JP2004533041A - 悪性コンピュータプログラムにより損傷されたコンピュータシステムを回復するシステム及び方法 - Google Patents

悪性コンピュータプログラムにより損傷されたコンピュータシステムを回復するシステム及び方法 Download PDF

Info

Publication number
JP2004533041A
JP2004533041A JP2002578117A JP2002578117A JP2004533041A JP 2004533041 A JP2004533041 A JP 2004533041A JP 2002578117 A JP2002578117 A JP 2002578117A JP 2002578117 A JP2002578117 A JP 2002578117A JP 2004533041 A JP2004533041 A JP 2004533041A
Authority
JP
Japan
Prior art keywords
file
malicious code
computer system
command
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2002578117A
Other languages
English (en)
Inventor
タラス マリバンチュク,
モシェ ダルジ,
オファー ロチールド,
Original Assignee
コンピュータ アソシエイツ シンク,インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by コンピュータ アソシエイツ シンク,インコーポレイテッド filed Critical コンピュータ アソシエイツ シンク,インコーポレイテッド
Publication of JP2004533041A publication Critical patent/JP2004533041A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/36Preventing errors by testing or debugging software
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/568Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Quality & Reliability (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Hardware Redundancy (AREA)
  • Debugging And Monitoring (AREA)

Abstract

悪性コードにより修正されたコンピュータシステムを回復するための方法。本方法は、悪性コードについてコンピュータシステムをスキャニングし、該悪性コードを識別し且つ該悪性コードにより修正された前に存在していた状態へコンピュータシステムを回復させるために使用される少なくとも1個のコマンドを包含する該悪性コードに関連する情報をデータファイルから検索する。該少なくとも1個のコマンドは、該悪性コードにより修正前に存在していた状態へコンピュータシステムを実質的に回復させるために実行される。
【選択図】図2

Description

【技術分野】
【0001】
本発明はコンピュータプログラムの検知及び除去に関するものである。更に詳細には、本発明は悪性コンピュータプログラムにより損傷されたコンピュータシステムを回復することに関するものである。
【背景技術】
【0002】
コンピュータウイルスは最近のコンピュータの使用において主要な問題である。一般的に、コンピュータウイルスはその他のプログラム及び/又はオブジェクトへ取り付くことが可能なプログラム(又は何等かの単位のコード、例えばコードブロック、コード要素又はコードセグメント等のコンピュータに応答する命令)であり、それ自身複製することが可能であり、及び/又はコンピュータシステムに関して頼みもしない動作又は悪性の動作を実施することが可能である。本明細書においてはコンピュータウイルスに関して説明するが、本発明はコンピュータ資源の1つ又はそれ以上の部分を修正することが可能な任意のタイプの悪性コードに対して適用することが可能である。コンピュータウイルスからの1つの回復方法はコンピュータウイルスを除去することを包含している場合がある。このことは、例えば、ファイル、メモリエリア、又は格納媒体のブートセクターとすることが可能な感染したオブジェクトにおけるウイルスをディスエーブル即ち動作不能とさせることを包含している場合がある。然しながら、最近のコンピュータウイルスは、例えば、ファイルを削除するか又は名称変更し、システムレジストリー及び初期化ファイルを操作し、及び/又は不所望のサービス及びプロセスを形成することにより、最初に感染したオブジェクトに加えてオブジェクトを操作するものも見つかっている。
【0003】
コンピュータシステム上の既存のファイルを名称変更し及び/又はコンピュータをして不所望の態様で動作させる異なるファイルと置換させることの可能なコンピュータウイルスが見つかっている。更に、コンピュータシステム内に潜んでいながらウイルスは既存のシステムコンフィギュレーションファイルを修正する場合がある。両方を行うコンピュータウイルスの1例は「Happy99:Worm」ウイルスである。この特定のタイプのウイルスは電子メールメッセージのアタッチメント即ち付属物として移動し且つ感染したコンピュータをして該ウイルスのコピーを発信電子メールメッセージへ付属させる。このタイプのウイルスは、又、コンピュータのハードドライブ上に1個又はそれ以上の隠されたファイルを配置させ及び/又はウインドウズレジストリーファイルを変更させる。例えば、「Happy99:Worm」ウイルスは「Wsock32.dll」ファイルを「Wsock32.ska」へ名称変更し且つオリジナルの「Wsock32.dll」をそれ自身のバージョンのファイルと置換させる。「Happy99.Worm」ウイルスは、又、コンピュータシステム上に「Ska.exe」を包含する幾つかのその他のファイルを作成し且つスタートアップ時に「Ska.exe」ファイルをコンピュータが稼動させる命令するラインをウインドウズレジストリーファイルへ付加させる。
【0004】
ファイル等を回復させるか又は正しく名称変更させ及び/又は不所望のサービス又はプロセスを除去させることなしにウイルスコードを単にディスエーブルさせるか又は除去することはコンピュータシステムを実効的に回復することとはならない。即ち、ウイルスが取りついたオブジェクトを回復することは、特に、そのコンピュータウイルスによって多数のその他のオブジェクトが作成されたか又は修正された場合に、必ずしも充分なものでない場合がある。
【発明の開示】
【発明が解決しようとする課題】
【0005】
各ウイルスはコンピュータシステムの異なる部分に影響を与える場合があるので、特別の処置が必要とされ且つ任意の数のオブジェクトに関して実施される多数のオペレーティングシステム特定操作を必要とする場合がある。従って、全ての感染したオブジェクトを回復させる感染したコンピュータシステムの完全なる回復が必要とされる。
【課題を解決するための手段】
【0006】
本発明は、悪性コードによって修正されたコンピュータシステムを回復する方法に関するものであって、悪性コードについてコンピュータシステムをスキャニングし、該悪性コードを識別し、該悪性コードによる修正前に存在していた状態へ該コンピュータシステムを回復させるために使用される少なくとも1個のコマンドを包含する該悪性コードに関連する情報をデータファイルから検索することを包含している。該少なくとも1個のコマンドを実行するステップは、データの読取、書込、削除のうちの少なくとも1つを包含することが可能である。該少なくとも1個のコマンドを実行するステップは、又、オブジェクトの名称変更及び削除のうちの少なくとも1つを包含することが可能である。
【0007】
本発明は、又、悪性コードにより修正されたコンピュータシステムを回復するためのコンピュータによって実行可能なコードを包含する格納媒体に関するものであって、悪性コードについてコンピュータシステムをスキャニングするコード、該悪性コードを識別するコード、該悪性コードにより修正前に存在していた状態へ該コンピュータシステムを回復させるために使用される少なくとも1個のコマンドを包含する該悪性コードに関連する情報をデータファイルから検索するコード、及び該コンピュータシステムを実質的に該悪性コードによる修正前に存在していた状態へ復帰させるために該少なくとも1個のコマンドを実行するコード、を包含している。
【0008】
本発明は、又、悪性コードにより修正されたコンピュータシステムを回復するためのコンピュータによって実行可能な命令を包含しており伝送媒体において実現されるコンピュータデータ信号に関するものであって、悪性コードについてコンピュータシステムをスキャニングするデータ信号部分、該悪性コードを識別するためのデータ信号部分、該悪性コードによる修正前に存在していた状態へ該コンピュータシステムを回復させるために使用される少なくとも1個のコマンドを包含している該悪性コードに関連する情報をデータファイルから検索するデータ信号部分、該悪性コードによる修正前に存在していた状態へ該コンピュータシステムを実質的に回復させるために該少なくとも1個のコマンドを実行するデータ信号部分とを包含している。
【発明を実施するための最良の形態】
【0009】
図面に例示された本発明の好適実施例を説明する上で、便宜上特定の用語を使用する。然しながら、本発明はそのように選択された特定の用語に制限されることを意図したものではなく、且つこのような特定の用語は同様の態様で動作する全ての技術的均等物を包含するものと理解すべきである。
【0010】
図1は本発明の回復システム及び方法を適用することが可能なコンピュータシステム102の1例のブロック図である。コンピュータシステム102はコンピュータウイルスを検知するためのソフトウエアを稼動させることが可能なスタンダードのPC、ラップトップ、メインフレーム等とすることが可能である。コンピュータシステム102は、又は、ウイルスがシステム内に配置される前に存在していた状態へコンピュータシステム102を回復させるための本発明に基づくソフトウエアを稼動させることが可能である。図示した如く、コンピュータシステム102は中央処理装置(CPU)2、メモリ4、クロック回路6、プリンタインターフェース8、ディスプレイユニット10、LANデータ送信制御器12、LANインターフェース14、ネットワーク制御器16、内部バス18、例えばキーボード及びマウス等の1個又はそれ以上の入力装置20を包含することが可能である。勿論、コンピュータシステム102は図示した各コンポーネントを包含するものでない場合があり及び/又は図示していない付加的なコンポーネントを包含することも可能である。
【0011】
CPU2はシステム102の動作を制御し且つメモリ4内に格納されているアプリケーションを稼動することが可能である。メモリ4は、例えば、RAM、ROM、着脱自在なCDROM、DVD等を包含することが可能である。メモリ4は、又はCPU2による使用のために予約された作業エリアのみならず、アプリケーションの実行に対して必要な種々のタイプのデータを格納することが可能である。クロック回路6は現在の時間を表わす情報を発生する回路を包含することが可能であり、且つ所定の又は予め設定された量の時間をカウントダウンすべくプログラムさせることが可能である。
【0012】
LANインターフェース14はLANとすることが可能なネットワーク(不図示)とLANデータ送信制御器12との間の通信を可能とさせる。LANデータ送信制御器12はネットワーク上のその他の装置と情報及びデータを交換するのに適した所定のプロトコルを使用する。コンピュータシステム102は、又、ルーター(不図示)を介して他のネットワークと通信することも可能である。コンピュータシステム102は、又、ネットワーク制御器16を使用して公衆交換電話回路網(PSTN)を介して他の装置と通信を行うことも可能である。コンピュータシステム102は、例えば、WAN(ワイドエリアネットワーク)及びインターネットへのアクセスを有することも可能である。内部バス18は、実際に、複数個のバスから構成することが可能であり、それに接続されているコンポーネントの各々の間での通信を可能とする。
【0013】
コンピュータシステム102は、コンピュータウイルスを認識し且つ識別するべく設計された1個又はそれ以上のタイプのスキャニングプログラムを使用してコンピュータウイルスに対しメモリ4の1つ又はそれ以上の部分をスキャニングすることが可能である。例えば、該スキャニングプログラムは、ウイルスの既知のシグナチャを検知することが可能であり、又はウイルスを検知するためのヒューリスティック即ち発見的論理を使用することが可能である。
【0014】
本発明の方法及びシステムは、メモリ4又はその他の箇所に格納され且つコンピュータシステム102によってアクセス可能なそれ自身コンピュータによって実行可能なコードとして実現することが可能である。コンピュータによって実行可能なコードはコンピュータシステム102を遠隔的に修復/回復させるためにコンピュータシステム102と通信状態にある遠隔地に格納し且つ実行させることが可能である。本明細書に記載する方法及びシステムは、コンピュータウイルスにより損傷されたコンピュータシステムを回復することが可能である。1実施例によれば、複数個のウイルス特定回復コマンドデータファイル(図3A参照)がコンピュータシステム102によりアクセス可能である。図3Bに示したように、各回復コマンドデータファイルは特定のウイルスにより損傷を受けた感染されたコンピュータシステムを回復させるために使用されるコマンド又はシステム回復命令を包含している。幾つかのウイルスは異なるオぺレーティングシステムに異なる態様で影響を与える場合があるので、これらのコマンドはオペレーティングシステム特定条件に従って分類することが可能である。該コマンドは、特定のコンピュータウイルスにより変更されるか又は損傷されたものとして知られるファイル名称、システムレジストリー設定及び/又はその他のオペレーティングシステム特性を回復させるために使用される。
【0015】
回復コマンドデータファイル内に格納し且つシステムによって使用することが可能なコマンドの例は、以下のものを包含している。即ち、ファイルのコピー、削除及び名称変更、ウインドウズレジストリーキーの読取、書込、作成及び削除、INIファイルの操作、システムメモリ内の活性プロセスの識別及び終了、外部プログラムの起動、ストリング型変数の操作、数値型変数の操作、回復命令フローの制御(ランタイム入力パラメータに依存)、回復命令のフローの制御(ターゲットオペレーティングシステムに依存)等である。勿論、特定のウイルスによるシステムに対して実施される変更に依存して、その他のコマンドも所要により設けることが可能である。上にリストしたコマンドのうちの1つ又はそれ以上を使用して、ウイルスにより損傷を受けたコンピュータシステムを回復させることが可能である。
【0016】
図2を参照すると、スキャニングプログラムの1つ又はそれ以上を使用して、コンピュータシステム102はウイルスについてメモリ4の少なくとも一部をスキャニングする(ステップS1)。次いで、ウイルスが見つかったか否かの判定がなされる(ステップS2)。ウイルスが存在しない場合には(No、ステップS2)、本処理は終了する(ステップS5)。ウイルスが存在しており且つ識別されると(Yes、ステップS2)、システム回復オプションが選択されたか否かを判別する(ステップS3)。例えば、このことは、グラフィックユーザインターフェース(GUY)の形態とすることが可能であり、スキャニングプログラムを開始する前に、ウイルスが検知された場合に本発明のシステム回復特徴が適用されるべきか否かをユーザに選択させるプロンプトを与える。システム回復オプションが選択されていない場合には(No、ステップS3)、本処理は終了する(ステップS5)。システム回復オプションが選択されている場合には(Yes、ステップS3)、識別されたウイルスに対応する回復コマンドデータファイルが検索される。該回復コマンドデータファイルは、そのウイルスによって感染する前にシステムが存在していた状態へシステムを回復させるためのシステム回復命令を包含している。次いで、該回復コマンドデータファイル内のコマンド又はシステム回復命令が検索され且つ処理される(ステップS4)。該回復コマンドデータファイルは特定のウイルスによって感染されたファイルの名称及びコンピュータシステムを回復するのに必要な命令を包含することが可能である。該コマンド又はシステム回復命令が実施された後に、完了した処理は終了する(ステップS5)。
【0017】
1例として、「Happy99.Worm」ウイルスが存在しており且つ識別され(Yes、ステップS2)且つシステム回復オプションが選択されている場合には(Yes、ステップS3)、「Happy99.Worm」ウイルスに対応し且つ「Happy99.Worm」ウイルスから回復するために使用されるシステム回復命令を包含している回復コマンドデータファイルが検索される。次いで、該命令が実行され(ステップS4)、コンピュータを通常の動作条件へ回復させる。例えば、本方法及びシステムは「Delete File」(ファイル削除)コマンドを実行して、新たに作成された「Wsock32.dll」及び「Ska.exe」ファイル及び該ウイルスによって作成されたその他の全てを削除することが可能である。それは、又、「Rename File」(ファイル名称変更)コマンドを実行して、「Wsock32.ska」ファイルをオリジナルの名称である「Wsock32.dll」へ名称変更させることが可能である。最後に、本方法及びシステムは「ReadRegKey」及び「DeleteRegKey」コマンドを使用して該ウイルスによりウインドウズレジストリーへ付加された全てのキー及び値を読取り且つ削除することが可能である。これらのコマンド即ち回復命令は、例えば、プログラミングコードのスタイルで回復コマンドデータファイル内にリストさせることが可能である。
【0018】
コンピュータウイルスにより操作され又は損傷されたファイルを回復させるために、回復コマンドデータファイルは、又、コンピュータシステム上に位置されたファイルを操作するための「Delete File」(ファイル削除)、「Rename File」(ファイル名称変更)及び/又は「Copy File」(ファイルコピー)ファイルシステムコマンドを包含することが可能である。更に、「Shell」(シェル)コマンドも設けることが可能であり、それによりシステムシェルコマンドを実行することが可能である。これらのコマンドは使用状況に依存して入力パラメータとして1個又はそれ以上のファイル名称を使用することが可能であり且つ失敗の場合にエラー条件を返す。操作すべきファイルが現在システムによって使用されており且つアクセスすることが不可能である場合には、ファイルシステムコマンドはエラー条件を返すものではなく、その代わりに、コマンドはそのファイルを解放させるためにコンピュータの再開始が必要であるようにコンピュータシステムを変化させる。そのファイルが解放されると、本方法及びシステムは前に試みたファイルシステムのコマンドを実行する。
【0019】
コンピュータウイルスはコンピュータシステム上で稼動する不所望のプロセス及び/又はサービスを開始させる場合がある。従って、回復コマンドデータファイルは、コンピュータシステム上で現在稼動中のプロセス及びサービスを停止させるためのプロセス操作コマンドも包含することが可能である。例えば、「Kill Process」コマンドは、現在コンピュータシステム上で稼動中のプロセスを停止させるために使用することが可能であり、且つ「Kill Service」コマンドは、サービスを停止させ且つそれをウインドウズレジストリーファイルから除去するために使用することが可能である。
【0020】
コンピュータウイルスは、又、ウインドウズレジストリー及び/又は初期化ファイルを包含するオペレーティングシステムファイルを改ざんする場合がある。ウインドウズレジストリーはウインドウズ用の設定及びオプションを格納するために使用される2個のファイルから構成されているデータベースであり、ハードウエア、ソフトウエア、ユーザ、コンピュータのお気に入りの全てに対する情報及び設定を包含している。ウインドウズレジストリーは階層的構造を有しており、メイン分岐はレジストリー内に格納される実際の情報を包含する「値」を格納する「キー」と呼ばれるサブ分岐を包含している。あるコンピュータウイルスはウインドウズレジストリー及び/又は初期化フィルスを改ざんさせる場合がある。例えば、インストール期間中に、「Happy99.Worm」ウイルスはウインドウズレジストリーに対して対応する値を有するキーを付加させる場合があり、その場合にその値はシステムのスタートアップ時に実行されるべきファイルの名称であり、それにより、コンピュータが開始される度にユーザに知られることなしにウイルスが活性化される。従って、このようなコンピュータウイルスにより損傷を受けたコンピュータシステムを回復させるためには、回復コマンドデータファイルは「System.ini」等の初期化(INI)ファイル及び/又はウインドウズレジストリー等のウインドウズファイル内に位置されているファイルを読取、書込、削除する能力を包含することが可能である。使用されるウインドウズレジストリー操作コマンドは「ReadRegKey」、「WriteRegKey」、「DelRegKey」を包含することが可能であり、一方IINファイル操作コマンドは「ReadINIKey」及び「WriteINIKey」を包含することが可能である。コマンド名称、入力パラメータ及び機能は以下の如くである。
【0021】
ReadRegKey(変数、キー、値)はキーの値フィールド内に位置されているデータを変数内へ読込む;
WriteRegKey(キー、値、変数)は変数からのデータをキーの値フィールド内へ書込む。該キー又は値が存在しない場合には、それらは作成され、
DeleteRegKey(キー、値)は特定されたキー、又は該値パラメータが空のままである場合には、キー全体の値フィールドを削除し;
ReadINIKey(変数、INI名称、セクション、キー)は特定されたINIファイル内に位置しているキーのセクションフィールド内に位置しているデータを読取り;且つ
WriteINIKey(INI名称、セクション、キー、変数)は変数からのデータを特定されたINIファイル内に位置しているキーのセクションフィールド内に書込む。その変数が「NULL」に設定されると、そのキーは除去される。
【0022】
上のコマンドにおいて、キー又は値入力がコンピュータシステム上に存在しない場合に「読取」及び「削除」コマンド期間中にエラー条件を挙げることが可能であり、且つ書込失敗が発生した場合には「書込」及び「削除」コマンドにおける場合である。コマンドが、例えば存在しないファイルをコピーすることの失敗又は存在しないウインドウズレジストリーキーを読取ることを表わすエラー等の実行後のエラーを返す場合に、本方法及びシステムは該エラーを無視し且つ回復プロセスを停止させることが可能である。例えば、OnErrorAbortコマンドを包含することは、最初のエラーの発生によって回復プロセスをアボート即ち中止させ、一方OnErrorContinueコマンドを包含することは、1個又はそれ以上のエラーが発生した場合に回復プロセスを継続して行わせる。本方法及びシステムはデフォルトによりOnErrorContinueに設定してあり、従って1個又はそれ以上のエラーが発生した場合であっても回復プロセスは継続される。
【0023】
回復コマンドデータファイルは、又、ウイルスにより変更された場合にストリング変数を操作するストリング操作コマンドを包含することが可能である。このようなコマンドの例は、ソースストリング、マクロ又は一定値をデスティネーションストリング内へコピーするStrCopyコマンドを包含することが可能である。StrCopyコマンドは、ソースストリング、マクロ、又は一定値をデスティネーションストリング内へ連結させることが可能である。
【0024】
回復コマンドデータファイルは、メモリ4及び/又はコンピュータシステム102によってアクセス可能なその他の格納媒体内におけるデータ格納部内に格納することが可能である。例えば、回復コマンドデータファイルは、ローカルエリアネットワーク又はインターネットを介して接続された別個の格納システム上に格納させることが可能であり、その場合に、該ファイルは直接的にアクセスすることが可能であり、又周期的にアップデートさせることが可能である。「Happy99.Worm」ウイルスから回復するために必要となる場合のある回復コマンドデータファイルの内容の1例を図3Bに示してある。「VirusStart」及び「RemoveEnd:」の間のコードの部分は、ウイルスを検知し且つ感染されたファイルを回復するために使用される。このコードの部分は回復コマンドデータファイル内に設けることも設けないことも可能である。「SysCureStart:」及び「SysCureEnd:」の間のコードのセクションは、本明細書に記載した技術を使用してコンピュータシステムを回復させるために使用される。
【0025】
コンピュータシステムがウイルスを識別し且つ適宜の回復コマンドデータファイルへアクセスした後に、コンピュータシステムはコンピュータシステムを回復させるためのコマンドのリストをデータファイルから読取る。図3Bに示したように、SysCureStart及びSysCureEndマーカーはデータファイル内に見つかったコマンドブロックを開始させ且つ終了させる。この例によれば、コンピュータシステムは、最初に、データファイルから検索されたキー及び値パラメータと共にDelRegKeyコマンドを実行する。該キー及び値パラメータはウイルスに特定的なものであり且つこの場合には、夫々、「HK LOCAL MACHINE\Software\Microsoft\Windows\Run」及び「Virus」である。該ウイルスによってウインドウズレジストリーファイル内に挿入された場合に、このキー及び値の組合わせは、スタートアップ時に、コンピュータシステムをして「Virus」ファイルを実行させる。従って、この値が本システム及び方法を使用するコンピュータシステムによってウインドウズレジストリーから削除されると、コンピュータシステムは、最早、スタートアップ時にそのファイルを実行しようとすることはない。
【0026】
コンピュータシステムは、最早、スタートアップ時に該ウイルスファイルを実行しようとすることはないが、実行可能なウイルスファイルは未だにシステム上に存在しており削除されるべきである。従って、本回復コマンドデータファイルは、又、デスティネーション変数、キー、値パラメータと共にReadRegKeyコマンドを包含しており、特定した値フィールド内に位置している値をそれが格納されている第一変数内へロードさせる。この値は、システムスタートアップ時に「Happy99.Worm」が実行されるべく配置させた実行可能なファイルの名称であり、例えば「Ska.exe」である。次いで、コンピュータシステムはStrcatコマンドを実行して、この変数を、システム毎に変化する場合があり、従って、システムマクロ「%SysDir%」によって示されるシステムディレクトリーのパス名称と連結させてシステム名称とそれに続く実行可能なウイルスファイル名とを包含する第二変数とさせる。次いで、コンピュータシステムはパラメータとして第二変数を使用してDeleFileを実行し、それにより該実行可能なファイルを削除する。この技術は、実行可能なファイルの実際の名称と独立的にコンピュータシステムが該ウイルスを削除することを可能とする。
【0027】
その後にリストされるコマンドを実行することが可能であり且つウインドウズ95、ウインドウズ98、ウインドウズNT、ウインドウズ2000、又は全てへ設定することが可能なオペレーティングシステムを識別するためにオペレーティングシステム(OS)変数を使用することが可能である。オペレーティングシステムに特定のコマンドが存在する場合には、そのコマンドはそのオペレーティングシステムにより識別される回復コマンドデータファイルのサブセクションの下にリストすることが可能である。全てのオペレーティングシステムに関して使用することが可能なコマンドが存在する場合には、そのコマンドは一般セクション又はサブセクションの下にリストすることが可能であり且つ全てのオペレーティングシステムに対して実行することが可能である。図3Bにおいて、オペレーティングシステム変数「Win9x」はコードセクション内にリストされているコマンドがウインドウズ95、98、MEオペレーティングシステムが稼動するコンピュータシステム上で実行されるべきであることを表わす。本システム及び方法は、スタンダードシステムアプリケーションプログラムインターフェース(API)を使用するオペレーティングシステムを決定することが可能である。オペレーティングシステムが決定されると、この情報は回復コマンドデータファイル内のコマンドを実行している場合の条件付き分岐のために格納し且つ使用することが可能である。
【0028】
回復コマンドデータファイルは、又、その他のタイプのコマンドを包含することが可能である。例えば、容易に入手可能でないファイル又はデータを修復又は置換させることが必要である場合に、適宜のファイル又はデータを包含するシステムディスクを挿入することのプロンプトをユーザに対して与えるためのコードを回復コマンドデータファイル内に設けることが可能である。システムディスクからファイル又はデータを検索するため及びコンピュータシステム上の損傷されたか又は欠落しているファイルを置換させるためのコードを包含させることが可能である。回復コマンドデータファイルは、又、コンピュータシステムからインターネットブラウザーを起動させ且つコンピュータシステムを回復させるための適宜のファイル又はデータを具備する既知のウエブサイトへアクセスするためのコードを包含することも可能である。ウエブサイトからファイル又はデータを自動的にダウンロードするため及びコンピュータシステム上の欠落しているか又は損傷されたファイル又はデータを回復させるために適宜のファイル又はデータをダウンロードすることのプロンプトをユーザに与えるためのコードを回復コマンドデータファイル内に包含させることが可能である。
【0029】
本発明は、1個又はそれ以上の従来の汎用デジタルコンピュータ及び/又は本発明の示唆に基づいてプログラムされたサーバーを使用して実現することが可能である。本発明の示唆に基づいて熟練したプログラマーにより適宜のソフトウエアコーディングを容易に用意することが可能である。本発明は、又、応用特定集積回路の調整により、又は従来のコンポーネント回路の適宜のネットワークの相互接続により実現することが可能である。
【0030】
本発明の種々の付加的な修正及び変形は上の説明に鑑み可能なものである。従って、特許請求の範囲内において、本発明は本発明に特記したもの以外に実施することが可能であることを理解すべきである。
【図面の簡単な説明】
【0031】
【図1】本発明の1実施例に基づいて悪性コードにより損傷を受けたコンピュータシステムを回復するためのシステム及び方法を適用することが可能な例示的なコンピュータシステムを示した概略図。
【図2】本発明の1実施例に基づいて悪性コードにより損傷を受けたコンピュータシステムを回復するためのプロセスを示したフローチャート。
【図3】(A)はウイルス特定回復コマンドデータファイルを包含するデータベースを示した概略図、(B)は本発明の1実施例に基づく回復コマンドデータファイルのうちの1つからのコマンドを示した概略図。

Claims (20)

  1. 悪性コードにより修正されたコンピュータシステムを回復する方法において、
    コンピュータシステムを悪性コードについてスキャニングし、
    前記悪性コードを識別し、
    前記悪性コードによる修正の前に存在していた状態へ前記コンピュータシステムを回復させるために使用される少なくとも1個のコマンドを包含する前記悪性コードに関連する情報をデータファイルから検索し、
    前記少なくとも1個のコマンドを実行して前記コンピュータシステムを実質的に前記悪性コードによる修正の前に存在していた状態へ回復させる、
    ことを包含している方法。
  2. 請求項1において、前記少なくとも1個のコマンドを実行するステップが、
    データの読取、書込、削除のうちの1つを包含している方法。
  3. 請求項1において、前記少なくとも1個のコマンドを実行するステップが、1つのファイルの名称変更及び削除のうちの少なくとも1つを包含している方法。
  4. 請求項1において、前記悪性コードが少なくとも1個のファイルを修正し且つ本方法が、
    前記修正されたファイルから第二ファイルの名称を読取り、
    前記第二ファイルを修正する、
    ことを包含している方法。
  5. 請求項1において、前記データファイルが複数個のデータファイルを包含しており、各データファイルは特定のタイプの悪性コードに対して設けられており、各データファイルは前記特定のタイプの悪性コードによる修正前に存在していた状態へ前記コンピュータシステムを回復させるために使用することが可能な少なくとも1個のコマンドを包含している方法。
  6. 悪性コードにより修正されたコンピュータシステムを回復するためのコンピュータ実行可能コードを包含する格納媒体において、
    コンピュータシステムを悪性コードに対してスキャニングするコード、
    前記悪性コードを識別するコード、
    前記悪性コードによる修正の前に存在していた状態へ前記コンピュータシステムを回復させるために使用される少なくとも1個のコマンドを包含する前記悪性コードに関連する情報をデータファイルから検索するためのコード、
    前記コンピュータシステムを実質的に前記悪性コードにより修正前に存在していた状態へ回復させるために前記少なくとも1個のコマンドを実行するためのコード、
    を有している格納媒体。
  7. 請求項6において、前記少なくとも1個のコマンドを実行するためのコマンドがデータの読取、書込、削除のうちの少なくとも1つを実施するためのコードを包含している格納媒体。
  8. 請求項6において、前記少なくとも1個のコマンドを実行するコードが、ファイルの名称変更及び削除のうちの少なくとも1つを実施するためのコードを包含している格納媒体。
  9. 請求項6において、前記悪性コードが少なくとも1個のファイルを修正し、更に、
    前記修正されたファイルから第二ファイルの名称を読取るためのコード、
    前記第二ファイルを修正するためのコード、
    を有していることを特徴とする格納媒体。
  10. 請求項6において、前記データファイルが複数個のデータファイルを包含しており、各データファイルは特定のタイプの悪性コードに対して設けられており、各データファイルは前記特定のタイプの悪性コードによる修正の前に存在していた状態へ前記コンピュータシステムを回復するために使用することが可能な少なくとも1個のコマンドを包含している格納媒体。
  11. 送信媒体において実現され且つ悪性コードにより修正されたコンピュータシステムを回復するためのコンピュータ実行可能命令を包含しているコンピュータデータ信号において、
    コンピュータシステムを悪性コードについてスキャニングするためのデータ信号部分、
    前記悪性コードを識別するためのデータ信号部分、
    前記悪性コードによる修正前に存在していた状態へ前記コンピュータシステムを回復させるために使用する少なくとも1個のコマンドを包含している前記悪性コードに関連する情報をデータファイルから検索するためのデータ信号部分、
    前記コンピュータシステムを実質的に前記悪性コードによる修正前に存在していた状態へ回復させるために前記少なくとも1個のコマンドを実行するためのデータ信号部分、
    を有しているコンピュータデータ信号。
  12. 請求項11において、前記少なくとも1個のコマンドを実行するデータ信号部分がデータの読取、書込、削除のうちの少なくとも1つを実施するコンピュータデータ信号。
  13. 請求項11において、前記少なくとも1個のコマンドを実行するデータ信号部分がファイルの名称変更及び削除のうちの少なくとも1つを実施するコンピュータデータ信号。
  14. 請求項11において、前記悪性コードが少なくとも1個のファイルを修正し、前記コンピュータデータ信号が、更に、
    前記修正されたファイルから第二ファイルの名称を読取るデータ信号部分、
    前記第二ファイルを修正するデータ信号部分、
    を有しているコンピュータデータ信号。
  15. 請求項11において、前記データファイルが複数個のデータファイルを有しており、各データファイルは特定のタイプの悪性コードに対して設けられており、各データファイルは前記特定タイプの悪性コードによる修正前に存在していた状態へコンピュータシステムを回復するために使用することが可能な少なくとも1個のコマンドを包含しているコンピュータデータ信号。
  16. 悪性コードにより修正されたコンピュータシステムを回復するプログラムを包含するプログラムされたコンピュータシステムにおいて、
    悪性コードについてコンピュータシステムをスキャニングする手段、
    前記悪性コードを識別する手段、
    前記悪性コードによる修正前に存在していた状態へ前記コンピュータシステムを回復するために使用される少なくとも1個のコマンドを包含している前記悪性コードに関連する情報をデータファイルから検索する手段、
    前記コンピュータシステムを実質的に前記悪性コードによる修正前に存在していた状態へ復帰させる少なくとも1個のコマンドを実行する手段、
    を有しているプログラムされたコンピュータシステム。
  17. 請求項16において、前記少なくとも1個のコマンドを実行する手段がデータの読取、書込、削除のうちの少なくとも1つを実施する手段を包含しているプログラムされたコンピュータシステム。
  18. 請求項16において、前記少なくとも1個のコマンドを実行する手段がファイルの名称変更及び削除のうちの少なくとも1つを実施する手段を包含しているプログラムされたコンピュータシステム。
  19. 請求項16において、前記悪性コードが少なくとも1個のファイルを修正し且つ前記システムが、更に、
    前記修正されたファイルから第二ファイルの名称を読取る手段、
    前記第二ファイルを修正する手段、
    を有しているプログラムされたコンピュータシステム。
  20. 請求項16において、前記データファイルが複数個のデータファイルを有しており、各データファイルは特定のタイプの悪性コードに対して設けられており、各データファイルは前記特定のタイプの悪性コードによる修正前に存在していた状態へ前記コンピュータシステムを回復するために使用することが可能な少なくとも1個のコマンドを包含しているプログラムされたコンピュータシステム。
JP2002578117A 2001-03-30 2002-03-26 悪性コンピュータプログラムにより損傷されたコンピュータシステムを回復するシステム及び方法 Pending JP2004533041A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US09/823,673 US7114184B2 (en) 2001-03-30 2001-03-30 System and method for restoring computer systems damaged by a malicious computer program
PCT/US2002/009414 WO2002079956A1 (en) 2001-03-30 2002-03-26 System and method for restoring computer systems damaged by a malicious computer program

Publications (1)

Publication Number Publication Date
JP2004533041A true JP2004533041A (ja) 2004-10-28

Family

ID=25239383

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002578117A Pending JP2004533041A (ja) 2001-03-30 2002-03-26 悪性コンピュータプログラムにより損傷されたコンピュータシステムを回復するシステム及び方法

Country Status (13)

Country Link
US (1) US7114184B2 (ja)
EP (1) EP1374017B1 (ja)
JP (1) JP2004533041A (ja)
KR (1) KR20030085071A (ja)
CN (1) CN1498363A (ja)
AT (1) ATE337581T1 (ja)
AU (1) AU2002250453B2 (ja)
BR (1) BR0207678A (ja)
CA (1) CA2442947A1 (ja)
DE (1) DE60214147T2 (ja)
IL (2) IL157542A0 (ja)
WO (1) WO2002079956A1 (ja)
ZA (1) ZA200306411B (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005166018A (ja) * 2003-12-02 2005-06-23 Hauri Inc コンピュータウイルス防疫方法及びそのプログラムを記録した記録媒体
KR100745639B1 (ko) * 2005-08-11 2007-08-02 주식회사 웨어플러스 파일 시스템 및 레지스트리를 보호하는 방법 및 그 장치
JP2008046826A (ja) * 2006-08-14 2008-02-28 Ricoh Co Ltd 画像形成装置、データ復旧方法および記録媒体
JP2011523748A (ja) * 2008-05-28 2011-08-18 シマンテック コーポレーション 中央集中的にマルウェアを検出するための知的ハッシュ

Families Citing this family (60)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7188368B2 (en) * 2001-05-25 2007-03-06 Lenovo (Singapore) Pte. Ltd. Method and apparatus for repairing damage to a computer system using a system rollback mechanism
GB0117721D0 (en) * 2001-07-20 2001-09-12 Surfcontrol Plc Database and method of generating same
CA2356017C (en) * 2001-08-29 2010-09-21 Ibm Canada Limited-Ibm Canada Limitee User interface for phased data entry
KR20040021744A (ko) * 2002-09-04 2004-03-11 삼성전자주식회사 휴대용 전화기의 정보 및 데이터 처리 방법
US8069480B1 (en) * 2002-09-30 2011-11-29 Mcafee, Inc. Method and system for defining a safe storage area for use in recovering a computer system
JP2004361994A (ja) * 2003-05-30 2004-12-24 Toshiba Corp データ管理装置、データ管理方法及びプログラム
US20050229250A1 (en) * 2004-02-26 2005-10-13 Ring Sandra E Methodology, system, computer readable medium, and product providing a security software suite for handling operating system exploitations
EP1745660B1 (en) * 2004-04-30 2012-01-11 Research In Motion Limited System and method for handling restoration operations on mobile devices
US8707251B2 (en) * 2004-06-07 2014-04-22 International Business Machines Corporation Buffered viewing of electronic documents
GB2416879B (en) 2004-08-07 2007-04-04 Surfcontrol Plc Device resource access filtering system and method
GB2418037B (en) 2004-09-09 2007-02-28 Surfcontrol Plc System, method and apparatus for use in monitoring or controlling internet access
GB2418108B (en) 2004-09-09 2007-06-27 Surfcontrol Plc System, method and apparatus for use in monitoring or controlling internet access
US20060130144A1 (en) * 2004-12-14 2006-06-15 Delta Insights, Llc Protecting computing systems from unauthorized programs
US7673341B2 (en) * 2004-12-15 2010-03-02 Microsoft Corporation System and method of efficiently identifying and removing active malware from a computer
US7624443B2 (en) * 2004-12-21 2009-11-24 Microsoft Corporation Method and system for a self-heating device
US20100067335A1 (en) * 2004-12-21 2010-03-18 Koninklijke Philips Electronics, N.V. Method and apparatus for error correction of optical disc data
US7882561B2 (en) 2005-01-31 2011-02-01 Microsoft Corporation System and method of caching decisions on when to scan for malware
US20060179484A1 (en) * 2005-02-09 2006-08-10 Scrimsher John P Remediating effects of an undesired application
US7836504B2 (en) * 2005-03-01 2010-11-16 Microsoft Corporation On-access scan of memory for malware
US7636943B2 (en) * 2005-06-13 2009-12-22 Aladdin Knowledge Systems Ltd. Method and system for detecting blocking and removing spyware
US8272058B2 (en) 2005-07-29 2012-09-18 Bit 9, Inc. Centralized timed analysis in a network security system
US8984636B2 (en) 2005-07-29 2015-03-17 Bit9, Inc. Content extractor and analysis system
US7895651B2 (en) 2005-07-29 2011-02-22 Bit 9, Inc. Content tracking in a network security system
US8572371B2 (en) 2005-10-05 2013-10-29 Ca, Inc. Discovery of kernel rootkits with memory scan
CN100465978C (zh) * 2005-11-16 2009-03-04 白杰 被病毒程序破坏的数据恢复方法、装置及病毒清除方法
US8453243B2 (en) 2005-12-28 2013-05-28 Websense, Inc. Real time lockdown
US7934229B1 (en) * 2005-12-29 2011-04-26 Symantec Corporation Generating options for repairing a computer infected with malicious software
JP4877921B2 (ja) * 2006-01-25 2012-02-15 株式会社日立製作所 ストレージシステム、記憶制御装置及び記憶制御装置のリカバリポイント検出方法
US7757290B2 (en) * 2006-01-30 2010-07-13 Microsoft Corporation Bypassing software services to detect malware
WO2008039241A1 (en) * 2006-04-21 2008-04-03 Av Tech, Inc Methodology, system and computer readable medium for detecting and managing malware threats
US9122719B2 (en) * 2006-04-28 2015-09-01 Bmc Software, Inc. Database application federation
US8020206B2 (en) 2006-07-10 2011-09-13 Websense, Inc. System and method of analyzing web content
US8615800B2 (en) 2006-07-10 2013-12-24 Websense, Inc. System and method for analyzing web content
US9654495B2 (en) 2006-12-01 2017-05-16 Websense, Llc System and method of analyzing web addresses
GB2445764A (en) 2007-01-22 2008-07-23 Surfcontrol Plc Resource access filtering system and database structure for use therewith
US20080195676A1 (en) * 2007-02-14 2008-08-14 Microsoft Corporation Scanning of backup data for malicious software
US8015174B2 (en) 2007-02-28 2011-09-06 Websense, Inc. System and method of controlling access to the internet
US8495741B1 (en) * 2007-03-30 2013-07-23 Symantec Corporation Remediating malware infections through obfuscation
US8006078B2 (en) * 2007-04-13 2011-08-23 Samsung Electronics Co., Ltd. Central processing unit having branch instruction verification unit for secure program execution
GB0709527D0 (en) 2007-05-18 2007-06-27 Surfcontrol Plc Electronic messaging system, message processing apparatus and message processing method
US8473461B1 (en) * 2008-05-27 2013-06-25 Symantec Corporation File infection removal by differential copy
US9378282B2 (en) 2008-06-30 2016-06-28 Raytheon Company System and method for dynamic and real-time categorization of webpages
KR20100023494A (ko) * 2008-08-22 2010-03-04 엘지전자 주식회사 단말기 및 그 바이러스 보호 방법
US7591019B1 (en) 2009-04-01 2009-09-15 Kaspersky Lab, Zao Method and system for optimization of anti-virus scan
CN102598007B (zh) 2009-05-26 2017-03-01 韦伯森斯公司 有效检测采指纹数据和信息的系统和方法
US8370648B1 (en) * 2010-03-15 2013-02-05 Emc International Company Writing and reading encrypted data using time-based encryption keys
KR101760778B1 (ko) * 2011-01-17 2017-07-26 에스프린팅솔루션 주식회사 컴퓨터시스템 및 그 프로그램 업데이트 방법
US8181247B1 (en) * 2011-08-29 2012-05-15 Kaspersky Lab Zao System and method for protecting a computer system from the activity of malicious objects
CN107103238A (zh) * 2012-02-29 2017-08-29 卡巴斯基实验室封闭式股份公司 用于保护计算机系统免遭恶意对象活动侵害的系统和方法
CN103577751B (zh) * 2012-07-25 2015-06-10 腾讯科技(深圳)有限公司 文件扫描方法和装置
CN103778114B (zh) * 2012-10-17 2016-03-09 腾讯科技(深圳)有限公司 文件修复系统和方法
US9117054B2 (en) 2012-12-21 2015-08-25 Websense, Inc. Method and aparatus for presence based resource management
FR3003365B1 (fr) * 2013-03-12 2015-04-10 Airbus Operations Sas Procede et dispositif de gestion de mises a jour logicielles d'un ensemble d'equipements d'un systeme tel qu'un systeme d'un aeronef
CN103679024B (zh) * 2013-11-19 2015-03-25 百度在线网络技术(北京)有限公司 病毒的处理方法及设备
RU2618947C2 (ru) * 2015-06-30 2017-05-11 Закрытое акционерное общество "Лаборатория Касперского" Способ предотвращения работы программ, содержащих нежелательный для пользователя функционал
KR101710928B1 (ko) 2015-09-04 2017-03-13 숭실대학교산학협력단 모바일 단말기의 os 플랫폼에서의 악성 코드 방지 방법, 이를 수행하기 위한 기록 매체 및 시스템
US10063589B2 (en) 2016-04-20 2018-08-28 Lenovo Enterprise Solutions (Singapore) Pte. Ltd. Microcheckpointing as security breach detection measure
US20170310700A1 (en) * 2016-04-20 2017-10-26 Lenovo Enterprise Solutions (Singapore) Pte. Ltd. System failure event-based approach to addressing security breaches
US20200344249A1 (en) * 2019-03-27 2020-10-29 Schlumberger Technology Corporation Automated incident response process and automated actions
US11966477B2 (en) * 2022-01-11 2024-04-23 Musarubra Us Llc Methods and apparatus for generic process chain entity mapping

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4975950A (en) * 1988-11-03 1990-12-04 Lentz Stephen A System and method of protecting integrity of computer data and software
US5408642A (en) * 1991-05-24 1995-04-18 Symantec Corporation Method for recovery of a computer program infected by a computer virus
US5485575A (en) * 1994-11-21 1996-01-16 International Business Machines Corporation Automatic analysis of a computer virus structure and means of attachment to its hosts
JP4162099B2 (ja) * 1995-06-02 2008-10-08 富士通株式会社 ウィルス感染に対処する機能を持つ装置及びその記憶装置
US6067410A (en) 1996-02-09 2000-05-23 Symantec Corporation Emulation repair system
US5657445A (en) * 1996-01-26 1997-08-12 Dell Usa, L.P. Apparatus and method for limiting access to mass storage devices in a computer system
US5822517A (en) * 1996-04-15 1998-10-13 Dotan; Eyal Method for detecting infection of software programs by memory resident software viruses
US5832208A (en) * 1996-09-05 1998-11-03 Cheyenne Software International Sales Corp. Anti-virus agent for use with databases and mail servers
US6108799A (en) * 1997-11-21 2000-08-22 International Business Machines Corporation Automated sample creation of polymorphic and non-polymorphic marcro viruses
KR19990060338A (ko) * 1997-12-31 1999-07-26 윤종용 하드 디스크 드라이브의 바이러스에 의한 손상 데이터복구방법
US6263348B1 (en) * 1998-07-01 2001-07-17 Serena Software International, Inc. Method and apparatus for identifying the existence of differences between two files
US6401210B1 (en) * 1998-09-23 2002-06-04 Intel Corporation Method of managing computer virus infected files
US6535998B1 (en) * 1999-07-26 2003-03-18 Microsoft Corporation System recovery by restoring hardware state on non-identical systems
AU6337701A (en) * 2000-05-19 2002-03-22 Self Repairing Computers Inc A computer with switchable components
US20020178375A1 (en) * 2001-01-31 2002-11-28 Harris Corporation Method and system for protecting against malicious mobile code

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005166018A (ja) * 2003-12-02 2005-06-23 Hauri Inc コンピュータウイルス防疫方法及びそのプログラムを記録した記録媒体
KR100745639B1 (ko) * 2005-08-11 2007-08-02 주식회사 웨어플러스 파일 시스템 및 레지스트리를 보호하는 방법 및 그 장치
JP2008046826A (ja) * 2006-08-14 2008-02-28 Ricoh Co Ltd 画像形成装置、データ復旧方法および記録媒体
JP2011523748A (ja) * 2008-05-28 2011-08-18 シマンテック コーポレーション 中央集中的にマルウェアを検出するための知的ハッシュ

Also Published As

Publication number Publication date
KR20030085071A (ko) 2003-11-01
DE60214147D1 (de) 2006-10-05
EP1374017A1 (en) 2004-01-02
CA2442947A1 (en) 2002-10-10
CN1498363A (zh) 2004-05-19
IL157542A (en) 2007-12-03
US20020144129A1 (en) 2002-10-03
BR0207678A (pt) 2004-03-09
WO2002079956A1 (en) 2002-10-10
DE60214147T2 (de) 2007-07-26
AU2002250453B2 (en) 2008-08-21
US7114184B2 (en) 2006-09-26
ZA200306411B (en) 2004-08-18
IL157542A0 (en) 2004-03-28
EP1374017B1 (en) 2006-08-23
ATE337581T1 (de) 2006-09-15

Similar Documents

Publication Publication Date Title
JP2004533041A (ja) 悪性コンピュータプログラムにより損傷されたコンピュータシステムを回復するシステム及び方法
AU2002250453A1 (en) System and method for restoring computer systems damaged by a malicious computer program
US6434744B1 (en) System and method for patching an installed application program
US8266692B2 (en) Malware automated removal system and method
US7669059B2 (en) Method and apparatus for detection of hostile software
TWI444826B (zh) 用以對電腦裝置中的韌體提供安全儲存的方法、系統及保留有電腦可執行指令的媒體
US20080126446A1 (en) Systems and methods for backing up user settings
US20070094654A1 (en) Updating rescue software
US8112745B2 (en) Apparatus and method for capabilities verification and restriction of managed applications in an execution environment
US20120030766A1 (en) Method and system for defining a safe storage area for use in recovering a computer system
JP5335622B2 (ja) 設定情報データベースを管理するコンピュータ・プログラム
JP3715478B2 (ja) インストレーション回復システム用装置および方法
US7234164B2 (en) Method and system for blocking execution of malicious code
JP5475199B2 (ja) 前処理済みのファイルを実行させるためのファイル処理装置及びその方法をコンピュータで行うための記録媒体
WO2002079999A1 (en) Apparatus and method for protecting data on computer hard disk and computer readable recording medium having computer readable programs stored therein
WO2008005536A2 (en) Malware automated removal system and method
KR100613126B1 (ko) 컴퓨터에서의 악성 코드 제거 방법 및 그 장치, 그 방법을컴퓨터에서 실행시키기 위한 프로그램 코드를 기록한기록매체
US20060047727A1 (en) Method of accessing a file for editing with an application having limited access permissions
US20030028868A1 (en) Information processor, method for processing information and computer-readable recording medium recorded with program code for controlling a computer to process information
JPH09179727A (ja) アンインストール装置及びアンインストール方法
JP4319438B2 (ja) 入力情報処理装置、プログラム、記憶媒体及び入力情報処理方法
JPH10105383A (ja) アプリケーションプログラムのアンインストール方法及び情報記録媒体
JP2000293377A (ja) 共存環境構築方法及び共存環境構築プログラムを記録した記録媒体
JP5400099B2 (ja) 情報処理装置、電子機器及びパッチプログラムの適用方法、並びにコンピュータ・プログラム
JP2001281302A (ja) ソフトウェア組み込み装置、ソフトウェア組み込み方法、及び記憶媒体

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050322

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060829

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20070306