JP2017174373A - 仮想マシンでファイルのアンチウイルススキャンを実行するシステム及び方法 - Google Patents
仮想マシンでファイルのアンチウイルススキャンを実行するシステム及び方法 Download PDFInfo
- Publication number
- JP2017174373A JP2017174373A JP2016122577A JP2016122577A JP2017174373A JP 2017174373 A JP2017174373 A JP 2017174373A JP 2016122577 A JP2016122577 A JP 2016122577A JP 2016122577 A JP2016122577 A JP 2016122577A JP 2017174373 A JP2017174373 A JP 2017174373A
- Authority
- JP
- Japan
- Prior art keywords
- log
- file
- signature
- execution
- database
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/564—Static detection by virus signature recognition
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Debugging And Monitoring (AREA)
- Storage Device Security (AREA)
Abstract
【解決手段】仮想マシンでファイルの第1次実行を行い201、実行中に検出されたAPI関数コール及び内部イベントとを含む第1のログを記録し、ログ内の任意の署名が署名データベースに格納されているかどうかを判定する202。さらに、第1のログ内の署名が第1署名データベース内に見つからない場合、そのファイルを悪意のないものとして分類する203a。少なくとも1つの署名が見つかった場合、ファイルの第2次実行を行い203、検出された内部イベントを含むように第2のログに記録される。さらに、第2のログ内の任意の署名が、第2署名データベースに格納されているかどうかを判定し204、署名が見つからない場合、そのファイルを悪意のないものとして分類する203a。
【選択図】図2
Description
第1次実行工程は、仮想マシンでファイルの第1次実行を行い、
第1記録工程は、ファイルの第1次実行中に検出された、少なくとも1つのAPI関数コール及び少なくとも1つの内部イベントとを含む第1のログをメモリに記録し、
第1データベース判定工程は、第1のログ内の任意の署名が第1署名データベースに格納されているかどうかを判定し、
第1分類工程は、第1のログ内の署名が第1署名データベース内に見つからない場合、そのファイルを悪意のないものとして分類し、
第2次実行工程は、第1のログ内の少なくとも1つの署名が、第1署名データベース内に見つかった場合、仮想マシンでファイルの第2次実行を行い、、
第2記録工程は、ファイルの第2次実行中に検出された少なくとも1つの内部イベントを含む第2のログをメモリに記録し、
第2データベース判定工程は、第2のログ内の任意の署名が、第2署名データベースに格納されているかどうかを判定し、
第2分類工程は、第2のログ内の署名が第2署名データベースの内に見つからない場合、そのファイルを悪意のないものとして分類する、方法。
そして、第1のログ及び第2のログにある署名を第2署名データベースで検出した後に、API関数コールに関する記録を作成することを含み、
記録シーケンス番号とは、第2署名データベースで特定された上記署名の始めの記録の前に、第2のログで発見された記録に対する番号である。
プロセッサは、仮想マシンでファイルの第1次実行を行い、
ファイルの第1次実行中に検出された、少なくとも1つのAPI関数コール及び少なくとも1つの内部イベントを含む第1のログをメモリに格納し、
第1のログ内の任意の署名が、第1署名データベース内に格納されているかどうかを判定し、第1のログ内の署名が第1署名データベース内に見つからない場合、そのファイルを悪意のないものとして分類し、
第1のログ内の少なくとも1つの署名が第1署名データベース内に見つかった場合、仮想マシンでファイルの第2次実行を行い、ファイルの第2次実行中に検出された少なくとも1つの内部イベントを含む第2のログをメモリに格納し、
第2のログ内の任意の署名が、第2署名データベースに格納されているかどうかを判定し、第2のログ内の署名が第2署名データベース内に見つからない場合、そのファイルを悪意のないものとして分類する、ように構成される。
第1次実行命令は、仮想マシンでファイルの第1次実行を行い、第1記録命令は、ファイルの第1次実行中での、少なくとも1つのAPI関数コール及び検出された少なくとも1つの内部イベントとを含む第1のログをメモリに記録し、第1データベース判定命令は、第1のログ内の任意の署名が、第1署名データベースに格納されているかどうかを判定し、第1分類命令は、第1のログ内が第1署名データベース内に見つからない場合、そのファイルを悪意のないものとして分類し、第2次実行命令は、第1のログ内の少なくとも1つの署名が、第1署名データベース内に見つかった場合、仮想マシンでファイルの第2次実行を行い、第2記録命令は、ファイルの第2次実行中に検出された少なくとも1つの内部イベントを含む第2のログをメモリに記録し、第2データベース判定命令は、第2のログ内の任意の署名が、第2署名データベースに格納されているかどうかを判定し、第2分類命令は、第2のログ内の署名が、第2署名データベース内に見つからない場合、そのファイルを悪意のないものとして分類する命令を含む。
・コールされた関数の名前
・ファイル104により起動されたプロセスの一意の識別子(プロセス識別子、PID)
・上記プロセスにより起動されたスレッドの一意の識別子(スレッド識別子、TID)
・上記関数の引数の集合
・内部イベントの名前
・システムコールのタイプ
・ファイル104から起動されたプロセスの一意の識別子
・上記プロセスから起動されたスレッドの一意の識別子
・システムコールによってアドレス指定されたOSカーネルのオブジェクトのプロセスの一意の識別子
・OSカーネルの上記オブジェクトのスレッドの一意の識別子
・OSカーネルの上記オブジェクトへのパス
識別子"PID"を持つプロセスがレジストリキーである"Key"を削除する。
第1のタイプの署名(アンチウイルス記録)は、API関数コールに関する情報を含む2つ以上の記録を含んでいる。例示的な態様では、第1のタイプの署名は、内部イベントに関する情報を順番に含む記録をさらに追加で含んでいる。一態様によれば、第1のタイプの署名には、1つ又は複数のAPI関数コールに関する情報を有する記録が含まれており、それは少なくとも2回の反復サイクルで繰り返される。さらに別の例示的な態様では、サイクルの反復回数は、管理者によって指定された反復の制限数を上回る必要がある。第1のタイプの署名の検出は、第1のログ110を検索し、第1のタイプの署名の記録と第1のログ110の記録が一致するものを見つけ出すことによって行われる。工程202で一致が見つからなかった場合、本手法の作業は工程203aで完了し、ファイル104は悪意のあるものとはみなされない。
前述のAPI関数は、通常、正当なソフトウェアによってコールされることはめったにない。しかし、悪意のあるソフトウェアは、アンチウィルス・アプリケーションによるスキャンを妨げるために、そのような関数に対して多数の呼び出しを実行することがある。
ユーザは、入力デバイス(キーボード40、マウス42)で、パーソナルコンピュータ20に、コマンドと情報を入力することができる。他の入力デバイス(図示せず)として、マイクロホン、ジョイスティック、ゲームコントローラ、スキャナ等を用いることができる。そのような入力デバイスは、通常、シリアルポート46を介してコンピュータシステム20に接続され、それは、順番に、システムバスに接続される。それらは、他の方法(例えば、パラレルポート、ゲームポート、又はユニバーサルシリアルバス(USB))を用いて接続できる。モニター47又は他のタイプの表示デバイスもまた、ビデオアダプタ48などのインタフェースを介してシステムバス23に接続される。モニター47に加えて、パーソナルコンピュータは、ラウドスピーカー、プリンター等の他の周辺出力デバイス(図示せず)を搭載することができる。
Claims (21)
- 仮想マシンでのファイルのアンチウィルススキャンを実行するための方法であって、前記方法は、第1次実行工程と、第1記録工程と、第1データベース判定工程と、第1分類工程と、第2次実行工程と、第2記録工程と、第2データベース判定工程と第2分類工程を含み、
前記第1次実行工程は、前記仮想マシンで前記ファイルの第1次実行を行い、
前記第1記録工程は、前記ファイルの第1次実行中に検出された、少なくとも1つのAPI関数コール及び少なくとも1つの内部イベントとを含む、第1のログをメモリに記録し、
前記第1データベース判定工程は、前記第1のログ内の任意の署名が第1署名データベースに格納されているかどうかを判定し、
前記第1分類工程は、前記第1のログ内の署名が前記第1署名データベース内に見つからない場合、前記ファイルを悪意のないものとして分類し、
前記第2次実行工程は、前記第1のログ内の少なくとも1つの署名が、前記第1署名データベース内に見つかった場合、前記仮想マシンで前記ファイルの第2次実行を行い、
前記第2記録工程は、前記ファイルの第2次実行中に検出された、少なくとも1つの内部イベントを含む、第2のログを前記メモリに記録し、
前記第2データベース判定工程は、前記第2のログ内の任意の署名が第2署名データベースに格納されているかどうかを判定し、
前記第2分類工程は、前記第2のログ内の署名が、前記第2署名データベース内に見つからない場合、前記ファイルを悪意のないものとして分類する、ことを特徴とする方法。 - 前記方法は、さらに、基準決定工程と、第3次実行工程と、第3記録工程と、第3判定工程、第3分類工程を含み、
前記基準決定工程は、前記第2のログ内の少なくとも1つの署名が、前記第2署名データベースで見つかった場合、前記第1のログ及び前記第2のログに基づいて、API関数コールに関する記録を作成する基準を決定し、
前記第3次実行工程は、前記決定された基準に対する条件が満たされるまで、前記仮想マシンで前記ファイルの第3次の実行を行ない、
前記第3記録工程は、前記ファイルの前記第3次実行中に検出された少なくとも1つの内部イベントを含む第3のログを前記メモリに記録し、
前記第3判定工程は、前記第3のログ内の任意の署名が悪意のある署名データベースに格納されているかどうか判定し、
前記第3分類工程は、前記悪意のある署名データベースに、前記第3のログ内の署名が見つからない場合、前記ファイルを悪意のないものとして分類する、ことを特徴とする請求項1に記載の方法。 - API関数コールに関する記録を作成するための前記基準は、
前記第2のログ内に記録シーケンス番号を有する少なくとも1つの内部イベントの発生と、
そして、前記第1のログ及び前記第2のログにある署名を前記第2署名データベースで検出した後に、API関数コールに関する記録を作成することを含み、
前記記録シーケンス番号は、前記第2署名データベースで特定された前記署名の始めの記録の前に、前記第2のログ内に発見された記録に対する番号である、
請求項2に記載の方法。
- 前記仮想マシンで前記ファイルの前記第1次実行を行う工程は、ある期間又は前記ファイルのプログラムコードの実行が完了するまで、前記ファイルの前記第1次実行工程を続けることを含む、請求項1に記載の方法。
- 前記ファイルによって実行される命令に従って、前記仮想マシンでの前記ファイルの前記第1次実行の前記期間を動的に変更する工程をさらに含む、請求項4に記載の方法。
- 前記第1のログ及び前記第2のログに格納された前記少なくとも1つの各内部イベントは、前記内部イベントの名前、システムコールのタイプ、および前記ファイルから起動されたプロセスの一意の識別子を含む、請求項1に記載の方法。
- 前記第1のログ及び前記第2のログに格納された前記少なくとも1つの各内部イベントは、前記プロセスから起動されたスレッドの一意の識別子、前記システムコールによってアドレス指定されたOSカーネルのオブジェクトにおけるプロセスの一意の識別子、OSカーネルのオブジェクトのスレッドの一意の識別子、及び、OSカーネルのオブジェクトへのパスのうちの少なくとも1つを含む、請求項6に記載の方法。
- 仮想マシンでのファイルのアンチウィルススキャンを実行するためのシステムであって、前記システムは、第1署名データベース、第2署名データベース、メモリ、及びプロセッサを備え、
前記プロセッサは、前記仮想マシンで前記ファイルの第1次実行を行い、
前記ファイルの第1次実行中に検出された、少なくとも1つのAPI関数コール及び少なくとも1つの内部イベントとを含む、第1のログをメモリに記録し、
前記第1のログ内の任意の署名が、前記第1署名データベースに格納されているかどうかを判定し、
前記第1のログ内の署名が前記第1署名データベース内に見つからない場合、前記ファイルを悪意のないものとして分類し、
前記第1のログ内の少なくとも1つの署名が、前記第1署名データベース内に見つかった場合、前記仮想マシンで前記ファイルの第2次実行を行い、
前記ファイルの第2次実行中に検出された少なくとも1つの内部イベントを含む、第2のログを前記メモリに記録し、
前記第2のログ内の任意の署名が前記第2署名データベースに格納されているかどうかを判定し、
前記第2のログ内の署名が、前記第2署名データベース内に見つからない場合、前記ファイルを悪意のないものとして分類する、ように構成される、システム。 - 前記プロセッサは、さらに、
前記第2のログ内の少なくとも1つの署名が、前記第2署名データベースで見つかった場合、前記第1のログ及び前記第2のログに基づいて、API関数コールに関する記録を作成する基準を決定し、
前記決定された基準に対する条件が満たされるまで、前記仮想マシンで前記ファイルの第3次の実行を行ない、
前記ファイルの前記第3次実行中に検出された少なくとも1つの内部イベントを含む第3のログを前記メモリに記録し、
前記第3のログ内の任意の署名が悪意のある署名データベースに格納されているかどうか判定し、
前記悪意のある署名データベースに、前記第3のログ内の署名が見つからない場合、前記ファイルを悪意のないものとして分類する、ことを特徴とする請求項8に記載のシステム。 - API関数コールに関する記録を作成するための前記基準は、
前記第2のログ内に記録シーケンス番号を有する少なくとも1つの内部イベントの発生と、
そして、前記第1のログ及び前記第2のログにある署名を前記第2署名データベースで検出した後に、API関数コールに関する記録を作成すること、を含み、
前記記録シーケンス番号は、前記第2署名データベースで特定された前記署名の始めの記録の前に、前記第2のログ内に発見された記録に対する番号である、
請求項9に記載のシステム。 - 前記プロセッサは、前記仮想マシンで前記ファイルの前記第1次実行を行い、ある期間又は前記ファイルのプログラムコードの実行が完了するまで、前記ファイルの前記第1次実行を続けるように構成される、請求項8に記載のシステム。
- 前記プロセッサは、前記ファイルによって実行される命令に従って、前記仮想マシンでの前記ファイルの前記第1次実行の前記期間を動的に変更するように構成される、請求項11に記載のシステム。
- 前記第1のログ及び前記第2のログに格納された前記少なくとも1つの各内部イベントは、前記内部イベントの名前、システムコールのタイプ、および前記ファイルから起動されたプロセスの一意の識別子を含む、請求項8に記載のシステム。
- 前記第1のログ及び前記第2のログに格納された前記少なくとも1つの各内部イベントは、前記プロセスから起動されたスレッドの一意の識別子、前記システムコールによってアドレス指定されるOSカーネルのオブジェクトにおけるプロセスの一意の識別子、OSカーネルのオブジェクトのスレッドの一意の識別子、及び、OSカーネルのオブジェクトへのパスのうちの少なくとも1つを含む、請求項13に記載のシステム。
- 仮想マシンでファイルのアンチウイルススキャンを実行するためのコンピュータ実行可能命令を格納する非一時的なコンピュータ可読媒体であって、
前記命令は、第1次実行命令と、第1記録命令と、第1データベース判定命令と、第1分類命令と、第2次実行命令と、第2記録命令と、第2データベース判定命令と第2分類命令を含み、
前記第1次実行命令は、前記仮想マシンで前記ファイルの第1次実行を行い、
前記第1記録命令は、前記ファイルの第1次実行中に検出された、少なくとも1つのAPI関数コール及び少なくとも1つの内部イベントとを含む、第1のログをメモリに記録し、
前記第1データベース判定命令は、前記第1のログ内の任意の署名が第1署名データベースに格納されているかどうかを判定し、
前記第1分類命令は、前記第1のログ内の署名が前記第1署名データベース内に見つからない場合、前記ファイルを悪意のないものとして分類し、
前記第2次実行命令は、前記第1のログ内の少なくとも1つの署名が、前記第1署名データベース内に見つかった場合、前記仮想マシンで前記ファイルの第2次実行を行い、
前記第2記録命令は、前記ファイルの第2次実行中に検出された、少なくとも1つの内部イベントを含む、第2のログを前記メモリに記録し、
前記第2データベース判定命令は、前記第2のログ内の任意の署名が第2署名データベースに格納されているかどうかを判定し、
前記第2分類命令は、前記第2のログ内の署名が、前記第2署名データベース内に見つからない場合、前記ファイルを悪意のないものとして分類する、非一時的なコンピュータ可読媒体。 - 前記命令は、さらに、基準決定命令と、第3次実行命令と、第3記録命令と、第3判定命令、第3分類命令を含み、
前記基準決定命令は、前記第2のログ内の少なくとも1つの署名が、前記第2署名データベースで見つかった場合、前記第1のログ及び前記第2のログに基づいて、API関数コールに関する記録を作成する基準を決定し、
前記第3次実行命令は、前記決定された基準に対する条件が満たされるまで、前記仮想マシンで前記ファイルの第3次の実行を行い、
前記第3記録命令は、前記ファイルの前記第3次実行中に検出された少なくとも1つの内部イベントを含む第3のログを前記メモリに記録し、
前記第3判定命令は、前記第3のログ内の任意の署名が悪意のある署名データベースに格納されているかどうか判定し、
前記第3分類命令は、前記悪意のある署名データベースに、前記第3のログ内の署名が見つからない場合、前記ファイルを悪意のないものとして分類する、ことを特徴とする請求項15に記載の非一時的なコンピュータ可読媒体。 - API関数コールに関する記録を作成するための前記基準は、
前記第2のログ内に記録シーケンス番号を有する少なくとも1つの内部イベントの発生と、
そして、前記第1のログ及び前記第2のログにある署名を前記第2署名データベースで検出した後に、API関数コールに関する記録を作成すること、を含み、
前記記録シーケンス番号は、前記第2署名データベースで特定された前記署名の始めの記録の前に、前記第2のログ内に発見された記録に対する番号である、
請求項16に記載の非一時的なコンピュータ可読媒体。 - 前記仮想マシンで前記ファイルの前記第1次実行を行う命令は、ある期間又は前記ファイルのプログラムコードの実行が完了するまで、前記ファイルの前記第1次実行を続けることを含む、請求項15に記載の非一時的なコンピュータ可読媒体。
- 前記ファイルによって実行される命令に従って、前記仮想マシンでの前記ファイルの前記第1次実行の前記期間を動的に変更する命令をさらに含む、請求項18に記載の非一時的なコンピュータ可読媒体。
- 前記第1のログ及び前記第2のログに格納された前記少なくとも1つの各内部イベントは、前記内部イベントの名前、システムコールのタイプ、および前記ファイルから起動されたプロセスの一意の識別子を含む、請求項15に記載の非一時的なコンピュータ可読媒体。
- 前記第1のログ及び前記第2のログに格納された前記少なくとも1つの各内部イベントは、前記プロセスから起動されたスレッドの一意の識別子、前記システムコールによってアドレス指定されるOSカーネルのオブジェクトにおけるプロセスの一意の識別子、OSカーネルのオブジェクトのスレッドの一意の識別子、及び、OSカーネルのオブジェクトへのパスのうちの少なくとも1つを含む、請求項20に記載の非一時的なコンピュータ可読媒体。
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2016109928A RU2628921C1 (ru) | 2016-03-18 | 2016-03-18 | Система и способ выполнения антивирусной проверки файла на виртуальной машине |
RU2016109928 | 2016-03-18 | ||
US15/168,794 US9679139B1 (en) | 2016-03-18 | 2016-05-31 | System and method of performing an antivirus scan of a file on a virtual machine |
US15/168,794 | 2016-05-31 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017174373A true JP2017174373A (ja) | 2017-09-28 |
JP6404273B2 JP6404273B2 (ja) | 2018-10-10 |
Family
ID=59009333
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016122577A Active JP6404273B2 (ja) | 2016-03-18 | 2016-06-21 | 仮想マシンでファイルのアンチウイルススキャンを実行するシステム及び方法 |
Country Status (5)
Country | Link |
---|---|
US (1) | US9679139B1 (ja) |
EP (1) | EP3220307B1 (ja) |
JP (1) | JP6404273B2 (ja) |
CN (1) | CN107203717B (ja) |
RU (1) | RU2628921C1 (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019169121A (ja) * | 2018-02-06 | 2019-10-03 | エーオー カスペルスキー ラボAO Kaspersky Lab | ウィルス対策レコードを作成するシステムと方法 |
JP2021117624A (ja) * | 2020-01-24 | 2021-08-10 | 三菱電機株式会社 | 車載制御装置 |
JP7419278B2 (ja) | 2021-02-10 | 2024-01-22 | Kddi株式会社 | 仮想マシン管理装置、仮想マシン管理方法及び仮想マシン管理プログラム |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10586045B2 (en) * | 2016-08-11 | 2020-03-10 | The Mitre Corporation | System and method for detecting malware in mobile device software applications |
US10546120B2 (en) * | 2017-09-25 | 2020-01-28 | AO Kaspersky Lab | System and method of forming a log in a virtual machine for conducting an antivirus scan of a file |
US10867039B2 (en) * | 2017-10-19 | 2020-12-15 | AO Kaspersky Lab | System and method of detecting a malicious file |
RU2724790C1 (ru) * | 2018-12-28 | 2020-06-25 | Акционерное общество "Лаборатория Касперского" | Система и способ формирования журнала при исполнении файла с уязвимостями в виртуальной машине |
RU2702053C1 (ru) * | 2018-12-28 | 2019-10-03 | Акционерное общество "Лаборатория Касперского" | Способ снижения нагрузки на сканирующую подсистему путем дедупликации сканирования файлов |
CN113139176A (zh) * | 2020-01-20 | 2021-07-20 | 华为技术有限公司 | 恶意文件的检测方法、装置、设备及存储介质 |
JP2022050219A (ja) * | 2020-09-17 | 2022-03-30 | 富士フイルムビジネスイノベーション株式会社 | 情報処理装置及び情報処理プログラム |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009181335A (ja) * | 2008-01-30 | 2009-08-13 | Nippon Telegr & Teleph Corp <Ntt> | 解析システム、解析方法および解析プログラム |
JP2013105366A (ja) * | 2011-11-15 | 2013-05-30 | Hitachi Ltd | プログラム解析システム及び方法 |
JP2013171556A (ja) * | 2012-02-23 | 2013-09-02 | Hitachi Ltd | プログラム解析システム及び方法 |
Family Cites Families (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7093239B1 (en) * | 2000-07-14 | 2006-08-15 | Internet Security Systems, Inc. | Computer immune system and method for detecting unwanted code in a computer system |
US7146305B2 (en) * | 2000-10-24 | 2006-12-05 | Vcis, Inc. | Analytical virtual machine |
US8627458B2 (en) * | 2004-01-13 | 2014-01-07 | Mcafee, Inc. | Detecting malicious computer program activity using external program calls with dynamic rule sets |
US7779472B1 (en) | 2005-10-11 | 2010-08-17 | Trend Micro, Inc. | Application behavior based malware detection |
US9286469B2 (en) * | 2005-12-16 | 2016-03-15 | Cisco Technology, Inc. | Methods and apparatus providing computer and network security utilizing probabilistic signature generation |
US8196205B2 (en) * | 2006-01-23 | 2012-06-05 | University Of Washington Through Its Center For Commercialization | Detection of spyware threats within virtual machine |
US8434151B1 (en) * | 2008-01-04 | 2013-04-30 | International Business Machines Corporation | Detecting malicious software |
US20100031353A1 (en) * | 2008-02-04 | 2010-02-04 | Microsoft Corporation | Malware Detection Using Code Analysis and Behavior Monitoring |
US8510838B1 (en) * | 2009-04-08 | 2013-08-13 | Trend Micro, Inc. | Malware protection using file input/output virtualization |
US9501644B2 (en) * | 2010-03-15 | 2016-11-22 | F-Secure Oyj | Malware protection |
US8413246B2 (en) * | 2010-06-21 | 2013-04-02 | Microsoft Corporation | Evaluating shellcode findings |
US8397218B2 (en) * | 2010-10-19 | 2013-03-12 | International Business Machines Corporation | Step granularity selection in a software debugger |
US8832836B2 (en) * | 2010-12-30 | 2014-09-09 | Verisign, Inc. | Systems and methods for malware detection and scanning |
CN102254120B (zh) * | 2011-08-09 | 2014-05-21 | 华为数字技术(成都)有限公司 | 恶意代码的检测方法、系统及相关装置 |
RU2491615C1 (ru) * | 2012-02-24 | 2013-08-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ формирования записей для обнаружения программного обеспечения |
RU2514141C1 (ru) * | 2012-09-28 | 2014-04-27 | Закрытое акционерное общество "Лаборатория Касперского" | Способ эмуляции вызовов системных функций для обхода средств противодействия эмуляции |
US9536091B2 (en) * | 2013-06-24 | 2017-01-03 | Fireeye, Inc. | System and method for detecting time-bomb malware |
US9607146B2 (en) * | 2013-09-18 | 2017-03-28 | Qualcomm Incorporated | Data flow based behavioral analysis on mobile devices |
US9237161B2 (en) * | 2013-12-16 | 2016-01-12 | Morphick, Inc. | Malware detection and identification |
US10212176B2 (en) * | 2014-06-23 | 2019-02-19 | Hewlett Packard Enterprise Development Lp | Entity group behavior profiling |
RU2580016C1 (ru) | 2014-10-17 | 2016-04-10 | Закрытое акционерное общество "Лаборатория Касперского" | Способ передачи управления между областями памяти |
-
2016
- 2016-03-18 RU RU2016109928A patent/RU2628921C1/ru active
- 2016-05-31 US US15/168,794 patent/US9679139B1/en active Active
- 2016-06-17 EP EP16175085.6A patent/EP3220307B1/en active Active
- 2016-06-21 JP JP2016122577A patent/JP6404273B2/ja active Active
- 2016-06-30 CN CN201610509940.2A patent/CN107203717B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009181335A (ja) * | 2008-01-30 | 2009-08-13 | Nippon Telegr & Teleph Corp <Ntt> | 解析システム、解析方法および解析プログラム |
JP2013105366A (ja) * | 2011-11-15 | 2013-05-30 | Hitachi Ltd | プログラム解析システム及び方法 |
JP2013171556A (ja) * | 2012-02-23 | 2013-09-02 | Hitachi Ltd | プログラム解析システム及び方法 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019169121A (ja) * | 2018-02-06 | 2019-10-03 | エーオー カスペルスキー ラボAO Kaspersky Lab | ウィルス対策レコードを作成するシステムと方法 |
JP2021117624A (ja) * | 2020-01-24 | 2021-08-10 | 三菱電機株式会社 | 車載制御装置 |
JP7419278B2 (ja) | 2021-02-10 | 2024-01-22 | Kddi株式会社 | 仮想マシン管理装置、仮想マシン管理方法及び仮想マシン管理プログラム |
Also Published As
Publication number | Publication date |
---|---|
CN107203717A (zh) | 2017-09-26 |
EP3220307A1 (en) | 2017-09-20 |
EP3220307B1 (en) | 2019-07-24 |
RU2628921C1 (ru) | 2017-08-22 |
CN107203717B (zh) | 2020-06-26 |
US9679139B1 (en) | 2017-06-13 |
JP6404273B2 (ja) | 2018-10-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6404273B2 (ja) | 仮想マシンでファイルのアンチウイルススキャンを実行するシステム及び方法 | |
JP6842367B2 (ja) | ファイル中の悪意のあるコードの検出システム及び方法 | |
US10242186B2 (en) | System and method for detecting malicious code in address space of a process | |
US9135443B2 (en) | Identifying malicious threads | |
US9348998B2 (en) | System and methods for detecting harmful files of different formats in virtual environments | |
US7620992B2 (en) | System and method for detecting multi-component malware | |
RU2454705C1 (ru) | Система и способ защиты компьютерного устройства от вредоносных объектов, использующих сложные схемы заражения | |
JP2018041438A5 (ja) | ||
RU2665911C2 (ru) | Система и способ анализа файла на вредоносность в виртуальной машине | |
JP2019505943A (ja) | サイバーセキュリティシステムおよび技術 | |
US11227049B1 (en) | Systems and methods of detecting malicious PowerShell scripts | |
JP2019067372A (ja) | プロセスのアドレス空間内の悪意のあるコードの検出のためのシステムおよび方法 | |
US11048795B2 (en) | System and method for analyzing a log in a virtual machine based on a template | |
JP6313384B2 (ja) | アンチウィルス判定の最適化のためのシステム及び方法 | |
US11397812B2 (en) | System and method for categorization of .NET applications | |
JP2017509996A (ja) | 疑わしいイベントのソースを識別するためのシステム及び方法 | |
RU2649794C1 (ru) | Система и способ формирования журнала в виртуальной машине для проведения антивирусной проверки файла | |
US11170103B2 (en) | Method of detecting malicious files resisting analysis in an isolated environment | |
RU2583712C2 (ru) | Система и способ обнаружения вредоносных файлов определенного типа | |
EP2958045A1 (en) | System and method for treatment of malware using antivirus driver | |
Orgah et al. | MemForC: Memory Forensics Corpus Creation for Malware Analysis | |
RU2592383C1 (ru) | Способ формирования антивирусной записи при обнаружении вредоносного кода в оперативной памяти | |
EP3588346A1 (en) | Method of detecting malicious files resisting analysis in an isolated environment | |
JP6687844B2 (ja) | マルウエア解析装置、マルウエア解析方法及びマルウエア解析プログラム | |
EP2230616A1 (en) | System and method for detecting multi-component malware |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180605 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180823 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180904 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180912 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6404273 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |