JP2011210058A - Information processor and computer program - Google Patents

Information processor and computer program Download PDF

Info

Publication number
JP2011210058A
JP2011210058A JP2010077957A JP2010077957A JP2011210058A JP 2011210058 A JP2011210058 A JP 2011210058A JP 2010077957 A JP2010077957 A JP 2010077957A JP 2010077957 A JP2010077957 A JP 2010077957A JP 2011210058 A JP2011210058 A JP 2011210058A
Authority
JP
Japan
Prior art keywords
information
hash value
processing apparatus
collation
information processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2010077957A
Other languages
Japanese (ja)
Inventor
Fumihiko Kono
文彦 河野
Hitoshi Kamura
仁 加村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2010077957A priority Critical patent/JP2011210058A/en
Publication of JP2011210058A publication Critical patent/JP2011210058A/en
Withdrawn legal-status Critical Current

Links

Images

Landscapes

  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

PROBLEM TO BE SOLVED: To reduce the time required for collation irrespective of the version of definition information for the collation.SOLUTION: A computer program to be executed in the information processor that includes: an information acquisition part which acquires external information for specifying processed data collated based on collation definition information by a hash value and showing a processing result of the processed data, by network communication; a hash operation part which generates the hash value using a hash function applied to generation of the hash value of the external information from data stored in a storage medium; and an object screening part which excludes the data stored in the storage medium from objects to be collated when the hash value generated by the hash operation part matches the hash value of the external information.

Description

本願は、装置内の特定のデータを対象としてスキャンニングする照合処理の実行が可能な情報処理装置および情報処理装置で実行されるコンピュータプログラムに関する。   The present application relates to an information processing apparatus capable of executing a collation process for scanning specific data in the apparatus, and a computer program executed by the information processing apparatus.

情報処理装置の一種であるパーソナルコンピュータが普及している。多数のパーソナルコンピュータを業務用に保有する企業やその他の組織は数多く存在し、複数のパーソナルコンピュータを有した一般家庭も多い。また、企業では複数のパーソナルコンピュータをLAN(Local Area Network)またはWAN(Wide Area Network)で接続するのが一般的であり、LANが構築された家庭もある。   Personal computers, which are a type of information processing apparatus, have become widespread. There are many companies and other organizations that have many personal computers for business use, and many households have a plurality of personal computers. Further, in a company, a plurality of personal computers are generally connected by a LAN (Local Area Network) or a WAN (Wide Area Network), and there are some homes where a LAN is constructed.

パーソナルコンピュータを含む各種コンピュータのセキュリティを確保するために、ウィルス対策ソフトウェアが用いられている。ウィルス対策ソフトウェアが実行するウィルス検査は、コンピュータ内のファイル(対象データ)をスキャンニングしてウィルスパターンデータと一致する箇所を見つける照合処理である。ウィルス検査は、ウィルスパターンデータを示す定義情報に基づいて行われる。   Antivirus software is used to ensure the security of various computers including personal computers. The virus check executed by the anti-virus software is a matching process for scanning a file (target data) in a computer to find a portion that matches the virus pattern data. The virus inspection is performed based on definition information indicating virus pattern data.

ウィルス検査の他にも対象データをスキャンニングする照合処理がある。情報漏洩対策ソフトウェアによる個人情報検出がそれである。個人情報検出では、人名辞書、地名辞書(住所情報)、メールアドレスリストといった各種の辞書やリスト、および検出ルールが定義情報となる。   In addition to virus inspection, there is a verification process that scans target data. This is the detection of personal information by information leakage countermeasure software. In personal information detection, various dictionaries and lists such as a personal name dictionary, place name dictionary (address information), and mail address list, and detection rules are defined information.

近年、セキュリティが重要視される中、コンピュータ内の全ファイルを対象とするウィルス検査(いわゆるフルスキャン)を定期的に実施する運用が、主に企業や公的機関において一般的となっている。データのスキャンニングはコンピュータにとって比較的に負担の大きい処理であるので、フルスキャンはコンピュータに大きな負荷をかける。このため、特に処理能力の低い仕様のコンピュータでは、フルスキャンが実行されている間は、ユーザがコンピュータを普段のように利用できない状態になることがある。個人情報検出においても同様である。   In recent years, security is regarded as important, and the operation of regularly performing virus inspection (so-called full scan) on all files in a computer is mainly used in companies and public institutions. Since data scanning is a relatively burdensome process for a computer, a full scan places a heavy load on the computer. For this reason, a computer having a specification with particularly low processing capability may be in a state where the user cannot use the computer as usual during a full scan. The same applies to personal information detection.

ウィルス検査の効率化に関して、定義情報が更新された場合に、更新前の情報に基づいて検査したデータについて、再検査の要否を判定する手法の開示がある(特許文献1)。この手法では、以前に検査をした日時よりも更新後の定義情報の示すウィルスの発生推定日時が遅い場合にのみ、当該データに対して更新後の定義情報に基づく検査が実行される。これにより、定義情報が更新されても、その度に全てのデータを再検査する必要がなくなる。   Regarding the efficiency of virus inspection, there is a disclosure of a method for determining whether or not reexamination is necessary for data inspected based on information before update when definition information is updated (Patent Document 1). In this method, only when the estimated occurrence date and time of the virus indicated by the updated definition information is later than the date and time of the previous inspection, the inspection based on the updated definition information is performed on the data. Thereby, even if the definition information is updated, it is not necessary to re-examine all data each time.

特開2007−65810号公報JP 2007-65810 A

通常、ユーザファイルが作成されたりシステムファイルが更新されたりしてコンピュータが記憶するデータは増える一方である。このため、データをスキャンニングする照合処理の所要時間は、日々コンピュータが使用されるにつれて長くなる。全ファイルを対象とするフルスキャンを実施する場合はもちろんのこと、新規に作成されたファイルや更新されたファイルを対象に限定する場合も、照合処理の所要時間は次第に長くなると言える。   Normally, data stored in a computer is increasing as user files are created or system files are updated. For this reason, the time required for the collation process for scanning data becomes longer as the computer is used every day. It can be said that the time required for the collation process is gradually increased not only when a full scan is performed on all files but also when a newly created file or an updated file is limited to a target.

上記特許文献1に開示された手法によれば、定義情報が更新される以前に作成されたファイルについてはウィルス検査の要否が判別され、それによって通常は多数存在するファイルのうちの一部について検査が省略される場合はあり得る。しかし、上記文献の手法では、定義情報が更新された以後に作成されたり更新されたりしたデータについては、ウィルス検査を省略することはできない。   According to the method disclosed in the above-mentioned Patent Document 1, it is determined whether or not virus inspection is necessary for a file created before the definition information is updated. It is possible that the inspection is omitted. However, in the method of the above-mentioned document, virus inspection cannot be omitted for data created or updated after the definition information is updated.

そこで、本願は、照合処理の定義情報の新旧にかかわらず、照合処理の所要時間を短縮することができるようにするコンピュータプログラムの提供を目的とする。   Therefore, an object of the present application is to provide a computer program that can shorten the time required for collation processing regardless of whether the definition information of the collation processing is new or old.

開示されるコンピュータプログラムは、情報処理装置において実行されるコンピュータプログラムであって、照合定義情報に基づく照合処理を受けた処理済みデータをハッシュ値で特定しかつ当該処理済みデータについての処理結果を示す外部情報を、ネットワーク通信によって取得する情報取得部と、記憶媒体に格納されているデータから、前記外部情報が有するハッシュ値の生成に適用されたハッシュ関数を用いてハッシュ値を生成するハッシュ演算部と、前記ハッシュ演算部によって生成されたハッシュ値と前記外部情報が有するハッシュ値とが一致する場合に、前記記憶媒体に格納されている前記データを前記照合処理の対象から除外する対象選別部と、を有する装置として前記情報処理装置を動作させる。   The disclosed computer program is a computer program executed in an information processing apparatus, specifies processed data that has undergone collation processing based on collation definition information by a hash value, and indicates a processing result for the processed data An information acquisition unit for acquiring external information by network communication, and a hash calculation unit for generating a hash value from data stored in a storage medium using a hash function applied to generation of a hash value included in the external information A target selection unit that excludes the data stored in the storage medium from the target of the collation process when the hash value generated by the hash calculation unit and the hash value of the external information match. The information processing apparatus is operated as an apparatus having.

情報処理装置における定義情報に基づく照合処理の所要時間を、他の情報処理装置において既に処理されたデータを処理対象から除外することによって短縮することができる。   The time required for the collation processing based on the definition information in the information processing apparatus can be shortened by excluding data already processed in other information processing apparatuses from the processing target.

照合処理の支援システムに関わるネットワーク構成の例を示す図である。It is a figure which shows the example of the network structure in connection with the assistance system of collation processing. 支援システムの構成を示す図である。It is a figure which shows the structure of a support system. 情報処理装置が保有する結果テーブルのデータ構造を示す図である。It is a figure which shows the data structure of the result table which an information processing apparatus holds. 照合パターンのハッシュ化の要領を示す図である。It is a figure which shows the point of the hashing of a collation pattern. サーバが保有する結果管理テーブルのデータ構造を示す図である。It is a figure which shows the data structure of the result management table which a server holds. アラートを発信する状況の例を示す図である。It is a figure which shows the example of the condition which transmits an alert. 情報処理装置における照合処理支援動作の流れを示す図である。It is a figure which shows the flow of collation process assistance operation | movement in information processing apparatus. サーバにおける情報収集処理の流れを示す図である。It is a figure which shows the flow of the information collection process in a server. サーバにおける情報配信処理を示す図である。It is a figure which shows the information delivery process in a server. 情報処理装置に関わるハードウェア構成の一例を示す図である。It is a figure which shows an example of the hardware constitutions regarding an information processing apparatus.

図1に例示されるネットワーク100は、複数の情報処理装置1,1b,1cおよびサーバ3が接続される企業内LANである。各情報処理装置1,1b,1cはアクセスポイント5を含むネットワーク100を介して他の情報処理装置であるサーバ3と通信可能に接続される。情報処理装置1,1b,1cは据置き型または可搬型のパーソナルコンピュータであり、オペレーティングシステムを含む各種プログラムおよびユーザファイルを記憶する図示しない不揮発性の記録媒体を備える。   A network 100 illustrated in FIG. 1 is a corporate LAN to which a plurality of information processing apparatuses 1, 1 b, 1 c and a server 3 are connected. Each information processing device 1, 1 b, 1 c is communicably connected to a server 3 that is another information processing device via a network 100 including an access point 5. The information processing apparatuses 1, 1b, and 1c are stationary or portable personal computers, and include a non-illustrated nonvolatile recording medium that stores various programs including an operating system and user files.

各情報処理装置1,1b,1cでは、ウィルス対策ソフトウェアや個人情報検出ソフトウェアによる照合処理が定期的に実行される。実行の周期は例えば複数の情報処理装置1,1b,1cの間で共通とされ、実行の時期は情報処理装置1,1b,1cごとに個別に定められている。本実施形態では照合処理を実行するソフトウェアが各情報処理装置1,1b,1cにインストールされている。ただし、専用のソフトウェアを各情報処理装置1,1b,1cにインストールせずにサーバ3上のソフトウェアを各情報処理装置1,1b,1cが起動するようにしてもよい。   In each of the information processing apparatuses 1, 1b, and 1c, a collation process is regularly executed by anti-virus software or personal information detection software. The execution cycle is, for example, common among the plurality of information processing apparatuses 1, 1b, 1c, and the execution time is individually determined for each information processing apparatus 1, 1b, 1c. In the present embodiment, software for executing the collation process is installed in each information processing apparatus 1, 1b, 1c. However, the software on the server 3 may be activated by the information processing apparatuses 1, 1b, and 1c without installing the dedicated software in the information processing apparatuses 1, 1b, and 1c.

照合処理の所要時間を短縮するための支援システムがネットワーク100に導入されている。この支援システムは、情報処理装置1,1b,1cにおいて実行された照合処理の結果をサーバ3に集める。サーバ3の結果管理テーブルT2に蓄積された結果情報7は適時に各情報処理装置1,1b,1cに配信され、支援システムの管理下で情報処理装置1,1b,1cによって保有される。支援システムは、各情報処理装置1,1b,1cが照合処理を実行する際に、保有されている結果情報7を参照し、結果情報7が示す処理済みのデータ(ファイル)を照合処理の対象から除外する。つまり、複数の情報処理装置1,1b,1cのいずれかにおいてあるファイルについて既に照合処理が行われている場合に、当該ファイルについての同じ定義情報に基づく照合処理が省略される。これは、複数の情報処理装置1,1b,1cが共通に保有する複数のファイルについて照合処理を分担することを意味する。   A support system for reducing the time required for verification processing has been introduced into the network 100. This support system collects the results of the collation processing executed in the information processing apparatuses 1, 1 b, 1 c in the server 3. The result information 7 accumulated in the result management table T2 of the server 3 is distributed to the information processing apparatuses 1, 1b, 1c in a timely manner and is held by the information processing apparatuses 1, 1b, 1c under the management of the support system. The support system refers to the result information 7 held when each information processing device 1, 1 b, 1 c executes collation processing, and uses the processed data (file) indicated by the result information 7 as a target of collation processing Exclude from That is, when the collation process has already been performed for a file in any of the plurality of information processing apparatuses 1, 1b, and 1c, the collation process based on the same definition information for the file is omitted. This means that the collation processing is shared for a plurality of files that are commonly held by the plurality of information processing apparatuses 1, 1b, and 1c.

以下、支援システムの構成を説明する。複数の情報処理装置1,1b,1cにおける支援システムに関わる機能構成は同一であるので、以下の図では代表として情報処理装置1のみを図示する。   Hereinafter, the configuration of the support system will be described. Since the functional configuration related to the support system in the plurality of information processing apparatuses 1, 1b, and 1c is the same, only the information processing apparatus 1 is shown as a representative in the following drawings.

図2のように、支援システム10は、情報処理装置1に設けられる複数の要素とサーバ3に設けられる複数の要素とを有する。情報処理装置1は、支援システム10に関わるソフトウェア要素として、情報取得部12、ハッシュ演算部14、対象選別部16、情報送信部18、および通知応答部20を有する。サーバ3は、支援システム10に関わるソフトウェア要素として、受信部22、送信部24、および通知部26を有する。支援システム10のこれら要素は、情報処理装置1およびサーバ3にそれぞれ導入されたコンピュータプログラムによって実現される機能要素である。   As illustrated in FIG. 2, the support system 10 includes a plurality of elements provided in the information processing apparatus 1 and a plurality of elements provided in the server 3. The information processing apparatus 1 includes an information acquisition unit 12, a hash calculation unit 14, a target selection unit 16, an information transmission unit 18, and a notification response unit 20 as software elements related to the support system 10. The server 3 includes a reception unit 22, a transmission unit 24, and a notification unit 26 as software elements related to the support system 10. These elements of the support system 10 are functional elements realized by computer programs installed in the information processing apparatus 1 and the server 3, respectively.

情報処理装置1において、情報取得部12は、照合定義情報に基づく照合処理の処理結果を示す外部情報72を、ネットワーク通信によってサーバ3から取得する。外部情報72には、照合処理を受けた処理済みのデータを特定するハッシュ値が含まれている。この外部情報72は、上述の結果情報7のうちの一回の配信分の情報である。情報取得部12は、取得した外部情報72を後述の結果テーブルT1に記録する。   In the information processing apparatus 1, the information acquisition unit 12 acquires external information 72 indicating the processing result of the matching process based on the matching definition information from the server 3 through network communication. The external information 72 includes a hash value that identifies processed data that has undergone the collation process. This external information 72 is information for one delivery of the result information 7 described above. The information acquisition unit 12 records the acquired external information 72 in a result table T1 described later.

ハッシュ演算部14は、予め定められたハッシュ関数を用いて、記憶媒体40に格納されているデータからハッシュ値15を生成する。ハッシュ演算部14が用いるハッシュ関数は、外部情報72が有するハッシュ値の生成に適用されたハッシュ関数と同じものである。ハッシュ値15に変換されるデータは、照合処理を担うソフトウェア30(図ではウィルス対策ソフトウェア)に対して情報処理装置1のユーザが処理の対象として指定したファイルである。対象の指定形式が記憶エリアを指定する形式であれば、ハッシュ演算部14は指定された記憶エリア内のファイルについてファイルごとにハッシュ値15を生成する。記憶媒体40は、ハッシュ値15を生成すべきファイルを記憶する情報処理装置1に内蔵されまたは接続されたストレージの総称である。通常、オペレーティングシステムおよびアプリケーションプログラムがインストールされるハードディスクドライブ(HDD)やSSD(Solid State Drive)といったストレージは記憶媒体40に該当する。リムーバブル記憶媒体が記憶媒体40に含まれる場合もある。   The hash calculator 14 generates a hash value 15 from the data stored in the storage medium 40 using a predetermined hash function. The hash function used by the hash calculation unit 14 is the same as the hash function applied to the generation of the hash value that the external information 72 has. The data converted into the hash value 15 is a file designated as a processing target by the user of the information processing apparatus 1 for the software 30 (in the figure, anti-virus software) responsible for the matching process. If the target designation format is a format for designating a storage area, the hash calculator 14 generates a hash value 15 for each file in the designated storage area. The storage medium 40 is a generic name for storage that is built in or connected to the information processing apparatus 1 that stores a file for which the hash value 15 is to be generated. Usually, a storage such as a hard disk drive (HDD) or an SSD (Solid State Drive) in which an operating system and application programs are installed corresponds to the storage medium 40. A removable storage medium may be included in the storage medium 40.

対象選別部16は、結果テーブルT1を参照し、ハッシュ演算部14によって生成されたハッシュ値15と一致するハッシュ値が結果テーブルT1に存在するか否かを調べる。ハッシュ値15と一致するハッシュ値が結果テーブルT1に存在する場合は、照合処理の対象に指定されているファイルについての過去に行われた照合処理の結果を情報処理装置1が保有している場合である。この場合、対象選別部16はハッシュ値15に該当するファイルを照合処理の対象から除外するよう照合処理を担うソフトウェア30に指示する。これを受けて、ソフトウェア30はそれに含まれる解析エンジン(照合部)32による当該ファイル対するスキャンニングを省略する。   The target selection unit 16 refers to the result table T1 and checks whether or not a hash value that matches the hash value 15 generated by the hash calculation unit 14 exists in the result table T1. When a hash value that matches the hash value 15 exists in the result table T1, the information processing apparatus 1 has a result of a collation process performed in the past for a file designated as a collation target It is. In this case, the target selection unit 16 instructs the software 30 that performs the matching process to exclude the file corresponding to the hash value 15 from the target of the matching process. In response to this, the software 30 omits scanning of the file by the analysis engine (collation unit) 32 included therein.

情報送信部18は、処理結果情報71をサーバ3へ送信する。処理結果情報71は、記憶媒体40に格納されているファイルを対象として解析エンジン32によって行われた照合処理の結果を示す。また、処理結果情報71は、照合処理の対象とされたファイルを特定するハッシュ値を含んでいる。このハッシュ値はハッシュ演算部14によって生成され、対象選別部16を経て情報送信部18に取得される。情報送信部18は解析エンジン32から受け取った結果情報にハッシュ値を対応づけた処理結果情報71を生成する。   The information transmission unit 18 transmits the processing result information 71 to the server 3. The processing result information 71 indicates the result of the collation processing performed by the analysis engine 32 for the file stored in the storage medium 40. In addition, the processing result information 71 includes a hash value that identifies a file that is a target of the collation processing. This hash value is generated by the hash calculation unit 14 and is acquired by the information transmission unit 18 through the target selection unit 16. The information transmission unit 18 generates processing result information 71 in which the hash value is associated with the result information received from the analysis engine 32.

通知応答部20は、サーバ3から後述のアラートを受信し、予め定められた応答を実行する。例えば、アラートが情報送信部18の保有するファイルと同じ内容のファイルでウィルスが検出されたことを示す場合、通知応答部20はソフトウェア30または他のソフトウェアに当該ファイルの駆除または隔離を指示する。アラートの内容を示す表示を行うようにしてもよい。   The notification response unit 20 receives an alert described later from the server 3 and executes a predetermined response. For example, when the alert indicates that a virus is detected in a file having the same content as the file held by the information transmission unit 18, the notification response unit 20 instructs the software 30 or other software to remove or quarantine the file. You may make it perform the display which shows the content of an alert.

一方、サーバ3において、受信部22は、情報処理装置1から情報送信部18によって送信された処理結果情報71を受信する。そして、受信部22は受信した処理結果情報71を結果管理テーブルT2に記録する。情報処理装置1および他の情報処理装置1b,1cから処理結果情報71が逐次記録されることによって上述のように結果情報7が蓄積される。   On the other hand, in the server 3, the reception unit 22 receives the processing result information 71 transmitted from the information processing apparatus 1 by the information transmission unit 18. The receiving unit 22 records the received processing result information 71 in the result management table T2. Result information 7 is accumulated as described above by sequentially recording the processing result information 71 from the information processing apparatus 1 and the other information processing apparatuses 1b and 1c.

送信部24は、結果管理テーブルT2に記録された未配信の処理結果情報71を外部情報72として情報処理装置1および他の情報処理装置1b,1cへ送信する。サーバ3の主導による配信だけでなく、情報処理装置1または他の情報処理装置1b,1cから送信の要求があった場合にも、送信部24は要求に応えて外部情報72を送信する。   The transmission unit 24 transmits the undelivered processing result information 71 recorded in the result management table T2 as the external information 72 to the information processing apparatus 1 and the other information processing apparatuses 1b and 1c. The transmission unit 24 transmits the external information 72 in response to a request from the information processing apparatus 1 or other information processing apparatuses 1b and 1c as well as the distribution led by the server 3.

通知部26はアラート(警告通知)を送信する。アラートは、受信部22によって受信された処理結果情報71が照合での一致を示す場合、例えばウィルス検査でウィルスが発見された場合に送信される。アラートの送信先は、処理結果情報71において照合での一致が示されるファイルであってかつ処理結果情報71に対応した照合定義情報とは異なる照合定義情報に基づく照合処理を受けたファイルを保有する情報処理装置1,1b,1cである。通知部26は、処理結果情報71が受信されるごとに、または所定のタイミングでアラートの送信の要否を判断する。   The notification unit 26 transmits an alert (warning notification). The alert is transmitted when the processing result information 71 received by the receiving unit 22 indicates a match by collation, for example, when a virus is found by virus inspection. The transmission destination of the alert has a file that has been subjected to a collation process based on collation definition information that is different from the collation definition information corresponding to the processing result information 71 and that is a file that indicates matching in the processing result information 71. Information processing apparatuses 1, 1b, and 1c. The notification unit 26 determines whether or not it is necessary to transmit an alert each time the processing result information 71 is received or at a predetermined timing.

図3において、情報処理装置1が保有する結果テーブルT1のデータ構造が示される。結果テーブルT1は、データ項目として、「照合パターンのハッシュ値」、「更新日」、「対象ファイルのハッシュ値」、「処理結果の所在」および「処理結果情報」を有する。   In FIG. 3, the data structure of the result table T1 held by the information processing apparatus 1 is shown. The result table T1 includes, as data items, “matching pattern hash value”, “update date”, “target file hash value”, “location of processing result”, and “processing result information”.

「照合パターンのハッシュ値」の“照合パターン”とは、記憶媒体40に格納されているファイル(照合処理の対象)と照合するデータを示す情報である。例えば、ウィルス検査における照合パターンは、ウィルスの特徴的なビット列パターンおよびウィルスに対する対処方法を示す定義情報である。定義情報は、照合処理を担うソフトウェア30によって管理されている。ウィルス検査の定義情報が新たなウィルスの発生ごとに更新されるように、定義情報は一定とは限らない。個人情報検出でも辞書が更新されたり追加されたりする。   The “collation pattern” of the “collation pattern hash value” is information indicating data to be collated with a file (target for collation processing) stored in the storage medium 40. For example, a collation pattern in virus inspection is definition information indicating a characteristic bit string pattern of a virus and a countermeasure for the virus. The definition information is managed by software 30 that is responsible for collation processing. Definition information is not always constant so that virus inspection definition information is updated each time a new virus occurs. The dictionary is updated or added even when personal information is detected.

照合パターンが異なれば、対象ファイルが同じであっても照合処理の結果が同じとは限らない。定義情報の版数が違ったり、使用するソフトウェア30の製造元が違ったりすれば、必然的に照合パターンは異なる。したがって、過去に他の情報処理装置1b,1cで照合処理を受けたファイルと同じファイルについて情報処理装置1での照合処理を省略するには、過去の照合処理とこれから実行しようとする照合処理とで、照合パターンが同一である必要がある。照合パターンが同一か否かのチェックを容易にするために、照合パターンについてハッシュ値が算出され、「照合パターンのハッシュ値」として結果テーブルT1に記録される。   If the matching patterns are different, the result of the matching process is not always the same even if the target files are the same. If the version number of the definition information is different or the manufacturer of the software 30 to be used is different, the verification pattern is necessarily different. Therefore, in order to omit the collation process in the information processing apparatus 1 for the same file that has been subjected to the collation process in the other information processing apparatuses 1b and 1c in the past, the past collation process and the collation process to be executed in the future Therefore, the matching pattern needs to be the same. In order to facilitate checking whether or not the collation patterns are the same, a hash value is calculated for the collation pattern and recorded in the result table T1 as “the hash value of the collation pattern”.

図3の「照合パターンのハッシュ値」および「対象ファイルのハッシュ値」において、ハッシュ値の例が“AAAA”“CCCC”“ZZZ..ZZ”というように便宜的にアルファベトで表されているが、実際のハッシュ値は所定桁数のビット列である。   In “Hash value of collation pattern” and “Hash value of target file” in FIG. 3, examples of hash values are expressed in alphabetical characters for convenience, such as “AAAA”, “CCCC”, and “ZZZ..ZZ”. However, the actual hash value is a bit string having a predetermined number of digits.

照合パターンについてのハッシュ値の算出はハッシュ演算部14が行う。その際、図4(A)のように、ウィルス検出の場合には、ウィルスパターンを示す定義情報からハッシュ値を生成すればよい。個人情報検出の場合には、図4(B)のように、人名辞書、地名辞書、検出ルールなどの処理に関わる一群のファイルを連結して一つの定義情報にまとめたデータからハッシュ値を生成すればよい。   The hash calculation unit 14 calculates a hash value for the verification pattern. At this time, as shown in FIG. 4A, in the case of virus detection, a hash value may be generated from definition information indicating a virus pattern. In the case of personal information detection, as shown in FIG. 4 (B), a hash value is generated from data obtained by concatenating a group of files related to processing such as a personal name dictionary, a place name dictionary, and a detection rule into one definition information. do it.

図3に戻って、「更新日」という項目では、処理結果情報が結果テーブルT1に記録された日付の範囲が示される。この項目があることによって、一定日数が経過した記録や古い記録を削除し、それによって結果テーブルT1の検索を効率化することができる。   Returning to FIG. 3, the item “update date” indicates a date range in which the processing result information is recorded in the result table T <b> 1. By having this item, it is possible to delete a record that has passed a certain number of days or an old record, thereby making the search of the result table T1 more efficient.

「対象ファイルのハッシュ値」は、過去に情報処理装置1または他の情報処理装置1b,1cで照合処理を受けたファイルについて生成されたハッシュ値である。この項目においては、複数の情報処理装置1,1b,1cで共通に保有されるファイルを優先的に記録するとか、例えばテーブル容量に制約がある場合には保有している情報処理装置の数が少ないファイルを記録しないとかいう、記録の選別を行うことができる。   The “hash value of the target file” is a hash value generated for a file that has undergone collation processing in the information processing apparatus 1 or other information processing apparatuses 1b and 1c in the past. In this item, the number of information processing devices held is preferentially recorded in common with a plurality of information processing devices 1, 1 b, 1 c, or when there is a restriction on the table capacity, for example. It is possible to perform recording selection such as not recording a small number of files.

「処理結果の所在」は、ハッシュ値で特定される対象ファイルについての処理結果情報が格納されたメモリ空間上の位置(アドレス)を示す。図示の例ではハードディスクのシーク位置が記録される。この項目があることによって、「対象ファイルのハッシュ値」を検索して一致するハッシュ値が見つかったとき、「処理結果の所在」を参照してハッシュ値に該当するファイルの処理結果情報を読み出すランダムアクセスが可能になる。   “Location of processing result” indicates a position (address) in the memory space in which processing result information for the target file specified by the hash value is stored. In the illustrated example, the seek position of the hard disk is recorded. When there is a matching hash value by searching for the “hash value of the target file” by this item, the processing result information of the file corresponding to the hash value is read with reference to “location of the processing result” Access is possible.

「処理結果情報」では、処理結果が記録される。例えば、ウィルス検査であれば、ウィルス検出の有無やウィルスの種類などが記録される。図示では便宜的に「処理結果情報」の内容の例が文字列で示されているが、実際には照合処理を担うソフトウェア30の仕様に準じたデータ形式で処理結果が記録される。   In “processing result information”, the processing result is recorded. For example, in the case of virus inspection, the presence / absence of virus detection and the type of virus are recorded. In the drawing, an example of the contents of the “processing result information” is shown as a character string for convenience, but the processing result is actually recorded in a data format conforming to the specification of the software 30 responsible for the collation processing.

図5はサーバ3が保有する結果管理テーブルT2のデータ構造を示す。結果管理テーブルT2は、データ項目として、「照合パターンのハッシュ値」、「クライアントID」、「対象ファイルのハッシュ値」および「処理結果情報」を有する。これらのうち、「クライアントID」以外の項目は、上述した結果テーブルT1の項目と同様である。「クライアントID」は、複数の情報処理装置1,1b、1cのそれぞれを一意に表す識別データである。   FIG. 5 shows the data structure of the result management table T2 held by the server 3. The result management table T2 includes, as data items, “matching pattern hash value”, “client ID”, “hash value of target file”, and “processing result information”. Of these, items other than “client ID” are the same as the items in the result table T1 described above. “Client ID” is identification data that uniquely represents each of the plurality of information processing apparatuses 1, 1b, and 1c.

図6はサーバ3がアラートを発信する状況の例を示す。図6における結果管理テーブルT2の下から2番目の欄のとおり、ハッシュ値が“XXXXXXXXX”であるファイルでウィルスが検出されたとの処理結果情報が得られたとする。この情報は、ハッシュ値が“CCCC”である定義情報に基づく照合処理(この場合はウィルス検査)の結果であり、「クライアントID」が“001”の情報処理装置において得られた情報である。この情報に該当するファイル(ハッシュ値が“XXXXXXXXX”)については別の処理結果情報が結果管理テーブルT2において記録されている。その情報はハッシュ値が“BBBB”である定義情報に基づく照合処理では問題なし(ウィルスが検出されなかった)という情報である。“CCCC”ではウィルスが検出されたのに“BBBB”では“問題なし”ということは、“BBBB”に基づく検査ではウィルスの検出漏れがあることを意味する。そこで、問題なしとの結果を送信した情報処理装置(クライアントIDが“002”)に対して、サーバ3は“XXXXXXXXX”のファイルについての対処を促すアラートを送信する。   FIG. 6 shows an example of a situation where the server 3 sends an alert. Assume that processing result information indicating that a virus is detected in a file having a hash value “XXXXXXXXX” is obtained as shown in the second column from the bottom of the result management table T2 in FIG. This information is a result of collation processing (in this case, virus inspection) based on the definition information whose hash value is “CCCC”, and is information obtained in the information processing apparatus whose “client ID” is “001”. For the file corresponding to this information (has a hash value “XXXXXXXXX”), another processing result information is recorded in the result management table T2. The information is information that there is no problem (no virus was detected) in the collation process based on the definition information whose hash value is “BBBB”. A virus detected in “CCCC” but “no problem” in “BBBB” means that a test based on “BBBB” has a virus detection failure. Therefore, the server 3 transmits an alert for prompting to deal with the file “XXXXXXXXX” to the information processing apparatus (client ID is “002”) that has transmitted a result indicating no problem.

以上の支援システム10の動作は図7ないし図9のフローチャートで示される。   The operation of the support system 10 described above is shown in the flowcharts of FIGS.

図7において、ハッシュ演算部14が照合処理の対象ファイルのハッシュ値を算出する(#11)。ここでの対象ファイルは、照合処理を担うソフトウェア30に対して指定されたファイルである。フルスキャンが指定された場合は、情報処理装置1内の全ファイルが対象ファイルとなる。ハッシュ演算部14はファイルごとにハッシュ値を算出する。   In FIG. 7, the hash calculator 14 calculates the hash value of the target file for the collation process (# 11). The target file here is a file designated for the software 30 responsible for the collation processing. When full scan is designated, all files in the information processing apparatus 1 become target files. The hash calculator 14 calculates a hash value for each file.

対象選別部16が算出されたハッシュ値の一つに注目し、結果テーブルT1にそのハッシュ値が記録されているか否かをチェックする。このときに照合パターンのハッシュ値が合致するものからチェックする。すなわち、ウィルス検査では、現在チェックしている定義情報と同じ定義情報のテーブルを読み出し、照合を行う。照合パターンのハッシュ値が一致するものがなければ、結果テーブルに存在しないと判定する(#12)。サーバ3からの結果情報の配信にはタイムラグがあるので、ネットワーク100の負荷が小さい場合には、サーバ3から最新の結果情報を取得するよう対象選別部16は情報取得部12に要求することができる。   The target selection unit 16 pays attention to one of the calculated hash values, and checks whether or not the hash value is recorded in the result table T1. At this time, the check is performed from the matching hash value of the matching pattern. That is, in the virus inspection, the same definition information table as the currently checked definition information is read out and collated. If there is no matching pattern hash value, it is determined that it does not exist in the result table (# 12). Since there is a time lag in the distribution of the result information from the server 3, when the load on the network 100 is small, the target selection unit 16 may request the information acquisition unit 12 to acquire the latest result information from the server 3. it can.

注目したハッシュ値が結果テーブルT1に存在した場合(#12でYES)、対象選別部16は当該ハッシュ値に対応するファイルを照合処理の対象から除外し、結果テーブルT1の示す処理結果情報を利用する(#13)。すなわち、対象選別部16は、解析エンジン32に対して当該ファイルについてのスキャン解析(照合処理)を省略させ、結果テーブルT1から読み出した処理結果情報を解析エンジン32に与える。   When the focused hash value exists in the result table T1 (YES in # 12), the target selection unit 16 excludes the file corresponding to the hash value from the target of the collation process, and uses the processing result information indicated in the result table T1. (# 13). That is, the target selection unit 16 causes the analysis engine 32 to omit scan analysis (collation processing) for the file, and gives the processing result information read from the result table T1 to the analysis engine 32.

一方、注目したハッシュ値が結果テーブルT1に存在しない場合(#12でNO)、対象選別部16は解析エンジン32に対して当該ファイルについてのスキャン解析を依頼する(#14)。   On the other hand, if the focused hash value does not exist in the result table T1 (NO in # 12), the target selection unit 16 requests the analysis engine 32 to perform scan analysis on the file (# 14).

ソフトウェア30に対して指定されたファイルの全てについてスキャン解析の要否を決める処理を終えるまで(#15でYES)、#11〜#15が繰り返される。スキャン解析の要否を決める処理が終わり、解析エンジン32によるスキャン解析が終了すると、情報送信部18が解析エンジン32から取得した解析結果に対象ファイルを特定するハッシュ値を対応づけた処理結果情報71をサーバ3に送信する(#16)。   Steps # 11 to # 15 are repeated until the process of determining whether or not the scan analysis is necessary for all the files specified for the software 30 is completed (YES in # 15). When the process for determining whether or not the scan analysis is necessary is finished and the scan analysis by the analysis engine 32 is finished, the processing result information 71 in which the information transmission unit 18 associates the analysis result acquired from the analysis engine 32 with the hash value for specifying the target file. Is transmitted to the server 3 (# 16).

図8において、サーバ3の受信部22は情報処理装置1からの処理結果情報71を受信し(#21)、結果管理テーブルT2に受信した情報を情報処理装置1のIDとともに記録する(#22)。通知部26がアラートの発信の要否を判別し(#23)、発信が必要であれば(#23でYES)、上述のとおり問題のあるファイルを保有する情報処理装置へアラートを発信する(#24)。   In FIG. 8, the receiving unit 22 of the server 3 receives the processing result information 71 from the information processing apparatus 1 (# 21), and records the received information together with the ID of the information processing apparatus 1 in the result management table T2 (# 22). ). The notification unit 26 determines whether it is necessary to send an alert (# 23), and if the call is necessary (YES in # 23), the alert is sent to the information processing apparatus having the problematic file as described above ( # 24).

サーバ3の送信部24による各情報処理装置1,1b、1cへの外部情報72の配信は、受信部22による情報処理装置1,1b、1cからの処理結果情報71の収集とは非同期で適時に実行される(図9の#31)。   Delivery of the external information 72 to the information processing devices 1, 1b, 1c by the transmission unit 24 of the server 3 is timely and asynchronous with the collection of the processing result information 71 from the information processing devices 1, 1b, 1c by the reception unit 22. (# 31 in FIG. 9).

以上のように照合処理の対象を他の装置での処理結果を利用することで削減する情報処理装置1,1b,1cは、例えば図10に示す一般的なハードウェア構成を有したパーソナルコンピュータにおいて実現することができる。パーソナルコンピュータは、各種プログラムを実行するCPU(central processing unit)61、制御プログラムを記憶するROM(Read Only Memory)62、およびワークエリアとなるRAM(Random Access Memory)63を有する。データの蓄積にはストレージとしてのハードディスクドライブ64が用いられる。CD−ROM(Compact Disc Read Only Memory)やDVD(Digital Versatile Disk)にアクセスするためのリムーバブルメディアドライブ65およびネットワーク接続のための通信インタフェース66もパーソナルコンピュータの構成要素である。支援システム10の情報処理装置1側の機能を実現するコンピュータプログラムを、それを格納したリムーバブル記憶メディア651または通信インタフェース66を介して接続された外部装置から、ストレージ64にインストールすることができる。また、パーソナルコンピュータは、ヒューマンインタフェースデバイスとしてのディスプレイ67、キーボード68およびマウス69を含む。   As described above, the information processing apparatuses 1, 1 b, and 1 c that reduce the target of the collation processing by using the processing result in another apparatus are, for example, in a personal computer having a general hardware configuration illustrated in FIG. 10. Can be realized. The personal computer has a central processing unit (CPU) 61 that executes various programs, a read only memory (ROM) 62 that stores control programs, and a random access memory (RAM) 63 that serves as a work area. For storage of data, a hard disk drive 64 as a storage is used. A removable media drive 65 for accessing a CD-ROM (Compact Disc Read Only Memory) and a DVD (Digital Versatile Disk) and a communication interface 66 for network connection are also components of the personal computer. A computer program that realizes the function of the support system 10 on the information processing apparatus 1 side can be installed in the storage 64 from a removable storage medium 651 storing the program or an external device connected via the communication interface 66. The personal computer also includes a display 67, a keyboard 68, and a mouse 69 as human interface devices.

以上の実施形態では、サーバ3を経由する送受信によって複数の情報処理装置1,1b、1cが結果情報7を共有したが、複数の情報処理装置1,1b、1cが情報を交換して結果情報7を共有するようにすることができる。その場合、各情報処理装置1,1b、1cがサーバ3の機能をもち、どの情報処理装置でどの定義情報に基づく照合処理が行われたかを把握し、必要に応じてアラートを発信する。   In the above embodiment, the plurality of information processing apparatuses 1, 1b, 1c share the result information 7 by transmission / reception via the server 3, but the plurality of information processing apparatuses 1, 1b, 1c exchange information to obtain result information. 7 can be shared. In that case, each information processing device 1, 1b, 1c has the function of the server 3, grasps which information processing device has performed the matching processing based on which definition information, and sends an alert as necessary.

上述の実施形態において、照合処理を実行する情報処理装置1,1b、1cの数は例示の3に限定されず、複数であればよい。   In the above-described embodiment, the number of the information processing apparatuses 1, 1b, and 1c that execute the matching process is not limited to 3 as illustrated, and may be plural.

1,1b、1c 情報処理装置(第1の情報処理装置)
72 外部情報
12 情報取得部
40 記憶媒体
15 ハッシュ値
14 ハッシュ演算部
16 対象選別部
18 情報送信部
3 サーバ(第2の情報処理装置)
22 受信部
24 送信部
26 通知部 1, 1b, 1c Information processing device (first information processing device)
72 External information 12 Information acquisition unit 40 Storage medium 15 Hash value 14 Hash calculation unit 16 Target selection unit 18 Information transmission unit 3 Server (second information processing apparatus)
22 receiving unit 24 transmitting unit 26 notifying unit

Claims (6)

情報処理装置において実行されるコンピュータプログラムであって、
照合定義情報に基づく照合処理を受けた処理済みデータをハッシュ値で特定しかつ当該処理済みデータについての処理結果を示す外部情報を、ネットワーク通信によって取得する情報取得部と、
記憶媒体に格納されているデータから、前記外部情報が有するハッシュ値の生成に適用されたハッシュ関数を用いてハッシュ値を生成するハッシュ演算部と、
前記ハッシュ演算部によって生成されたハッシュ値と前記外部情報が有するハッシュ値とが一致する場合に、前記記憶媒体に格納されている前記データを前記照合処理の対象から除外する対象選別部と、を有する装置として前記情報処理装置を動作させる
ことを特徴とするコンピュータプログラム。 A computer program executed in an information processing apparatus,
An information acquisition unit that specifies the processed data that has undergone the collation processing based on the collation definition information by a hash value and obtains external information indicating the processing result of the processed data by network communication;
A hash calculation unit that generates a hash value from data stored in a storage medium using a hash function applied to generation of a hash value included in the external information;
A target selection unit that excludes the data stored in the storage medium from the target of the collation process when the hash value generated by the hash calculation unit and the hash value of the external information match. A computer program for operating the information processing apparatus as an apparatus having the apparatus. 前記記憶媒体に格納されている前記データを対象として行われた前記照合処理の結果を示しかつ当該対象データをハッシュ値で特定する処理結果情報を、前記情報処理装置とネットワークを介して接続された他の装置へ送信する情報送信部を有する装置として、前記情報処理装置を動作させる
請求項1記載のコンピュータプログラム。 Processing result information indicating the result of the collation processing performed on the data stored in the storage medium and specifying the target data with a hash value is connected to the information processing apparatus via a network. The computer program according to claim 1, wherein the information processing apparatus is operated as an apparatus having an information transmission unit for transmitting to another apparatus. 記憶媒体に格納されたデータへのアクセスが可能な情報処理装置であって、
照合定義情報に基づく照合処理を受けた処理済みデータをハッシュ値で特定しかつ当該処理済みデータについての処理結果を示す外部情報を、ネットワーク通信によって取得する情報取得部と、
記憶媒体に格納されているデータから、前記外部情報が有するハッシュ値の生成に適用されたハッシュ関数を用いてハッシュ値を生成するハッシュ演算部と、
前記ハッシュ演算部によって生成されたハッシュ値と前記外部情報が有するハッシュ値とが一致する場合に、前記記憶媒体に格納されている前記データを前記照合処理の対象から除外する対象選別部と、を有する
ことを特徴とする情報処理装置。 An information processing apparatus capable of accessing data stored in a storage medium,
An information acquisition unit that specifies the processed data that has undergone the collation processing based on the collation definition information by a hash value and obtains external information indicating the processing result of the processed data by network communication;
A hash calculation unit that generates a hash value from data stored in a storage medium using a hash function applied to generation of a hash value included in the external information;
A target selection unit that excludes the data stored in the storage medium from the target of the collation process when the hash value generated by the hash calculation unit and the hash value of the external information match. An information processing apparatus comprising: 請求項2に記載のコンピュータプログラムを実行する第1の情報処理装置と通信可能な第2の情報処理装置において実行されるコンピュータプログラムであって、
前記第1の情報処理装置から送信される前記処理結果情報を受信する受信部と、
前記受信部によって受信された前記処理結果情報を、ネットワークを介して接続された他の装置へ前記外部情報として送信する送信部と、を有する装置として前記第2の情報処理装置を動作させる
ことを特徴とするコンピュータプログラム。 A computer program that is executed in a second information processing apparatus capable of communicating with the first information processing apparatus that executes the computer program according to claim 2,
A receiving unit for receiving the processing result information transmitted from the first information processing apparatus;
Operating the second information processing apparatus as a device having a transmission unit that transmits the processing result information received by the reception unit as the external information to another device connected via a network. A featured computer program. 前記受信部によって受信された前記処理結果情報がデータどうしの一致を示す場合に、前記処理結果情報に該当するデータであってかつ前記照合定義情報とは異なる照合定義情報に基づく照合処理を受けたデータを保有する他の装置に対して、当該データに関する通知をする通知部をさらに有する装置として、前記第2の情報処理装置を動作させる
請求項4記載のコンピュータプログラム。 When the processing result information received by the receiving unit indicates a match between the data, a matching process based on matching definition information that is data corresponding to the processing result information and different from the matching definition information is received. The computer program according to claim 4, wherein the second information processing apparatus is operated as an apparatus that further includes a notification unit that notifies other apparatuses that hold data about the data. 請求項2に記載のコンピュータプログラムを実行する第1の情報処理装置と通信可能な第2の情報処理装置であって、
前記第1の情報処理装置から送信される前記処理結果情報を受信する受信部と、
前記受信部によって受信された前記処理結果情報を、ネットワークを介して接続された他の装置へ前記外部情報として送信する送信部と、を有する
ことを特徴とする情報処理装置。 A second information processing apparatus capable of communicating with a first information processing apparatus that executes the computer program according to claim 2,
A receiving unit for receiving the processing result information transmitted from the first information processing apparatus;
An information processing apparatus comprising: a transmission unit that transmits the processing result information received by the reception unit as the external information to another device connected via a network.
JP2010077957A 2010-03-30 2010-03-30 Information processor and computer program Withdrawn JP2011210058A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010077957A JP2011210058A (en) 2010-03-30 2010-03-30 Information processor and computer program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010077957A JP2011210058A (en) 2010-03-30 2010-03-30 Information processor and computer program

Publications (1)

Publication Number Publication Date
JP2011210058A true JP2011210058A (en) 2011-10-20

Family

ID=44941033

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010077957A Withdrawn JP2011210058A (en) 2010-03-30 2010-03-30 Information processor and computer program

Country Status (1)

Country Link
JP (1) JP2011210058A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013069758A1 (en) * 2011-11-10 2013-05-16 株式会社セキュアブレイン Unauthorized application detection system and method

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013069758A1 (en) * 2011-11-10 2013-05-16 株式会社セキュアブレイン Unauthorized application detection system and method
CN103917981A (en) * 2011-11-10 2014-07-09 思科博瑞公司 Unauthorized application detection system and method
JPWO2013069758A1 (en) * 2011-11-10 2015-04-02 株式会社セキュアブレイン Unauthorized application detection system and method

Similar Documents

Publication Publication Date Title
Milajerdi et al. Poirot: Aligning attack behavior with kernel audit records for cyber threat hunting
CN102272771B (en) Shared repository of malware data
US8091127B2 (en) Heuristic malware detection
US8375450B1 (en) Zero day malware scanner
US8955133B2 (en) Applying antimalware logic without revealing the antimalware logic to adversaries
US9111094B2 (en) Malware detection
KR101260028B1 (en) Automatic management system for group and mutant information of malicious code
CN110213207B (en) Network security defense method and equipment based on log analysis
US7565695B2 (en) System and method for directly accessing data from a data storage medium
US11580220B2 (en) Methods and apparatus for unknown sample classification using agglomerative clustering
WO2018233630A1 (en) Fault discovery
US20140298470A1 (en) System and Method for Adaptive Modification of Antivirus Databases
US11481493B2 (en) Systems and methods for generating an inventory of software applications for optimized analysis
JP2010182019A (en) Abnormality detector and program
US20210165785A1 (en) Remote processing of memory and files residing on endpoint computing devices from a centralized device
US7346611B2 (en) System and method for accessing data from a data storage medium
US8453242B2 (en) System and method for scanning handles
CN104881483A (en) Automatic detecting and evidence-taking method for Hadoop platform data leakage attack
KR101228902B1 (en) Cloud Computing-Based System for Supporting Analysis of Malicious Code
Fu et al. Data correlation‐based analysis methods for automatic memory forensic
WO2020233013A1 (en) Data processing method and device, and storage medium
US20130312100A1 (en) Electronic device with virus prevention function and virus prevention method thereof
JP2011210058A (en) Information processor and computer program
US10902125B2 (en) Infected file detection and quarantine system
US20230022044A1 (en) ANALYSIS DEVICE, AND METHOD FOR DETECTING MALWARE IN AN iOS DEVICE

Legal Events

Date Code Title Description
A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20130604