JP2002342106A - 既知や未知のコンピュータウィルスの検索・駆除方法 - Google Patents

既知や未知のコンピュータウィルスの検索・駆除方法

Info

Publication number
JP2002342106A
JP2002342106A JP2001345236A JP2001345236A JP2002342106A JP 2002342106 A JP2002342106 A JP 2002342106A JP 2001345236 A JP2001345236 A JP 2001345236A JP 2001345236 A JP2001345236 A JP 2001345236A JP 2002342106 A JP2002342106 A JP 2002342106A
Authority
JP
Japan
Prior art keywords
virus
computer
simulation
viruses
search
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2001345236A
Other languages
English (en)
Inventor
Zhaomiao Tang
ハオミョウ タン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
BEIJING RISING TECHNOLOGY CORP
BEIJING RISING TECHNOLOGY CORP Ltd
Original Assignee
BEIJING RISING TECHNOLOGY CORP
BEIJING RISING TECHNOLOGY CORP Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by BEIJING RISING TECHNOLOGY CORP, BEIJING RISING TECHNOLOGY CORP Ltd filed Critical BEIJING RISING TECHNOLOGY CORP
Publication of JP2002342106A publication Critical patent/JP2002342106A/ja
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/565Static detection by checking file integrity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Storage Device Security (AREA)
  • Measuring Or Testing Involving Enzymes Or Micro-Organisms (AREA)
  • Investigating Or Analysing Biological Materials (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

(57)【要約】 (修正有) 【課題】 既知や未知のコンピュータウィルスの検索・
駆除方法を提供する。 【解決手段】 ウィルスが存在する仮想のコンピュータ
環境を作成し、感染を誘発するために複数のバイトを提
供し、検索すべき目標対象をロードし、検索されるべき
目的対象をアクティブにし、目的対象に付着していた可
能性のあるウィルスを誘引して複数の対象を感染させる
と共に、実際に感染した基準サンプルを生成させ、アク
ティブにするステップで処理した後の複数の対象と、も
ともと提供された感染されるべき複数の対象とを比較
し、変化があるかどうかを調べて、目標対象はウィルス
を含んでいたかどうかを決定する。更に、生成した基準
サンプルを分析することにより学習し、ウィルスに関す
る情報や知識を抽出し、ウィルスを駆除すると共に、ウ
ィルスによって変更されたキー情報を、該ウィルスに関
する情報や知識や、感染したバイトに対してウィルスが
行った修正に基づき修正する。

Description

【発明の詳細な説明】
【0001】
【発明が属する技術分野】本発明はコンピュータウィル
スを検索し除去する(つまり捜索して駆除する)ソフト
ウェアの分野に関わり、特に、未知のウィルスの検索・
駆除方法、それを実行する検索・駆除システム、記録媒
体及びこのウィルス撃退ソフトウェアを保存し伝達する
ための伝送媒体に関わる。
【0002】
【従来の技術】長い間、コンピュータを使う人を困らせ
るコンピュータウィルスは大きな問題であった。感染
性、自己増殖性、破壊性というコンピュータウィルスの
特徴のため、データの損失や改変、ファイルに損傷を与
えたり、ソフトウェアを破壊したり、などコンピュータ
ウィルスはコンピュータのユーザを恐れさせて来た。人
々はそれらを検索・駆除するために様々なウィルス撃退
ソフトウェアを使ってきた。
【0003】今までのところ、一般的に使われてきたウ
ィルス撃退ソフトウェアは既知のウィルス、つまり既知
の様々なウィルス、従って、その特徴コードがすでに知
られているウィルスのみを検索・駆除してきた。この場
合において、ウィルスを持っている可能性のあるファイ
ルは、ウィルスの特徴コードによって検索され、探され
る。いったん特徴コードが見つけられたら、そのファイ
ルは感染していると決定され、ウィルスを駆除しにかか
る。しかしながら、この方法は、未知の種類のウィルス
は検索できなかった。ウィルス分析装置によって新しい
ウィルスが分析され発見された後でしか、特徴コードは
得られない。それゆえ新しいウィルスは特徴コードが従
来のウィルス撃退ソフトウェアに加えられるまで認識・
検索されない。
【0004】コンピュータウィルスの出現以来、その固
有値を検索することによって検出してきた。つまり新し
いウィルスが発見されたら、ウィルス分析装置がその固
有値としてのウィルスプログラム本体から特徴的な一又
は複数の特徴コードからなるクラスタ(塊)を抽出し、
しかる後、ウィルス検索ソフトはファイル中にウィルス
の固有値の存在を検索することによってファイルが感染
しているかどうかを調べる。しかし、ウィルス撃退技術
は過去十年でそれなりの進歩を遂げてきたが、ウィルス
検索の方法が、ウィルス検索ソフトウェアに基づいてい
る点では変わりがなかった。固有値検索方法(すなわち
ウィルス検索ソフトウェア)の致命的な欠点は、もしウ
ィルスが発見されたら、ウィルス分析装置によってウィ
ルス認識ライブラリに特徴コードが加えられ、ウィルス
検索ソフトウェアはおなじ種類のウィルスを認識でき
る。逆の言い方をすれば、ウィルス検索ソフトウェアは
いつもウィルスに遅れをとっており、ソフトウェアがウ
ィルスに対して効果を発揮するようにするためには、そ
の前に、ウィルス分析装置によってウィルスが分析され
ねばならない。
【0005】未知のウィルスを検索できる従来のウィル
ス撃退技術、例えば、広域スペクトル検索方法、発見的
検索方法などは、従来の古典的なウィルスの特徴コード
に基づき、経験的に対象が感染しているかどうか、目標
対象(ターゲットオブジェクト)が疑いのあるコードを
持っているかどうかを、仮想マシーン上でウィルスに対
し検索すべきターゲットオブジェクトのコードで作動す
ることによって判断する。例えば、いくつかの国内、海
外のウィルス撃退会社は、未知のウィルスを検索するた
めの方法を開発してきた。そのすべてはディスクに書き
込んだり、ファイルに書き込んだりするようなウィルス
の特徴的な方法を要約すると言うおなじ考えに基づいて
いて、目標対象の特徴コードを検索する。これらの方法
は、実は、挙動上の特徴を定義付けるもので、帰納法的
ウィルス検索方法又は発見的ウィルス検索方法と呼ばれ
る。
【0006】このような方法は、未知のウィルスを検索
でき、警告を鳴らすことができるが、しかし効果が少な
く、誤報や未報告の可能性も高い。これには二つの理由
がある。ひとつは、ウィルス攻撃の方法が多様で数え上
げることができない程あると言うことである。二つ目
は、ウィルスによる攻撃方法が、複数のソフトウェアツ
ールと同じくシステムに対して合法で、それゆえそれら
を識別することが難しい。この種の方法を用いて、未知
ウィルスのいくつかは、検索し・警告することができ
る。しかしながら、高い誤報率のためこれらの方法はユ
ーザに不必要な懸念をもたらす。そして致命的な欠点は
ウィルスを検索できるけど、ウィルスを駆除できないと
言うことにある。もし対象がウィルスによって攻撃され
たら、ウィルス撃退ソフトウェアの品質が高められるま
で、コンピュータをシャットダウンしなければならな
い。さらに目標対象が(ファイル、ブートセクタ、メモ
リなど)感染しているかどうか、を確定できず、“感染
した可能性がある”事を告げるに過ぎない。今まで、ウ
ィルス撃退製品はウィルス特徴ライブラリ(データベー
スやコードベース)なしに未知のウィルスを駆除したり
既知のものを駆除したりすることはできなかった。
【0007】
【発明が解決しようとする課題】従来のウィルス撃退ソ
フトウェアの上記の問題に鑑み、本発明の目的は、未知
や既知のウィルスを効果的に検索・駆除する方法・シス
テム、記録媒体及び伝送媒体を提供する。未知のウィル
スを効果的に検索する問題を解決するようにウィルスの
存在を検索するためにウィルスの感染性を主に利用す
る。これにより、ほとんどの未知のウィルスを検索・駆
除できる。これにより、人手で分析されて初めて、ウィ
ルスを検索・駆除できるという状況を完全に変えるであ
ろう。本発明は未知のウィルスを早期に検索・駆除で
き、それにより、情報やデータを壊すウィルスの可能性
を大幅に減らすことができる。ほとんどの未知・既知の
ウィルスに対する人手による分析を不要とするため、複
数の労力とお金が節約される。
【0008】
【課題を解決するための手段】本発明は、コンピュータ
ウィルスが存在する仮想のコンピュータ環境をコンピュ
ータ内にシュミレーションとして作成するステップと、
ウィルス感染を誘発するためにコンピュータウィルスに
よって感染されるべき複数の対象すなわちバイト(おび
き寄せのための対象物)を提供するステップと、シュミ
レーションとして作成された仮想コンピュータ環境に検
索すべき目標対象をロードするステップと、シュミレー
ション作成された仮想コンピュータ環境内にある検索さ
れるべき目的対象をアクティブにし、前記目的対象に付
着していた可能性のあるウィルスを誘引して感染される
べき複数の対象を感染させると共に、実際に感染した基
準サンプルを生成させるステップと、前記アクティブに
するステップで処理した後の複数の対象と、もともと提
供された感染されるべき複数の対象とを比較するステッ
プと、そして、変化があるかどうかを調べて、もし変化
があれば検索されるべき目標対象はウィルスを含んでい
た、また、変化がなければ目標対象はウィルスを含んで
いなかったと決定するステップと、を含んでなるコンピ
ュータウィルス検索・駆除方法を提供する。
【0009】本発明に係るコンピュータウィルス検索・
駆除方法は、更に、生成した基準サンプルを分析するこ
とによりウィルスから学習し、ウィルスを分析すると共
に、検索されるべき目標対象がウィルスを含んでいると
決定されたらウィルスに関する情報や知識を抽出するス
テップと、そして、ウィルス本体を除去することにより
感染した対象からウィルスを駆除すると共に、ウィルス
によって変更されたキー情報を該ウィルスに関する前記
情報や知識に基づき、また、前記感染した対象、すなわ
ち、バイトに対してウィルスが行った修正に基づき修正
するステップを含む。
【0010】本発明はコンピュータウィルスの検索・駆
除のための一般的なコンピュータシステムを提供するも
ので、コンピュータウィルスが存在する仮想のコンピュ
ータ環境をコンピュータ内にシュミレーションとして作
成するコンピュータシュミレーションユニットと;ウィ
ルス感染を誘発するために提供されたコンピュータウィ
ルスによって感染されるべき複数の対象すなわちバイト
(おびき寄せのための対象物)と;シュミレーションと
して作成された仮想コンピュータ環境に検索すべき目標
対象をロードする制御ユニットと、シュミレーション作
成された仮想コンピュータ環境内にある検索されるべき
目的対象をアクティブにし、前記目的対象に付着してい
た可能性のあるウィルスを誘引して感染されるべき複数
の対象を感染させると共に、実際に感染した基準サンプ
ルを生成させるウィルス感染誘引ユニットと、前記アク
ティブにするステップで処理した後の複数の対象と、も
ともと提供された感染されるべき複数の対象とを比較
し、変化があるかどうかを調べて、もし変化があれば検
索されるべき目標対象はウィルスを含んでいた、また、
変化がなければ目標対象はウィルスを含んでいなかった
と決定するウィルス存否決定ユニットと、を含んでなる
コンピュータウィルス検索・駆除システムを提供する。
【0011】本発明に係るコンピュータウィルス検索・
駆除システムは、更に、生成した基準サンプルを分析す
ることによりウィルスから学習し、ウィルスを分析する
と共に、検索されるべき目標対象がウィルスを含んでい
ると決定されたらウィルスに関する情報や知識を抽出す
るウィルス分析学習ユニットと、そして、ウィルス本体
を除去することにより感染した対象からウィルスを駆除
すると共に、ウィルスによって変更されたキー情報を該
ウィルスに関する前記情報や知識に基づき、また、前記
感染した対象、すなわち、バイトに対してウィルスが行
った修正に基づき修正するウィルス駆除ユニットとを含
む。
【0012】本発明はさらにコンピュータに上述のコン
ピュータ駆除方法の各ステップを実行させるようにした
コンピュータ読込可能な記録媒体を提供する。さらに、
本発明はコンピュータに上述のコンピュータ駆除方法の
各ステップを実行させるようにしたネットワーク伝送を
経由した伝送媒体を提供する。
【0013】
【発明の実施の形態】コンピュータウィルスのもっとも
大切な特徴である感染性のためにコンピュータウィルス
はそう名づけられた。もし、プログラムに感染性があっ
たら、それはウィルスを持っていると決定される。それ
ゆえ、プログラムの感染性を認識することによってウィ
ルスを認識することが最も効果的な方法である。しかし
ながら、ウィルスの感染性により、感染性を認識する事
は、ウィルスを何らかの対象に感染させることを意味す
る。もし決定が実際の状況で実行されたら、それはウィ
ルス検索の間にウィルスが拡散していることを意味す
る。だから検索されるべき目標対象が感染しているかど
うかを証明するために仮想環境において、実行されなけ
ればならない。本発明はウィルスの感染性を利用し、ウ
ィルスを持っている疑いのある対象をコンピュータウィ
ルスが存在する仮想のコンピュータ環境内に置き、再生
産し、それをアクティブにし誘引してバイトに感染させ
る。さらに様々なウィルスは目標対象の大きさ、内容な
どのような特定の感染状況を必要とすることもあるの
で、本発明は異なる大きさ、内容を含むバイト対象を含
む全ての種類のバイトを提供する。例えば、format.com
やsort.com等のファイルがDOS COMタイプのウィルスを
誘引するのに使われる。Debug.exeやlable.exe等のファ
イルがDOS EXEタイプのウィルスを誘引するのに使われ
る。フロッピィディスクブートセクタ、ハードディスク
ブートセクタやハードディスクの主ブートセクタはDOS
BOOTタイプのウィルスを誘引するためにシュミレーショ
ンされる。そして、notepad.exeやword.exe等のファイ
ルがWINDOWS PEタイプのウィルスを誘引するのに使われ
る。等々。異なるバイト対象ができる限りウィルスの必
要条件を満たすために使われる。
【0014】本発明は仮想コンピュータ環境中にあるウ
ィルスの検索・駆除・報告・検索のための新しい技術に
係るもので、行動・結果に従うウィルス撃退方法の一種
である。本発明はウィルスの再生・拡散が認識される全
てのプロセスにおいて、実際のコンピュータ環境をシュ
ミレーションするための仮想コンピュータ環境を使う。
同時にウィルスの再生や拡散の手順を観察し、ウィルス
の感染方法を学習する。感染過程を逆に辿ることにより
そのようなウィルスを駆除する方法が提供される。以下
は細かい説明である。まずウィルスが存在し再生産され
る仮想環境が確立され、検索されるべき目標対象は仮想
環境に置かれる。二番目に、疑いのある対象がアクティ
ブにされる。もし本当にウィルスを持っていたら仮想環
境は感染されたものとなる。様々な操作が仮想環境内の
バイトに対して行われ、できる限りウィルスが感染する
ように誘引する。つまりウィルスの再生及び感染の実験
は仮想環境でなされる。もしバイトがウィルスに感染し
ていたら、検索されるべき目標対象はウィルスを持って
いると言うこととなり、ウィルスによって感染したバイ
トは基準サンプルとなる。三番目に、もし前の再生ステ
ップや感染の実験が成功したら、基準サンプルはウィル
ス分析装置の代わりのプログラムによって分析され、ウ
ィルスの検索・駆除のために必要な情報が基準サンプル
から引き出される。四番目に、プログラムの基準サンプ
ルの分析から得られる情報はウィルスを駆除するために
ウィルスを持つ感染した目標対象に当て嵌められる。
【0015】図1は本発明に係るコンピュータウィルス
検索・駆除のためのコンピュータシステムの一実施態様
におけるブロック図である。図1に示されているよう
に、一般的なコンピュータシステム1はコンピュータに
よって実行される本発明に係るウィルス検索・駆除ユニ
ット2を含む。コンピュータシステム1は一般的なCPU、
メモリ、OS、周辺保存装置(ハードディスク、フロッピ
ィディスク、など)(図1には示されていない)を含
む。ウィルス検索・駆除ユニット2の全体のプログラム
はコンピュータシステム1内のCPUによって実行される。
コンピュータシステムはさらに目標対象19を含む。こ
の目標対象19は、コンピュータシステム2内のハード
ディスクやフロッピィディスクのブートセクタにあるフ
ァイル、及び、ウィルスを持っている可能性のあるイン
ターネットを通してダウンロードされ且つ伝送されるフ
ァイル及びデータである。
【0016】図1に示されているように、ウィルス検索
・駆除ユニット2は、検索されるべき目標対象19をシ
ュミレーションとして作成されたコンピュータ環境に入
力し、全てのウィルス検索構成要素のプロセスを管理す
るためのウィルス検索コントロールユニット3と;ウィ
ルスが再生され、拡散する仮想コンピュータ環境とし
て、シュミレーション作成された全コンピュータシステ
ムを作るコンピュータシュミレーションユニット4、す
なわち仮想のコンピュータと;ウィルス感染を誘引する
ための一又は複数の基準バイト(すなわち、コンピュー
タウィルスに感染した可能性のある目標対象)と;検索
されるべき目標対象19を仮想コンピュータ4にロード
し、オペレーションを実行し、基準バイト11を用い
て、検索されるべき目標対象19によって保持されてい
た可能性のあるウィルスを基準バイト11及び仮想ハー
ドディスク、フロッピィディスクやシュミレーション作
成されたコンピュータ環境の同様のものに感染させると
共に、感染された基準サンプル13を生成するウィルス
感染誘発ユニット10と;そして、仮想ハードディス
ク、フロッピィディスク、シュミレーション作成された
コンピュータ環境の同様のものがウィルス誘発ステップ
の前後で変わったかどうかを調べ、感染後の基準サンプ
ル13と感染前の基準バイト11とを比較し、変化があ
るかどうかを決定し、もし変化があるなら、検索される
べき目標対象はウィルスを含んでおり、そうでなければ
ウィルス18はないと決定する比較・ウィルス存否決定
ユニット12と;を含んで構成されている。
【0017】前述のシュミレーション作成されたコンピ
ュータシステムは、仮想のCPU5、仮想のメモリ6、仮
想のOS7、仮想の周辺保存装置8(ハードディスク、フ
ロッピィディスクなど)及びシステム時計のようにウィ
ルスの生存、再生、拡散のために必要とされるシステム
構成手段9の他の部分を含んでいる。
【0018】ウィルス検索・駆除ユニット2のウィルス
駆除部分は、全ウィルス駆除コンポーネントの処理を制
御するのに使用されるウィルス駆除制御ユニット17
と;基準バイト11と感染した基準サンプル13とから
分かるウィルス感染により引き起こされた修正を分析
し、且つ該ウィルスについての知識を学習するウィルス
分析学習ユニット14と;そして、ウィルス分析学習ユ
ニット14から得られた知識を基にウィルスを適当に排
除又は駆除すると共に、ウィルスが駆除された対象16
を生成するウィルス駆除ユニット15と;を含んでい
る。駆除後の対象16は、検索されるべき入力目標対象
19上にウィルス駆除制御ユニット17により上書きす
るのに使用することができ、それにより、ウィルスを除
去する。
【0019】本発明の好ましい実施形態によると、ウィ
ルス検索・駆除ユニット2とウィルス駆除制御ユニット
17は上記全てのウィルス検索・駆除プロセスを監視す
るために単一のコントロールユニットに統合することが
できる。
【0020】コンピュータシュミレーションユニット4
によって作られた仮想のコンピュータ環境は仮想のマシ
ーン5(仮想のCPU)、仮想のOS7、仮想の周辺保存
装置8、仮想の周辺メモリ6などを含む。簡単に言え
ば、ウィルスの存続に必要とされる全てのコンピュータ
の構成手段はシュミレーション作成される。ウィルスを
持っている可能性のある対象は理論的にウィルスによっ
て感染してきたものであろう。ウィルスを持っているか
もしれない対象は仮想環境に置かれ、適当な状況の下で
アクティブにされる。
【0021】仮想のCPU5はsoftcpu() と呼ばれる(ソ
フトウェアによって実行、シュミレーションされたCP
U)。Softcpu()は実際のCPUによる指示の解釈プログラ
ムである。それは実際のCPUのようにプログラムを解釈
し実行し、それぞれの行のコードを理解でき、それらを
正確に解釈、実行できる。理論的にsoftcpu()は実際のC
PUができる全てのコードやプログラムを実行、解釈で
き、どんな状況の下でも同じように全ての指示を解釈で
きる。実際のCPUが作用する全ての対象は(BIOSチップ
やディスク)本物であるのに対し、仮想のCPUが作用す
る対象(BIOSチップやディスク)は仮想のものである。
【0022】それに加え、softcpu()は実際のCPUの指示
を解釈するための単なる機能手段で、それはアセンブル
言語、C言語や他の言語で書かれるものである。本発明
の好ましい一実施形態においては、汎用性、維持性を考
慮してC言語で書かれている。
【0023】もしインテルコンピュータのウィルスを検
索する場合、softcpu()がインテルのCPUをシュミレーシ
ョンとして作成することであろう。もしマッキントッシ
ュのコンピュータのウィルスを検索する場合、マッキン
トッシュのCPUをシュミレーションとして作成すること
であろう。
【0024】全てのプログラムは特定のOSで動作する
ものであるが、ウィルスも同様である。仮想のOS7は
ウィルスが動作するOSをシュミレーションとして作成
する。仮想のOS7は仮想のDOSのためのOSやWINDOWS
95のための仮想のOS、UNIXのための仮想OSなどのよ
うなウィルスのために必要とされる複合的なOSを含
む。本発明の一実施形態において効果を高めるために、
仮想のOS7はウィルスを動作するためにOSの必要な
要点だけをシュミレーション作成する。
【0025】DOSのウィルスのために、DOSのための仮想
のOSが選ばれる。WINDOWS 95のウィルスのためにはWI
NDOWS95のための仮想のOSが選ばれる。
【0026】本発明に係るコンピュータシュミレーショ
ンユニット4は、ハードディスクやフロッピィディスク
のような仮想のコンピュータ保存装置8を含む。仮想コ
ンピュータ環境においては、検索されるべき対象のプロ
グラム中に有る周辺保存装置への全ての書き込みや読み
込みは仮想のものである。これは、仮想のプログラムが
動いているときに引き起こされるディスク中のファイル
やデータへの感染及び損傷は仮想ディスク中の感染及び
損傷だと言うことを意味する。
【0027】本発明の一実施形態において、仮想のコン
ピュータ周辺保存装置8は、コンピュータシュミレーシ
ョンユニット4と呼ばれる機能手段又はプログラムユニ
ット8を含んでおり、それにより、仮想のハードディス
クを作る。仮想のコンピュータ周辺装置8の主な機能
は、メモリの中に必要とされる大きさの領域を割り当
て、特定の要求に従って、該メモリ領域に仮想ハードデ
ィスクをシュミレーションで作成することである。仮想
ハードディスクは、通常のものと同じ構造、すなわち、
セクタ番号、トラク番号及びシリンダ番号によって特定
される三次元空間、主ブートセクタ及び0トラックの対
応する空セクタ、隣のブートセクタ、ファイル位置テー
ブル(FAT)、ルートディレクトリ領域、そして、必要
なシステムファイル(例えば、IO.SYS,MSDOS.SYS、COMM
AND.COMがDOSシステムのために必要とされる)、並び
にテスト用のバイトファイル(すなわち、DOSEXE.EXE,D
OS COM.COMがDOSファイルタイプのウィルスのために必
要とされるファイル)を含んでいる。本発明の検索・駆
除システムに使われる仮想ハードディスクの中のデータ
は10キロバイトから数百キロバイトの大きさのメモリ領
域のみしか占めない。これに対して、普通のハードディ
スクは数メガバイトから数ギガバイトの記憶容量があ
る。それらのほとんどは本発明によるシステムでは使わ
れない。だから本発明の一実施形態において、数メガバ
イトから数ギガバイトの大きさを持つハードディスクを
シュミレーションで作成するためには、メモリサイズは
10キロバイトから数百キロバイトのみが必要とされるに
過ぎない。大容量のハードディスクをシュミレーション
するために本システムではほんの少しのメモリしか使わ
ないため、このシステムに必要とされるハードディスク
は一般的なコンピュータによって実現可能である。さら
に、検索・駆除ステップの間、本物のハードディスクは
アクセスされず、且つ仮想ハードディスクは、実際は小
さいメモリ領域であるため、処理スピードは速く、時間
は節約される。これに加え、仮想ハードディスクはメモ
リの単なる一部分で、本物のディスクは感染も損傷も受
けない。メモリの物理的な特徴は破壊されてはおらず、
ユーザシステムには無害である。
【0028】本発明のさらにこの好ましい一実施形態に
おいては、ユニット8がハードディスクをシュミレーシ
ョンするために使う場合、世界的構造である可変Hard_D
isk_Strucを予め定義することができ、それにより、空
ディスク、システムファイル及びバイトファイルを記録
したディスク等のシュミレーション作成されたハードデ
ィスクをコントロールする。
【0029】仮想の装置8はまた必要なサイズのメモリ
領域を主として割り当てることによりフロッピィディス
クをシュミレーションで作成することができ、通常のも
のと同一の構造を有する仮想のフロッピィディスクをメ
モリ領域に構築する。通常のものと同一の構造には、ブ
ートセクタ、ファイル位置テーブル(FAT)、ルートデ
ィレクトリ領域、そして、必要なシステムファイル(例
えば、IO.SYS,MSDOS.SYS、COMMAND.COMがDOSシステム
のために必要とされる)、並びにテスト用のバイトファ
イル(すなわち、DOSEXE.EXE,DOS COM.COMのようなファ
イル)を含んでいる。これらのすべてに必要なデータは
10キロバイトの大きさの領域を占めるに過ぎない。本
発明の一実施形態において、世界的構造である可変flop
py_disk_strucを予め定義することができ、それによ
り、空ディスク、ブートディスク、システムファイル及
びバイトファイルを記録したフロッピィディスク等のシ
ュミレーション作成された仮想フロッピィディスクをコ
ントロールする。例えば、360キロバイト、720キ
ロバイト、1.2メガバイト、1.44メガバイト、な
どのサイズのフロッピィディスクを世界的なバリエーシ
ョンとして作成することができる。
【0030】同じようにして、他のOSのハードディス
クやフロッピィディスクもシュミレーションで作成され
る。上記の柔軟な対応により、システム時間の消費が節
約され、仮想の周辺装置8は作られたメモリ領域へ必要
とされたデータをアップロードする。
【0031】仮想のCPU5、仮想のメモリ6や仮想のOS
7を含む上記全てのプログラムユニットは、プログラミ
ング言語を知っている当業者によって実現することがで
きる。それらには、CPUをシュミレーション作成するた
めの全指示、メモリの管理及びアクセスの操作の全指
示、全種類のデータ構造及びOSの機能サービスのため
実行コードを含んでいる。これらの全ては市販のプログ
ラム技術によって実行できるものであり、従って、本明
細書ではその詳細を省略する。
【0032】検索されるべき目標対象をアクティブにす
るため、目標対象に含まれるウィルスをアクティブにし
てウィルスとしての行動を行わせる。例えば、目標対象
が実行可能なバイナリファイル(DOS EXEファイル、DOS
COMファイル、DOS BATファイル、WINDOWS NEファイ
ル、PEファイル)である場合、実行するための手段をア
クティブにする。目標対象が実行可能なマクロを持つWO
RDファイルのような文書ファイルの場合、マクロが実行
されるような方法でそれをアクティブにする。
【0033】上記の基準バイトは様々な日付や時間を含
む仮想のシステム時計を含むもので、それにより、CIH
ウィルス(4月26日、13日の金曜日などに攻撃す
る)のように時間や日付に敏感なウィルスを誘発させ
る。図1に描かれているように、ウィルス検索・駆除プ
ログラム2の検索部分は複数の基準バイト11やバイト
セットを含む、1セットの基準バイトを提供する。バイ
トはウィルスに感染した可能性のある既知の対象を参照
する。本発明の一実施形態において、バイトはDOSのウ
ィルスに対してはDOSプログラムであり、WINDOWS95のウ
ィルスにはWINDOWS95のプログラムであり、WORDのウィ
ルスのためにはWORDの文書である。以下、同様。バイト
は目標対象がどんなものであれ、目標対象と同じタイプ
の実行可能な実在である。バイトは汚染されていなく、
その大きさ、内容、構造、どのような行動をするのかの
機能は既知であるのに対し、目標対象がウィルスを持っ
ているかどうかは検索されるべき前には分からない。だ
からもしそれらがウィルスを持っていたら、それらの大
きさ、構造、どのような行動をするのかの機能は分から
ない。
【0034】それに加え、上記のバイト11は自由には
選ぶことができず、しかし既知のウィルスに対して複数
の実験によって該ウィルスに感染することが実証されて
いる実行可能な実在でなければならない。それらの大き
さ、内容はウィルスにとって、“おいしい”、つまりそ
れらは感染しやすいものである。もしバイトがウィルス
に感染したら、そこから情報を引き出すことができる。
つまりバイトは感染しやすい既知の実行可能な実在であ
り、バイトセットは感染しやすい全種類の1セットを構
成する既知の実行可能な実在である。
【0035】具体的には、本発明の一実施形態におい
て、基準バイト11は、例えば1キロバイトから60キ
ロバイトまでの(1キロバイト、2.5キロバイト、1
2キロバイト、20キロバイト、30キロバイト、40
キロバイトのような)違う大きさを持った複数のバイト
ファイルを含むDOS COMタイプのバイトセットと;それ
ぞれがJMP,CALL,MOV,XORであるべきバイトセット中のフ
ァイルの第一指示と;異なる時間、日付及びアトリビュ
ートを持ち、それらに敏感な異なる種類のウィルスを誘
発させるバイトセットの中のファイルと;を含んでい
る。
【0036】上記の基準バイトは、ファイルのヘッダの
大きさが0x20,0x200,0x400、0x600、0x800で;ファイ
ルの大きさが4KB,10KB,20KB,40KB,80KBで;その最後の
ページの大きさが0x00,0x03,0x80,0x87,0x100,0x1
98で;そのリロケーションアイテムの数字が0x00,0x0
1,0x02,0x04,0x10であるが、完全にはリロケーショ
ンアイテムテーブルを占領しないもので; CS及びIPレ
ジスタが様々な値のもので;プログラム本体のスタック
位置がプログラム本体の冒頭、中間、末尾またはプログ
ラム本体に隣接した位置である(プログラム本体の
外);ように構築することができる。
【0037】上記の基準バイトは、MSDOS,PCDOS,WIN9X
システムに対して、異なるバージョンのブートセクタの
セットや主ブートセクタを含むブートタイプのバイトセ
ットを含むように構築することができる。実際、それら
は、WIN9X,PCDOS,DRDOSWIN9Xに対して、異なるバージョ
ンのブートセクタや主ブートセクタを含む仮想のハード
ディスクやフロッピィディスクであり、それにより、コ
ンピュータシュミレーションユニット4によって作られ
るBOOTタイプのウィルスを誘発する。
【0038】同じように上記の基準バイトは、異なる大
きさ、タイプのWORD文書を含むMACROウィルスのための
バイトセットを含むように構築することができる、それ
により、MACROウィルスを誘発し感染させる。
【0039】図1に示されているように、ウィルス感染
誘発ユニット10は(ウィルスサンプル製造マシーンと
もよばれる)ウィルス感染を誘発するためのプロセスを
遂行する上記全種類のバイトセットを使う機能ユニット
で、従って、検索されるべきファイル及びその中に存在
する可能性の有るウィルスを動作して、それにより、で
きる限りたくさん、基準ホストファイル(すなわち、上
記の全バイト)に感染させる。そして、ウィルス認識ユ
ニット12は、ウィルスサンプル製造マシーン10に感
染したバイトがあるかどうか決定する。具体的には、ウ
ィルス認識ユニット12は、検索されるべき目標対象を
ウィルス感染誘発ユニット10中で動作させた後のバイ
トと動作させる前のバイトとを比較し、変化の有無を調
査する。動作の前後でバイト変化がある場合、目標対象
がウィルスを有している決定され、当該変化したバイト
はウィルスサンプルとなる。つまり、もしウィルスサン
プル製造マシーン10がサンプル13を作らなかった
ら、目標対象は汚染されてはいない。そうでないなら、
目標対象はウィルスを含んでいて、ホストファイル(バ
イト)はウィルス駆除のための全ての情報を含む基準サ
ンプルとなる。本発明の一実施形態において、上記仮想
DOSシステムの上記仮想メモリにウィルスが存在した
ら、ウィルスサンプル製造マシーン10は、実行し、開
き、読み込み、閉じ、検索する等を通じて、DOSEXE,DOS
COMタイプのバイトを動作させ、それによって、できる
限りそのバイトに感染させる。感染又は修正があった場
合、その目標対象は基準サンプルとなる。
【0040】文書タイプのウィルスには、感染したバイ
トそれ自身が基準サンプルになる。しかし、ブートセク
タタイプのウィルスには、ウィルスサンプル製造マシー
ン10が、ウィルスによって変えられた仮想ハードディ
スクや仮想フロッピィディスクのブートセクタの情報に
従って、基準サンプルを作る。
【0041】前記基準サンプル13は、ウィルスの感染
した基準バイト又はホストを参照する。基準ホストは、
ウィルス分析装置によって既知とされる大きさ、内容、
構造を持つ実行可能なボディであり、適当な感染状態の
下でウィルスを持っていそうなものである。
【0042】図1に示されているように、本発明の一実
施形態においては、発明に係るウィルス駆除部分のウィ
ルス学習マシーン14(基準サンプル分析装置とも呼ば
れる)は、上記の基準バイト11と作られた基準サンプ
ル13とを比較し、サンプルを分析し、ウィルスを駆除
するために必要とされた情報やウィルスに関する全ての
情報を抽出する。このプロセスは、ウィルス学習マシー
ンの学習プロセスと呼ばれる。ウィルス学習マシーンの
学習プロセスは、人手による仕事をシュミレーションに
よって行うウィルス学習プロセスで特徴コードを使用し
ない。すなわち、特徴コードを用いてウィルスの駆除を
行うものとは完全に異なるものである。基準サンプルか
らウィルス学習マシーンによって抽出される知識や情報
は、ウィルスの大きさ;ホストファイル中のウィルスの
位置;ウィルスが暗号化され且つ変態化しているかどう
か;ウィルスがホストを暗号化しているかどうか;ウィ
ルスが駆除できない(除去のみによってできる)ほどひ
どい損傷を受けていないかどうか;ウィルスがホストを
移動しているかどうか;ウィルスがホストの分節を連結
しているかどうか;そして、ホスト対象のキー情報の価
値や位置が修正されているかどうかなどを含む。
【0043】例えばDOS COMタイプのウィルスには、ウ
ィルス学習マシーン14は2種類の知識を抽出する。一
つ目はウィルスの大きさであり、二つ目はホスト対象の
オリジナルの機能が統合されたままか、ウィルスによっ
て損傷を受けているかどうかである。ウィルスの大きさ
を計算するために使われる計算法のひとつは、基準サン
プルから基準バイト(ホスト)の大きさを引き算するこ
とである。該計算法により、それが終了する又は仮想コ
ンピュータが停止するまでに、コンピュータシュミレー
ションユニット4によって作られた仮想コンピュータ環
境中の基準サンプルに対しホスト対象のオリジナルの機
能が動作したか否かが決定される。もし、プロセスの間
に基準バイトのオリジナルの機能が現れたら、ホスト対
象のオリジナルの機能は統合されたままであった事を示
し、そうでなければそれらは破壊されたのである。
【0044】特徴コードを使う従来のウィルス駆除方法
は、ウィルス分析装置に蓄積された既知ウィルスの特徴
ライブラリにある情報(データやコード)によってウィ
ルスを駆除する。しかし本発明に係るウィルス駆除ユニ
ット15は、人手による仕事をシュミレーションすると
共に、既知ウィルスの特徴コードを使うこと無く、ウィ
ルス学習ユニット14によってリアルタイムに学習され
た知識に従ってウィルスを駆除するウィルス駆除ユニッ
トである。ウィルスを駆除する基本理念は、“結んだ者
がそれを解くことができる。”である。つまり、ウィル
スサンプル製造ユニット10及びウィルス駆除ユニット
14は、ウィルスの感染プロセスを学習し、感染結果
(基準サンプル)を分析してウィルスのデータやアトリ
ビュートを獲得する。ウィルスの特徴は感染し拡散する
一方でそれ自身を隠蔽することにある。つまり、たいて
いのウィルスはホストのオリジナルの機能に損傷を与え
ることはなく、もしウィルス駆除ユニット15が実際に
ウィルスに対して実行しても、ウィルスはホスト対象を
回復させ、そして、ウィルス駆除ユニットはウィルスに
よって回復されたホスト対象を汚染されていない対象と
してディスクに救済してしまうこととなる(もし、対象
がディスクの中とは異なる方法でメモリ内に存在する場
合には、対応する変更を行うべきである)。ウィルスが
回復した場合、ホスト対象は、ウィルス学習マシーンに
よって学んだウィルスのアトリビュートによって、判断
されなければならない。例えば、本発明の一実施形態に
おいて、ウイルスによる自己復帰方法はウィルス駆除ユ
ニット15が感染の逆プロセスすなわち、ウィルス駆除
の過程を推論する方法のひとつとなる。もし、ウィルス
駆除マシーンがウィルスのデータ又はアトリビュートを
十分に学習したなら、全てのアトリビュート又はデータ
を用いて元のホストのキー情報(ウィルスによって修正
された情報)を計算し、ウィルスを駆除する。ウィルス
についてのリアルタイムの学習やそれを用いてのリアル
タイム駆除は、ウィルス駆除ユニット15によって実現
される。これは、全ての既知のウィルス撃退ソフトウェ
ア製品に対して有利であるとは言えない。
【0045】本発明の一実施形態において、ウィルス駆
除ユニット15がDOS COMタイプの普通のウィルスを駆
除するプロセスは次のようである。まず、もし基準サン
プルのオリジナルの機能が統合されていない場合、ウィ
ルスを持っているファイルは削除され、そうでなければ
プロセスは次のステップへと進む。検索されるべきDOS
COMタイプの目標ファイルを仮想コンピュータ環境にロ
ードし、仮想CPU中のプログラムセグメントレジスタCS
の値がプログラムセグメントプレフィックスレジスタの
アドレスと等しくなり且つIPレジスタの値が0x0100にな
るまで実行する。三番目に、駆除された目標対象の大き
さを計算する。駆除されたDOS COMファイルの大きさ
は、感染したDOS COMファイルの大きさからウイルスの
大きさを引くことにより計算する。四番目に、仮想メモ
リの内容を(CS:IP)から(CS:IP+駆除されたDOS COMフ
ァイルのサイズ)へと蓄積し直すことにより駆除された
目標DOS COMファイルをファイルとして発生させる。
【0046】もし、上記ウィルス学習マシーン14がウ
ィルスについての知識を得ることができなかった場合、
又は、ウィルス学習ユニット16が、ホストのオリジナ
ルの機能が損傷を受けたと判断した場合、目標対象は削
除される。
【0047】図2、図3及び図4は、それぞれ、本発明
の一実施形態に係るウィルス駆除方法のプロセスの流れ
図である。流れ図中の全てのステップは図1のそれぞれ
の処理ユニットで実行されもので、それにより、ウィル
ス検索・駆除プロセスの全体を構成する。図2に示され
ているように、まず検索されるべき目標対象19は、ハ
ードディスク、フロッピィディスク、インターネット
(ステップS101)を通じて入力されたデータから読み込ま
れる。そして、目標対象がウィルスを持っている可能性
のある対象かどうかの決定がなされる(ステップS10
2)。ウィルスを持っている可能性のある対象は、理論
的にウィルスに感染させるために利用できるが、ウィル
スを持っている必要は必ずしもない。ウィルスを持って
いる可能性のある対象は、「.exe」、「.com」、「.ba
t」、「.doc」NEやPEタイプのファイル、ディスクのブ
ートセクタや主ブートセクタのような実行可能な実在で
なければならない。実行不能の実在、例えば、「.txt」
は、ウィルスを持つことは不可能である。
【0048】もし、ステップS102において、対象がウィ
ルスを持っている可能性が有る対象と決定されたら、ウ
ィルスを検索し駆除するために次のプロセスに進む。も
し、目標対象がウィルスを持つことができないものであ
る場合、例えば、「.txt」のような実行不能の対象であ
る場合、目標対象は汚染されていないと決定される。も
し、対象が未知なら、対象は未知のものであると報告さ
れる。
【0049】ステップS103において、コンピュータシュ
ミレーションユニット4は、仮想のCPU、仮想のOS、仮
想の周辺保存装置(ハードディスクやフロッピィディス
ク)、仮想のメモリ、仮想のシステム時計を含む仮想の
コンピュータ環境を作り、それにより、内部にウィルス
を持っている可能性のある対象を仮想上実行する。ステ
ップS104において、ウィルスに感染し得る複数のバイト
を提供する。バイトは、上記のファイルタイプのバイト
セットや仮想ハードディスクや仮想フロッピィディスク
におけるブートセクタタイプのバイトセットを含む。ス
テップS105において、目標対象19を仮想コンピュータ
環境内に置く。ステップS106において、目標対象に付着
していた可能性の有るウィルスがアクティブにされ、つ
まり、仮想コンピュータ環境及びバイトファイルが感染
するように誘発する。一方、ステップS107において、バ
イトが感染したかどうかの決定がなされる。一方で、ス
テップS108において、仮想のコンピュータ環境が感染し
たかどうかの決定がなされる。すなわち、仮想のメモ
リ、仮想のハードディスクやフロッピィディスクが感染
したかどうかの決定がなされる。もし、ステップS107に
おいて、バイトが感染していると判断されたら、プロセ
スは図3のステップS111に進む。そうでなければ、目標
対象は汚染されていないと報告される。もし、ステップ
S111において、仮想のコンピュータ環境がウィルスを持
っていると決定されたら、プロセスは図3のステップS1
10に進む。できる限り多くの操作を仮想コンピュータ環
境内でバイトに対して行い、それにより、できる限りそ
れらが感染するようにウィルスを誘発する。その後、感
染したバイトがあるかどうかもう一度判断するためにプ
ロセスはステップS107に戻る。
【0050】図3に示されているように、ステップS111
において、検索されるべき目標対象がウィルスを持って
いると報告された場合、基準サンプルが作られ、さら
に、DOSウィルスや、MACROウィルスやブートセクタウィ
ルスのようなウィルスのタイプが分析される。しかる
後、ウィルスを駆除すべきかどうか決定をユーザに促す
ためにプロセスはステップS112に進む。もし、目標対象
は感染したという報告に対し、ユーザがウィルスを駆除
することを必要としなかった場合、ステップS109におい
て検索システムは終了する。そうでなければ、もしユー
ザがウィルス駆除を必要としていたら、プロセスはステ
ップS113に進む。
【0051】ステップS113において、仮想のコンピュー
タ環境において作られた全基準サンプルが抽出される。
そして、ステップS114において、これら抽出された基準
サンプルはウィルス学習マシーン14によって分析され
る。すなわち、その主部分が基準サンプルのオリジナル
の機能(基準バイトのオリジナルの機能)が変えられた
かどうかを判断する。ステップS115において、基準ホス
トのオリジナル機能の統合性が調べられる。もし、統合
されていなかったら、プロセスはステップS116に進む。
そうでなければプロセスはステップS120に進む。
【0052】ステップS116において、もし、ホストのオ
リジナル機能がウィルスによって復帰できないほど破壊
されたら、ホストは削除されねばならなくなるであろ
う。ステップS117において、ユーザが感染したファイル
を削除することを望んでいるか否かが問われる。もしイ
エスなら、ファイルは削除される(ステップS117)。そ
うでなければ、ウィルス駆除プロセスは終了する(ステ
ップS119)。
【0053】図4に示されているように、ステップS120
において、ウィルス学習ユニット14はウィルスに関す
る全ての知識を学習し、十分学習するまで、できるかぎ
りウィルスを駆除するために必要とされるキーデータ又
はアトリビュートを得る。例えば、DOS COMウィルスに
ついては、次の知識シーケンスで十分である;まず、ウ
ィルスが暗号化されていないか、変態化されていない
か、そして、その大きさが変えられていないか;二番目
に、ウィルスの大きさ;三番目に、ウィルスがホストの
初めの3バイトを変えていること;四番目に、ウィルス
が存在するホストの初めのバイトがどこにあるか、であ
る。
【0054】しかる後、ステップS121において、ウィル
ス駆除ユニット15は、検索されるべきホスト内のウィ
ルス(ホスト対象)によって修正されたキーデータやア
トリビュートを、ウィルス学習マシーン14によって学
習された知識によってサーチし計算する。例えば、DOS
COMウィルスには次の情報である事が知られている;ま
ず、ウィルスは暗号化又は変態化されていない、そし
て、その大きさは変えられないこと;二番目に、ウィル
スの大きさ;三番目に、ウィルスがホストの初めの三バ
イトだけを変えていること;四番目に、ウィルスが存在
しているホストの初めの三バイトがどこにあるかが既知
であること;である((ウィルス本体に対する)data_o
ffset_in_virus)。従って、ウィルス駆除のためのステ
ップは次のようになる。まず、ファイル中のウィルス本
体の位置(virus_offset_in_file)は、目標対象の大き
さ(file_size)からウィルスの大きさ(virus_size)
を引き算することによって計算される;二番目に、ホス
トの最初の三バイトの位置((ウィルス本体に対する)
data_offset_in_virus)が計算され、それは(virus_of
fset_in_file)と(data_offset_in_virus)との合計に
等しい;三番目に、ホストの初めの三バイトは(data_o
ffset_in_virus)の位置における三バイトのデータによ
って置き換えられる;そして、四番目に、感染したファ
ウルの最後の部分はウィルスの大きさのバイト分だけ最
後から削除される;である。
【0055】ステップS122において、ウィルスによって
修正されたホスト情報のオリジナル値の計算が成功した
かどうかの判断がなされる。もし成功していなかった
ら、ウィルス駆除のプロセスは失敗したのである(ステ
ップS125)。そうでなければ、プロセスはステップS123
に進む。
【0056】ステップS123において、ウィルスによって
修正されたファイルの大きさやファイルヘッダのデータ
などの目標ファイル(ホスト対象)のデータやアトリビ
ュートは再保存される。それゆえ、ウィルスは駆除され
る。
【0057】ステップS124において、ウィルスの駆除が
成功したと言う報告がなされる。しかる後、プロセスは
ステップS119に進み、ウィルス駆除プロセスは終了す
る。
【0058】本発明に係る上記ウィルス検索・駆除方法
及び全ての各ユニットは、普通のコンピュータ言語(C
言語のような)を使って実現することができ、それによ
り、対応するソフトウェアをプログラムする。そして、
そのようなソフトウェアは、普通のコンピュータで実行
可能である;フロッピィディスクの中に保存され、それ
により、販売され又は使用される;またはネットワーク
又はインターネットを通して伝達又はダウンロードさ
れ、そして、実行される。
【0059】ソフトウェアによって実現される本発明に
係るコンピュータウィルス検索・駆除の方法及びシステ
ムは、コンピュータウィルスの基本的な特徴、すなわ
ち、感染性という能力を利用するもので、それにより、
ウィルスを検索し、ウィルスについての知識をリアルタ
イムで学習し且つ利用する。それは、従来の全てのウィ
ルス撃退ソフトウェア商品よりも有利である。本発明は
その特定の行動ではなく、その代わりに、その“結果”
によってウィルスを特定する。従来のものは、「行動/
結果による技術」と名づけられている。もちろん、本発
明の方法も、ウィルスの行動やそれら行動の結果の両方
を認識するし、その結果に従って、ウィルスを安全に駆
除できる。しかし、本発明は、特定の個々の行動(ディ
スクへの書き込みなど)は調べず、従って、かなりの時
間が節約され、スピードが速い。さらに、本発明は、実
メモリの小さい領域のみを使って、ウィルスの生存や再
生のための仮想コンピュータ環境を提供する。従って、
十分早い処理スピードを有しており、最大限、ウィルス
の感染を誘発する。
【0060】本発明に係るコンピュータのシステム及び
方法により、たいていの既知・未知のウィルスは、もは
や人手による分析を必要とせず、また、ウィルスの特徴
コードを用いずに駆除される;そして、同時に新しく出
現したウィルスを見つけることができる;駆除すること
ができるウィルスも限界がなく;そして、本発明に使わ
れるウィルス撃退ソフトウェアはもはやウィルスに遅れ
をとることはなく、未知のウィルスを確実に検索・駆除
できる。
【0061】本発明は、好ましい実施形態に関して特に
述べられているが、それは本発明の範囲を限定する意味
ではない。本発明の精神や範囲から逸脱することなく、
様々な変化や修正が可能であることは当業者によって理
解されるであろう。それゆえ、発明の範囲は、添付した
請求の範囲によって定義されるべきである。
【図面の簡単な説明】
【図1】図1は本発明に係るコンピュータウィルスを検
索・駆除するコンピュータシステムの枠組みを説明する
ためのブロック図である。
【図2】本発明に係るコンピュータウィルスを検索・駆
除するための方法を示す流れ図である。
【図3】本発明に係るコンピュータウィルスを検索・駆
除するための方法を示す流れ図である。
【図4】本発明に係るコンピュータウィルスを検索・駆
除するための方法を示す流れ図である。
───────────────────────────────────────────────────── フロントページの続き (72)発明者 タン ハオミョウ 中華人民共和国 100080 ベイジン ハイ ディアン ディストリクト フォングアン チュンストリート ナンバー22 ホンケプ ラザ 13階気付 Fターム(参考) 5B076 FD08

Claims (22)

    【特許請求の範囲】
  1. 【請求項1】 コンピュータウィルス検索・駆除方法で
    あって、 コンピュータウィルスが存在する仮想のコンピュータ環
    境をコンピュータ内にシュミレーションとして作成する
    ステップと、 ウィルス感染を誘発するためにコンピュータウィルスに
    よって感染されるべき複数の対象すなわちバイトを提供
    するステップと、 シュミレーションとして作成された仮想コンピュータ環
    境に検索すべき目標対象をロードするステップと、 シュミレーション作成された仮想コンピュータ環境内に
    ある検索されるべき目的対象をアクティブにし、前記目
    的対象に付着していた可能性のあるウィルスを誘引して
    感染されるべき複数の対象を感染させると共に、実際に
    感染した基準サンプルを生成させるステップと、そし
    て、 前記アクティブにするステップで処理した後の複数の対
    象と、もともと提供された感染されるべき複数の対象と
    を比較し、変化があるかどうかを調べて、もし変化があ
    れば検索されるべき目標対象はウィルスを含んでいた、
    また、変化がなければ目標対象はウィルスを含んでいな
    かったと決定するステップと、 を含んでなるコンピュータウィルス検索・駆除方法。
  2. 【請求項2】 請求項1に記載のコンピュータウィルス
    検索・駆除方法において、 更に、生成した基準サンプルを分析することによりウィ
    ルスから学習し、ウィルスを分析すると共に、検索され
    るべき目標対象がウィルスを含んでいると決定されたら
    ウィルスに関する情報や知識を抽出するステップと、そ
    して、 ウィルス本体を除去することにより感染した対象からウ
    ィルスを駆除すると共に、ウィルスによって変更された
    キー情報を、該ウィルスに関する前記情報や知識に基づ
    き、また、前記感染した対象、すなわち、バイトに対し
    てウィルスが行った修正に基づき修正するステップと、 を含んで構成されてなるコンピュータウィルス検索・駆
    除方法。
  3. 【請求項3】 請求項1又は2に記載のコンピュータウ
    ィルス検索・駆除方法において、 前記コンピュータシュミレーションステップは、 中央処理ユニット(CPU)のシュミレーション作成指示
    によって、CPUをシュミレーションで作成するステップ
    と、 オペレーションシステム(OS)によって提供された様々
    なサービス及び様々なデータ構造をシュミレーションで
    作成することによってOSをシュミレーションするステッ
    プと、 保存空間及びシュミレーションされたハードディスクや
    フロッピィディスク等を含む様々な周辺保存装置の構造
    をシュミレーションで作成することによって周辺保存装
    置をシュミレーションするステップと、そして、 シュミレーションされたメモリスペースを発生させ、分
    配し、管理することによってメモリをシュミレーション
    するステップと、 を呼び出し且つ実行する機能的ファンクションを提供す
    るステップを含んで構成されてなるコンピュータウィル
    ス検索・駆除方法。
  4. 【請求項4】 請求項3に記載のコンピュータウィルス
    検索・駆除方法において、 検索されるべき目標対象は、異なる大きさ、異なるタイ
    プのウィルスを誘発する内容及び種々の感染条件を持つ
    全ての種類のバイト、例えば、DOS COMタイプのウィル
    スを誘発するDOS COMタイプ用DOSファイルタイプのバイ
    ト、DOS ブートセクタタイプのウィルスを誘発するシュ
    ミレーション作成されたDOSブートセクタ、マクロウィ
    ルスからなるウィルスを誘発するWORDファイルタイプの
    バイト等を含んで構成されてなるコンピュータウィルス
    検索・駆除方法。
  5. 【請求項5】 請求項4に記載のコンピュータウィルス
    検索・駆除方法において、 異なる大きさや内容を持つ複数のバイトが、出来るだけ
    検索されるべき目標対象に付着したウィルスの感染条件
    を満たすように、所定のウィルスタイプについて供給さ
    れてなるコンピュータウィルス検索・駆除方法。
  6. 【請求項6】 請求項5に記載のコンピュータウィルス
    検索・駆除方法において、更に、時間や日付に敏感なウ
    ィルスを誘発するために仮想の時計や日付を発生させる
    システム時計をシュミレーションで作成するステップを
    含んで構成されてなるコンピュータウィルス検索・駆除
    方法。
  7. 【請求項7】 請求項6に記載のコンピュータウィルス
    検索・駆除方法において、 前記OSシュミレーションステップが、DOS,WINDOWS(登
    録商標),UNIX(登録商標)のためのOSの一つをシュミ
    レーションで作成するステップを含んで構成されてなる
    コンピュータウィルス検索・駆除方法。
  8. 【請求項8】 請求項2に記載のコンピュータウィルス
    検索・駆除方法において、 前記ウィルス駆除ステップにおいて、ウィルスは、感染
    したホスト対象、すなわち、ウィルスを持っていると判
    断された検索されるべき目標対象からオリジナルの目標
    対象を再保存するように仮想的に動作し、しかる後、該
    ウィルスは駆除されることを特徴とするコンピュータウ
    ィルス検索・駆除方法。
  9. 【請求項9】 請求項3に記載のコンピュータウィルス
    検索・駆除方法において、 前記周辺保存装置シュミレーションステップは、メモリ
    の中に仮想ハードディスクをシュミレーションで作成す
    る小さなメモリ領域を割り当てると共に、該仮想ハード
    ディスクは、通常のものと同じ構造、すなわち、セクタ
    番号、トラク番号及びシリンダ番号によって特定される
    三次元空間、主ブートセクタ及び0トラックの対応する
    空セクタ、隣のブートセクタ、ファイル位置テーブル
    (FAT)、ルートディレクトリ領域、そして、必要なシ
    ステムファイル並びにウィルスを誘発するバイトファイ
    ルを含んでいることを特徴とするコンピュータウィルス
    検索・駆除方法。
  10. 【請求項10】 請求項3に記載のコンピュータウィル
    ス検索・駆除方法において、 前記周辺保存装置シュミレーションステップは、メモリ
    の中に仮想フロッピィディスクをシュミレーションで作
    成する小さなメモリ領域を割り当てると共に、該仮想ハ
    ードディスクは、通常のものと同じ構造、すなわち、ブ
    ートセクタ、ファイル位置テーブル(FAT)、ルートデ
    ィレクトリ領域、そして、必要なシステムファイル並び
    にウィルスを誘発するバイトファイルを含んでいること
    を特徴とするコンピュータウィルス検索・駆除方法。
  11. 【請求項11】 コンピュータウィルスの検索・駆除の
    ための一般的なコンピュータシステムを含むコンピュー
    タシステムであって、 コンピュータウィルスが存在する仮想のコンピュータ環
    境をコンピュータ内にシュミレーションとして作成する
    コンピュータシュミレーションユニットと;ウィルス感
    染を誘発するために提供されたコンピュータウィルスに
    よって感染されるべき複数の対象すなわちバイトと;シ
    ュミレーションとして作成された仮想コンピュータ環境
    に検索すべき目標対象をロードする制御ユニットと、 シュミレーション作成された仮想コンピュータ環境内に
    ある検索されるべき目的対象をアクティブにし、前記目
    的対象に付着していた可能性のあるウィルスを誘引して
    感染されるべき複数の対象を感染させると共に、実際に
    感染した基準サンプルを生成させるウィルス感染誘引ユ
    ニットと、 前記ウィルス感染誘発ユニットで処理した後の複数の対
    象と、もともと提供された感染されるべき複数の対象と
    を比較し、変化があるかどうかを調べて、もし変化があ
    れば検索されるべき目標対象はウィルスを含んでいた、
    また、変化がなければ目標対象はウィルスを含んでいな
    かったと決定するウィルス存否決定ユニットと、 を含んでなるコンピュータウィルス検索・駆除システ
    ム。
  12. 【請求項12】請求項11に記載のコンピュータウィル
    ス検索・駆除システムにおいて、さらに、 生成した基準サンプルを分析しウィルスがあると判断さ
    れたらウィルスに関する情報や知識を抽出するウィルス
    分析・学習手段と、そして、 ウィルス本体を除去することにより感染した対象からウ
    ィルスを駆除すると共に、ウィルスによって変更された
    キー情報を、該ウィルスに関する前記情報や知識に基づ
    き、また、前記感染した対象、すなわち、バイトに対し
    てウィルスが行った修正に基づき修正するウィルス駆除
    ユニットと、 を含んで構成されてなるコンピュータウィルス検索・駆
    除システム。
  13. 【請求項13】 請求項11又は12に記載のコンピュ
    ータウィルス検索・駆除システムにおいて、 中央処理ユニット(CPU)のシュミレーション作成指示
    を行うCPUシュミレーションユニットと、 オペレーションシステム(OS)によって提供された様々
    なサービス及び様々なデータ構造をシュミレーションで
    作成するOSシュミレーションユニットと、 保存空間及びシュミレーションされたハードディスクや
    フロッピィディスク等を含む様々な周辺保存装置の構造
    をシュミレーションで作成する周辺保存装置シュミレー
    ションユニットと、そして、 シュミレーションされたメモリスペースを発生させ、分
    配し、管理するメモリシュミレーションユニットと、 を含んでなり、前記各ユニットは、呼び出されることに
    より利用可能で且つメモリ空間に割り当てられており、
    現実のCPU、OS、周辺保存装置からは独立している機能
    的ファンクションを含んでなることを特徴とするコンピ
    ュータウィルス検索・駆除システム。
  14. 【請求項14】 請求項13に記載のコンピュータウィ
    ルス検索・駆除システムにおいて、 検索されるべき目標対象は、異なる大きさ、異なるタイ
    プのウィルスを誘発する内容及び種々の感染条件を持つ
    全ての種類のバイト、例えば、DOS COMタイプのウィル
    スを誘発するDOS COMタイプ用DOSファイルタイプのバイ
    ト、DOS ブートセクタタイプのウィルスを誘発するシュ
    ミレーション作成されたDOSブートセクタ、マクロウィ
    ルスからなるウィルスを誘発するWORDファイルタイプの
    バイト等を含んで構成されてなるコンピュータウィルス
    検索・駆除システム。
  15. 【請求項15】 請求項14に記載のコンピュータウィ
    ルス検索・駆除システムにおいて、 異なる大きさや内容を持つ複数のバイトが、出来るだけ
    検索されるべき目標対象に付着したウィルスの感染条件
    を満たすように、所定のウィルスタイプについて供給さ
    れてなるコンピュータウィルス検索・駆除システム。
  16. 【請求項16】 請求項15に記載のコンピュータウィ
    ルス検索・駆除システムにおいて、更に、 時間や日付に敏感なウィルスを誘発するために仮想の時
    計や日付を発生させるシステム時計シュミレーションユ
    ニットを含んで構成されてなるコンピュータウィルス検
    索・駆除システム。
  17. 【請求項17】請求項16に記載のコンピュータウィル
    ス検索・駆除システムにおいて、 前記OSシュミレーションユニットが、DOS,WINDOWS,UNIX
    のためのOSの一つをシュミレーションすることを特徴と
    するコンピュータウィルス検索・駆除システム。
  18. 【請求項18】 請求項12に記載のコンピュータウィ
    ルス検索・駆除システムにおいて、 前記ウィルス駆除ユニットは、ウィルスが感染したホス
    ト対象、すなわち、ウィルスを持っていると判断された
    検索されるべき目標対象からオリジナルの目標対象を再
    保存するように動作し、しかる後、該ウィルスは駆除さ
    れることを特徴とするコンピュータウィルス検索・駆除
    システム。
  19. 【請求項19】 請求項13に記載のコンピュータウィ
    ルス検索・駆除システムにおいて、 前記周辺保存装置シュミレーションユニットは、メモリ
    の中に仮想ハードディスクをシュミレーションで作成す
    る小さなメモリ領域を割り当てると共に、該仮想ハード
    ディスクは、通常のものと同じ構造、すなわち、セクタ
    番号、トラク番号及びシリンダ番号によって特定される
    三次元空間、主ブートセクタ及び0トラックの対応する
    空セクタ、隣のブートセクタ、ファイル位置テーブル
    (FAT)、ルートディレクトリ領域、そして、必要なシ
    ステムファイル並びにウィルスを誘発するバイトファイ
    ルを含んでいることを特徴とするコンピュータウィルス
    検索・駆除システム。
  20. 【請求項20】 請求項13に記載のコンピュータウィ
    ルス検索・駆除システムにおいて、 前記周辺保存装置シュミレーションユニットは、メモリ
    の中に仮想フロッピィディスクをシュミレーションで作
    成する小さなメモリ領域を割り当てると共に、該仮想ハ
    ードディスクは、通常のものと同じ構造、すなわち、ブ
    ートセクタ、ファイル位置テーブル(FAT)、ルートデ
    ィレクトリ領域、そして、必要なシステムファイル並び
    にウィルスを誘発するバイトファイルを含んでいること
    を特徴とするコンピュータウィルス検索・駆除システ
    ム。
  21. 【請求項21】 請求項1〜10のいずれかに記載の方
    法のステップをコンピュータが実行するようにしたプロ
    グラムをコンピュータ読み込み可能に記録したコンピュ
    ータ記録媒体。
  22. 【請求項22】ネットワーク伝達を経由して請求項1〜
    10のいずれかに記載の方法のステップをコンピュータ
    が実行するようにした伝送媒体。
JP2001345236A 2001-04-29 2001-11-09 既知や未知のコンピュータウィルスの検索・駆除方法 Withdrawn JP2002342106A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CNB011177268A CN1147795C (zh) 2001-04-29 2001-04-29 检测和清除已知及未知计算机病毒的方法、系统
CN01117726.8 2001-04-29

Publications (1)

Publication Number Publication Date
JP2002342106A true JP2002342106A (ja) 2002-11-29

Family

ID=4662848

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001345236A Withdrawn JP2002342106A (ja) 2001-04-29 2001-11-09 既知や未知のコンピュータウィルスの検索・駆除方法

Country Status (4)

Country Link
US (1) US20020162015A1 (ja)
EP (1) EP1253501A3 (ja)
JP (1) JP2002342106A (ja)
CN (1) CN1147795C (ja)

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100830434B1 (ko) 2005-11-08 2008-05-20 한국정보보호진흥원 악성코드 수집 시스템 및 방법
KR100833958B1 (ko) * 2006-07-28 2008-05-30 고려대학교 산학협력단 악성 프로그램을 탐지하는 프로그램이 저장된 기록 매체 및악성 프로그램 탐지 방법
EP2154626A2 (en) 2008-08-13 2010-02-17 Fujitsu Ltd. Anti-virus method, computer, and recording medium
JP2011233126A (ja) * 2010-04-28 2011-11-17 Electronics And Telecommunications Research Institute 正常プロセスに偽装挿入された悪性コード検出装置、システム及びその方法
JP2014519113A (ja) * 2011-05-24 2014-08-07 パロ・アルト・ネットワークス・インコーポレーテッド マルウェア解析システム
US8887281B2 (en) 2002-01-25 2014-11-11 The Trustees Of Columbia University In The City Of New York System and methods for adaptive model generation for detecting intrusion in computer systems
US8931094B2 (en) 2001-08-16 2015-01-06 The Trustees Of Columbia University In The City Of New York System and methods for detecting malicious email transmission
US9001661B2 (en) 2006-06-26 2015-04-07 Palo Alto Networks, Inc. Packet classification in a network security device
KR101512454B1 (ko) * 2013-12-24 2015-04-16 한국인터넷진흥원 시분할 방식의 배양기반 악성코드 분석시스템
US9043917B2 (en) 2011-05-24 2015-05-26 Palo Alto Networks, Inc. Automatic signature generation for malicious PDF files
US9306966B2 (en) 2001-12-14 2016-04-05 The Trustees Of Columbia University In The City Of New York Methods of unsupervised anomaly detection using a geometric framework
KR20160138523A (ko) * 2015-03-18 2016-12-05 바이두 온라인 네트웍 테크놀러지 (베이징) 캄파니 리미티드 위험 파일에 대응하는 행위 정보를 결정하는 방법 및 장치
US9565097B2 (en) 2008-12-24 2017-02-07 Palo Alto Networks, Inc. Application based packet forwarding

Families Citing this family (279)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7089591B1 (en) 1999-07-30 2006-08-08 Symantec Corporation Generic detection and elimination of marco viruses
WO2002093334A2 (en) 2001-04-06 2002-11-21 Symantec Corporation Temporal access control for computer virus outbreaks
US7356736B2 (en) * 2001-09-25 2008-04-08 Norman Asa Simulated computer system for monitoring of software performance
US7506374B2 (en) * 2001-10-31 2009-03-17 Computer Associates Think, Inc. Memory scanning system and method
US9652613B1 (en) 2002-01-17 2017-05-16 Trustwave Holdings, Inc. Virus detection by executing electronic message code in a virtual machine
US7370360B2 (en) * 2002-05-13 2008-05-06 International Business Machines Corporation Computer immune system and method for detecting unwanted code in a P-code or partially compiled native-code program executing within a virtual machine
US7155742B1 (en) 2002-05-16 2006-12-26 Symantec Corporation Countering infections to communications modules
US7367056B1 (en) 2002-06-04 2008-04-29 Symantec Corporation Countering malicious code infections to computer files that have been infected more than once
US7398465B2 (en) * 2002-06-20 2008-07-08 The Boeing Company System and method for identifying, classifying, extracting and resolving hidden entities
US7418729B2 (en) * 2002-07-19 2008-08-26 Symantec Corporation Heuristic detection of malicious computer code by page tracking
US7380277B2 (en) 2002-07-22 2008-05-27 Symantec Corporation Preventing e-mail propagation of malicious computer code
US7487543B2 (en) * 2002-07-23 2009-02-03 International Business Machines Corporation Method and apparatus for the automatic determination of potentially worm-like behavior of a program
US7478431B1 (en) * 2002-08-02 2009-01-13 Symantec Corporation Heuristic detection of computer viruses
US7526809B2 (en) * 2002-08-08 2009-04-28 Trend Micro Incorporated System and method for computer protection against malicious electronic mails by analyzing, profiling and trapping the same
US7331062B2 (en) 2002-08-30 2008-02-12 Symantec Corporation Method, computer software, and system for providing end to end security protection of an online transaction
US7832011B2 (en) * 2002-08-30 2010-11-09 Symantec Corporation Method and apparatus for detecting malicious code in an information handling system
US7188369B2 (en) * 2002-10-03 2007-03-06 Trend Micro, Inc. System and method having an antivirus virtual scanning processor with plug-in functionalities
US7469419B2 (en) * 2002-10-07 2008-12-23 Symantec Corporation Detection of malicious computer code
US20060031938A1 (en) * 2002-10-22 2006-02-09 Unho Choi Integrated emergency response system in information infrastructure and operating method therefor
US7159149B2 (en) * 2002-10-24 2007-01-02 Symantec Corporation Heuristic detection and termination of fast spreading network worm attacks
US7991827B1 (en) * 2002-11-13 2011-08-02 Mcafee, Inc. Network analysis system and method utilizing collected metadata
US7249187B2 (en) * 2002-11-27 2007-07-24 Symantec Corporation Enforcement of compliance with network security policies
US7631353B2 (en) * 2002-12-17 2009-12-08 Symantec Corporation Blocking replication of e-mail worms
US7296293B2 (en) * 2002-12-31 2007-11-13 Symantec Corporation Using a benevolent worm to assess and correct computer security vulnerabilities
US7203959B2 (en) 2003-03-14 2007-04-10 Symantec Corporation Stream scanning through network proxy servers
US8271774B1 (en) 2003-08-11 2012-09-18 Symantec Corporation Circumstantial blocking of incoming network traffic containing code
US7337327B1 (en) 2004-03-30 2008-02-26 Symantec Corporation Using mobility tokens to observe malicious mobile code
US8881282B1 (en) 2004-04-01 2014-11-04 Fireeye, Inc. Systems and methods for malware attack detection and identification
US8204984B1 (en) 2004-04-01 2012-06-19 Fireeye, Inc. Systems and methods for detecting encrypted bot command and control communication channels
US8898788B1 (en) 2004-04-01 2014-11-25 Fireeye, Inc. Systems and methods for malware attack prevention
US7587537B1 (en) 2007-11-30 2009-09-08 Altera Corporation Serializer-deserializer circuits formed from input-output circuit registers
US8561177B1 (en) 2004-04-01 2013-10-15 Fireeye, Inc. Systems and methods for detecting communication channels of bots
US8006305B2 (en) * 2004-06-14 2011-08-23 Fireeye, Inc. Computer worm defense system and method
US8539582B1 (en) * 2004-04-01 2013-09-17 Fireeye, Inc. Malware containment and security analysis on connection
US8584239B2 (en) * 2004-04-01 2013-11-12 Fireeye, Inc. Virtual machine with dynamic data flow analysis
US8528086B1 (en) 2004-04-01 2013-09-03 Fireeye, Inc. System and method of detecting computer worms
US8566946B1 (en) 2006-04-20 2013-10-22 Fireeye, Inc. Malware containment on connection
US8375444B2 (en) 2006-04-20 2013-02-12 Fireeye, Inc. Dynamic signature creation and enforcement
US9027135B1 (en) 2004-04-01 2015-05-05 Fireeye, Inc. Prospective client identification using malware attack detection
US8793787B2 (en) 2004-04-01 2014-07-29 Fireeye, Inc. Detecting malicious network content using virtual environment components
US9106694B2 (en) 2004-04-01 2015-08-11 Fireeye, Inc. Electronic message analysis for malware detection
US8171553B2 (en) 2004-04-01 2012-05-01 Fireeye, Inc. Heuristic based capture with replay to virtual machine
US8549638B2 (en) 2004-06-14 2013-10-01 Fireeye, Inc. System and method of containing computer worms
US7370233B1 (en) 2004-05-21 2008-05-06 Symantec Corporation Verification of desired end-state using a virtual machine environment
US7441042B1 (en) 2004-08-25 2008-10-21 Symanetc Corporation System and method for correlating network traffic and corresponding file input/output traffic
US7509680B1 (en) * 2004-09-01 2009-03-24 Symantec Corporation Detecting computer worms as they arrive at local computers through open network shares
US7690034B1 (en) 2004-09-10 2010-03-30 Symantec Corporation Using behavior blocking mobility tokens to facilitate distributed worm detection
US7533131B2 (en) * 2004-10-01 2009-05-12 Webroot Software, Inc. System and method for pestware detection and removal
JP4327698B2 (ja) * 2004-10-19 2009-09-09 富士通株式会社 ネットワーク型ウィルス活動検出プログラム、処理方法およびシステム
US7565686B1 (en) 2004-11-08 2009-07-21 Symantec Corporation Preventing unauthorized loading of late binding code into a process
US8104086B1 (en) 2005-03-03 2012-01-24 Symantec Corporation Heuristically detecting spyware/adware registry activity
US20060277183A1 (en) * 2005-06-06 2006-12-07 Tony Nichols System and method for neutralizing locked pestware files
US8452744B2 (en) * 2005-06-06 2013-05-28 Webroot Inc. System and method for analyzing locked files
US20070006311A1 (en) * 2005-06-29 2007-01-04 Barton Kevin T System and method for managing pestware
US20090144826A2 (en) * 2005-06-30 2009-06-04 Webroot Software, Inc. Systems and Methods for Identifying Malware Distribution
US20070016951A1 (en) * 2005-07-13 2007-01-18 Piccard Paul L Systems and methods for identifying sources of malware
CN100373287C (zh) * 2005-11-16 2008-03-05 白杰 检测程序操作行为的方法及病毒程序检测、清除方法
CN100465978C (zh) * 2005-11-16 2009-03-04 白杰 被病毒程序破坏的数据恢复方法、装置及病毒清除方法
CN100437614C (zh) * 2005-11-16 2008-11-26 白杰 未知病毒程序的识别及清除方法
US7721333B2 (en) * 2006-01-18 2010-05-18 Webroot Software, Inc. Method and system for detecting a keylogger on a computer
US20070203884A1 (en) * 2006-02-28 2007-08-30 Tony Nichols System and method for obtaining file information and data locations
US20070226800A1 (en) * 2006-03-22 2007-09-27 Tony Nichols Method and system for denying pestware direct drive access
US8079032B2 (en) * 2006-03-22 2011-12-13 Webroot Software, Inc. Method and system for rendering harmless a locked pestware executable object
US20070261117A1 (en) * 2006-04-20 2007-11-08 Boney Matthew L Method and system for detecting a compressed pestware executable object
US8201243B2 (en) * 2006-04-20 2012-06-12 Webroot Inc. Backwards researching activity indicative of pestware
US8181244B2 (en) * 2006-04-20 2012-05-15 Webroot Inc. Backward researching time stamped events to find an origin of pestware
US20070250818A1 (en) * 2006-04-20 2007-10-25 Boney Matthew L Backwards researching existing pestware
US20070294396A1 (en) * 2006-06-15 2007-12-20 Krzaczynski Eryk W Method and system for researching pestware spread through electronic messages
US20080010326A1 (en) * 2006-06-15 2008-01-10 Carpenter Troy A Method and system for securely deleting files from a computer storage device
US20070294767A1 (en) * 2006-06-20 2007-12-20 Paul Piccard Method and system for accurate detection and removal of pestware
US20080010538A1 (en) * 2006-06-27 2008-01-10 Symantec Corporation Detecting suspicious embedded malicious content in benign file formats
US8239915B1 (en) 2006-06-30 2012-08-07 Symantec Corporation Endpoint management using trust rating data
US7996903B2 (en) 2006-07-07 2011-08-09 Webroot Software, Inc. Method and system for detecting and removing hidden pestware files
US20080028466A1 (en) * 2006-07-26 2008-01-31 Michael Burtscher System and method for retrieving information from a storage medium
US8578495B2 (en) * 2006-07-26 2013-11-05 Webroot Inc. System and method for analyzing packed files
US20080028462A1 (en) * 2006-07-26 2008-01-31 Michael Burtscher System and method for loading and analyzing files
US7590707B2 (en) * 2006-08-07 2009-09-15 Webroot Software, Inc. Method and system for identifying network addresses associated with suspect network destinations
US8065664B2 (en) * 2006-08-07 2011-11-22 Webroot Software, Inc. System and method for defining and detecting pestware
US8190868B2 (en) 2006-08-07 2012-05-29 Webroot Inc. Malware management through kernel detection
US8171550B2 (en) * 2006-08-07 2012-05-01 Webroot Inc. System and method for defining and detecting pestware with function parameters
US20080127352A1 (en) * 2006-08-18 2008-05-29 Min Wang System and method for protecting a registry of a computer
US7769992B2 (en) 2006-08-18 2010-08-03 Webroot Software, Inc. File manipulation during early boot time
US8898276B1 (en) * 2007-01-11 2014-11-25 Crimson Corporation Systems and methods for monitoring network ports to redirect computing devices to a protected network
EP2127311B1 (en) 2007-02-02 2013-10-09 Websense, Inc. System and method for adding context to prevent data leakage over a computer network
US20080209544A1 (en) * 2007-02-27 2008-08-28 Battelle Memorial Institute Device security method using device specific authentication
US20080271019A1 (en) * 2007-04-24 2008-10-30 Stratton Robert J System and Method for Creating a Virtual Assurance System
WO2008131456A1 (en) * 2007-04-24 2008-10-30 Stacksafe, Inc. System and method for managing an assurance system
US8402529B1 (en) 2007-05-30 2013-03-19 M86 Security, Inc. Preventing propagation of malicious software during execution in a virtual machine
CN101441687B (zh) * 2007-11-21 2010-07-14 珠海金山软件股份有限公司 一种提取病毒文件的病毒特征的方法及其装置
KR20090065977A (ko) * 2007-12-18 2009-06-23 삼성에스디에스 주식회사 파일의 바이러스 감염여부 판정방법
CA2718594A1 (en) * 2008-03-19 2009-09-24 Websense, Inc. Method and system for protection against information stealing software
US9130986B2 (en) 2008-03-19 2015-09-08 Websense, Inc. Method and system for protection against information stealing software
US9015842B2 (en) 2008-03-19 2015-04-21 Websense, Inc. Method and system for protection against information stealing software
US8370948B2 (en) 2008-03-19 2013-02-05 Websense, Inc. System and method for analysis of electronic information dissemination events
US8407784B2 (en) 2008-03-19 2013-03-26 Websense, Inc. Method and system for protection against information stealing software
US8484736B2 (en) * 2008-06-06 2013-07-09 Sandisk Il Ltd. Storage device having an anti-malware protection
CN101645119B (zh) * 2008-08-07 2012-05-23 中国科学院软件研究所 一种基于虚拟硬件环境的恶意代码自动分析方法及系统
US8776038B2 (en) 2008-08-07 2014-07-08 Code Systems Corporation Method and system for configuration of virtualized software applications
US8434093B2 (en) 2008-08-07 2013-04-30 Code Systems Corporation Method and system for virtualization of software applications
CN101727348B (zh) * 2008-10-10 2013-02-13 华为数字技术(成都)有限公司 一种可疑代码分析方法及装置
US8997219B2 (en) 2008-11-03 2015-03-31 Fireeye, Inc. Systems and methods for detecting malicious PDF network content
US8850571B2 (en) 2008-11-03 2014-09-30 Fireeye, Inc. Systems and methods for detecting malicious network content
US11489857B2 (en) 2009-04-21 2022-11-01 Webroot Inc. System and method for developing a risk profile for an internet resource
EP2443580A1 (en) 2009-05-26 2012-04-25 Websense, Inc. Systems and methods for efficeint detection of fingerprinted data and information
US8832829B2 (en) 2009-09-30 2014-09-09 Fireeye, Inc. Network-based binary file extraction and analysis for malware detection
US8347382B2 (en) * 2009-12-17 2013-01-01 International Business Machines Corporation Malicious software prevention using shared information
US8954958B2 (en) 2010-01-11 2015-02-10 Code Systems Corporation Method of configuring a virtual application
US8959183B2 (en) * 2010-01-27 2015-02-17 Code Systems Corporation System for downloading and executing a virtual application
US9104517B2 (en) 2010-01-27 2015-08-11 Code Systems Corporation System for downloading and executing a virtual application
US9229748B2 (en) 2010-01-29 2016-01-05 Code Systems Corporation Method and system for improving startup performance and interoperability of a virtual application
EP2553581A1 (en) * 2010-03-26 2013-02-06 Telcordia Technologies, Inc. Detection of global metamorphic malware variants using control and data flow analysis
US9213838B2 (en) 2011-05-13 2015-12-15 Mcafee Ireland Holdings Limited Systems and methods of processing data associated with detection and/or handling of malware
US8763009B2 (en) 2010-04-17 2014-06-24 Code Systems Corporation Method of hosting a first application in a second application
US9098333B1 (en) 2010-05-07 2015-08-04 Ziften Technologies, Inc. Monitoring computer process resource usage
US9218359B2 (en) 2010-07-02 2015-12-22 Code Systems Corporation Method and system for profiling virtual application resource utilization patterns by executing virtualized application
CN101930517B (zh) * 2010-10-13 2012-11-28 四川通信科研规划设计有限责任公司 一种僵尸程序的检测方法
US9021015B2 (en) 2010-10-18 2015-04-28 Code Systems Corporation Method and system for publishing virtual applications to a web server
US9209976B2 (en) 2010-10-29 2015-12-08 Code Systems Corporation Method and system for restricting execution of virtual applications to a managed process environment
CN102339371B (zh) * 2011-09-14 2013-12-25 奇智软件(北京)有限公司 一种检测恶意程序的方法、装置及虚拟机
WO2013073504A1 (ja) * 2011-11-15 2013-05-23 独立行政法人科学技術振興機構 プログラム解析・検証サービス提供システム、その制御方法、制御プログラム、コンピュータを機能させるための制御プログラム、プログラム解析・検証装置、プログラム解析・検証ツール管理装置
US9519782B2 (en) 2012-02-24 2016-12-13 Fireeye, Inc. Detecting malicious network content
US9384349B2 (en) * 2012-05-21 2016-07-05 Mcafee, Inc. Negative light-weight rules
CN102841999B (zh) * 2012-07-16 2016-12-21 北京奇虎科技有限公司 一种文件宏病毒的检测方法和装置
US9241259B2 (en) 2012-11-30 2016-01-19 Websense, Inc. Method and apparatus for managing the transfer of sensitive information to mobile devices
CN102999726B (zh) * 2012-12-14 2015-07-01 北京奇虎科技有限公司 文件宏病毒免疫方法和装置
US10572665B2 (en) 2012-12-28 2020-02-25 Fireeye, Inc. System and method to create a number of breakpoints in a virtual machine via virtual machine trapping events
US9332028B2 (en) 2013-01-25 2016-05-03 REMTCS Inc. System, method, and apparatus for providing network security
US9525700B1 (en) 2013-01-25 2016-12-20 REMTCS Inc. System and method for detecting malicious activity and harmful hardware/software modifications to a vehicle
US9367681B1 (en) 2013-02-23 2016-06-14 Fireeye, Inc. Framework for efficient security coverage of mobile software applications using symbolic execution to reach regions of interest within an application
US9824209B1 (en) 2013-02-23 2017-11-21 Fireeye, Inc. Framework for efficient security coverage of mobile software applications that is usable to harden in the field code
US9009822B1 (en) 2013-02-23 2015-04-14 Fireeye, Inc. Framework for multi-phase analysis of mobile applications
US9176843B1 (en) 2013-02-23 2015-11-03 Fireeye, Inc. Framework for efficient security coverage of mobile software applications
US8990944B1 (en) 2013-02-23 2015-03-24 Fireeye, Inc. Systems and methods for automatically detecting backdoors
US9195829B1 (en) 2013-02-23 2015-11-24 Fireeye, Inc. User interface with real-time visual playback along with synchronous textual analysis log display and event/time index for anomalous behavior detection in applications
US9009823B1 (en) 2013-02-23 2015-04-14 Fireeye, Inc. Framework for efficient security coverage of mobile software applications installed on mobile devices
US9159035B1 (en) 2013-02-23 2015-10-13 Fireeye, Inc. Framework for computer application analysis of sensitive information tracking
CN104022998B (zh) * 2013-03-01 2016-12-28 北京瑞星信息技术股份有限公司 网络传输数据病毒检测处理方法
US9355247B1 (en) 2013-03-13 2016-05-31 Fireeye, Inc. File extraction from memory dump for malicious content analysis
US9626509B1 (en) 2013-03-13 2017-04-18 Fireeye, Inc. Malicious content analysis with multi-version application support within single operating environment
US9565202B1 (en) 2013-03-13 2017-02-07 Fireeye, Inc. System and method for detecting exfiltration content
US9104867B1 (en) 2013-03-13 2015-08-11 Fireeye, Inc. Malicious content analysis using simulated user interaction without user involvement
US9430646B1 (en) 2013-03-14 2016-08-30 Fireeye, Inc. Distributed systems and methods for automatically detecting unknown bots and botnets
US9311479B1 (en) 2013-03-14 2016-04-12 Fireeye, Inc. Correlation and consolidation of analytic data for holistic view of a malware attack
US10713358B2 (en) 2013-03-15 2020-07-14 Fireeye, Inc. System and method to extract and utilize disassembly features to classify software intent
US9251343B1 (en) 2013-03-15 2016-02-02 Fireeye, Inc. Detecting bootkits resident on compromised computers
WO2014145805A1 (en) 2013-03-15 2014-09-18 Mandiant, Llc System and method employing structured intelligence to verify and contain threats at endpoints
US9495180B2 (en) 2013-05-10 2016-11-15 Fireeye, Inc. Optimized resource allocation for virtual machines within a malware content detection system
US9635039B1 (en) 2013-05-13 2017-04-25 Fireeye, Inc. Classifying sets of malicious indicators for detecting command and control communications associated with malware
US10133863B2 (en) 2013-06-24 2018-11-20 Fireeye, Inc. Zero-day discovery system
US9536091B2 (en) 2013-06-24 2017-01-03 Fireeye, Inc. System and method for detecting time-bomb malware
US9300686B2 (en) 2013-06-28 2016-03-29 Fireeye, Inc. System and method for detecting malicious links in electronic messages
US9888016B1 (en) 2013-06-28 2018-02-06 Fireeye, Inc. System and method for detecting phishing using password prediction
CN103428212A (zh) * 2013-08-08 2013-12-04 电子科技大学 一种恶意代码检测及防御的方法
US9294501B2 (en) 2013-09-30 2016-03-22 Fireeye, Inc. Fuzzy hash of behavioral results
US9736179B2 (en) 2013-09-30 2017-08-15 Fireeye, Inc. System, apparatus and method for using malware analysis results to drive adaptive instrumentation of virtual machines to improve exploit detection
US10192052B1 (en) 2013-09-30 2019-01-29 Fireeye, Inc. System, apparatus and method for classifying a file as malicious using static scanning
US9171160B2 (en) 2013-09-30 2015-10-27 Fireeye, Inc. Dynamically adaptive framework and method for classifying malware using intelligent static, emulation, and dynamic analyses
US10515214B1 (en) 2013-09-30 2019-12-24 Fireeye, Inc. System and method for classifying malware within content created during analysis of a specimen
US9690936B1 (en) 2013-09-30 2017-06-27 Fireeye, Inc. Multistage system and method for analyzing obfuscated content for malware
US10089461B1 (en) 2013-09-30 2018-10-02 Fireeye, Inc. Page replacement code injection
US9628507B2 (en) 2013-09-30 2017-04-18 Fireeye, Inc. Advanced persistent threat (APT) detection center
US10075460B2 (en) 2013-10-16 2018-09-11 REMTCS Inc. Power grid universal detection and countermeasure overlay intelligence ultra-low latency hypervisor
US9921978B1 (en) 2013-11-08 2018-03-20 Fireeye, Inc. System and method for enhanced security of storage devices
US9189627B1 (en) 2013-11-21 2015-11-17 Fireeye, Inc. System, apparatus and method for conducting on-the-fly decryption of encrypted objects for malware detection
US9747446B1 (en) 2013-12-26 2017-08-29 Fireeye, Inc. System and method for run-time object classification
US9756074B2 (en) 2013-12-26 2017-09-05 Fireeye, Inc. System and method for IPS and VM-based detection of suspicious objects
US9292686B2 (en) 2014-01-16 2016-03-22 Fireeye, Inc. Micro-virtualization architecture for threat-aware microvisor deployment in a node of a network environment
US9262635B2 (en) 2014-02-05 2016-02-16 Fireeye, Inc. Detection efficacy of virtual machine-based analysis with application specific events
US9241010B1 (en) 2014-03-20 2016-01-19 Fireeye, Inc. System and method for network behavior detection
US10242185B1 (en) 2014-03-21 2019-03-26 Fireeye, Inc. Dynamic guest image creation and rollback
US9591015B1 (en) 2014-03-28 2017-03-07 Fireeye, Inc. System and method for offloading packet processing and static analysis operations
US9223972B1 (en) 2014-03-31 2015-12-29 Fireeye, Inc. Dynamically remote tuning of a malware content detection system
US9432389B1 (en) 2014-03-31 2016-08-30 Fireeye, Inc. System, apparatus and method for detecting a malicious attack based on static analysis of a multi-flow object
KR101593163B1 (ko) * 2014-05-12 2016-02-15 한국전자통신연구원 실 환경 악성코드 분석 장치 및 방법
US9973531B1 (en) 2014-06-06 2018-05-15 Fireeye, Inc. Shellcode detection
US9594912B1 (en) 2014-06-06 2017-03-14 Fireeye, Inc. Return-oriented programming detection
US9438623B1 (en) 2014-06-06 2016-09-06 Fireeye, Inc. Computer exploit detection using heap spray pattern matching
US10084813B2 (en) 2014-06-24 2018-09-25 Fireeye, Inc. Intrusion prevention and remedy system
US9398028B1 (en) 2014-06-26 2016-07-19 Fireeye, Inc. System, device and method for detecting a malicious attack based on communcations between remotely hosted virtual machines and malicious web servers
US10805340B1 (en) 2014-06-26 2020-10-13 Fireeye, Inc. Infection vector and malware tracking with an interactive user display
US10002252B2 (en) 2014-07-01 2018-06-19 Fireeye, Inc. Verification of trusted threat-aware microvisor
US9363280B1 (en) 2014-08-22 2016-06-07 Fireeye, Inc. System and method of detecting delivery of malware using cross-customer data
US10671726B1 (en) 2014-09-22 2020-06-02 Fireeye Inc. System and method for malware analysis using thread-level event monitoring
US9773112B1 (en) 2014-09-29 2017-09-26 Fireeye, Inc. Exploit detection of malware and malware families
US10027689B1 (en) 2014-09-29 2018-07-17 Fireeye, Inc. Interactive infection visualization for improved exploit detection and signature generation for malware and malware families
CN104484605A (zh) * 2014-12-10 2015-04-01 央视国际网络无锡有限公司 云存储环境病毒源检测方法
US9690933B1 (en) 2014-12-22 2017-06-27 Fireeye, Inc. Framework for classifying an object as malicious with machine learning for deploying updated predictive models
US10075455B2 (en) 2014-12-26 2018-09-11 Fireeye, Inc. Zero-day rotating guest image profile
US9934376B1 (en) 2014-12-29 2018-04-03 Fireeye, Inc. Malware detection appliance architecture
US9838417B1 (en) 2014-12-30 2017-12-05 Fireeye, Inc. Intelligent context aware user interaction for malware detection
US9690606B1 (en) 2015-03-25 2017-06-27 Fireeye, Inc. Selective system call monitoring
US10148693B2 (en) 2015-03-25 2018-12-04 Fireeye, Inc. Exploit detection system
US9438613B1 (en) 2015-03-30 2016-09-06 Fireeye, Inc. Dynamic content activation for automated analysis of embedded objects
US10417031B2 (en) 2015-03-31 2019-09-17 Fireeye, Inc. Selective virtualization for security threat detection
US10474813B1 (en) 2015-03-31 2019-11-12 Fireeye, Inc. Code injection technique for remediation at an endpoint of a network
US9483644B1 (en) 2015-03-31 2016-11-01 Fireeye, Inc. Methods for detecting file altering malware in VM based analysis
US10346623B1 (en) * 2015-03-31 2019-07-09 Amazon Technologies, Inc. Service defense techniques
US9654485B1 (en) 2015-04-13 2017-05-16 Fireeye, Inc. Analytics-based security monitoring system and method
US9594904B1 (en) 2015-04-23 2017-03-14 Fireeye, Inc. Detecting malware based on reflection
US11113086B1 (en) 2015-06-30 2021-09-07 Fireeye, Inc. Virtual system and method for securing external network connectivity
US10454950B1 (en) 2015-06-30 2019-10-22 Fireeye, Inc. Centralized aggregation technique for detecting lateral movement of stealthy cyber-attacks
US10726127B1 (en) 2015-06-30 2020-07-28 Fireeye, Inc. System and method for protecting a software component running in a virtual machine through virtual interrupts by the virtualization layer
US10642753B1 (en) 2015-06-30 2020-05-05 Fireeye, Inc. System and method for protecting a software component running in virtual machine using a virtualization layer
US10715542B1 (en) 2015-08-14 2020-07-14 Fireeye, Inc. Mobile application risk analysis
US10176321B2 (en) 2015-09-22 2019-01-08 Fireeye, Inc. Leveraging behavior-based rules for malware family classification
US10033747B1 (en) 2015-09-29 2018-07-24 Fireeye, Inc. System and method for detecting interpreter-based exploit attacks
US9825989B1 (en) 2015-09-30 2017-11-21 Fireeye, Inc. Cyber attack early warning system
US10706149B1 (en) 2015-09-30 2020-07-07 Fireeye, Inc. Detecting delayed activation malware using a primary controller and plural time controllers
US10817606B1 (en) 2015-09-30 2020-10-27 Fireeye, Inc. Detecting delayed activation malware using a run-time monitoring agent and time-dilation logic
US9825976B1 (en) 2015-09-30 2017-11-21 Fireeye, Inc. Detection and classification of exploit kits
US10601865B1 (en) 2015-09-30 2020-03-24 Fireeye, Inc. Detection of credential spearphishing attacks using email analysis
CN105099834B (zh) * 2015-09-30 2018-11-13 北京华青融天技术有限责任公司 一种自定义特征码的方法和装置
US10210329B1 (en) 2015-09-30 2019-02-19 Fireeye, Inc. Method to detect application execution hijacking using memory protection
US10284575B2 (en) 2015-11-10 2019-05-07 Fireeye, Inc. Launcher for setting analysis environment variations for malware detection
US10447728B1 (en) 2015-12-10 2019-10-15 Fireeye, Inc. Technique for protecting guest processes using a layered virtualization architecture
US10846117B1 (en) 2015-12-10 2020-11-24 Fireeye, Inc. Technique for establishing secure communication between host and guest processes of a virtualization architecture
US10108446B1 (en) 2015-12-11 2018-10-23 Fireeye, Inc. Late load technique for deploying a virtualization layer underneath a running operating system
US10210331B2 (en) * 2015-12-24 2019-02-19 Mcafee, Llc Executing full logical paths for malware detection
US10050998B1 (en) 2015-12-30 2018-08-14 Fireeye, Inc. Malicious message analysis system
US10621338B1 (en) 2015-12-30 2020-04-14 Fireeye, Inc. Method to detect forgery and exploits using last branch recording registers
US10565378B1 (en) 2015-12-30 2020-02-18 Fireeye, Inc. Exploit of privilege detection framework
US10133866B1 (en) * 2015-12-30 2018-11-20 Fireeye, Inc. System and method for triggering analysis of an object for malware in response to modification of that object
US11552986B1 (en) 2015-12-31 2023-01-10 Fireeye Security Holdings Us Llc Cyber-security framework for application of virtual features
US9824216B1 (en) 2015-12-31 2017-11-21 Fireeye, Inc. Susceptible environment detection system
US10581874B1 (en) 2015-12-31 2020-03-03 Fireeye, Inc. Malware detection system with contextual analysis
US10601863B1 (en) 2016-03-25 2020-03-24 Fireeye, Inc. System and method for managing sensor enrollment
US10476906B1 (en) 2016-03-25 2019-11-12 Fireeye, Inc. System and method for managing formation and modification of a cluster within a malware detection system
US10785255B1 (en) 2016-03-25 2020-09-22 Fireeye, Inc. Cluster configuration within a scalable malware detection system
US10671721B1 (en) 2016-03-25 2020-06-02 Fireeye, Inc. Timeout management services
US10893059B1 (en) 2016-03-31 2021-01-12 Fireeye, Inc. Verification and enhancement using detection systems located at the network periphery and endpoint devices
US10826933B1 (en) 2016-03-31 2020-11-03 Fireeye, Inc. Technique for verifying exploit/malware at malware detection appliance through correlation with endpoints
US10169585B1 (en) 2016-06-22 2019-01-01 Fireeye, Inc. System and methods for advanced malware detection through placement of transition events
US10462173B1 (en) 2016-06-30 2019-10-29 Fireeye, Inc. Malware detection verification and enhancement by coordinating endpoint and malware detection systems
US10592678B1 (en) 2016-09-09 2020-03-17 Fireeye, Inc. Secure communications between peers using a verified virtual trusted platform module
US10491627B1 (en) 2016-09-29 2019-11-26 Fireeye, Inc. Advanced malware detection using similarity analysis
US10795991B1 (en) 2016-11-08 2020-10-06 Fireeye, Inc. Enterprise search
US10587647B1 (en) 2016-11-22 2020-03-10 Fireeye, Inc. Technique for malware detection capability comparison of network security devices
US10581879B1 (en) 2016-12-22 2020-03-03 Fireeye, Inc. Enhanced malware detection for generated objects
US10552610B1 (en) 2016-12-22 2020-02-04 Fireeye, Inc. Adaptive virtual machine snapshot update framework for malware behavioral analysis
US10523609B1 (en) 2016-12-27 2019-12-31 Fireeye, Inc. Multi-vector malware detection and analysis
US10904286B1 (en) 2017-03-24 2021-01-26 Fireeye, Inc. Detection of phishing attacks using similarity analysis
US10798112B2 (en) 2017-03-30 2020-10-06 Fireeye, Inc. Attribute-controlled malware detection
US10791138B1 (en) 2017-03-30 2020-09-29 Fireeye, Inc. Subscription-based malware detection
US10848397B1 (en) 2017-03-30 2020-11-24 Fireeye, Inc. System and method for enforcing compliance with subscription requirements for cyber-attack detection service
US10902119B1 (en) 2017-03-30 2021-01-26 Fireeye, Inc. Data extraction system for malware analysis
CN107231360A (zh) * 2017-06-08 2017-10-03 上海斐讯数据通信技术有限公司 基于云网络的网络病毒防护方法、安全无线路由器和系统
CN109145599B (zh) * 2017-06-27 2022-01-07 关隆股份有限公司 恶意病毒的防护方法
US10855700B1 (en) 2017-06-29 2020-12-01 Fireeye, Inc. Post-intrusion detection of cyber-attacks during lateral movement within networks
US10601848B1 (en) 2017-06-29 2020-03-24 Fireeye, Inc. Cyber-security system and method for weak indicator detection and correlation to generate strong indicators
US10503904B1 (en) 2017-06-29 2019-12-10 Fireeye, Inc. Ransomware detection and mitigation
US10893068B1 (en) 2017-06-30 2021-01-12 Fireeye, Inc. Ransomware file modification prevention technique
CN107423641B (zh) * 2017-09-19 2023-10-03 中国南方电网有限责任公司超高压输电公司南宁监控中心 一种用于移动存储介质的防毒方法及防毒装置
US10747872B1 (en) 2017-09-27 2020-08-18 Fireeye, Inc. System and method for preventing malware evasion
US10805346B2 (en) 2017-10-01 2020-10-13 Fireeye, Inc. Phishing attack detection
US11108809B2 (en) 2017-10-27 2021-08-31 Fireeye, Inc. System and method for analyzing binary code for malware classification using artificial neural network techniques
US11005860B1 (en) 2017-12-28 2021-05-11 Fireeye, Inc. Method and system for efficient cybersecurity analysis of endpoint events
US11271955B2 (en) 2017-12-28 2022-03-08 Fireeye Security Holdings Us Llc Platform and method for retroactive reclassification employing a cybersecurity-based global data store
US11240275B1 (en) 2017-12-28 2022-02-01 Fireeye Security Holdings Us Llc Platform and method for performing cybersecurity analyses employing an intelligence hub with a modular architecture
US10826931B1 (en) 2018-03-29 2020-11-03 Fireeye, Inc. System and method for predicting and mitigating cybersecurity system misconfigurations
US11003773B1 (en) 2018-03-30 2021-05-11 Fireeye, Inc. System and method for automatically generating malware detection rule recommendations
US11558401B1 (en) 2018-03-30 2023-01-17 Fireeye Security Holdings Us Llc Multi-vector malware detection data sharing system for improved detection
US10956477B1 (en) 2018-03-30 2021-03-23 Fireeye, Inc. System and method for detecting malicious scripts through natural language processing modeling
US11075930B1 (en) 2018-06-27 2021-07-27 Fireeye, Inc. System and method for detecting repetitive cybersecurity attacks constituting an email campaign
US11314859B1 (en) 2018-06-27 2022-04-26 FireEye Security Holdings, Inc. Cyber-security system and method for detecting escalation of privileges within an access token
US11228491B1 (en) 2018-06-28 2022-01-18 Fireeye Security Holdings Us Llc System and method for distributed cluster configuration monitoring and management
US11316900B1 (en) 2018-06-29 2022-04-26 FireEye Security Holdings Inc. System and method for automatically prioritizing rules for cyber-threat detection and mitigation
US11182473B1 (en) 2018-09-13 2021-11-23 Fireeye Security Holdings Us Llc System and method for mitigating cyberattacks against processor operability by a guest process
US11763004B1 (en) 2018-09-27 2023-09-19 Fireeye Security Holdings Us Llc System and method for bootkit detection
US11368475B1 (en) 2018-12-21 2022-06-21 Fireeye Security Holdings Us Llc System and method for scanning remote services to locate stored objects with malware
US12074887B1 (en) 2018-12-21 2024-08-27 Musarubra Us Llc System and method for selectively processing content after identification and removal of malicious content
US11258806B1 (en) 2019-06-24 2022-02-22 Mandiant, Inc. System and method for automatically associating cybersecurity intelligence to cyberthreat actors
US11556640B1 (en) 2019-06-27 2023-01-17 Mandiant, Inc. Systems and methods for automated cybersecurity analysis of extracted binary string sets
US11392700B1 (en) 2019-06-28 2022-07-19 Fireeye Security Holdings Us Llc System and method for supporting cross-platform data verification
US11886585B1 (en) 2019-09-27 2024-01-30 Musarubra Us Llc System and method for identifying and mitigating cyberattacks through malicious position-independent code execution
US11637862B1 (en) 2019-09-30 2023-04-25 Mandiant, Inc. System and method for surfacing cyber-security threats with a self-learning recommendation engine
CN113051562A (zh) * 2019-12-28 2021-06-29 深信服科技股份有限公司 一种病毒查杀方法、装置、设备及可读存储介质
CN112560040A (zh) * 2020-12-25 2021-03-26 安芯网盾(北京)科技有限公司 一种计算机感染型病毒的通用检测的方法及装置
CN113836534B (zh) * 2021-09-28 2024-04-12 深信服科技股份有限公司 一种病毒家族识别方法、系统、设备及计算机存储介质
CN116881918B (zh) * 2023-09-08 2023-11-10 北京安天网络安全技术有限公司 进程安全检测防护方法、装置、电子设备及介质

Family Cites Families (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5301304A (en) * 1988-05-20 1994-04-05 International Business Machines Corporation Emulating records in one record format in another record format
US5371885A (en) * 1989-08-29 1994-12-06 Microsoft Corporation High performance file system
JP2888958B2 (ja) * 1990-10-20 1999-05-10 富士通株式会社 部分書き換え可能な記憶媒体におけるファイル管理方式
US5408642A (en) * 1991-05-24 1995-04-18 Symantec Corporation Method for recovery of a computer program infected by a computer virus
US5454098A (en) * 1992-09-28 1995-09-26 Conner Peripherals, Inc. Method of emulating access to a sequential access data storage device while actually using a random access storage device
US5440723A (en) * 1993-01-19 1995-08-08 International Business Machines Corporation Automatic immune system for computers and computer networks
JP2501771B2 (ja) * 1993-01-19 1996-05-29 インターナショナル・ビジネス・マシーンズ・コーポレイション 不所望のソフトウェア・エンティティの複数の有効なシグネチャを得る方法及び装置
US5398196A (en) * 1993-07-29 1995-03-14 Chambers; David A. Method and apparatus for detection of computer viruses
US5473765A (en) * 1994-01-24 1995-12-05 3Com Corporation Apparatus for using flash memory as a floppy disk emulator in a computer system
CA2191205A1 (en) * 1994-06-01 1995-12-07 John Schnurer Computer virus trap
US5634096A (en) * 1994-10-31 1997-05-27 International Business Machines Corporation Using virtual disks for disk system checkpointing
US5485575A (en) * 1994-11-21 1996-01-16 International Business Machines Corporation Automatic analysis of a computer virus structure and means of attachment to its hosts
US5613002A (en) * 1994-11-21 1997-03-18 International Business Machines Corporation Generic disinfection of programs infected with a computer virus
US5706472A (en) * 1995-02-23 1998-01-06 Powerquest Corporation Method for manipulating disk partitions
US5675769A (en) * 1995-02-23 1997-10-07 Powerquest Corporation Method for manipulating disk partitions
US5826013A (en) * 1995-09-28 1998-10-20 Symantec Corporation Polymorphic virus detection module
US5765030A (en) * 1996-07-19 1998-06-09 Symantec Corp Processor emulator module having a variable pre-fetch queue size for program execution
US5696822A (en) * 1995-09-28 1997-12-09 Symantec Corporation Polymorphic virus detection module
US6067410A (en) * 1996-02-09 2000-05-23 Symantec Corporation Emulation repair system
US5822517A (en) * 1996-04-15 1998-10-13 Dotan; Eyal Method for detecting infection of software programs by memory resident software viruses
US5951698A (en) * 1996-10-02 1999-09-14 Trend Micro, Incorporated System, apparatus and method for the detection and removal of viruses in macros
US6560701B1 (en) * 1997-02-10 2003-05-06 International Business Machines Corporation Alternate boot record
US5887164A (en) * 1997-06-06 1999-03-23 National Instruments Corporation System and method for enabling a target computer to use storage resources of a host computer
US6067618A (en) * 1998-03-26 2000-05-23 Innova Patent Trust Multiple operating system and disparate user mass storage resource separation for a computer system
US6397242B1 (en) * 1998-05-15 2002-05-28 Vmware, Inc. Virtualization system including a virtual machine monitor for a computer with a segmented architecture
US6795966B1 (en) * 1998-05-15 2004-09-21 Vmware, Inc. Mechanism for restoring, porting, replicating and checkpointing computer systems using state extraction
US6711583B2 (en) * 1998-09-30 2004-03-23 International Business Machines Corporation System and method for detecting and repairing document-infecting viruses using dynamic heuristics
US6338141B1 (en) * 1998-09-30 2002-01-08 Cybersoft, Inc. Method and apparatus for computer virus detection, analysis, and removal in real time
US6356915B1 (en) * 1999-02-22 2002-03-12 Starbase Corp. Installable file system having virtual file system drive, virtual device driver, and virtual disks
US6192456B1 (en) * 1999-03-30 2001-02-20 Adaptec, Inc. Method and apparatus for creating formatted fat partitions with a hard drive having a BIOS-less controller
US6477624B1 (en) * 1999-11-08 2002-11-05 Ondotek, Inc. Data image management via emulation of non-volatile storage device
US7010698B2 (en) * 2001-02-14 2006-03-07 Invicta Networks, Inc. Systems and methods for creating a code inspection system
US7089589B2 (en) * 2001-04-10 2006-08-08 Lenovo (Singapore) Pte. Ltd. Method and apparatus for the detection, notification, and elimination of certain computer viruses on a network using a promiscuous system as bait

Cited By (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8931094B2 (en) 2001-08-16 2015-01-06 The Trustees Of Columbia University In The City Of New York System and methods for detecting malicious email transmission
US9306966B2 (en) 2001-12-14 2016-04-05 The Trustees Of Columbia University In The City Of New York Methods of unsupervised anomaly detection using a geometric framework
US9497203B2 (en) 2002-01-25 2016-11-15 The Trustees Of Columbia University In The City Of New York System and methods for adaptive model generation for detecting intrusion in computer systems
US8887281B2 (en) 2002-01-25 2014-11-11 The Trustees Of Columbia University In The City Of New York System and methods for adaptive model generation for detecting intrusion in computer systems
US8893273B2 (en) 2002-01-25 2014-11-18 The Trustees Of Columbia University In The City Of New York Systems and methods for adaptive model generation for detecting intrusions in computer systems
KR100830434B1 (ko) 2005-11-08 2008-05-20 한국정보보호진흥원 악성코드 수집 시스템 및 방법
US9001661B2 (en) 2006-06-26 2015-04-07 Palo Alto Networks, Inc. Packet classification in a network security device
KR100833958B1 (ko) * 2006-07-28 2008-05-30 고려대학교 산학협력단 악성 프로그램을 탐지하는 프로그램이 저장된 기록 매체 및악성 프로그램 탐지 방법
US8176558B2 (en) 2008-08-13 2012-05-08 Fujitsu Limited Anti-virus method, computer, and recording medium
EP2154626A2 (en) 2008-08-13 2010-02-17 Fujitsu Ltd. Anti-virus method, computer, and recording medium
US9565097B2 (en) 2008-12-24 2017-02-07 Palo Alto Networks, Inc. Application based packet forwarding
US8955124B2 (en) 2010-04-28 2015-02-10 Electronics And Telecommunications Research Institute Apparatus, system and method for detecting malicious code
JP2011233126A (ja) * 2010-04-28 2011-11-17 Electronics And Telecommunications Research Institute 正常プロセスに偽装挿入された悪性コード検出装置、システム及びその方法
JP2014519113A (ja) * 2011-05-24 2014-08-07 パロ・アルト・ネットワークス・インコーポレーテッド マルウェア解析システム
US9043917B2 (en) 2011-05-24 2015-05-26 Palo Alto Networks, Inc. Automatic signature generation for malicious PDF files
KR101512454B1 (ko) * 2013-12-24 2015-04-16 한국인터넷진흥원 시분할 방식의 배양기반 악성코드 분석시스템
KR20160138523A (ko) * 2015-03-18 2016-12-05 바이두 온라인 네트웍 테크놀러지 (베이징) 캄파니 리미티드 위험 파일에 대응하는 행위 정보를 결정하는 방법 및 장치
JP2017520820A (ja) * 2015-03-18 2017-07-27 百度在▲綫▼网▲絡▼技▲術▼(北京)有限公司 危険ファイルに対応する挙動情報特定方法及び危険ファイルに対応する挙動情報特定装置
KR101974989B1 (ko) 2015-03-18 2019-05-07 바이두 온라인 네트웍 테크놀러지 (베이징) 캄파니 리미티드 위험 파일에 대응하는 행위 정보를 결정하는 방법 및 장치

Also Published As

Publication number Publication date
CN1147795C (zh) 2004-04-28
EP1253501A3 (en) 2004-02-11
CN1314638A (zh) 2001-09-26
US20020162015A1 (en) 2002-10-31
EP1253501A2 (en) 2002-10-30

Similar Documents

Publication Publication Date Title
JP2002342106A (ja) 既知や未知のコンピュータウィルスの検索・駆除方法
Kephart et al. Biologically inspired defenses against computer viruses
US7234167B2 (en) Automatic builder of detection and cleaning routines for computer viruses
JP3079087B2 (ja) マクロ・ウイルスを発生する方法及びシステム
US7861300B2 (en) Method and apparatus for determination of the non-replicative behavior of a malicious program
JP4741782B2 (ja) コンピュータ免疫システムおよびコンピュータシステムにおいて望ましくないコードを検出する方法
EP0941512B1 (en) State-based cache for antivirus software
US6952776B1 (en) Method and apparatus for increasing virus detection speed using a database
JP4950902B2 (ja) ダイナミックトランスレーションによる先取りコンピュータマルウェアの保護
CA2304163C (en) Dynamic heuristic method for detecting computer viruses
US7370360B2 (en) Computer immune system and method for detecting unwanted code in a P-code or partially compiled native-code program executing within a virtual machine
US7069583B2 (en) Detection of polymorphic virus code using dataflow analysis
US20050262567A1 (en) Systems and methods for computer security
WO2007056933A1 (fr) Procede pour identifier des virus inconnus et les supprimer
CN1737722A (zh) 一种检测和防御计算机恶意程序的系统和方法
JP2004517390A (ja) 解析仮想マシン
Kephart et al. An immune system for cyberspace
CN101183414A (zh) 一种程序检测的方法、装置及程序分析的方法
Eskandari et al. To incorporate sequential dynamic features in malware detection engines
Morales et al. Identification of file infecting viruses through detection of self-reference replication
KR102105885B1 (ko) 랜섬웨어 탐지 방법 및 랜섬웨어 탐지 시스템
EP4109310A1 (en) Iterative memory analysis for malware detection
US20220414214A1 (en) Machine learning through iterative memory analysis for malware detection
US7350235B2 (en) Detection of decryption to identify encrypted virus
JP7524482B2 (ja) 悪性コード静的分析のための実行ファイルのアンパッキングシステム及び方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040405

RD12 Notification of acceptance of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7432

Effective date: 20060414

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20060414

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20060525

A761 Written withdrawal of application

Free format text: JAPANESE INTERMEDIATE CODE: A761

Effective date: 20070427