JP2013168141A - マルウェアの検出方法 - Google Patents
マルウェアの検出方法 Download PDFInfo
- Publication number
- JP2013168141A JP2013168141A JP2013015153A JP2013015153A JP2013168141A JP 2013168141 A JP2013168141 A JP 2013168141A JP 2013015153 A JP2013015153 A JP 2013015153A JP 2013015153 A JP2013015153 A JP 2013015153A JP 2013168141 A JP2013168141 A JP 2013168141A
- Authority
- JP
- Japan
- Prior art keywords
- code
- malware
- call
- site
- security application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 43
- 230000008569 process Effects 0.000 claims abstract description 22
- 238000007689 inspection Methods 0.000 claims abstract description 7
- 238000009434 installation Methods 0.000 claims abstract description 7
- 238000001514 detection method Methods 0.000 claims description 5
- 230000000694 effects Effects 0.000 claims description 5
- 230000006870 function Effects 0.000 description 7
- 230000006399 behavior Effects 0.000 description 3
- 238000011900 installation process Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/561—Virus type analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Stored Programmes (AREA)
- Storage Device Security (AREA)
Abstract
【課題】マルウェアと関連付けられた挙動を検出し、マルウェアのインストールを防止できるようにする。
【解決手段】検査対象プロセスコードがシステムコールを行う度にそれを検出し、コールサイトをさらに検出する。サイトの周囲の領域内の、かつ/またはサイトに関連した分岐内のコードの部分が解析され、検査対象プロセスコードが定義済みのソフトウェア・コード・パターンのうちの1つに対応するかどうか判定するために、コードの解析対象部分のプロパティが定義済みのソフトウェア・コード・パターンと比較される。次いで、検査対象プロセスコードが比較結果に従って分類される。
【選択図】図1
【解決手段】検査対象プロセスコードがシステムコールを行う度にそれを検出し、コールサイトをさらに検出する。サイトの周囲の領域内の、かつ/またはサイトに関連した分岐内のコードの部分が解析され、検査対象プロセスコードが定義済みのソフトウェア・コード・パターンのうちの1つに対応するかどうか判定するために、コードの解析対象部分のプロパティが定義済みのソフトウェア・コード・パターンと比較される。次いで、検査対象プロセスコードが比較結果に従って分類される。
【選択図】図1
Description
本発明はインターネットセキュリティの分野に関する。より詳細には、本発明は、より安全なブラウジングを提供するとともに、オンラインの機密情報の盗用を防止するための方法に関する。
ウェブブラウザがパーソナルコンピュータ上で最も頻繁に使用されるアプリケーションになり、銀行取引や買物取引など、より多くのユーザ機密データがウェブブラウザを介して入力されるようになるにつれて、悪質な攻撃がウェブブラウザにますます集中するようになってきている。悪質なコードをインストールできる悪質なセキュリティー上の弱点(exploit)の数がますます増加しており、悪質なブラウザ拡張機能が標的コンピュータシステム上で存続し続ける。悪質なブラウザ拡張機能がコンピュータシステム上で存続するために、典型的には、悪質な拡張機能がディスク上で存続するための悪質なファイルが作成され、ブラウザ拡張機能がオペレーティングシステムに登録されていることをウェブブラウザに通知するために、悪質なブラウザ拡張機能と関連付けられたレジストリエントリが作成される。
したがって、例えば、ユーザがユーザ機密データをウェブページのフォームフィールドに入力し、悪質なブラウザ拡張機能がウェブブラウザ上に存在している場合、悪質なブラウザ拡張機能がイベントを受け取るときに、悪質なブラウザ拡張機能は潜在的にそのイベントの内容にアクセスし、それを変更することができる。例えば、悪質なブラウザは、イベントの予定日超過(post data)パラメータにおける銀行口座の銀行進展コードといったユーザ機密データを複写または変更することができ、結果としてユーザ機密データが危険にさらされることになる。
消費者およびサービス提供者を保護するために、多くのソフトウェアおよびハードウェア解決策が提案され、あるいは、開発されている。これらの方法はおおむねオンライン認証を強化するが、オンラインアクティビティのための最も普及しているツールであるウェブブラウザが安全であることを暗黙的に前提としている。また、これらの解決策は、マルウェアのインストールプロセスに対する保護の提供を対象とするものではない。
既存の解決策の別の問題は、*.exeファイルを有害または無害として分類するために、保護ツールがそのファイルの内容をスキャンする必要があり得ることである。往々にしてこのプロセスは、悪質なファイルがそのファイル自身をインストールするのに必要とする時間より長い時間を要する場合がある。この限界は感染したシステムに不可避の損傷をもたらし得る。
この問題に対処し、ウェブをブラウズしている間の悪用からユーザを保護するためには、ブラウザ感染検出ツールが必要である。
したがって、本発明の目的は、マルウェアと関連付けられた挙動を検出することができるシステムを提供することである。
本発明の別の目的は、マルウェアの完全なインストールを防止することができるシステムを提供することである。
本発明の他の目的および利点は説明が進むにつれて明らかになるであろう。
本発明は、セキュリティアプリケーションにより、検査対象ソフトウェアコードがマルウェアであるか否か判定するためのシステムおよび方法を対象とする。この方法に従って、システムは、検査対象プロセスコードが呼び出し(システムコールなど)を行う度に、検出し、呼び出し(call)サイト(検査対象プロセスコード内のサイトであって、呼び出しが当該サイトから起動された)をさらに検出する。サイトの周囲の領域内の、および/または、サイトに関連する分岐内のコードの1つまたは2以上の部分が解析され、検査対象プロセスコードが定義済みのソフトウェア・コード・パターンのうちの1つに対応するかどうか判定するために、コードの解析対象部分のプロパティの少なくとも一部が定義済みのソフトウェア・コード・パターンと比較される。次いで、検査対象プロセスコードが比較結果に従って分類される。
検査対象プロセスコードは、有害または無害として分類され、実行ファイルから、またはDLLからロードされ得る。
検査対象プロセスコードは、関数呼び出しツリーの一部分とすることも、特定のサブルーチンとすることも、数コード命令ずつ相互に間隔を置いた特定のコードラインの組み合わせとすることもできる。
セキュリティアプリケーションまたはその少なくとも一部分は、クライアント装置上にあってよい。
マルウェアをインストールしようとする試みの検出はオフラインで、または、リアルタイムで行われ得る。検出され次第、マルウェアはそのインストールの完了を妨げられる。
一態様では、セキュリティアプリケーションは、アプリケーション、または、オペレーティングシステムから呼び出されることができ、ソフトウェアコードの各解析対象部分を公知のマルウェアパターンの「ブラックリスト」と比較する。
図面および以下の説明は単なる例としての本発明の実施形態に関するものである。以下の考察を読めば、本明細書で開示される構造および方法の代替の実施形態が、特許請求される発明の原理から逸脱しない限り、用いられ得る実行可能な選択肢として容易に認められるであろうことに留意すべきである。
次に、その例が添付の図に示されている(1つまたは複数の)本発明のいくつかの実施形態を参照する。使用できる場合にはどこでも、同様の、または類似の参照番号が各図において使用され、同様の、または類似の機能を指示し得る。各図には、本発明の実施形態が例示としてのみ示されている。以下の説明を読めば、当業者は、本明細書で例示される構造および方法の代替の実施形態が、本明細書で説明される本発明の原理を逸脱することなく用いられ得ることを容易に理解するであろう。
特に指示しない限り、ここで説明される機能は、コンピュータ可読媒体に記憶され、1つまたは複数のプロセッサベースのシステム上で走る実行可能コードおよび命令によって行われてよい。しかし、状態機械および/または配線による電子回路も利用することができる。さらに、ここで説明されるプロセスの例に関して、すべてのプロセス状態に到達される必要があるとは限らず、各状態が例示の順に行われる必要もない。さらに、順次に行われるものとして例示されるいくつかのプロセス状態を並列に行うこともできる。
同様に、いくつかの例ではパーソナルコンピュータ(PC)システムに言及する場合もあるが、MAC、他のコンピュータまたは電子システム、例えば、それだけに限定されないが、ネットワーク対応の携帯情報端末(PDA)、スマートフォン、タブレットなども使用することができる。
本発明は、(例えばウェブブラウザをマルウェアに感染させるために)コンピュータシステムにマルウェアをインストールしようとする試みをリアルタイムに検出するための方法に関するものである。本発明の一実施形態によれば、以下で例示するように、マルウェア(または他の疑わしいソフトウェアコード)が当該マルウェアのインストールを完了するのを防止するための方法が提供される。
ここでは、「マルウェア」という用語は、権限が付与されたユーザが知ることなく、および/または、権限が付与されたユーザの同意なしに、コンピュータシステム環境に入る任意のコンピュータプログラム、モジュール、モジュールのセット、またはコードとして定義される悪質なコードを指す。ブラウザイベント内のユーザ私用データにアクセスすることのできる、悪質なBHOといった悪質なブラウザ拡張機能が、悪質なコードの一例である。さらにここでは、悪質なアクティビティとは、悪質なコードを実行した結果として生じる任意のアクティビティである。
本実施形態では、ウェブブラウザは、マイクロソフト・インターネット・エクスプローラやファイアフォックスといった数ある従来のウェブ・ブラウザ・アプリケーションのうちのいずれか1つである。
本発明による実施形態は、マルウェアをインストールしようとする試みを検出および防止し得る。一実施形態では、ホストコンピュータのOSからの呼び出しを検出するように登録されているセキュリティアプリケーションが、ホスト・コンピュータ・システム上にインストールされる。そのような呼び出しは、(OSがマイクロソフトウィンドウズである場合には)ホストコンピュータのウィンドウズレジストリ、または、ファイルシステム操作とやりとりをする関数呼び出しとすることができる。
呼び出しが検出されると、プログラムコードであって、その呼び出しが当該プログラムコードから起動されたプログラムコードのプロパティが、マルウェアを表すかどうかの判定が行われる。一実施形態では、呼び出しが疑わしいイベントであると判定されない場合、そのイベントをさらに処理する(例えばインストールプロセスを完了する)ことができる。一方、呼び出しがマルウェアであると判定される場合、当該ソフトウェアコードのインストールプロセスが打ち切られる。
次に図1を参照すると、本発明の一実施形態によるコンピュータシステムの図が示されており、このコンピュータシステムは、ホスト・コンピュータ・システム上にマルウェアをインストールし、実行しようとする試みを検出するためのセキュリティアプリケーションを含む。ホスト・コンピュータ・システムは、ユーザ装置ともいい、典型的には、中央処理装置(CPU)、入力出力(I/O)インターフェース、およびメモリを含み、メモリはオペレーティングシステムおよびウェブブラウザを含む。一実施形態では、オペレーティングシステムが、呼び出しイベントがそこから受け取られるサイトを提供する呼び出しイベント順序リストを維持する。
一実施形態では、メモリはセキュリティアプリケーションを含み、セキュリティアプリケーションは2つの主要なコンポーネント、すなわち、a)オペレーティングシステム(OS)の設定レジストリパスをリッスンすることによって、OSのレジストリの呼び出しを監視するように構成されている検出エンジンと、b)様々なマルウェアのソフトウェアコードの選択部分の挙動を表す定義済みのパラメータが事前ロードされたデータベースとを備える。
本発明の一実施形態によれば、セキュリティアプリケーションは以下のタスクを実行する。まず、セキュリティアプリケーションは、ソフトウェアコードが呼び出しアクティビティ(システムコールなど)を行う度に検出する。次のステップで、セキュリティアプリケーションは、サイトであって、呼び出しが当該サイトから起動された呼び出し側コード内のサイトを検出する。これがなされるのは、当該サイトの周囲の領域内、および/または、呼び出しの起動に関与する当該サイトに関連した分岐内における(実行可能ファイルまたはDLLに属し得る)コードの1つまたは複数の部分を解析するためである。例えば、解析されるべきコードの部分は、特定のサブルーチンや、数コード命令ずつ相互に間隔を置いた特定のコードラインの組み合わせといった、(プログラム内の関数呼び出しの階層を示す)関数呼び出しツリーの部分と関連付けられていてもよい。この結果として、一意のパターンとしての形式でプロパティのサブセットがもたらされ、次いでそれを、マルウェアの存在、さらには、マルウェアの種類とさえも関連付けることができる。
次のステップで、セキュリティアプリケーションは、コードの解析対象部分(またはその少なくとも一部)のプロパティが、データベースに記憶された定義済みのソフトウェア・コード・パラメータまたはパターンと一致するかどうか検査する。コードの解析対象部分のプロパティと定義済みのソフトウェアコードとが一致することは、そのソフトウェアが、マルウェア、または、検出される必要のある他の種類のソフトウェアコードであることを示す。このことは、コードの解析対象部分のプロパティと定義済みのソフトウェア・コード・パターンとを比較し、検査対象プロセスコードが定義済みのソフトウェア・コード・パターンのうちの1つに対応するかどうかを判定することによってなされ得る。次いで、検査対象プロセスコードが比較結果に従って分類される。
例えば、SpyEyeといった数種類のマルウェアの公知の挙動は、まず、(ユーザがログインするときに)ウィンドウズのスタートアップシーケンスにおいて、そのマルウェア自体をロードするために、HKCU\Software\Microsoft\Windows\CurrentVersion\Run Windows\Registy keyにエントリを追加するものである。
典型的には、OSは、呼び出しを受け取ると、様々な階層を介してシステム要求を転送する。前述のように、ウィンドウズレジストリのレジストリキーへ値を追加することにより、マルウェアコードがマルウェア自体を永続的にインストールしようと試みたとしても、セキュリティアプリケーションは、この試みを監視し、サイトであって、上記呼び出しが当該サイトから起動されたサイト、および、このサイトの周囲の領域内のコードの部分を検出する。
一態様では、セキュリティアプリケーションは、ソフトウェアコードの各解析対象部分を、公知のマルウェアパターンの「ブラック」リストと比較する。コードの1つまたは複数の部分が「ブラック」リスト内のエントリと一致する場合、自身をインストールしようと試みる関連ソフトウェアコードは終了または阻止され、それ以外の場合、ソフトウェアコードはインストールを完了することができる。
次に図2を参照すると、本発明の一実施形態による、マルウェアインストールの試みの初期段階でのOSのレジストリパスにおける、通知順序リストの図が示されている。
ここでは、コンピュータメモリは、揮発性メモリ、不揮発性メモリ、またはこれら2つの組み合わせを指す。セキュリティアプリケーションはアプリケーションと呼ばれているが、これは例示にすぎない。セキュリティアプリケーションは、アプリケーションまたはオペレーティングシステムから呼び出すことができるはずである。一実施形態では、アプリケーションは一般に任意の実行可能コードであると定義される。さらに、「アプリケーションまたはオペレーションがある動作を行う」という場合、その動作は、プロセッサが1つまたは複数の命令を実行した結果であることを当業者は理解するであろう。
図1に示すように、セキュリティアプリケーションはOSレベルの呼び出し時に通知されるため、この媒体またはその少なくとも一部分がコンピュータシステム自体(クライアント装置)に置かれ、残りの部分がホストコンピュータと異なる場所に物理的に位置するメモリに記憶されてもよい。これはクライアント・サーバシステムにおいて実現することもでき、あるいは、モデムおよびアナログ回線を介した別のコンピュータへの接続、または、ディジタルインターフェースおよびディジタル回線を介した別のコンピュータへの接続によって実現することもできるはずである。
本開示を考慮すると、本発明の実施形態によるセキュリティアプリケーションの機能は、多種多様なコンピュータシステム構成において実施することができる。加えて、セキュリティアプリケーションの機能は、様々な装置のメモリに様々なモジュールとして記憶することもできるはずである。例えば、まず、セキュリティアプリケーションをコンピュータシステムに記憶し、次いで、必要に応じて、セキュリティアプリケーションの一部分をホスト・コンピュータ・システムへ転送し、ホスト・コンピュータ・システム上で実行することもできるはずである。したがって、セキュリティアプリケーションの機能の一部はサーバ・コンピュータ・システムのプロセッサ上で実行され、別の一部はホスト・コンピュータ・システムのプロセッサ上で実行されることになるはずである。
本開示を考慮すると、当業者は、ユーザにとって関心のあるオペレーティングシステムおよびコンピュータプログラミング言語を使用して、多種多様な物理ハードウェア構成において本発明の様々な実施形態を実施することができる。さらに別の実施形態では、セキュリティアプリケーションは、サーバ・コンピュータ・システムのメモリに記憶される。セキュリティアプリケーションは、ネットワーク上でホスト・コンピュータ・システムのメモリへ転送される。
以上、本発明のいくつかの実施形態を例として説明したが、本発明は、多くの改変、変形および適応と共に、当業者の範囲内の多数の均等物または代替の解決用を使用して、本発明の趣旨を逸脱せず、特許請求の範囲も超えずに実行することができることは明らかであろう。
Claims (10)
- セキュリティアプリケーションにより、検査対象ソフトウェアコードがマルウェアであるか否かを判定するための方法であって、
a.前記検査対象プロセスコードが呼び出しを行う度に、検出するステップと、
b.前記検査対象プロセスコード内のサイトである呼び出しサイトを検出するステップであって、前記呼び出しが当該サイトから起動されたものである、ステップと、
c.前記サイトの周囲の領域内、および/または、前記サイトに関連する分岐内のコードの1つまたは2以上の部分を解析するステップと、
d.コードの解析対象部分のプロパティの少なくとも一部と、定義済みのソフトウェア・コード・パターンと、を比較し、前記検査対象プロセスコードが前記定義済みのソフトウェア・コード・パターンのうちの1つに対応するか否か判定するステップと、
e.比較結果に従って前記検査対象プロセスコードを分類するステップと、
を含む方法。 - 前記プロセスコードは、有害または無害として分類される、請求項1に記載の方法。
- 前記検査対象プロセスコードは、実行ファイル、または、DLLからロードされる、請求項1に記載の方法。
- 前記検査対象プロセスコードは、関数呼び出しツリーの一部分、特定のサブルーチン、または、複数のコード命令によって相互に間隔を置いた特定のコードラインの組み合わせである、請求項1に記載の方法。
- 前記セキュリティアプリケーション、または、その少なくとも一部分がクライアント装置にある、請求項1に記載の方法。
- マルウェアをインストールしようとする試みの検出がリアルタイムで行われる、請求項1に記載の方法。
- 検出されると、前記マルウェアが、そのインストール完了を妨げられる、請求項6に記載の方法。
- 前記呼び出しアクティビティがシステムコールである、請求項1に記載の方法。
- 前記セキュリティアプリケーションは、ソフトウェアコードの各解析対象部分を公知のマルウェアパターンの「ブラックリスト」と比較する、請求項1に記載の方法。
- アプリケーション、または、オペレーティングシステムから、前記セキュリティアプリケーションを呼び出すことができる、請求項1に記載の方法。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/362,963 | 2012-01-31 | ||
| US13/362,963 US9659173B2 (en) | 2012-01-31 | 2012-01-31 | Method for detecting a malware |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2013168141A true JP2013168141A (ja) | 2013-08-29 |
| JP6176622B2 JP6176622B2 (ja) | 2017-08-09 |
Family
ID=47740798
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013015153A Active JP6176622B2 (ja) | 2012-01-31 | 2013-01-30 | マルウェアの検出方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US9659173B2 (ja) |
| EP (1) | EP2624163A1 (ja) |
| JP (1) | JP6176622B2 (ja) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2017514205A (ja) * | 2014-03-11 | 2017-06-01 | シマンテック コーポレーションSymantec Corporation | インストール前にモバイルデバイス上でマルウェアを検出するためのシステム及び方法 |
| JP2017538376A (ja) * | 2014-10-31 | 2017-12-21 | サイバー クルシブル インコーポレイテッド.Cyber Crucible Inc. | オフライン・ネットワーク・トラフィックに基づいてカバート・チャネルのネットワーク侵入を検出するためのシステムおよび方法 |
| US10325094B2 (en) | 2014-08-28 | 2019-06-18 | Mitsubishi Electric Corporation | Process analysis apparatus, process analysis method, and process analysis for determining input/output relation of a block of execution trace to detect potential malware |
| JP2022533715A (ja) * | 2019-05-20 | 2022-07-25 | センチネル ラブス イスラエル リミテッド | 実行可能コード検出、自動特徴抽出及び位置独立コード検出のためのシステム及び方法 |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11126720B2 (en) * | 2012-09-26 | 2021-09-21 | Bluvector, Inc. | System and method for automated machine-learning, zero-day malware detection |
| JP6188956B2 (ja) * | 2013-12-30 | 2017-08-30 | ノキア テクノロジーズ オーユー | マルウェア検出検査方法及び装置 |
| WO2015148914A1 (en) * | 2014-03-27 | 2015-10-01 | Cylent Systems, Inc. | Malicious software identification integrating behavioral analytics and hardware events |
| US10078752B2 (en) | 2014-03-27 | 2018-09-18 | Barkly Protects, Inc. | Continuous malicious software identification through responsive machine learning |
| US10089095B2 (en) * | 2015-05-06 | 2018-10-02 | Mcafee, Llc | Alerting the presence of bundled software during an installation |
| CN111897559B (zh) * | 2020-08-06 | 2022-08-26 | 厦门美图之家科技有限公司 | 热更新代码检测方法、装置、电子设备及存储介质 |
| US11989294B2 (en) | 2021-01-07 | 2024-05-21 | Bank Of America Corporation | Detecting and preventing installation and execution of malicious browser extensions |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006268687A (ja) * | 2005-03-25 | 2006-10-05 | Mitsubishi Electric Corp | コンピュータウィルス監視プログラム及びこれを用いたコンピュータ端末装置 |
| US7340777B1 (en) * | 2003-03-31 | 2008-03-04 | Symantec Corporation | In memory heuristic system and method for detecting viruses |
| JP2009037642A (ja) * | 2008-10-14 | 2009-02-19 | Secure Ware:Kk | データ処理方法、データ処理装置、コンピュータプログラム、及び記録媒体 |
| JP2009238153A (ja) * | 2008-03-28 | 2009-10-15 | Nec Corp | マルウェア対処システム、方法及びプログラム |
| JP2010262609A (ja) * | 2009-04-28 | 2010-11-18 | Fourteenforty Research Institute Inc | 効率的なマルウェアの動的解析手法 |
| JP2011501279A (ja) * | 2007-10-15 | 2011-01-06 | ベイジン ライジング インフォメーション テクノロジー カンパニー、リミテッド | コンピュータプログラムの悪意ある行為を見つける方法及び装置 |
| JP2011145945A (ja) * | 2010-01-15 | 2011-07-28 | Panasonic Corp | マルウェア検出装置及びマルウェア検出方法 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050108562A1 (en) * | 2003-06-18 | 2005-05-19 | Khazan Roger I. | Technique for detecting executable malicious code using a combination of static and dynamic analyses |
| US20060075494A1 (en) * | 2004-10-01 | 2006-04-06 | Bertman Justin R | Method and system for analyzing data for potential malware |
| US7607173B1 (en) * | 2005-10-31 | 2009-10-20 | Symantec Corporation | Method and apparatus for preventing rootkit installation |
| US8171550B2 (en) * | 2006-08-07 | 2012-05-01 | Webroot Inc. | System and method for defining and detecting pestware with function parameters |
| US8065664B2 (en) * | 2006-08-07 | 2011-11-22 | Webroot Software, Inc. | System and method for defining and detecting pestware |
| US8230499B1 (en) * | 2008-05-29 | 2012-07-24 | Symantec Corporation | Detecting and blocking unauthorized downloads |
| US20100107257A1 (en) | 2008-10-29 | 2010-04-29 | International Business Machines Corporation | System, method and program product for detecting presence of malicious software running on a computer system |
| US20100192222A1 (en) * | 2009-01-23 | 2010-07-29 | Microsoft Corporation | Malware detection using multiple classifiers |
| IL197477A0 (en) * | 2009-03-08 | 2009-12-24 | Univ Ben Gurion | System and method for detecting new malicious executables, based on discovering and monitoring of characteristic system call sequences |
-
2012
- 2012-01-31 US US13/362,963 patent/US9659173B2/en active Active
-
2013
- 2013-01-29 EP EP13153123.8A patent/EP2624163A1/en not_active Withdrawn
- 2013-01-30 JP JP2013015153A patent/JP6176622B2/ja active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7340777B1 (en) * | 2003-03-31 | 2008-03-04 | Symantec Corporation | In memory heuristic system and method for detecting viruses |
| JP2006268687A (ja) * | 2005-03-25 | 2006-10-05 | Mitsubishi Electric Corp | コンピュータウィルス監視プログラム及びこれを用いたコンピュータ端末装置 |
| JP2011501279A (ja) * | 2007-10-15 | 2011-01-06 | ベイジン ライジング インフォメーション テクノロジー カンパニー、リミテッド | コンピュータプログラムの悪意ある行為を見つける方法及び装置 |
| JP2009238153A (ja) * | 2008-03-28 | 2009-10-15 | Nec Corp | マルウェア対処システム、方法及びプログラム |
| JP2009037642A (ja) * | 2008-10-14 | 2009-02-19 | Secure Ware:Kk | データ処理方法、データ処理装置、コンピュータプログラム、及び記録媒体 |
| JP2010262609A (ja) * | 2009-04-28 | 2010-11-18 | Fourteenforty Research Institute Inc | 効率的なマルウェアの動的解析手法 |
| JP2011145945A (ja) * | 2010-01-15 | 2011-07-28 | Panasonic Corp | マルウェア検出装置及びマルウェア検出方法 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2017514205A (ja) * | 2014-03-11 | 2017-06-01 | シマンテック コーポレーションSymantec Corporation | インストール前にモバイルデバイス上でマルウェアを検出するためのシステム及び方法 |
| US10325094B2 (en) | 2014-08-28 | 2019-06-18 | Mitsubishi Electric Corporation | Process analysis apparatus, process analysis method, and process analysis for determining input/output relation of a block of execution trace to detect potential malware |
| JP2017538376A (ja) * | 2014-10-31 | 2017-12-21 | サイバー クルシブル インコーポレイテッド.Cyber Crucible Inc. | オフライン・ネットワーク・トラフィックに基づいてカバート・チャネルのネットワーク侵入を検出するためのシステムおよび方法 |
| JP2022533715A (ja) * | 2019-05-20 | 2022-07-25 | センチネル ラブス イスラエル リミテッド | 実行可能コード検出、自動特徴抽出及び位置独立コード検出のためのシステム及び方法 |
| JP7278423B2 (ja) | 2019-05-20 | 2023-05-19 | センチネル ラブス イスラエル リミテッド | 実行可能コード検出、自動特徴抽出及び位置独立コード検出のためのシステム及び方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6176622B2 (ja) | 2017-08-09 |
| EP2624163A1 (en) | 2013-08-07 |
| US20130198842A1 (en) | 2013-08-01 |
| US9659173B2 (en) | 2017-05-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6176622B2 (ja) | マルウェアの検出方法 | |
| EP2946330B1 (en) | Method and system for protecting computerized systems from malicious code | |
| EP3039608B1 (en) | Hardware and software execution profiling | |
| KR101122650B1 (ko) | 정상 프로세스에 위장 삽입된 악성코드 탐지 장치, 시스템 및 방법 | |
| KR101265173B1 (ko) | 비실행 파일 검사 장치 및 방법 | |
| RU2571723C2 (ru) | Система и способ для снижения нагрузки на операционную систему при работе антивирусного приложения | |
| JP5265061B1 (ja) | 悪意のあるファイル検査装置及び方法 | |
| US20140053267A1 (en) | Method for identifying malicious executables | |
| US9183377B1 (en) | Unauthorized account monitoring system and method | |
| US9934380B2 (en) | Execution profiling detection of malicious objects | |
| KR20180032566A (ko) | 다수 소프트웨어 개체들에 걸쳐서 악성 행동을 트래킹하기 위한 시스템들 및 방법들 | |
| US9754105B1 (en) | Preventing the successful exploitation of software application vulnerability for malicious purposes | |
| EP2637121A1 (en) | A method for detecting and removing malware | |
| US9910983B2 (en) | Malware detection | |
| JP6714112B2 (ja) | グラフィカルユーザインターフェース要素に関連した悪意のある行為の軽減 | |
| US20130276119A1 (en) | System, method, and computer program product for reacting to a detection of an attempt by a process that is unknown to control a process that is known | |
| KR101311367B1 (ko) | 메모리 보호기능 우회 공격 진단 장치 및 방법 | |
| US10880316B2 (en) | Method and system for determining initial execution of an attack | |
| CN112395603A (zh) | 基于指令执行序列特征的漏洞攻击识别方法、装置及计算机设备 | |
| WO2014048751A1 (en) | Method and apparatus for detecting a malicious website | |
| RU2774042C1 (ru) | Система и способ выявления потенциально вредоносных изменений в приложении | |
| Upadhya et al. | Runtime solution for minimizing drive-by-download attacks | |
| Muthumanickam et al. | Research Article An Effective Method for Protecting Native API Hook Attacks in User-mode | |
| Jung et al. | Under Cover of Darkness: Hiding Tasks via Hardware Task Switching |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160114 |
|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20161122 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20161130 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20161122 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20161228 |
|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20170106 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20170106 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170306 Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20170306 |
|
| RD12 | Notification of acceptance of power of sub attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7432 Effective date: 20170306 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20170307 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170613 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20170614 |
|
| RD14 | Notification of resignation of power of sub attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7434 Effective date: 20170614 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170704 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6176622 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |