものがウィルス誘発ステップ
の前後で変わったかどうかを調べ、感染後の基準サンプ
ル13と感染前の基準バイト11とを比較し、変化があ
るかどうかを決定し、もし変化があるなら、検索される
べき目標対象はウィルスを含んでおり、そうでなければ
ウィルス18はないと決定する比較・ウィルス存否決定
ユニット12と;を含んで構成されている。
ュータシステムは、仮想のCPU5、仮想のメモリ6、仮
想のOS7、仮想の周辺保存装置8(ハードディスク、フ
ロッピィディスクなど)及びシステム時計のようにウィ
ルスの生存、再生、拡散のために必要とされるシステム
構成手段9の他の部分を含んでいる。
駆除部分は、全ウィルス駆除コンポーネントの処理を制
御するのに使用されるウィルス駆除制御ユニット17
と;基準バイト11と感染した基準サンプル13とから
分かるウィルス感染により引き起こされた修正を分析
し、且つ該ウィルスについての知識を学習するウィルス
分析学習ユニット14と;そして、ウィルス分析学習ユ
ニット14から得られた知識を基にウィルスを適当に排
除又は駆除すると共に、ウィルスが駆除された対象16
を生成するウィルス駆除ユニット15と;を含んでい
る。駆除後の対象16は、検索されるべき入力目標対象
19上にウィルス駆除制御ユニット17により上書きす
るのに使用することができ、それにより、ウィルスを除
去する。
ルス検索・駆除ユニット2とウィルス駆除制御ユニット
17は上記全てのウィルス検索・駆除プロセスを監視す
るために単一のコントロールユニットに統合することが
できる。
によって作られた仮想のコンピュータ環境は仮想のマシ
ーン5(仮想のCPU)、仮想のOS7、仮想の周辺保存
装置8、仮想の周辺メモリ6などを含む。簡単に言え
ば、ウィルスの存続に必要とされる全てのコンピュータ
の構成手段はシュミレーション作成される。ウィルスを
持っている可能性のある対象は理論的にウィルスによっ
て感染してきたものであろう。ウィルスを持っているか
もしれない対象は仮想環境に置かれ、適当な状況の下で
アクティブにされる。
フトウェアによって実行、シュミレーションされたCP
U)。Softcpu()は実際のCPUによる指示の解釈プログラ
ムである。それは実際のCPUのようにプログラムを解釈
し実行し、それぞれの行のコードを理解でき、それらを
正確に解釈、実行できる。理論的にsoftcpu()は実際のC
PUができる全てのコードやプログラムを実行、解釈で
き、どんな状況の下でも同じように全ての指示を解釈で
きる。実際のCPUが作用する全ての対象は(BIOSチップ
やディスク)本物であるのに対し、仮想のCPUが作用す
る対象(BIOSチップやディスク)は仮想のものである。
を解釈するための単なる機能手段で、それはアセンブル
言語、C言語や他の言語で書かれるものである。本発明
の好ましい一実施形態においては、汎用性、維持性を考
慮してC言語で書かれている。
索する場合、softcpu()がインテルのCPUをシュミレーシ
ョンとして作成することであろう。もしマッキントッシ
ュのコンピュータのウィルスを検索する場合、マッキン
トッシュのCPUをシュミレーションとして作成すること
であろう。
ものであるが、ウィルスも同様である。仮想のOS7は
ウィルスが動作するOSをシュミレーションとして作成
する。仮想のOS7は仮想のDOSのためのOSやWINDOWS
95のための仮想のOS、UNIXのための仮想OSなどのよ
うなウィルスのために必要とされる複合的なOSを含
む。本発明の一実施形態において効果を高めるために、
仮想のOS7はウィルスを動作するためにOSの必要な
要点だけをシュミレーション作成する。
のOSが選ばれる。WINDOWS 95のウィルスのためにはWI
NDOWS95のための仮想のOSが選ばれる。
ンユニット4は、ハードディスクやフロッピィディスク
のような仮想のコンピュータ保存装置8を含む。仮想コ
ンピュータ環境においては、検索されるべき対象のプロ
グラム中に有る周辺保存装置への全ての書き込みや読み
込みは仮想のものである。これは、仮想のプログラムが
動いているときに引き起こされるディスク中のファイル
やデータへの感染及び損傷は仮想ディスク中の感染及び
損傷だと言うことを意味する。
ピュータ周辺保存装置8は、コンピュータシュミレーシ
ョンユニット4と呼ばれる機能手段又はプログラムユニ
ット8を含んでおり、それにより、仮想のハードディス
クを作る。仮想のコンピュータ周辺装置8の主な機能
は、メモリの中に必要とされる大きさの領域を割り当
て、特定の要求に従って、該メモリ領域に仮想ハードデ
ィスクをシュミレーションで作成することである。仮想
ハードディスクは、通常のものと同じ構造、すなわち、
セクタ番号、トラク番号及びシリンダ番号によって特定
される三次元空間、主ブートセクタ及び0トラックの対
応する空セクタ、隣のブートセクタ、ファイル位置テー
ブル(FAT)、ルートディレクトリ領域、そして、必要
なシステムファイル(例えば、IO.SYS,MSDOS.SYS、COMM
AND.COMがDOSシステムのために必要とされる)、並び
にテスト用のバイトファイル(すなわち、DOSEXE.EXE,D
OS COM.COMがDOSファイルタイプのウィルスのために必
要とされるファイル)を含んでいる。本発明の検索・駆
除システムに使われる仮想ハードディスクの中のデータ
は10キロバイトから数百キロバイトの大きさのメモリ領
域のみしか占めない。これに対して、普通のハードディ
スクは数メガバイトから数ギガバイトの記憶容量があ
る。それらのほとんどは本発明によるシステムでは使わ
れない。だから本発明の一実施形態において、数メガバ
イトから数ギガバイトの大きさを持つハードディスクを
シュミレーションで作成するためには、メモリサイズは
10キロバイトから数百キロバイトのみが必要とされるに
過ぎない。大容量のハードディスクをシュミレーション
するために本システムではほんの少しのメモリしか使わ
ないため、このシステムに必要とされるハードディスク
は一般的なコンピュータによって実現可能である。さら
に、検索・駆除ステップの間、本物のハードディスクは
アクセスされず、且つ仮想ハードディスクは、実際は小
さいメモリ領域であるため、処理スピードは速く、時間
は節約される。これに加え、仮想ハードディスクはメモ
リの単なる一部分で、本物のディスクは感染も損傷も受
けない。メモリの物理的な特徴は破壊されてはおらず、
ユーザシステムには無害である。
おいては、ユニット8がハードディスクをシュミレーシ
ョンするために使う場合、世界的構造である可変Hard_D
isk_Strucを予め定義することができ、それにより、空
ディスク、システムファイル及びバイトファイルを記録
したディスク等のシュミレーション作成されたハードデ
ィスクをコントロールする。
領域を主として割り当てることによりフロッピィディス
クをシュミレーションで作成することができ、通常のも
のと同一の構造を有する仮想のフロッピィディスクをメ
モリ領域に構築する。通常のものと同一の構造には、ブ
ートセクタ、ファイル位置テーブル(FAT)、ルートデ
ィレクトリ領域、そして、必要なシステムファイル(例
えば、IO.SYS,MSDOS.SYS、COMMAND.COMがDOSシステム
のために必要とされる)、並びにテスト用のバイトファ
イル(すなわち、DOSEXE.EXE,DOS COM.COMのようなファ
イル)を含んでいる。これらのすべてに必要なデータは
10キロバイトの大きさの領域を占めるに過ぎない。本
発明の一実施形態において、世界的構造である可変flop
py_disk_strucを予め定義することができ、それによ
り、空ディスク、ブートディスク、システムファイル及
びバイトファイルを記録したフロッピィディスク等のシ
ュミレーション作成された仮想フロッピィディスクをコ
ントロールする。例えば、360キロバイト、720キ
ロバイト、1.2メガバイト、1.44メガバイト、な
どのサイズのフロッピィディスクを世界的なバリエーシ
ョンとして作成することができる。
クやフロッピィディスクもシュミレーションで作成され
る。上記の柔軟な対応により、システム時間の消費が節
約され、仮想の周辺装置8は作られたメモリ領域へ必要
とされたデータをアップロードする。
7を含む上記全てのプログラムユニットは、プログラミ
ング言語を知っている当業者によって実現することがで
きる。それらには、CPUをシュミレーション作成するた
めの全指示、メモリの管理及びアクセスの操作の全指
示、全種類のデータ構造及びOSの機能サービスのため
実行コードを含んでいる。これらの全ては市販のプログ
ラム技術によって実行できるものであり、従って、本明
細書ではその詳細を省略する。
るため、目標対象に含まれるウィルスをアクティブにし
てウィルスとしての行動を行わせる。例えば、目標対象
が実行可能なバイナリファイル(DOS EXEファイル、DOS
COMファイル、DOS BATファイル、WINDOWS NEファイ
ル、PEファイル)である場合、実行するための手段をア
クティブにする。目標対象が実行可能なマクロを持つWO
RDファイルのような文書ファイルの場合、マクロが実行
されるような方法でそれをアクティブにする。
む仮想のシステム時計を含むもので、それにより、CIH
ウィルス(4月26日、13日の金曜日などに攻撃す
る)のように時間や日付に敏感なウィルスを誘発させ
る。図1に描かれているように、ウィルス検索・駆除プ
ログラム2の検索部分は複数の基準バイト11やバイト
セットを含む、1セットの基準バイトを提供する。バイ
トはウィルスに感染した可能性のある既知の対象を参照
する。本発明の一実施形態において、バイトはDOSのウ
ィルスに対してはDOSプログラムであり、WINDOWS95のウ
ィルスにはWINDOWS95のプログラムであり、WORDのウィ
ルスのためにはWORDの文書である。以下、同様。バイト
は目標対象がどんなものであれ、目標対象と同じタイプ
の実行可能な実在である。バイトは汚染されていなく、
その大きさ、内容、構造、どのような行動をするのかの
機能は既知であるのに対し、目標対象がウィルスを持っ
ているかどうかは検索されるべき前には分からない。だ
からもしそれらがウィルスを持っていたら、それらの大
きさ、構造、どのような行動をするのかの機能は分から
ない。
選ぶことができず、しかし既知のウィルスに対して複数
の実験によって該ウィルスに感染することが実証されて
いる実行可能な実在でなければならない。それらの大き
さ、内容はウィルスにとって、“おいしい”、つまりそ
れらは感染しやすいものである。もしバイトがウィルス
に感染したら、そこから情報を引き出すことができる。
つまりバイトは感染しやすい既知の実行可能な実在であ
り、バイトセットは感染しやすい全種類の1セットを構
成する既知の実行可能な実在である。
て、基準バイト11は、例えば1キロバイトから60キ
ロバイトまでの(1キロバイト、2.5キロバイト、1
2キロバイト、20キロバイト、30キロバイト、40
キロバイトのような)違う大きさを持った複数のバイト
ファイルを含むDOS COMタイプのバイトセットと;それ
ぞれがJMP,CALL,MOV,XORであるべきバイトセット中のフ
ァイルの第一指示と;異なる時間、日付及びアトリビュ
ートを持ち、それらに敏感な異なる種類のウィルスを誘
発させるバイトセットの中のファイルと;を含んでい
る。
大きさが0x20,0x200,0x400、0x600、0x800で;ファイ
ルの大きさが4KB,10KB,20KB,40KB,80KBで;その最後の
ページの大きさが0x00,0x03,0x80,0x87,0x100,0x1
98で;そのリロケーションアイテムの数字が0x00,0x0
1,0x02,0x04,0x10であるが、完全にはリロケーショ
ンアイテムテーブルを占領しないもので; CS及びIPレ
ジスタが様々な値のもので;プログラム本体のスタック
位置がプログラム本体の冒頭、中間、末尾またはプログ
ラム本体に隣接した位置である(プログラム本体の
外);ように構築することができる。
システムに対して、異なるバージョンのブートセクタの
セットや主ブートセクタを含むブートタイプのバイトセ
ットを含むように構築することができる。実際、それら
は、WIN9X,PCDOS,DRDOSWIN9Xに対して、異なるバージョ
ンのブートセクタや主ブートセクタを含む仮想のハード
ディスクやフロッピィディスクであり、それにより、コ
ンピュータシュミレーションユニット4によって作られ
るBOOTタイプのウィルスを誘発する。
きさ、タイプのWORD文書を含むMACROウィルスのための
バイトセットを含むように構築することができる、それ
により、MACROウィルスを誘発し感染させる。
誘発ユニット10は(ウィルスサンプル製造マシーンと
もよばれる)ウィルス感染を誘発するためのプロセスを
遂行する上記全種類のバイトセットを使う機能ユニット
で、従って、検索されるべきファイル及びその中に存在
する可能性の有るウィルスを動作して、それにより、で
きる限りたくさん、基準ホストファイル(すなわち、上
記の全バイト)に感染させる。そして、ウィルス認識ユ
ニット12は、ウィルスサンプル製造マシーン10に感
染したバイトがあるかどうか決定する。具体的には、ウ
ィルス認識ユニット12は、検索されるべき目標対象を
ウィルス感染誘発ユニット10中で動作させた後のバイ
トと動作させる前のバイトとを比較し、変化の有無を調
査する。動作の前後でバイト変化がある場合、目標対象
がウィルスを有している決定され、当該変化したバイト
はウィルスサンプルとなる。つまり、もしウィルスサン
プル製造マシーン10がサンプル13を作らなかった
ら、目標対象は汚染されてはいない。そうでないなら、
目標対象はウィルスを含んでいて、ホストファイル(バ
イト)はウィルス駆除のための全ての情報を含む基準サ
ンプルとなる。本発明の一実施形態において、上記仮想
DOSシステムの上記仮想メモリにウィルスが存在した
ら、ウィルスサンプル製造マシーン10は、実行し、開
き、読み込み、閉じ、検索する等を通じて、DOSEXE,DOS
COMタイプのバイトを動作させ、それによって、できる
限りそのバイトに感染させる。感染又は修正があった場
合、その目標対象は基準サンプルとなる。
トそれ自身が基準サンプルになる。しかし、ブートセク
タタイプのウィルスには、ウィルスサンプル製造マシー
ン10が、ウィルスによって変えられた仮想ハードディ
スクや仮想フロッピィディスクのブートセクタの情報に
従って、基準サンプルを作る。
した基準バイト又はホストを参照する。基準ホストは、
ウィルス分析装置によって既知とされる大きさ、内容、
構造を持つ実行可能なボディであり、適当な感染状態の
下でウィルスを持っていそうなものである。
施形態においては、発明に係るウィルス駆除部分のウィ
ルス学習マシーン14(基準サンプル分析装置とも呼ば
れる)は、上記の基準バイト11と作られた基準サンプ
ル13とを比較し、サンプルを分析し、ウィルスを駆除
するために必要とされた情報やウィルスに関する全ての
情報を抽出する。このプロセスは、ウィルス学習マシー
ンの学習プロセスと呼ばれる。ウィルス学習マシーンの
学習プロセスは、人手による仕事をシュミレーションに
よって行うウィルス学習プロセスで特徴コードを使用し
ない。すなわち、特徴コードを用いてウィルスの駆除を
行うものとは完全に異なるものである。基準サンプルか
らウィルス学習マシーンによって抽出される知識や情報
は、ウィルスの大きさ;ホストファイル中のウィルスの
位置;ウィルスが暗号化され且つ変態化しているかどう
か;ウィルスがホストを暗号化しているかどうか;ウィ
ルスが駆除できない(除去のみによってできる)ほどひ
どい損傷を受けていないかどうか;ウィルスがホストを
移動しているかどうか;ウィルスがホストの分節を連結
しているかどうか;そして、ホスト対象のキー情報の価
値や位置が修正されているかどうかなどを含む。
ィルス学習マシーン14は2種類の知識を抽出する。一
つ目はウィルスの大きさであり、二つ目はホスト対象の
オリジナルの機能が統合されたままか、ウィルスによっ
て損傷を受けているかどうかである。ウィルスの大きさ
を計算するために使われる計算法のひとつは、基準サン
プルから基準バイト(ホスト)の大きさを引き算するこ
とである。該計算法により、それが終了する又は仮想コ
ンピュータが停止するまでに、コンピュータシュミレー
ションユニット4によって作られた仮想コンピュータ環
境中の基準サンプルに対しホスト対象のオリジナルの機
能が動作したか否かが決定される。もし、プロセスの間
に基準バイトのオリジナルの機能が現れたら、ホスト対
象のオリジナルの機能は統合されたままであった事を示
し、そうでなければそれらは破壊されたのである。
は、ウィルス分析装置に蓄積された既知ウィルスの特徴
ライブラリにある情報(データやコード)によってウィ
ルスを駆除する。しかし本発明に係るウィルス駆除ユニ
ット15は、人手による仕事をシュミレーションすると
共に、既知ウィルスの特徴コードを使うこと無く、ウィ
ルス学習ユニット14によってリアルタイムに学習され
た知識に従ってウィルスを駆除するウィルス駆除ユニッ
トである。ウィルスを駆除する基本理念は、“結んだ者
がそれを解くことができる。”である。つまり、ウィル
スサンプル製造ユニット10及びウィルス駆除ユニット
14は、ウィルスの感染プロセスを学習し、感染結果
(基準サンプル)を分析してウィルスのデータやアトリ
ビュートを獲得する。ウィルスの特徴は感染し拡散する
一方でそれ自身を隠蔽することにある。つまり、たいて
いのウィルスはホストのオリジナルの機能に損傷を与え
ることはなく、もしウィルス駆除ユニット15が実際に
ウィルスに対して実行しても、ウィルスはホスト対象を
回復させ、そして、ウィルス駆除ユニットはウィルスに
よって回復されたホスト対象を汚染されていない対象と
してディスクに救済してしまうこととなる(もし、対象
がディスクの中とは異なる方法でメモリ内に存在する場
合には、対応する変更を行うべきである)。ウィルスが
回復した場合、ホスト対象は、ウィルス学習マシーンに
よって学んだウィルスのアトリビュートによって、判断
されなければならない。例えば、本発明の一実施形態に
おいて、ウイルスによる自己復帰方法はウィルス駆除ユ
ニット15が感染の逆プロセスすなわち、ウィルス駆除
の過程を推論する方法のひとつとなる。もし、ウィルス
駆除マシーンがウィルスのデータ又はアトリビュートを
十分に学習したなら、全てのアトリビュート又はデータ
を用いて元のホストのキー情報(ウィルスによって修正
された情報)を計算し、ウィルスを駆除する。ウィルス
についてのリアルタイムの学習やそれを用いてのリアル
タイム駆除は、ウィルス駆除ユニット15によって実現
される。これは、全ての既知のウィルス撃退ソフトウェ
ア製品に対して有利であるとは言えない。
除ユニット15がDOS COMタイプの普通のウィルスを駆
除するプロセスは次のようである。まず、もし基準サン
プルのオリジナルの機能が統合されていない場合、ウィ
ルスを持っているファイルは削除され、そうでなければ
プロセスは次のステップへと進む。検索されるべきDOS
COMタイプの目標ファイルを仮想コンピュータ環境にロ
ードし、仮想CPU中のプログラムセグメントレジスタCS
の値がプログラムセグメントプレフィックスレジスタの
アドレスと等しくなり且つIPレジスタの値が0x0100にな
るまで実行する。三番目に、駆除された目標対象の大き
さを計算する。駆除されたDOS COMファイルの大きさ
は、感染したDOS COMファイルの大きさからウイルスの
大きさを引くことにより計算する。四番目に、仮想メモ
リの内容を(CS:IP)から(CS:IP+駆除されたDOS COMフ
ァイルのサイズ)へと蓄積し直すことにより駆除された
目標DOS COMファイルをファイルとして発生させる。
ィルスについての知識を得ることができなかった場合、
又は、ウィルス学習ユニット16が、ホストのオリジナ
ルの機能が損傷を受けたと判断した場合、目標対象は削
除される。
の一実施形態に係るウィルス駆除方法のプロセスの流れ
図である。流れ図中の全てのステップは図1のそれぞれ
の処理ユニットで実行されもので、それにより、ウィル
ス検索・駆除プロセスの全体を構成する。図2に示され
ているように、まず検索されるべき目標対象19は、ハ
ードディスク、フロッピィディスク、インターネット
(ステップS101)を通じて入力されたデータから読み込ま
れる。そして、目標対象がウィルスを持っている可能性
のある対象かどうかの決定がなされる(ステップS10
2)。ウィルスを持っている可能性のある対象は、理論
的にウィルスに感染させるために利用できるが、ウィル
スを持っている必要は必ずしもない。ウィルスを持って
いる可能性のある対象は、「.exe」、「.com」、「.ba
t」、「.doc」NEやPEタイプのファイル、ディスクのブ
ートセクタや主ブートセクタのような実行可能な実在で
なければならない。実行不能の実在、例えば、「.txt」
は、ウィルスを持つことは不可能である。
ルスを持っている可能性が有る対象と決定されたら、ウ
ィルスを検索し駆除するために次のプロセスに進む。も
し、目標対象がウィルスを持つことができないものであ
る場合、例えば、「.txt」のような実行不能の対象であ
る場合、目標対象は汚染されていないと決定される。も
し、対象が未知なら、対象は未知のものであると報告さ
れる。
ミレーションユニット4は、仮想のCPU、仮想のOS、仮
想の周辺保存装置(ハードディスクやフロッピィディス
ク)、仮想のメモリ、仮想のシステム時計を含む仮想の
コンピュータ環境を作り、それにより、内部にウィルス
を持っている可能性のある対象を仮想上実行する。ステ
ップS104において、ウィルスに感染し得る複数のバイト
を提供する。バイトは、上記のファイルタイプのバイト
セットや仮想ハードディスクや仮想フロッピィディスク
におけるブートセクタタイプのバイトセットを含む。ス
テップS105において、目標対象19を仮想コンピュータ
環境内に置く。ステップS106において、目標対象に付着
していた可能性の有るウィルスがアクティブにされ、つ
まり、仮想コンピュータ環境及びバイトファイルが感染
するように誘発する。一方、ステップS107において、バ
イトが感染したかどうかの決定がなされる。一方で、ス
テップS108において、仮想のコンピュータ環境が感染し
たかどうかの決定がなされる。すなわち、仮想のメモ
リ、仮想のハードディスクやフロッピィディスクが感染
したかどうかの決定がなされる。もし、ステップS107に
おいて、バイトが感染していると判断されたら、プロセ
スは図3のステップS111に進む。そうでなければ、目標
対象は汚染されていないと報告される。もし、ステップ
S111において、仮想のコンピュータ環境がウィルスを持
っていると決定されたら、プロセスは図3のステップS1
10に進む。できる限り多くの操作を仮想コンピュータ環
境内でバイトに対して行い、それにより、できる限りそ
れらが感染するようにウィルスを誘発する。その後、感
染したバイトがあるかどうかもう一度判断するためにプ
ロセスはステップS107に戻る。
において、検索されるべき目標対象がウィルスを持って
いると報告された場合、基準サンプルが作られ、さら
に、DOSウィルスや、MACROウィルスやブートセクタウィ
ルスのようなウィルスのタイプが分析される。しかる
後、ウィルスを駆除すべきかどうか決定をユーザに促す
ためにプロセスはステップS112に進む。もし、目標対象
は感染したという報告に対し、ユーザがウィルスを駆除
することを必要としなかった場合、ステップS109におい
て検索システムは終了する。そうでなければ、もしユー
ザがウィルス駆除を必要としていたら、プロセスはステ
ップS113に進む。
タ環境において作られた全基準サンプルが抽出される。
そして、ステップS114において、これら抽出された基準
サンプルはウィルス学習マシーン14によって分析され
る。すなわち、その主部分が基準サンプルのオリジナル
の機能(基準バイトのオリジナルの機能)が変えられた
かどうかを判断する。ステップS115において、基準ホス
トのオリジナル機能の統合性が調べられる。もし、統合
されていなかったら、プロセスはステップS116に進む。
そうでなければプロセスはステップS120に進む。
リジナル機能がウィルスによって復帰できないほど破壊
されたら、ホストは削除されねばならなくなるであろ
う。ステップS117において、ユーザが感染したファイル
を削除することを望んでいるか否かが問われる。もしイ
エスなら、ファイルは削除される(ステップS117)。そ
うでなければ、ウィルス駆除プロセスは終了する(ステ
ップS119)。
において、ウィルス学習ユニット14はウィルスに関す
る全ての知識を学習し、十分学習するまで、できるかぎ
りウィルスを駆除するために必要とされるキーデータ又
はアトリビュートを得る。例えば、DOS COMウィルスに
ついては、次の知識シーケンスで十分である;まず、ウ
ィルスが暗号化されていないか、変態化されていない
か、そして、その大きさが変えられていないか;二番目
に、ウィルスの大きさ;三番目に、ウィルスがホストの
初めの3バイトを変えていること;四番目に、ウィルス
が存在するホストの初めのバイトがどこにあるか、であ
る。
ス駆除ユニット15は、検索されるべきホスト内のウィ
ルス(ホスト対象)によって修正されたキーデータやア
トリビュートを、ウィルス学習マシーン14によって学
習された知識によってサーチし計算する。例えば、DOS
COMウィルスには次の情報である事が知られている;ま
ず、ウィルスは暗号化又は変態化されていない、そし
て、その大きさは変えられないこと;二番目に、ウィル
スの大きさ;三番目に、ウィルスがホストの初めの三バ
イトだけを変えていること;四番目に、ウィルスが存在
しているホストの初めの三バイトがどこにあるかが既知
であること;である((ウィルス本体に対する)data_o
ffset_in_virus)。従って、ウィルス駆除のためのステ
ップは次のようになる。まず、ファイル中のウィルス本
体の位置(virus_offset_in_file)は、目標対象の大き
さ(file_size)からウィルスの大きさ(virus_size)
を引き算することによって計算される;二番目に、ホス
トの最初の三バイトの位置((ウィルス本体に対する)
data_offset_in_virus)が計算され、それは(virus_of
fset_in_file)と(data_offset_in_virus)との合計に
等しい;三番目に、ホストの初めの三バイトは(data_o
ffset_in_virus)の位置における三バイトのデータによ
って置き換えられる;そして、四番目に、感染したファ
ウルの最後の部分はウィルスの大きさのバイト分だけ最
後から削除される;である。
修正されたホスト情報のオリジナル値の計算が成功した
かどうかの判断がなされる。もし成功していなかった
ら、ウィルス駆除のプロセスは失敗したのである(ステ
ップS125)。そうでなければ、プロセスはステップS123
に進む。
修正されたファイルの大きさやファイルヘッダのデータ
などの目標ファイル(ホスト対象)のデータやアトリビ
ュートは再保存される。それゆえ、ウィルスは駆除され
る。
成功したと言う報告がなされる。しかる後、プロセスは
ステップS119に進み、ウィルス駆除プロセスは終了す
る。
及び全ての各ユニットは、普通のコンピュータ言語(C
言語のような)を使って実現することができ、それによ
り、対応するソフトウェアをプログラムする。そして、
そのようなソフトウェアは、普通のコンピュータで実行
可能である;フロッピィディスクの中に保存され、それ
により、販売され又は使用される;またはネットワーク
又はインターネットを通して伝達又はダウンロードさ
れ、そして、実行される。
係るコンピュータウィルス検索・駆除の方法及びシステ
ムは、コンピュータウィルスの基本的な特徴、すなわ
ち、感染性という能力を利用するもので、それにより、
ウィルスを検索し、ウィルスについての知識をリアルタ
イムで学習し且つ利用する。それは、従来の全てのウィ
ルス撃退ソフトウェア商品よりも有利である。本発明は
その特定の行動ではなく、その代わりに、その“結果”
によってウィルスを特定する。従来のものは、「行動/
結果による技術」と名づけられている。もちろん、本発
明の方法も、ウィルスの行動やそれら行動の結果の両方
を認識するし、その結果に従って、ウィルスを安全に駆
除できる。しかし、本発明は、特定の個々の行動(ディ
スクへの書き込みなど)は調べず、従って、かなりの時
間が節約され、スピードが速い。さらに、本発明は、実
メモリの小さい領域のみを使って、ウィルスの生存や再
生のための仮想コンピュータ環境を提供する。従って、
十分早い処理スピードを有しており、最大限、ウィルス
の感染を誘発する。
方法により、たいていの既知・未知のウィルスは、もは
や人手による分析を必要とせず、また、ウィルスの特徴
コードを用いずに駆除される;そして、同時に新しく出
現したウィルスを見つけることができる;駆除すること
ができるウィルスも限界がなく;そして、本発明に使わ
れるウィルス撃退ソフトウェアはもはやウィルスに遅れ
をとることはなく、未知のウィルスを確実に検索・駆除
できる。
述べられているが、それは本発明の範囲を限定する意味
ではない。本発明の精神や範囲から逸脱することなく、
様々な変化や修正が可能であることは当業者によって理
解されるであろう。それゆえ、発明の範囲は、添付した
請求の範囲によって定義されるべきである。
索・駆除するコンピュータシステムの枠組みを説明する
ためのブロック図である。
除するための方法を示す流れ図である。
除するための方法を示す流れ図である。
除するための方法を示す流れ図である。
Claims (22)
- 【請求項1】 コンピュータウィルス検索・駆除方法で
あって、 コンピュータウィルスが存在する仮想のコンピュータ環
境をコンピュータ内にシュミレーションとして作成する
ステップと、 ウィルス感染を誘発するためにコンピュータウィルスに
よって感染されるべき複数の対象すなわちバイトを提供
するステップと、 シュミレーションとして作成された仮想コンピュータ環
境に検索すべき目標対象をロードするステップと、 シュミレーション作成された仮想コンピュータ環境内に
ある検索されるべき目的対象をアクティブにし、前記目
的対象に付着していた可能性のあるウィルスを誘引して
感染されるべき複数の対象を感染させると共に、実際に
感染した基準サンプルを生成させるステップと、そし
て、 前記アクティブにするステップで処理した後の複数の対
象と、もともと提供された感染されるべき複数の対象と
を比較し、変化があるかどうかを調べて、もし変化があ
れば検索されるべき目標対象はウィルスを含んでいた、
また、変化がなければ目標対象はウィルスを含んでいな
かったと決定するステップと、 を含んでなるコンピュータウィルス検索・駆除方法。 - 【請求項2】 請求項1に記載のコンピュータウィルス
検索・駆除方法において、 更に、生成した基準サンプルを分析することによりウィ
ルスから学習し、ウィルスを分析すると共に、検索され
るべき目標対象がウィルスを含んでいると決定されたら
ウィルスに関する情報や知識を抽出するステップと、そ
して、 ウィルス本体を除去することにより感染した対象からウ
ィルスを駆除すると共に、ウィルスによって変更された
キー情報を、該ウィルスに関する前記情報や知識に基づ
き、また、前記感染した対象、すなわち、バイトに対し
てウィルスが行った修正に基づき修正するステップと、 を含んで構成されてなるコンピュータウィルス検索・駆
除方法。 - 【請求項3】 請求項1又は2に記載のコンピュータウ
ィルス検索・駆除方法において、 前記コンピュータシュミレーションステップは、 中央処理ユニット(CPU)のシュミレーション作成指示
によって、CPUをシュミレーションで作成するステップ
と、 オペレーションシステム(OS)によって提供された様々
なサービス及び様々なデータ構造をシュミレーションで
作成することによってOSをシュミレーションするステッ
プと、 保存空間及びシュミレーションされたハードディスクや
フロッピィディスク等を含む様々な周辺保存装置の構造
をシュミレーションで作成することによって周辺保存装
置をシュミレーションするステップと、そして、 シュミレーションされたメモリスペースを発生させ、分
配し、管理することによってメモリをシュミレーション
するステップと、 を呼び出し且つ実行する機能的ファンクションを提供す
るステップを含んで構成されてなるコンピュータウィル
ス検索・駆除方法。 - 【請求項4】 請求項3に記載のコンピュータウィルス
検索・駆除方法において、 検索されるべき目標対象は、異なる大きさ、異なるタイ
プのウィルスを誘発する内容及び種々の感染条件を持つ
全ての種類のバイト、例えば、DOS COMタイプのウィル
スを誘発するDOS COMタイプ用DOSファイルタイプのバイ
ト、DOS ブートセクタタイプのウィルスを誘発するシュ
ミレーション作成されたDOSブートセクタ、マクロウィ
ルスからなるウィルスを誘発するWORDファイルタイプの
バイト等を含んで構成されてなるコンピュータウィルス
検索・駆除方法。 - 【請求項5】 請求項4に記載のコンピュータウィルス
検索・駆除方法において、 異なる大きさや内容を持つ複数のバイトが、出来るだけ
検索されるべき目標対象に付着したウィルスの感染条件
を満たすように、所定のウィルスタイプについて供給さ
れてなるコンピュータウィルス検索・駆除方法。 - 【請求項6】 請求項5に記載のコンピュータウィルス
検索・駆除方法において、更に、時間や日付に敏感なウ
ィルスを誘発するために仮想の時計や日付を発生させる
システム時計をシュミレーションで作成するステップを
含んで構成されてなるコンピュータウィルス検索・駆除
方法。 - 【請求項7】 請求項6に記載のコンピュータウィルス
検索・駆除方法において、 前記OSシュミレーションステップが、DOS,WINDOWS(登
録商標),UNIX(登録商標)のためのOSの一つをシュミ
レーションで作成するステップを含んで構成されてなる
コンピュータウィルス検索・駆除方法。 - 【請求項8】 請求項2に記載のコンピュータウィルス
検索・駆除方法において、 前記ウィルス駆除ステップにおいて、ウィルスは、感染
したホスト対象、すなわち、ウィルスを持っていると判
断された検索されるべき目標対象からオリジナルの目標
対象を再保存するように仮想的に動作し、しかる後、該
ウィルスは駆除されることを特徴とするコンピュータウ
ィルス検索・駆除方法。 - 【請求項9】 請求項3に記載のコンピュータウィルス
検索・駆除方法において、 前記周辺保存装置シュミレーションステップは、メモリ
の中に仮想ハードディスクをシュミレーションで作成す
る小さなメモリ領域を割り当てると共に、該仮想ハード
ディスクは、通常のものと同じ構造、すなわち、セクタ
番号、トラク番号及びシリンダ番号によって特定される
三次元空間、主ブートセクタ及び0トラックの対応する
空セクタ、隣のブートセクタ、ファイル位置テーブル
(FAT)、ルートディレクトリ領域、そして、必要なシ
ステムファイル並びにウィルスを誘発するバイトファイ
ルを含んでいることを特徴とするコンピュータウィルス
検索・駆除方法。 - 【請求項10】 請求項3に記載のコンピュータウィル
ス検索・駆除方法において、 前記周辺保存装置シュミレーションステップは、メモリ
の中に仮想フロッピィディスクをシュミレーションで作
成する小さなメモリ領域を割り当てると共に、該仮想ハ
ードディスクは、通常のものと同じ構造、すなわち、ブ
ートセクタ、ファイル位置テーブル(FAT)、ルートデ
ィレクトリ領域、そして、必要なシステムファイル並び
にウィルスを誘発するバイトファイルを含んでいること
を特徴とするコンピュータウィルス検索・駆除方法。 - 【請求項11】 コンピュータウィルスの検索・駆除の
ための一般的なコンピュータシステムを含むコンピュー
タシステムであって、 コンピュータウィルスが存在する仮想のコンピュータ環
境をコンピュータ内にシュミレーションとして作成する
コンピュータシュミレーションユニットと;ウィルス感
染を誘発するために提供されたコンピュータウィルスに
よって感染されるべき複数の対象すなわちバイトと;シ
ュミレーションとして作成された仮想コンピュータ環境
に検索すべき目標対象をロードする制御ユニットと、 シュミレーション作成された仮想コンピュータ環境内に
ある検索されるべき目的対象をアクティブにし、前記目
的対象に付着していた可能性のあるウィルスを誘引して
感染されるべき複数の対象を感染させると共に、実際に
感染した基準サンプルを生成させるウィルス感染誘引ユ
ニットと、 前記ウィルス感染誘発ユニットで処理した後の複数の対
象と、もともと提供された感染されるべき複数の対象と
を比較し、変化があるかどうかを調べて、もし変化があ
れば検索されるべき目標対象はウィルスを含んでいた、
また、変化がなければ目標対象はウィルスを含んでいな
かったと決定するウィルス存否決定ユニットと、 を含んでなるコンピュータウィルス検索・駆除システ
ム。 - 【請求項12】請求項11に記載のコンピュータウィル
ス検索・駆除システムにおいて、さらに、 生成した基準サンプルを分析しウィルスがあると判断さ
れたらウィルスに関する情報や知識を抽出するウィルス
分析・学習手段と、そして、 ウィルス本体を除去することにより感染した対象からウ
ィルスを駆除すると共に、ウィルスによって変更された
キー情報を、該ウィルスに関する前記情報や知識に基づ
き、また、前記感染した対象、すなわち、バイトに対し
てウィルスが行った修正に基づき修正するウィルス駆除
ユニットと、 を含んで構成されてなるコンピュータウィルス検索・駆
除システム。 - 【請求項13】 請求項11又は12に記載のコンピュ
ータウィルス検索・駆除システムにおいて、 中央処理ユニット(CPU)のシュミレーション作成指示
を行うCPUシュミレーションユニットと、 オペレーションシステム(OS)によって提供された様々
なサービス及び様々なデータ構造をシュミレーションで
作成するOSシュミレーションユニットと、 保存空間及びシュミレーションされたハードディスクや
フロッピィディスク等を含む様々な周辺保存装置の構造
をシュミレーションで作成する周辺保存装置シュミレー
ションユニットと、そして、 シュミレーションされたメモリスペースを発生させ、分
配し、管理するメモリシュミレーションユニットと、 を含んでなり、前記各ユニットは、呼び出されることに
より利用可能で且つメモリ空間に割り当てられており、
現実のCPU、OS、周辺保存装置からは独立している機能
的ファンクションを含んでなることを特徴とするコンピ
ュータウィルス検索・駆除システム。 - 【請求項14】 請求項13に記載のコンピュータウィ
ルス検索・駆除システムにおいて、 検索されるべき目標対象は、異なる大きさ、異なるタイ
プのウィルスを誘発する内容及び種々の感染条件を持つ
全ての種類のバイト、例えば、DOS COMタイプのウィル
スを誘発するDOS COMタイプ用DOSファイルタイプのバイ
ト、DOS ブートセクタタイプのウィルスを誘発するシュ
ミレーション作成されたDOSブートセクタ、マクロウィ
ルスからなるウィルスを誘発するWORDファイルタイプの
バイト等を含んで構成されてなるコンピュータウィルス
検索・駆除システム。 - 【請求項15】 請求項14に記載のコンピュータウィ
ルス検索・駆除システムにおいて、 異なる大きさや内容を持つ複数のバイトが、出来るだけ
検索されるべき目標対象に付着したウィルスの感染条件
を満たすように、所定のウィルスタイプについて供給さ
れてなるコンピュータウィルス検索・駆除システム。 - 【請求項16】 請求項15に記載のコンピュータウィ
ルス検索・駆除システムにおいて、更に、 時間や日付に敏感なウィルスを誘発するために仮想の時
計や日付を発生させるシステム時計シュミレーションユ
ニットを含んで構成されてなるコンピュータウィルス検
索・駆除システム。 - 【請求項17】請求項16に記載のコンピュータウィル
ス検索・駆除システムにおいて、 前記OSシュミレーションユニットが、DOS,WINDOWS,UNIX
のためのOSの一つをシュミレーションすることを特徴と
するコンピュータウィルス検索・駆除システム。 - 【請求項18】 請求項12に記載のコンピュータウィ
ルス検索・駆除システムにおいて、 前記ウィルス駆除ユニットは、ウィルスが感染したホス
ト対象、すなわち、ウィルスを持っていると判断された
検索されるべき目標対象からオリジナルの目標対象を再
保存するように動作し、しかる後、該ウィルスは駆除さ
れることを特徴とするコンピュータウィルス検索・駆除
システム。 - 【請求項19】 請求項13に記載のコンピュータウィ
ルス検索・駆除システムにおいて、 前記周辺保存装置シュミレーションユニットは、メモリ
の中に仮想ハードディスクをシュミレーションで作成す
る小さなメモリ領域を割り当てると共に、該仮想ハード
ディスクは、通常のものと同じ構造、すなわち、セクタ
番号、トラク番号及びシリンダ番号によって特定される
三次元空間、主ブートセクタ及び0トラックの対応する
空セクタ、隣のブートセクタ、ファイル位置テーブル
(FAT)、ルートディレクトリ領域、そして、必要なシ
ステムファイル並びにウィルスを誘発するバイトファイ
ルを含んでいることを特徴とするコンピュータウィルス
検索・駆除システム。 - 【請求項20】 請求項13に記載のコンピュータウィ
ルス検索・駆除システムにおいて、 前記周辺保存装置シュミレーションユニットは、メモリ
の中に仮想フロッピィディスクをシュミレーションで作
成する小さなメモリ領域を割り当てると共に、該仮想ハ
ードディスクは、通常のものと同じ構造、すなわち、ブ
ートセクタ、ファイル位置テーブル(FAT)、ルートデ
ィレクトリ領域、そして、必要なシステムファイル並び
にウィルスを誘発するバイトファイルを含んでいること
を特徴とするコンピュータウィルス検索・駆除システ
ム。 - 【請求項21】 請求項1〜10のいずれかに記載の方
法のステップをコンピュータが実行するようにしたプロ
グラムをコンピュータ読み込み可能に記録したコンピュ
ータ記録媒体。 - 【請求項22】ネットワーク伝達を経由して請求項1〜
10のいずれかに記載の方法のステップをコンピュータ
が実行するようにした伝送媒体。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB011177268A CN1147795C (zh) | 2001-04-29 | 2001-04-29 | 检测和清除已知及未知计算机病毒的方法、系统 |
CN01117726.8 | 2001-04-29 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2002342106A true JP2002342106A (ja) | 2002-11-29 |
Family
ID=4662848
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2001345236A Withdrawn JP2002342106A (ja) | 2001-04-29 | 2001-11-09 | 既知や未知のコンピュータウィルスの検索・駆除方法 |
Country Status (4)
Country | Link |
---|---|
US (1) | US20020162015A1 (ja) |
EP (1) | EP1253501A3 (ja) |
JP (1) | JP2002342106A (ja) |
CN (1) | CN1147795C (ja) |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100830434B1 (ko) | 2005-11-08 | 2008-05-20 | 한국정보보호진흥원 | 악성코드 수집 시스템 및 방법 |
KR100833958B1 (ko) * | 2006-07-28 | 2008-05-30 | 고려대학교 산학협력단 | 악성 프로그램을 탐지하는 프로그램이 저장된 기록 매체 및악성 프로그램 탐지 방법 |
EP2154626A2 (en) | 2008-08-13 | 2010-02-17 | Fujitsu Ltd. | Anti-virus method, computer, and recording medium |
JP2011233126A (ja) * | 2010-04-28 | 2011-11-17 | Electronics And Telecommunications Research Institute | 正常プロセスに偽装挿入された悪性コード検出装置、システム及びその方法 |
JP2014519113A (ja) * | 2011-05-24 | 2014-08-07 | パロ・アルト・ネットワークス・インコーポレーテッド | マルウェア解析システム |
US8887281B2 (en) | 2002-01-25 | 2014-11-11 | The Trustees Of Columbia University In The City Of New York | System and methods for adaptive model generation for detecting intrusion in computer systems |
US8931094B2 (en) | 2001-08-16 | 2015-01-06 | The Trustees Of Columbia University In The City Of New York | System and methods for detecting malicious email transmission |
US9001661B2 (en) | 2006-06-26 | 2015-04-07 | Palo Alto Networks, Inc. | Packet classification in a network security device |
KR101512454B1 (ko) * | 2013-12-24 | 2015-04-16 | 한국인터넷진흥원 | 시분할 방식의 배양기반 악성코드 분석시스템 |
US9043917B2 (en) | 2011-05-24 | 2015-05-26 | Palo Alto Networks, Inc. | Automatic signature generation for malicious PDF files |
US9306966B2 (en) | 2001-12-14 | 2016-04-05 | The Trustees Of Columbia University In The City Of New York | Methods of unsupervised anomaly detection using a geometric framework |
KR20160138523A (ko) * | 2015-03-18 | 2016-12-05 | 바이두 온라인 네트웍 테크놀러지 (베이징) 캄파니 리미티드 | 위험 파일에 대응하는 행위 정보를 결정하는 방법 및 장치 |
US9565097B2 (en) | 2008-12-24 | 2017-02-07 | Palo Alto Networks, Inc. | Application based packet forwarding |
Families Citing this family (279)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7089591B1 (en) | 1999-07-30 | 2006-08-08 | Symantec Corporation | Generic detection and elimination of marco viruses |
WO2002093334A2 (en) | 2001-04-06 | 2002-11-21 | Symantec Corporation | Temporal access control for computer virus outbreaks |
US7356736B2 (en) * | 2001-09-25 | 2008-04-08 | Norman Asa | Simulated computer system for monitoring of software performance |
US7506374B2 (en) * | 2001-10-31 | 2009-03-17 | Computer Associates Think, Inc. | Memory scanning system and method |
US9652613B1 (en) | 2002-01-17 | 2017-05-16 | Trustwave Holdings, Inc. | Virus detection by executing electronic message code in a virtual machine |
US7370360B2 (en) * | 2002-05-13 | 2008-05-06 | International Business Machines Corporation | Computer immune system and method for detecting unwanted code in a P-code or partially compiled native-code program executing within a virtual machine |
US7155742B1 (en) | 2002-05-16 | 2006-12-26 | Symantec Corporation | Countering infections to communications modules |
US7367056B1 (en) | 2002-06-04 | 2008-04-29 | Symantec Corporation | Countering malicious code infections to computer files that have been infected more than once |
US7398465B2 (en) * | 2002-06-20 | 2008-07-08 | The Boeing Company | System and method for identifying, classifying, extracting and resolving hidden entities |
US7418729B2 (en) * | 2002-07-19 | 2008-08-26 | Symantec Corporation | Heuristic detection of malicious computer code by page tracking |
US7380277B2 (en) | 2002-07-22 | 2008-05-27 | Symantec Corporation | Preventing e-mail propagation of malicious computer code |
US7487543B2 (en) * | 2002-07-23 | 2009-02-03 | International Business Machines Corporation | Method and apparatus for the automatic determination of potentially worm-like behavior of a program |
US7478431B1 (en) * | 2002-08-02 | 2009-01-13 | Symantec Corporation | Heuristic detection of computer viruses |
US7526809B2 (en) * | 2002-08-08 | 2009-04-28 | Trend Micro Incorporated | System and method for computer protection against malicious electronic mails by analyzing, profiling and trapping the same |
US7331062B2 (en) | 2002-08-30 | 2008-02-12 | Symantec Corporation | Method, computer software, and system for providing end to end security protection of an online transaction |
US7832011B2 (en) * | 2002-08-30 | 2010-11-09 | Symantec Corporation | Method and apparatus for detecting malicious code in an information handling system |
US7188369B2 (en) * | 2002-10-03 | 2007-03-06 | Trend Micro, Inc. | System and method having an antivirus virtual scanning processor with plug-in functionalities |
US7469419B2 (en) * | 2002-10-07 | 2008-12-23 | Symantec Corporation | Detection of malicious computer code |
US20060031938A1 (en) * | 2002-10-22 | 2006-02-09 | Unho Choi | Integrated emergency response system in information infrastructure and operating method therefor |
US7159149B2 (en) * | 2002-10-24 | 2007-01-02 | Symantec Corporation | Heuristic detection and termination of fast spreading network worm attacks |
US7991827B1 (en) * | 2002-11-13 | 2011-08-02 | Mcafee, Inc. | Network analysis system and method utilizing collected metadata |
US7249187B2 (en) * | 2002-11-27 | 2007-07-24 | Symantec Corporation | Enforcement of compliance with network security policies |
US7631353B2 (en) * | 2002-12-17 | 2009-12-08 | Symantec Corporation | Blocking replication of e-mail worms |
US7296293B2 (en) * | 2002-12-31 | 2007-11-13 | Symantec Corporation | Using a benevolent worm to assess and correct computer security vulnerabilities |
US7203959B2 (en) | 2003-03-14 | 2007-04-10 | Symantec Corporation | Stream scanning through network proxy servers |
US8271774B1 (en) | 2003-08-11 | 2012-09-18 | Symantec Corporation | Circumstantial blocking of incoming network traffic containing code |
US7337327B1 (en) | 2004-03-30 | 2008-02-26 | Symantec Corporation | Using mobility tokens to observe malicious mobile code |
US8881282B1 (en) | 2004-04-01 | 2014-11-04 | Fireeye, Inc. | Systems and methods for malware attack detection and identification |
US8204984B1 (en) | 2004-04-01 | 2012-06-19 | Fireeye, Inc. | Systems and methods for detecting encrypted bot command and control communication channels |
US8898788B1 (en) | 2004-04-01 | 2014-11-25 | Fireeye, Inc. | Systems and methods for malware attack prevention |
US7587537B1 (en) | 2007-11-30 | 2009-09-08 | Altera Corporation | Serializer-deserializer circuits formed from input-output circuit registers |
US8561177B1 (en) | 2004-04-01 | 2013-10-15 | Fireeye, Inc. | Systems and methods for detecting communication channels of bots |
US8006305B2 (en) * | 2004-06-14 | 2011-08-23 | Fireeye, Inc. | Computer worm defense system and method |
US8539582B1 (en) * | 2004-04-01 | 2013-09-17 | Fireeye, Inc. | Malware containment and security analysis on connection |
US8584239B2 (en) * | 2004-04-01 | 2013-11-12 | Fireeye, Inc. | Virtual machine with dynamic data flow analysis |
US8528086B1 (en) | 2004-04-01 | 2013-09-03 | Fireeye, Inc. | System and method of detecting computer worms |
US8566946B1 (en) | 2006-04-20 | 2013-10-22 | Fireeye, Inc. | Malware containment on connection |
US8375444B2 (en) | 2006-04-20 | 2013-02-12 | Fireeye, Inc. | Dynamic signature creation and enforcement |
US9027135B1 (en) | 2004-04-01 | 2015-05-05 | Fireeye, Inc. | Prospective client identification using malware attack detection |
US8793787B2 (en) | 2004-04-01 | 2014-07-29 | Fireeye, Inc. | Detecting malicious network content using virtual environment components |
US9106694B2 (en) | 2004-04-01 | 2015-08-11 | Fireeye, Inc. | Electronic message analysis for malware detection |
US8171553B2 (en) | 2004-04-01 | 2012-05-01 | Fireeye, Inc. | Heuristic based capture with replay to virtual machine |
US8549638B2 (en) | 2004-06-14 | 2013-10-01 | Fireeye, Inc. | System and method of containing computer worms |
US7370233B1 (en) | 2004-05-21 | 2008-05-06 | Symantec Corporation | Verification of desired end-state using a virtual machine environment |
US7441042B1 (en) | 2004-08-25 | 2008-10-21 | Symanetc Corporation | System and method for correlating network traffic and corresponding file input/output traffic |
US7509680B1 (en) * | 2004-09-01 | 2009-03-24 | Symantec Corporation | Detecting computer worms as they arrive at local computers through open network shares |
US7690034B1 (en) | 2004-09-10 | 2010-03-30 | Symantec Corporation | Using behavior blocking mobility tokens to facilitate distributed worm detection |
US7533131B2 (en) * | 2004-10-01 | 2009-05-12 | Webroot Software, Inc. | System and method for pestware detection and removal |
JP4327698B2 (ja) * | 2004-10-19 | 2009-09-09 | 富士通株式会社 | ネットワーク型ウィルス活動検出プログラム、処理方法およびシステム |
US7565686B1 (en) | 2004-11-08 | 2009-07-21 | Symantec Corporation | Preventing unauthorized loading of late binding code into a process |
US8104086B1 (en) | 2005-03-03 | 2012-01-24 | Symantec Corporation | Heuristically detecting spyware/adware registry activity |
US20060277183A1 (en) * | 2005-06-06 | 2006-12-07 | Tony Nichols | System and method for neutralizing locked pestware files |
US8452744B2 (en) * | 2005-06-06 | 2013-05-28 | Webroot Inc. | System and method for analyzing locked files |
US20070006311A1 (en) * | 2005-06-29 | 2007-01-04 | Barton Kevin T | System and method for managing pestware |
US20090144826A2 (en) * | 2005-06-30 | 2009-06-04 | Webroot Software, Inc. | Systems and Methods for Identifying Malware Distribution |
US20070016951A1 (en) * | 2005-07-13 | 2007-01-18 | Piccard Paul L | Systems and methods for identifying sources of malware |
CN100373287C (zh) * | 2005-11-16 | 2008-03-05 | 白杰 | 检测程序操作行为的方法及病毒程序检测、清除方法 |
CN100465978C (zh) * | 2005-11-16 | 2009-03-04 | 白杰 | 被病毒程序破坏的数据恢复方法、装置及病毒清除方法 |
CN100437614C (zh) * | 2005-11-16 | 2008-11-26 | 白杰 | 未知病毒程序的识别及清除方法 |
US7721333B2 (en) * | 2006-01-18 | 2010-05-18 | Webroot Software, Inc. | Method and system for detecting a keylogger on a computer |
US20070203884A1 (en) * | 2006-02-28 | 2007-08-30 | Tony Nichols | System and method for obtaining file information and data locations |
US20070226800A1 (en) * | 2006-03-22 | 2007-09-27 | Tony Nichols | Method and system for denying pestware direct drive access |
US8079032B2 (en) * | 2006-03-22 | 2011-12-13 | Webroot Software, Inc. | Method and system for rendering harmless a locked pestware executable object |
US20070261117A1 (en) * | 2006-04-20 | 2007-11-08 | Boney Matthew L | Method and system for detecting a compressed pestware executable object |
US8201243B2 (en) * | 2006-04-20 | 2012-06-12 | Webroot Inc. | Backwards researching activity indicative of pestware |
US8181244B2 (en) * | 2006-04-20 | 2012-05-15 | Webroot Inc. | Backward researching time stamped events to find an origin of pestware |
US20070250818A1 (en) * | 2006-04-20 | 2007-10-25 | Boney Matthew L | Backwards researching existing pestware |
US20070294396A1 (en) * | 2006-06-15 | 2007-12-20 | Krzaczynski Eryk W | Method and system for researching pestware spread through electronic messages |
US20080010326A1 (en) * | 2006-06-15 | 2008-01-10 | Carpenter Troy A | Method and system for securely deleting files from a computer storage device |
US20070294767A1 (en) * | 2006-06-20 | 2007-12-20 | Paul Piccard | Method and system for accurate detection and removal of pestware |
US20080010538A1 (en) * | 2006-06-27 | 2008-01-10 | Symantec Corporation | Detecting suspicious embedded malicious content in benign file formats |
US8239915B1 (en) | 2006-06-30 | 2012-08-07 | Symantec Corporation | Endpoint management using trust rating data |
US7996903B2 (en) | 2006-07-07 | 2011-08-09 | Webroot Software, Inc. | Method and system for detecting and removing hidden pestware files |
US20080028466A1 (en) * | 2006-07-26 | 2008-01-31 | Michael Burtscher | System and method for retrieving information from a storage medium |
US8578495B2 (en) * | 2006-07-26 | 2013-11-05 | Webroot Inc. | System and method for analyzing packed files |
US20080028462A1 (en) * | 2006-07-26 | 2008-01-31 | Michael Burtscher | System and method for loading and analyzing files |
US7590707B2 (en) * | 2006-08-07 | 2009-09-15 | Webroot Software, Inc. | Method and system for identifying network addresses associated with suspect network destinations |
US8065664B2 (en) * | 2006-08-07 | 2011-11-22 | Webroot Software, Inc. | System and method for defining and detecting pestware |
US8190868B2 (en) | 2006-08-07 | 2012-05-29 | Webroot Inc. | Malware management through kernel detection |
US8171550B2 (en) * | 2006-08-07 | 2012-05-01 | Webroot Inc. | System and method for defining and detecting pestware with function parameters |
US20080127352A1 (en) * | 2006-08-18 | 2008-05-29 | Min Wang | System and method for protecting a registry of a computer |
US7769992B2 (en) | 2006-08-18 | 2010-08-03 | Webroot Software, Inc. | File manipulation during early boot time |
US8898276B1 (en) * | 2007-01-11 | 2014-11-25 | Crimson Corporation | Systems and methods for monitoring network ports to redirect computing devices to a protected network |
EP2127311B1 (en) | 2007-02-02 | 2013-10-09 | Websense, Inc. | System and method for adding context to prevent data leakage over a computer network |
US20080209544A1 (en) * | 2007-02-27 | 2008-08-28 | Battelle Memorial Institute | Device security method using device specific authentication |
US20080271019A1 (en) * | 2007-04-24 | 2008-10-30 | Stratton Robert J | System and Method for Creating a Virtual Assurance System |
WO2008131456A1 (en) * | 2007-04-24 | 2008-10-30 | Stacksafe, Inc. | System and method for managing an assurance system |
US8402529B1 (en) | 2007-05-30 | 2013-03-19 | M86 Security, Inc. | Preventing propagation of malicious software during execution in a virtual machine |
CN101441687B (zh) * | 2007-11-21 | 2010-07-14 | 珠海金山软件股份有限公司 | 一种提取病毒文件的病毒特征的方法及其装置 |
KR20090065977A (ko) * | 2007-12-18 | 2009-06-23 | 삼성에스디에스 주식회사 | 파일의 바이러스 감염여부 판정방법 |
CA2718594A1 (en) * | 2008-03-19 | 2009-09-24 | Websense, Inc. | Method and system for protection against information stealing software |
US9130986B2 (en) | 2008-03-19 | 2015-09-08 | Websense, Inc. | Method and system for protection against information stealing software |
US9015842B2 (en) | 2008-03-19 | 2015-04-21 | Websense, Inc. | Method and system for protection against information stealing software |
US8370948B2 (en) | 2008-03-19 | 2013-02-05 | Websense, Inc. | System and method for analysis of electronic information dissemination events |
US8407784B2 (en) | 2008-03-19 | 2013-03-26 | Websense, Inc. | Method and system for protection against information stealing software |
US8484736B2 (en) * | 2008-06-06 | 2013-07-09 | Sandisk Il Ltd. | Storage device having an anti-malware protection |
CN101645119B (zh) * | 2008-08-07 | 2012-05-23 | 中国科学院软件研究所 | 一种基于虚拟硬件环境的恶意代码自动分析方法及系统 |
US8776038B2 (en) | 2008-08-07 | 2014-07-08 | Code Systems Corporation | Method and system for configuration of virtualized software applications |
US8434093B2 (en) | 2008-08-07 | 2013-04-30 | Code Systems Corporation | Method and system for virtualization of software applications |
CN101727348B (zh) * | 2008-10-10 | 2013-02-13 | 华为数字技术(成都)有限公司 | 一种可疑代码分析方法及装置 |
US8997219B2 (en) | 2008-11-03 | 2015-03-31 | Fireeye, Inc. | Systems and methods for detecting malicious PDF network content |
US8850571B2 (en) | 2008-11-03 | 2014-09-30 | Fireeye, Inc. | Systems and methods for detecting malicious network content |
US11489857B2 (en) | 2009-04-21 | 2022-11-01 | Webroot Inc. | System and method for developing a risk profile for an internet resource |
EP2443580A1 (en) | 2009-05-26 | 2012-04-25 | Websense, Inc. | Systems and methods for efficeint detection of fingerprinted data and information |
US8832829B2 (en) | 2009-09-30 | 2014-09-09 | Fireeye, Inc. | Network-based binary file extraction and analysis for malware detection |
US8347382B2 (en) * | 2009-12-17 | 2013-01-01 | International Business Machines Corporation | Malicious software prevention using shared information |
US8954958B2 (en) | 2010-01-11 | 2015-02-10 | Code Systems Corporation | Method of configuring a virtual application |
US8959183B2 (en) * | 2010-01-27 | 2015-02-17 | Code Systems Corporation | System for downloading and executing a virtual application |
US9104517B2 (en) | 2010-01-27 | 2015-08-11 | Code Systems Corporation | System for downloading and executing a virtual application |
US9229748B2 (en) | 2010-01-29 | 2016-01-05 | Code Systems Corporation | Method and system for improving startup performance and interoperability of a virtual application |
EP2553581A1 (en) * | 2010-03-26 | 2013-02-06 | Telcordia Technologies, Inc. | Detection of global metamorphic malware variants using control and data flow analysis |
US9213838B2 (en) | 2011-05-13 | 2015-12-15 | Mcafee Ireland Holdings Limited | Systems and methods of processing data associated with detection and/or handling of malware |
US8763009B2 (en) | 2010-04-17 | 2014-06-24 | Code Systems Corporation | Method of hosting a first application in a second application |
US9098333B1 (en) | 2010-05-07 | 2015-08-04 | Ziften Technologies, Inc. | Monitoring computer process resource usage |
US9218359B2 (en) | 2010-07-02 | 2015-12-22 | Code Systems Corporation | Method and system for profiling virtual application resource utilization patterns by executing virtualized application |
CN101930517B (zh) * | 2010-10-13 | 2012-11-28 | 四川通信科研规划设计有限责任公司 | 一种僵尸程序的检测方法 |
US9021015B2 (en) | 2010-10-18 | 2015-04-28 | Code Systems Corporation | Method and system for publishing virtual applications to a web server |
US9209976B2 (en) | 2010-10-29 | 2015-12-08 | Code Systems Corporation | Method and system for restricting execution of virtual applications to a managed process environment |
CN102339371B (zh) * | 2011-09-14 | 2013-12-25 | 奇智软件(北京)有限公司 | 一种检测恶意程序的方法、装置及虚拟机 |
WO2013073504A1 (ja) * | 2011-11-15 | 2013-05-23 | 独立行政法人科学技術振興機構 | プログラム解析・検証サービス提供システム、その制御方法、制御プログラム、コンピュータを機能させるための制御プログラム、プログラム解析・検証装置、プログラム解析・検証ツール管理装置 |
US9519782B2 (en) | 2012-02-24 | 2016-12-13 | Fireeye, Inc. | Detecting malicious network content |
US9384349B2 (en) * | 2012-05-21 | 2016-07-05 | Mcafee, Inc. | Negative light-weight rules |
CN102841999B (zh) * | 2012-07-16 | 2016-12-21 | 北京奇虎科技有限公司 | 一种文件宏病毒的检测方法和装置 |
US9241259B2 (en) | 2012-11-30 | 2016-01-19 | Websense, Inc. | Method and apparatus for managing the transfer of sensitive information to mobile devices |
CN102999726B (zh) * | 2012-12-14 | 2015-07-01 | 北京奇虎科技有限公司 | 文件宏病毒免疫方法和装置 |
US10572665B2 (en) | 2012-12-28 | 2020-02-25 | Fireeye, Inc. | System and method to create a number of breakpoints in a virtual machine via virtual machine trapping events |
US9332028B2 (en) | 2013-01-25 | 2016-05-03 | REMTCS Inc. | System, method, and apparatus for providing network security |
US9525700B1 (en) | 2013-01-25 | 2016-12-20 | REMTCS Inc. | System and method for detecting malicious activity and harmful hardware/software modifications to a vehicle |
US9367681B1 (en) | 2013-02-23 | 2016-06-14 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications using symbolic execution to reach regions of interest within an application |
US9824209B1 (en) | 2013-02-23 | 2017-11-21 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications that is usable to harden in the field code |
US9009822B1 (en) | 2013-02-23 | 2015-04-14 | Fireeye, Inc. | Framework for multi-phase analysis of mobile applications |
US9176843B1 (en) | 2013-02-23 | 2015-11-03 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications |
US8990944B1 (en) | 2013-02-23 | 2015-03-24 | Fireeye, Inc. | Systems and methods for automatically detecting backdoors |
US9195829B1 (en) | 2013-02-23 | 2015-11-24 | Fireeye, Inc. | User interface with real-time visual playback along with synchronous textual analysis log display and event/time index for anomalous behavior detection in applications |
US9009823B1 (en) | 2013-02-23 | 2015-04-14 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications installed on mobile devices |
US9159035B1 (en) | 2013-02-23 | 2015-10-13 | Fireeye, Inc. | Framework for computer application analysis of sensitive information tracking |
CN104022998B (zh) * | 2013-03-01 | 2016-12-28 | 北京瑞星信息技术股份有限公司 | 网络传输数据病毒检测处理方法 |
US9355247B1 (en) | 2013-03-13 | 2016-05-31 | Fireeye, Inc. | File extraction from memory dump for malicious content analysis |
US9626509B1 (en) | 2013-03-13 | 2017-04-18 | Fireeye, Inc. | Malicious content analysis with multi-version application support within single operating environment |
US9565202B1 (en) | 2013-03-13 | 2017-02-07 | Fireeye, Inc. | System and method for detecting exfiltration content |
US9104867B1 (en) | 2013-03-13 | 2015-08-11 | Fireeye, Inc. | Malicious content analysis using simulated user interaction without user involvement |
US9430646B1 (en) | 2013-03-14 | 2016-08-30 | Fireeye, Inc. | Distributed systems and methods for automatically detecting unknown bots and botnets |
US9311479B1 (en) | 2013-03-14 | 2016-04-12 | Fireeye, Inc. | Correlation and consolidation of analytic data for holistic view of a malware attack |
US10713358B2 (en) | 2013-03-15 | 2020-07-14 | Fireeye, Inc. | System and method to extract and utilize disassembly features to classify software intent |
US9251343B1 (en) | 2013-03-15 | 2016-02-02 | Fireeye, Inc. | Detecting bootkits resident on compromised computers |
WO2014145805A1 (en) | 2013-03-15 | 2014-09-18 | Mandiant, Llc | System and method employing structured intelligence to verify and contain threats at endpoints |
US9495180B2 (en) | 2013-05-10 | 2016-11-15 | Fireeye, Inc. | Optimized resource allocation for virtual machines within a malware content detection system |
US9635039B1 (en) | 2013-05-13 | 2017-04-25 | Fireeye, Inc. | Classifying sets of malicious indicators for detecting command and control communications associated with malware |
US10133863B2 (en) | 2013-06-24 | 2018-11-20 | Fireeye, Inc. | Zero-day discovery system |
US9536091B2 (en) | 2013-06-24 | 2017-01-03 | Fireeye, Inc. | System and method for detecting time-bomb malware |
US9300686B2 (en) | 2013-06-28 | 2016-03-29 | Fireeye, Inc. | System and method for detecting malicious links in electronic messages |
US9888016B1 (en) | 2013-06-28 | 2018-02-06 | Fireeye, Inc. | System and method for detecting phishing using password prediction |
CN103428212A (zh) * | 2013-08-08 | 2013-12-04 | 电子科技大学 | 一种恶意代码检测及防御的方法 |
US9294501B2 (en) | 2013-09-30 | 2016-03-22 | Fireeye, Inc. | Fuzzy hash of behavioral results |
US9736179B2 (en) | 2013-09-30 | 2017-08-15 | Fireeye, Inc. | System, apparatus and method for using malware analysis results to drive adaptive instrumentation of virtual machines to improve exploit detection |
US10192052B1 (en) | 2013-09-30 | 2019-01-29 | Fireeye, Inc. | System, apparatus and method for classifying a file as malicious using static scanning |
US9171160B2 (en) | 2013-09-30 | 2015-10-27 | Fireeye, Inc. | Dynamically adaptive framework and method for classifying malware using intelligent static, emulation, and dynamic analyses |
US10515214B1 (en) | 2013-09-30 | 2019-12-24 | Fireeye, Inc. | System and method for classifying malware within content created during analysis of a specimen |
US9690936B1 (en) | 2013-09-30 | 2017-06-27 | Fireeye, Inc. | Multistage system and method for analyzing obfuscated content for malware |
US10089461B1 (en) | 2013-09-30 | 2018-10-02 | Fireeye, Inc. | Page replacement code injection |
US9628507B2 (en) | 2013-09-30 | 2017-04-18 | Fireeye, Inc. | Advanced persistent threat (APT) detection center |
US10075460B2 (en) | 2013-10-16 | 2018-09-11 | REMTCS Inc. | Power grid universal detection and countermeasure overlay intelligence ultra-low latency hypervisor |
US9921978B1 (en) | 2013-11-08 | 2018-03-20 | Fireeye, Inc. | System and method for enhanced security of storage devices |
US9189627B1 (en) | 2013-11-21 | 2015-11-17 | Fireeye, Inc. | System, apparatus and method for conducting on-the-fly decryption of encrypted objects for malware detection |
US9747446B1 (en) | 2013-12-26 | 2017-08-29 | Fireeye, Inc. | System and method for run-time object classification |
US9756074B2 (en) | 2013-12-26 | 2017-09-05 | Fireeye, Inc. | System and method for IPS and VM-based detection of suspicious objects |
US9292686B2 (en) | 2014-01-16 | 2016-03-22 | Fireeye, Inc. | Micro-virtualization architecture for threat-aware microvisor deployment in a node of a network environment |
US9262635B2 (en) | 2014-02-05 | 2016-02-16 | Fireeye, Inc. | Detection efficacy of virtual machine-based analysis with application specific events |
US9241010B1 (en) | 2014-03-20 | 2016-01-19 | Fireeye, Inc. | System and method for network behavior detection |
US10242185B1 (en) | 2014-03-21 | 2019-03-26 | Fireeye, Inc. | Dynamic guest image creation and rollback |
US9591015B1 (en) | 2014-03-28 | 2017-03-07 | Fireeye, Inc. | System and method for offloading packet processing and static analysis operations |
US9223972B1 (en) | 2014-03-31 | 2015-12-29 | Fireeye, Inc. | Dynamically remote tuning of a malware content detection system |
US9432389B1 (en) | 2014-03-31 | 2016-08-30 | Fireeye, Inc. | System, apparatus and method for detecting a malicious attack based on static analysis of a multi-flow object |
KR101593163B1 (ko) * | 2014-05-12 | 2016-02-15 | 한국전자통신연구원 | 실 환경 악성코드 분석 장치 및 방법 |
US9973531B1 (en) | 2014-06-06 | 2018-05-15 | Fireeye, Inc. | Shellcode detection |
US9594912B1 (en) | 2014-06-06 | 2017-03-14 | Fireeye, Inc. | Return-oriented programming detection |
US9438623B1 (en) | 2014-06-06 | 2016-09-06 | Fireeye, Inc. | Computer exploit detection using heap spray pattern matching |
US10084813B2 (en) | 2014-06-24 | 2018-09-25 | Fireeye, Inc. | Intrusion prevention and remedy system |
US9398028B1 (en) | 2014-06-26 | 2016-07-19 | Fireeye, Inc. | System, device and method for detecting a malicious attack based on communcations between remotely hosted virtual machines and malicious web servers |
US10805340B1 (en) | 2014-06-26 | 2020-10-13 | Fireeye, Inc. | Infection vector and malware tracking with an interactive user display |
US10002252B2 (en) | 2014-07-01 | 2018-06-19 | Fireeye, Inc. | Verification of trusted threat-aware microvisor |
US9363280B1 (en) | 2014-08-22 | 2016-06-07 | Fireeye, Inc. | System and method of detecting delivery of malware using cross-customer data |
US10671726B1 (en) | 2014-09-22 | 2020-06-02 | Fireeye Inc. | System and method for malware analysis using thread-level event monitoring |
US9773112B1 (en) | 2014-09-29 | 2017-09-26 | Fireeye, Inc. | Exploit detection of malware and malware families |
US10027689B1 (en) | 2014-09-29 | 2018-07-17 | Fireeye, Inc. | Interactive infection visualization for improved exploit detection and signature generation for malware and malware families |
CN104484605A (zh) * | 2014-12-10 | 2015-04-01 | 央视国际网络无锡有限公司 | 云存储环境病毒源检测方法 |
US9690933B1 (en) | 2014-12-22 | 2017-06-27 | Fireeye, Inc. | Framework for classifying an object as malicious with machine learning for deploying updated predictive models |
US10075455B2 (en) | 2014-12-26 | 2018-09-11 | Fireeye, Inc. | Zero-day rotating guest image profile |
US9934376B1 (en) | 2014-12-29 | 2018-04-03 | Fireeye, Inc. | Malware detection appliance architecture |
US9838417B1 (en) | 2014-12-30 | 2017-12-05 | Fireeye, Inc. | Intelligent context aware user interaction for malware detection |
US9690606B1 (en) | 2015-03-25 | 2017-06-27 | Fireeye, Inc. | Selective system call monitoring |
US10148693B2 (en) | 2015-03-25 | 2018-12-04 | Fireeye, Inc. | Exploit detection system |
US9438613B1 (en) | 2015-03-30 | 2016-09-06 | Fireeye, Inc. | Dynamic content activation for automated analysis of embedded objects |
US10417031B2 (en) | 2015-03-31 | 2019-09-17 | Fireeye, Inc. | Selective virtualization for security threat detection |
US10474813B1 (en) | 2015-03-31 | 2019-11-12 | Fireeye, Inc. | Code injection technique for remediation at an endpoint of a network |
US9483644B1 (en) | 2015-03-31 | 2016-11-01 | Fireeye, Inc. | Methods for detecting file altering malware in VM based analysis |
US10346623B1 (en) * | 2015-03-31 | 2019-07-09 | Amazon Technologies, Inc. | Service defense techniques |
US9654485B1 (en) | 2015-04-13 | 2017-05-16 | Fireeye, Inc. | Analytics-based security monitoring system and method |
US9594904B1 (en) | 2015-04-23 | 2017-03-14 | Fireeye, Inc. | Detecting malware based on reflection |
US11113086B1 (en) | 2015-06-30 | 2021-09-07 | Fireeye, Inc. | Virtual system and method for securing external network connectivity |
US10454950B1 (en) | 2015-06-30 | 2019-10-22 | Fireeye, Inc. | Centralized aggregation technique for detecting lateral movement of stealthy cyber-attacks |
US10726127B1 (en) | 2015-06-30 | 2020-07-28 | Fireeye, Inc. | System and method for protecting a software component running in a virtual machine through virtual interrupts by the virtualization layer |
US10642753B1 (en) | 2015-06-30 | 2020-05-05 | Fireeye, Inc. | System and method for protecting a software component running in virtual machine using a virtualization layer |
US10715542B1 (en) | 2015-08-14 | 2020-07-14 | Fireeye, Inc. | Mobile application risk analysis |
US10176321B2 (en) | 2015-09-22 | 2019-01-08 | Fireeye, Inc. | Leveraging behavior-based rules for malware family classification |
US10033747B1 (en) | 2015-09-29 | 2018-07-24 | Fireeye, Inc. | System and method for detecting interpreter-based exploit attacks |
US9825989B1 (en) | 2015-09-30 | 2017-11-21 | Fireeye, Inc. | Cyber attack early warning system |
US10706149B1 (en) | 2015-09-30 | 2020-07-07 | Fireeye, Inc. | Detecting delayed activation malware using a primary controller and plural time controllers |
US10817606B1 (en) | 2015-09-30 | 2020-10-27 | Fireeye, Inc. | Detecting delayed activation malware using a run-time monitoring agent and time-dilation logic |
US9825976B1 (en) | 2015-09-30 | 2017-11-21 | Fireeye, Inc. | Detection and classification of exploit kits |
US10601865B1 (en) | 2015-09-30 | 2020-03-24 | Fireeye, Inc. | Detection of credential spearphishing attacks using email analysis |
CN105099834B (zh) * | 2015-09-30 | 2018-11-13 | 北京华青融天技术有限责任公司 | 一种自定义特征码的方法和装置 |
US10210329B1 (en) | 2015-09-30 | 2019-02-19 | Fireeye, Inc. | Method to detect application execution hijacking using memory protection |
US10284575B2 (en) | 2015-11-10 | 2019-05-07 | Fireeye, Inc. | Launcher for setting analysis environment variations for malware detection |
US10447728B1 (en) | 2015-12-10 | 2019-10-15 | Fireeye, Inc. | Technique for protecting guest processes using a layered virtualization architecture |
US10846117B1 (en) | 2015-12-10 | 2020-11-24 | Fireeye, Inc. | Technique for establishing secure communication between host and guest processes of a virtualization architecture |
US10108446B1 (en) | 2015-12-11 | 2018-10-23 | Fireeye, Inc. | Late load technique for deploying a virtualization layer underneath a running operating system |
US10210331B2 (en) * | 2015-12-24 | 2019-02-19 | Mcafee, Llc | Executing full logical paths for malware detection |
US10050998B1 (en) | 2015-12-30 | 2018-08-14 | Fireeye, Inc. | Malicious message analysis system |
US10621338B1 (en) | 2015-12-30 | 2020-04-14 | Fireeye, Inc. | Method to detect forgery and exploits using last branch recording registers |
US10565378B1 (en) | 2015-12-30 | 2020-02-18 | Fireeye, Inc. | Exploit of privilege detection framework |
US10133866B1 (en) * | 2015-12-30 | 2018-11-20 | Fireeye, Inc. | System and method for triggering analysis of an object for malware in response to modification of that object |
US11552986B1 (en) | 2015-12-31 | 2023-01-10 | Fireeye Security Holdings Us Llc | Cyber-security framework for application of virtual features |
US9824216B1 (en) | 2015-12-31 | 2017-11-21 | Fireeye, Inc. | Susceptible environment detection system |
US10581874B1 (en) | 2015-12-31 | 2020-03-03 | Fireeye, Inc. | Malware detection system with contextual analysis |
US10601863B1 (en) | 2016-03-25 | 2020-03-24 | Fireeye, Inc. | System and method for managing sensor enrollment |
US10476906B1 (en) | 2016-03-25 | 2019-11-12 | Fireeye, Inc. | System and method for managing formation and modification of a cluster within a malware detection system |
US10785255B1 (en) | 2016-03-25 | 2020-09-22 | Fireeye, Inc. | Cluster configuration within a scalable malware detection system |
US10671721B1 (en) | 2016-03-25 | 2020-06-02 | Fireeye, Inc. | Timeout management services |
US10893059B1 (en) | 2016-03-31 | 2021-01-12 | Fireeye, Inc. | Verification and enhancement using detection systems located at the network periphery and endpoint devices |
US10826933B1 (en) | 2016-03-31 | 2020-11-03 | Fireeye, Inc. | Technique for verifying exploit/malware at malware detection appliance through correlation with endpoints |
US10169585B1 (en) | 2016-06-22 | 2019-01-01 | Fireeye, Inc. | System and methods for advanced malware detection through placement of transition events |
US10462173B1 (en) | 2016-06-30 | 2019-10-29 | Fireeye, Inc. | Malware detection verification and enhancement by coordinating endpoint and malware detection systems |
US10592678B1 (en) | 2016-09-09 | 2020-03-17 | Fireeye, Inc. | Secure communications between peers using a verified virtual trusted platform module |
US10491627B1 (en) | 2016-09-29 | 2019-11-26 | Fireeye, Inc. | Advanced malware detection using similarity analysis |
US10795991B1 (en) | 2016-11-08 | 2020-10-06 | Fireeye, Inc. | Enterprise search |
US10587647B1 (en) | 2016-11-22 | 2020-03-10 | Fireeye, Inc. | Technique for malware detection capability comparison of network security devices |
US10581879B1 (en) | 2016-12-22 | 2020-03-03 | Fireeye, Inc. | Enhanced malware detection for generated objects |
US10552610B1 (en) | 2016-12-22 | 2020-02-04 | Fireeye, Inc. | Adaptive virtual machine snapshot update framework for malware behavioral analysis |
US10523609B1 (en) | 2016-12-27 | 2019-12-31 | Fireeye, Inc. | Multi-vector malware detection and analysis |
US10904286B1 (en) | 2017-03-24 | 2021-01-26 | Fireeye, Inc. | Detection of phishing attacks using similarity analysis |
US10798112B2 (en) | 2017-03-30 | 2020-10-06 | Fireeye, Inc. | Attribute-controlled malware detection |
US10791138B1 (en) | 2017-03-30 | 2020-09-29 | Fireeye, Inc. | Subscription-based malware detection |
US10848397B1 (en) | 2017-03-30 | 2020-11-24 | Fireeye, Inc. | System and method for enforcing compliance with subscription requirements for cyber-attack detection service |
US10902119B1 (en) | 2017-03-30 | 2021-01-26 | Fireeye, Inc. | Data extraction system for malware analysis |
CN107231360A (zh) * | 2017-06-08 | 2017-10-03 | 上海斐讯数据通信技术有限公司 | 基于云网络的网络病毒防护方法、安全无线路由器和系统 |
CN109145599B (zh) * | 2017-06-27 | 2022-01-07 | 关隆股份有限公司 | 恶意病毒的防护方法 |
US10855700B1 (en) | 2017-06-29 | 2020-12-01 | Fireeye, Inc. | Post-intrusion detection of cyber-attacks during lateral movement within networks |
US10601848B1 (en) | 2017-06-29 | 2020-03-24 | Fireeye, Inc. | Cyber-security system and method for weak indicator detection and correlation to generate strong indicators |
US10503904B1 (en) | 2017-06-29 | 2019-12-10 | Fireeye, Inc. | Ransomware detection and mitigation |
US10893068B1 (en) | 2017-06-30 | 2021-01-12 | Fireeye, Inc. | Ransomware file modification prevention technique |
CN107423641B (zh) * | 2017-09-19 | 2023-10-03 | 中国南方电网有限责任公司超高压输电公司南宁监控中心 | 一种用于移动存储介质的防毒方法及防毒装置 |
US10747872B1 (en) | 2017-09-27 | 2020-08-18 | Fireeye, Inc. | System and method for preventing malware evasion |
US10805346B2 (en) | 2017-10-01 | 2020-10-13 | Fireeye, Inc. | Phishing attack detection |
US11108809B2 (en) | 2017-10-27 | 2021-08-31 | Fireeye, Inc. | System and method for analyzing binary code for malware classification using artificial neural network techniques |
US11005860B1 (en) | 2017-12-28 | 2021-05-11 | Fireeye, Inc. | Method and system for efficient cybersecurity analysis of endpoint events |
US11271955B2 (en) | 2017-12-28 | 2022-03-08 | Fireeye Security Holdings Us Llc | Platform and method for retroactive reclassification employing a cybersecurity-based global data store |
US11240275B1 (en) | 2017-12-28 | 2022-02-01 | Fireeye Security Holdings Us Llc | Platform and method for performing cybersecurity analyses employing an intelligence hub with a modular architecture |
US10826931B1 (en) | 2018-03-29 | 2020-11-03 | Fireeye, Inc. | System and method for predicting and mitigating cybersecurity system misconfigurations |
US11003773B1 (en) | 2018-03-30 | 2021-05-11 | Fireeye, Inc. | System and method for automatically generating malware detection rule recommendations |
US11558401B1 (en) | 2018-03-30 | 2023-01-17 | Fireeye Security Holdings Us Llc | Multi-vector malware detection data sharing system for improved detection |
US10956477B1 (en) | 2018-03-30 | 2021-03-23 | Fireeye, Inc. | System and method for detecting malicious scripts through natural language processing modeling |
US11075930B1 (en) | 2018-06-27 | 2021-07-27 | Fireeye, Inc. | System and method for detecting repetitive cybersecurity attacks constituting an email campaign |
US11314859B1 (en) | 2018-06-27 | 2022-04-26 | FireEye Security Holdings, Inc. | Cyber-security system and method for detecting escalation of privileges within an access token |
US11228491B1 (en) | 2018-06-28 | 2022-01-18 | Fireeye Security Holdings Us Llc | System and method for distributed cluster configuration monitoring and management |
US11316900B1 (en) | 2018-06-29 | 2022-04-26 | FireEye Security Holdings Inc. | System and method for automatically prioritizing rules for cyber-threat detection and mitigation |
US11182473B1 (en) | 2018-09-13 | 2021-11-23 | Fireeye Security Holdings Us Llc | System and method for mitigating cyberattacks against processor operability by a guest process |
US11763004B1 (en) | 2018-09-27 | 2023-09-19 | Fireeye Security Holdings Us Llc | System and method for bootkit detection |
US11368475B1 (en) | 2018-12-21 | 2022-06-21 | Fireeye Security Holdings Us Llc | System and method for scanning remote services to locate stored objects with malware |
US12074887B1 (en) | 2018-12-21 | 2024-08-27 | Musarubra Us Llc | System and method for selectively processing content after identification and removal of malicious content |
US11258806B1 (en) | 2019-06-24 | 2022-02-22 | Mandiant, Inc. | System and method for automatically associating cybersecurity intelligence to cyberthreat actors |
US11556640B1 (en) | 2019-06-27 | 2023-01-17 | Mandiant, Inc. | Systems and methods for automated cybersecurity analysis of extracted binary string sets |
US11392700B1 (en) | 2019-06-28 | 2022-07-19 | Fireeye Security Holdings Us Llc | System and method for supporting cross-platform data verification |
US11886585B1 (en) | 2019-09-27 | 2024-01-30 | Musarubra Us Llc | System and method for identifying and mitigating cyberattacks through malicious position-independent code execution |
US11637862B1 (en) | 2019-09-30 | 2023-04-25 | Mandiant, Inc. | System and method for surfacing cyber-security threats with a self-learning recommendation engine |
CN113051562A (zh) * | 2019-12-28 | 2021-06-29 | 深信服科技股份有限公司 | 一种病毒查杀方法、装置、设备及可读存储介质 |
CN112560040A (zh) * | 2020-12-25 | 2021-03-26 | 安芯网盾(北京)科技有限公司 | 一种计算机感染型病毒的通用检测的方法及装置 |
CN113836534B (zh) * | 2021-09-28 | 2024-04-12 | 深信服科技股份有限公司 | 一种病毒家族识别方法、系统、设备及计算机存储介质 |
CN116881918B (zh) * | 2023-09-08 | 2023-11-10 | 北京安天网络安全技术有限公司 | 进程安全检测防护方法、装置、电子设备及介质 |
Family Cites Families (33)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5301304A (en) * | 1988-05-20 | 1994-04-05 | International Business Machines Corporation | Emulating records in one record format in another record format |
US5371885A (en) * | 1989-08-29 | 1994-12-06 | Microsoft Corporation | High performance file system |
JP2888958B2 (ja) * | 1990-10-20 | 1999-05-10 | 富士通株式会社 | 部分書き換え可能な記憶媒体におけるファイル管理方式 |
US5408642A (en) * | 1991-05-24 | 1995-04-18 | Symantec Corporation | Method for recovery of a computer program infected by a computer virus |
US5454098A (en) * | 1992-09-28 | 1995-09-26 | Conner Peripherals, Inc. | Method of emulating access to a sequential access data storage device while actually using a random access storage device |
US5440723A (en) * | 1993-01-19 | 1995-08-08 | International Business Machines Corporation | Automatic immune system for computers and computer networks |
JP2501771B2 (ja) * | 1993-01-19 | 1996-05-29 | インターナショナル・ビジネス・マシーンズ・コーポレイション | 不所望のソフトウェア・エンティティの複数の有効なシグネチャを得る方法及び装置 |
US5398196A (en) * | 1993-07-29 | 1995-03-14 | Chambers; David A. | Method and apparatus for detection of computer viruses |
US5473765A (en) * | 1994-01-24 | 1995-12-05 | 3Com Corporation | Apparatus for using flash memory as a floppy disk emulator in a computer system |
CA2191205A1 (en) * | 1994-06-01 | 1995-12-07 | John Schnurer | Computer virus trap |
US5634096A (en) * | 1994-10-31 | 1997-05-27 | International Business Machines Corporation | Using virtual disks for disk system checkpointing |
US5485575A (en) * | 1994-11-21 | 1996-01-16 | International Business Machines Corporation | Automatic analysis of a computer virus structure and means of attachment to its hosts |
US5613002A (en) * | 1994-11-21 | 1997-03-18 | International Business Machines Corporation | Generic disinfection of programs infected with a computer virus |
US5706472A (en) * | 1995-02-23 | 1998-01-06 | Powerquest Corporation | Method for manipulating disk partitions |
US5675769A (en) * | 1995-02-23 | 1997-10-07 | Powerquest Corporation | Method for manipulating disk partitions |
US5826013A (en) * | 1995-09-28 | 1998-10-20 | Symantec Corporation | Polymorphic virus detection module |
US5765030A (en) * | 1996-07-19 | 1998-06-09 | Symantec Corp | Processor emulator module having a variable pre-fetch queue size for program execution |
US5696822A (en) * | 1995-09-28 | 1997-12-09 | Symantec Corporation | Polymorphic virus detection module |
US6067410A (en) * | 1996-02-09 | 2000-05-23 | Symantec Corporation | Emulation repair system |
US5822517A (en) * | 1996-04-15 | 1998-10-13 | Dotan; Eyal | Method for detecting infection of software programs by memory resident software viruses |
US5951698A (en) * | 1996-10-02 | 1999-09-14 | Trend Micro, Incorporated | System, apparatus and method for the detection and removal of viruses in macros |
US6560701B1 (en) * | 1997-02-10 | 2003-05-06 | International Business Machines Corporation | Alternate boot record |
US5887164A (en) * | 1997-06-06 | 1999-03-23 | National Instruments Corporation | System and method for enabling a target computer to use storage resources of a host computer |
US6067618A (en) * | 1998-03-26 | 2000-05-23 | Innova Patent Trust | Multiple operating system and disparate user mass storage resource separation for a computer system |
US6397242B1 (en) * | 1998-05-15 | 2002-05-28 | Vmware, Inc. | Virtualization system including a virtual machine monitor for a computer with a segmented architecture |
US6795966B1 (en) * | 1998-05-15 | 2004-09-21 | Vmware, Inc. | Mechanism for restoring, porting, replicating and checkpointing computer systems using state extraction |
US6711583B2 (en) * | 1998-09-30 | 2004-03-23 | International Business Machines Corporation | System and method for detecting and repairing document-infecting viruses using dynamic heuristics |
US6338141B1 (en) * | 1998-09-30 | 2002-01-08 | Cybersoft, Inc. | Method and apparatus for computer virus detection, analysis, and removal in real time |
US6356915B1 (en) * | 1999-02-22 | 2002-03-12 | Starbase Corp. | Installable file system having virtual file system drive, virtual device driver, and virtual disks |
US6192456B1 (en) * | 1999-03-30 | 2001-02-20 | Adaptec, Inc. | Method and apparatus for creating formatted fat partitions with a hard drive having a BIOS-less controller |
US6477624B1 (en) * | 1999-11-08 | 2002-11-05 | Ondotek, Inc. | Data image management via emulation of non-volatile storage device |
US7010698B2 (en) * | 2001-02-14 | 2006-03-07 | Invicta Networks, Inc. | Systems and methods for creating a code inspection system |
US7089589B2 (en) * | 2001-04-10 | 2006-08-08 | Lenovo (Singapore) Pte. Ltd. | Method and apparatus for the detection, notification, and elimination of certain computer viruses on a network using a promiscuous system as bait |
-
2001
- 2001-04-29 CN CNB011177268A patent/CN1147795C/zh not_active Expired - Lifetime
- 2001-09-11 EP EP01121848A patent/EP1253501A3/en not_active Withdrawn
- 2001-09-25 US US09/963,359 patent/US20020162015A1/en not_active Abandoned
- 2001-11-09 JP JP2001345236A patent/JP2002342106A/ja not_active Withdrawn
Cited By (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8931094B2 (en) | 2001-08-16 | 2015-01-06 | The Trustees Of Columbia University In The City Of New York | System and methods for detecting malicious email transmission |
US9306966B2 (en) | 2001-12-14 | 2016-04-05 | The Trustees Of Columbia University In The City Of New York | Methods of unsupervised anomaly detection using a geometric framework |
US9497203B2 (en) | 2002-01-25 | 2016-11-15 | The Trustees Of Columbia University In The City Of New York | System and methods for adaptive model generation for detecting intrusion in computer systems |
US8887281B2 (en) | 2002-01-25 | 2014-11-11 | The Trustees Of Columbia University In The City Of New York | System and methods for adaptive model generation for detecting intrusion in computer systems |
US8893273B2 (en) | 2002-01-25 | 2014-11-18 | The Trustees Of Columbia University In The City Of New York | Systems and methods for adaptive model generation for detecting intrusions in computer systems |
KR100830434B1 (ko) | 2005-11-08 | 2008-05-20 | 한국정보보호진흥원 | 악성코드 수집 시스템 및 방법 |
US9001661B2 (en) | 2006-06-26 | 2015-04-07 | Palo Alto Networks, Inc. | Packet classification in a network security device |
KR100833958B1 (ko) * | 2006-07-28 | 2008-05-30 | 고려대학교 산학협력단 | 악성 프로그램을 탐지하는 프로그램이 저장된 기록 매체 및악성 프로그램 탐지 방법 |
US8176558B2 (en) | 2008-08-13 | 2012-05-08 | Fujitsu Limited | Anti-virus method, computer, and recording medium |
EP2154626A2 (en) | 2008-08-13 | 2010-02-17 | Fujitsu Ltd. | Anti-virus method, computer, and recording medium |
US9565097B2 (en) | 2008-12-24 | 2017-02-07 | Palo Alto Networks, Inc. | Application based packet forwarding |
US8955124B2 (en) | 2010-04-28 | 2015-02-10 | Electronics And Telecommunications Research Institute | Apparatus, system and method for detecting malicious code |
JP2011233126A (ja) * | 2010-04-28 | 2011-11-17 | Electronics And Telecommunications Research Institute | 正常プロセスに偽装挿入された悪性コード検出装置、システム及びその方法 |
JP2014519113A (ja) * | 2011-05-24 | 2014-08-07 | パロ・アルト・ネットワークス・インコーポレーテッド | マルウェア解析システム |
US9043917B2 (en) | 2011-05-24 | 2015-05-26 | Palo Alto Networks, Inc. | Automatic signature generation for malicious PDF files |
KR101512454B1 (ko) * | 2013-12-24 | 2015-04-16 | 한국인터넷진흥원 | 시분할 방식의 배양기반 악성코드 분석시스템 |
KR20160138523A (ko) * | 2015-03-18 | 2016-12-05 | 바이두 온라인 네트웍 테크놀러지 (베이징) 캄파니 리미티드 | 위험 파일에 대응하는 행위 정보를 결정하는 방법 및 장치 |
JP2017520820A (ja) * | 2015-03-18 | 2017-07-27 | 百度在▲綫▼网▲絡▼技▲術▼(北京)有限公司 | 危険ファイルに対応する挙動情報特定方法及び危険ファイルに対応する挙動情報特定装置 |
KR101974989B1 (ko) | 2015-03-18 | 2019-05-07 | 바이두 온라인 네트웍 테크놀러지 (베이징) 캄파니 리미티드 | 위험 파일에 대응하는 행위 정보를 결정하는 방법 및 장치 |
Also Published As
Publication number | Publication date |
---|---|
CN1147795C (zh) | 2004-04-28 |
EP1253501A3 (en) | 2004-02-11 |
CN1314638A (zh) | 2001-09-26 |
US20020162015A1 (en) | 2002-10-31 |
EP1253501A2 (en) | 2002-10-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2002342106A (ja) | 既知や未知のコンピュータウィルスの検索・駆除方法 | |
Kephart et al. | Biologically inspired defenses against computer viruses | |
US7234167B2 (en) | Automatic builder of detection and cleaning routines for computer viruses | |
JP3079087B2 (ja) | マクロ・ウイルスを発生する方法及びシステム | |
US7861300B2 (en) | Method and apparatus for determination of the non-replicative behavior of a malicious program | |
JP4741782B2 (ja) | コンピュータ免疫システムおよびコンピュータシステムにおいて望ましくないコードを検出する方法 | |
EP0941512B1 (en) | State-based cache for antivirus software | |
US6952776B1 (en) | Method and apparatus for increasing virus detection speed using a database | |
JP4950902B2 (ja) | ダイナミックトランスレーションによる先取りコンピュータマルウェアの保護 | |
CA2304163C (en) | Dynamic heuristic method for detecting computer viruses | |
US7370360B2 (en) | Computer immune system and method for detecting unwanted code in a P-code or partially compiled native-code program executing within a virtual machine | |
US7069583B2 (en) | Detection of polymorphic virus code using dataflow analysis | |
US20050262567A1 (en) | Systems and methods for computer security | |
WO2007056933A1 (fr) | Procede pour identifier des virus inconnus et les supprimer | |
CN1737722A (zh) | 一种检测和防御计算机恶意程序的系统和方法 | |
JP2004517390A (ja) | 解析仮想マシン | |
Kephart et al. | An immune system for cyberspace | |
CN101183414A (zh) | 一种程序检测的方法、装置及程序分析的方法 | |
Eskandari et al. | To incorporate sequential dynamic features in malware detection engines | |
Morales et al. | Identification of file infecting viruses through detection of self-reference replication | |
KR102105885B1 (ko) | 랜섬웨어 탐지 방법 및 랜섬웨어 탐지 시스템 | |
EP4109310A1 (en) | Iterative memory analysis for malware detection | |
US20220414214A1 (en) | Machine learning through iterative memory analysis for malware detection | |
US7350235B2 (en) | Detection of decryption to identify encrypted virus | |
JP7524482B2 (ja) | 悪性コード静的分析のための実行ファイルのアンパッキングシステム及び方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040405 |
|
RD12 | Notification of acceptance of power of sub attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7432 Effective date: 20060414 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20060414 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20060525 |
|
A761 | Written withdrawal of application |
Free format text: JAPANESE INTERMEDIATE CODE: A761 Effective date: 20070427 |