JP2013168141A - マルウェアの検出方法 - Google Patents
マルウェアの検出方法 Download PDFInfo
- Publication number
- JP2013168141A JP2013168141A JP2013015153A JP2013015153A JP2013168141A JP 2013168141 A JP2013168141 A JP 2013168141A JP 2013015153 A JP2013015153 A JP 2013015153A JP 2013015153 A JP2013015153 A JP 2013015153A JP 2013168141 A JP2013168141 A JP 2013168141A
- Authority
- JP
- Japan
- Prior art keywords
- code
- malware
- call
- site
- security application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 43
- 230000008569 process Effects 0.000 claims abstract description 22
- 238000007689 inspection Methods 0.000 claims abstract description 7
- 238000009434 installation Methods 0.000 claims abstract description 7
- 238000001514 detection method Methods 0.000 claims description 5
- 230000000694 effects Effects 0.000 claims description 5
- 230000006870 function Effects 0.000 description 7
- 230000006399 behavior Effects 0.000 description 3
- 238000011900 installation process Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/561—Virus type analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Stored Programmes (AREA)
- Storage Device Security (AREA)
Abstract
【解決手段】検査対象プロセスコードがシステムコールを行う度にそれを検出し、コールサイトをさらに検出する。サイトの周囲の領域内の、かつ/またはサイトに関連した分岐内のコードの部分が解析され、検査対象プロセスコードが定義済みのソフトウェア・コード・パターンのうちの1つに対応するかどうか判定するために、コードの解析対象部分のプロパティが定義済みのソフトウェア・コード・パターンと比較される。次いで、検査対象プロセスコードが比較結果に従って分類される。
【選択図】図1
Description
Claims (10)
- セキュリティアプリケーションにより、検査対象ソフトウェアコードがマルウェアであるか否かを判定するための方法であって、
a.前記検査対象プロセスコードが呼び出しを行う度に、検出するステップと、
b.前記検査対象プロセスコード内のサイトである呼び出しサイトを検出するステップであって、前記呼び出しが当該サイトから起動されたものである、ステップと、
c.前記サイトの周囲の領域内、および/または、前記サイトに関連する分岐内のコードの1つまたは2以上の部分を解析するステップと、
d.コードの解析対象部分のプロパティの少なくとも一部と、定義済みのソフトウェア・コード・パターンと、を比較し、前記検査対象プロセスコードが前記定義済みのソフトウェア・コード・パターンのうちの1つに対応するか否か判定するステップと、
e.比較結果に従って前記検査対象プロセスコードを分類するステップと、
を含む方法。 - 前記プロセスコードは、有害または無害として分類される、請求項1に記載の方法。
- 前記検査対象プロセスコードは、実行ファイル、または、DLLからロードされる、請求項1に記載の方法。
- 前記検査対象プロセスコードは、関数呼び出しツリーの一部分、特定のサブルーチン、または、複数のコード命令によって相互に間隔を置いた特定のコードラインの組み合わせである、請求項1に記載の方法。
- 前記セキュリティアプリケーション、または、その少なくとも一部分がクライアント装置にある、請求項1に記載の方法。
- マルウェアをインストールしようとする試みの検出がリアルタイムで行われる、請求項1に記載の方法。
- 検出されると、前記マルウェアが、そのインストール完了を妨げられる、請求項6に記載の方法。
- 前記呼び出しアクティビティがシステムコールである、請求項1に記載の方法。
- 前記セキュリティアプリケーションは、ソフトウェアコードの各解析対象部分を公知のマルウェアパターンの「ブラックリスト」と比較する、請求項1に記載の方法。
- アプリケーション、または、オペレーティングシステムから、前記セキュリティアプリケーションを呼び出すことができる、請求項1に記載の方法。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US13/362,963 | 2012-01-31 | ||
US13/362,963 US9659173B2 (en) | 2012-01-31 | 2012-01-31 | Method for detecting a malware |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2013168141A true JP2013168141A (ja) | 2013-08-29 |
JP6176622B2 JP6176622B2 (ja) | 2017-08-09 |
Family
ID=47740798
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013015153A Active JP6176622B2 (ja) | 2012-01-31 | 2013-01-30 | マルウェアの検出方法 |
Country Status (3)
Country | Link |
---|---|
US (1) | US9659173B2 (ja) |
EP (1) | EP2624163A1 (ja) |
JP (1) | JP6176622B2 (ja) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2017514205A (ja) * | 2014-03-11 | 2017-06-01 | シマンテック コーポレーションSymantec Corporation | インストール前にモバイルデバイス上でマルウェアを検出するためのシステム及び方法 |
JP2017538376A (ja) * | 2014-10-31 | 2017-12-21 | サイバー クルシブル インコーポレイテッド.Cyber Crucible Inc. | オフライン・ネットワーク・トラフィックに基づいてカバート・チャネルのネットワーク侵入を検出するためのシステムおよび方法 |
US10325094B2 (en) | 2014-08-28 | 2019-06-18 | Mitsubishi Electric Corporation | Process analysis apparatus, process analysis method, and process analysis for determining input/output relation of a block of execution trace to detect potential malware |
JP2022533715A (ja) * | 2019-05-20 | 2022-07-25 | センチネル ラブス イスラエル リミテッド | 実行可能コード検出、自動特徴抽出及び位置独立コード検出のためのシステム及び方法 |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11126720B2 (en) * | 2012-09-26 | 2021-09-21 | Bluvector, Inc. | System and method for automated machine-learning, zero-day malware detection |
JP6188956B2 (ja) * | 2013-12-30 | 2017-08-30 | ノキア テクノロジーズ オーユー | マルウェア検出検査方法及び装置 |
WO2015148914A1 (en) * | 2014-03-27 | 2015-10-01 | Cylent Systems, Inc. | Malicious software identification integrating behavioral analytics and hardware events |
US10078752B2 (en) | 2014-03-27 | 2018-09-18 | Barkly Protects, Inc. | Continuous malicious software identification through responsive machine learning |
US10089095B2 (en) * | 2015-05-06 | 2018-10-02 | Mcafee, Llc | Alerting the presence of bundled software during an installation |
CN111897559B (zh) * | 2020-08-06 | 2022-08-26 | 厦门美图之家科技有限公司 | 热更新代码检测方法、装置、电子设备及存储介质 |
US11989294B2 (en) | 2021-01-07 | 2024-05-21 | Bank Of America Corporation | Detecting and preventing installation and execution of malicious browser extensions |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006268687A (ja) * | 2005-03-25 | 2006-10-05 | Mitsubishi Electric Corp | コンピュータウィルス監視プログラム及びこれを用いたコンピュータ端末装置 |
US7340777B1 (en) * | 2003-03-31 | 2008-03-04 | Symantec Corporation | In memory heuristic system and method for detecting viruses |
JP2009037642A (ja) * | 2008-10-14 | 2009-02-19 | Secure Ware:Kk | データ処理方法、データ処理装置、コンピュータプログラム、及び記録媒体 |
JP2009238153A (ja) * | 2008-03-28 | 2009-10-15 | Nec Corp | マルウェア対処システム、方法及びプログラム |
JP2010262609A (ja) * | 2009-04-28 | 2010-11-18 | Fourteenforty Research Institute Inc | 効率的なマルウェアの動的解析手法 |
JP2011501279A (ja) * | 2007-10-15 | 2011-01-06 | ベイジン ライジング インフォメーション テクノロジー カンパニー、リミテッド | コンピュータプログラムの悪意ある行為を見つける方法及び装置 |
JP2011145945A (ja) * | 2010-01-15 | 2011-07-28 | Panasonic Corp | マルウェア検出装置及びマルウェア検出方法 |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050108562A1 (en) * | 2003-06-18 | 2005-05-19 | Khazan Roger I. | Technique for detecting executable malicious code using a combination of static and dynamic analyses |
US20060075494A1 (en) * | 2004-10-01 | 2006-04-06 | Bertman Justin R | Method and system for analyzing data for potential malware |
US7607173B1 (en) * | 2005-10-31 | 2009-10-20 | Symantec Corporation | Method and apparatus for preventing rootkit installation |
US8171550B2 (en) * | 2006-08-07 | 2012-05-01 | Webroot Inc. | System and method for defining and detecting pestware with function parameters |
US8065664B2 (en) * | 2006-08-07 | 2011-11-22 | Webroot Software, Inc. | System and method for defining and detecting pestware |
US8230499B1 (en) * | 2008-05-29 | 2012-07-24 | Symantec Corporation | Detecting and blocking unauthorized downloads |
US20100107257A1 (en) | 2008-10-29 | 2010-04-29 | International Business Machines Corporation | System, method and program product for detecting presence of malicious software running on a computer system |
US20100192222A1 (en) * | 2009-01-23 | 2010-07-29 | Microsoft Corporation | Malware detection using multiple classifiers |
IL197477A0 (en) * | 2009-03-08 | 2009-12-24 | Univ Ben Gurion | System and method for detecting new malicious executables, based on discovering and monitoring of characteristic system call sequences |
-
2012
- 2012-01-31 US US13/362,963 patent/US9659173B2/en active Active
-
2013
- 2013-01-29 EP EP13153123.8A patent/EP2624163A1/en not_active Withdrawn
- 2013-01-30 JP JP2013015153A patent/JP6176622B2/ja active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7340777B1 (en) * | 2003-03-31 | 2008-03-04 | Symantec Corporation | In memory heuristic system and method for detecting viruses |
JP2006268687A (ja) * | 2005-03-25 | 2006-10-05 | Mitsubishi Electric Corp | コンピュータウィルス監視プログラム及びこれを用いたコンピュータ端末装置 |
JP2011501279A (ja) * | 2007-10-15 | 2011-01-06 | ベイジン ライジング インフォメーション テクノロジー カンパニー、リミテッド | コンピュータプログラムの悪意ある行為を見つける方法及び装置 |
JP2009238153A (ja) * | 2008-03-28 | 2009-10-15 | Nec Corp | マルウェア対処システム、方法及びプログラム |
JP2009037642A (ja) * | 2008-10-14 | 2009-02-19 | Secure Ware:Kk | データ処理方法、データ処理装置、コンピュータプログラム、及び記録媒体 |
JP2010262609A (ja) * | 2009-04-28 | 2010-11-18 | Fourteenforty Research Institute Inc | 効率的なマルウェアの動的解析手法 |
JP2011145945A (ja) * | 2010-01-15 | 2011-07-28 | Panasonic Corp | マルウェア検出装置及びマルウェア検出方法 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2017514205A (ja) * | 2014-03-11 | 2017-06-01 | シマンテック コーポレーションSymantec Corporation | インストール前にモバイルデバイス上でマルウェアを検出するためのシステム及び方法 |
US10325094B2 (en) | 2014-08-28 | 2019-06-18 | Mitsubishi Electric Corporation | Process analysis apparatus, process analysis method, and process analysis for determining input/output relation of a block of execution trace to detect potential malware |
JP2017538376A (ja) * | 2014-10-31 | 2017-12-21 | サイバー クルシブル インコーポレイテッド.Cyber Crucible Inc. | オフライン・ネットワーク・トラフィックに基づいてカバート・チャネルのネットワーク侵入を検出するためのシステムおよび方法 |
JP2022533715A (ja) * | 2019-05-20 | 2022-07-25 | センチネル ラブス イスラエル リミテッド | 実行可能コード検出、自動特徴抽出及び位置独立コード検出のためのシステム及び方法 |
JP7278423B2 (ja) | 2019-05-20 | 2023-05-19 | センチネル ラブス イスラエル リミテッド | 実行可能コード検出、自動特徴抽出及び位置独立コード検出のためのシステム及び方法 |
Also Published As
Publication number | Publication date |
---|---|
JP6176622B2 (ja) | 2017-08-09 |
EP2624163A1 (en) | 2013-08-07 |
US20130198842A1 (en) | 2013-08-01 |
US9659173B2 (en) | 2017-05-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6176622B2 (ja) | マルウェアの検出方法 | |
EP2946330B1 (en) | Method and system for protecting computerized systems from malicious code | |
EP3039608B1 (en) | Hardware and software execution profiling | |
KR101122650B1 (ko) | 정상 프로세스에 위장 삽입된 악성코드 탐지 장치, 시스템 및 방법 | |
KR101265173B1 (ko) | 비실행 파일 검사 장치 및 방법 | |
RU2571723C2 (ru) | Система и способ для снижения нагрузки на операционную систему при работе антивирусного приложения | |
JP5265061B1 (ja) | 悪意のあるファイル検査装置及び方法 | |
US20140053267A1 (en) | Method for identifying malicious executables | |
US9183377B1 (en) | Unauthorized account monitoring system and method | |
US9934380B2 (en) | Execution profiling detection of malicious objects | |
KR20180032566A (ko) | 다수 소프트웨어 개체들에 걸쳐서 악성 행동을 트래킹하기 위한 시스템들 및 방법들 | |
US9754105B1 (en) | Preventing the successful exploitation of software application vulnerability for malicious purposes | |
EP2637121A1 (en) | A method for detecting and removing malware | |
US9910983B2 (en) | Malware detection | |
JP6714112B2 (ja) | グラフィカルユーザインターフェース要素に関連した悪意のある行為の軽減 | |
US20130276119A1 (en) | System, method, and computer program product for reacting to a detection of an attempt by a process that is unknown to control a process that is known | |
KR101311367B1 (ko) | 메모리 보호기능 우회 공격 진단 장치 및 방법 | |
US10880316B2 (en) | Method and system for determining initial execution of an attack | |
CN112395603A (zh) | 基于指令执行序列特征的漏洞攻击识别方法、装置及计算机设备 | |
WO2014048751A1 (en) | Method and apparatus for detecting a malicious website | |
RU2774042C1 (ru) | Система и способ выявления потенциально вредоносных изменений в приложении | |
Upadhya et al. | Runtime solution for minimizing drive-by-download attacks | |
Muthumanickam et al. | Research Article An Effective Method for Protecting Native API Hook Attacks in User-mode | |
Jung et al. | Under Cover of Darkness: Hiding Tasks via Hardware Task Switching |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160114 |
|
RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20161122 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20161130 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20161122 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20161228 |
|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20170106 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20170106 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170306 Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20170306 |
|
RD12 | Notification of acceptance of power of sub attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7432 Effective date: 20170306 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20170307 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170613 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20170614 |
|
RD14 | Notification of resignation of power of sub attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7434 Effective date: 20170614 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170704 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6176622 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |