JP2004533041A - 悪性コンピュータプログラムにより損傷されたコンピュータシステムを回復するシステム及び方法 - Google Patents
悪性コンピュータプログラムにより損傷されたコンピュータシステムを回復するシステム及び方法 Download PDFInfo
- Publication number
- JP2004533041A JP2004533041A JP2002578117A JP2002578117A JP2004533041A JP 2004533041 A JP2004533041 A JP 2004533041A JP 2002578117 A JP2002578117 A JP 2002578117A JP 2002578117 A JP2002578117 A JP 2002578117A JP 2004533041 A JP2004533041 A JP 2004533041A
- Authority
- JP
- Japan
- Prior art keywords
- file
- malicious code
- computer system
- command
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/564—Static detection by virus signature recognition
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Quality & Reliability (AREA)
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Hardware Redundancy (AREA)
- Debugging And Monitoring (AREA)
Abstract
悪性コードにより修正されたコンピュータシステムを回復するための方法。本方法は、悪性コードについてコンピュータシステムをスキャニングし、該悪性コードを識別し且つ該悪性コードにより修正された前に存在していた状態へコンピュータシステムを回復させるために使用される少なくとも1個のコマンドを包含する該悪性コードに関連する情報をデータファイルから検索する。該少なくとも1個のコマンドは、該悪性コードにより修正前に存在していた状態へコンピュータシステムを実質的に回復させるために実行される。
【選択図】図2
【選択図】図2
Description
【技術分野】
【0001】
本発明はコンピュータプログラムの検知及び除去に関するものである。更に詳細には、本発明は悪性コンピュータプログラムにより損傷されたコンピュータシステムを回復することに関するものである。
【背景技術】
【0002】
コンピュータウイルスは最近のコンピュータの使用において主要な問題である。一般的に、コンピュータウイルスはその他のプログラム及び/又はオブジェクトへ取り付くことが可能なプログラム(又は何等かの単位のコード、例えばコードブロック、コード要素又はコードセグメント等のコンピュータに応答する命令)であり、それ自身複製することが可能であり、及び/又はコンピュータシステムに関して頼みもしない動作又は悪性の動作を実施することが可能である。本明細書においてはコンピュータウイルスに関して説明するが、本発明はコンピュータ資源の1つ又はそれ以上の部分を修正することが可能な任意のタイプの悪性コードに対して適用することが可能である。コンピュータウイルスからの1つの回復方法はコンピュータウイルスを除去することを包含している場合がある。このことは、例えば、ファイル、メモリエリア、又は格納媒体のブートセクターとすることが可能な感染したオブジェクトにおけるウイルスをディスエーブル即ち動作不能とさせることを包含している場合がある。然しながら、最近のコンピュータウイルスは、例えば、ファイルを削除するか又は名称変更し、システムレジストリー及び初期化ファイルを操作し、及び/又は不所望のサービス及びプロセスを形成することにより、最初に感染したオブジェクトに加えてオブジェクトを操作するものも見つかっている。
【0003】
コンピュータシステム上の既存のファイルを名称変更し及び/又はコンピュータをして不所望の態様で動作させる異なるファイルと置換させることの可能なコンピュータウイルスが見つかっている。更に、コンピュータシステム内に潜んでいながらウイルスは既存のシステムコンフィギュレーションファイルを修正する場合がある。両方を行うコンピュータウイルスの1例は「Happy99:Worm」ウイルスである。この特定のタイプのウイルスは電子メールメッセージのアタッチメント即ち付属物として移動し且つ感染したコンピュータをして該ウイルスのコピーを発信電子メールメッセージへ付属させる。このタイプのウイルスは、又、コンピュータのハードドライブ上に1個又はそれ以上の隠されたファイルを配置させ及び/又はウインドウズレジストリーファイルを変更させる。例えば、「Happy99:Worm」ウイルスは「Wsock32.dll」ファイルを「Wsock32.ska」へ名称変更し且つオリジナルの「Wsock32.dll」をそれ自身のバージョンのファイルと置換させる。「Happy99.Worm」ウイルスは、又、コンピュータシステム上に「Ska.exe」を包含する幾つかのその他のファイルを作成し且つスタートアップ時に「Ska.exe」ファイルをコンピュータが稼動させる命令するラインをウインドウズレジストリーファイルへ付加させる。
【0004】
ファイル等を回復させるか又は正しく名称変更させ及び/又は不所望のサービス又はプロセスを除去させることなしにウイルスコードを単にディスエーブルさせるか又は除去することはコンピュータシステムを実効的に回復することとはならない。即ち、ウイルスが取りついたオブジェクトを回復することは、特に、そのコンピュータウイルスによって多数のその他のオブジェクトが作成されたか又は修正された場合に、必ずしも充分なものでない場合がある。
【発明の開示】
【発明が解決しようとする課題】
【0005】
各ウイルスはコンピュータシステムの異なる部分に影響を与える場合があるので、特別の処置が必要とされ且つ任意の数のオブジェクトに関して実施される多数のオペレーティングシステム特定操作を必要とする場合がある。従って、全ての感染したオブジェクトを回復させる感染したコンピュータシステムの完全なる回復が必要とされる。
【課題を解決するための手段】
【0006】
本発明は、悪性コードによって修正されたコンピュータシステムを回復する方法に関するものであって、悪性コードについてコンピュータシステムをスキャニングし、該悪性コードを識別し、該悪性コードによる修正前に存在していた状態へ該コンピュータシステムを回復させるために使用される少なくとも1個のコマンドを包含する該悪性コードに関連する情報をデータファイルから検索することを包含している。該少なくとも1個のコマンドを実行するステップは、データの読取、書込、削除のうちの少なくとも1つを包含することが可能である。該少なくとも1個のコマンドを実行するステップは、又、オブジェクトの名称変更及び削除のうちの少なくとも1つを包含することが可能である。
【0007】
本発明は、又、悪性コードにより修正されたコンピュータシステムを回復するためのコンピュータによって実行可能なコードを包含する格納媒体に関するものであって、悪性コードについてコンピュータシステムをスキャニングするコード、該悪性コードを識別するコード、該悪性コードにより修正前に存在していた状態へ該コンピュータシステムを回復させるために使用される少なくとも1個のコマンドを包含する該悪性コードに関連する情報をデータファイルから検索するコード、及び該コンピュータシステムを実質的に該悪性コードによる修正前に存在していた状態へ復帰させるために該少なくとも1個のコマンドを実行するコード、を包含している。
【0008】
本発明は、又、悪性コードにより修正されたコンピュータシステムを回復するためのコンピュータによって実行可能な命令を包含しており伝送媒体において実現されるコンピュータデータ信号に関するものであって、悪性コードについてコンピュータシステムをスキャニングするデータ信号部分、該悪性コードを識別するためのデータ信号部分、該悪性コードによる修正前に存在していた状態へ該コンピュータシステムを回復させるために使用される少なくとも1個のコマンドを包含している該悪性コードに関連する情報をデータファイルから検索するデータ信号部分、該悪性コードによる修正前に存在していた状態へ該コンピュータシステムを実質的に回復させるために該少なくとも1個のコマンドを実行するデータ信号部分とを包含している。
【発明を実施するための最良の形態】
【0009】
図面に例示された本発明の好適実施例を説明する上で、便宜上特定の用語を使用する。然しながら、本発明はそのように選択された特定の用語に制限されることを意図したものではなく、且つこのような特定の用語は同様の態様で動作する全ての技術的均等物を包含するものと理解すべきである。
【0010】
図1は本発明の回復システム及び方法を適用することが可能なコンピュータシステム102の1例のブロック図である。コンピュータシステム102はコンピュータウイルスを検知するためのソフトウエアを稼動させることが可能なスタンダードのPC、ラップトップ、メインフレーム等とすることが可能である。コンピュータシステム102は、又は、ウイルスがシステム内に配置される前に存在していた状態へコンピュータシステム102を回復させるための本発明に基づくソフトウエアを稼動させることが可能である。図示した如く、コンピュータシステム102は中央処理装置(CPU)2、メモリ4、クロック回路6、プリンタインターフェース8、ディスプレイユニット10、LANデータ送信制御器12、LANインターフェース14、ネットワーク制御器16、内部バス18、例えばキーボード及びマウス等の1個又はそれ以上の入力装置20を包含することが可能である。勿論、コンピュータシステム102は図示した各コンポーネントを包含するものでない場合があり及び/又は図示していない付加的なコンポーネントを包含することも可能である。
【0011】
CPU2はシステム102の動作を制御し且つメモリ4内に格納されているアプリケーションを稼動することが可能である。メモリ4は、例えば、RAM、ROM、着脱自在なCDROM、DVD等を包含することが可能である。メモリ4は、又はCPU2による使用のために予約された作業エリアのみならず、アプリケーションの実行に対して必要な種々のタイプのデータを格納することが可能である。クロック回路6は現在の時間を表わす情報を発生する回路を包含することが可能であり、且つ所定の又は予め設定された量の時間をカウントダウンすべくプログラムさせることが可能である。
【0012】
LANインターフェース14はLANとすることが可能なネットワーク(不図示)とLANデータ送信制御器12との間の通信を可能とさせる。LANデータ送信制御器12はネットワーク上のその他の装置と情報及びデータを交換するのに適した所定のプロトコルを使用する。コンピュータシステム102は、又、ルーター(不図示)を介して他のネットワークと通信することも可能である。コンピュータシステム102は、又、ネットワーク制御器16を使用して公衆交換電話回路網(PSTN)を介して他の装置と通信を行うことも可能である。コンピュータシステム102は、例えば、WAN(ワイドエリアネットワーク)及びインターネットへのアクセスを有することも可能である。内部バス18は、実際に、複数個のバスから構成することが可能であり、それに接続されているコンポーネントの各々の間での通信を可能とする。
【0013】
コンピュータシステム102は、コンピュータウイルスを認識し且つ識別するべく設計された1個又はそれ以上のタイプのスキャニングプログラムを使用してコンピュータウイルスに対しメモリ4の1つ又はそれ以上の部分をスキャニングすることが可能である。例えば、該スキャニングプログラムは、ウイルスの既知のシグナチャを検知することが可能であり、又はウイルスを検知するためのヒューリスティック即ち発見的論理を使用することが可能である。
【0014】
本発明の方法及びシステムは、メモリ4又はその他の箇所に格納され且つコンピュータシステム102によってアクセス可能なそれ自身コンピュータによって実行可能なコードとして実現することが可能である。コンピュータによって実行可能なコードはコンピュータシステム102を遠隔的に修復/回復させるためにコンピュータシステム102と通信状態にある遠隔地に格納し且つ実行させることが可能である。本明細書に記載する方法及びシステムは、コンピュータウイルスにより損傷されたコンピュータシステムを回復することが可能である。1実施例によれば、複数個のウイルス特定回復コマンドデータファイル(図3A参照)がコンピュータシステム102によりアクセス可能である。図3Bに示したように、各回復コマンドデータファイルは特定のウイルスにより損傷を受けた感染されたコンピュータシステムを回復させるために使用されるコマンド又はシステム回復命令を包含している。幾つかのウイルスは異なるオぺレーティングシステムに異なる態様で影響を与える場合があるので、これらのコマンドはオペレーティングシステム特定条件に従って分類することが可能である。該コマンドは、特定のコンピュータウイルスにより変更されるか又は損傷されたものとして知られるファイル名称、システムレジストリー設定及び/又はその他のオペレーティングシステム特性を回復させるために使用される。
【0015】
回復コマンドデータファイル内に格納し且つシステムによって使用することが可能なコマンドの例は、以下のものを包含している。即ち、ファイルのコピー、削除及び名称変更、ウインドウズレジストリーキーの読取、書込、作成及び削除、INIファイルの操作、システムメモリ内の活性プロセスの識別及び終了、外部プログラムの起動、ストリング型変数の操作、数値型変数の操作、回復命令フローの制御(ランタイム入力パラメータに依存)、回復命令のフローの制御(ターゲットオペレーティングシステムに依存)等である。勿論、特定のウイルスによるシステムに対して実施される変更に依存して、その他のコマンドも所要により設けることが可能である。上にリストしたコマンドのうちの1つ又はそれ以上を使用して、ウイルスにより損傷を受けたコンピュータシステムを回復させることが可能である。
【0016】
図2を参照すると、スキャニングプログラムの1つ又はそれ以上を使用して、コンピュータシステム102はウイルスについてメモリ4の少なくとも一部をスキャニングする(ステップS1)。次いで、ウイルスが見つかったか否かの判定がなされる(ステップS2)。ウイルスが存在しない場合には(No、ステップS2)、本処理は終了する(ステップS5)。ウイルスが存在しており且つ識別されると(Yes、ステップS2)、システム回復オプションが選択されたか否かを判別する(ステップS3)。例えば、このことは、グラフィックユーザインターフェース(GUY)の形態とすることが可能であり、スキャニングプログラムを開始する前に、ウイルスが検知された場合に本発明のシステム回復特徴が適用されるべきか否かをユーザに選択させるプロンプトを与える。システム回復オプションが選択されていない場合には(No、ステップS3)、本処理は終了する(ステップS5)。システム回復オプションが選択されている場合には(Yes、ステップS3)、識別されたウイルスに対応する回復コマンドデータファイルが検索される。該回復コマンドデータファイルは、そのウイルスによって感染する前にシステムが存在していた状態へシステムを回復させるためのシステム回復命令を包含している。次いで、該回復コマンドデータファイル内のコマンド又はシステム回復命令が検索され且つ処理される(ステップS4)。該回復コマンドデータファイルは特定のウイルスによって感染されたファイルの名称及びコンピュータシステムを回復するのに必要な命令を包含することが可能である。該コマンド又はシステム回復命令が実施された後に、完了した処理は終了する(ステップS5)。
【0017】
1例として、「Happy99.Worm」ウイルスが存在しており且つ識別され(Yes、ステップS2)且つシステム回復オプションが選択されている場合には(Yes、ステップS3)、「Happy99.Worm」ウイルスに対応し且つ「Happy99.Worm」ウイルスから回復するために使用されるシステム回復命令を包含している回復コマンドデータファイルが検索される。次いで、該命令が実行され(ステップS4)、コンピュータを通常の動作条件へ回復させる。例えば、本方法及びシステムは「Delete File」(ファイル削除)コマンドを実行して、新たに作成された「Wsock32.dll」及び「Ska.exe」ファイル及び該ウイルスによって作成されたその他の全てを削除することが可能である。それは、又、「Rename File」(ファイル名称変更)コマンドを実行して、「Wsock32.ska」ファイルをオリジナルの名称である「Wsock32.dll」へ名称変更させることが可能である。最後に、本方法及びシステムは「ReadRegKey」及び「DeleteRegKey」コマンドを使用して該ウイルスによりウインドウズレジストリーへ付加された全てのキー及び値を読取り且つ削除することが可能である。これらのコマンド即ち回復命令は、例えば、プログラミングコードのスタイルで回復コマンドデータファイル内にリストさせることが可能である。
【0018】
コンピュータウイルスにより操作され又は損傷されたファイルを回復させるために、回復コマンドデータファイルは、又、コンピュータシステム上に位置されたファイルを操作するための「Delete File」(ファイル削除)、「Rename File」(ファイル名称変更)及び/又は「Copy File」(ファイルコピー)ファイルシステムコマンドを包含することが可能である。更に、「Shell」(シェル)コマンドも設けることが可能であり、それによりシステムシェルコマンドを実行することが可能である。これらのコマンドは使用状況に依存して入力パラメータとして1個又はそれ以上のファイル名称を使用することが可能であり且つ失敗の場合にエラー条件を返す。操作すべきファイルが現在システムによって使用されており且つアクセスすることが不可能である場合には、ファイルシステムコマンドはエラー条件を返すものではなく、その代わりに、コマンドはそのファイルを解放させるためにコンピュータの再開始が必要であるようにコンピュータシステムを変化させる。そのファイルが解放されると、本方法及びシステムは前に試みたファイルシステムのコマンドを実行する。
【0019】
コンピュータウイルスはコンピュータシステム上で稼動する不所望のプロセス及び/又はサービスを開始させる場合がある。従って、回復コマンドデータファイルは、コンピュータシステム上で現在稼動中のプロセス及びサービスを停止させるためのプロセス操作コマンドも包含することが可能である。例えば、「Kill Process」コマンドは、現在コンピュータシステム上で稼動中のプロセスを停止させるために使用することが可能であり、且つ「Kill Service」コマンドは、サービスを停止させ且つそれをウインドウズレジストリーファイルから除去するために使用することが可能である。
【0020】
コンピュータウイルスは、又、ウインドウズレジストリー及び/又は初期化ファイルを包含するオペレーティングシステムファイルを改ざんする場合がある。ウインドウズレジストリーはウインドウズ用の設定及びオプションを格納するために使用される2個のファイルから構成されているデータベースであり、ハードウエア、ソフトウエア、ユーザ、コンピュータのお気に入りの全てに対する情報及び設定を包含している。ウインドウズレジストリーは階層的構造を有しており、メイン分岐はレジストリー内に格納される実際の情報を包含する「値」を格納する「キー」と呼ばれるサブ分岐を包含している。あるコンピュータウイルスはウインドウズレジストリー及び/又は初期化フィルスを改ざんさせる場合がある。例えば、インストール期間中に、「Happy99.Worm」ウイルスはウインドウズレジストリーに対して対応する値を有するキーを付加させる場合があり、その場合にその値はシステムのスタートアップ時に実行されるべきファイルの名称であり、それにより、コンピュータが開始される度にユーザに知られることなしにウイルスが活性化される。従って、このようなコンピュータウイルスにより損傷を受けたコンピュータシステムを回復させるためには、回復コマンドデータファイルは「System.ini」等の初期化(INI)ファイル及び/又はウインドウズレジストリー等のウインドウズファイル内に位置されているファイルを読取、書込、削除する能力を包含することが可能である。使用されるウインドウズレジストリー操作コマンドは「ReadRegKey」、「WriteRegKey」、「DelRegKey」を包含することが可能であり、一方IINファイル操作コマンドは「ReadINIKey」及び「WriteINIKey」を包含することが可能である。コマンド名称、入力パラメータ及び機能は以下の如くである。
【0021】
ReadRegKey(変数、キー、値)はキーの値フィールド内に位置されているデータを変数内へ読込む;
WriteRegKey(キー、値、変数)は変数からのデータをキーの値フィールド内へ書込む。該キー又は値が存在しない場合には、それらは作成され、
DeleteRegKey(キー、値)は特定されたキー、又は該値パラメータが空のままである場合には、キー全体の値フィールドを削除し;
ReadINIKey(変数、INI名称、セクション、キー)は特定されたINIファイル内に位置しているキーのセクションフィールド内に位置しているデータを読取り;且つ
WriteINIKey(INI名称、セクション、キー、変数)は変数からのデータを特定されたINIファイル内に位置しているキーのセクションフィールド内に書込む。その変数が「NULL」に設定されると、そのキーは除去される。
【0022】
上のコマンドにおいて、キー又は値入力がコンピュータシステム上に存在しない場合に「読取」及び「削除」コマンド期間中にエラー条件を挙げることが可能であり、且つ書込失敗が発生した場合には「書込」及び「削除」コマンドにおける場合である。コマンドが、例えば存在しないファイルをコピーすることの失敗又は存在しないウインドウズレジストリーキーを読取ることを表わすエラー等の実行後のエラーを返す場合に、本方法及びシステムは該エラーを無視し且つ回復プロセスを停止させることが可能である。例えば、OnErrorAbortコマンドを包含することは、最初のエラーの発生によって回復プロセスをアボート即ち中止させ、一方OnErrorContinueコマンドを包含することは、1個又はそれ以上のエラーが発生した場合に回復プロセスを継続して行わせる。本方法及びシステムはデフォルトによりOnErrorContinueに設定してあり、従って1個又はそれ以上のエラーが発生した場合であっても回復プロセスは継続される。
【0023】
回復コマンドデータファイルは、又、ウイルスにより変更された場合にストリング変数を操作するストリング操作コマンドを包含することが可能である。このようなコマンドの例は、ソースストリング、マクロ又は一定値をデスティネーションストリング内へコピーするStrCopyコマンドを包含することが可能である。StrCopyコマンドは、ソースストリング、マクロ、又は一定値をデスティネーションストリング内へ連結させることが可能である。
【0024】
回復コマンドデータファイルは、メモリ4及び/又はコンピュータシステム102によってアクセス可能なその他の格納媒体内におけるデータ格納部内に格納することが可能である。例えば、回復コマンドデータファイルは、ローカルエリアネットワーク又はインターネットを介して接続された別個の格納システム上に格納させることが可能であり、その場合に、該ファイルは直接的にアクセスすることが可能であり、又周期的にアップデートさせることが可能である。「Happy99.Worm」ウイルスから回復するために必要となる場合のある回復コマンドデータファイルの内容の1例を図3Bに示してある。「VirusStart」及び「RemoveEnd:」の間のコードの部分は、ウイルスを検知し且つ感染されたファイルを回復するために使用される。このコードの部分は回復コマンドデータファイル内に設けることも設けないことも可能である。「SysCureStart:」及び「SysCureEnd:」の間のコードのセクションは、本明細書に記載した技術を使用してコンピュータシステムを回復させるために使用される。
【0025】
コンピュータシステムがウイルスを識別し且つ適宜の回復コマンドデータファイルへアクセスした後に、コンピュータシステムはコンピュータシステムを回復させるためのコマンドのリストをデータファイルから読取る。図3Bに示したように、SysCureStart及びSysCureEndマーカーはデータファイル内に見つかったコマンドブロックを開始させ且つ終了させる。この例によれば、コンピュータシステムは、最初に、データファイルから検索されたキー及び値パラメータと共にDelRegKeyコマンドを実行する。該キー及び値パラメータはウイルスに特定的なものであり且つこの場合には、夫々、「HK LOCAL MACHINE\Software\Microsoft\Windows\Run」及び「Virus」である。該ウイルスによってウインドウズレジストリーファイル内に挿入された場合に、このキー及び値の組合わせは、スタートアップ時に、コンピュータシステムをして「Virus」ファイルを実行させる。従って、この値が本システム及び方法を使用するコンピュータシステムによってウインドウズレジストリーから削除されると、コンピュータシステムは、最早、スタートアップ時にそのファイルを実行しようとすることはない。
【0026】
コンピュータシステムは、最早、スタートアップ時に該ウイルスファイルを実行しようとすることはないが、実行可能なウイルスファイルは未だにシステム上に存在しており削除されるべきである。従って、本回復コマンドデータファイルは、又、デスティネーション変数、キー、値パラメータと共にReadRegKeyコマンドを包含しており、特定した値フィールド内に位置している値をそれが格納されている第一変数内へロードさせる。この値は、システムスタートアップ時に「Happy99.Worm」が実行されるべく配置させた実行可能なファイルの名称であり、例えば「Ska.exe」である。次いで、コンピュータシステムはStrcatコマンドを実行して、この変数を、システム毎に変化する場合があり、従って、システムマクロ「%SysDir%」によって示されるシステムディレクトリーのパス名称と連結させてシステム名称とそれに続く実行可能なウイルスファイル名とを包含する第二変数とさせる。次いで、コンピュータシステムはパラメータとして第二変数を使用してDeleFileを実行し、それにより該実行可能なファイルを削除する。この技術は、実行可能なファイルの実際の名称と独立的にコンピュータシステムが該ウイルスを削除することを可能とする。
【0027】
その後にリストされるコマンドを実行することが可能であり且つウインドウズ95、ウインドウズ98、ウインドウズNT、ウインドウズ2000、又は全てへ設定することが可能なオペレーティングシステムを識別するためにオペレーティングシステム(OS)変数を使用することが可能である。オペレーティングシステムに特定のコマンドが存在する場合には、そのコマンドはそのオペレーティングシステムにより識別される回復コマンドデータファイルのサブセクションの下にリストすることが可能である。全てのオペレーティングシステムに関して使用することが可能なコマンドが存在する場合には、そのコマンドは一般セクション又はサブセクションの下にリストすることが可能であり且つ全てのオペレーティングシステムに対して実行することが可能である。図3Bにおいて、オペレーティングシステム変数「Win9x」はコードセクション内にリストされているコマンドがウインドウズ95、98、MEオペレーティングシステムが稼動するコンピュータシステム上で実行されるべきであることを表わす。本システム及び方法は、スタンダードシステムアプリケーションプログラムインターフェース(API)を使用するオペレーティングシステムを決定することが可能である。オペレーティングシステムが決定されると、この情報は回復コマンドデータファイル内のコマンドを実行している場合の条件付き分岐のために格納し且つ使用することが可能である。
【0028】
回復コマンドデータファイルは、又、その他のタイプのコマンドを包含することが可能である。例えば、容易に入手可能でないファイル又はデータを修復又は置換させることが必要である場合に、適宜のファイル又はデータを包含するシステムディスクを挿入することのプロンプトをユーザに対して与えるためのコードを回復コマンドデータファイル内に設けることが可能である。システムディスクからファイル又はデータを検索するため及びコンピュータシステム上の損傷されたか又は欠落しているファイルを置換させるためのコードを包含させることが可能である。回復コマンドデータファイルは、又、コンピュータシステムからインターネットブラウザーを起動させ且つコンピュータシステムを回復させるための適宜のファイル又はデータを具備する既知のウエブサイトへアクセスするためのコードを包含することも可能である。ウエブサイトからファイル又はデータを自動的にダウンロードするため及びコンピュータシステム上の欠落しているか又は損傷されたファイル又はデータを回復させるために適宜のファイル又はデータをダウンロードすることのプロンプトをユーザに与えるためのコードを回復コマンドデータファイル内に包含させることが可能である。
【0029】
本発明は、1個又はそれ以上の従来の汎用デジタルコンピュータ及び/又は本発明の示唆に基づいてプログラムされたサーバーを使用して実現することが可能である。本発明の示唆に基づいて熟練したプログラマーにより適宜のソフトウエアコーディングを容易に用意することが可能である。本発明は、又、応用特定集積回路の調整により、又は従来のコンポーネント回路の適宜のネットワークの相互接続により実現することが可能である。
【0030】
本発明の種々の付加的な修正及び変形は上の説明に鑑み可能なものである。従って、特許請求の範囲内において、本発明は本発明に特記したもの以外に実施することが可能であることを理解すべきである。
【図面の簡単な説明】
【0031】
【図1】本発明の1実施例に基づいて悪性コードにより損傷を受けたコンピュータシステムを回復するためのシステム及び方法を適用することが可能な例示的なコンピュータシステムを示した概略図。
【図2】本発明の1実施例に基づいて悪性コードにより損傷を受けたコンピュータシステムを回復するためのプロセスを示したフローチャート。
【図3】(A)はウイルス特定回復コマンドデータファイルを包含するデータベースを示した概略図、(B)は本発明の1実施例に基づく回復コマンドデータファイルのうちの1つからのコマンドを示した概略図。
【0001】
本発明はコンピュータプログラムの検知及び除去に関するものである。更に詳細には、本発明は悪性コンピュータプログラムにより損傷されたコンピュータシステムを回復することに関するものである。
【背景技術】
【0002】
コンピュータウイルスは最近のコンピュータの使用において主要な問題である。一般的に、コンピュータウイルスはその他のプログラム及び/又はオブジェクトへ取り付くことが可能なプログラム(又は何等かの単位のコード、例えばコードブロック、コード要素又はコードセグメント等のコンピュータに応答する命令)であり、それ自身複製することが可能であり、及び/又はコンピュータシステムに関して頼みもしない動作又は悪性の動作を実施することが可能である。本明細書においてはコンピュータウイルスに関して説明するが、本発明はコンピュータ資源の1つ又はそれ以上の部分を修正することが可能な任意のタイプの悪性コードに対して適用することが可能である。コンピュータウイルスからの1つの回復方法はコンピュータウイルスを除去することを包含している場合がある。このことは、例えば、ファイル、メモリエリア、又は格納媒体のブートセクターとすることが可能な感染したオブジェクトにおけるウイルスをディスエーブル即ち動作不能とさせることを包含している場合がある。然しながら、最近のコンピュータウイルスは、例えば、ファイルを削除するか又は名称変更し、システムレジストリー及び初期化ファイルを操作し、及び/又は不所望のサービス及びプロセスを形成することにより、最初に感染したオブジェクトに加えてオブジェクトを操作するものも見つかっている。
【0003】
コンピュータシステム上の既存のファイルを名称変更し及び/又はコンピュータをして不所望の態様で動作させる異なるファイルと置換させることの可能なコンピュータウイルスが見つかっている。更に、コンピュータシステム内に潜んでいながらウイルスは既存のシステムコンフィギュレーションファイルを修正する場合がある。両方を行うコンピュータウイルスの1例は「Happy99:Worm」ウイルスである。この特定のタイプのウイルスは電子メールメッセージのアタッチメント即ち付属物として移動し且つ感染したコンピュータをして該ウイルスのコピーを発信電子メールメッセージへ付属させる。このタイプのウイルスは、又、コンピュータのハードドライブ上に1個又はそれ以上の隠されたファイルを配置させ及び/又はウインドウズレジストリーファイルを変更させる。例えば、「Happy99:Worm」ウイルスは「Wsock32.dll」ファイルを「Wsock32.ska」へ名称変更し且つオリジナルの「Wsock32.dll」をそれ自身のバージョンのファイルと置換させる。「Happy99.Worm」ウイルスは、又、コンピュータシステム上に「Ska.exe」を包含する幾つかのその他のファイルを作成し且つスタートアップ時に「Ska.exe」ファイルをコンピュータが稼動させる命令するラインをウインドウズレジストリーファイルへ付加させる。
【0004】
ファイル等を回復させるか又は正しく名称変更させ及び/又は不所望のサービス又はプロセスを除去させることなしにウイルスコードを単にディスエーブルさせるか又は除去することはコンピュータシステムを実効的に回復することとはならない。即ち、ウイルスが取りついたオブジェクトを回復することは、特に、そのコンピュータウイルスによって多数のその他のオブジェクトが作成されたか又は修正された場合に、必ずしも充分なものでない場合がある。
【発明の開示】
【発明が解決しようとする課題】
【0005】
各ウイルスはコンピュータシステムの異なる部分に影響を与える場合があるので、特別の処置が必要とされ且つ任意の数のオブジェクトに関して実施される多数のオペレーティングシステム特定操作を必要とする場合がある。従って、全ての感染したオブジェクトを回復させる感染したコンピュータシステムの完全なる回復が必要とされる。
【課題を解決するための手段】
【0006】
本発明は、悪性コードによって修正されたコンピュータシステムを回復する方法に関するものであって、悪性コードについてコンピュータシステムをスキャニングし、該悪性コードを識別し、該悪性コードによる修正前に存在していた状態へ該コンピュータシステムを回復させるために使用される少なくとも1個のコマンドを包含する該悪性コードに関連する情報をデータファイルから検索することを包含している。該少なくとも1個のコマンドを実行するステップは、データの読取、書込、削除のうちの少なくとも1つを包含することが可能である。該少なくとも1個のコマンドを実行するステップは、又、オブジェクトの名称変更及び削除のうちの少なくとも1つを包含することが可能である。
【0007】
本発明は、又、悪性コードにより修正されたコンピュータシステムを回復するためのコンピュータによって実行可能なコードを包含する格納媒体に関するものであって、悪性コードについてコンピュータシステムをスキャニングするコード、該悪性コードを識別するコード、該悪性コードにより修正前に存在していた状態へ該コンピュータシステムを回復させるために使用される少なくとも1個のコマンドを包含する該悪性コードに関連する情報をデータファイルから検索するコード、及び該コンピュータシステムを実質的に該悪性コードによる修正前に存在していた状態へ復帰させるために該少なくとも1個のコマンドを実行するコード、を包含している。
【0008】
本発明は、又、悪性コードにより修正されたコンピュータシステムを回復するためのコンピュータによって実行可能な命令を包含しており伝送媒体において実現されるコンピュータデータ信号に関するものであって、悪性コードについてコンピュータシステムをスキャニングするデータ信号部分、該悪性コードを識別するためのデータ信号部分、該悪性コードによる修正前に存在していた状態へ該コンピュータシステムを回復させるために使用される少なくとも1個のコマンドを包含している該悪性コードに関連する情報をデータファイルから検索するデータ信号部分、該悪性コードによる修正前に存在していた状態へ該コンピュータシステムを実質的に回復させるために該少なくとも1個のコマンドを実行するデータ信号部分とを包含している。
【発明を実施するための最良の形態】
【0009】
図面に例示された本発明の好適実施例を説明する上で、便宜上特定の用語を使用する。然しながら、本発明はそのように選択された特定の用語に制限されることを意図したものではなく、且つこのような特定の用語は同様の態様で動作する全ての技術的均等物を包含するものと理解すべきである。
【0010】
図1は本発明の回復システム及び方法を適用することが可能なコンピュータシステム102の1例のブロック図である。コンピュータシステム102はコンピュータウイルスを検知するためのソフトウエアを稼動させることが可能なスタンダードのPC、ラップトップ、メインフレーム等とすることが可能である。コンピュータシステム102は、又は、ウイルスがシステム内に配置される前に存在していた状態へコンピュータシステム102を回復させるための本発明に基づくソフトウエアを稼動させることが可能である。図示した如く、コンピュータシステム102は中央処理装置(CPU)2、メモリ4、クロック回路6、プリンタインターフェース8、ディスプレイユニット10、LANデータ送信制御器12、LANインターフェース14、ネットワーク制御器16、内部バス18、例えばキーボード及びマウス等の1個又はそれ以上の入力装置20を包含することが可能である。勿論、コンピュータシステム102は図示した各コンポーネントを包含するものでない場合があり及び/又は図示していない付加的なコンポーネントを包含することも可能である。
【0011】
CPU2はシステム102の動作を制御し且つメモリ4内に格納されているアプリケーションを稼動することが可能である。メモリ4は、例えば、RAM、ROM、着脱自在なCDROM、DVD等を包含することが可能である。メモリ4は、又はCPU2による使用のために予約された作業エリアのみならず、アプリケーションの実行に対して必要な種々のタイプのデータを格納することが可能である。クロック回路6は現在の時間を表わす情報を発生する回路を包含することが可能であり、且つ所定の又は予め設定された量の時間をカウントダウンすべくプログラムさせることが可能である。
【0012】
LANインターフェース14はLANとすることが可能なネットワーク(不図示)とLANデータ送信制御器12との間の通信を可能とさせる。LANデータ送信制御器12はネットワーク上のその他の装置と情報及びデータを交換するのに適した所定のプロトコルを使用する。コンピュータシステム102は、又、ルーター(不図示)を介して他のネットワークと通信することも可能である。コンピュータシステム102は、又、ネットワーク制御器16を使用して公衆交換電話回路網(PSTN)を介して他の装置と通信を行うことも可能である。コンピュータシステム102は、例えば、WAN(ワイドエリアネットワーク)及びインターネットへのアクセスを有することも可能である。内部バス18は、実際に、複数個のバスから構成することが可能であり、それに接続されているコンポーネントの各々の間での通信を可能とする。
【0013】
コンピュータシステム102は、コンピュータウイルスを認識し且つ識別するべく設計された1個又はそれ以上のタイプのスキャニングプログラムを使用してコンピュータウイルスに対しメモリ4の1つ又はそれ以上の部分をスキャニングすることが可能である。例えば、該スキャニングプログラムは、ウイルスの既知のシグナチャを検知することが可能であり、又はウイルスを検知するためのヒューリスティック即ち発見的論理を使用することが可能である。
【0014】
本発明の方法及びシステムは、メモリ4又はその他の箇所に格納され且つコンピュータシステム102によってアクセス可能なそれ自身コンピュータによって実行可能なコードとして実現することが可能である。コンピュータによって実行可能なコードはコンピュータシステム102を遠隔的に修復/回復させるためにコンピュータシステム102と通信状態にある遠隔地に格納し且つ実行させることが可能である。本明細書に記載する方法及びシステムは、コンピュータウイルスにより損傷されたコンピュータシステムを回復することが可能である。1実施例によれば、複数個のウイルス特定回復コマンドデータファイル(図3A参照)がコンピュータシステム102によりアクセス可能である。図3Bに示したように、各回復コマンドデータファイルは特定のウイルスにより損傷を受けた感染されたコンピュータシステムを回復させるために使用されるコマンド又はシステム回復命令を包含している。幾つかのウイルスは異なるオぺレーティングシステムに異なる態様で影響を与える場合があるので、これらのコマンドはオペレーティングシステム特定条件に従って分類することが可能である。該コマンドは、特定のコンピュータウイルスにより変更されるか又は損傷されたものとして知られるファイル名称、システムレジストリー設定及び/又はその他のオペレーティングシステム特性を回復させるために使用される。
【0015】
回復コマンドデータファイル内に格納し且つシステムによって使用することが可能なコマンドの例は、以下のものを包含している。即ち、ファイルのコピー、削除及び名称変更、ウインドウズレジストリーキーの読取、書込、作成及び削除、INIファイルの操作、システムメモリ内の活性プロセスの識別及び終了、外部プログラムの起動、ストリング型変数の操作、数値型変数の操作、回復命令フローの制御(ランタイム入力パラメータに依存)、回復命令のフローの制御(ターゲットオペレーティングシステムに依存)等である。勿論、特定のウイルスによるシステムに対して実施される変更に依存して、その他のコマンドも所要により設けることが可能である。上にリストしたコマンドのうちの1つ又はそれ以上を使用して、ウイルスにより損傷を受けたコンピュータシステムを回復させることが可能である。
【0016】
図2を参照すると、スキャニングプログラムの1つ又はそれ以上を使用して、コンピュータシステム102はウイルスについてメモリ4の少なくとも一部をスキャニングする(ステップS1)。次いで、ウイルスが見つかったか否かの判定がなされる(ステップS2)。ウイルスが存在しない場合には(No、ステップS2)、本処理は終了する(ステップS5)。ウイルスが存在しており且つ識別されると(Yes、ステップS2)、システム回復オプションが選択されたか否かを判別する(ステップS3)。例えば、このことは、グラフィックユーザインターフェース(GUY)の形態とすることが可能であり、スキャニングプログラムを開始する前に、ウイルスが検知された場合に本発明のシステム回復特徴が適用されるべきか否かをユーザに選択させるプロンプトを与える。システム回復オプションが選択されていない場合には(No、ステップS3)、本処理は終了する(ステップS5)。システム回復オプションが選択されている場合には(Yes、ステップS3)、識別されたウイルスに対応する回復コマンドデータファイルが検索される。該回復コマンドデータファイルは、そのウイルスによって感染する前にシステムが存在していた状態へシステムを回復させるためのシステム回復命令を包含している。次いで、該回復コマンドデータファイル内のコマンド又はシステム回復命令が検索され且つ処理される(ステップS4)。該回復コマンドデータファイルは特定のウイルスによって感染されたファイルの名称及びコンピュータシステムを回復するのに必要な命令を包含することが可能である。該コマンド又はシステム回復命令が実施された後に、完了した処理は終了する(ステップS5)。
【0017】
1例として、「Happy99.Worm」ウイルスが存在しており且つ識別され(Yes、ステップS2)且つシステム回復オプションが選択されている場合には(Yes、ステップS3)、「Happy99.Worm」ウイルスに対応し且つ「Happy99.Worm」ウイルスから回復するために使用されるシステム回復命令を包含している回復コマンドデータファイルが検索される。次いで、該命令が実行され(ステップS4)、コンピュータを通常の動作条件へ回復させる。例えば、本方法及びシステムは「Delete File」(ファイル削除)コマンドを実行して、新たに作成された「Wsock32.dll」及び「Ska.exe」ファイル及び該ウイルスによって作成されたその他の全てを削除することが可能である。それは、又、「Rename File」(ファイル名称変更)コマンドを実行して、「Wsock32.ska」ファイルをオリジナルの名称である「Wsock32.dll」へ名称変更させることが可能である。最後に、本方法及びシステムは「ReadRegKey」及び「DeleteRegKey」コマンドを使用して該ウイルスによりウインドウズレジストリーへ付加された全てのキー及び値を読取り且つ削除することが可能である。これらのコマンド即ち回復命令は、例えば、プログラミングコードのスタイルで回復コマンドデータファイル内にリストさせることが可能である。
【0018】
コンピュータウイルスにより操作され又は損傷されたファイルを回復させるために、回復コマンドデータファイルは、又、コンピュータシステム上に位置されたファイルを操作するための「Delete File」(ファイル削除)、「Rename File」(ファイル名称変更)及び/又は「Copy File」(ファイルコピー)ファイルシステムコマンドを包含することが可能である。更に、「Shell」(シェル)コマンドも設けることが可能であり、それによりシステムシェルコマンドを実行することが可能である。これらのコマンドは使用状況に依存して入力パラメータとして1個又はそれ以上のファイル名称を使用することが可能であり且つ失敗の場合にエラー条件を返す。操作すべきファイルが現在システムによって使用されており且つアクセスすることが不可能である場合には、ファイルシステムコマンドはエラー条件を返すものではなく、その代わりに、コマンドはそのファイルを解放させるためにコンピュータの再開始が必要であるようにコンピュータシステムを変化させる。そのファイルが解放されると、本方法及びシステムは前に試みたファイルシステムのコマンドを実行する。
【0019】
コンピュータウイルスはコンピュータシステム上で稼動する不所望のプロセス及び/又はサービスを開始させる場合がある。従って、回復コマンドデータファイルは、コンピュータシステム上で現在稼動中のプロセス及びサービスを停止させるためのプロセス操作コマンドも包含することが可能である。例えば、「Kill Process」コマンドは、現在コンピュータシステム上で稼動中のプロセスを停止させるために使用することが可能であり、且つ「Kill Service」コマンドは、サービスを停止させ且つそれをウインドウズレジストリーファイルから除去するために使用することが可能である。
【0020】
コンピュータウイルスは、又、ウインドウズレジストリー及び/又は初期化ファイルを包含するオペレーティングシステムファイルを改ざんする場合がある。ウインドウズレジストリーはウインドウズ用の設定及びオプションを格納するために使用される2個のファイルから構成されているデータベースであり、ハードウエア、ソフトウエア、ユーザ、コンピュータのお気に入りの全てに対する情報及び設定を包含している。ウインドウズレジストリーは階層的構造を有しており、メイン分岐はレジストリー内に格納される実際の情報を包含する「値」を格納する「キー」と呼ばれるサブ分岐を包含している。あるコンピュータウイルスはウインドウズレジストリー及び/又は初期化フィルスを改ざんさせる場合がある。例えば、インストール期間中に、「Happy99.Worm」ウイルスはウインドウズレジストリーに対して対応する値を有するキーを付加させる場合があり、その場合にその値はシステムのスタートアップ時に実行されるべきファイルの名称であり、それにより、コンピュータが開始される度にユーザに知られることなしにウイルスが活性化される。従って、このようなコンピュータウイルスにより損傷を受けたコンピュータシステムを回復させるためには、回復コマンドデータファイルは「System.ini」等の初期化(INI)ファイル及び/又はウインドウズレジストリー等のウインドウズファイル内に位置されているファイルを読取、書込、削除する能力を包含することが可能である。使用されるウインドウズレジストリー操作コマンドは「ReadRegKey」、「WriteRegKey」、「DelRegKey」を包含することが可能であり、一方IINファイル操作コマンドは「ReadINIKey」及び「WriteINIKey」を包含することが可能である。コマンド名称、入力パラメータ及び機能は以下の如くである。
【0021】
ReadRegKey(変数、キー、値)はキーの値フィールド内に位置されているデータを変数内へ読込む;
WriteRegKey(キー、値、変数)は変数からのデータをキーの値フィールド内へ書込む。該キー又は値が存在しない場合には、それらは作成され、
DeleteRegKey(キー、値)は特定されたキー、又は該値パラメータが空のままである場合には、キー全体の値フィールドを削除し;
ReadINIKey(変数、INI名称、セクション、キー)は特定されたINIファイル内に位置しているキーのセクションフィールド内に位置しているデータを読取り;且つ
WriteINIKey(INI名称、セクション、キー、変数)は変数からのデータを特定されたINIファイル内に位置しているキーのセクションフィールド内に書込む。その変数が「NULL」に設定されると、そのキーは除去される。
【0022】
上のコマンドにおいて、キー又は値入力がコンピュータシステム上に存在しない場合に「読取」及び「削除」コマンド期間中にエラー条件を挙げることが可能であり、且つ書込失敗が発生した場合には「書込」及び「削除」コマンドにおける場合である。コマンドが、例えば存在しないファイルをコピーすることの失敗又は存在しないウインドウズレジストリーキーを読取ることを表わすエラー等の実行後のエラーを返す場合に、本方法及びシステムは該エラーを無視し且つ回復プロセスを停止させることが可能である。例えば、OnErrorAbortコマンドを包含することは、最初のエラーの発生によって回復プロセスをアボート即ち中止させ、一方OnErrorContinueコマンドを包含することは、1個又はそれ以上のエラーが発生した場合に回復プロセスを継続して行わせる。本方法及びシステムはデフォルトによりOnErrorContinueに設定してあり、従って1個又はそれ以上のエラーが発生した場合であっても回復プロセスは継続される。
【0023】
回復コマンドデータファイルは、又、ウイルスにより変更された場合にストリング変数を操作するストリング操作コマンドを包含することが可能である。このようなコマンドの例は、ソースストリング、マクロ又は一定値をデスティネーションストリング内へコピーするStrCopyコマンドを包含することが可能である。StrCopyコマンドは、ソースストリング、マクロ、又は一定値をデスティネーションストリング内へ連結させることが可能である。
【0024】
回復コマンドデータファイルは、メモリ4及び/又はコンピュータシステム102によってアクセス可能なその他の格納媒体内におけるデータ格納部内に格納することが可能である。例えば、回復コマンドデータファイルは、ローカルエリアネットワーク又はインターネットを介して接続された別個の格納システム上に格納させることが可能であり、その場合に、該ファイルは直接的にアクセスすることが可能であり、又周期的にアップデートさせることが可能である。「Happy99.Worm」ウイルスから回復するために必要となる場合のある回復コマンドデータファイルの内容の1例を図3Bに示してある。「VirusStart」及び「RemoveEnd:」の間のコードの部分は、ウイルスを検知し且つ感染されたファイルを回復するために使用される。このコードの部分は回復コマンドデータファイル内に設けることも設けないことも可能である。「SysCureStart:」及び「SysCureEnd:」の間のコードのセクションは、本明細書に記載した技術を使用してコンピュータシステムを回復させるために使用される。
【0025】
コンピュータシステムがウイルスを識別し且つ適宜の回復コマンドデータファイルへアクセスした後に、コンピュータシステムはコンピュータシステムを回復させるためのコマンドのリストをデータファイルから読取る。図3Bに示したように、SysCureStart及びSysCureEndマーカーはデータファイル内に見つかったコマンドブロックを開始させ且つ終了させる。この例によれば、コンピュータシステムは、最初に、データファイルから検索されたキー及び値パラメータと共にDelRegKeyコマンドを実行する。該キー及び値パラメータはウイルスに特定的なものであり且つこの場合には、夫々、「HK LOCAL MACHINE\Software\Microsoft\Windows\Run」及び「Virus」である。該ウイルスによってウインドウズレジストリーファイル内に挿入された場合に、このキー及び値の組合わせは、スタートアップ時に、コンピュータシステムをして「Virus」ファイルを実行させる。従って、この値が本システム及び方法を使用するコンピュータシステムによってウインドウズレジストリーから削除されると、コンピュータシステムは、最早、スタートアップ時にそのファイルを実行しようとすることはない。
【0026】
コンピュータシステムは、最早、スタートアップ時に該ウイルスファイルを実行しようとすることはないが、実行可能なウイルスファイルは未だにシステム上に存在しており削除されるべきである。従って、本回復コマンドデータファイルは、又、デスティネーション変数、キー、値パラメータと共にReadRegKeyコマンドを包含しており、特定した値フィールド内に位置している値をそれが格納されている第一変数内へロードさせる。この値は、システムスタートアップ時に「Happy99.Worm」が実行されるべく配置させた実行可能なファイルの名称であり、例えば「Ska.exe」である。次いで、コンピュータシステムはStrcatコマンドを実行して、この変数を、システム毎に変化する場合があり、従って、システムマクロ「%SysDir%」によって示されるシステムディレクトリーのパス名称と連結させてシステム名称とそれに続く実行可能なウイルスファイル名とを包含する第二変数とさせる。次いで、コンピュータシステムはパラメータとして第二変数を使用してDeleFileを実行し、それにより該実行可能なファイルを削除する。この技術は、実行可能なファイルの実際の名称と独立的にコンピュータシステムが該ウイルスを削除することを可能とする。
【0027】
その後にリストされるコマンドを実行することが可能であり且つウインドウズ95、ウインドウズ98、ウインドウズNT、ウインドウズ2000、又は全てへ設定することが可能なオペレーティングシステムを識別するためにオペレーティングシステム(OS)変数を使用することが可能である。オペレーティングシステムに特定のコマンドが存在する場合には、そのコマンドはそのオペレーティングシステムにより識別される回復コマンドデータファイルのサブセクションの下にリストすることが可能である。全てのオペレーティングシステムに関して使用することが可能なコマンドが存在する場合には、そのコマンドは一般セクション又はサブセクションの下にリストすることが可能であり且つ全てのオペレーティングシステムに対して実行することが可能である。図3Bにおいて、オペレーティングシステム変数「Win9x」はコードセクション内にリストされているコマンドがウインドウズ95、98、MEオペレーティングシステムが稼動するコンピュータシステム上で実行されるべきであることを表わす。本システム及び方法は、スタンダードシステムアプリケーションプログラムインターフェース(API)を使用するオペレーティングシステムを決定することが可能である。オペレーティングシステムが決定されると、この情報は回復コマンドデータファイル内のコマンドを実行している場合の条件付き分岐のために格納し且つ使用することが可能である。
【0028】
回復コマンドデータファイルは、又、その他のタイプのコマンドを包含することが可能である。例えば、容易に入手可能でないファイル又はデータを修復又は置換させることが必要である場合に、適宜のファイル又はデータを包含するシステムディスクを挿入することのプロンプトをユーザに対して与えるためのコードを回復コマンドデータファイル内に設けることが可能である。システムディスクからファイル又はデータを検索するため及びコンピュータシステム上の損傷されたか又は欠落しているファイルを置換させるためのコードを包含させることが可能である。回復コマンドデータファイルは、又、コンピュータシステムからインターネットブラウザーを起動させ且つコンピュータシステムを回復させるための適宜のファイル又はデータを具備する既知のウエブサイトへアクセスするためのコードを包含することも可能である。ウエブサイトからファイル又はデータを自動的にダウンロードするため及びコンピュータシステム上の欠落しているか又は損傷されたファイル又はデータを回復させるために適宜のファイル又はデータをダウンロードすることのプロンプトをユーザに与えるためのコードを回復コマンドデータファイル内に包含させることが可能である。
【0029】
本発明は、1個又はそれ以上の従来の汎用デジタルコンピュータ及び/又は本発明の示唆に基づいてプログラムされたサーバーを使用して実現することが可能である。本発明の示唆に基づいて熟練したプログラマーにより適宜のソフトウエアコーディングを容易に用意することが可能である。本発明は、又、応用特定集積回路の調整により、又は従来のコンポーネント回路の適宜のネットワークの相互接続により実現することが可能である。
【0030】
本発明の種々の付加的な修正及び変形は上の説明に鑑み可能なものである。従って、特許請求の範囲内において、本発明は本発明に特記したもの以外に実施することが可能であることを理解すべきである。
【図面の簡単な説明】
【0031】
【図1】本発明の1実施例に基づいて悪性コードにより損傷を受けたコンピュータシステムを回復するためのシステム及び方法を適用することが可能な例示的なコンピュータシステムを示した概略図。
【図2】本発明の1実施例に基づいて悪性コードにより損傷を受けたコンピュータシステムを回復するためのプロセスを示したフローチャート。
【図3】(A)はウイルス特定回復コマンドデータファイルを包含するデータベースを示した概略図、(B)は本発明の1実施例に基づく回復コマンドデータファイルのうちの1つからのコマンドを示した概略図。
Claims (20)
- 悪性コードにより修正されたコンピュータシステムを回復する方法において、
コンピュータシステムを悪性コードについてスキャニングし、
前記悪性コードを識別し、
前記悪性コードによる修正の前に存在していた状態へ前記コンピュータシステムを回復させるために使用される少なくとも1個のコマンドを包含する前記悪性コードに関連する情報をデータファイルから検索し、
前記少なくとも1個のコマンドを実行して前記コンピュータシステムを実質的に前記悪性コードによる修正の前に存在していた状態へ回復させる、
ことを包含している方法。 - 請求項1において、前記少なくとも1個のコマンドを実行するステップが、
データの読取、書込、削除のうちの1つを包含している方法。 - 請求項1において、前記少なくとも1個のコマンドを実行するステップが、1つのファイルの名称変更及び削除のうちの少なくとも1つを包含している方法。
- 請求項1において、前記悪性コードが少なくとも1個のファイルを修正し且つ本方法が、
前記修正されたファイルから第二ファイルの名称を読取り、
前記第二ファイルを修正する、
ことを包含している方法。 - 請求項1において、前記データファイルが複数個のデータファイルを包含しており、各データファイルは特定のタイプの悪性コードに対して設けられており、各データファイルは前記特定のタイプの悪性コードによる修正前に存在していた状態へ前記コンピュータシステムを回復させるために使用することが可能な少なくとも1個のコマンドを包含している方法。
- 悪性コードにより修正されたコンピュータシステムを回復するためのコンピュータ実行可能コードを包含する格納媒体において、
コンピュータシステムを悪性コードに対してスキャニングするコード、
前記悪性コードを識別するコード、
前記悪性コードによる修正の前に存在していた状態へ前記コンピュータシステムを回復させるために使用される少なくとも1個のコマンドを包含する前記悪性コードに関連する情報をデータファイルから検索するためのコード、
前記コンピュータシステムを実質的に前記悪性コードにより修正前に存在していた状態へ回復させるために前記少なくとも1個のコマンドを実行するためのコード、
を有している格納媒体。 - 請求項6において、前記少なくとも1個のコマンドを実行するためのコマンドがデータの読取、書込、削除のうちの少なくとも1つを実施するためのコードを包含している格納媒体。
- 請求項6において、前記少なくとも1個のコマンドを実行するコードが、ファイルの名称変更及び削除のうちの少なくとも1つを実施するためのコードを包含している格納媒体。
- 請求項6において、前記悪性コードが少なくとも1個のファイルを修正し、更に、
前記修正されたファイルから第二ファイルの名称を読取るためのコード、
前記第二ファイルを修正するためのコード、
を有していることを特徴とする格納媒体。 - 請求項6において、前記データファイルが複数個のデータファイルを包含しており、各データファイルは特定のタイプの悪性コードに対して設けられており、各データファイルは前記特定のタイプの悪性コードによる修正の前に存在していた状態へ前記コンピュータシステムを回復するために使用することが可能な少なくとも1個のコマンドを包含している格納媒体。
- 送信媒体において実現され且つ悪性コードにより修正されたコンピュータシステムを回復するためのコンピュータ実行可能命令を包含しているコンピュータデータ信号において、
コンピュータシステムを悪性コードについてスキャニングするためのデータ信号部分、
前記悪性コードを識別するためのデータ信号部分、
前記悪性コードによる修正前に存在していた状態へ前記コンピュータシステムを回復させるために使用する少なくとも1個のコマンドを包含している前記悪性コードに関連する情報をデータファイルから検索するためのデータ信号部分、
前記コンピュータシステムを実質的に前記悪性コードによる修正前に存在していた状態へ回復させるために前記少なくとも1個のコマンドを実行するためのデータ信号部分、
を有しているコンピュータデータ信号。 - 請求項11において、前記少なくとも1個のコマンドを実行するデータ信号部分がデータの読取、書込、削除のうちの少なくとも1つを実施するコンピュータデータ信号。
- 請求項11において、前記少なくとも1個のコマンドを実行するデータ信号部分がファイルの名称変更及び削除のうちの少なくとも1つを実施するコンピュータデータ信号。
- 請求項11において、前記悪性コードが少なくとも1個のファイルを修正し、前記コンピュータデータ信号が、更に、
前記修正されたファイルから第二ファイルの名称を読取るデータ信号部分、
前記第二ファイルを修正するデータ信号部分、
を有しているコンピュータデータ信号。 - 請求項11において、前記データファイルが複数個のデータファイルを有しており、各データファイルは特定のタイプの悪性コードに対して設けられており、各データファイルは前記特定タイプの悪性コードによる修正前に存在していた状態へコンピュータシステムを回復するために使用することが可能な少なくとも1個のコマンドを包含しているコンピュータデータ信号。
- 悪性コードにより修正されたコンピュータシステムを回復するプログラムを包含するプログラムされたコンピュータシステムにおいて、
悪性コードについてコンピュータシステムをスキャニングする手段、
前記悪性コードを識別する手段、
前記悪性コードによる修正前に存在していた状態へ前記コンピュータシステムを回復するために使用される少なくとも1個のコマンドを包含している前記悪性コードに関連する情報をデータファイルから検索する手段、
前記コンピュータシステムを実質的に前記悪性コードによる修正前に存在していた状態へ復帰させる少なくとも1個のコマンドを実行する手段、
を有しているプログラムされたコンピュータシステム。 - 請求項16において、前記少なくとも1個のコマンドを実行する手段がデータの読取、書込、削除のうちの少なくとも1つを実施する手段を包含しているプログラムされたコンピュータシステム。
- 請求項16において、前記少なくとも1個のコマンドを実行する手段がファイルの名称変更及び削除のうちの少なくとも1つを実施する手段を包含しているプログラムされたコンピュータシステム。
- 請求項16において、前記悪性コードが少なくとも1個のファイルを修正し且つ前記システムが、更に、
前記修正されたファイルから第二ファイルの名称を読取る手段、
前記第二ファイルを修正する手段、
を有しているプログラムされたコンピュータシステム。 - 請求項16において、前記データファイルが複数個のデータファイルを有しており、各データファイルは特定のタイプの悪性コードに対して設けられており、各データファイルは前記特定のタイプの悪性コードによる修正前に存在していた状態へ前記コンピュータシステムを回復するために使用することが可能な少なくとも1個のコマンドを包含しているプログラムされたコンピュータシステム。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US09/823,673 US7114184B2 (en) | 2001-03-30 | 2001-03-30 | System and method for restoring computer systems damaged by a malicious computer program |
PCT/US2002/009414 WO2002079956A1 (en) | 2001-03-30 | 2002-03-26 | System and method for restoring computer systems damaged by a malicious computer program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2004533041A true JP2004533041A (ja) | 2004-10-28 |
Family
ID=25239383
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2002578117A Pending JP2004533041A (ja) | 2001-03-30 | 2002-03-26 | 悪性コンピュータプログラムにより損傷されたコンピュータシステムを回復するシステム及び方法 |
Country Status (13)
Country | Link |
---|---|
US (1) | US7114184B2 (ja) |
EP (1) | EP1374017B1 (ja) |
JP (1) | JP2004533041A (ja) |
KR (1) | KR20030085071A (ja) |
CN (1) | CN1498363A (ja) |
AT (1) | ATE337581T1 (ja) |
AU (1) | AU2002250453B2 (ja) |
BR (1) | BR0207678A (ja) |
CA (1) | CA2442947A1 (ja) |
DE (1) | DE60214147T2 (ja) |
IL (2) | IL157542A0 (ja) |
WO (1) | WO2002079956A1 (ja) |
ZA (1) | ZA200306411B (ja) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005166018A (ja) * | 2003-12-02 | 2005-06-23 | Hauri Inc | コンピュータウイルス防疫方法及びそのプログラムを記録した記録媒体 |
KR100745639B1 (ko) * | 2005-08-11 | 2007-08-02 | 주식회사 웨어플러스 | 파일 시스템 및 레지스트리를 보호하는 방법 및 그 장치 |
JP2008046826A (ja) * | 2006-08-14 | 2008-02-28 | Ricoh Co Ltd | 画像形成装置、データ復旧方法および記録媒体 |
JP2011523748A (ja) * | 2008-05-28 | 2011-08-18 | シマンテック コーポレーション | 中央集中的にマルウェアを検出するための知的ハッシュ |
Families Citing this family (60)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7188368B2 (en) * | 2001-05-25 | 2007-03-06 | Lenovo (Singapore) Pte. Ltd. | Method and apparatus for repairing damage to a computer system using a system rollback mechanism |
GB0117721D0 (en) * | 2001-07-20 | 2001-09-12 | Surfcontrol Plc | Database and method of generating same |
CA2356017C (en) * | 2001-08-29 | 2010-09-21 | Ibm Canada Limited-Ibm Canada Limitee | User interface for phased data entry |
KR20040021744A (ko) * | 2002-09-04 | 2004-03-11 | 삼성전자주식회사 | 휴대용 전화기의 정보 및 데이터 처리 방법 |
US8069480B1 (en) * | 2002-09-30 | 2011-11-29 | Mcafee, Inc. | Method and system for defining a safe storage area for use in recovering a computer system |
JP2004361994A (ja) * | 2003-05-30 | 2004-12-24 | Toshiba Corp | データ管理装置、データ管理方法及びプログラム |
US20050229250A1 (en) * | 2004-02-26 | 2005-10-13 | Ring Sandra E | Methodology, system, computer readable medium, and product providing a security software suite for handling operating system exploitations |
EP1745660B1 (en) * | 2004-04-30 | 2012-01-11 | Research In Motion Limited | System and method for handling restoration operations on mobile devices |
US8707251B2 (en) * | 2004-06-07 | 2014-04-22 | International Business Machines Corporation | Buffered viewing of electronic documents |
GB2416879B (en) | 2004-08-07 | 2007-04-04 | Surfcontrol Plc | Device resource access filtering system and method |
GB2418037B (en) | 2004-09-09 | 2007-02-28 | Surfcontrol Plc | System, method and apparatus for use in monitoring or controlling internet access |
GB2418108B (en) | 2004-09-09 | 2007-06-27 | Surfcontrol Plc | System, method and apparatus for use in monitoring or controlling internet access |
US20060130144A1 (en) * | 2004-12-14 | 2006-06-15 | Delta Insights, Llc | Protecting computing systems from unauthorized programs |
US7673341B2 (en) * | 2004-12-15 | 2010-03-02 | Microsoft Corporation | System and method of efficiently identifying and removing active malware from a computer |
US7624443B2 (en) * | 2004-12-21 | 2009-11-24 | Microsoft Corporation | Method and system for a self-heating device |
US20100067335A1 (en) * | 2004-12-21 | 2010-03-18 | Koninklijke Philips Electronics, N.V. | Method and apparatus for error correction of optical disc data |
US7882561B2 (en) | 2005-01-31 | 2011-02-01 | Microsoft Corporation | System and method of caching decisions on when to scan for malware |
US20060179484A1 (en) * | 2005-02-09 | 2006-08-10 | Scrimsher John P | Remediating effects of an undesired application |
US7836504B2 (en) * | 2005-03-01 | 2010-11-16 | Microsoft Corporation | On-access scan of memory for malware |
US7636943B2 (en) * | 2005-06-13 | 2009-12-22 | Aladdin Knowledge Systems Ltd. | Method and system for detecting blocking and removing spyware |
US8272058B2 (en) | 2005-07-29 | 2012-09-18 | Bit 9, Inc. | Centralized timed analysis in a network security system |
US8984636B2 (en) | 2005-07-29 | 2015-03-17 | Bit9, Inc. | Content extractor and analysis system |
US7895651B2 (en) | 2005-07-29 | 2011-02-22 | Bit 9, Inc. | Content tracking in a network security system |
US8572371B2 (en) | 2005-10-05 | 2013-10-29 | Ca, Inc. | Discovery of kernel rootkits with memory scan |
CN100465978C (zh) * | 2005-11-16 | 2009-03-04 | 白杰 | 被病毒程序破坏的数据恢复方法、装置及病毒清除方法 |
US8453243B2 (en) | 2005-12-28 | 2013-05-28 | Websense, Inc. | Real time lockdown |
US7934229B1 (en) * | 2005-12-29 | 2011-04-26 | Symantec Corporation | Generating options for repairing a computer infected with malicious software |
JP4877921B2 (ja) * | 2006-01-25 | 2012-02-15 | 株式会社日立製作所 | ストレージシステム、記憶制御装置及び記憶制御装置のリカバリポイント検出方法 |
US7757290B2 (en) * | 2006-01-30 | 2010-07-13 | Microsoft Corporation | Bypassing software services to detect malware |
WO2008039241A1 (en) * | 2006-04-21 | 2008-04-03 | Av Tech, Inc | Methodology, system and computer readable medium for detecting and managing malware threats |
US9122719B2 (en) * | 2006-04-28 | 2015-09-01 | Bmc Software, Inc. | Database application federation |
US8020206B2 (en) | 2006-07-10 | 2011-09-13 | Websense, Inc. | System and method of analyzing web content |
US8615800B2 (en) | 2006-07-10 | 2013-12-24 | Websense, Inc. | System and method for analyzing web content |
US9654495B2 (en) | 2006-12-01 | 2017-05-16 | Websense, Llc | System and method of analyzing web addresses |
GB2445764A (en) | 2007-01-22 | 2008-07-23 | Surfcontrol Plc | Resource access filtering system and database structure for use therewith |
US20080195676A1 (en) * | 2007-02-14 | 2008-08-14 | Microsoft Corporation | Scanning of backup data for malicious software |
US8015174B2 (en) | 2007-02-28 | 2011-09-06 | Websense, Inc. | System and method of controlling access to the internet |
US8495741B1 (en) * | 2007-03-30 | 2013-07-23 | Symantec Corporation | Remediating malware infections through obfuscation |
US8006078B2 (en) * | 2007-04-13 | 2011-08-23 | Samsung Electronics Co., Ltd. | Central processing unit having branch instruction verification unit for secure program execution |
GB0709527D0 (en) | 2007-05-18 | 2007-06-27 | Surfcontrol Plc | Electronic messaging system, message processing apparatus and message processing method |
US8473461B1 (en) * | 2008-05-27 | 2013-06-25 | Symantec Corporation | File infection removal by differential copy |
US9378282B2 (en) | 2008-06-30 | 2016-06-28 | Raytheon Company | System and method for dynamic and real-time categorization of webpages |
KR20100023494A (ko) * | 2008-08-22 | 2010-03-04 | 엘지전자 주식회사 | 단말기 및 그 바이러스 보호 방법 |
US7591019B1 (en) | 2009-04-01 | 2009-09-15 | Kaspersky Lab, Zao | Method and system for optimization of anti-virus scan |
CN102598007B (zh) | 2009-05-26 | 2017-03-01 | 韦伯森斯公司 | 有效检测采指纹数据和信息的系统和方法 |
US8370648B1 (en) * | 2010-03-15 | 2013-02-05 | Emc International Company | Writing and reading encrypted data using time-based encryption keys |
KR101760778B1 (ko) * | 2011-01-17 | 2017-07-26 | 에스프린팅솔루션 주식회사 | 컴퓨터시스템 및 그 프로그램 업데이트 방법 |
US8181247B1 (en) * | 2011-08-29 | 2012-05-15 | Kaspersky Lab Zao | System and method for protecting a computer system from the activity of malicious objects |
CN107103238A (zh) * | 2012-02-29 | 2017-08-29 | 卡巴斯基实验室封闭式股份公司 | 用于保护计算机系统免遭恶意对象活动侵害的系统和方法 |
CN103577751B (zh) * | 2012-07-25 | 2015-06-10 | 腾讯科技(深圳)有限公司 | 文件扫描方法和装置 |
CN103778114B (zh) * | 2012-10-17 | 2016-03-09 | 腾讯科技(深圳)有限公司 | 文件修复系统和方法 |
US9117054B2 (en) | 2012-12-21 | 2015-08-25 | Websense, Inc. | Method and aparatus for presence based resource management |
FR3003365B1 (fr) * | 2013-03-12 | 2015-04-10 | Airbus Operations Sas | Procede et dispositif de gestion de mises a jour logicielles d'un ensemble d'equipements d'un systeme tel qu'un systeme d'un aeronef |
CN103679024B (zh) * | 2013-11-19 | 2015-03-25 | 百度在线网络技术(北京)有限公司 | 病毒的处理方法及设备 |
RU2618947C2 (ru) * | 2015-06-30 | 2017-05-11 | Закрытое акционерное общество "Лаборатория Касперского" | Способ предотвращения работы программ, содержащих нежелательный для пользователя функционал |
KR101710928B1 (ko) | 2015-09-04 | 2017-03-13 | 숭실대학교산학협력단 | 모바일 단말기의 os 플랫폼에서의 악성 코드 방지 방법, 이를 수행하기 위한 기록 매체 및 시스템 |
US10063589B2 (en) | 2016-04-20 | 2018-08-28 | Lenovo Enterprise Solutions (Singapore) Pte. Ltd. | Microcheckpointing as security breach detection measure |
US20170310700A1 (en) * | 2016-04-20 | 2017-10-26 | Lenovo Enterprise Solutions (Singapore) Pte. Ltd. | System failure event-based approach to addressing security breaches |
US20200344249A1 (en) * | 2019-03-27 | 2020-10-29 | Schlumberger Technology Corporation | Automated incident response process and automated actions |
US11966477B2 (en) * | 2022-01-11 | 2024-04-23 | Musarubra Us Llc | Methods and apparatus for generic process chain entity mapping |
Family Cites Families (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4975950A (en) * | 1988-11-03 | 1990-12-04 | Lentz Stephen A | System and method of protecting integrity of computer data and software |
US5408642A (en) * | 1991-05-24 | 1995-04-18 | Symantec Corporation | Method for recovery of a computer program infected by a computer virus |
US5485575A (en) * | 1994-11-21 | 1996-01-16 | International Business Machines Corporation | Automatic analysis of a computer virus structure and means of attachment to its hosts |
JP4162099B2 (ja) * | 1995-06-02 | 2008-10-08 | 富士通株式会社 | ウィルス感染に対処する機能を持つ装置及びその記憶装置 |
US6067410A (en) | 1996-02-09 | 2000-05-23 | Symantec Corporation | Emulation repair system |
US5657445A (en) * | 1996-01-26 | 1997-08-12 | Dell Usa, L.P. | Apparatus and method for limiting access to mass storage devices in a computer system |
US5822517A (en) * | 1996-04-15 | 1998-10-13 | Dotan; Eyal | Method for detecting infection of software programs by memory resident software viruses |
US5832208A (en) * | 1996-09-05 | 1998-11-03 | Cheyenne Software International Sales Corp. | Anti-virus agent for use with databases and mail servers |
US6108799A (en) * | 1997-11-21 | 2000-08-22 | International Business Machines Corporation | Automated sample creation of polymorphic and non-polymorphic marcro viruses |
KR19990060338A (ko) * | 1997-12-31 | 1999-07-26 | 윤종용 | 하드 디스크 드라이브의 바이러스에 의한 손상 데이터복구방법 |
US6263348B1 (en) * | 1998-07-01 | 2001-07-17 | Serena Software International, Inc. | Method and apparatus for identifying the existence of differences between two files |
US6401210B1 (en) * | 1998-09-23 | 2002-06-04 | Intel Corporation | Method of managing computer virus infected files |
US6535998B1 (en) * | 1999-07-26 | 2003-03-18 | Microsoft Corporation | System recovery by restoring hardware state on non-identical systems |
AU6337701A (en) * | 2000-05-19 | 2002-03-22 | Self Repairing Computers Inc | A computer with switchable components |
US20020178375A1 (en) * | 2001-01-31 | 2002-11-28 | Harris Corporation | Method and system for protecting against malicious mobile code |
-
2001
- 2001-03-30 US US09/823,673 patent/US7114184B2/en not_active Expired - Lifetime
-
2002
- 2002-03-26 BR BR0207678-0A patent/BR0207678A/pt not_active IP Right Cessation
- 2002-03-26 CA CA002442947A patent/CA2442947A1/en not_active Abandoned
- 2002-03-26 EP EP02719366A patent/EP1374017B1/en not_active Expired - Lifetime
- 2002-03-26 JP JP2002578117A patent/JP2004533041A/ja active Pending
- 2002-03-26 WO PCT/US2002/009414 patent/WO2002079956A1/en active IP Right Grant
- 2002-03-26 CN CNA028067517A patent/CN1498363A/zh active Pending
- 2002-03-26 IL IL15754202A patent/IL157542A0/xx active IP Right Grant
- 2002-03-26 AU AU2002250453A patent/AU2002250453B2/en not_active Ceased
- 2002-03-26 KR KR10-2003-7012703A patent/KR20030085071A/ko not_active Application Discontinuation
- 2002-03-26 AT AT02719366T patent/ATE337581T1/de not_active IP Right Cessation
- 2002-03-26 DE DE60214147T patent/DE60214147T2/de not_active Expired - Lifetime
-
2003
- 2003-08-18 ZA ZA200306411A patent/ZA200306411B/en unknown
- 2003-08-21 IL IL157542A patent/IL157542A/en not_active IP Right Cessation
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005166018A (ja) * | 2003-12-02 | 2005-06-23 | Hauri Inc | コンピュータウイルス防疫方法及びそのプログラムを記録した記録媒体 |
KR100745639B1 (ko) * | 2005-08-11 | 2007-08-02 | 주식회사 웨어플러스 | 파일 시스템 및 레지스트리를 보호하는 방법 및 그 장치 |
JP2008046826A (ja) * | 2006-08-14 | 2008-02-28 | Ricoh Co Ltd | 画像形成装置、データ復旧方法および記録媒体 |
JP2011523748A (ja) * | 2008-05-28 | 2011-08-18 | シマンテック コーポレーション | 中央集中的にマルウェアを検出するための知的ハッシュ |
Also Published As
Publication number | Publication date |
---|---|
KR20030085071A (ko) | 2003-11-01 |
DE60214147D1 (de) | 2006-10-05 |
EP1374017A1 (en) | 2004-01-02 |
CA2442947A1 (en) | 2002-10-10 |
CN1498363A (zh) | 2004-05-19 |
IL157542A (en) | 2007-12-03 |
US20020144129A1 (en) | 2002-10-03 |
BR0207678A (pt) | 2004-03-09 |
WO2002079956A1 (en) | 2002-10-10 |
DE60214147T2 (de) | 2007-07-26 |
AU2002250453B2 (en) | 2008-08-21 |
US7114184B2 (en) | 2006-09-26 |
ZA200306411B (en) | 2004-08-18 |
IL157542A0 (en) | 2004-03-28 |
EP1374017B1 (en) | 2006-08-23 |
ATE337581T1 (de) | 2006-09-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2004533041A (ja) | 悪性コンピュータプログラムにより損傷されたコンピュータシステムを回復するシステム及び方法 | |
AU2002250453A1 (en) | System and method for restoring computer systems damaged by a malicious computer program | |
US6434744B1 (en) | System and method for patching an installed application program | |
US8266692B2 (en) | Malware automated removal system and method | |
US7669059B2 (en) | Method and apparatus for detection of hostile software | |
TWI444826B (zh) | 用以對電腦裝置中的韌體提供安全儲存的方法、系統及保留有電腦可執行指令的媒體 | |
US20080126446A1 (en) | Systems and methods for backing up user settings | |
US20070094654A1 (en) | Updating rescue software | |
US8112745B2 (en) | Apparatus and method for capabilities verification and restriction of managed applications in an execution environment | |
US20120030766A1 (en) | Method and system for defining a safe storage area for use in recovering a computer system | |
JP5335622B2 (ja) | 設定情報データベースを管理するコンピュータ・プログラム | |
JP3715478B2 (ja) | インストレーション回復システム用装置および方法 | |
US7234164B2 (en) | Method and system for blocking execution of malicious code | |
JP5475199B2 (ja) | 前処理済みのファイルを実行させるためのファイル処理装置及びその方法をコンピュータで行うための記録媒体 | |
WO2002079999A1 (en) | Apparatus and method for protecting data on computer hard disk and computer readable recording medium having computer readable programs stored therein | |
WO2008005536A2 (en) | Malware automated removal system and method | |
KR100613126B1 (ko) | 컴퓨터에서의 악성 코드 제거 방법 및 그 장치, 그 방법을컴퓨터에서 실행시키기 위한 프로그램 코드를 기록한기록매체 | |
US20060047727A1 (en) | Method of accessing a file for editing with an application having limited access permissions | |
US20030028868A1 (en) | Information processor, method for processing information and computer-readable recording medium recorded with program code for controlling a computer to process information | |
JPH09179727A (ja) | アンインストール装置及びアンインストール方法 | |
JP4319438B2 (ja) | 入力情報処理装置、プログラム、記憶媒体及び入力情報処理方法 | |
JPH10105383A (ja) | アプリケーションプログラムのアンインストール方法及び情報記録媒体 | |
JP2000293377A (ja) | 共存環境構築方法及び共存環境構築プログラムを記録した記録媒体 | |
JP5400099B2 (ja) | 情報処理装置、電子機器及びパッチプログラムの適用方法、並びにコンピュータ・プログラム | |
JP2001281302A (ja) | ソフトウェア組み込み装置、ソフトウェア組み込み方法、及び記憶媒体 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050322 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060829 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20070306 |