JP2017021779A - ランダムアクセスメモリ内の悪質なコードを検出するためのシステムおよび方法 - Google Patents
ランダムアクセスメモリ内の悪質なコードを検出するためのシステムおよび方法 Download PDFInfo
- Publication number
- JP2017021779A JP2017021779A JP2016093205A JP2016093205A JP2017021779A JP 2017021779 A JP2017021779 A JP 2017021779A JP 2016093205 A JP2016093205 A JP 2016093205A JP 2016093205 A JP2016093205 A JP 2016093205A JP 2017021779 A JP2017021779 A JP 2017021779A
- Authority
- JP
- Japan
- Prior art keywords
- code
- address space
- untrusted program
- destination process
- program
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 218
- 230000008569 process Effects 0.000 claims abstract description 181
- 230000002155 anti-virotic effect Effects 0.000 claims abstract description 35
- 238000001514 detection method Methods 0.000 claims abstract description 13
- 230000006870 function Effects 0.000 claims description 122
- 238000004891 communication Methods 0.000 description 20
- FFBHFFJDDLITSX-UHFFFAOYSA-N benzyl N-[2-hydroxy-4-(3-oxomorpholin-4-yl)phenyl]carbamate Chemical compound OC1=C(NC(=O)OCC2=CC=CC=C2)C=CC(=C1)N1CCOCC1=O FFBHFFJDDLITSX-UHFFFAOYSA-N 0.000 description 13
- 230000003287 optical effect Effects 0.000 description 7
- 238000013459 approach Methods 0.000 description 6
- 230000004913 activation Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 241000700605 Viruses Species 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000014509 gene expression Effects 0.000 description 2
- 238000011835 investigation Methods 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 238000007630 basic procedure Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000026676 system process Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/54—Interprogram communication
- G06F9/544—Buffers; Shared memory; Pipes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Debugging And Monitoring (AREA)
- Storage Device Security (AREA)
Abstract
Description
本開示は、2015年6月30日に出願されたロシア特許出願第2015125972の関連出願であり、米国特許法第119条でこの出願に基づく優先権を主張し、本明細書中に参考として援用する。
1.データブロックがターゲットプロセスに書き込まれているPEヘッダを含む場合、コードを分析する必要がある。
2.「ApplicationData」ディレクトリ(WindowsのOSで、このディレクトリの完全なパスは「APPDATA」環境変数に含まれている)から開始されたプロセスが信頼できるターゲットプロセスにデータを挿入している場合、コードを分析する必要がある。
3.「Temp」ディレクトリ(WindowsのOSで、このディレクトリの完全なパスは「TEMP」環境変数に含まれている)から開始されたプロセスが信頼できるターゲットプロセスにデータを挿入している場合、コードを分析する必要がある。
4.デスクトップに対応するディレクトリから開始されたプロセスが信頼できるターゲットプロセスにデータを挿入している場合、コードを分析する必要がある。
5.プロセスが信頼できるシステムプロセス(「svchost」、「csrss」、「winlogon」、「rundll」または「iexplorer」の名前を有するものなど)にデータを挿入している場合、コードを分析する必要がある。
6.関数の引数が信頼できるターゲットプロセスを参照しながら関数「NTQueueApcThread」が呼び出された場合、コードを分析する必要がある。
7.該プロセスとターゲットプロセスの名前が一致し、プロセスの開始元であるアプリケーションを開始したユニークユーザ数が閾値(例えば50)を超えず、プロセスの開始元であるアプリケーションの判明している初回実行からの経過時間が閾値(例えば1日)を超えず、プロセスがターゲットプロセスにデータを挿入しているしている場合、コードを分析する必要がある。
Claims (20)
- コンピュータ上のマルウェアの検出方法であって、
前記コンピュータ上の信頼できないプログラムのプロセスをハードウェアプロセッサによって検出する工程と、
前記信頼できないプログラムのプロセスによる、デスティネーションプロセスへのプロセス間関数呼出しを含む、関数呼出しを前記ハードウェアプロセッサによって識別する工程と、
前記信頼できないプログラムのプロセスによる前記プロセス間関数呼出しの対象となる前記デスティネーションプロセスのアドレス空間のコードのマルウェア分析を実行すべきかを前記ハードウェアプロセッサによって判定する工程と、
前記マルウェア分析を実行すべきであると判定された場合に、前記信頼できないプログラムのプロセスによる前記プロセス間関数呼出しの対象となる前記デスティネーションプロセスの前記アドレス空間のコードを前記ハードウェアプロセッサによって実行可能なアンチウイルスソフトウェアを用いて分析する工程と、
を含む方法。 - 検出されたプロセスによる関数呼出しを識別する工程は、
前記関数呼出しの前記デスティネーションプロセスの識別子を判定する工程、
前記デスティネーションプロセスの前記アドレス空間に書き込まれたメモリブロックのサイズを判定する工程、
前記メモリブロック内の実行可能ファイルのヘッダの存在を判定する工程、
前記デスティネーションプロセスが信頼できるプロセスであるかを判定する工程、及び
プロセス間関数呼出しがダイナミックリンクライブラリに特化したメモリ領域の前記デスティネーションプロセスの実行可能コード上にコントロールが移管されたかを判定する工程、
の1つ以上を含む、請求項1に記載の方法。 - 前記デスティネーションプロセスのアドレス空間の前記コードのマルウェア分析を実行すべきかを判定する工程は、
前記信頼できないプログラムに関する情報を前記ハードウェアプロセッサによって収集する工程と、
ヒューリスティックルールを関数呼出しを識別する工程で収集された情報および前記デスティネーションプロセスのアドレス空間の前記コードのマルウェア分析を実行すべきかを判定するために収集された前記信頼できないプログラムに関する情報に適用する工程と、
を含む、請求項2に記載の方法。 - 前記収集された信頼できないプログラムに関する情報は、
(i)前記信頼できないプログラムのユニークユーザに関する情報、
(ii)前記信頼できないプログラムのユーザによる判明している初回実行からの時間、
(iii)前記信頼できないプログラムの名前、
(iv)前記ストレージデバイス内の前記信頼できないプログラムの場所、
の少なくとも1つを含む、請求項3に記載の方法。 - 前記分析されたデスティネーションプロセスのアドレス空間に悪意あるコードが検出された場合に、前記実行可能コードにより呼びだされた関数のアドレスおよび前記デスティネーションプロセスのアドレス空間にロードされた関数のアドレスの前記アンチウイルスソフトウェアによる比較に基づき、前記悪意あるコードにより実行され得るシステム関数を判定する工程をさらに含む、請求項1に記載の方法。
- 前記信頼できないプログラムが前記検出された悪意あるコードにより実行され得るシステム関数の呼出しを行うことを禁止する、前記信頼できないプログラムに対するコントロールルールを前記アンチウイルスソフトウェアによって生成する工程をさらに含む、請求項5に記載の方法。
- 前記分析されたデスティネーションプロセスのアドレス空間に悪意あるコードが検出された場合に、前記アドレス空間の悪意あるコードを有する前記デスティネーションプロセスに対応する信頼できないプログラムとして前記アンチウイルスソフトウェアによって指定する工程をさらに含む、請求項1に記載の方法。
- 前記分析されたデスティネーションプロセスのアドレス空間に悪意あるコードが検出された場合に、前記悪意あるコードよって使用されるURIを前記アンチウイルスソフトウェアによって判定する工程と、
前記悪意あるコードにより使用される前記判定されたURIの少なくとも一部を含むアンチウイルスレコードを前記アンチウイルスソフトウェアによって生成する工程と、
をさらに含む、請求項1に記載の方法。 - コンピュータ上のマルウェアの検出システムであって、
ハードウェアプロセッサを備え、
前記ハードウェアプロセッサは、
前記コンピュータ上の信頼できないプログラムのプロセスを検出し、
前記信頼できないプログラムのプロセスによる、デスティネーションプロセスへのプロセス間関数呼出しを含む、関数呼出しを識別し、
前記信頼できないプログラムのプロセスによるプロセス間関数呼出しの対象となる前記デスティネーションプロセスのアドレス空間のコードのマルウェア分析を実行すべきかを判定し、
マルウェア分析を実行すべきであると判定された場合に、前記信頼できないプログラムのプロセスによるプロセス間関数呼出しの対象となる前記デスティネーションプロセスのアドレス空間の前記コードを前記ハードウェアプロセッサによって実行可能なアンチウイルスソフトウェアを用いて分析するように構成されている、システム。 - 検出されたプロセスによる関数呼出しの識別は、
前記関数呼出しの前記デスティネーションプロセスの識別子の判定、
前記デスティネーションプロセスの前記アドレス空間に書き込まれたメモリブロックのサイズの判定、
前記メモリブロック内の実行可能ファイルのヘッダの存在の判定、
前記デスティネーションプロセスが信頼できるプロセスであるかの判定、
プロセス間関数呼出しがダイナミックリンクライブラリに特化したメモリ領域の前記デスティネーションプロセスの実行可能コード上にコントロールが移管されたかの判定、
の1つ以上を行う、請求項9に記載のシステム。 - 前記デスティネーションプロセスのアドレス空間の前記コードのマルウェア分析を実行すべきかを判定するために、
前記信頼できないプログラムに関する情報を収集し、
ヒューリスティックルールを関数呼出しを識別する工程で収集された情報および前記デスティネーションプロセスのアドレス空間の前記コードのマルウェア分析を実行すべきかを判定するために収集された前記信頼できないプログラムに関する情報に適用するようにさらに構成されている、請求項9に記載のシステム。 - 前記収集された信頼できないプログラムに関する情報は、
(i)前記信頼できないプログラムのユニークユーザに関する情報、
(ii)前記信頼できないプログラムのユーザによる判明している初回実行からの時間、
(iii)前記信頼できないプログラムの名前、
(iv)前記ストレージデバイス内の前記信頼できないプログラムの場所、
の少なくとも1つを含む、請求項11に記載のシステム。 - 前記プロセッサは、前記分析されたデスティネーションプロセスのアドレス空間に悪意あるコードが検出された場合に、前記実行可能コードにより呼びだされた関数のアドレスおよび前記デスティネーションプロセスのアドレス空間にロードされた関数のアドレスの前記アンチウイルスソフトウェアによる比較に基づき、前記悪意あるコードにより実行され得るシステム関数を判定するようにさらに構成されている、請求項9に記載のシステム。
- 前記プロセッサは、前記信頼できないプログラムが前記検出された悪意あるコードにより実行され得るシステム関数の呼出しを行うことを禁止する、前記信頼できないプログラムに対するコントロールルールを前記アンチウイルスソフトウェアによって生成するようにさらに構成されている、請求項13に記載のシステム。
- 前記プロセッサは、前記分析されたデスティネーションプロセスのアドレス空間に悪意あるコードが検出された場合に、前記アドレス空間の悪意あるコードを有する前記デスティネーションプロセスに対応する信頼できないプログラムとして前記アンチウイルスソフトウェアによって指定するようにさらに構成されている、請求項9に記載のシステム。
- 前記プロセッサは、
前記分析されたデスティネーションプロセスのアドレス空間に悪意あるコードが検出された場合に、前記悪意あるコードよって使用されるURIを前記アンチウイルスソフトウェアによって判定し、
前記悪意あるコードにより使用される前記判定されたURIの少なくとも一部を含むアンチウイルスレコードを前記アンチウイルスソフトウェアによって生成するようにさらに構成されている、請求項9に記載のシステム。 - コンピュータ上のマルウェアの検出するコンピュータ実行可能命令を格納する非一過性の記録媒体であって、
前記コンピュータ上の信頼できないプログラムのプロセスを検出する命令と、
前記信頼できないプログラムのプロセスによる、デスティネーションプロセスへのプロセス間関数呼出しを含む、関数呼出しを識別する命令と、
前記信頼できないプログラムのプロセスによるプロセス間関数呼出しの対象となる前記デスティネーションプロセスのアドレス空間のコードのマルウェア分析を実行すべきかを判定する命令と、
マルウェア分析を実行すべきであると判定された場合に、前記信頼できないプログラムのプロセスによるプロセス間関数呼出しの対象となる前記デスティネーションプロセスのアドレス空間の前記コードを前記ハードウェアプロセッサによって実行可能なアンチウイルスソフトウェアを用いて分析する命令と、
を含む記録媒体。 - 検出されたプロセスによる関数呼出しを識別する命令は、
前記関数呼出しの前記デスティネーションプロセスの識別子を判定する命令、
前記デスティネーションプロセスの前記アドレス空間に書き込まれたメモリブロックのサイズを判定する命令、
前記メモリブロック内の実行可能ファイルのヘッダの存在を判定する命令、
前記デスティネーションプロセスが信頼できるプロセスであるかを判定する命令、
プロセス間関数呼出しがダイナミックリンクライブラリに特化したメモリ領域の前記デスティネーションプロセスの実行可能コード上にコントロールが移管されたかを判定する命令、
の1つ以上を含む、請求項17に記載の記録媒体。 - 前記デスティネーションプロセスのアドレス空間の前記コードのマルウェア分析を実行すべきかを判定するために、
前記信頼できないプログラムに関する情報を収集する命令と、
ヒューリスティックルールを関数呼出しを識別する工程で収集された情報および前記デスティネーションプロセスのアドレス空間の前記コードのマルウェア分析を実行すべきかを判定するために収集された前記信頼できないプログラムに関する情報に適用する命令と、
をさらに含む、請求項18に記載の記録媒体。 - 前記収集された信頼できないプログラムに関する情報は、
(i)前記信頼できないプログラムのユニークユーザに関する情報、
(ii)前記信頼できないプログラムのユーザによる判明している初回実行からの時間、
(iii)前記信頼できないプログラムの名前、
(iv)前記ストレージデバイス内の前記信頼できないプログラムの場所、
の少なくとも1つを含む、請求項18に記載の記録媒体。
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2015125972/08A RU2589862C1 (ru) | 2015-06-30 | 2015-06-30 | Способ обнаружения вредоносного кода в оперативной памяти |
RU2015125972 | 2015-06-30 | ||
US14/951,915 US9407648B1 (en) | 2015-06-30 | 2015-11-25 | System and method for detecting malicious code in random access memory |
US14/951,915 | 2015-11-25 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017021779A true JP2017021779A (ja) | 2017-01-26 |
JP6259862B2 JP6259862B2 (ja) | 2018-01-10 |
Family
ID=56371361
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016093205A Active JP6259862B2 (ja) | 2015-06-30 | 2016-05-06 | ランダムアクセスメモリ内の悪質なコードを検出するためのシステムおよび方法 |
Country Status (4)
Country | Link |
---|---|
US (2) | US9407648B1 (ja) |
EP (1) | EP3113063B1 (ja) |
JP (1) | JP6259862B2 (ja) |
RU (1) | RU2589862C1 (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2018186391A1 (ja) | 2017-04-03 | 2018-10-11 | 株式会社野村総合研究所 | 検査システム、検査方法、およびコンピュータプログラム |
JP2019195126A (ja) * | 2018-05-01 | 2019-11-07 | コニカミノルタ株式会社 | 画像処理装置および制御プログラム |
Families Citing this family (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10560475B2 (en) | 2016-03-07 | 2020-02-11 | Chengdu Haicun Ip Technology Llc | Processor for enhancing network security |
US10489590B2 (en) | 2016-03-07 | 2019-11-26 | Chengdu Haicun Ip Technology Llc | Processor for enhancing computer security |
US11120106B2 (en) * | 2016-07-30 | 2021-09-14 | Endgame, Inc. | Hardware—assisted system and method for detecting and analyzing system calls made to an operating system kernel |
US10546117B1 (en) * | 2016-11-15 | 2020-01-28 | Symantec Corporation | Systems and methods for managing security programs |
US10599845B2 (en) * | 2016-12-13 | 2020-03-24 | Npcore, Inc. | Malicious code deactivating apparatus and method of operating the same |
JP6768530B2 (ja) * | 2016-12-28 | 2020-10-14 | デジタルア−ツ株式会社 | 情報処理装置及びプログラム |
CN107273745B (zh) * | 2017-04-21 | 2020-08-21 | 中国科学院软件研究所 | 一种动态链接库形式的恶意代码的动态分析方法 |
US11151251B2 (en) | 2017-07-13 | 2021-10-19 | Endgame, Inc. | System and method for validating in-memory integrity of executable files to identify malicious activity |
US11151247B2 (en) | 2017-07-13 | 2021-10-19 | Endgame, Inc. | System and method for detecting malware injected into memory of a computing device |
US10621348B1 (en) * | 2017-08-15 | 2020-04-14 | Ca, Inc. | Detecting a malicious application executing in an emulator based on a check made by the malicious application after making an API call |
US10810099B2 (en) * | 2017-09-11 | 2020-10-20 | Internatinal Business Machines Corporation | Cognitive in-memory API logging |
US10714172B2 (en) | 2017-09-21 | 2020-07-14 | HangZhou HaiCun Information Technology Co., Ltd. | Bi-sided pattern processor |
RU2660643C1 (ru) * | 2017-09-29 | 2018-07-06 | Акционерное общество "Лаборатория Касперского" | Система и способ выявления вредоносного CIL-файла |
RU2665910C1 (ru) * | 2017-09-29 | 2018-09-04 | Акционерное общество "Лаборатория Касперского" | Система и способ обнаружения вредоносного кода в адресном пространстве процессов |
US10713359B2 (en) | 2017-09-29 | 2020-07-14 | AO Kaspersky Lab | System and method of identifying a malicious intermediate language file |
US10691800B2 (en) * | 2017-09-29 | 2020-06-23 | AO Kaspersky Lab | System and method for detection of malicious code in the address space of processes |
RU2659738C1 (ru) * | 2017-09-29 | 2018-07-03 | Акционерное общество "Лаборатория Касперского" | Система и способ обнаружения вредоносного скрипта |
CN111480160B (zh) * | 2018-01-31 | 2023-11-03 | 惠普发展公司,有限责任合伙企业 | 用于过程验证的系统、方法和介质 |
US11870811B2 (en) | 2018-03-26 | 2024-01-09 | Virsec Systems, Inc. | Trusted execution security policy platform |
US10810304B2 (en) * | 2018-04-16 | 2020-10-20 | International Business Machines Corporation | Injecting trap code in an execution path of a process executing a program to generate a trap address range to detect potential malicious code |
US11003777B2 (en) | 2018-04-16 | 2021-05-11 | International Business Machines Corporation | Determining a frequency at which to execute trap code in an execution path of a process executing a program to generate a trap address range to detect potential malicious code |
CN111782291A (zh) * | 2020-06-12 | 2020-10-16 | 京东数字科技控股有限公司 | 一种测试页面的启动方法和装置 |
CN114363006A (zh) * | 2021-12-10 | 2022-04-15 | 奇安信科技集团股份有限公司 | 基于WinRM服务的防护方法及装置 |
CN114282217A (zh) * | 2021-12-22 | 2022-04-05 | 完美世界征奇(上海)多媒体科技有限公司 | 游戏外挂的检测方法和装置、存储介质、电子装置 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006134307A (ja) * | 2004-11-08 | 2006-05-25 | Microsoft Corp | アンチウィルスソフトウェアアプリケーションの知識基盤を統合するシステムおよび方法 |
JP2011233126A (ja) * | 2010-04-28 | 2011-11-17 | Electronics And Telecommunications Research Institute | 正常プロセスに偽装挿入された悪性コード検出装置、システム及びその方法 |
JP2013526753A (ja) * | 2010-05-25 | 2013-06-24 | エフ−セキュア コーポレーション | マルウェアスキャニング |
JP2014182837A (ja) * | 2013-03-19 | 2014-09-29 | Trusteer Ltd | マルウェア発見方法及びシステム |
US20140325650A1 (en) * | 2013-04-26 | 2014-10-30 | Kaspersky Lab Zao | Selective assessment of maliciousness of software code executed in the address space of a trusted process |
Family Cites Families (40)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE10058543A1 (de) * | 2000-07-14 | 2002-01-24 | Temco Textilmaschkomponent | Verfahren und Vorrichtung zur kontinuierlichen Behandlung von synthetischen Fäden in einer Wärmeaustauschkammer |
US7594111B2 (en) * | 2002-12-19 | 2009-09-22 | Massachusetts Institute Of Technology | Secure execution of a computer program |
US7603704B2 (en) * | 2002-12-19 | 2009-10-13 | Massachusetts Institute Of Technology | Secure execution of a computer program using a code cache |
US8136155B2 (en) | 2003-04-01 | 2012-03-13 | Check Point Software Technologies, Inc. | Security system with methodology for interprocess communication control |
KR20040089386A (ko) * | 2003-04-14 | 2004-10-21 | 주식회사 하우리 | 메모리를 감염시키는 바이러스의 치료방법, 프로그램을기록한 컴퓨터로 읽을 수 있는 기록매체 및 바이러스의치료장치 |
US8020141B2 (en) * | 2004-12-06 | 2011-09-13 | Microsoft Corporation | Operating-system process construction |
US8528087B2 (en) * | 2006-04-27 | 2013-09-03 | Robot Genius, Inc. | Methods for combating malicious software |
US8151352B1 (en) * | 2006-07-14 | 2012-04-03 | Bitdefender IPR Managament Ltd. | Anti-malware emulation systems and methods |
US7870610B1 (en) * | 2007-03-16 | 2011-01-11 | The Board Of Directors Of The Leland Stanford Junior University | Detection of malicious programs |
US8099785B1 (en) * | 2007-05-03 | 2012-01-17 | Kaspersky Lab, Zao | Method and system for treatment of cure-resistant computer malware |
US9092823B2 (en) * | 2007-06-01 | 2015-07-28 | F-Secure Oyj | Internet fraud prevention |
AU2008202532A1 (en) * | 2007-06-18 | 2009-01-08 | Pc Tools Technology Pty Ltd | Method of detecting and blocking malicious activity |
US9378373B2 (en) * | 2007-09-24 | 2016-06-28 | Symantec Corporation | Software publisher trust extension application |
US20130276119A1 (en) * | 2008-03-11 | 2013-10-17 | Jonathan L. Edwards | System, method, and computer program product for reacting to a detection of an attempt by a process that is unknown to control a process that is known |
US8065567B1 (en) * | 2009-03-03 | 2011-11-22 | Symantec Corporation | Systems and methods for recording behavioral information of an unverified component |
US8612995B1 (en) | 2009-03-31 | 2013-12-17 | Symantec Corporation | Method and apparatus for monitoring code injection into a process executing on a computer |
US8701192B1 (en) * | 2009-06-30 | 2014-04-15 | Symantec Corporation | Behavior based signatures |
US8590045B2 (en) * | 2009-10-07 | 2013-11-19 | F-Secure Oyj | Malware detection by application monitoring |
KR101671795B1 (ko) * | 2010-01-18 | 2016-11-03 | 삼성전자주식회사 | 동적 링크 라이브러리 삽입 공격을 방지하는 컴퓨터 시스템 및 방법 |
US8578487B2 (en) * | 2010-11-04 | 2013-11-05 | Cylance Inc. | System and method for internet security |
US8904537B2 (en) * | 2011-05-09 | 2014-12-02 | F—Secure Corporation | Malware detection |
US9065826B2 (en) * | 2011-08-08 | 2015-06-23 | Microsoft Technology Licensing, Llc | Identifying application reputation based on resource accesses |
US8978092B2 (en) * | 2012-02-17 | 2015-03-10 | Hewlett-Packard Development Company, L.P. | Data leak prevention from a device with an operating system |
RU2510530C1 (ru) * | 2012-09-28 | 2014-03-27 | Закрытое акционерное общество "Лаборатория Касперского" | Способ автоматического формирования эвристических алгоритмов поиска вредоносных объектов |
RU2514137C1 (ru) * | 2012-09-28 | 2014-04-27 | Закрытое акционерное общество "Лаборатория Касперского" | Способ автоматической настройки средства безопасности |
RU2514140C1 (ru) | 2012-09-28 | 2014-04-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ увеличения качества обнаружений вредоносных объектов с использованием правил и приоритетов |
CN103810424B (zh) * | 2012-11-05 | 2017-02-08 | 腾讯科技(深圳)有限公司 | 一种异常应用程序的识别方法及装置 |
US8893222B2 (en) * | 2012-11-13 | 2014-11-18 | Auckland Uniservices Ltd. | Security system and method for the android operating system |
CN102982283B (zh) | 2012-11-27 | 2015-07-22 | 蓝盾信息安全技术股份有限公司 | 一种杀死受保护的恶意计算机进程的系统及方法 |
CN103866252A (zh) | 2012-12-18 | 2014-06-18 | 中国科学院兰州化学物理研究所 | 在活塞表面制备复合薄膜技术 |
EP2784716A1 (en) * | 2013-03-25 | 2014-10-01 | British Telecommunications public limited company | Suspicious program detection |
US9117080B2 (en) * | 2013-07-05 | 2015-08-25 | Bitdefender IPR Management Ltd. | Process evaluation for malware detection in virtual machines |
US9465936B2 (en) | 2013-11-06 | 2016-10-11 | Bitdefender IPR Management Ltd. | Systems and methods for detecting return-oriented programming (ROP) exploits |
CN103559439A (zh) | 2013-11-19 | 2014-02-05 | 浪潮(北京)电子信息产业有限公司 | 一种缓冲区溢出检测方法及系统 |
EP2881883B1 (en) * | 2013-12-05 | 2018-04-11 | AO Kaspersky Lab | System and method for reducing load on an operating system when executing antivirus operations |
CN103679032B (zh) | 2013-12-13 | 2017-05-17 | 北京奇虎科技有限公司 | 防御恶意软件的方法和装置 |
KR102017756B1 (ko) * | 2014-01-13 | 2019-09-03 | 한국전자통신연구원 | 이상행위 탐지 장치 및 방법 |
US10091238B2 (en) * | 2014-02-11 | 2018-10-02 | Varmour Networks, Inc. | Deception using distributed threat detection |
US9305167B2 (en) * | 2014-05-21 | 2016-04-05 | Bitdefender IPR Management Ltd. | Hardware-enabled prevention of code reuse attacks |
US9710648B2 (en) * | 2014-08-11 | 2017-07-18 | Sentinel Labs Israel Ltd. | Method of malware detection and system thereof |
-
2015
- 2015-06-30 RU RU2015125972/08A patent/RU2589862C1/ru active
- 2015-11-25 US US14/951,915 patent/US9407648B1/en active Active
- 2015-12-22 EP EP15202163.0A patent/EP3113063B1/en active Active
-
2016
- 2016-05-06 JP JP2016093205A patent/JP6259862B2/ja active Active
- 2016-06-15 US US15/183,063 patent/US10242186B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006134307A (ja) * | 2004-11-08 | 2006-05-25 | Microsoft Corp | アンチウィルスソフトウェアアプリケーションの知識基盤を統合するシステムおよび方法 |
JP2011233126A (ja) * | 2010-04-28 | 2011-11-17 | Electronics And Telecommunications Research Institute | 正常プロセスに偽装挿入された悪性コード検出装置、システム及びその方法 |
JP2013526753A (ja) * | 2010-05-25 | 2013-06-24 | エフ−セキュア コーポレーション | マルウェアスキャニング |
JP2014182837A (ja) * | 2013-03-19 | 2014-09-29 | Trusteer Ltd | マルウェア発見方法及びシステム |
US20140325650A1 (en) * | 2013-04-26 | 2014-10-30 | Kaspersky Lab Zao | Selective assessment of maliciousness of software code executed in the address space of a trusted process |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2018186391A1 (ja) | 2017-04-03 | 2018-10-11 | 株式会社野村総合研究所 | 検査システム、検査方法、およびコンピュータプログラム |
US11074343B2 (en) | 2017-04-03 | 2021-07-27 | Nomura Research Institute, Ltd. | Inspection system, inspection method, and computer program |
US11741229B2 (en) | 2017-04-03 | 2023-08-29 | Nomura Research Institute, Ltd. | Inspection system, inspection method, and computer program |
JP2019195126A (ja) * | 2018-05-01 | 2019-11-07 | コニカミノルタ株式会社 | 画像処理装置および制御プログラム |
JP7000978B2 (ja) | 2018-05-01 | 2022-01-19 | コニカミノルタ株式会社 | 画像処理装置および制御プログラム |
Also Published As
Publication number | Publication date |
---|---|
US9407648B1 (en) | 2016-08-02 |
US20170004309A1 (en) | 2017-01-05 |
EP3113063A1 (en) | 2017-01-04 |
JP6259862B2 (ja) | 2018-01-10 |
EP3113063B1 (en) | 2017-09-13 |
US10242186B2 (en) | 2019-03-26 |
RU2589862C1 (ru) | 2016-07-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6259862B2 (ja) | ランダムアクセスメモリ内の悪質なコードを検出するためのシステムおよび方法 | |
JP6639588B2 (ja) | 悪意あるファイルを検出するシステムおよび方法 | |
RU2531861C1 (ru) | Система и способ оценки вредоносности кода, исполняемого в адресном пространстве доверенного процесса | |
JP6700351B2 (ja) | プロセスのアドレス空間内の悪意のあるコードの検出のためのシステムおよび方法 | |
RU2571723C2 (ru) | Система и способ для снижения нагрузки на операционную систему при работе антивирусного приложения | |
JP6482489B2 (ja) | 脆弱なアプリケーションによるファイルのオープンを制御するシステム及び方法。 | |
US8042186B1 (en) | System and method for detection of complex malware | |
RU2653985C2 (ru) | Способ и система обнаружения вредоносного программного обеспечения путем контроля исполнения программного обеспечения запущенного по сценарию | |
EP2515250A1 (en) | System and method for detection of complex malware | |
JP6588945B2 (ja) | 仮想マシンにおける悪意のあるファイルを分析するシステム及び方法 | |
JP2018041438A (ja) | ファイル中の悪意のあるコードの検出システム及び方法 | |
CN105760787B (zh) | 用于检测随机存取存储器中的恶意代码的系统及方法 | |
US9111096B2 (en) | System and method for preserving and subsequently restoring emulator state | |
RU2724790C1 (ru) | Система и способ формирования журнала при исполнении файла с уязвимостями в виртуальной машине | |
JP6568564B2 (ja) | ファイルのウイルス対策スキャン実行のため仮想マシン上にログを生成するシステム及び方法 | |
JP2017123143A (ja) | ユーザ機器上でマルウェアを検出するためにアンチウィルス記録セットを生成するシステム及び方法 | |
US10055579B2 (en) | System resources for sandboxing | |
JP2019169121A (ja) | ウィルス対策レコードを作成するシステムと方法 | |
US9202053B1 (en) | MBR infection detection using emulation | |
RU2649794C1 (ru) | Система и способ формирования журнала в виртуальной машине для проведения антивирусной проверки файла | |
EP2881883B1 (en) | System and method for reducing load on an operating system when executing antivirus operations | |
RU2592383C1 (ru) | Способ формирования антивирусной записи при обнаружении вредоносного кода в оперативной памяти | |
RU2774042C1 (ru) | Система и способ выявления потенциально вредоносных изменений в приложении | |
RU2757409C1 (ru) | Эмулятор и способ эмуляции | |
RU2595510C1 (ru) | Способ исключения процессов из антивирусной проверки на основании данных о файле |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170822 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170905 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20171124 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20171205 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20171211 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6259862 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |