JP2010527074A - マルウェア検出のための信頼できる動作環境 - Google Patents

マルウェア検出のための信頼できる動作環境 Download PDF

Info

Publication number
JP2010527074A
JP2010527074A JP2010507568A JP2010507568A JP2010527074A JP 2010527074 A JP2010527074 A JP 2010527074A JP 2010507568 A JP2010507568 A JP 2010507568A JP 2010507568 A JP2010507568 A JP 2010507568A JP 2010527074 A JP2010527074 A JP 2010527074A
Authority
JP
Japan
Prior art keywords
virus
computing device
signature
storage medium
removable
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2010507568A
Other languages
English (en)
Other versions
JP5327757B2 (ja
Inventor
キルナニ レシュマ
エヌ.アイバーソン クリストファー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Corp
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of JP2010527074A publication Critical patent/JP2010527074A/ja
Application granted granted Critical
Publication of JP5327757B2 publication Critical patent/JP5327757B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Stored Programmes (AREA)
  • Storage Device Security (AREA)

Abstract

マルウェアに関してコンピューティングデバイスをスキャンするための技術および装置について記載する。1つの実装形態では、信頼できるオペレーティングシステムと、信頼できるウィルス対策ツールとを含む信頼できる動作環境が、取り外し可能なデータ記憶媒体上で具現化される。次いでコンピューティングデバイスが、信頼できるオペレーティングシステムを使用して取り外し可能なデータ記憶媒体から起動される。信頼できるウィルス対策ツールが、マルウェアの定義の更新(例えば、ウィルスシグネチャの更新)に関してコンピューティングデバイスを検索し、信頼できるオペレーティングシステムを使用して、マルウェアに関してコンピューティングデバイスをスキャンする。他の実装形態では、コンピューティングデバイスが、取り外し可能なデバイス上の信頼できるオペレーティングシステムから起動され、取り外し可能なデバイス上の信頼できるウィルス対策ツールが、マルウェアに関してコンピューティングデバイスをスキャンする。取り外し可能なデバイスは、更新に関してコンピューティングデバイスまたはリモートリソースを検索し、探し出される任意の更新を認証することによって、それ自体の内部コンポーネント(例えば、ウィルスシグネチャおよびウィルス対策ツール)を更新することができる。

Description

コンピュータセキュリティは、今日の技術主導の文化の中で重大な懸念事項である。
コンピュータのセキュリティの侵害は、コンピュータがウィルスおよび他の形式の悪意のあるソフトウェア(マルウェア)に感染しているときに生じうる。この種の感染は、例えばマルウェアに感染したファイル(例えば、電子メール)がダウンロードされて開かれるときに生じうる、または感染は、マルウェアがいかなる直接のユーザ介入もなしにネットワークを介してコンピュータにアクセスするときに生じうる。いずれの場合でも、これらのセキュリティの脅威の蔓延は、コンピュータに利用できる多種多様のセキュリティ関連のツールをもたらしている。これらのツールの例は、ウィルス対策プログラム、アドウェアスキャナ、ファイアウォールなどを含む。これらのツールの可用性にもかかわらず、コンピュータは、依然としてマルウェアに感染している。
マルウェア感染の永続性に関する1つの理由は、あるマルウェアがセキュリティツールから隠れる能力があることである。マルウェアは、概して言えば、コンピュータのオペレーティングシステムからプロセス、ファイルまたはシステムデータを実行することを隠すものである1組のソフトウェアツールであるルートキットの使用により多くのセキュリティツールから隠れることができる。ルートキットは、コンピュータのシステム内で非常に低くそれ自体を接続し(例えば、カーネルレベルで)、コンピュータのオペレーティングシステムおよび他のアプリケーションがコンピュータ上で実行する間に使用する主要のシステムサービスを妨害しうる。一例では、コンピュータ上に存在するウィルス対策ツールが、ウィルスに関してコンピュータのハードディスクをスキャンする。スキャンプロセスの一部としてコンピュータのオペレーティングシステムは、あるファイルに対して「ファイルを開く」呼出しなどの1つまたは複数の機能呼出しを行う。しかし、コンピュータ上に存在するマルウェアは、ルートキットを使用して「ファイルを開く」呼出しを妨害し、「ファイルが見つからない」エラーを戻しうるまたは誤ったファイルを戻しうる。したがってウィルス対策ツールは、要求されたファイルにアクセスすることができず、ウィルス感染に関して要求されたファイルをチェックすることができない。要求されたファイルがウィルスに感染している場合、感染は未検出のままである。
マルウェアに関してコンピューティングデバイスをスキャンするための技術および装置について記載する。1つの実装形態では、信頼できるオペレーティングシステムと、信頼できるウィルス対策ツールとを含む信頼できる動作環境が、リムーバブルデータ記憶媒体上で具現化される。次いでコンピューティングデバイスが、信頼できるオペレーティングシステムを使用して取り外し可能なデータ記憶媒体から起動される。信頼できるウィルス対策ツールが、マルウェアの定義の更新(例えば、ウィルスシグネチャの更新)に関してコンピューティングデバイスを検索し、信頼できるオペレーティングシステムと対話して、マルウェアに関してコンピューティングデバイスをスキャンする。他の実装形態は、マイクロコントローラを有するユニバーサルシリアルバス(USB)ドライブなどの取り外し可能なデバイスを使用して、信頼できる動作環境を保存する。コンピューティングデバイスが、信頼できるオペレーティングシステムを使用して起動され、信頼できるウィルス対策ツールが、マルウェアに関してコンピューティングデバイスをスキャンする。取り外し可能なデバイスは、更新に関してコンピューティングデバイスまたはリモートリソースを検索し、探し出される任意の更新を認証することによって、それ自体の内部コンポーネント(例えば、ウィルスシグネチャおよびウィルス対策ツール)を更新することができる。
この要約は、「発明を実施するための形態」にて下記でさらに説明される概念の選択を簡略化された形で紹介するために提供されている。この要約は、特許請求された内容の重要な特徴または不可欠な特徴を識別するものではなく、特許請求された内容の範囲を判定する助けとして使用されるものでもない。
詳細な説明が添付図面を参照して説明される。図面内では参照番号の1つまたは複数の最左の桁は、参照番号が最初に現れる図面を識別する。様々な図面内の同一の参照番号の使用は類似の項目または同一の項目を示す。
マルウェアに関してコンピューティングデバイスをスキャンする技術を実現するための例示のアーキテクチャおよび取り外し可能なデータ記憶媒体を示す図である。 マルウェアに関してコンピューティングデバイスをスキャンする技術を実現するための例示のアーキテクチャおよび取り外し可能なデバイスを示す図である。 マルウェアの更新を検索し、マルウェアに関してコンピューティングデバイスをスキャンするための例示のプロセスの流れ図である。 マルウェアに関してコンピューティングデバイスをスキャンし、取り外し可能なデバイスのコンポーネントを更新するための例示のプロセスの流れ図である。 取り外し可能なデバイスのコンポーネントの更新を認証するための例示のプロセスの流れ図である。 ファイル記憶装置を安全にするための例示のプロセスの流れ図である。
本明細書に記載の装置および技術は、ウィルスおよび他の形式の悪意のあるソフトウェア(マルウェア)に関してコンピューティングデバイスをスキャンして、任意のこの種のエンティティを駆除することができる信頼できる動作環境を提供する。本明細書では用語「ウィルス」および「マルウェア」は互換的に使用され、概して両方とも所有者の説明に基づく同意なしにコンピュータシステムに侵入するおよび/または損害を与えるように設計されているコンピュータコードの集合体を意味する。マルウェアの他の例は、トロイの木馬、ワーム、スパイウェアなどを含む。信頼できる動作環境は、ソフトウェアまたはハードウェアの製造業者などの信頼できる機関によって生成され、次いでコンピューティングデバイスとインターフェースされることができる装置またはコンピュータ可読媒体上で具現化される。信頼できる動作環境に対する無許可のアクセスは、信頼できるデータだけが信頼できる動作環境にアクセスすることができる読取り専用媒体、認証プロトコル、およびマイクロコントローラの使用により防止される。本明細書で使用される際、認証という用語は、通信またはデータファイルの源であるエンティティの識別情報を検証し、その通信もしくはデータファイルが無許可のエンティティによって改ざんされていないことまたは容認できないほどに変更されていないことを保証するために実施することができる任意の適切な方法またはプロトコルを意味する。
一例では、信頼できる動作環境は信頼できるオペレーティングシステムおよび信頼できるウィルス対策ツールを含む。コンピューティングデバイスが、信頼できるオペレーティングシステムを使用して起動され、したがってコンピューティングデバイス上で隠れていることができるルートキットおよび他のマルウェアの問題を回避することができる。次いで信頼できるウィルス対策ツールが、コンピューティングデバイスをスキャンし、信頼できるオペレーティングシステムとのその対話がコンピューティングデバイスの状態を正確に反映することを保証されることができる。
例示のアーキテクチャ
図1は、説明されるプロセスおよび技術を実現することができるアーキテクチャ100を示す。アーキテクチャ100の一部としてコンピューティングデバイス102がある。デスクトップPCとして示されているがコンピューティングデバイス102は、例えば、サーバ、ノートブックまたはポータブルコンピュータ、ワークステーション、メインフレームコンピュータ、モバイル通信装置、PDA、エンターテイメントデバイス、セットトップボックス、インターネット機器、ゲーム機などを含む様々な従来のコンピューティングデバイスのうちのいずれかとして実現されることができる。
コンピューティングデバイス102は、限定されないが1つまたは複数のプロセッサ104、メモリ106、入力/出力(I/O)装置108(例えば、キーボードおよびマウス)、およびメモリ106に1つまたは複数のプロセッサ104を含む様々なコンポーネントを動作するように結合するシステムバス(図示せず)を含むことができる。コンピューティングデバイス102のメモリは、ランダムアクセスメモリ(RAM)などの揮発性メモリおよび/または読取り専用メモリ(ROM)もしくはフラッシュRAMなどの不揮発性メモリの形のコンピュータ可読媒体を含む。典型的にはメモリ106は、オペレーティングシステム110およびウィルス更新パッケージ112などのデータおよび/またはプログラムモジュールを含む。ウィルス更新パッケージ112の一部として、下記でより詳細に議論されることになるデジタル署名114およびウィルスシグネチャの更新116がある。
ウィルススキャンプロセスを実現するためにユーザは、取り外し可能なデータ記憶媒体118をコンピューティングデバイス102内にロードして、コンピューティングデバイスが取り外し可能な媒体を読み取ることができるようにする。取り外し可能なデータ記憶媒体118は、コンピューティングデバイスとインターフェースされ(例えば、それをディスクドライブの中に挿入することによって)、コンピューティングデバイスを解体する必要なしに除去されることができるデータ記憶媒体である。本明細書では取り外し可能なデータ記憶媒体118はコンパクトディスク(CD)またはデジタルバーサタイルディスク(DVD)として示されているが、任意の適切なコンピュータ可読の取り外し可能なデータ記憶媒体が、他の光学記憶媒体、フラッシュメモリ、磁気カセット、磁気テープ、磁気ディスク記憶装置もしくは他の磁気記憶装置、またはデータを保存するために使用されることができ、コンピュータによってアクセスされることができる他の任意の取り外し可能な記憶媒体を含んで使用されることができる。さらに取り外し可能なデータ記憶媒体118は、その上に含まれるデータおよびファイルが記憶媒体を感染させようとする感染したソース(例えば、コンピューティングデバイス102)からマルウェアによって感染されることができないように読取り専用媒体であってよい。
次いでユーザは、取り外し可能なデータ記憶媒体118からコンピューティングデバイス102を起動する。取り外し可能なデータ記憶媒体118は、説明されるプロセスを実現するためにデータならびに/またはプログラムモジュールおよびコンポーネントを保存する取り外し可能な媒体メモリ120を含む。概して本明細書で使用される用語「モジュール」または「コンポーネント」は、ソフトウェア、ファームウェア、またはソフトウェアとファームウェアとの組合せを表す。起動プロセスの一部としてコンピューティングデバイス102は、取り外し可能な媒体メモリ120から信頼できるオペレーティングシステム(OS)122をロードする。次いで信頼できるウィルス対策ツール124が、自動的にまたはユーザによる明示的な動作のいずれかによって取り外し可能な媒体メモリ120から起動される。
次いで信頼できるウィルス対策ツール124は、取り外し可能な媒体メモリ120上に保存されているウィルスシグネチャ126をロードする。ウィルスシグネチャ126は、ウィルスを識別するために使用される1組のウィルスの「指紋」である。例示のウィルスシグネチャは、ウィルスのコンピュータコードのすべてまたは一部のバイナリパターンである。また信頼できるウィルス対策ツール124は、コンピューティングデバイス102を検索し、取り外し可能な媒体メモリ120上に現在保存されていない任意のウィルスシグネチャを識別する。一例では信頼できるウィルス対策ツール124が、メモリ106上でウィルスシグネチャの更新116を含むウィルス更新パッケージ112を探し出す。ウィルスシグネチャの更新116は1つまたは複数のウィルスシグネチャを含み、ウィルスシグネチャの一部は取り外し可能なデータ記憶媒体118上に保存された任意のものと異なってよい(例えば、それらがより最近のカタログ化されたウィルスを識別することができる)。ウィルススキャンでウィルスシグネチャの更新116を使用する前に信頼できるウィルス対策ツール124は、認証ツール128を使用してウィルス更新パッケージ112の信頼性を検証する。
ウィルス更新パッケージ112を検証するおよび/または認証するために認証ツール128は、取り外し可能な媒体メモリ120からのルート証明書130を使用してデジタル署名114を認証する。概して言えばデジタル署名114は、ウィルス更新パッケージ112が信頼できる機関からのものであるかどうか、そして改ざんされていないかどうかを判定するためにルート証明書130と比較されるコード化されたメッセージまたは他部のデータである。一例ではデジタル署名114は、ウィルス更新パッケージ112の一部であるX.509証明書などのデジタル証明書の一部である。デジタル署名114が認証されていると判定される場合、信頼できるウィルス対策ツール124は、ウィルスシグネチャの更新を認証されたものとして指定し、ウィルスシグネチャの更新をロードする。この認証方法は、例のためだけに提供され、ウィルスシグネチャの更新が信頼できる機関からのものであることを検証するために、任意の適切な暗号、検証および/または認証のプロトコルを使用することができる。
次いで信頼できるウィルス対策ツール124は、コンピューティングデバイス102上で実行し、ウィルスシグネチャ126およびウィルス更新パッケージ112からの任意の認証されたウィルスシグネチャの更新を使用してウィルスに関してコンピューティングデバイス102をスキャンする。ウィルススキャンで信頼できるオペレーティングシステム122と対話することによってユーザは、ウィルススキャンプロセス中に行われたオペレーティングシステム呼出しが、要求されたファイルを正しく戻し、コンピューティングデバイス102の正確な説明を与えることを保証されることができる。
アーキテクチャ100にさらに付け加えるとコンピューティングデバイス102は、1つまたは複数のネットワーク132を使用してリモートリソース134にアクセスすることができる。1つまたは複数のネットワーク132は、限定されないがローカルエリアネットワーク(LAN)、ワイドエリアネットワーク(WAN)、およびメトロポリタンエリアネットワーク(MAN)を含むことができる。リモートリソース134は、webサーバ、サーバファーム、メインフレームコンピュータ、データセンタ、またはデータを保存するおよび/または送信することができる他の任意のリソースであってよい。したがって信頼できるウィルス対策ツール124は、コンピューティングデバイス102および1つまたは複数のネットワーク132を使用してリモートリソース134にアクセスし、リモートリソース上に存在する1つまたは複数のウィルスシグネチャの更新を識別しダウンロードすることができる。上記で議論されたように、リモートリソース134上で識別される任意のウィルスシグネチャの更新は認証されているであろう。
図2は、説明されるプロセスおよび技術ならびにその変形形態を実現することができる例示のアーキテクチャ200を示す。アーキテクチャ200は、図1で紹介されたコンピューティングデバイス102を含む。取り外し可能なデバイス202も示されている。本明細書では取り外し可能なデバイス202はユニバーサルシリアルバス(USB)デバイスとして示されているが、PCカード、スマートカード、ファイアワイアデバイスなどの任意の適切な取り外し可能なおよび/またはポータブルデバイスが使用されてよい。動作中、取り外し可能なデバイス202はコンピューティングデバイス102とインターフェースされ、コンピューティングデバイスは取り外し可能なデバイスから起動される。起動プロセスの一部としてコンピューティングデバイス102は、取り外し可能なデバイス202上のメモリ204にアクセスし、信頼できるオペレーティングシステム206をロードする。典型的にはメモリ204は、マイクロコントローラ216および/もしくはコンピューティングデバイス102によってすぐにアクセス可能であるならびに/または現在動作されている説明されるプロセスを実現するためのデータ、プログラムモジュールおよびコンポーネントを含む。
次いで信頼できるウィルス対策ツール208がメモリ204から起動され、信頼できるウィルス対策ツールはメモリ204からウィルスシグネチャ210をロードする。任意選択で信頼できるウィルス対策ツール208は、図1に対して上記で議論されたものと同様のプロセスを使用してコンピューティングデバイス102上でウィルスシグネチャの更新を探し出し認証することができる。次いで信頼できるウィルス対策ツール208は、ロードされたウィルスシグネチャを使用してウィルスに関してコンピューティングデバイス102をスキャンし始める。コンピューティングデバイス102上で実行している信頼できるオペレーティングシステム206と対話することによって信頼できるウィルス対策ツール208は、任意の記憶装置(例えば、ハードドライブ)、基本入力/出力システム(BIOS)、ハードウェア、ファームウェアなどを含んでコンピューティングデバイス102の完全なウィルススキャンを実行することができる。任意のウィルスが探し出される場合、ウィルスはコンピューティングデバイス102から除去される。次いでコンピューティングデバイス102は、それ自体の内部のオペレーティングシステムを使用してクリーン(clean)な動作環境内に再起動されることができる。
取り外し可能なデバイス202は、更新エージェント214およびマイクロコントローラ216を使用してそれ自体の内部コンポーネントを安全に更新する能力を有する。マイクロコントローラ216は、取り外し可能なデバイス202のある種の手順および動作を制御する必要があるコンポーネントを含む集積回路またはマイクロプロセッサである。図2に示されていないがマイクロコントローラ216のコンポーネントは、1つまたは複数のプロセッサ、1つまたは複数の形のメモリ(例えば、読取り専用メモリおよび/またはランダムアクセスメモリ)、入力/出力ポート、タイマなどを含む。
取り外し可能なデバイス202の任意のコンポーネントは、ウィルスシグネチャ210および信頼できるウィルス対策ツール208を含んで更新されることができる。更新プロセスの一部としてマイクロコントローラ216は、更新エージェント214を使用して1つまたは複数の取り外し可能なデバイスのコンポーネントの更新に関してコンピューティングデバイス102を検索することができる。またマイクロコントローラ216は、更新エージェント214を使用して所望のコンポーネントの更新を取得するためにコンピューティングデバイス102および1つまたは複数のネットワーク132を介してリモートリソース134にアクセスすることができる。任意のコンポーネントの更新が探し出される場合、認証ツール212は、任意の適切な認証および/または暗号のプロトコルを使用してコンポーネントの更新が信頼できる機関からのものであることを検証することができる。コンポーネントの更新が認証ツール212によって認証されていると判定される(すなわち、それが認証プロセスで合格する)場合、コンポーネントの更新はメモリ204に書き込まれる。そうでない場合、マイクロコントローラ216は、任意の無認証のおよび無許可のデータ(例えば、認証プロセスで合格していないコンポーネントの更新)がメモリ216上に書き込まれることを防止する。マイクロコントローラ216を「ゲートキーパ」として活用することによって取り外し可能なデバイス202は、その内部コンポーネントの信頼できる態様を維持しながら動的に更新されることができる。
例示のプロセス
図3は、ウィルススキャンを実行するための例示のプロセス300を示す。プロセス300は、ハードウェア、ソフトウェア、またはその組合せで実現されることができる動作のシーケンスを表す論理流れ図内のブロックの集合体として示されている。ソフトウェアの文脈ではブロックは、1つまたは複数のプロセッサによって実行されるとき、列挙された動作を実行するコンピュータ命令を表す。下記のプロセスは個々の動作に関して議論されるが、これは限定しているものではなく、いくつかの例では議論された動作は組み合わされることができる。議論のためにプロセス300は、図1に示されるアーキテクチャ100を参照して説明される。
302では、取り外し可能なデータ記憶媒体(取り外し可能なデータ記憶媒体118など)がコンピューティングデバイス内にロードされる。304ではコンピューティングデバイスが、取り外し可能なデータ記憶媒体上の信頼できる動作環境から起動される。この起動プロセスの一部として信頼できるオペレーティングシステムが、取り外し可能なデータ記憶媒体からコンピューティングデバイス上にロードされる。306では、信頼できるウィルス対策ツールが取り外し可能なデータ記憶媒体から起動される。動作306は、取り外し可能なデータ記憶媒体から信頼できるウィルス対策ツールを実行すること、または信頼できるウィルス対策ツールをコンピューティングデバイス上にロードし、そのツールをコンピューティングデバイスから実行することによって達成されることができる。308では信頼できるウィルス対策ツールは、コンピューティングデバイスを検索し、任意のウィルスシグネチャの更新を探し出す。ウィルスシグネチャの更新は、ウィルスシグネチャの更新および更新を認証するために使用されることができるデジタル署名を含むウィルス更新パッケージの一部であってよい。デジタル署名は、ウィルス更新パッケージの一部としてまたはコンピューティングデバイス上の他の場所に保存されるX.509証明書などの認証証明書の一部でありうる。また信頼できるウィルス対策ツールは、コンピューティングデバイスおよびネットワークを使用してウィルスシグネチャの更新に関してリモートリソースを検索することができる。任意のウィルスシグネチャの更新が探し出されるおよび/または識別される場合、310で更新は認証される。一例では動作310は、ウィルスシグネチャの更新が信頼できる機関からのものであるかどうかを判定するためにデジタル署名を処理することを含む。
312では信頼できるウィルス対策ツールは、任意の認証されたウィルスシグネチャの更新と共に取り外し可能なデータ記憶媒体上に保存されている任意のウィルスシグネチャをロードする。314では信頼できるウィルス対策ツールは、コンピューティングデバイス上にロードされた信頼できるオペレーティングシステムと対話してロードされたウィルスシグネチャと合致する任意のウィルスに関してコンピューティングデバイスをスキャンする。信頼できるウィルス対策ツールは、任意の記憶装置(例えば、ハードドライブ)、BIOS、ハードウェア、ファームウェアなどを含んでコンピューティングデバイスの包括的なスキャンを実行することができる。316では、探し出される任意のウィルスがコンピューティングデバイスから除去される。318では、コンピューティングデバイスがクリーンな内部の動作環境内に再起動される。内部の動作環境は、本明細書で議論される技術を使用して任意のウィルスまたは他のマルウェアがスキャンされ除去されているオペレーティングシステムを含む。
図4は、ウィルススキャンを実行するための例示のプロセス400を示す。プロセス400は、ハードウェア、ソフトウェア、またはその組合せで実現されることができる動作のシーケンスを表す論理流れ図内のブロックの集合体として示されている。ソフトウェアの文脈ではブロックは、1つまたは複数のプロセッサによって実行されるとき、列挙された動作を実行するコンピュータ命令を表す。議論のためにプロセス400は、図2に示されるアーキテクチャ200を参照して説明される。
402では取り外し可能なデバイス(例えば、取り外し可能なデバイス202)が、ユーザがウィルスに関してスキャンすることを望むコンピューティングデバイスとインターフェースされる。一例では動作402は、取り外し可能なデバイスをコンピューティングデバイス上の適切なポート(例えば、USBポート)に差し込むことによって達成される。404では、コンピューティングデバイスが取り外し可能なデバイスから起動される。起動プロセスの一部として信頼できるオペレーティングシステムが、取り外し可能なデバイスからコンピューティングデバイス上にロードされる。406では、信頼できるウィルス対策ツールが取り外し可能なデバイスから起動される。動作406は、取り外し可能なデバイスから信頼できるウィルス対策ツールを実行すること、または信頼できるウィルス対策ツールをコンピューティングデバイス上にロードし、そのツールをコンピューティングデバイスから実行することによって達成されることができる。動作406の一部として信頼できるウィルス対策ツールは、取り外し可能なデバイス上に保存されている1つまたは複数のウィルスシグネチャをロードする。また取り外し可能なデバイスは、コンピューティングデバイスおよび/またはリモートリソース上に保存されている1つまたは複数のウィルスシグネチャの更新を探し出し、ウィルスシグネチャの更新を認証し、任意の認証されたウィルスシグネチャの更新をロードすることができる。408では信頼できるウィルス対策ツールは、コンピューティングデバイス上にロードされた信頼できるオペレーティングシステムと対話して任意のウィルスに関してコンピューティングデバイスをスキャンする。ウィルス対策ツールは、コンピューティングデバイスからの任意の認証されたウィルスシグネチャの更新に加えて取り外し可能なデバイス上に保存されたウィルスシグネチャに基づいて任意のウィルスを識別する。410で探し出される任意のウィルスが除去される。
412ではコンピューティングデバイスが、ウィルスに関してスキャンされ除去されているオペレーティングシステムを含むクリーンな内部環境内に再起動される。内部のオペレーティングシステムは、コンピューティングデバイス上に存在するオペレーティングシステムである(すなわち、それは取り外し可能なデバイスからロードされたオペレーティングシステムではない)。414では、次いで取り外し可能なデバイスがその内部コンポーネント(例えば、ウィルスシグネチャおよびウィルス対策ツール自体)に対する更新に関してチェックする。取り外し可能なデバイスは、コンポーネントの更新に関してコンピューティングデバイスを検索することができる、または任意選択でリモートリソースにアクセスしてコンポーネントの更新を検索することができる。任意のコンポーネントの更新が探し出される場合、416でコンポーネントの更新は、任意の適切な認証および/または暗号のプロセスを使用して認証される。任意のコンポーネントの更新が認証プロセスで合格する場合、418でコンポーネントの更新は取り外し可能なデバイス上にインストールされる。本明細書では示されていないが任意選択でプロセスは、動作404に戻り、418で取り外し可能なデバイス上にインストールされた任意のウィルスシグネチャの更新(または他のコンポーネントの更新)を使用してウィルスに関してコンピューティングデバイスを再スキャンすることができる。
したがって、例示のようにプロセス400によってウィルススキャンが、取り外し可能なデバイスからロードされた信頼できるオペレーティングシステムを使用してコンピューティングデバイス上で実行されることができる。コンピューティングデバイスが任意のウィルスをスキャンされ駆除されていると、次いで取り外し可能なデバイスは、それ自体の内部コンポーネントに対する任意の更新を検索し、探し出される任意の更新を認証し、認証された更新をロードすることができる。いくつかの実装形態ではこのプロセスが、ほとんどの通常のファイルシステム動作中(例えば、ウィルススキャン中)に読取り専用モードで取り外し可能なデバイスを動作することによって達成され、したがってウィルスおよび他のマルウェアが取り外し可能なデバイスを感染させることを防止する。更新動作中、コンポーネントの更新パッケージが取り外し可能なデバイスに転送され認証される。取り外し可能なデバイス上のマイクロコントローラが、認証プロセスを制御し、シグネチャおよび/または証明書に関してコンポーネントの更新パッケージをチェックする。マイクロコントローラが、特定の更新パッケージに関するシグネチャおよび/または証明書が有効であると判定する場合、マイクロコントローラによって更新パッケージは取り外し可能なデバイスに書き込まれることができることになる。そうでない場合、取り外し可能なデバイスは、その信頼できる動作環境の保全性を維持するために読取り専用状態のままである。
図5は、図4の動作416で上述された取り外し可能なデバイスのコンポーネントの更新を認証するためのプロセスの一例を示す。500では、任意の取り外し可能なデバイスのコンポーネントの更新に関連しているデジタル署名が探し出され取得される。上記で議論されたように、このデジタル署名は全体の認証証明書の一部であってよい。502ではデジタル署名が、任意の適切な認証および/または暗号のプロトコルにより処理される。一例ではデジタル署名は、取り外し可能なデバイス上に保存されているルート証明書を用いて検証される。504では、デジタル署名が認証プロセスで合格しているかどうかが判定される。デジタル署名が、信頼できる機関からのものであると判定される(すなわち、認証していると指定される)場合、506でデジタル署名に関連した取り外し可能なデバイスのコンポーネントの更新は取り外し可能なデバイスに書き込まれる。デジタル署名が認証プロセスで不合格する場合、508では取り外し可能なデバイスのコンポーネントの更新は取り外し可能なデバイスに書き込まれない。一例では動作508は、認証プロセスで不合格した任意の取り外し可能なデバイスのコンポーネントの更新をコンピューティングデバイスから削除することを含むことができる。
安全な記憶装置
図6は、安全な記憶装置を実現するための例示のプロセス600を示す。プロセス600は、ハードウェア、ソフトウェア、またはその組合せで実現されることができる動作のシーケンスを表す論理流れ図内のブロックの集合体として示されている。ソフトウェアの文脈ではブロックは、1つまたは複数のプロセッサによって実行されるとき、列挙された動作を実行するコンピュータ命令を表す。議論のためにプロセス600は、図2に示される取り外し可能なデバイス202を参照して説明される。
602では、取り外し可能なデバイスがコンピューティングデバイスとインターフェースされる。一例では動作602は、取り外し可能なデバイスをコンピューティングデバイス上の適切なポート(例えば、USBポート)に差し込むことによって達成される。604では、ユーザが取り外し可能なデバイスにコピーするおよび/または転送することを望む少なくとも1つのデータファイルがコンピューティングデバイス上で探し出される。一例では、複数のファイルが探し出されてよく、したがって例示のプロセスはファイルごとに実行されるであろう。データファイルは、コンピューティングデバイス上に局所的に保存されていてよいまたはコンピューティングデバイスにアクセス可能であるリモートリソース上に配置されていてよい。606ではデータファイルが、取り外し可能なデバイス上に存在するウィルス対策ツールを用いてウィルスに関してスキャンされる。608では、データファイルがウィルスまたは他のマルウェアに感染しているかどうかが判定される。任意のウィルス/マルウェアがデータファイル内で検出される場合、610でデータファイルはウィルス対策ツールを使用してウィルスに関して駆除される(すなわち、ウィルスがファイルから除去される)。ウィルスまたは他のマルウェアがファイル内で検出されない場合、616でファイルは取り外し可能なデバイスにコピーされる。612では、感染したファイルが首尾よく駆除されたかどうかが判定される。ファイルが首尾よく駆除されなかった場合、614ではファイルが、取り外し可能なデバイスにコピーされることを防止される。任意選択でファイルは、さらにファイルを駆除しようとしてウィルス対策ツールを用いて再スキャンされることができる。ファイルが首尾よく駆除された場合、616では駆除されたデータファイルが取り外し可能なデバイスにコピーされる。次いで取り外し可能なデバイスは、ファイルに感染されている可能性がある任意のウィルスの蔓延を恐れることなく他の装置にコピーされたファイルを転送することができる。これは、多くの様々なユーザが特定の装置にアクセスする公共の端末装置のシナリオ(例えば、図書館)で特に有用である。この種の状態ではユーザは、感染したファイルに知らずにアクセスし、公共の端末装置上にダウンロードしうる。安全な保存プロセスを使用してユーザは、この種の端末装置からダウンロードされた任意のファイルが、ウィルス感染がないことを保証することができる。
結論
本発明は構造的特徴および/または方法のステップに対する特定の言語で説明されているが、添付の「特許請求の範囲」で定義された本発明は、説明された特定の特徴またはステップに必ずしも限定されないことを理解されたい。むしろ特定の特徴およびステップは、特許請求された本発明を実現する好ましい形として開示されている。

Claims (20)

  1. 外部の記憶媒体からコンピューティングデバイスを起動するステップ(304)であって、前記外部の記憶媒体は、信頼できるオペレーティングシステムと、ウィルス対策ツールとを含む(118)ステップと、
    前記ウィルス対策ツールを用いてウィルスシグネチャの更新を検索するステップ(308)と、
    任意のウィルスシグネチャの更新が見出される場合、前記ウィルスシグネチャの更新を認証するステップ(310)と、
    前記ウィルス対策ツールと、前記コンピューティングデバイスからの任意の認証されたウィルスシグネチャの更新とを用いて前記コンピューティングデバイスをスキャンするステップ(314)とを備えることを特徴とする方法。
  2. ウィルスシグネチャの更新を検索するステップは、前記コンピューティングデバイスに対してリモートであるリソース上でウィルスシグネチャの更新を検索するステップを含むことを特徴とする請求項1に記載の方法。
  3. ウィルスシグネチャの更新を前記検索するステップは、前記コンピューティングデバイス上でウィルスシグネチャの更新を検索するステップを含むことを特徴とする請求項1に記載の方法。
  4. 前記ウィルス対策ツールを用いて前記コンピューティングデバイスをスキャンするステップは、前記外部の記憶媒体から1つまたは複数のウィルスシグネチャをロードするステップを含むことを特徴とする請求項1に記載の方法。
  5. 前記コンピューティングデバイスは、
    1つまたは複数のウィルスシグネチャの更新と、
    前記ウィルスシグネチャの更新に関連したデジタル署名とを含むことを特徴とする請求項1に記載の方法。
  6. 前記認証するステップは、
    前記外部の記憶媒体上の認証ツールと、前記デジタル署名を処理するためのルート証明書とを使用するステップと、
    前記デジタル署名が信頼できる機関からのものであると前記認証ツールが判定する場合、前記ウィルスシグネチャの更新を認証されていると指定するステップとを含むことを特徴とする請求項5に記載の方法。
  7. 前記スキャンするステップが前記コンピューティングデバイス上で任意のウィルスを検出する場合に、前記ウィルスを除去するステップと、
    前記コンピューティングデバイスの内部にあるオペレーティングシステムを使用して前記コンピューティングデバイスを再起動するステップとをさらに備えることを特徴とする請求項1に記載の方法。
  8. 取り外し可能なデータ記憶媒体からコンピューティングデバイス上に信頼できるオペレーティングシステムをロードするステップ(302)と、
    前記取り外し可能なデータ記憶媒体からウィルス対策ツールを起動するステップ(306)と、
    任意のウィルスシグネチャの更新を探し出し、認証するステップ(308、310)と、
    前記取り外し可能なデータ記憶媒体からのウィルスシグネチャと、任意の認証されたウィルスシグネチャの更新とを使用して、ウィルスに関して前記コンピューティングデバイスをスキャンするステップ(314)とを備えることを特徴とする方法。
  9. 前記ロードするステップは、前記コンピューティングデバイスに関する起動プロセスの一部として実行されることを特徴とする請求項8に記載の方法。
  10. 前記探し出すステップは、前記コンピューティングデバイス上で複数のウィルスシグネチャの更新のうちの1つを識別することを特徴とする請求項8に記載の方法。
  11. 前記探し出すステップは、前記コンピューティングデバイスからリモートのリソース上で複数のウィルスシグネチャの更新のうちの1つを識別することを特徴とする請求項8に記載の方法。
  12. 前記探し出すステップは、ウィルス更新パッケージを探し出すステップを含み、前記ウィルス更新パッケージは、1つまたは複数のウィルスシグネチャの更新と、デジタル署名とを含むことを特徴とする請求項8に記載の方法。
  13. 前記認証するステップは、前記ウィルスシグネチャの更新が信頼できる機関からのものであるかどうかを判定するために前記デジタル署名を処理するステップを含むことを特徴とする請求項12に記載の方法。
  14. 前記スキャンするステップが前記コンピューティングデバイス上で1つまたは複数のウィルスを検出する場合に、前記ウィルスを除去するステップと、
    前記コンピューティングデバイスの内部にあるオペレーティングシステムを使用して前記コンピューティングデバイスを再起動するステップとをさらに備えることを特徴とする請求項8に記載の方法。
  15. 取り外し可能なコンピュータ可読記憶媒体であって、
    当該取り外し可能なコンピュータ可読記憶媒体からコンピューティングデバイスを起動するためのオペレーティングシステムコンポーネント(122)と、
    1つまたは複数のウィルスシグネチャの更新を識別し、ウィルスに関して前記コンピューティングデバイスをスキャンするためのウィルス対策ツールコンポーネント(124)と、
    前記ウィルスシグネチャの更新を認証するための認証ツールコンポーネント(128)と
    を備えることを特徴とする取り外し可能なコンピュータ可読記憶媒体。
  16. 前記ウィルス対策ツールコンポーネントは、前記コンピューティングデバイス上に保存されているウィルスシグネチャの更新を識別するように構成されていることを特徴とする請求項15に記載の取り外し可能なコンピュータ可読記憶媒体。
  17. 前記ウィルス対策ツールコンポーネントは、前記コンピューティングデバイスに対してリモートのリソース上に保存されているウィルスシグネチャの更新を識別するように構成されていることを特徴とする請求項15に記載の取り外し可能なコンピュータ可読記憶媒体。
  18. 前記認証することは、
    前記ウィルスシグネチャの更新に関連したデジタル署名を取得することと、
    前記ウィルスシグネチャが信頼できる機関からのものであるかどうかを判定するために前記認証ツールコンポーネントを用いて前記デジタル署名を処理することとを含むことを特徴とする請求項15に記載の取り外し可能なコンピュータ可読記憶媒体。
  19. 前記ウィルス対策ツールによって使用されるための1つまたは複数のウィルスシグネチャをさらに備えることを特徴とする請求項15に記載の取り外し可能なコンピュータ可読記憶媒体。
  20. 前記ウィルスシグネチャの更新を認証する際に前記認証ツールによって使用されるためのルート証明書をさらに備えることを特徴とする請求項15に記載の取り外し可能なコンピュータ可読記憶媒体。
JP2010507568A 2007-05-11 2008-05-02 マルウェア検出のための信頼できる動作環境 Active JP5327757B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US11/747,345 US8104088B2 (en) 2007-05-11 2007-05-11 Trusted operating environment for malware detection
US11/747,345 2007-05-11
PCT/US2008/062508 WO2008140975A1 (en) 2007-05-11 2008-05-02 Trusted operating environment for malware detection

Publications (2)

Publication Number Publication Date
JP2010527074A true JP2010527074A (ja) 2010-08-05
JP5327757B2 JP5327757B2 (ja) 2013-10-30

Family

ID=39970762

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010507568A Active JP5327757B2 (ja) 2007-05-11 2008-05-02 マルウェア検出のための信頼できる動作環境

Country Status (6)

Country Link
US (1) US8104088B2 (ja)
EP (1) EP2156356B1 (ja)
JP (1) JP5327757B2 (ja)
CN (1) CN101681406A (ja)
RU (1) RU2473122C2 (ja)
WO (1) WO2008140975A1 (ja)

Families Citing this family (36)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8086835B2 (en) * 2007-06-04 2011-12-27 International Business Machines Corporation Rootkit detection
US7917952B1 (en) * 2007-10-17 2011-03-29 Symantec Corporation Replace malicious driver at boot time
US8312547B1 (en) * 2008-03-31 2012-11-13 Symantec Corporation Anti-malware scanning in a portable application virtualized environment
US9596250B2 (en) * 2009-04-22 2017-03-14 Trusted Knight Corporation System and method for protecting against point of sale malware using memory scraping
KR100980606B1 (ko) * 2008-09-08 2010-09-07 주식회사 하이닉스반도체 워드라인 구동회로 및 구동방법
CN101408846B (zh) * 2008-11-24 2011-04-13 华为终端有限公司 一种杀毒软件升级的方法及相应的终端和系统
US20100154062A1 (en) * 2008-12-16 2010-06-17 Elad Baram Virus Scanning Executed Within a Storage Device to Reduce Demand on Host Resources
US8402544B1 (en) 2008-12-22 2013-03-19 Trend Micro Incorporated Incremental scanning of computer files for malicious codes
US20100318731A1 (en) * 2009-06-16 2010-12-16 Murray Mark R Override boot sequence by presence of file on usb memory stick
JP2011076169A (ja) * 2009-09-29 2011-04-14 Hagiwara Sys-Com:Kk Fa工作機械のウィルススキャン方法、並びに該方法に使用するusbメモリ
US8266350B2 (en) * 2009-09-30 2012-09-11 Imation Corp. Method and system for supporting portable desktop
US8516236B2 (en) 2009-09-30 2013-08-20 Imation Corp. Portable desktop device and method of host computer system hardware recognition and configuration
US8555376B2 (en) * 2009-09-30 2013-10-08 Imation Corp. Method and system for supporting portable desktop with enhanced functionality
US8601532B2 (en) * 2009-09-30 2013-12-03 Imation Corp. Method and system for provisioning portable desktops
JP2013511078A (ja) 2009-11-13 2013-03-28 イメーション コーポレイション 接続の確認のためのデバイスおよび方法
US20110173377A1 (en) * 2010-01-13 2011-07-14 Bonica Richard T Secure portable data storage device
US9064116B2 (en) * 2010-11-08 2015-06-23 Intel Corporation Techniques for security management provisioning at a data storage device
CN102799801A (zh) * 2011-05-27 2012-11-28 网秦无限(北京)科技有限公司 利用移动存储器查杀移动设备病毒的方法和系统
US20130152201A1 (en) * 2011-12-12 2013-06-13 Microsoft Corporation Adjunct Computing Machine for Remediating Malware on Compromised Computing Machine
CN104205045B (zh) * 2012-03-30 2017-06-09 英特尔公司 用于提供操作系统有效载荷的方法、装置、以及系统
GB2506622A (en) * 2012-10-04 2014-04-09 Ibm Anti-virus data management
CN103812850B (zh) * 2012-11-15 2016-12-21 北京金山安全软件有限公司 控制病毒访问网络的方法及装置
GB2508894A (en) 2012-12-14 2014-06-18 Ibm Preventing a trusted boot device from being booted in a virtual machine
US9058504B1 (en) * 2013-05-21 2015-06-16 Malwarebytes Corporation Anti-malware digital-signature verification
US9197654B2 (en) * 2013-06-28 2015-11-24 Mcafee, Inc. Rootkit detection by using HW resources to detect inconsistencies in network traffic
US8910283B1 (en) 2013-11-21 2014-12-09 Kaspersky Lab Zao Firmware-level security agent supporting operating system-level security in computer system
US20170353461A1 (en) * 2016-06-03 2017-12-07 Honeywell International Inc. System and method for providing command and control parameters, configuration data, and other data to nodes of a protected system using secure media
US10191831B2 (en) * 2016-06-08 2019-01-29 Cylance Inc. Macro-script execution control
US10264002B2 (en) * 2016-07-14 2019-04-16 Mitsui Bussan Secure Directions, Inc. Program, information processing device, and information processing method
US11720677B2 (en) 2017-05-11 2023-08-08 Antique Books, Inc. Attached storage device for enhanced data and program protection
US10333951B1 (en) * 2017-07-31 2019-06-25 EMC IP Holding Company LLC Method and system for implementing golden container storage
US11425170B2 (en) 2018-10-11 2022-08-23 Honeywell International Inc. System and method for deploying and configuring cyber-security protection solution using portable storage device
US11232206B2 (en) * 2019-04-23 2022-01-25 Microsoft Technology Licensing, Llc Automated malware remediation and file restoration management
US11736517B2 (en) 2020-02-10 2023-08-22 Seagate Technology Llc Data storage device with security module
US11698975B2 (en) * 2020-02-26 2023-07-11 Seagate Technology Llc Distributed data storage system with backward attestation
US11277375B1 (en) 2021-01-04 2022-03-15 Saudi Arabian Oil Company Sender policy framework (SPF) configuration validator and security examinator

Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07295804A (ja) * 1994-04-25 1995-11-10 Sharp Corp コンピュータ・ウィルス検索装置
JPH1049365A (ja) * 1996-08-06 1998-02-20 Nec Niigata Ltd フロッピーディスクドライブ
JPH1185503A (ja) * 1997-09-05 1999-03-30 Fujitsu Ltd ウイルス駆除方法,情報処理装置並びにウイルス駆除プログラムが記録されたコンピュータ読取可能な記録媒体
JP2000089992A (ja) * 1998-09-11 2000-03-31 Fujitsu Ltd 記憶装置
JP2002132454A (ja) * 2000-10-19 2002-05-10 Xaxon R & D Corp 圧縮伸張装置を備えた半導体ディスク装置
WO2004054185A1 (ja) * 2002-12-11 2004-06-24 Mitsui & Co., Ltd. 通信システム、仮想ネットワークスイッチを備えた通信端末および生体認識装置を備えた携帯型電子デバイス
US20050176415A1 (en) * 2004-02-10 2005-08-11 Joon-Young Jang System and method for providing anti-virus program using wireless communication terminal
JP2006134307A (ja) * 2004-11-08 2006-05-25 Microsoft Corp アンチウィルスソフトウェアアプリケーションの知識基盤を統合するシステムおよび方法
JP2007026293A (ja) * 2005-07-20 2007-02-01 Toshiba Tec Corp Pos端末装置及びposシステム
WO2007013176A1 (ja) * 2005-07-29 2007-02-01 Fujitsu Limited 情報処理装置及びパターンマッチング処理方法
US20070094654A1 (en) * 2005-10-20 2007-04-26 Microsoft Corporation Updating rescue software
JP2009211524A (ja) * 2008-03-05 2009-09-17 Shinko Electric Ind Co Ltd ウイルスチェック用装置とこれを用いたデータ通信方法
JP2010097550A (ja) * 2008-10-20 2010-04-30 Intelligent Software:Kk ウイルス防止プログラム、コンピュータに着脱可能な記憶装置、及びウイルス防止方法

Family Cites Families (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6035423A (en) * 1997-12-31 2000-03-07 Network Associates, Inc. Method and system for providing automated updating and upgrading of antivirus applications using a computer network
US7930531B2 (en) * 2000-01-06 2011-04-19 Super Talent Electronics, Inc. Multi-partition USB device that re-boots a PC to an alternate operating system for virus recovery
US6973577B1 (en) * 2000-05-26 2005-12-06 Mcafee, Inc. System and method for dynamically detecting computer viruses through associative behavioral analysis of runtime state
GB2366691B (en) * 2000-08-31 2002-11-06 F Secure Oyj Wireless device management
US7043757B2 (en) * 2001-05-22 2006-05-09 Mci, Llc System and method for malicious code detection
US7243373B2 (en) * 2001-07-25 2007-07-10 Mcafee, Inc. On-access malware scanning
US7188369B2 (en) * 2002-10-03 2007-03-06 Trend Micro, Inc. System and method having an antivirus virtual scanning processor with plug-in functionalities
US20040254978A1 (en) * 2003-06-12 2004-12-16 International Business Machines Corporation System and method of remotely accessing a computer system to initiate remote mainteneance and management accesses on network computer systems
US20050015606A1 (en) * 2003-07-17 2005-01-20 Blamires Colin John Malware scanning using a boot with a non-installed operating system and download of malware detection files
US20050091558A1 (en) * 2003-10-28 2005-04-28 International Business Machines Corporation System, method and program product for detecting malicious software
US7555568B2 (en) * 2004-02-28 2009-06-30 Huang Evan S Method and apparatus for operating a host computer from a portable apparatus
US7840763B2 (en) * 2004-03-12 2010-11-23 Sca Technica, Inc. Methods and systems for achieving high assurance computing using low assurance operating systems and processes
US7370188B2 (en) * 2004-05-17 2008-05-06 Intel Corporation Input/output scanning
RU2393531C2 (ru) * 2004-06-21 2010-06-27 Майкрософт Корпорейшн Антивирус для хранилища элементов
US7627898B2 (en) * 2004-07-23 2009-12-01 Microsoft Corporation Method and system for detecting infection of an operating system
KR100713128B1 (ko) 2004-11-08 2007-05-02 주식회사 비젯 바이러스 방역 장치 및 시스템
US7673341B2 (en) * 2004-12-15 2010-03-02 Microsoft Corporation System and method of efficiently identifying and removing active malware from a computer
US20060253908A1 (en) * 2005-05-03 2006-11-09 Tzu-Jian Yang Stateful stack inspection anti-virus and anti-intrusion firewall system
US7239166B2 (en) * 2005-06-15 2007-07-03 Microsoft Corporation Portable multi-purpose toolkit for testing computing device hardware and software
KR20070016029A (ko) 2005-08-02 2007-02-07 최성필 컴퓨터 보안 기능을 제공하는 휴대용 usb 저장 장치 및상기 휴대용 usb 저장 장치의 동작 방법
US7877801B2 (en) * 2006-05-26 2011-01-25 Symantec Corporation Method and system to detect malicious software
US8234710B2 (en) * 2006-07-05 2012-07-31 BB4 Solutions, Inc. Malware automated removal system and method using a diagnostic operating system
US7853999B2 (en) * 2007-05-11 2010-12-14 Microsoft Corporation Trusted operating environment for malware detection
US8335931B2 (en) * 2008-06-20 2012-12-18 Imation Corp. Interconnectable personal computer architectures that provide secure, portable, and persistent computing environments
US9098698B2 (en) * 2008-09-12 2015-08-04 George Mason Research Foundation, Inc. Methods and apparatus for application isolation
US20100332593A1 (en) * 2009-06-29 2010-12-30 Igor Barash Systems and methods for operating an anti-malware network on a cloud computing platform

Patent Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07295804A (ja) * 1994-04-25 1995-11-10 Sharp Corp コンピュータ・ウィルス検索装置
JPH1049365A (ja) * 1996-08-06 1998-02-20 Nec Niigata Ltd フロッピーディスクドライブ
JPH1185503A (ja) * 1997-09-05 1999-03-30 Fujitsu Ltd ウイルス駆除方法,情報処理装置並びにウイルス駆除プログラムが記録されたコンピュータ読取可能な記録媒体
JP2000089992A (ja) * 1998-09-11 2000-03-31 Fujitsu Ltd 記憶装置
JP2002132454A (ja) * 2000-10-19 2002-05-10 Xaxon R & D Corp 圧縮伸張装置を備えた半導体ディスク装置
WO2004054185A1 (ja) * 2002-12-11 2004-06-24 Mitsui & Co., Ltd. 通信システム、仮想ネットワークスイッチを備えた通信端末および生体認識装置を備えた携帯型電子デバイス
US20050176415A1 (en) * 2004-02-10 2005-08-11 Joon-Young Jang System and method for providing anti-virus program using wireless communication terminal
JP2006134307A (ja) * 2004-11-08 2006-05-25 Microsoft Corp アンチウィルスソフトウェアアプリケーションの知識基盤を統合するシステムおよび方法
JP2007026293A (ja) * 2005-07-20 2007-02-01 Toshiba Tec Corp Pos端末装置及びposシステム
WO2007013176A1 (ja) * 2005-07-29 2007-02-01 Fujitsu Limited 情報処理装置及びパターンマッチング処理方法
US20070094654A1 (en) * 2005-10-20 2007-04-26 Microsoft Corporation Updating rescue software
JP2009211524A (ja) * 2008-03-05 2009-09-17 Shinko Electric Ind Co Ltd ウイルスチェック用装置とこれを用いたデータ通信方法
JP2010097550A (ja) * 2008-10-20 2010-04-30 Intelligent Software:Kk ウイルス防止プログラム、コンピュータに着脱可能な記憶装置、及びウイルス防止方法

Non-Patent Citations (6)

* Cited by examiner, † Cited by third party
Title
CSND200501031016; 'れんこん' Linux magazine 第7巻,第3号, 20050301, 第94-95頁, 株式会社アスキー *
CSND200600661012; 松岡 宣: 'PE Builder+UBCD4Winで作る超多機能レスキューCD' PC Japan 第10巻,第12号, 20051201, 第88,94頁, ソフトバンククリエイティブ株式会社 *
CSND200601461049; TTS: 'パワーアップセキュリティ' PC Japan 第11巻,第4号, 20060401, 第135頁, ソフトバンククリエイティブ株式会社 *
JPN6012067228; 松岡 宣: 'PE Builder+UBCD4Winで作る超多機能レスキューCD' PC Japan 第10巻,第12号, 20051201, 第88,94頁, ソフトバンククリエイティブ株式会社 *
JPN6012067229; TTS: 'パワーアップセキュリティ' PC Japan 第11巻,第4号, 20060401, 第135頁, ソフトバンククリエイティブ株式会社 *
JPN6012067230; 'れんこん' Linux magazine 第7巻,第3号, 20050301, 第94-95頁, 株式会社アスキー *

Also Published As

Publication number Publication date
US20080282350A1 (en) 2008-11-13
WO2008140975A1 (en) 2008-11-20
JP5327757B2 (ja) 2013-10-30
RU2473122C2 (ru) 2013-01-20
EP2156356A4 (en) 2012-02-08
CN101681406A (zh) 2010-03-24
RU2009141594A (ru) 2011-05-20
US8104088B2 (en) 2012-01-24
EP2156356A1 (en) 2010-02-24
EP2156356B1 (en) 2018-05-02

Similar Documents

Publication Publication Date Title
JP5327757B2 (ja) マルウェア検出のための信頼できる動作環境
US7853999B2 (en) Trusted operating environment for malware detection
US7874001B2 (en) Detecting user-mode rootkits
JP6482489B2 (ja) 脆弱なアプリケーションによるファイルのオープンを制御するシステム及び方法。
US9336390B2 (en) Selective assessment of maliciousness of software code executed in the address space of a trusted process
KR101359841B1 (ko) 신뢰성 있는 부트 최적화를 위한 방법 및 장치
RU2589862C1 (ru) Способ обнаружения вредоносного кода в оперативной памяти
US8474032B2 (en) Firewall+ storage apparatus, method and system
US7845005B2 (en) Method for preventing malicious software installation on an internet-connected computer
JP5095801B2 (ja) 認証されたウィルス対策エージェントにメモリをスキャンするための直接アクセスを提供する方法及び装置
US9432397B2 (en) Preboot environment with system security check
KR20090023644A (ko) 멀웨어를 식별하는 컴퓨터 구현 방법 및 컴퓨터 판독가능 매체
US9251350B2 (en) Trusted operating environment for malware detection
US8549626B1 (en) Method and apparatus for securing a computer from malicious threats through generic remediation
JP2019067372A (ja) プロセスのアドレス空間内の悪意のあるコードの検出のためのシステムおよび方法
US8086835B2 (en) Rootkit detection
JP2017021852A (ja) マルウェアリスクスキャナー
JP2020119503A (ja) ファイルのデジタル署名の検証における攻撃に対するレジリエンスのためのシステム及び方法
RU2592383C1 (ru) Способ формирования антивирусной записи при обнаружении вредоносного кода в оперативной памяти
RU92217U1 (ru) Аппаратный антивирус
RU91206U1 (ru) Аппаратный антивирус
JP2020113253A (ja) ファイルのデジタル署名を検証するためのシステム及び方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110324

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20121212

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20121228

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130328

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130614

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20130701

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130716

R150 Certificate of patent or registration of utility model

Ref document number: 5327757

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250