JP2018041438A - ファイル中の悪意のあるコードの検出システム及び方法 - Google Patents
ファイル中の悪意のあるコードの検出システム及び方法 Download PDFInfo
- Publication number
- JP2018041438A JP2018041438A JP2017098800A JP2017098800A JP2018041438A JP 2018041438 A JP2018041438 A JP 2018041438A JP 2017098800 A JP2017098800 A JP 2017098800A JP 2017098800 A JP2017098800 A JP 2017098800A JP 2018041438 A JP2018041438 A JP 2018041438A
- Authority
- JP
- Japan
- Prior art keywords
- file
- computing device
- processor
- execution
- log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 158
- 230000008569 process Effects 0.000 claims abstract description 122
- 238000012546 transfer Methods 0.000 claims abstract description 20
- 238000001514 detection method Methods 0.000 claims abstract description 15
- 230000004044 response Effects 0.000 claims abstract description 9
- 230000006870 function Effects 0.000 claims description 66
- 230000002155 anti-virotic effect Effects 0.000 claims description 30
- 238000004364 calculation method Methods 0.000 abstract description 4
- 239000008186 active pharmaceutical agent Substances 0.000 description 68
- 244000035744 Hura crepitans Species 0.000 description 26
- 230000003287 optical effect Effects 0.000 description 7
- 238000012545 processing Methods 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000014509 gene expression Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 230000026676 system process Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000007630 basic procedure Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Debugging And Monitoring (AREA)
Abstract
Description
好ましくは、前記傍受されたAPI呼び出しの連続するレコードを決定し、そのレコードを前記計算機器の前記仮想マシンの第1ログに格納するステップを更に含む。
好ましくは、前記検出ステップは、前記プロセスが完了したことの表示、 指定された時間の経過、プロセスによって実行された命令の数が特定の閾値を超えたこと、検出された疑わしいイベントの数が選択した閾値を超えたこと、のうち少なくとも1つを終了条件として含む。
好ましくは、少なくとも前記第1ログ内の連続するレコードに基づいて実行される、前記第1型署名を1つ又は複数識別するというステップにおいて、前記第1型署名それぞれが、傍受されたAPI呼び出し又は検出された1つ又は複数の疑わしいイベントに関する情報を備えるデータ構造を含む。
好ましくは、前記第2ログが、前記プロセッサ上で実行中断されていない一連の命令と、各命令を実行する際における前記プロセッサの内部状態のスナップショットと、を含む前記エミュレータの実行経過を維持し記録するように構成されることを含む。
好ましくは、前記1つ又は複数の第2型署名が、前記1つ又は複数のAPI呼び出しに関する情報と、プロセッサ命令と、 プロセッサの内部状態のスナップショットという前記第2ログ内のレコードのうち少なくとも1つを備えるデータ構造を持つことを含む。
・前記ファイル134から起動されたプロセスのPID識別子
・プロセスのアドレス空間の命令を実行するスレッドのTID識別子
・前述の関数の引数のセット
・プロセスの完了
・指定された時間の経過
・前のステップが特定回数(例えば3回といった具合)繰り返し実行されたこと
・プロセスによって実行された命令の数が、指定された閾値(例えば100000回の命令といった具合)を超えたこと
・スキャンモジュールによって判定された疑わしいイベントの数が、特定の閾値(例えば3つの疑わしいイベントといった具合)を超えたこと
・不審なAPI関数のリストからのAPI関数の呼び出し(例えば、WinExec、CreateProcess、GetFileSize等のAPI関数がリストに含まれている可能性がある)
・プロセスを実行する際における例外的な状況の発生
・プロセスによる動的メモリの(特定回数の)繰り返し(例えば200回の繰り返し、といった具合)の実行
・スタック上のプログラムコードのプロセスによる実行
・ret命令の前に呼び出し命令がないこと
・プロセスによる、例外的なハンドラーの変更
・コール命令実行時のアクセス権侵害
・プロセスのスタックポインタが、TEB(スレッド環境ブロック)に示されている領域の境界を超えていること。
・コール命令実行時のアクセス権侵害
・メモリへの書き込み時のアクセス権侵害
・プログラムカウンタアドレス、及びプログラムカウンタアドレスと所定の精度で一致するアドレス上でメモリから読み込む際のアクセス権侵害
・データの実行を防止するためのポリシー違反
・スタック上のバッファオーバーフロー
・ヒープの損傷(ヒープの破損)
・禁止された、正しくない、又は特権のある命令を実行しようとしたこと
・前記ファイル134から起動されたPID識別子
・プロセスのアドレス空間の命令を実行するスレッドのTID識別子
・前述の関数の引数のセット
第2型署名は、API関数呼び出しに関する情報と、プロセッサ命令と、及びプロセッサの内部状態のスナップショットの記録という3つのレコードのうち少なくとも1つを備えるデータ構造を含むことができる。別の例では、第2型署名は、以下のイベントのうち1つ以上を含むことができる:
・システムライブラリのディスクリプタのアドレス(kernel32.dll、ntdll.dll等)の取得
・メモリの割り当て
・ システム構造(プロセス環境ブロック―PEB)の読み取り
・ファイルディスクリプタの連続的な取得。
"mov eax, fs:
[00000030]
mov eax, [eax]
[0C]
mov eax, [eax]
[0C]
mov edx, eax
cmp w,[eax]
[2C]
, 00018"
#ReadModuleMemory(0 -> "USER32.dll",77d83452, "UserRegisterWowHandlers" + 0x2,accessor eip - 10002315);
> [0x77d83452]
= 0x00005068
10002315 66 3B 10 cmp dx, [eax]
EAX: 77D83452 EBX: 00000000 ECX: 77D836A0 EDX: 000040C7 ESI: 77D51324
EDI: 77D5025E EBP: 00624FB8 ESP: 00624F5C EIP: 10002318 EFLAGS: 00000297
CS: 001B DS: 0023 ES: 0023 SS: 0023 FS: 003B GS: 0000 Flags: .......I.S..A.P.C
Stack:
00624F5C CB 1C 00 10-01 00 00 00|B0 4F 62 00-30 00 00 00 E.......°Ob.0...
00624F6C 23 00 00 00-20 22 00 10|00 00 00 00-00 00 00 00 #... "..........
FS:[0]
:
00625000 EC 4F 62 00
・API関数GetFileSizeの呼び出しが10回実行されたこと
・API関数WriteFile(ファイルへの書き込み)の呼び出しの後に、API関数WinExec(実行するファイルの起動)の呼び出しが表示されるということ
・アドレスuser32.dllのメモリからの読み込みに引き続き、アドレスkernel32.dllのメモリからの読み込みが行われたこと
・ファイル134から起動されたプロセスによって悪意のあるファイルを作成し、それをスタートアップに追加すること
・実行可能プロセスが、そのプロセスが起動されたファイル134をコピーしたこと
・API関数からの戻りアドレスで制御を転送する手順
・ WindowsNTネイティブAPI関数の直接呼び出し
・ WindowsNTネイティブAPI関数からの戻り値
・ コンピュータシステムをオフにする又は再起動するイベント
・プロセス内で発生する例外的な状況
i.プロセスの完了
ii. 特定の時間の経過
iii.ステップ201〜205が、指定された回数繰り返し実行されたこと
iv.プロセスによって実行された命令の数が、指定された閾値を超えたこと
v.スキャンモジュールによって決定された疑わしいイベントの数が、指定された閾値を超えたこと
Claims (20)
- コンピュータによって実行される、ファイル中の悪意のあるコードを検出するための方法であって、
傍受ステップと、検出ステップと、転送ステップと、識別ステップとを備え、
前記傍受ステップでは、計算機器のファイルから起動されたプロセスの実行中に、プロセッサが1つ又は複数のAPI呼び出しを傍受し、
前記検出ステップでは、前記プロセッサが前記プロセスの終了条件の存在を検出し、
前記転送ステップでは、1つ又は複数の第1型署名を識別し、且つ実行のために計算機器の1つ又は複数の保存されたメモリダンプをエミュレータに転送し、
前記識別ステップでは、計算機器の転送されたメモリダンプの実行結果に少なくとも基づいて、1つ又は複数の第2型署名を検出することに応答して、ファイル内の悪意のあるコードを識別する、
方法。 - 前記計算機器にインストールされたアンチウィルスアプリケーションの制御を介して、前記計算機器の仮想マシン内のファイルから起動されたプロセスを実行するステップを更に含む、
請求項1に記載の方法。 - 前記傍受されたAPI呼び出しの連続するレコードを決定し、そのレコードを前記計算機器の前記仮想マシンの第1ログに格納するステップを更に含む、
請求項2に記載の方法。 - 前記検出ステップは、前記プロセスが完了したことの表示、 指定された時間の経過、プロセスによって実行された命令の数が特定の閾値を超えたこと、検出された疑わしいイベントの数が選択した閾値を超えたこと、のうち少なくとも1つを終了条件として含む、
請求項1に記載の方法。 - 前記傍受されたAPI呼び出しに基づき、前記プロセスの実行中に発生する1つ又は複数の疑わしいイベントを検出するステップと、
前記1つ又は複数の疑わしいイベントを検出し、更に前記傍受されたAPI呼び出しの連続するレコードを前記第1ログに格納することに応答して、前記プロセスのメモリダンプを前記計算機器の前記仮想マシンのデータベースに格納するステップと、を更に含む、
請求項3に記載の方法。 - 少なくとも前記第1ログ内の連続するレコードに基づいて実行される、前記第1型署名を1つ又は複数識別するというステップにおいて、前記第1型署名それぞれが、傍受されたAPI呼び出し又は検出された1つ又は複数の疑わしいイベントに関する情報を備えるデータ構造を含む、
請求項5に記載の方法。 - 前記エミュレータ内の前記計算機器の前記1つ又は複数の保存されたメモリダンプを実行するステップにおいて、
前記1つ又は複数の保存されたメモリダンプに含まれる1つ又は複数の実行可能コードを逆アセンブルするステップと、
前記エミュレータの仮想環境内で前記1つ又は複数の実行可能コードを実行するステップと、
前記1つ又は複数の実行可能コードの実行中に前記1つ又は複数のAPI呼び出しのアドレスへのジャンプを決定するステップと、
前記第2ログにおいて前記1つ又は複数のAPI呼び出しのレコードを連続して維持するステップとを含む、
請求項1に記載の方法。 - 前記第2ログ内の各レコードが、API関数呼び出しの名前と、対応するファイルから起動されたプロセスのPID識別子と、 前記プロセスのアドレス空間の命令を実行するスレッドのTID識別子と、API関数の引数のセットと、に関する情報を含む、
請求項7に記載の方法。 - 前記第2ログが、前記プロセッサ上で実行中断されていない一連の命令と、各命令を実行する際における前記プロセッサの内部状態のスナップショットと、を含む前記エミュレータの実行経過を維持し記録するように構成されることを含む、
請求項7に記載の方法。 - 前記1つ又は複数の第2型署名が、前記1つ又は複数のAPI呼び出しに関する情報と、プロセッサ命令と、 プロセッサの内部状態のスナップショットという前記第2ログ内のレコードのうち少なくとも1つを備えるデータ構造を持つことを含む、
請求項9に記載の方法。 - ファイル中の悪意のあるコードを検出するためのシステムであって、
少なくとも1つのプロセッサが、傍受ステップと、検出ステップと、転送ステップと、識別ステップとを実行するように構成され、
前記傍受ステップでは、計算機器のファイルから起動されたプロセスの実行中に、プロセッサが1つ又は複数のAPI呼び出しを傍受し、
前記検出ステップでは、前記プロセッサが前記プロセスの終了条件の存在を検出し、
前記転送ステップでは、1つ又は複数の第1型署名を識別し、且つ実行のために計算機器の1つ又は複数の保存されたメモリダンプをエミュレータに転送し、
前記識別ステップでは、計算機器の転送されたメモリダンプの実行結果に少なくとも基づいて、1つ又は複数の第2型署名を検出することに応答して、ファイル内の悪意のあるコードを識別する、
システム。 - 前記プロセッサが、
前記計算機器にインストールされたアンチウィルスアプリケーションの制御を介して、前記計算機器の仮想マシン内のファイルから起動されたプロセスを実行するステップと、
前記傍受されたAPI呼び出しの連続するレコードを決定し、そのレコードを前記計算機器の前記仮想マシンの第1ログに格納するステップと、
を実行するように構成される、
請求項11に記載のシステム。 - 前記検出ステップは、前記プロセスが完了したことの表示、 指定された時間の経過、プロセスによって実行された命令の数が特定の閾値を超えたこと、検出された疑わしいイベントの数が選択した閾値を超えたこと、のうち少なくとも1つを終了条件として含む、
請求項11に記載のシステム。 - 前記プロセッサが、
前記傍受されたAPI呼び出しに基づき、前記プロセスの実行中に発生する1つ又は複数の疑わしいイベントを検出するステップと、
前記1つ又は複数の疑わしいイベントを検出し、更に前記傍受されたAPI呼び出しの連続するレコードを前記第1ログに格納することに応答して、前記プロセスのメモリダンプを前記計算機器の前記仮想マシンのデータベースに格納するステップと、
を更に実行するように構成される、
請求項13に記載のシステム。 - 前記プロセッサが、少なくとも前記第1ログ内の連続するレコードに基づいて実行される、前記第1型署名を1つ又は複数識別するというステップを実行するように構成され、
前記第1型署名それぞれが、傍受されたAPI呼び出し又は検出された1つ又は複数の疑わしいイベントに関する情報を備えるデータ構造を含む、
請求項14に記載のシステム。 - 前記エミュレータ内の前記計算機器の前記1つ又は複数の保存されたメモリダンプを実行するステップにおいて、前記プロセッサが、
前記1つ又は複数の保存されたメモリダンプに含まれる1つ又は複数の実行可能コードを逆アセンブルするステップと、
前記エミュレータの仮想環境内で前記1つ又は複数の実行可能コードを実行するステップと、
前記1つ又は複数の実行可能コードの実行中に前記1つ又は複数のAPI呼び出しのアドレスへのジャンプを決定するステップと、
前記第2ログにおいて前記1つ又は複数のAPI呼び出しのレコードを連続して維持するステップと、
を実行するように構成される、
請求項11に記載のシステム。 - 前記第2ログ内の各レコードが、API関数呼び出しの名前と、対応するファイルから起動されたプロセスのPID識別子と、 前記プロセスのアドレス空間の命令を実行するスレッドのTID識別子と、API関数の引数のセットと、に関する情報を含む、
請求項16に記載のシステム。 - 前記第2ログが、前記プロセッサ上で実行中断されていない一連の命令と、各命令を実行する際における前記プロセッサの内部状態のスナップショットと、を含む前記エミュレータの実行経過を維持し記録するように構成され、
前記1つ又は複数の第2型署名が、前記1つ又は複数のAPI呼び出しに関する情報と、プロセッサ命令と、 プロセッサの内部状態のスナップショットという前記第2ログ内のレコードのうち少なくとも1つを備えるデータ構造を持つことを含む、
請求項17に記載のシステム。 - ファイル中の悪意のあるコードを検出するためのコンピュータ実行可能命令を格納するコンピュータ上で読み取り可能な不揮発性媒体であって、
前記命令は、傍受ステップと、検出ステップと、転送ステップと、識別ステップを備え、
前記傍受ステップでは、計算機器のファイルから起動されたプロセスの実行中に、プロセッサが1つ又は複数のAPI呼び出しを傍受し、
前記検出ステップでは、前記プロセッサが前記プロセスの終了条件の存在を検出し、
前記転送ステップでは、1つ又は複数の第1型署名を識別し、且つ実行のために計算機器の1つ又は複数の保存されたメモリダンプをエミュレータに転送し、
前記識別ステップでは、計算機器の転送されたメモリダンプの実行結果に少なくとも基づいて、1つ又は複数の第2型署名を検出することに応答して、ファイル内の悪意のあるコードを識別する、
媒体。 - 前記命令は、
前記計算機器にインストールされたアンチウィルスアプリケーションの制御を介して、前記計算機器の仮想マシン内のファイルから起動されたプロセスを実行するステップと、
前記傍受されたAPI呼び出しの連続するレコードを決定し、そのレコードを前記計算機器の前記仮想マシンの第1ログに格納するステップと、
を更に含む、
請求項19に記載の媒体。
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2016136224A RU2637997C1 (ru) | 2016-09-08 | 2016-09-08 | Система и способ обнаружения вредоносного кода в файле |
RU2016136224 | 2016-09-08 | ||
US15/431,162 | 2017-02-13 | ||
US15/431,162 US10460099B2 (en) | 2016-09-08 | 2017-02-13 | System and method of detecting malicious code in files |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2018041438A true JP2018041438A (ja) | 2018-03-15 |
JP2018041438A5 JP2018041438A5 (ja) | 2020-12-17 |
JP6842367B2 JP6842367B2 (ja) | 2021-03-17 |
Family
ID=60581263
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017098800A Active JP6842367B2 (ja) | 2016-09-08 | 2017-05-18 | ファイル中の悪意のあるコードの検出システム及び方法 |
Country Status (4)
Country | Link |
---|---|
US (1) | US10460099B2 (ja) |
JP (1) | JP6842367B2 (ja) |
CN (1) | CN107808094B (ja) |
RU (1) | RU2637997C1 (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2020109649A (ja) * | 2018-12-28 | 2020-07-16 | エーオー カスペルスキー ラボAO Kaspersky Lab | 仮想マシンにおいて脆弱性を有するファイルを実行するときにログを作成するためのシステムおよび方法 |
US20230350782A1 (en) * | 2022-04-28 | 2023-11-02 | Twilio Inc. | Data logging for api usage analytics |
Families Citing this family (23)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR3070076B1 (fr) * | 2017-08-09 | 2019-08-09 | Idemia Identity And Security | Procede de protection d'un dispositif electronique contre des attaques par injection de faute |
US10810099B2 (en) * | 2017-09-11 | 2020-10-20 | Internatinal Business Machines Corporation | Cognitive in-memory API logging |
KR101976992B1 (ko) * | 2017-11-16 | 2019-05-10 | 숭실대학교산학협력단 | 시그니처 추출을 이용한 분석회피기법 자동 인식 장치 및 그 방법 |
US11250123B2 (en) * | 2018-02-28 | 2022-02-15 | Red Hat, Inc. | Labeled security for control flow inside executable program code |
US10922409B2 (en) * | 2018-04-10 | 2021-02-16 | Microsoft Technology Licensing, Llc | Deep reinforcement learning technologies for detecting malware |
US11017078B2 (en) | 2018-04-24 | 2021-05-25 | Microsoft Technology Licensing, Llc | Environmentally-trained time dilation |
US10965444B2 (en) * | 2018-04-24 | 2021-03-30 | Microsoft Technology Licensing, Llc | Mitigating timing attacks via dynamically triggered time dilation |
CN110717180B (zh) * | 2018-07-13 | 2021-09-28 | 北京安天网络安全技术有限公司 | 基于自定位行为的恶意文档检测方法、系统及存储介质 |
CN109492391B (zh) * | 2018-11-05 | 2023-02-28 | 腾讯科技(深圳)有限公司 | 一种应用程序的防御方法、装置和可读介质 |
EP3674940B1 (en) * | 2018-12-28 | 2024-05-29 | AO Kaspersky Lab | System and method of forming a log when executing a file with vulnerabilities in a virtual machine |
BR112021015462A2 (pt) * | 2019-03-05 | 2021-10-19 | Intel Corporation | Aparelho, sistema e método aplicado em recipiente de execução confiável determinístico através de metadados de linguagem de tempo de execução gerenciados |
CN113268726B (zh) * | 2020-02-17 | 2023-10-20 | 华为技术有限公司 | 程序代码执行行为的监控方法、计算机设备 |
US11775640B1 (en) * | 2020-03-30 | 2023-10-03 | Amazon Technologies, Inc. | Resource utilization-based malicious task detection in an on-demand code execution system |
CN111506437A (zh) * | 2020-03-31 | 2020-08-07 | 北京安码科技有限公司 | 基于windows原始调用接口的靶场应用程序调用方法、系统、电子设备及存储介质 |
EP3926470B1 (en) * | 2020-06-19 | 2023-08-16 | AO Kaspersky Lab | Emulator and emulation method |
US11880461B2 (en) | 2020-06-22 | 2024-01-23 | Bank Of America Corporation | Application interface based system for isolated access and analysis of suspicious code in a computing environment |
US11269991B2 (en) | 2020-06-22 | 2022-03-08 | Bank Of America Corporation | System for identifying suspicious code in an isolated computing environment based on code characteristics |
US11636203B2 (en) * | 2020-06-22 | 2023-04-25 | Bank Of America Corporation | System for isolated access and analysis of suspicious code in a disposable computing environment |
US11797669B2 (en) * | 2020-06-22 | 2023-10-24 | Bank Of America Corporation | System for isolated access and analysis of suspicious code in a computing environment |
US11574056B2 (en) | 2020-06-26 | 2023-02-07 | Bank Of America Corporation | System for identifying suspicious code embedded in a file in an isolated computing environment |
RU2757807C1 (ru) * | 2020-08-24 | 2021-10-21 | Акционерное общество "Лаборатория Касперского" | Система и способ обнаружения вредоносного кода в исполняемом файле |
US20230315855A1 (en) * | 2022-03-29 | 2023-10-05 | Acronis International Gmbh | Exact restoration of a computing system to the state prior to infection |
US20240070275A1 (en) * | 2022-08-31 | 2024-02-29 | Crowdstrike, Inc. | Emulation-based malware detection |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7568233B1 (en) * | 2005-04-01 | 2009-07-28 | Symantec Corporation | Detecting malicious software through process dump scanning |
US9355247B1 (en) * | 2013-03-13 | 2016-05-31 | Fireeye, Inc. | File extraction from memory dump for malicious content analysis |
Family Cites Families (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7779472B1 (en) | 2005-10-11 | 2010-08-17 | Trend Micro, Inc. | Application behavior based malware detection |
US7664626B1 (en) * | 2006-03-24 | 2010-02-16 | Symantec Corporation | Ambiguous-state support in virtual machine emulators |
US7814544B1 (en) * | 2006-06-22 | 2010-10-12 | Symantec Corporation | API-profile guided unpacking |
US20100031353A1 (en) * | 2008-02-04 | 2010-02-04 | Microsoft Corporation | Malware Detection Using Code Analysis and Behavior Monitoring |
US20160012223A1 (en) * | 2010-10-19 | 2016-01-14 | Cyveillance, Inc. | Social engineering protection appliance |
US20100169972A1 (en) * | 2008-12-31 | 2010-07-01 | Microsoft Corporation | Shared repository of malware data |
US20110041179A1 (en) * | 2009-08-11 | 2011-02-17 | F-Secure Oyj | Malware detection |
US9213838B2 (en) * | 2011-05-13 | 2015-12-15 | Mcafee Ireland Holdings Limited | Systems and methods of processing data associated with detection and/or handling of malware |
EP2609537A1 (en) * | 2010-08-26 | 2013-07-03 | Verisign, Inc. | Method and system for automatic detection and analysis of malware |
RU2011138462A (ru) * | 2011-09-20 | 2013-04-10 | Закрытое акционерное общество "Лаборатория Касперского" | Использование решений пользователей для обнаружения неизвестных компьютерных угроз |
RU2472215C1 (ru) * | 2011-12-28 | 2013-01-10 | Закрытое акционерное общество "Лаборатория Касперского" | Способ выявления неизвестных программ с использованием эмуляции процесса загрузки |
RU2491615C1 (ru) | 2012-02-24 | 2013-08-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ формирования записей для обнаружения программного обеспечения |
US9223962B1 (en) * | 2012-07-03 | 2015-12-29 | Bromium, Inc. | Micro-virtual machine forensics and detection |
US9471783B2 (en) * | 2013-03-15 | 2016-10-18 | Mcafee, Inc. | Generic unpacking of applications for malware detection |
KR101477050B1 (ko) * | 2014-05-28 | 2015-01-08 | 충남대학교산학협력단 | 메모리 덤프 기법을 이용한 어플리케이션의 실행코드 추출 방법 |
CN104021346B (zh) * | 2014-06-06 | 2017-02-22 | 东南大学 | 基于程序流程图的Android恶意软件检测方法 |
WO2016093182A1 (ja) | 2014-12-09 | 2016-06-16 | 日本電信電話株式会社 | 特定装置、特定方法および特定プログラム |
US10341355B1 (en) * | 2015-06-23 | 2019-07-02 | Amazon Technologies, Inc. | Confidential malicious behavior analysis for virtual computing resources |
CN105760787B (zh) * | 2015-06-30 | 2019-05-31 | 卡巴斯基实验室股份制公司 | 用于检测随机存取存储器中的恶意代码的系统及方法 |
-
2016
- 2016-09-08 RU RU2016136224A patent/RU2637997C1/ru active
-
2017
- 2017-02-13 US US15/431,162 patent/US10460099B2/en active Active
- 2017-05-18 JP JP2017098800A patent/JP6842367B2/ja active Active
- 2017-06-15 CN CN201710452788.3A patent/CN107808094B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7568233B1 (en) * | 2005-04-01 | 2009-07-28 | Symantec Corporation | Detecting malicious software through process dump scanning |
US9355247B1 (en) * | 2013-03-13 | 2016-05-31 | Fireeye, Inc. | File extraction from memory dump for malicious content analysis |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2020109649A (ja) * | 2018-12-28 | 2020-07-16 | エーオー カスペルスキー ラボAO Kaspersky Lab | 仮想マシンにおいて脆弱性を有するファイルを実行するときにログを作成するためのシステムおよび方法 |
JP7442313B2 (ja) | 2018-12-28 | 2024-03-04 | エーオー カスペルスキー ラボ | 仮想マシンにおいて脆弱性を有するファイルを実行するときにログを作成するためのシステムおよび方法 |
US20230350782A1 (en) * | 2022-04-28 | 2023-11-02 | Twilio Inc. | Data logging for api usage analytics |
Also Published As
Publication number | Publication date |
---|---|
JP6842367B2 (ja) | 2021-03-17 |
US20180068115A1 (en) | 2018-03-08 |
CN107808094A (zh) | 2018-03-16 |
CN107808094B (zh) | 2021-06-04 |
RU2637997C1 (ru) | 2017-12-08 |
US10460099B2 (en) | 2019-10-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6842367B2 (ja) | ファイル中の悪意のあるコードの検出システム及び方法 | |
JP2018041438A5 (ja) | ||
US10242186B2 (en) | System and method for detecting malicious code in address space of a process | |
RU2531861C1 (ru) | Система и способ оценки вредоносности кода, исполняемого в адресном пространстве доверенного процесса | |
CN108399332B (zh) | 在虚拟机中针对恶意性对文件进行分析的系统和方法 | |
US7603713B1 (en) | Method for accelerating hardware emulator used for malware detection and analysis | |
RU2514141C1 (ru) | Способ эмуляции вызовов системных функций для обхода средств противодействия эмуляции | |
JP6700351B2 (ja) | プロセスのアドレス空間内の悪意のあるコードの検出のためのシステムおよび方法 | |
US8763128B2 (en) | Apparatus and method for detecting malicious files | |
US9740864B2 (en) | System and method for emulation of files using multiple images of the emulator state | |
CN107203717B (zh) | 在虚拟机上执行文件的防病毒扫描的系统和方法 | |
JP2018517985A (ja) | インタープリタ仮想マシンを用いた挙動マルウェア検出 | |
US9639698B2 (en) | Systems and methods for active operating system kernel protection | |
RU2724790C1 (ru) | Система и способ формирования журнала при исполнении файла с уязвимостями в виртуальной машине | |
US9202053B1 (en) | MBR infection detection using emulation | |
RU2649794C1 (ru) | Система и способ формирования журнала в виртуальной машине для проведения антивирусной проверки файла | |
US9342694B2 (en) | Security method and apparatus | |
EP3293660A1 (en) | System and method of detecting malicious code in files | |
RU2592383C1 (ru) | Способ формирования антивирусной записи при обнаружении вредоносного кода в оперативной памяти | |
EP2866167A1 (en) | System and method for preserving and subsequently restoring emulator state |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170721 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180904 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20181203 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20190604 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20191004 |
|
C60 | Trial request (containing other claim documents, opposition documents) |
Free format text: JAPANESE INTERMEDIATE CODE: C60 Effective date: 20191004 |
|
A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20191015 |
|
C21 | Notice of transfer of a case for reconsideration by examiners before appeal proceedings |
Free format text: JAPANESE INTERMEDIATE CODE: C21 Effective date: 20191023 |
|
A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20191213 |
|
C211 | Notice of termination of reconsideration by examiners before appeal proceedings |
Free format text: JAPANESE INTERMEDIATE CODE: C211 Effective date: 20191217 |
|
C22 | Notice of designation (change) of administrative judge |
Free format text: JAPANESE INTERMEDIATE CODE: C22 Effective date: 20200623 |
|
C13 | Notice of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: C13 Effective date: 20200804 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20201102 |
|
A524 | Written submission of copy of amendment under article 19 pct |
Free format text: JAPANESE INTERMEDIATE CODE: A524 Effective date: 20201104 |
|
C23 | Notice of termination of proceedings |
Free format text: JAPANESE INTERMEDIATE CODE: C23 Effective date: 20201222 |
|
C03 | Trial/appeal decision taken |
Free format text: JAPANESE INTERMEDIATE CODE: C03 Effective date: 20210209 |
|
C30A | Notification sent |
Free format text: JAPANESE INTERMEDIATE CODE: C3012 Effective date: 20210209 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210219 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6842367 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |