JP2017514205A - インストール前にモバイルデバイス上でマルウェアを検出するためのシステム及び方法 - Google Patents
インストール前にモバイルデバイス上でマルウェアを検出するためのシステム及び方法 Download PDFInfo
- Publication number
- JP2017514205A JP2017514205A JP2016554629A JP2016554629A JP2017514205A JP 2017514205 A JP2017514205 A JP 2017514205A JP 2016554629 A JP2016554629 A JP 2016554629A JP 2016554629 A JP2016554629 A JP 2016554629A JP 2017514205 A JP2017514205 A JP 2017514205A
- Authority
- JP
- Japan
- Prior art keywords
- application
- agent
- malware
- computing device
- mobile computing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000009434 installation Methods 0.000 title claims abstract description 99
- 238000000034 method Methods 0.000 title claims abstract description 71
- 238000004891 communication Methods 0.000 claims abstract description 81
- 230000009471 action Effects 0.000 claims abstract description 22
- 230000004044 response Effects 0.000 claims abstract description 16
- 238000012544 monitoring process Methods 0.000 claims description 32
- 230000008569 process Effects 0.000 claims description 24
- 230000000903 blocking effect Effects 0.000 claims description 4
- 239000003795 chemical substances by application Substances 0.000 description 93
- 238000010586 diagram Methods 0.000 description 12
- 230000006870 function Effects 0.000 description 7
- 238000004590 computer program Methods 0.000 description 6
- 238000012546 transfer Methods 0.000 description 6
- 239000004744 fabric Substances 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 238000013515 script Methods 0.000 description 4
- 241000700605 Viruses Species 0.000 description 3
- 230000001413 cellular effect Effects 0.000 description 3
- 238000001514 detection method Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000003993 interaction Effects 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000010076 replication Effects 0.000 description 1
- 239000004984 smart glass Substances 0.000 description 1
- 238000011895 specific detection Methods 0.000 description 1
- 230000026676 system process Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/564—Static detection by virus signature recognition
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
- H04L67/025—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/535—Tracking the activity of the user
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/128—Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/34—Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/50—Service provisioning or reconfiguring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/60—Subscription-based services using application servers or record carriers, e.g. SIM application toolkits
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Stored Programmes (AREA)
Abstract
インストール前にモバイルデバイス上でマルウェアを検出するためのコンピュータ実装方法は、アプリケーションをモバイルコンピューティングデバイスにインストールするアプリケーションインストールエージェントの1つ以上の通信を傍受することを含んでもよい。本方法は、1つ以上の傍受された通信に基づいて、アプリケーションインストールエージェントによって少なくとも部分的にダウンロードされたアプリケーションを識別することを更に含んでもよい。本方法は、アプリケーションの識別に応答して、かつアプリケーションがモバイルコンピューティングデバイスにインストールされる前に、マルウェアについてアプリケーションをスキャンすることも含んでもよい。加えて、本方法は、スキャンに基づいて、アプリケーションがマルウェアを含むと判定することを含んでもよい。最後に、本方法は、アプリケーションがマルウェアを含むという判定に応答して、セキュリティアクションを実施することを含んでもよい。様々な他の方法、システム、及びコンピュータ可読媒体も開示される。
Description
モバイルデバイスをマルウェアから保護することは、モバイルデバイスセキュリティの不可欠な部分である。その結果、セキュリティソフトウェア開発者は、モバイルデバイスのアンチマルウェアシステムの速度、効率、及び有効性を改善する方法を探求し続けている。多くのアンチマルウェアシステムは、既知のマルウェアシグネチャについてファイルをスキャンすることによってマルウェアを検出する。アンチマルウェアシステムが、既知のマルウェアシグネチャにマッチするファイル内のコードを検出した場合、アンチマルウェアシステムは、そのファイルを隔離又は削除するなどの、様々なセキュリティアクションを実施することができる。残念なことに、この時点で、マルウェアファイルがモバイルデバイスのセキュリティを既に危殆化している場合がある。これは、マルウェアがアプリケーションストアクライアント(例えば、GOOGLE PLAYクライアント又はIOS APP STOREクライアント)によってダウンロードされるときに特に当てはまり得る。例えば、スマートフォン上の従来のアンチマルウェアシステムは、アプリケーションストアクライアントがアプリケーションをダウンロードし、それをスマートフォンにインストールしてしまう後まで、アプリケーションをスキャンするために待機する場合がある。このインストールとスキャンとの間の時間窓は、どれだけ小さくても、マルウェアがスマートフォンのセキュリティを危殆化するのに十分であり得る。
したがって、インストール前にモバイルデバイス上でマルウェアを検出するためのより効率的で有効な機構が必要である。
以下で更に詳細に説明されるように、本開示は、インストール前にモバイルデバイス上でマルウェアを検出するための様々なシステム及び方法を記載する。例えば、インストール前にモバイルデバイス上でマルウェアを検出するための方法は、アプリケーションをモバイルコンピューティングデバイスにインストールするアプリケーションインストールエージェントの1つ以上の通信を傍受することを含んでもよい。本方法は、1つ以上の傍受された通信に基づいて、アプリケーションインストールエージェントによって少なくとも部分的にダウンロードされたアプリケーションを識別することを更に含んでもよい。本方法は、アプリケーションの識別に応答して、かつアプリケーションがモバイルコンピューティングデバイスにインストールされる前に、マルウェアについてアプリケーションをスキャンすることも含んでもよい。加えて、本方法は、スキャンに基づいて、アプリケーションがマルウェアを含むと判定することを含んでもよい。本方法は、アプリケーションがマルウェアを含むという判定に応答して、セキュリティアクションを実施することを更に含んでもよい。
いくつかの実施形態において、監視エージェントは、監視エージェントがアプリケーションインストールエージェントから通信を傍受することができるように、アプリケーションインストールエージェントを起動してもよい。これらの実施形態において、アプリケーションインストールエージェントを起動した後に、監視エージェントは、上に記載される傍受工程及び識別工程を実施してもよい。
少なくとも1つの実施形態において、アプリケーションインストールエージェントの1つ以上の通信を傍受することは、リモートサーバからアプリケーションをダウンロードするというアプリケーションインストールエージェントからの要求を傍受することを含んでもよい。いくつかの実施例において、アプリケーションインストールエージェントの1つ以上の通信を傍受することは、アプリケーションをモバイルコンピューティングデバイスにインストールするというアプリケーションインストールエージェントによる要求を傍受することを含んでもよい。これらの実施例において、アプリケーションを識別することは、アプリケーションをモバイルコンピューティングデバイスにインストールするという要求に基づいて、アプリケーションのファイルパスを識別することを含んでもよい。いくつかの実施形態において、アプリケーションを識別することは、ファイルパスを、スキャン工程を実施するスキャンエージェントに提供することを更に含んでもよい。
様々な実施例において、アプリケーションをスキャンすることは、アプリケーションがダウンロードされている間に、かつ/又はアプリケーションが完全にダウンロードされた後に、アプリケーションをスキャンすることを含んでもよい。少なくとも1つの実施例において、セキュリティアクションを実施することは、アプリケーションのインストールをブロックすることを含んでもよい。
一実施形態において、上に記載される方法を実装するためのシステムは、アプリケーションをモバイルコンピューティングデバイスにインストールするアプリケーションインストールエージェントの1つ以上の通信を傍受する、メモリに記憶された傍受モジュールを含んでもよい。本システムは、1つ以上の傍受された通信に基づいて、アプリケーションインストールエージェントによって少なくとも部分的にダウンロードされたアプリケーションを識別する、メモリに記憶された識別モジュールを更に含んでもよい。本システムは、アプリケーションがモバイルコンピューティングデバイスにインストールされる前にアプリケーションをスキャンする、メモリに記憶されたスキャンモジュールも含んでもよい。加えて、本システムは、スキャンに基づいて、アプリケーションがマルウェアを含むと判定する、メモリに記憶された判定モジュールを含んでもよい。本システムは、アプリケーションがマルウェアを含むと判定することに基づいて、セキュリティアクションを実施する、メモリに記憶されたセキュリティモジュールを更に含んでもよい。更に、本システムは、傍受モジュール、識別モジュール、スキャンモジュール、判定モジュール、及びセキュリティモジュールを実行する少なくとも1つの物理プロセッサを含んでもよい。
いくつかの実施例において、上に記載される方法は、非一時的コンピュータ可読媒体上のコンピュータ可読命令としてコード化されてもよい。例えば、コンピュータ可読媒体は、1つ以上のコンピュータ実行可能命令を含んでもよく、該命令は、モバイルコンピューティングデバイスの少なくとも1つのプロセッサによって実行したときに、モバイルコンピューティングデバイスに、アプリケーションをモバイルコンピューティングデバイスにインストールするアプリケーションインストールエージェント1つ以上の通信を傍受させることができる。1つ以上のコンピュータ実行可能命令は更に、モバイルコンピューティングデバイスに、1つ以上の傍受された通信に基づいて、アプリケーションインストールエージェントによって少なくとも部分的にダウンロードされたアプリケーションを識別させることができる。1つ以上のコンピュータ実行可能命令は、モバイルコンピューティングデバイスに、アプリケーションがモバイルコンピューティングデバイスにインストールされる前に、マルウェアについてアプリケーションをスキャンさせることもできる。加えて、1つ以上のコンピュータ実行可能命令は、モバイルコンピューティングデバイスに、スキャンに基づいて、アプリケーションがマルウェアを含むと判定させることができる。1つ以上のコンピュータ実行可能命令は更に、モバイルコンピューティングデバイスに、アプリケーションがマルウェアを含むという判定に応答して、セキュリティアクションを実施させることができる。
上で述べられる実施形態のいずれかによる特徴は、本明細書で説明される一般原理に従って、互いに組み合わせて使用することができる。これら及び他の実施形態、特徴、及び利点は、添付の図面及び特許請求の範囲と併せて以下の発明を実施するための形態を読むことによって更に十分に理解されるだろう。
添付の図面は、いくつかの例示的な実施形態を例証するものであり、本明細書の一部である。以下の説明と併せて、これらの図面は、本開示の様々な原理を実証及び説明する。
インストール前にモバイルデバイス上でマルウェアを検出するための例示的なシステムのブロック図である。
インストール前にモバイルデバイス上でマルウェアを検出するための追加の例示的なシステムのブロック図である。
インストール前にモバイルデバイス上でマルウェアを検出するための例示的な方法のフロー図である。
インストール前にスマートフォン上でマルウェアを検出するための例示的なシステムのブロック図である。
本明細書に記載及び/又は例証される実施形態のうちの1つ以上を実装することができる例示的なコンピューティングシステムのブロック図である。
本明細書に記載及び/又は例証される実施形態のうちの1つ以上を実装することができる例示的なコンピューティングネットワークのブロック図である。
図面を通して、同一の参照符号及び記述は、必ずしも同一ではないが、類似の要素を示す。本明細書で説明される例示的な実施形態は、様々な修正物及び代替的な形態が可能であるが、特定の実施形態が例として図面に示されており、本明細書に詳細に記載される。しかしながら、本明細書に記載される例示的な実施形態は、開示される特定の形態に限定されることを意図しない。むしろ、本開示は、添付の特許請求の範囲内にある全ての修正物、等価物、及び代替物を網羅する。
本開示は、概して、インストール前にモバイルデバイス上でマルウェアを検出するためのシステム及び方法を対象とする。以下で更に詳細に説明されるように、本明細書に記載されるシステム及び方法は、マルウェアがモバイルコンピューティングデバイスにインストールされる前にマルウェアを検出するために、アプリケーションインストールエージェントの通信を傍受することができる。具体的には、本明細書のシステム及び方法は、アプリケーションをダウンロードし、かつ/又はアプリケーションをインストールするというアプリケーションインストールエージェントからの、要求を傍受し、マルウェアについてアプリケーションをスキャンし、次いで、アプリケーションのインストールをブロックすることによって、アンチマルウェア開発者がロバストなプロアクティブアンチマルウェアシステムを作成する助けとなり得る。
以下、図1、図2、及び図4を参照して、インストール前にモバイルデバイス上でマルウェアを検出するための例示的なシステムの詳細な説明を提供する。対応するコンピュータ実装方法の詳細な説明も図3に関連して提供される。更に、本明細書に記載される実施形態のうちの1つ以上を実装することができる例示的なコンピューティングシステム及びネットワークアーキテクチャの詳細な説明が、それぞれ図5及び図6に関連して提供される。
図1は、インストール前にモバイルデバイス上でマルウェアを検出するための例示的なシステム100のブロック図である。この図に例証されるように、例示的なシステム100は、1つ以上のタスクを実施するための1つ以上のモジュール102を含んでもよい。例えば、以下で更に詳細に説明されるように、例示的なシステム100は、アプリケーションをモバイルコンピューティングデバイスにインストールするアプリケーションインストールエージェントの1つ以上の通信を傍受する、傍受モジュール104を含んでもよい。例示的なシステム100は、1つ以上の傍受された通信に基づいて、アプリケーションインストールエージェントによって少なくとも部分的にダウンロードされたアプリケーションを識別する、識別モジュール106も含んでもよい。例示的なシステム100は、アプリケーションの識別に応答して、かつアプリケーションがモバイルコンピューティングデバイスにインストールされる前に、マルウェアについてアプリケーションをスキャンする、スキャンモジュール108を更に含んでもよい。加えて、例示的なシステム100は、スキャンに基づいて、アプリケーションがマルウェアを含むと判定する、判定モジュール110を含んでもよい。例示的なシステム100は、アプリケーションがマルウェアを含むという判定に応答して、セキュリティアクションを実施する、セキュリティモジュール112も含んでもよい。別々の要素として例証されるが、図1のモジュール102のうちの1つ以上は、単一のモジュール又はアプリケーションの部分を表してもよい。
ある特定の実施形態において、図1のモジュール102のうち1つ以上は、コンピューティングデバイスによって実行されると、コンピューティングデバイスに1つ以上のタスクを実施させ得る、1つ以上のソフトウェアアプリケーション又はプログラムを表してもよい。例えば、以下で更に詳細に説明されるように、モジュール102のうちの1つ以上は、図2に例証されるデバイス(例えば、モバイルコンピューティングデバイス202及び/又はサーバ206)、図4のスマートフォン402、図5のコンピューティングシステム510、及び/又は図6の例示的なネットワークアーキテクチャ600の部分などの、1つ以上のコンピューティングデバイスに記憶され、その上で作動するように構成されたソフトウェアモジュールを表してもよい。図1のモジュール102のうちの1つ以上は、1つ以上のタスクを実施するように構成された1つ以上の専用コンピュータの全て又は一部も表してもよい。
図1に例証されるように、例示的なシステム100は、マルウェアシグネチャデータベース120などの、1つ以上のデータベースも含んでもよい。一実施例において、マルウェアシグネチャデータベース120は、様々な既知のマルウェアシグネチャを記憶するように構成されてもよい。本実施例において、アンチマルウェアシステムは、マルウェアシグネチャデータベース120で見られるものと同様なマルウェアシグネチャを検出するためにモバイルコンピューティングデバイスのファイルをスキャンすることができる。このようにして、アンチマルウェアシステム(例えば、図4のアンチマルウェアシステム412)は、モバイルコンピューティングデバイスのマルウェアを検出するために、マルウェアシグネチャデータベース120を利用することができる。
マルウェアシグネチャデータベース120は、単一のデータベース若しくはコンピューティングデバイス、又は複数のデータベース若しくはコンピューティングデバイスの部分を表してもよい。例えば、マルウェアシグネチャデータベース120は、図2のサーバ206の一部、図4のスマートフォン402、図5のコンピューティングシステム510、及び/又は図6の例示的なネットワークアーキテクチャ600の部分を表してもよい。代替的に、図1のマルウェアシグネチャデータベース120は、図2のサーバ206、図4のスマートフォン402、図5のコンピューティングシステム510、及び/又は図6の例示的なネットワークアーキテクチャ600の部分などの、コンピューティングデバイスによってアクセスすることができる、1つ以上の物理的に別々のデバイスを表してもよい。
図1の例示的なシステム100は、様々な方法で実装することができる。例えば、例示的なシステム100の全て又は一部は、図2における例示的なシステム200の部分を表してもよい。図2に示されるように、システム200は、ネットワーク204を介してサーバ206と通信しているモバイルコンピューティングデバイス202を含んでもよい。一実施例において、モバイルコンピューティングデバイス202は、モジュール102のうちの1つ以上によってプログラムすることができ、及び/又はマルウェアシグネチャデータベース120の中のデータの全て又は一部を記憶することができる。加えて、又は代替的に、サーバ206は、モジュール102のうちの1つ以上によってプログラムすることができ、及び/又はマルウェアシグネチャデータベース120の中のデータの全て又は一部を記憶することができる。
一実施形態において、図1のモジュール102のうちの1つ以上は、モバイルコンピューティングデバイス202及び/又はサーバ206の少なくとも1つのプロセッサによって実行したときに、モバイルコンピューティングデバイス202及び/又はサーバ206が、マルウェアがモバイルコンピューティングデバイス202にインストールされる前に、マルウェアをスキャンし、検出することを可能にする。例えば、以下で更に詳細に説明されるように、傍受モジュール104は、アプリケーションをモバイルコンピューティングデバイス202にインストールするアプリケーションインストールエージェント210の1つ以上の通信を傍受することができる。次いで、識別モジュール106は、1つ以上の傍受された通信に基づいて、アプリケーションインストールエージェント210によって少なくとも部分的にダウンロードされたアプリケーション208を識別することができる。識別モジュール106のアプリケーション208の識別に応答して、かつアプリケーション208がモバイルコンピューティングデバイス202にインストールされる前に、スキャンモジュール108は、マルウェアについてアプリケーション208をスキャンすることができる。次いで、判定モジュール110は、アプリケーション208のスキャンに基づいて、アプリケーション208がマルウェアを含むと判定することができる。最後に、セキュリティモジュール112は、アプリケーション208がマルウェアを含むという判定に応答して、セキュリティアクションを実施することができる。
モバイルコンピューティングデバイス202は、一般に、コンピュータ実行可能命令を読み取ることができる任意のタイプ又は形態のコンピューティングデバイスを表す。モバイルコンピューティングデバイス202の例としては、限定することなく、ラップトップ、タブレット、携帯電話、携帯情報端末(PDA)、マルチメディアプレーヤー、埋め込みシステム、ウェアラブルデバイス(例えば、スマートウォッチ、スマートグラスなど)、ゲーム機、それらのうちの1つ以上の組み合わせ、図4のスマートフォン402、図5の例示的なコンピューティングシステム510、又は任意の他の好適なコンピューティングデバイスが挙げられる。
サーバ206は、一般に、アプリケーションをホストし、モバイルデバイスにインストールされるアプリケーションストアクライアントに提供することができる、任意のタイプ又は形態のコンピューティングデバイスを表してもよい。例えば、サーバ206は、GOOGLE PLAYサービスの一部とすることができ、また、GOOGLE PLAYクライアントで構成されたスマートフォンが、GOOGLE PLAYアプリケーションをダウンロードすることを可能にすることができる。サーバ206の例としては、限定することなく、様々なデータベースサービスを提供するように、かつ/又はある特定のソフトウェアアプリケーションを作動させるように構成されたアプリケーションサーバ及びデータベースサーバが挙げられる。
ネットワーク204は、一般に、通信若しくはデータ転送を容易にすることが可能な、任意の媒体又はアーキテクチャを表す。ネットワーク204の例としては、限定することなく、イントラネット、ワイドエリアネットワーク(WAN)、ローカルエリアネットワーク(LAN)、パーソナルエリアネットワーク(PAN)、インターネット、電力線通信(PLC)、セルラーネットワーク(例えば、グローバルシステムフォーモバイルコミュニケーションズ(GSM(登録商標))ネットワーク)、図4の例示的なネットワーク404、図6の例示的なネットワークアーキテクチャ600などが挙げられる。ネットワーク204は、無線接続又は有線接続を使用して、通信又はデータ転送を容易にすることができる。一実施形態において、ネットワーク204は、モバイルコンピューティングデバイス202とサーバ206との間の通信を容易にすることができる。
図3は、インストール前にモバイルデバイス上でマルウェアを検出するための例示的なコンピュータ実装方法300のフロー図である。図3に示される工程は、任意の適切なコンピュータ実行可能コード及び/又はコンピューティングシステムによって実施することができる。いくつかの実施形態では、図3の工程は、図1のシステム100、図2のシステム200、図4のスマートフォン402、図5のコンピューティングシステム510、及び/又は図6の例示的なネットワークアーキテクチャ600の部分の構成要素のうちの1つ以上によって実施され得る。
図3に例証されるように、工程302で、本明細書に記載されるシステムのうちの1つ以上は、アプリケーションをモバイルコンピューティングデバイスにインストールするアプリケーションインストールエージェントの1つ以上の通信を傍受することができる。例えば、傍受モジュール104は、図2のモバイルコンピューティングデバイス202の一部として、アプリケーションインストールエージェント210の1つ以上の通信を傍受することができる。
本明細書で使用するとき、用語「通信」は、一般に、プロセス、アプリケーション、ソフトウェアモジュール、及び/又はプログラムから送信される、又はそれらによって受信される、任意のタイプ又は形態の入力/出力を指す。更に、用語「通信」は、一般に、アプリケーションプログラミングインターフェース(API)コールを介して、又は他の通信プロトコル(FTP、HTTPSなど)を介して交換される通信などの、2つのソフトウェアモジュール間の任意のタイプ又は形態の相互作用を指し得る。いくつかの実施例において、通信は、アプリケーションプロセスがデータを記憶デバイスから読み取ろうとする、又はそこに書き込もうとする試みを含み得る。例えば、アプリケーションインストールエージェントは、アプリケーションをスマートフォン記憶デバイスに記憶し、及び/又はインストールするために、システムAPIをコールすることができる。通信は、任意のタイプのソフトウェアから送信される、及び/又はそれによって受信される、任意の他の好適な相互作用、入力/出力、及び/又はデータを含むことができる。
様々な情報及び/又はデータを、通信を介して送信することができる。例えば、実行可能ファイル又はスクリプトは、アプリケーションストアサーバから、スマートフォンのアプリケーションストアクライアントに送信することができる。別の実施例において、アプリケーションインストールエージェントは、特定のパラメータをAPIに送信することによって、リモートサーバのAPIをコールすることができる。通信を介して送信することができるデータの例としては、限定することなく、任意のタイプ又は形態のアプリケーションファイル(例えば、アンドロイドパッケージファイル(APK)又はiPhone(登録商標)アプリケーションアーカイブ(IPA))、実行ファイル、スクリプト、ライブラリ、APIパラメータ、プロトコルパラメータ、データベースファイル、圧縮ファイル、入力/出力データ、又は任意の他の好適なタイプ若しくは形態のデータが挙げられる。
2つのソフトウェアモジュール間(アプリケーションインストールエージェントとリモートサーバのAPIとの間など)の通信は、様々なプロトコルを介して送信することができる。例えば、アプリケーションインストールエージェント及びリモートサーバは、ハイパーテキスト転送プロトコル(HTTP)又はファイル転送プロトコル(FTP)を介して通信することができる。いくつかの実施例において、同じシステム内のプロセスは、システム固有のプロトコルを介して通信することができる。例えば、ANDROID(登録商標、以下同じ)デバイス上のアプリケーションは、相互に通信することができ、他のシステムは、様々なANDROID固有のプロトコル及びパラメータを介して、例えば「インテント」の宣言などを処理する。
本明細書で使用するとき、「アプリケーションインストールエージェント」という句は、一般に、リモートサーバ(例えば、GOOGLE PLAYクライアント又はIOS APP STOREクライアント)からモバイルコンピューティングデバイスにアプリケーションをダウンロード及びインストールするように構成されたモバイルコンピューティングデバイスにインストールされる任意のタイプ又は形態のアプリケーションストアクライアントを指す。例えば、アプリケーションインストールエージェントは、スマートフォンのユーザがアプリケーションストアでアプリケーションを検索し、そこからダウンロードすることを可能にする、クライアント側のスマートフォンアプリケーションを含んでもよい。アプリケーションインストールエージェントは、一般に、アプリケーションをモバイルデバイスにダウンロード及びインストールするプロセスを自動化する、任意の他の好適なサービス、アプリケーション、及び/又はソフトウェアモジュールを含んでもよい。
アプリケーションインストールエージェントは、アプリケーションをホストするリモートサーバから、様々なアプリケーション及びファイル(例えば、ANROID APK又はIOS IPA)をダウンロード及びインストールするように構成されてもよい。加えて、アプリケーションインストールエージェントは、様々なネットワーク及びネットワーク構成にわたって、(上で論じられるような)様々なプロトコルを介して、リモートサーバと通信するように構成されてもよい。例えば、アプリケーションインストールエージェントは、インターネット、セルラーネットワーク、又は任意の他の好適なタイプのネットワークを介して、アプリケーションをダウンロード及びインストールするように構成されてもよい。
傍受モジュール104は、様々な方法で、アプリケーションインストールエージェント210の1つ以上の通信を傍受することができる。例えば、傍受モジュール104は、サーバ206からアプリケーション208をダウンロードするというアプリケーションインストールエージェント210からの要求を傍受することができる。いくつかの実施形態において、傍受モジュール104は、アプリケーション208をモバイルコンピューティングデバイス202にインストールするというアプリケーションインストールエージェント210による要求を傍受することができる。例えば、ANDROIDデバイスにおいて、傍受モジュール104は、アプリケーションインストールエージェント210から送信される「インテント」の宣言を傍受することによって、アプリケーション208をインストールするという要求を傍受することができる。
様々な実施形態において、傍受モジュール104は、監視エージェント(図4の監視エージェント414)の一部とすることができる。これらの実施形態において、監視エージェントは、監視エージェントがアプリケーションインストールエージェント210から通信を傍受することができるように、アプリケーションインストールエージェント210を起動することができる。例えば、スマートフォンのアンチマルウェアシステムの一部である監視エージェントは、スマートフォンにインストールされるアプリケーションストアクライアントについて、パーミッションを起動し、設定することができる。このような構成は、監視エージェントが、アプリケーションインストールエージェント210の入力/出力のフッキングなどの、様々な監視タスクを実施することを可能にすることができる。少なくとも1つの実施形態において、監視エージェントは、アプリケーションインストールエージェント210を起動しようとする試みを中断し、リダイレクトするように構成されてもよい。例えば、スマートフォンのユーザがアプリケーションストアクライアントを起動しようと試みたときに、監視エージェントは、起動の試みを中断し、次いで、監視エージェントが監視できるプロセスとして、アプリケーションストアクライアントを再起動することができる。
図3に例証されるように、工程304で、本明細書に記載されるシステムのうちの1つ以上は、1つ以上の傍受された通信に基づいて、アプリケーションインストールエージェントによって少なくとも部分的にダウンロードされたアプリケーションを識別することができる。例えば、識別モジュール106は、図2のモバイルコンピューティングデバイス202の一部として、傍受モジュール104によって傍受される1以上の通信に基づいて、アプリケーション208を識別することができる。更に、アプリケーション208は、アプリケーションインストールエージェント210によって少なくとも部分的にダウンロードされてしまっている場合がある。
本明細書で使用するとき、用語「アプリケーション」は、一般に、任意のタイプ又は形態の実行可能ファイル及び/又はプロセスを指す。例えば、アプリケーションは、APK又はIPAファイルを含み得る。アプリケーションは、任意のサイズであり得る。例えば、アプリケーションは、100メガバイト程度に大きい、又は2、3キロバイト程度に小さいものであり得る。いくつかの実施例において、アプリケーションは、様々な構成でモバイルコンピューティングデバイス202にインストールすることができる1つ以上のファイルを含んでもよい。いくつかの実施例において、アプリケーションは、モバイルコンピューティングデバイス202のシステム及びアプリケーションレベルでインストールすることができるファイルを含んでもよい。
識別モジュール106は、様々な方法で、アプリケーション208を識別することができる。例えば、識別モジュール106は、アプリケーションインストールエージェント210がサーバ206からアプリケーション208をダウンロードしている間に、アプリケーション208を識別することができる。いくつかの実施形態において、識別モジュール106は、アプリケーションインストールエージェント210がアプリケーション208をモバイルコンピューティングデバイス202にインストールするよう要求した後に、アプリケーション208を識別することができる。少なくとも1つの実施例において、識別モジュール106は、アプリケーション208をモバイルコンピューティングデバイス202にインストールするというアプリケーションインストールエージェント210による要求に基づいて、アプリケーション208のファイルパスを識別することによって、アプリケーション208を識別することができる。様々な実施形態において、次いで、識別モジュール104は、アプリケーション208のファイルパスを、スキャン工程を実施するスキャンエージェント(例えば、図2のスキャンモジュール108又は図4のスキャンエージェント416)に送信することができる。これらの実施形態において、スキャンエージェントは、アプリケーション208の場所を特定し、スキャンするために、アプリケーション208のファイルパスを使用することができる。
様々な実施形態において、識別モジュール106は、監視エージェントの一部とすることができる。これらの実施形態において、監視エージェントは、監視エージェントが、アプリケーションインストールエージェント210によって少なくとも部分的にダウンロードされたアプリケーションを識別することができるような方法で、アプリケーションインストールエージェント210を起動することができる。例えば、監視エージェントは、アプリケーションインストールエージェント210を起動するときに、監視エージェントが、アプリケーションインストールエージェント210によるアプリケーション208をダウンロード及び/又はインストールしようとする試みを識別することを可能にするパーミッションを設定することができる。
識別モジュール106は、アプリケーション208がインストールされる前の任意の好適な時間に、アプリケーション208を識別することができる。例えば、識別モジュール106は、アプリケーションインストールエージェント210がアプリケーション208をダウンロードしている間に、アプリケーション208を識別することができる。別の実施例において、識別モジュール106は、アプリケーションインストールエージェント210がアプリケーション208を完全にダウンロードした後に、アプリケーション208を識別することができる。
図3に例証されたときに、工程306で、本明細書に記載されるシステムのうちの1つ以上は、アプリケーションの識別に応答して、かつアプリケーションがモバイルコンピューティングデバイスにインストールされる前に、マルウェアについてアプリケーションをスキャンすることができる。例えば、スキャンモジュール108は、図2のモバイルコンピューティングデバイス202の一部として、マルウェアについてアプリケーション208をスキャンすることができる。更に、スキャンモジュール108は、アプリケーションインストールエージェント210がアプリケーション208をモバイルコンピューティングデバイス202にインストールする前に、アプリケーション208をスキャンすることができる。
スキャンしているモジュール108は、様々なマルウェアスキャン方法を使用して、アプリケーション208をスキャンすることができる。マルウェアスキャン方法の例としては、限定することなく、ストリングスキャン方法、ワイルドカード方法、ミスマッチ方法、ジェネリック検出方法、ブックマーク方法、スマートスキャン方法、スケルトン検出方法、ヒューリスティックス分析、ウイルス固有の検出、及び/又は任意の他の好適なマルウェアスキャンプロセスが挙げられる。
スキャンモジュール108は、様々な方法で、アプリケーション208をスキャンすることができる。例えば、スキャンモジュール108は、アプリケーションインストールエージェント210がアプリケーション208をダウンロードする間に、アプリケーション208を識別することができる。いくつかの実施形態において、スキャンモジュール108は、アプリケーションインストールエージェント210がアプリケーション208を完全にダウンロードした後に、アプリケーション208をスキャンすることができる。少なくとも1つの実施例において、スキャンモジュール108は、アプリケーションインストールエージェント210がアプリケーション208をインストールしようとする試みに応答して、アプリケーション208をスキャンすることができる。様々な実施例において、スキャンモジュール108は、識別モジュール106がアプリケーション208を識別した直後に、アプリケーション208をスキャンすることができる。
いくつかの実施形態によると、スキャンモジュール108は、シグネチャマッチング方法を使用して、アプリケーション208をスキャンすることができる。これらの実施形態において、スキャンモジュール108は、マルウェアシグネチャデータベース120に記憶されたマルウェアシグネチャなどの既知のマルウェアシグネチャに対するマッチを見つけるために、アプリケーション208をスキャンすることができる。
図3に例証されるように、工程308で、本明細書に記載されるシステムのうちの1つ以上は、スキャンに基づいて、アプリケーションがマルウェアを含むと判定することができる。例えば、判定モジュール110は、アプリケーション208のスキャンに基づいて、アプリケーション208がマルウェアを含むと判定することができる。
本明細書にユーザとして、用語「マルウェア」は、一般に、任意のタイプ又は形態のコード、スクリプト、アプリケーション、ソフトウェアモジュール、プロセス、並びに/又は一般に敵対的な、侵入的な、安全でない、望ましくない、及び/又は不正な方法で挙動するように構成された任意の他のタイプのコンピュータ実行可能命令を指す。例えば、マルウェアは、機密データ又は個人データを収集するスパイウェアプログラムをスマートフォンに含むことができる。別の例において、マルウェアは、例えばファイルを削除するか、又はシステムプロセスを破壊するなどの不正機能を実施することによってコンピュータの動作を混乱させようと試みる、不正コンピュータウイルスを含み得る。マルウェアの一般的な例としては、限定することなく、コンピュータウイルス、ランサムウェア、ワーム、トロイの木馬、ルートキット、キーロガー、ダイアラー、スパイウェア、アドウェア、偽セキュリティソフトウェア、不正ブラウザヘルパオブジェクト(BHO)、及び/又は任意の好適なタイプ若しくは形態のマルウェアが挙げられる。
判定モジュール110は、様々な方法で、アプリケーション208がマルウェアを含むと判定することができる。例えば、判定モジュール110は、アプリケーション208内の任意のコードが、マルウェアシグネチャデータベース120に記憶されているものなどの既知のマルウェアシグネチャに類似又はマッチする場合に、アプリケーション208がマルウェアを含むと判定することができる。いくつかの実施形態において、判定モジュール110は、アプリケーション208の少なくとも1つのコンピュータ実行可能命令がマルウェアシグネチャにマッチした場合に、アプリケーション208がマルウェアを含むと判定することができる。いくつかの実施例において、判定モジュール110は、アプリケーション208自体がマルウェアプログラムであると判定することができる。少なくとも1つの実施例において、判定モジュール110は、アプリケーション208の任意の一部又は一部分がマルウェアであるかどうかにかかわらず、アプリケーション208の任意の一部又は一部分がマルウェアであると疑われる場合に、アプリケーション208がマルウェアを含むと判定することができる。例えば、判定モジュール110は、アプリケーション208がマルウェアを含むという、情報に基づく「推測」又は判定を行うために、ヒューリスティックアルゴリズムを使用することができる。判定モジュール110は、任意の他の好適な方法で、アプリケーション208がマルウェアを含むと判定することができる。
図3に例証されるように、工程310で、本明細書に記載されるシステムのうちの1つ以上は、アプリケーションがマルウェアを含むという判定に応答して、セキュリティアクションを実施することができる。例えば、セキュリティモジュール112は、モバイルコンピューティングデバイス202の一部として、セキュリティアクションを実施することができる。
本明細書で使用するとき、句「セキュリティアクション」は、本開示を参照して使用されるときに、一般に、モバイルコンピューティングデバイスのセキュリティを向上させるためにソフトウェアモジュール(セキュリティモジュール112など)によってなされる任意の工程を指す。例えば、アンチマルウェアシステムは、ファイルがマルウェアを含むと判定した後に、ファイルを隔離しようと試みることによって、セキュリティアクションを実施することができる。セキュリティアクションの例としては、限定することなく、セキュリティログを作成すること、マルウェアを含むファイルを隔離又は削除すること、モバイルデバイスに検出されたマルウェアに関して該デバイスのユーザに通知すること、マルウェアのインストールをブロックすること、及び/又はモバイルデバイスのセキュリティを向上させようと試みる任意の他の好適な工程若しくはアクションが挙げられる。
セキュリティモジュール112は、判定モジュール110が、アプリケーション208がマルウェアを含むと判定したときに、様々なセキュリティアクションを実施することができる。例えば、セキュリティモジュール112は、アプリケーション208を隔離又は削除することができる。別の実施例において、セキュリティモジュール112は、モバイルコンピューティングデバイス202のユーザに、アプリケーション208がマルウェアを含むと警告することができる。いくつかの実施形態において、セキュリティモジュール112は、アプリケーション208に関する情報をセキュリティログに記憶することができる。様々な実施形態において、セキュリティモジュール112は、セキュリティアクションの組み合わせを実施することができる。例えば、セキュリティモジュール112は、アプリケーション208を隔離することができ、次いで、モバイルコンピューティングデバイス202のユーザに、アプリケーション208がマルウェアを含むと通知することができる。
少なくとも1つの実施例において、セキュリティモジュール112は、アプリケーション208のインストールをブロックすることができる。例えば、セキュリティモジュール112は、アプリケーションインストールエージェント210がアプリケーション208をモバイルコンピューティングデバイス202にインストールしようとする試みをブロックすることができる。別の実施例において、セキュリティモジュール112は、アプリケーションインストールエージェント210が、アプリケーション208をインストールしようと試みることさえも防止することができる。
上で簡潔に述べられるように、方法300は、スマートフォンに記憶されたアンチマルウェアシステムに組み込むことができる。図4のシステム400は、モジュール102の全てで構成されており、かつスマートフォン402に記憶されたアンチマルウェアシステム412の例示的な例証である。この例証において、アンチマルウェアシステム412は、監視エージェント414と、スキャンエージェント416とを含む。スマートフォン402のユーザが、アプリケーションストアクライアント410を起動しようと試みたときに、監視エージェント414は、その試みをリダイレクトし、アプリケーションストアクライアント410を、監視エージェント414が監視することができるプロセスで起動することができる。こうすることによって、監視エージェント414は、音楽アプリケーション408をダウンロード及びインストールしようと試みるなどの、アプリケーションストアクライアント410から送信される、及び/又はそれによって受信される通信を傍受することができる。
この例証において、監視エージェント414は、アプリケーションストアクライアント410の入力/出力プロセスをフックすることができ、したがって、アプリケーションストアクライアント410が、ネットワーク404を介して、アプリケーションストアサーバ406から音楽アプリケーション408をダウンロードしていることを検出することができる。監視エージェント414は、音楽アプリケーション408のファイルパスを識別し、スキャンエージェント416に提供し、次いで、スキャンエージェント416に音楽アプリケーション408をスキャンするように命令することができる。本実施例において、スキャンエージェント416は、ファイルの場所を特定するためにファイルパスを使用し、次いで、シグネチャマッチスキャン方法を使用することによって、ファイルがマルウェアを含むかどうかを判定するように構成されたマルウェアスキャンモジュールとすることができる。
次いで、スキャンエージェント416は、(音楽アプリケーション408がダウンロードされている間に、又は音楽アプリケーション408が完全にダウンロードされた後に)音楽アプリケーション408をスキャンすることができ、そして、音楽アプリケーション408がマルウェアを含むと判定することができる。この時点で、スキャンエージェント416は、アンチマルウェアシステム412に、アプリケーション408がマルウェアを含むと通知することができる。それに応答して、アンチマルウェアシステム412は、アプリケーションストアクライアント410が音楽アプリケーション408をインストールしようとする任意の試みをブロックすることができる。アンチマルウェアシステム412は、セキュリティログにおけるインシデントを報告し、次いで、スマートフォン402のユーザに、アプリケーション408がマルウェアを含むと通知することもできる。
図3の方法300に関連して上で説明されるように、アプリケーションストアクライアントは、マルウェアについてアプリケーションをスキャンしてしまう前にアプリケーションをモバイルデバイスにインストールすることによって、モバイルデバイスのセキュリティを危殆化し得る。いくつかのソリューションは、インストール直後にアプリケーションをスキャンすることによってこの問題に対処しようと試みることができるが、該ソリューションは、インストールが短時間であったときでさえも、マルウェアがモバイルデバイスのセキュリティを著しく危殆化することができるという、潜在的に深刻な問題に対処することができない。
本開示は、アプリケーションがモバイルデバイスにインストールされる前に、マルウェアについてアプリケーションをスキャンすることによって、この問題を解決することができる。具体的には、アプリケーションストアクライアントの入力/出力をフックし、アプリケーションを識別し、次いで、マルウェアについてアプリケーションをスキャンすることによって、本明細書に記載されるシステム及び方法は、マルウェアがモバイルデバイスにインストールされる前にマルウェアを検出することができ、したがって、多数の潜在的に深刻なセキュリティ問題を防止する。
図5は、本明細書に記載及び/又は例証される実施形態のうちの1つ以上を実装することができる例示的なコンピューティングシステム510のブロック図である。例えば、コンピューティングシステム510の全て又は一部は、単独で又は他の要素と組み合わせて、(図3に例証される工程のうち1つ以上などの)本明細書に記載される工程のうち1つ以上を実施してもよく、かつ/又はそれを実施するための手段であってもよい。コンピューティングシステム510の全て又は一部はまた、本明細書に記載及び/若しくは例証される他の任意の工程、方法、若しくは処理を実施してもよく、かつ/又はそれを実施するための手段であってもよい。
コンピューティングシステム510は、コンピュータ可読命令を実行することが可能な任意のシングル若しくはマルチプロセッサのコンピューティングデバイス又はシステムを幅広く表す。コンピューティングシステム510の例としては、限定することなく、ワークステーション、ラップトップ、クライアント側端末、サーバ、分散型コンピューティングシステム、ハンドヘルドデバイス、又は任意の他のコンピューティングシステム若しくはデバイスが挙げられる。その最も基本的な構成において、コンピューティングシステム510は、少なくとも1つのプロセッサ514及びシステムメモリ516を含んでもよい。
プロセッサ514は一般に、データの処理又は命令の解釈及び実行が可能な任意のタイプ又は形態の物理的処理ユニット(例えば、ハードウェア実装型中央処理ユニット)を表す。ある特定の実施形態では、プロセッサ514は、ソフトウェアアプリケーション又はモジュールから命令を受信することができる。これらの命令は、プロセッサ514に、本明細書に記載及び/又は例証される例示的な実施形態のうちの1つ以上の機能を実施させることができる。
システムメモリ516は一般に、データ及び/又は他のコンピュータ可読命令を記憶することが可能な任意のタイプ又は形態の揮発性又は不揮発性記憶デバイス若しくは媒体を表す。システムメモリ516の例としては、限定することなく、ランダムアクセスメモリ(RAM)、読み取り専用メモリ(ROM)、フラッシュメモリ、又は任意の他の好適なメモリデバイスが挙げられる。必須ではないが、ある特定の実施形態において、コンピューティングシステム510は、揮発性メモリユニット(例えば、システムメモリ516など)、及び不揮発性記憶デバイス(例えば、以下で詳細に説明されるような一次記憶デバイス532など)の両方を含むことができる。一実施例では、図1のモジュール102のうちの1つ以上が、システムメモリ516にロードされてもよい。
ある特定の実施形態では、例示的なコンピューティングシステム510はまた、プロセッサ514及びシステムメモリ516に加えて、1つ以上の構成要素又は要素を含んでもよい。例えば、図5に例証されるように、コンピューティングシステム510は、メモリコントローラ518、入力/出力(I/O)コントローラ520、及び通信インターフェース522を含んでもよく、それらはそれぞれ通信基盤512を介して相互接続されてもよい。通信基盤512は一般に、コンピューティングデバイスの1つ以上の構成要素間の通信を容易にすることができる、任意のタイプ若しくは形態の基盤を表す。通信基盤512の例としては、限定することなく、通信バス(産業標準アーキテクチャ(ISA)、周辺装置相互接続(PCI)、PCIエクスプレス(PCIe)、又は類似のバスなど)、及びネットワークが挙げられる。
メモリコントローラ518は、一般に、メモリ若しくはデータを扱うか、又はコンピューティングシステム510の1つ以上の構成要素間の通信を制御することができる、任意のタイプ又は形態のデバイスを表す。例えば、ある特定の実施形態では、メモリコントローラ518は、通信基盤512を介して、プロセッサ514、システムメモリ516、及びI/Oコントローラ520の間の通信を制御してもよい。
I/Oコントローラ520は、一般に、コンピューティングデバイスの入出力機能を調整及び/又は制御することができる、任意のタイプ又は形態のモジュールを表す。例えば、ある特定の実施形態において、I/Oコントローラ520は、プロセッサ514、システムメモリ516、通信インターフェース522、ディスプレイアダプタ526、入力インターフェース530、及び記憶インターフェース534などの、コンピューティングシステム510の1つ以上の要素間のデータの転送を制御するか又は容易にすることができる。
通信インターフェース522は、例示的なコンピューティングシステム510と1つ以上の追加のデバイスとの間の通信を容易にすることができる、任意のタイプ若しくは形態の通信デバイス又はアダプタを広く表す。例えば、ある特定の実施形態において、通信インターフェース522は、コンピューティングシステム510と、追加のコンピューティングシステムを含むプライベート又はパブリックネットワークネットワークとの間の通信を容易にすることができる。通信インターフェース522の例としては、限定することなく、有線ネットワークインターフェース(ネットワークインターフェースカードなど)、無線ネットワークインターフェース(無線ネットワークインターフェースカードなど)、モデム、及び他の任意の好適なインターフェースが挙げられる。少なくとも1つの実施形態では、通信インターフェース522は、インターネットなどのネットワークへの直接リンクを介して、リモートサーバへの直接接続を提供してもよい。通信インターフェース522はまた、例えば、ローカルエリアネットワーク(イーサネット(登録商標)ネットワークなど)、パーソナルエリアネットワーク、電話若しくはケーブルネットワーク、セルラー電話接続、衛星データ接続、又は他の任意の好適な接続を通した、かかる接続を間接的に提供してもよい。
ある特定の実施形態では、通信インターフェース522はまた、外部バス又は通信チャネルを介して、コンピューティングシステム510と1つ以上の追加のネットワーク又は記憶デバイスとの間の通信を容易にするように構成されたホストアダプタを表してもよい。ホストアダプタの例としては、限定することなく、小型コンピュータシステムインターフェース(SCSI)ホストアダプタ、ユニバーサルシリアルバス(USB)ホストアダプタ、米国電気電子学会(IEEE)1394ホストアダプタ、アドバンストテクノロジーアタッチメント(ATA)、パラレルATA(PATA)、シリアルATA(SATA)、及び外部SATA(eSATA)ホストアダプタ、ファイバーチャネルインターフェースアダプタ、イーサネット(登録商標)アダプタなどが挙げられる。通信インターフェース522はまた、コンピューティングシステム510が分散型又はリモートコンピューティングに関与することを可能にしてもよい。例えば、通信インターフェース522は、実行のためにリモートデバイスから命令を受信するか又はリモートデバイスに命令を送信してもよい。
図5に例証されるように、コンピューティングシステム510は、ディスプレイアダプタ526を介して通信基盤512に連結される少なくとも1つのディスプレイデバイス524も含んでもよい。ディスプレイデバイス524は一般に、ディスプレイアダプタ526によって転送される情報を視覚的に表示することができる、任意のタイプ若しくは形態のデバイスを表す。同様に、ディスプレイアダプタ526は、一般に、ディスプレイデバイス524に表示するために、通信基盤512から(又は当該技術分野において既知であるようにフレームバッファから)グラフィックス、テキスト、及び他のデータを転送するように構成された任意のタイプ又は形態のデバイスを表す。
図5に例証されるように、例示的なコンピューティングシステム510はまた、入力インターフェース530を介して通信基盤512に連結される少なくとも1つの入力デバイス528を含んでもよい。入力デバイス528は、一般に、コンピュータ又は人間のいずれかが生成した入力を、例示的なコンピューティングシステム510に提供することができる、任意のタイプ若しくは形態の入力デバイスを表す。入力デバイス528の例としては、限定されないが、キーボード、ポインティングデバイス、音声認識デバイス、又は他の任意の入力デバイスが挙げられる。
図5に例証されるように、例示的なコンピューティングシステム510はまた、記憶インターフェース534を介して通信基盤512に連結される、一次記憶デバイス532及びバックアップ記憶デバイス533を含んでもよい。記憶デバイス532及び533は、一般に、データ及び/又は他のコンピュータ可読命令を記憶することができる、任意のタイプ若しくは形態の記憶デバイス又は媒体を表す。例えば、記憶デバイス532及び533は、磁気ディスクドライブ(例えば、いわゆるハードドライブ)、ソリッドステートドライブ、フロッピーディスクドライブ、磁気テープドライブ、光ディスクドライブ、フラッシュドライブなどであってもよい。記憶装置インターフェース534は、一般に、記憶デバイス532及び533とコンピューティングシステム510の他の構成要素との間でデータを転送するための、任意のタイプ又は形態のインターフェース又はデバイスを表す。一実施例において、図1のマルウェアシグネチャデータベース120は、一次記憶デバイス532に記憶され得る。
ある特定の実施形態において、記憶デバイス532及び533は、コンピュータソフトウェア、データ、又は他のコンピュータ可読情報を記憶するように構成された取り外し可能な記憶ユニットから読み取り、かつ/又はそれに書き込むように構成されてもよい。好適な取り外し可能な記憶ユニットの例として、フロッピーディスク、磁気テープ、光ディスク、フラッシュメモリデバイスなどが挙げられるが、これらに限定されない。記憶デバイス532及び533はまた、コンピュータソフトウェア、データ、又は他のコンピュータ可読命令が、コンピューティングシステム510内にロードされることを可能にするための他の同様の構造体又はデバイスを含んでもよい。例えば、記憶デバイス532及び533は、ソフトウェア、データ、又は他のコンピュータ可読情報を読み取り、かつこれを書き込むように構成されてもよい。記憶デバイス532及び533はまた、コンピューティングシステム510の一部であってもよく、又は他のインターフェースシステムを介してアクセスされる別々のデバイスであってもよい。
多くの他のデバイス又はサブシステムをコンピューティングシステム510に接続することができる。反対に、図5に例証される構成要素及びデバイスの全てが、本明細書で説明及び/又は例証される実施形態を実践するために存在する必要があるわけではない。上で言及されるデバイス及びサブシステムはまた、図5に示されるものと異なる方法で相互接続されてもよい。コンピューティングシステム510はまた、任意の数のソフトウェア、ファームウェア、及び/又はハードウェアの構成を用いることもできる。例えば、本明細書で開示される例示的な実施形態のうちの1つ以上は、コンピュータ可読媒体上に、コンピュータプログラム(コンピュータソフトウェア、ソフトウェアアプリケーション、コンピュータ可読命令、又はコンピュータ制御論理とも称される)として符号化することができる。本明細書で使用するとき、「コンピュータ可読媒体」という句は一般に、コンピュータ可読命令を記憶又は保有することができる、任意の形態のデバイス、キャリア、又は媒体を指す。コンピュータ可読媒体の例としては、限定することなく、搬送波などの伝送型媒体、並びに磁気記憶媒体(例えば、ハードディスクドライブ、テープドライブ、及びフロッピーディスク)、光学記憶媒体(例えば、コンパクトディスク(CD)、デジタルビデオディスク(DVD)、及びブルーレイ(BLU−RAY)ディスク)、電子記憶媒体(例えば、ソリッドステートドライブ及びフラッシュメディア)、並びに他の分散システムなどの非一時的媒体が挙げられる。
コンピュータプログラムを含むコンピュータ可読媒体は、コンピューティングシステム510にロードされてもよい。次に、コンピュータ可読媒体に記憶されたコンピュータプログラムの全て又は一部は、システムメモリ516に、並びに/又は記憶デバイス532及び533の様々な部分に記憶されてもよい。プロセッサ514によって実行されると、コンピューティングシステム510にロードされたコンピュータプログラムは、プロセッサ514に、本明細書で説明及び/又は例証される例示的な実施形態のうちの1つ以上の機能を行わせてもよく、かつ/又はそれらを行うための手段であってもよい。加えて、又は代替的に、本明細書に記載及び/又は例証される例示的な実施形態の1つ以上は、ファームウェア及び/又はハードウェアに実装されてもよい。例えば、コンピューティングシステム510は、本明細書に開示される例示的な実施形態の1つ以上を実装するように適合された、特定用途向け集積回路(ASIC)として構成されてもよい。
図6は、クライアントシステム610、620、及び630、並びにサーバ640及び645がネットワーク650に連結されていてもよい、例示的なネットワークアーキテクチャ600のブロック図である。上で詳述されるように、ネットワークアーキテクチャ600の全て又は一部は、単独で又は他の要素と組み合わせて、本明細書で開示される工程のうちの1つ以上(図3に例証される工程のうちの1つ以上など)を行ってもよく、及び/又はそれを行うための手段であってもよい。ネットワークアーキテクチャ600の全て又は一部はまた、本開示に記載される他の工程及び特性を実施するために使用されてもよく、かつ/又はそれを実施するための手段であってもよい。
クライアントシステム610、620、及び630は一般に、図5の例示的なコンピューティングシステム510などの、任意のタイプ若しくは形態のコンピューティングデバイス又はシステムを表す。同様に、サーバ640及び645は一般に、様々なデータベースサービスを提供し、かつ/又はある特定のソフトウェアアプリケーションを実行するように構成されたアプリケーションサーバ又はデータベースサーバなどの、コンピューティングデバイス又はシステムを表す。ネットワーク650は一般に、例えばイントラネット、WAN、LAN、PAN、又はインターネットを含む、任意の電気通信又はコンピュータネットワークを表す。一実施例において、クライアントシステム610、620、及び/若しくは630、並びに/又はサーバ640及び/若しくは645は、図1からのシステム100の全て又は一部を含んでもよい。
図6に例証されるように、1つ以上の記憶デバイス660(1)〜(N)は、サーバ640に直接取り付けられてもよい。同様に、1つ以上の記憶デバイス670(1)〜(N)は、サーバ645に直接取り付けられてもよい。記憶デバイス660(1)〜(N)及び記憶デバイス670(1)〜(N)は、一般に、データ及び/又は他のコンピュータ可読命令を記憶することができる、任意のタイプ若しくは形態の記憶デバイス又は媒体を表す。ある特定の実施形態において、記憶デバイス660(1)〜(N)及び記憶デバイス670(1)〜(N)は、ネットワークファイルシステム(NFS)、サーバメッセージブロック(SMB)、又は共通インターネットファイルシステム(CIFS)などの様々なプロトコルを使用して、サーバ640及び645と通信するように構成されたネットワーク接続記憶(NAS)デバイスを表すことができる。
サーバ640及び645はまた、ストレージエリアネットワーク(SAN)ファブリック680に接続することもできる。SANファブリック680は、一般に、複数の記憶デバイス間の通信を容易にすることができる、任意のタイプ若しくは形態のコンピュータネットワーク又はアーキテクチャを表す。SANファブリック680は、サーバ640及び645と、複数の記憶デバイス690(1)〜(N)及び/又はインテリジェント記憶アレイ695との間の通信を容易にすることができる。SANファブリック680はまた、記憶デバイス690(1)〜(N)及びインテリジェント記憶アレイ695が、クライアントシステム610、620、及び630にローカルで取り付けられたデバイスとして現れるような方式で、ネットワーク650並びにサーバ640及び645を介して、クライアントシステム610、620、及び630と、デバイス690(1)〜(N)及び/又はアレイ695との間の通信を容易にすることもできる。記憶デバイス660(1)〜(N)及び記憶デバイス670(1)〜(N)と同様に、記憶デバイス690(1)〜(N)及びインテリジェント記憶アレイ695は、一般に、データ及び/又は他のコンピュータ可読命令を記憶することができる任意のタイプ又は形態の記憶デバイス又は媒体を表す。
ある特定の実施形態において、図5の例示的なコンピューティングシステム510を参照して、図5の通信インターフェース522などの通信インターフェースは、それぞれのクライアントシステム610、620、及び630とネットワーク650との間を接続するように使用されてもよい。クライアントシステム610、620、及び630は、例えば、ウェブブラウザ又は他のクライアントソフトウェアを使用して、サーバ640又は645上の情報にアクセスすることが可能であり得る。そのようなソフトウェアは、クライアントシステム610、620、及び630が、サーバ640、サーバ645、記憶デバイス660(1)〜(N)、記憶デバイス670(1)〜(N)、記憶デバイス690(1)〜(N)、又はインテリジェント記憶アレイ695によってホストされるデータにアクセスすることを可能にすることができる。図6は、データを送受信するための(インターネットなどの)ネットワークの使用を示しているが、本明細書に記載及び/又は例証される実施形態は、インターネット、又は任意の特定のネットワークベースの環境に限定されない。
少なくとも1つの実施形態において、本明細書に開示される例示的な実施形態のうち1つ以上の全て又は一部は、コンピュータプログラムとしてコード化され、サーバ640、サーバ645、記憶デバイス660(1)〜(N)、記憶デバイス670(1)〜(N)、記憶デバイス690(1)〜(N)、インテリジェント記憶アレイ695、又はこれらの任意の組み合わせ上にロードされ、これらによって実行されてもよい。本明細書に開示される例示的な実施形態のうち1つ以上の全て又は一部はまた、コンピュータプログラムとしてコード化され、サーバ640に記憶され、サーバ645によって作動し、ネットワーク650上でクライアントシステム610、620、及び630に配信されてもよい。
上で詳述されるように、コンピューティングシステム510、及び/又はネットワークアーキテクチャ600の1つ以上の構成要素は、単独で、又は他の要素と組み合わせて、インストール前にモバイルデバイス上でマルウェアを検出するための例示的な方法の1つ以上の工程を行ってもよく、及び/又はそれを行うための手段であってもよい。
前述の開示は、特定のブロック図、フローチャート、及び実施例を使用して様々な実施形態を記載しているが、本明細書で説明及び/又は例証される各ブロック図の構成要素、フローチャートの工程、動作、及び/又は構成要素は、個別にかつ/又は集合的に、広範なハードウェア、ソフトウェア、又はファームウェア(若しくはそれらの任意の組み合わせの)構成を使用して実装することができる。それに加えて、他の多くのアーキテクチャが同じ機能性を達成するように実装可能であるので、他の構成要素内に含有される構成要素のあらゆる開示は、本質的に例示と見なされるべきである。
いくつかの実施例において、図1の例示的なシステム100の全て又は一部は、クラウドコンピューティング環境又はネットワークベースの環境の一部を表すことができる。クラウドコンピューティング環境は、インターネットを介して、様々なサービス及びアプリケーションを提供することができる。これらのクラウドベースのサービス(例えば、サービスとしてのソフトウェア、サービスとしてのプラットフォーム、サービスとしての基盤など)は、ウェブブラウザ又は他のリモートインターフェースを通じてアクセス可能であり得る。本明細書に記載される様々な機能は、リモートデスクトップの環境又は任意の他のクラウドベースのコンピューティング環境を介して提供されてもよい。
様々な実施形態において、図1の例示的なシステム100の全て又は一部は、クラウドベースのコンピューティング環境内でのマルチテナンシーを容易にすることができる。換言すれば、本明細書に記載されるソフトウェアモジュールは、本明細書に記載される機能の1つ以上に対するマルチテナンシーを容易にするように、コンピューティングシステム(例えば、サーバ)を構成してもよい。例えば、本明細書で説明されるソフトウェアモジュールのうちの1つ以上は、2つ以上のクライアント(例えば、顧客)が、サーバ上で作動しているアプリケーションを共有することを可能にするようにサーバをプログラムすることができる。このようにプログラムされたサーバは、複数の顧客(すなわち、テナント)の間で、アプリケーション、オペレーティングシステム、処理システム、及び/又は記憶システムを共有することができる。本明細書に記載されるモジュールのうち1つ以上はまた、ある顧客が別の顧客のデータ及び/又は設定情報にアクセスすることができないように顧客ごとに、マルチテナントアプリケーションのデータ及び/又は設定情報を分割してもよい。
様々な実施形態によると、図1の例示的なシステム100の全て又は一部は、仮想環境内で実装することができる。例えば、本明細書に記載されるモジュール及び/又はデータは、仮想機械内に常駐及び/又はそこで実行してもよい。本明細書で使用するとき、「仮想機械」という句は、一般に、仮想機械マネージャ(例えば、ハイパーバイザ)によってコンピューティングハードウェアから抽出される、任意のオペレーティングシステム環境を指す。加えて、又は代替的に、本明細書に記載されるモジュール及び/又はデータは、仮想化層内で常駐及び/又は実行してもよい。本明細書で使用するとき、「仮想化層」という句は、一般に、オペレーティングシステム環境にオーバーレイする、並びに/あるいはそこから抽出される、任意のデータ層及び/又はアプリケーション層を指す。仮想化層は、基礎となる基本オペレーティングシステムの一部であるかのように仮想化層を提示する、ソフトウェア仮想化ソリューション(例えば、ファイルシステムフィルタ)によって管理されてもよい。例えば、ソフトウェア仮想化ソリューションは、最初に基本ファイルシステム及び/又はレジストリ内の場所に方向付けられる呼出しを、仮想化層内の場所にリダイレクトしてもよい。
いくつかの実施例において、図1の例示的なシステム100の全て又は一部は、モバイルコンピューティング環境の一部を表すことができる。モバイルコンピューティング環境は、携帯電話、タブレットコンピュータ、電子ブックリーダー、携帯情報端末、ウェアラブルコンピューティングデバイス(例えば、ヘッドマウントディスプレイを備えたコンピューティングデバイス、スマートウォッチなど)などを含む、広範なモバイルコンピューティングデバイスによって実装されてもよい。いくつかの実施例において、モバイルコンピューティング環境は、例えば、バッテリ電力への依存、任意の所与の時間での1つのみのフォアグラウンドアプリケーションの提示、リモート管理特性、タッチスクリーン特性、位置及び移動データ(例えば、グローバルポジショニングシステム、ジャイロスコープ、加速度計などによって提供される)、システムレベルの構成への修正を制限する、及び/又は第3者のソフトウェアが他のアプリケーションの挙動を検査する能力を限定する、アプリケーションのインストールを制限するように(例えば、認可されたアプリケーションストアからのみ生じるように)制御するなど、制限されたプラットフォームを含む、1つ以上の個別の特性を有することができる。本明細書で説明される様々な機能は、モバイルコンピューティング環境に対して提供され得る、及び/又はモバイルコンピューティング環境と相互作用し得る。
加えて、図1の例示的なシステム100の全て又は一部は、情報管理のための1つ以上のシステムの部分を表してもよく、それと相互作用してもよく、それによって生成されるデータを消費してもよく、かつ/又はそれによって消費されるデータを生成してもよい。本明細書で使用するとき、「情報管理」という句は、データの保護、組織化、及び/又は記憶を指し得る。情報管理のためのシステムの例としては、限定することなく、記憶システム、バックアップシステム、アーカイブシステム、複製システム、高可用性システム、データ検索システム、仮想化システムなどが挙げられ得る。
いくつかの実施形態では、図1の例示的なシステム100の全て又は一部は、情報セキュリティのための1つ以上のシステムの部分を表してもよく、それによって保護されるデータを生成してもよく、かつ/又はそれと通信してもよい。本明細書で使用するとき、「情報セキュリティ」という句は、保護されたデータへのアクセスの制御を指し得る。情報セキュリティのためのシステムの例としては、限定することなく、管理されたセキュリティサービスを提供するシステム、データ損失防止システム、本人認証システム、アクセス制御システム、暗号化システム、ポリシー遵守システム、侵入検出及び防止システム、電子証拠開示システムなどが挙げられ得る。
いくつかの実施例によると、図1の例示的なシステム100の全て又は一部は、エンドポイントセキュリティのための1つ以上のシステムの部分を表してもよく、それと通信してもよく、かつ/又はそれから保護を受けてもよい。本明細書で使用するとき、「エンドポイントセキュリティ」という句は、権限がない及び/又は違法な使用、アクセス、並びに/あるいは制御からの、エンドポイントシステムの保護を指し得る。エンドポイント保護のためのシステムの例としては、限定することなく、アンチマルウェアシステム、ユーザ認証システム、暗号化システム、プライバシーシステム、スパムフィルタリングサービスなどが挙げられ得る。
本明細書に記載及び/又は例証されるプロセスパラメータ及び工程の順序は、単なる例として与えられるものであり、所望に応じて変更することができる。例えば、本明細書に例証及び/又は記載される工程は特定の順序で示され又は考察され得るが、これらの工程は、必ずしも例証又は考察される順序で実施される必要はない。本明細書に記載及び/又は例証される様々な例示的な方法はまた、本明細書に記載若しくは例証される工程の1つ以上を省略するか、又は開示されるものに加えて追加の工程を含んでもよい。
様々な実施形態を、完全に機能的なコンピューティングシステムの文脈において、本明細書に記載及び/又は例証してきたが、これらの例示的な実施形態の1つ以上は、実際に配布を実行するために使用されるコンピュータ可読媒体の特定のタイプにかかわらず、様々な形態のプログラム製品として配布されてもよい。本明細書で開示される実施形態はまた、ある特定のタスクを実施するソフトウェアモジュールを使用して実装されてもよい。これらのソフトウェアモジュールは、コンピュータ可読記憶媒体に、又はコンピューティングシステムに記憶することができる、スクリプト、バッチ、又は他の実行可能ファイルを含んでもよい。いくつかの実施形態において、これらのソフトウェアモジュールは、本明細書で開示される例示的な実施形態のうちの1つ以上を行うようにコンピューティングシステムを構成することができる。
更に、本明細書で説明されるモジュールのうちの1つ以上は、データ、物理デバイス、及び/又は物理デバイスの表現を1つの形態から別の形態へと変換することができる。例えば、本明細書に列挙されるモジュールのうちの1つ以上は、監視エージェントがアプリケーションインストールエージェントプロセスを監視することができるように、アプリケーションインストールエージェントプロセスを再起動することによって、アプリケーションインストールエージェントプロセスを変換することができる。加えて、又は代替的に、本明細書に列挙されるモジュールのうちの1つ以上は、コンピューティングデバイス上で実行し、コンピューティングデバイスにデータを記憶し、及び/又は別様にコンピューティングデバイスと相互作用することによって、プロセッサ、揮発性メモリ、不揮発性メモリ、及び/又は物理コンピューティングデバイスの任意の他の一部を、1つの形態から別の形態へと変換することができる。
前述の記述は、他の当業者が本明細書に開示される例示的な実施形態の様々な態様を最良に利用することができるように提供されてきた。この例示的な記述は、網羅的であることを意図するものではなく、又は開示される任意の正確な形態に限定することを意図するものではない。本開示の趣旨及び範囲から逸脱することなく、多くの変更例及び変形例が可能である。本明細書で開示される実施形態は、あらゆる点で例示的であり、限定的ではないものと見なされるべきである。本開示の範囲を決定する際に、添付の特許請求の範囲及びそれらの等価物を参照するべきである。
別途記載のない限り、用語「に接続される」及び「に連結される」(並びにこれらの派生語)は、本明細書及び特許請求の範囲で使用される際、直接的接続と間接的接続(すなわち、他の要素又は構成要素を介した)との両方を許容するものとして解釈することができる。更に、用語「1つの(a)」又は「1つの(an)」は、本明細書及び特許請求の範囲で使用される際、「のうち少なくとも1つ」を意味するものとして解釈することができる。最後に、簡潔にするため、用語「含む」及び「有する」(並びにそれらの派生語)は、本明細書及び特許請求の範囲で使用される際、単語「備える」と互換性があり、同じ意味を有する。
Claims (20)
- インストール前にモバイルデバイス上でマルウェアを検出するためのコンピュータ実装方法であって、前記方法の少なくとも一部が、少なくとも1つのプロセッサを備えるモバイルコンピューティングデバイスによって実施され、前記方法が、
アプリケーションを前記モバイルコンピューティングデバイスにインストールするアプリケーションインストールエージェントの1つ以上の通信を傍受することと、
前記1つ以上の傍受された通信に基づいて、前記アプリケーションインストールエージェントによって少なくとも部分的にダウンロードされたアプリケーションを識別することと、
前記アプリケーションの識別に応答して、かつ前記アプリケーションが前記モバイルコンピューティングデバイスにインストールされる前に、マルウェアについて前記アプリケーションをスキャンすることと、
前記スキャンに基づいて、前記アプリケーションがマルウェアを含むと判定することと、
前記アプリケーションがマルウェアを含むという判定に応答して、セキュリティアクションを実施することと、を含む、コンピュータ実装方法。 - 監視エージェントが前記アプリケーションインストールエージェントから通信を傍受することができるように、前記監視エージェントが、前記アプリケーションインストールエージェントを起動し、
前記アプリケーションインストールエージェントを起動した後に、前記監視エージェントが、前記傍受工程及び識別工程を実施する、請求項1に記載のコンピュータ実装方法。 - 前記アプリケーションインストールエージェントの前記1つ以上の通信を傍受することが、リモートサーバから前記アプリケーションをダウンロードするという前記アプリケーションインストールエージェントからの要求を傍受することを含む、請求項1に記載のコンピュータ実装方法。
- 前記アプリケーションインストールエージェントの前記1つ以上の通信を傍受することが、前記アプリケーションを前記モバイルコンピューティングデバイスにインストールするという前記アプリケーションインストールエージェントによる要求を傍受することを含む、請求項1に記載のコンピュータ実装方法。
- 前記アプリケーションを識別することが、前記アプリケーションを前記モバイルコンピューティングデバイスにインストールするという前記要求に基づいて、前記アプリケーションのファイルパスを識別することを含む、請求項4に記載のコンピュータ実装方法。
- 前記アプリケーションを識別することが、前記ファイルパスを、前記スキャン工程を実施するスキャンエージェントに提供することを更に含む、請求項5に記載のコンピュータ実装方法。
- 前記アプリケーションをスキャンすることが、
前記アプリケーションがダウンロードされている間に前記アプリケーションをスキャンすること、
前記アプリケーションが完全にダウンロードされた後に前記アプリケーションをスキャンすること、のうちの少なくとも1つを含む、請求項1に記載のコンピュータ実装方法。 - 前記セキュリティアクションを実施することが、前記アプリケーションのインストールをブロックすることを含む、請求項1に記載のコンピュータ実装方法。
- インストール前にモバイルデバイス上でマルウェアを検出するためのシステムであって、
アプリケーションをモバイルコンピューティングデバイスにインストールするアプリケーションインストールエージェントの1つ以上の通信を傍受する、メモリに記憶された傍受モジュールと、
前記1つ以上の傍受された通信に基づいて、前記アプリケーションインストールエージェントによって少なくとも部分的にダウンロードされたアプリケーションを識別する、メモリに記憶された識別モジュールと、
前記アプリケーションが前記モバイルコンピューティングデバイスにインストールされる前に前記アプリケーションをスキャンする、メモリに記憶されたスキャンモジュールと、
前記スキャンに基づいて、前記アプリケーションがマルウェアを含むと判定する、メモリに記憶された判定モジュールと、
前記アプリケーションがマルウェアを含むという判定に応答して、セキュリティアクションを実施する、メモリに記憶されたセキュリティモジュールと、
前記傍受モジュール、前記識別モジュール、前記スキャンモジュール、前記判定モジュール、及び前記セキュリティモジュールを実行する少なくとも1つの物理プロセッサと、を備える、システム。 - 監視エージェントが前記アプリケーションインストールエージェントから通信を傍受することができるように、前記監視エージェントが、前記アプリケーションエージェントを起動し、
前記監視エージェントが、前記傍受モジュール及び前記識別モジュールを備え、
前記アプリケーションインストールエージェントを起動した後に、前記監視エージェントが、前記傍受工程及び識別工程を実施する、請求項9に記載のシステム。 - 前記傍受モジュールが、リモートサーバから前記アプリケーションをダウンロードするという前記アプリケーションインストールエージェントからの要求を傍受することによって、前記アプリケーションインストールエージェントの前記1つ以上の通信を傍受する、請求項9に記載のシステム。
- 前記傍受モジュールが、前記アプリケーションを前記モバイルコンピューティングデバイスにインストールするという前記アプリケーションインストールエージェントによる要求を傍受することによって、前記アプリケーションエージェントの前記1つ以上の通信を傍受する、請求項9に記載のシステム。
- 前記識別モジュールが、前記アプリケーションを前記モバイルコンピューティングデバイスにインストールするという前記要求に基づいて、前記アプリケーションのファイルパスを識別することによって、前記アプリケーションを識別する、請求項12に記載のシステム。
- 前記識別モジュールが、前記ファイルパスを前記スキャンモジュールに提供する、請求項13に記載のシステム。
- 前記スキャンモジュールが、前記アプリケーションがダウンロードされている間に前記アプリケーションによってスキャンすることによって、前記アプリケーションをスキャンする、請求項9に記載のシステム。
- 前記スキャンモジュールが、前記アプリケーションが完全にダウンロードされた後に前記アプリケーションをスキャンすることによって、前記アプリケーションをスキャンする、請求項9に記載のシステム。
- 前記セキュリティモジュールが、前記アプリケーションのインストールをブロックすることによって、前記セキュリティアクションを実施する、請求項9に記載のシステム。
- 1つ以上のコンピュータ実行可能命令を含む非一時的コンピュータ可読媒体であって、前記1つ以上のコンピュータ実行可能命令が、モバイルコンピューティングデバイスの少なくとも1つのプロセッサによって実行されたときに、前記モバイルコンピューティングデバイスに、
アプリケーションを前記モバイルコンピューティングデバイスにインストールするアプリケーションインストールエージェントの1つ以上の通信を傍受させ、
前記1つ以上の傍受された通信に基づいて、前記アプリケーションインストールエージェントによって少なくとも部分的にダウンロードされたアプリケーションを識別させ、
前記アプリケーションが前記モバイルコンピューティングデバイスにインストールされる前に、マルウェアについて前記アプリケーションをスキャンさせ、
前記スキャンに基づいて、前記アプリケーションがマルウェアを含むと判定させ、
前記アプリケーションがマルウェアを含むという判定に応答して、セキュリティアクションを実施させる、非一時的コンピュータ可読媒体。 - 前記1つ以上のコンピュータ実行可能命令が、前記モバイルコンピューティングデバイスに、
前記アプリケーションを前記モバイルコンピューティングデバイスにインストールするという前記アプリケーションインストールエージェントによる要求を傍受することによって、前記アプリケーションインストールエージェントの前記1つ以上の通信を傍受させ、
前記アプリケーションを前記モバイルコンピューティングデバイスにインストールするという前記要求に基づいて、前記アプリケーションのファイルパスを識別することによって、前記アプリケーションを識別させる、請求項18に記載の非一時的コンピュータ可読媒体。 - 前記1つ以上のコンピュータ実行可能命令が、前記コンピューティングデバイスに、前記アプリケーションのインストールをブロックすることによって、前記セキュリティアクションを実行させる、請求項18に記載の非一時的コンピュータ可読媒体。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/205,316 | 2014-03-11 | ||
| US14/205,316 US9256738B2 (en) | 2014-03-11 | 2014-03-11 | Systems and methods for pre-installation detection of malware on mobile devices |
| PCT/US2015/019537 WO2015138358A1 (en) | 2014-03-11 | 2015-03-09 | Systems and methods for pre-installation detection of malware on mobile devices |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2017514205A true JP2017514205A (ja) | 2017-06-01 |
| JP6247405B2 JP6247405B2 (ja) | 2017-12-13 |
Family
ID=52727431
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016554629A Active JP6247405B2 (ja) | 2014-03-11 | 2015-03-09 | インストール前にモバイルデバイス上でマルウェアを検出するためのシステム及び方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US9256738B2 (ja) |
| EP (1) | EP3117362B1 (ja) |
| JP (1) | JP6247405B2 (ja) |
| CN (1) | CN106415584B (ja) |
| WO (1) | WO2015138358A1 (ja) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9754090B2 (en) * | 2014-05-07 | 2017-09-05 | Vivint, Inc. | Setting up a system with a mobile device |
| KR20160109870A (ko) * | 2015-03-13 | 2016-09-21 | 한국전자통신연구원 | 안드로이드 멀웨어의 고속 검색 시스템 및 방법 |
| US9729572B1 (en) * | 2015-03-31 | 2017-08-08 | Juniper Networks, Inc. | Remote remediation of malicious files |
| US10333949B1 (en) * | 2016-03-15 | 2019-06-25 | Symantec Corporation | Proactive protection of mobile operating system malware via blocking of infection vector |
| US10621333B2 (en) * | 2016-08-08 | 2020-04-14 | International Business Machines Corporation | Install-time security analysis of mobile applications |
| US10542017B1 (en) * | 2016-10-13 | 2020-01-21 | Symantec Corporation | Systems and methods for personalizing security incident reports |
| EP3646220B1 (en) * | 2017-06-29 | 2023-06-07 | Hewlett-Packard Development Company, L.P. | Computing device monitorings via agent applications |
| US11062021B2 (en) * | 2017-08-29 | 2021-07-13 | NortonLifeLock Inc. | Systems and methods for preventing malicious applications from exploiting application services |
| US10496822B2 (en) * | 2017-12-21 | 2019-12-03 | Mcafee, Llc | Methods and apparatus for securing a mobile device |
| US11126721B2 (en) * | 2018-06-28 | 2021-09-21 | Intel Corporation | Methods, systems and apparatus to detect polymorphic malware |
| US11971988B2 (en) * | 2018-12-07 | 2024-04-30 | Arris Enterprises Llc | Detection of suspicious objects in customer premises equipment (CPE) |
| CN109697338A (zh) * | 2018-12-10 | 2019-04-30 | 深圳市网心科技有限公司 | 一种软件安装拦截方法及相关装置 |
| US11683692B1 (en) * | 2020-08-17 | 2023-06-20 | NortonLifeLock Inc. | Protecting against potentially harmful app installation on a mobile device |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011197849A (ja) * | 2010-03-18 | 2011-10-06 | Fujitsu Ltd | セキュリティ管理システム及びセキュリティ管理プログラム |
| US20130067577A1 (en) * | 2011-09-14 | 2013-03-14 | F-Secure Corporation | Malware scanning |
| WO2013036673A1 (en) * | 2011-09-08 | 2013-03-14 | Mcafee, Inc. | Malware risk scanner |
| US20130185799A1 (en) * | 2012-01-16 | 2013-07-18 | Microsoft Corporation | Trusted installation of a software application |
| US20130219498A1 (en) * | 2012-02-16 | 2013-08-22 | Electronics And Telecommunications Research Institute | Mobile terminal having security diagnosis functionality and method of making diagnosis on security of mobile terminal |
| JP2013168141A (ja) * | 2012-01-31 | 2013-08-29 | Trusteer Ltd | マルウェアの検出方法 |
| US20130283377A1 (en) * | 2012-04-18 | 2013-10-24 | Mcafee, Inc. | Detection and prevention of installation of malicious mobile applications |
| JP2013543624A (ja) * | 2010-10-21 | 2013-12-05 | エフ−セキュア コーポレーション | コンピュータシステムの分析方法および装置 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100711722B1 (ko) * | 2005-10-04 | 2007-04-25 | 엘지전자 주식회사 | 이동통신 단말기의 소프트웨어 인증 장치 및 그 방법 |
| US20090100519A1 (en) | 2007-10-16 | 2009-04-16 | Mcafee, Inc. | Installer detection and warning system and method |
| US8839431B2 (en) * | 2008-05-12 | 2014-09-16 | Enpulz, L.L.C. | Network browser based virus detection |
| US20100263048A1 (en) * | 2009-04-14 | 2010-10-14 | Chih-Jen Chang | Malware prevention method and system in a peer-to-peer environment |
| US8839433B2 (en) * | 2010-11-18 | 2014-09-16 | Comcast Cable Communications, Llc | Secure notification on networked devices |
| CN102147845A (zh) * | 2011-04-18 | 2011-08-10 | 北京思创银联科技股份有限公司 | 进程监控方法 |
| US8819772B2 (en) * | 2012-06-25 | 2014-08-26 | Appthority, Inc. | In-line filtering of insecure or unwanted mobile device software components or communications |
-
2014
- 2014-03-11 US US14/205,316 patent/US9256738B2/en active Active
-
2015
- 2015-03-09 JP JP2016554629A patent/JP6247405B2/ja active Active
- 2015-03-09 EP EP15711977.7A patent/EP3117362B1/en active Active
- 2015-03-09 WO PCT/US2015/019537 patent/WO2015138358A1/en active Application Filing
- 2015-03-09 CN CN201580011645.8A patent/CN106415584B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011197849A (ja) * | 2010-03-18 | 2011-10-06 | Fujitsu Ltd | セキュリティ管理システム及びセキュリティ管理プログラム |
| JP2013543624A (ja) * | 2010-10-21 | 2013-12-05 | エフ−セキュア コーポレーション | コンピュータシステムの分析方法および装置 |
| WO2013036673A1 (en) * | 2011-09-08 | 2013-03-14 | Mcafee, Inc. | Malware risk scanner |
| US20130067577A1 (en) * | 2011-09-14 | 2013-03-14 | F-Secure Corporation | Malware scanning |
| US20130185799A1 (en) * | 2012-01-16 | 2013-07-18 | Microsoft Corporation | Trusted installation of a software application |
| JP2013168141A (ja) * | 2012-01-31 | 2013-08-29 | Trusteer Ltd | マルウェアの検出方法 |
| US20130219498A1 (en) * | 2012-02-16 | 2013-08-22 | Electronics And Telecommunications Research Institute | Mobile terminal having security diagnosis functionality and method of making diagnosis on security of mobile terminal |
| US20130283377A1 (en) * | 2012-04-18 | 2013-10-24 | Mcafee, Inc. | Detection and prevention of installation of malicious mobile applications |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106415584B (zh) | 2019-07-12 |
| CN106415584A (zh) | 2017-02-15 |
| EP3117362B1 (en) | 2020-03-04 |
| US9256738B2 (en) | 2016-02-09 |
| EP3117362A1 (en) | 2017-01-18 |
| US20150261954A1 (en) | 2015-09-17 |
| JP6247405B2 (ja) | 2017-12-13 |
| WO2015138358A1 (en) | 2015-09-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6247405B2 (ja) | インストール前にモバイルデバイス上でマルウェアを検出するためのシステム及び方法 | |
| US9852289B1 (en) | Systems and methods for protecting files from malicious encryption attempts | |
| JP6335315B2 (ja) | 不審な挙動の検出に応答してパックされたプログラムをスキャンするためのシステム及び方法 | |
| US20200082081A1 (en) | Systems and methods for threat and information protection through file classification | |
| EP3692440B1 (en) | Systems and methods for preventing malicious applications from exploiting application services | |
| JP6196393B2 (ja) | プリインストールアプリケーションのスキャンを最適化するためのシステム及び方法 | |
| EP3335146B1 (en) | Systems and methods for detecting unknown vulnerabilities in computing processes | |
| EP3797371B1 (en) | Systems and methods for controlling an application launch based on a security policy | |
| US10210330B1 (en) | Systems and methods for detecting malicious processes that encrypt files | |
| EP2893481B1 (en) | Systems and methods for detecting illegitimate applications | |
| US11204992B1 (en) | Systems and methods for safely executing unreliable malware | |
| US9942268B1 (en) | Systems and methods for thwarting unauthorized attempts to disable security managers within runtime environments | |
| US9330254B1 (en) | Systems and methods for preventing the installation of unapproved applications | |
| US9489513B1 (en) | Systems and methods for securing computing devices against imposter processes | |
| US9552481B1 (en) | Systems and methods for monitoring programs | |
| US9483643B1 (en) | Systems and methods for creating behavioral signatures used to detect malware | |
| US10043013B1 (en) | Systems and methods for detecting gadgets on computing devices | |
| US10116688B1 (en) | Systems and methods for detecting potentially malicious files | |
| US10846405B1 (en) | Systems and methods for detecting and protecting against malicious software | |
| US10032023B1 (en) | Systems and methods for selectively applying malware signatures | |
| US10248787B1 (en) | Systems and methods for determining reputations of files | |
| US10572663B1 (en) | Systems and methods for identifying malicious file droppers |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20171024 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20171116 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6247405 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |