JP2006268687A - コンピュータウィルス監視プログラム及びこれを用いたコンピュータ端末装置 - Google Patents
コンピュータウィルス監視プログラム及びこれを用いたコンピュータ端末装置 Download PDFInfo
- Publication number
- JP2006268687A JP2006268687A JP2005088854A JP2005088854A JP2006268687A JP 2006268687 A JP2006268687 A JP 2006268687A JP 2005088854 A JP2005088854 A JP 2005088854A JP 2005088854 A JP2005088854 A JP 2005088854A JP 2006268687 A JP2006268687 A JP 2006268687A
- Authority
- JP
- Japan
- Prior art keywords
- file
- access request
- file system
- access
- driver
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Abstract
【課題】 ウィルスやワームの特徴を記したパタンファイルに依存せずに、「未知」のウィルスやワームを検知するコンピュータウィルス監視プログラムを得る。
【解決手段】 コンピュータウィルス監視プログラムにおいて、コンピュータ端末装置の入出力マネージャからコンピュータ端末装置のファイルシステムドライバに対して要求されるファイルアクセス要求の不正性を監視し、ファイルアクセス要求の不正性を検知したときは、不正性のファイルアクセス要求をファイルシステムドライバに通知しないようにした。
【選択図】図1
【解決手段】 コンピュータウィルス監視プログラムにおいて、コンピュータ端末装置の入出力マネージャからコンピュータ端末装置のファイルシステムドライバに対して要求されるファイルアクセス要求の不正性を監視し、ファイルアクセス要求の不正性を検知したときは、不正性のファイルアクセス要求をファイルシステムドライバに通知しないようにした。
【選択図】図1
Description
この発明は、ネットワークを介して侵入するコンピュータウィルスを監視するコンピュータウィルス監視プログラム、及びこれを用いたコンピュータ端末装置に関するものである。
従来のコンピュータのウィルス検知方法は、特許文献1のように、既知のウィルスやワームの特徴を記したパタンファイルと呼ばれる特徴データベースと照合することにより、ウィルスやワームを検知する。しかしながら、この場合、パタンファイルの対応していない未知のウィルスは、検知不可能である。
上述のような従来のパタンファイル方式では、昨今行われるオペレーティングシステムやサーバーソフトの脆弱性情報の公表と、時を同じくして発生してくる脆弱性を狙ったウィルスやワームに対しては、そのウィルスやワームが「未知」のパタンであるため、検知、被害拡大を阻止することができないという問題がある。
また、ウィルスやワームが端末に感染した場合、その感染、発病、拡散に関する動きを端末に被害を与えずに記録することは、従来のウィルス検知ソフトでは不可能であり、そこから、ウィルスやワームの感染の動きを分析することも不可能であった。そのため、新たな「未知」ウィルスやワームが感染しても、その動きを捉えることができず、端末の情報から、広く対策検討を行うことができないという問題があった。
また、ウィルスやワームが端末に感染した場合、その感染、発病、拡散に関する動きを端末に被害を与えずに記録することは、従来のウィルス検知ソフトでは不可能であり、そこから、ウィルスやワームの感染の動きを分析することも不可能であった。そのため、新たな「未知」ウィルスやワームが感染しても、その動きを捉えることができず、端末の情報から、広く対策検討を行うことができないという問題があった。
この発明は、上述のような課題を解決するためになされたものであり、ウィルスやワームの特徴を記したパタンファイルに依存せずに、「未知」のウィルスやワームを検知し、被害拡大を阻止し、ウィルスやワームの感染行動を遮断するコンピュータウィルス監視プログラム及びこれを用いたコンピュータ端末装置を得ることを目的にしている。
この発明に係わるコンピュータウィルス監視プログラムにおいては、コンピュータ端末装置の入出力マネージャからコンピュータ端末装置のファイルシステムドライバに対して要求されるファイルアクセス要求の不正性を監視し、ファイルアクセス要求の不正性を検知したときは、不正性のファイルアクセス要求をファイルシステムドライバに通知しないようにしたものである。
この発明は、以上説明したように、コンピュータ端末装置の入出力マネージャからコンピュータ端末装置のファイルシステムドライバに対して要求されるファイルアクセス要求の不正性を監視し、ファイルアクセス要求の不正性を検知したときは、不正性のファイルアクセス要求をファイルシステムドライバに通知しないようにしたので、ウィルスやワームの特徴を記したパタンファイルに依存せずに、未知のウィルスやワームを検知し、被害拡大を阻止し、ウィルスやワームの感染行動を遮断することができる。
実施の形態1.
以下、本発明の実施の形態1について図を参照して説明する。
図1は、この発明の実施の形態1によるコンピュータ端末装置のウィルス監視対処方式を示すシステム構成図である。
図1において、パーソナルコンピュータなどのコンピュータ端末装置TMは、ネットワークNTWに接続されている。コンピュータ端末装置TMは、一般的に、ネットワークNTWからのパケットを処理するプロトコルスタックPRSと、Webサービスやメールサービスを提供するアプリケーションAPPと、アプリケーションAPPからの入出力要求を処理するI/OマネージャIOM(入出力マネージャ)と、I/OマネージャIOMからのファイルアクセス要求を受けて、論理的なファイルシステム処理を行うファイルシステムドライバFADと、このファイルシステムドライバFADからのディスクアクセス指示を受けて、実際のディスクデバイスDDVへのファイルアクセスを行うデバイスドライバDDRとにより構成される。
なお、プロトコルスタックPRSとI/OマネージャIOMとファイルシステムドライバFADとデバイスドライバDDRとは、オペレーティングシステムの一部である。オペレーティングシステムは、この他、パケット組立て機能や、TCP/IP通信を行うためのプログラムモジュールであるSocket通信機能を持っている。
図1では、I/OマネージャIOMとファイルシステムドライバFADの間に、I/OマネージャIOMからファイルシステムドライバFADへのファイルアクセス要求を監視するコンピュータウィルス監視プログラムを有するファイルシステムアクセス監視フィルタFAFを設けている。
図2は、この発明の実施の形態1によるコンピュータ端末装置のファイルシステムアクセス監視フィルタのコンピュータウィルス監視プログラムの処理ステップを示すフローチャートである。
以下、本発明の実施の形態1について図を参照して説明する。
図1は、この発明の実施の形態1によるコンピュータ端末装置のウィルス監視対処方式を示すシステム構成図である。
図1において、パーソナルコンピュータなどのコンピュータ端末装置TMは、ネットワークNTWに接続されている。コンピュータ端末装置TMは、一般的に、ネットワークNTWからのパケットを処理するプロトコルスタックPRSと、Webサービスやメールサービスを提供するアプリケーションAPPと、アプリケーションAPPからの入出力要求を処理するI/OマネージャIOM(入出力マネージャ)と、I/OマネージャIOMからのファイルアクセス要求を受けて、論理的なファイルシステム処理を行うファイルシステムドライバFADと、このファイルシステムドライバFADからのディスクアクセス指示を受けて、実際のディスクデバイスDDVへのファイルアクセスを行うデバイスドライバDDRとにより構成される。
なお、プロトコルスタックPRSとI/OマネージャIOMとファイルシステムドライバFADとデバイスドライバDDRとは、オペレーティングシステムの一部である。オペレーティングシステムは、この他、パケット組立て機能や、TCP/IP通信を行うためのプログラムモジュールであるSocket通信機能を持っている。
図1では、I/OマネージャIOMとファイルシステムドライバFADの間に、I/OマネージャIOMからファイルシステムドライバFADへのファイルアクセス要求を監視するコンピュータウィルス監視プログラムを有するファイルシステムアクセス監視フィルタFAFを設けている。
図2は、この発明の実施の形態1によるコンピュータ端末装置のファイルシステムアクセス監視フィルタのコンピュータウィルス監視プログラムの処理ステップを示すフローチャートである。
次に動作について説明する。
コンピュータ端末装置TMにおいて、アプリケーションAPPやオペレーティングシステムがその固有の脆弱性を突かれて、ネットワークNTWからウィルスやワームの感染攻撃を受けた場合、通常、ファイルシステムドライバFADに対して、不正性のファイルアクセスが発生する。また、感染したコンピュータ端末装置TMから他のコンピュータ端末装置へネットワークNTW経由でウィルスやワームが拡散する場合も、通常、ファイルシステムドライバFADに対して、不正プログラムの起動等の不正性ファイルアクセスが発生する。
これに対処するために、実施の形態1では、I/OマネージャIOMとファイルシステムドライバFADの間にファイルシステムアクセス監視フィルタFAFを設置し、I/OマネージャIOMからファイルシステムドライバFADへのファイルアクセス要求をフックし、その要求内容を監視するようにした。
コンピュータ端末装置TMにおいて、アプリケーションAPPやオペレーティングシステムがその固有の脆弱性を突かれて、ネットワークNTWからウィルスやワームの感染攻撃を受けた場合、通常、ファイルシステムドライバFADに対して、不正性のファイルアクセスが発生する。また、感染したコンピュータ端末装置TMから他のコンピュータ端末装置へネットワークNTW経由でウィルスやワームが拡散する場合も、通常、ファイルシステムドライバFADに対して、不正プログラムの起動等の不正性ファイルアクセスが発生する。
これに対処するために、実施の形態1では、I/OマネージャIOMとファイルシステムドライバFADの間にファイルシステムアクセス監視フィルタFAFを設置し、I/OマネージャIOMからファイルシステムドライバFADへのファイルアクセス要求をフックし、その要求内容を監視するようにした。
ファイルシステムアクセス監視フィルタFAFは、上述のように、I/OマネージャIOMからファイルシステムドライバFADへのファイルアクセス要求をフックし、主にウィルスやワームの感染、拡散行動に特有のファイルアクセス要求か否かの監視を行う。
この特有のファイルアクセス要求か否かの監視は、次の(1)〜(4)の事項について行う。
(1)レジストリ(Windows(登録商標)レジストリ)ファイルの変更指示要求。
(2)新規プロセスファイルの起動指示要求。
(a)コマンド実行可能プロセス(cmd.com等)ファイル(コマンド実行可能プログラム)の起動指示要求。
(b)ファイル転送可能プロセス(tftp.exe等)ファイル(ファイル転送プログラム)の起動指示要求。
(c)登録実行ファイル(実行許可登録プログラム)以外の実行ファイルの起動指示要求。
(3)リモートファイルダウンロードによるファイル書込み指示要求。
(4)DLL(Windows(登録商標)DynamicLinkLibrary)ファイルの起動指示要求。
(a)コマンド実行可能DLLファイルの起動指示要求。
(b)登録DLLファイル(実行許可登録DLL)以外のDLLファイルの起動指示要求。
がそれである。
ファイルシステムアクセス監視フィルタFAFは、上記(1)〜(4)のファイルアクセス要求を、I/OマネージャIOMから受けた場合には、不正性のファイルアクセス要求と検知(判断)し、ファイルシステムアクセス監視フィルタFAFで、そのファイルアクセス要求をファイルシステムドライバFADへ通知せずに、破棄する。
この特有のファイルアクセス要求か否かの監視は、次の(1)〜(4)の事項について行う。
(1)レジストリ(Windows(登録商標)レジストリ)ファイルの変更指示要求。
(2)新規プロセスファイルの起動指示要求。
(a)コマンド実行可能プロセス(cmd.com等)ファイル(コマンド実行可能プログラム)の起動指示要求。
(b)ファイル転送可能プロセス(tftp.exe等)ファイル(ファイル転送プログラム)の起動指示要求。
(c)登録実行ファイル(実行許可登録プログラム)以外の実行ファイルの起動指示要求。
(3)リモートファイルダウンロードによるファイル書込み指示要求。
(4)DLL(Windows(登録商標)DynamicLinkLibrary)ファイルの起動指示要求。
(a)コマンド実行可能DLLファイルの起動指示要求。
(b)登録DLLファイル(実行許可登録DLL)以外のDLLファイルの起動指示要求。
がそれである。
ファイルシステムアクセス監視フィルタFAFは、上記(1)〜(4)のファイルアクセス要求を、I/OマネージャIOMから受けた場合には、不正性のファイルアクセス要求と検知(判断)し、ファイルシステムアクセス監視フィルタFAFで、そのファイルアクセス要求をファイルシステムドライバFADへ通知せずに、破棄する。
次に、このファイルシステムアクセス監視フィルタFAFのコンピュータウィルス監視プログラムの処理ステップを図2により説明する。
まず、レジストリファイルの変更指示であるかどうかをチェックする(ステップS1)。そうであれば、不正性ファイルアクセスを検知(判断)し(ステップS8)、この指示を破棄する(ステップS9)。
ステップS1で、レジストリファイルの変更指示でなければ、コマンド実行可能プログラム、ファイル転送プログラムなどの新規プロセスファイルの起動指示であるかどうかをチェックし、そうであれば、不正性ファイルアクセスを検知(判断)し(ステップS8)、この指示を破棄し(ステップS9)、そうでなければ、実行許可登録プログラムの起動指示かどうかを、予め設定された実行許可プログラムテーブルを参照してチェックする(ステップS3)。
この結果、実行許可登録プログラム以外のプログラムの起動指示の場合には、不正性ファイルアクセスを検知(判断)し(ステップS8)、この指示を破棄する(ステップS9)。また、実行許可登録プログラムの起動指示であれば、次のステップを実行する。
ステップS4では、リモートファイルダウンロードによるファイル書込み指示かどうかをチェックし、そうであれば、不正性ファイルアクセスを検知(判断)し(ステップS8)、この指示を破棄し(ステップS9)、そうでなければ、DLLファイルの起動指示かどうかを、予め設定された実行許可DLLテーブルを参照してチェックする(ステップS5)。このチェックで、実行許可登録DLLでなければ、不正性ファイルアクセスを検知(判断)し(ステップS8)、この指示を破棄する(ステップS9)。実行許可登録DLLであれば、不正性ファイルアクセスでないと判断し(ステップS6)、当該指示をファイルシステムドライバFADへ通知する(ステップS7)。
これにより、ウィルスやワームのコンピュータ端末装置TMに対する感染行動やコンピュータ端末装置TMから他のコンピュータ端末装置へのネットワーク経由の拡散行動を阻止することが可能となる。
まず、レジストリファイルの変更指示であるかどうかをチェックする(ステップS1)。そうであれば、不正性ファイルアクセスを検知(判断)し(ステップS8)、この指示を破棄する(ステップS9)。
ステップS1で、レジストリファイルの変更指示でなければ、コマンド実行可能プログラム、ファイル転送プログラムなどの新規プロセスファイルの起動指示であるかどうかをチェックし、そうであれば、不正性ファイルアクセスを検知(判断)し(ステップS8)、この指示を破棄し(ステップS9)、そうでなければ、実行許可登録プログラムの起動指示かどうかを、予め設定された実行許可プログラムテーブルを参照してチェックする(ステップS3)。
この結果、実行許可登録プログラム以外のプログラムの起動指示の場合には、不正性ファイルアクセスを検知(判断)し(ステップS8)、この指示を破棄する(ステップS9)。また、実行許可登録プログラムの起動指示であれば、次のステップを実行する。
ステップS4では、リモートファイルダウンロードによるファイル書込み指示かどうかをチェックし、そうであれば、不正性ファイルアクセスを検知(判断)し(ステップS8)、この指示を破棄し(ステップS9)、そうでなければ、DLLファイルの起動指示かどうかを、予め設定された実行許可DLLテーブルを参照してチェックする(ステップS5)。このチェックで、実行許可登録DLLでなければ、不正性ファイルアクセスを検知(判断)し(ステップS8)、この指示を破棄する(ステップS9)。実行許可登録DLLであれば、不正性ファイルアクセスでないと判断し(ステップS6)、当該指示をファイルシステムドライバFADへ通知する(ステップS7)。
これにより、ウィルスやワームのコンピュータ端末装置TMに対する感染行動やコンピュータ端末装置TMから他のコンピュータ端末装置へのネットワーク経由の拡散行動を阻止することが可能となる。
実施の形態1によれば、ウィルスやワームの特徴を記したパタンファイルに依存せずに、「未知」のウィルスやワームを検知し、被害拡大を阻止するため、ウィルスやワームの感染行動を遮断することができ、0−DayAttackウィルスや公にウィルスと認知されないマイナーなウィルス等から、情報システムが被害を受けることを阻止することが可能となる。
実施の形態2.
図3は、この発明の実施の形態2によるコンピュータ端末装置のウィルス監視対処方式を示すシステム構成図である。
図3において、TM、APP、PRS、IOM、FAF、FAD、DDR、DDVは図1におけるものと同一のものである。図3では、図1のコンピュータ端末装置TMの構成に、不正性のファイルアクセス要求を検知した場合に、そのファイルアクセス要求を誘導する、仮想ファイルシステムドライバVFAD、仮想デバイスドライバVDDR、囮ディスクデバイスVDDVを設けると共に、仮想ファイルシステムドライバVFADの指示により、不正性のファイルアクセス要求及びその動作内容を記録するファイルシステムアクセス記録手段VFADLを付加している。
図3は、この発明の実施の形態2によるコンピュータ端末装置のウィルス監視対処方式を示すシステム構成図である。
図3において、TM、APP、PRS、IOM、FAF、FAD、DDR、DDVは図1におけるものと同一のものである。図3では、図1のコンピュータ端末装置TMの構成に、不正性のファイルアクセス要求を検知した場合に、そのファイルアクセス要求を誘導する、仮想ファイルシステムドライバVFAD、仮想デバイスドライバVDDR、囮ディスクデバイスVDDVを設けると共に、仮想ファイルシステムドライバVFADの指示により、不正性のファイルアクセス要求及びその動作内容を記録するファイルシステムアクセス記録手段VFADLを付加している。
次に、動作について説明する。
囮ディスクデバイスVDDVは、ディスクデバイスDDVのディスク内容を一方向ミラーリングし、ディスクデバイスDDVと同一ディスク環境(オペレーティングシステムファイルやWebアプリケーション等のアプリケーションファイルの環境)を構築する。
実施の形態1で述べた、ウィルスやワームの感染拡散行動に特有のファイルアクセス要求を検知した場合に、実施の形態2では、そのファイルアクセス要求を破棄せず、仮想ファイルシステムドライバVFADへそのファイルアクセス要求を通知する。
仮想ファイルシステムドライバVFADでは、以降の仮想デバイスドライバVDDRへディスクアクセスの指示を行い、囮ディスクデバイスVDDVを対象に実際のファイルアクセスを行わせる。
囮ディスクデバイスVDDVは、ディスクデバイスDDVのディスク内容を一方向ミラーリングし、ディスクデバイスDDVと同一ディスク環境(オペレーティングシステムファイルやWebアプリケーション等のアプリケーションファイルの環境)を構築する。
実施の形態1で述べた、ウィルスやワームの感染拡散行動に特有のファイルアクセス要求を検知した場合に、実施の形態2では、そのファイルアクセス要求を破棄せず、仮想ファイルシステムドライバVFADへそのファイルアクセス要求を通知する。
仮想ファイルシステムドライバVFADでは、以降の仮想デバイスドライバVDDRへディスクアクセスの指示を行い、囮ディスクデバイスVDDVを対象に実際のファイルアクセスを行わせる。
この時、仮想ファイルシステムドライバVFADでは、次の(1)〜(3)を行う。
すなわち、(1)ファイルシステムアクセス監視フィルタFAFからの囮ディスクデバイスVDDVに対するファイル変更、書込み指示を許可する。(2)囮ディスクデバイスVDDVからの実行ファイル(ディスクデバイスDDV)起動の禁止。(3)ファイルシステムアクセス監視フィルタFAFからのファイルアクセス要求の記録指示を行い、ファイルシステムアクセス記録手段VFADLにより記録する。
これにより、ウィルスやワームの感染や拡散に関する不正性のファイルアクセス要求や、その囮ディスクデバイスVDDVでの動作内容などの動作履歴を記録することが可能となる。同時に、囮ディスクデバイスVDDVからの実行ファイルの起動禁止により、誤って仮想ファイルシステムドライバVFADからウィルスやワームが拡散しないようにしている。
すなわち、(1)ファイルシステムアクセス監視フィルタFAFからの囮ディスクデバイスVDDVに対するファイル変更、書込み指示を許可する。(2)囮ディスクデバイスVDDVからの実行ファイル(ディスクデバイスDDV)起動の禁止。(3)ファイルシステムアクセス監視フィルタFAFからのファイルアクセス要求の記録指示を行い、ファイルシステムアクセス記録手段VFADLにより記録する。
これにより、ウィルスやワームの感染や拡散に関する不正性のファイルアクセス要求や、その囮ディスクデバイスVDDVでの動作内容などの動作履歴を記録することが可能となる。同時に、囮ディスクデバイスVDDVからの実行ファイルの起動禁止により、誤って仮想ファイルシステムドライバVFADからウィルスやワームが拡散しないようにしている。
また、ファイルシステムアクセス記録手段VFADLにより記録されたアクセス履歴は、日時、要求プロセス名、アクセス対象ファイル、アクセス要求指示内容等の項目で分類整理し、感染行動や拡散行動におけるファイルアクセス要求の時系列履歴を抽出可能とする。
これにより、ウィルスやワームの感染、拡散時の特徴的なアクセスファイル名やその変更、追加、削除等の特徴的動作を早期に明確化することができ、未知ウィルスやワームに感染したか否かを各端末で、検査確認するポイント情報も早期に提供することが可能となる。
これにより、ウィルスやワームの感染、拡散時の特徴的なアクセスファイル名やその変更、追加、削除等の特徴的動作を早期に明確化することができ、未知ウィルスやワームに感染したか否かを各端末で、検査確認するポイント情報も早期に提供することが可能となる。
実施の形態2によれば、全ての端末が実施の形態1の監視対処方式を導入すれば、未知のウィルスやワームのネットワーク上ので感染被害拡大の阻止は可能であるが、現実的に全ての端末がこの監視対処方式を導入しているとは限らない場合が想定され、その場合の対応として、未知のウィルスやワームの感染行動を即時に安全に記録し、その特徴を分析し、より効果的に対処へつなげるための特徴情報を抽出することが可能となる。
このため、各端末のパーソナルファイアウォールなどに対しては、遮断ポート情報を提供することが可能となり、さらには、未知ウィルスやワームに感染したか否かを各端末で、検査確認するポイント情報も提供することが可能となり、ネットワークシステム全体として早期に未知ウィルスやワームに対して対処を行い、被害拡大を阻止することが可能となる。
また、パタンファイル監視方式に対しては、新規パタンファイルを生成する材料となる、感染行動情報を提供することが可能となる。
このため、各端末のパーソナルファイアウォールなどに対しては、遮断ポート情報を提供することが可能となり、さらには、未知ウィルスやワームに感染したか否かを各端末で、検査確認するポイント情報も提供することが可能となり、ネットワークシステム全体として早期に未知ウィルスやワームに対して対処を行い、被害拡大を阻止することが可能となる。
また、パタンファイル監視方式に対しては、新規パタンファイルを生成する材料となる、感染行動情報を提供することが可能となる。
APP アプリケーション
DDR デバイスドライバ
DDV ディスクデバイス
FAD ファイルシステムドライバ
FAF ファイルシステムアクセス監視フィルタ
IOM I/Oマネージャ
NTW ネットワーク
PRS プロトコルスタック
TM コンピュータ端末装置
VDDR 仮想デバイスドライバ
VDDV 囮ディスクデバイス
VFAD 仮想ファイルシステムドライバ
VFADL ファイルシステムアクセス記録手段
DDR デバイスドライバ
DDV ディスクデバイス
FAD ファイルシステムドライバ
FAF ファイルシステムアクセス監視フィルタ
IOM I/Oマネージャ
NTW ネットワーク
PRS プロトコルスタック
TM コンピュータ端末装置
VDDR 仮想デバイスドライバ
VDDV 囮ディスクデバイス
VFAD 仮想ファイルシステムドライバ
VFADL ファイルシステムアクセス記録手段
Claims (4)
- コンピュータ端末装置の入出力マネージャから上記コンピュータ端末装置のファイルシステムドライバに対して要求されるファイルアクセス要求の不正性を監視し、上記ファイルアクセス要求の不正性を検知したときは、上記不正性のファイルアクセス要求を上記ファイルシステムドライバに通知しないようにしたことを特徴とするコンピュータウィルス監視プログラム。
- 上記入出力マネージャから上記ファイルシステムドライバに対して要求されるファイルアクセス要求について、上記ファイルアクセス要求がレジストリファイルの変更指示かどうかをチェックするステップ、上記ファイルアクセス要求が新規プロセスファイルの起動指示かどうかをチェックするステップ、上記ファイルアクセス要求がリモートファイルダウンロードによるファイル書込み指示かどうかをチェックするステップ、及び上記ファイルアクセス要求がDLLファイルの起動指示かどうかをチェックするステップを含み、上記各ステップにより上記ファイルアクセス要求の不正性を監視することを特徴とする請求項1記載のコンピュータウィルス監視プログラム。
- 利用者にサービスを提供するアプリケーションと、このアプリケーションからの入出力要求を処理する入出力マネージャと、この入出力マネージャからのファイルアクセス要求を受けてファイルアクセス処理を行うファイルシステムドライバと、ファイルを格納したディスクデバイスと、上記ファイルシステムドライバからのディスクアクセス指示により上記ディスクデバイスに対して実際のファイルアクセスを行うデバイスドライバとを有するコンピュータ端末装置において、上記入出力マネージャと上記ファイルシステムドライバの間に配置された請求項1または請求項2記載のコンピュータウィルス監視プログラムを有するファイルシステムアクセス監視フィルタを備えたことを特徴とするコンピュータ端末装置。
- 上記ディスクデバイスと同じディスク環境を有する囮ディスクデバイス、この囮ディスクデバイスへの実際のファイルアクセスを行う仮想デバイスドライバ、ファイルアクセス要求を受けてファイルアクセス処理を行い、上記仮想デバイスドライバに上記囮ディスクデバイスへのディスクアクセス指示を行う仮想ファイルシステムドライバ、及びこの仮想ファイルシステムドライバの指示により、上記不正性のファイルアクセス要求を記録するファイルシステムアクセス記録手段を備え、上記コンピュータウィルス監視プログラムは、上記不正性のファイルアクセス要求を検知したときは、上記仮想ファイルシステムドライバへ上記不正性のファイルアクセス要求を通知し、上記仮想ファイルシステムドライバは、上記不正性のファイルアクセス要求を受けて上記仮想デバイスドライバに上記囮ディスクデバイスへのディスクアクセス指示を行い、上記ファイルシステムアクセス記録手段は、上記不正性のファイルアクセス要求及びこの不正性のファイルアクセス要求に基づく上記囮ディスクデバイスでの動作内容を記録することを特徴とする請求項3記載のコンピュータ端末装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005088854A JP2006268687A (ja) | 2005-03-25 | 2005-03-25 | コンピュータウィルス監視プログラム及びこれを用いたコンピュータ端末装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005088854A JP2006268687A (ja) | 2005-03-25 | 2005-03-25 | コンピュータウィルス監視プログラム及びこれを用いたコンピュータ端末装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2006268687A true JP2006268687A (ja) | 2006-10-05 |
Family
ID=37204551
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005088854A Withdrawn JP2006268687A (ja) | 2005-03-25 | 2005-03-25 | コンピュータウィルス監視プログラム及びこれを用いたコンピュータ端末装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2006268687A (ja) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010182020A (ja) * | 2009-02-04 | 2010-08-19 | Kddi Corp | 不正検知装置およびプログラム |
| JP2011501278A (ja) * | 2007-10-15 | 2011-01-06 | ベイジン ライジング インフォメーション テクノロジー カンパニー、リミテッド | コンピュータにおける悪意プログラム自動保護方法及び装置 |
| WO2011120282A1 (zh) * | 2010-04-02 | 2011-10-06 | 中兴通讯股份有限公司 | 一种应急切换的方法和系统 |
| JP2011233081A (ja) * | 2010-04-30 | 2011-11-17 | Kddi Corp | アプリケーション判定システムおよびプログラム |
| JP2013168141A (ja) * | 2012-01-31 | 2013-08-29 | Trusteer Ltd | マルウェアの検出方法 |
| KR101375656B1 (ko) | 2012-08-13 | 2014-03-18 | 주식회사 안랩 | 프로그램 보호 장치 및 프로그램 보호 방법 |
| WO2022239331A1 (ja) * | 2021-05-12 | 2022-11-17 | 日立Astemo株式会社 | 電子制御装置及び異常判定方法 |
-
2005
- 2005-03-25 JP JP2005088854A patent/JP2006268687A/ja not_active Withdrawn
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011501278A (ja) * | 2007-10-15 | 2011-01-06 | ベイジン ライジング インフォメーション テクノロジー カンパニー、リミテッド | コンピュータにおける悪意プログラム自動保護方法及び装置 |
| JP2010182020A (ja) * | 2009-02-04 | 2010-08-19 | Kddi Corp | 不正検知装置およびプログラム |
| WO2011120282A1 (zh) * | 2010-04-02 | 2011-10-06 | 中兴通讯股份有限公司 | 一种应急切换的方法和系统 |
| JP2011233081A (ja) * | 2010-04-30 | 2011-11-17 | Kddi Corp | アプリケーション判定システムおよびプログラム |
| JP2013168141A (ja) * | 2012-01-31 | 2013-08-29 | Trusteer Ltd | マルウェアの検出方法 |
| KR101375656B1 (ko) | 2012-08-13 | 2014-03-18 | 주식회사 안랩 | 프로그램 보호 장치 및 프로그램 보호 방법 |
| WO2022239331A1 (ja) * | 2021-05-12 | 2022-11-17 | 日立Astemo株式会社 | 電子制御装置及び異常判定方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7460696B2 (ja) | カーネルモードにおけるマルウェアおよびステガノグラフィのリアルタイム検出ならびにマルウェアおよびステガノグラフィからの保護 | |
| US9542556B2 (en) | Malware family identification using profile signatures | |
| EP3113063B1 (en) | System and method for detecting malicious code in random access memory | |
| Crandall et al. | On deriving unknown vulnerabilities from zero-day polymorphic and metamorphic worm exploits | |
| KR101445634B1 (ko) | 프로그램의 취약점을 이용한 공격의 탐지 장치 및 방법 | |
| US9418227B2 (en) | Detecting malicious software | |
| US8561190B2 (en) | System and method of opportunistically protecting a computer from malware | |
| US7334264B2 (en) | Computer virus generation detection apparatus and method | |
| US7530106B1 (en) | System and method for security rating of computer processes | |
| US7607041B2 (en) | Methods and apparatus providing recovery from computer and network security attacks | |
| US9336390B2 (en) | Selective assessment of maliciousness of software code executed in the address space of a trusted process | |
| JP6455738B2 (ja) | パッチファイル分析システム | |
| US9129111B2 (en) | Computer protection against malware affection | |
| US7934261B1 (en) | On-demand cleanup system | |
| JP5326062B1 (ja) | 非実行ファイル検査装置及び方法 | |
| US7657941B1 (en) | Hardware-based anti-virus system | |
| US7845008B2 (en) | Virus scanner for journaling file system | |
| US7533413B2 (en) | Method and system for processing events | |
| CN110119619B (zh) | 创建防病毒记录的系统和方法 | |
| JP4995170B2 (ja) | 不正検知方法、不正検知装置、不正検知プログラムおよび情報処理システム | |
| JP2006268687A (ja) | コンピュータウィルス監視プログラム及びこれを用いたコンピュータ端末装置 | |
| RU101233U1 (ru) | Система ограничения прав доступа к ресурсам на основе расчета рейтинга опасности | |
| US20060015939A1 (en) | Method and system to protect a file system from viral infections | |
| EP1507382B1 (en) | Detecting and blocking drive sharing worms | |
| KR101047382B1 (ko) | 악성코드를 역이용한 파일 탈취 방지 방법 및 시스템, 및 기록 매체 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080311 |
|
| A761 | Written withdrawal of application |
Free format text: JAPANESE INTERMEDIATE CODE: A761 Effective date: 20100729 |