JP2018519603A - シェルコードの検知 - Google Patents
シェルコードの検知 Download PDFInfo
- Publication number
- JP2018519603A JP2018519603A JP2017566758A JP2017566758A JP2018519603A JP 2018519603 A JP2018519603 A JP 2018519603A JP 2017566758 A JP2017566758 A JP 2017566758A JP 2017566758 A JP2017566758 A JP 2017566758A JP 2018519603 A JP2018519603 A JP 2018519603A
- Authority
- JP
- Japan
- Prior art keywords
- code
- getpc
- address
- self
- event
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Debugging And Monitoring (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
Abstract
Description
本出願は、2015年6月27日に出願された、「シェルコードの検知」と題された米国仮特許出願第62/185,604号、および、2015年9月26日に出願された、「シェルコードの検知」と題された米国非仮特許出願第14/866,860号の優先権の利益を主張し、その両者はその全体において参照によって本明細書に組み込まれる。
図1は、本開示の一実施形態による、シェルコードの検知のための通信システム100の簡略ブロック図である。図1に示されるように、通信システム100は、電子デバイス102、クラウドサービス104、およびサーバ106を含み得る。電子デバイス102は、プロセッサ110、メモリ112、セキュリティモジュール114、アプリケーション116、入力/出力ドライバ118、および実行プロファイリングバイナリ変換モジュール124を含み得る。メモリ112は、GetPCアドレス領域120およびホワイトリスト146を含み得る。クラウドサービス104およびサーバ106は各々、ネットワークセキュリティモジュール122を含み得る。電子デバイス102と、クラウドサービス104と、サーバ106とは、ネットワーク108を用いて通信し得る。
[他の注記および例]
Claims (25)
- 少なくとも1つのプロセッサに、
コードの実行のとき、自己書き換えコードを含むコードを監視する手順と、
前記自己書き換えコードがGetPCアドレス領域に生じた場合にイベントを記録する手順と、
を実行させるための、コンピュータプログラム。 - 前記少なくとも1つのプロセッサに、
マルウェアに関する前記コードを分析する手順
を実行させるための、請求項1に記載のコンピュータプログラム。 - 前記少なくとも1つのプロセッサに、
ポイズンGetPCアドレスを前記GetPCアドレス領域にばらまく手順
を実行させるための、請求項1または2に記載のコンピュータプログラム。 - 前記ポイズンGetPCアドレスがメモリ障害を引き起こす、請求項3に記載のコンピュータプログラム。
- 前記少なくとも1つのプロセッサに、
メモリ障害例外が変換の最中に生じてメモリ障害変換が無効アドレスと一致することが判断される場合に前記イベントを記録する手順
を実行させるための、請求項1に記載のコンピュータプログラム。 - 前記少なくとも1つのプロセッサに、
さらに、前記自己書き換えコードがGetPCアドレス領域に生じた場合にセキュリティモジュールに前記コードを通信する手順
を実行させるための、請求項1に記載のコンピュータプログラム。 - 前記少なくとも1つのプロセッサに、
さらに、前記コードの変換の最中に例外が生じたかどうか判断する手順と、
無効アドレスにおいて前記例外が生じた場合に前記イベントを記録する手順と
を実行させるための、請求項1に記載のコンピュータプログラム。 - 前記少なくとも1つのプロセッサに、
さらに、前記コードが書き込み可能メモリ領域にある場合に前記コードをセキュリティモジュールに通信する手順、
を実行させるための、請求項1に記載のコンピュータプログラム。 - コードの実行のとき、自己書き換えコードを含む前記コードを監視し、
前記自己書き換えコードがGetPCアドレス領域に生じた場合にイベントを記録する、
実行プロファイリングバイナリ変換モジュールを備える、装置。 - 前記装置が、
マルウェアに関する前記コードを分析する、
セキュリティモジュールをさらに含む、請求項9に記載の装置。 - 前記実行プロファイリングバイナリ変換モジュールが、
さらに、ポイズンGetPCアドレスを前記GetPCアドレス領域にばらまく、
請求項9または10に記載の装置。 - 前記ポイズンGetPCアドレスがメモリ障害を引き起こす、請求項11に記載の装置。
- 前記実行プロファイリングバイナリ変換モジュールが、
さらに、メモリ障害例外が変換の最中に生じてメモリ障害変換が無効アドレスと一致することが判断される場合に前記イベントを記録する、
請求項9に記載の装置。 - 前記実行プロファイリングバイナリ変換モジュールが、
さらに、前記自己書き換えコードがGetPCアドレス領域に生じた場合にセキュリティモジュールに前記コードを通信する、
請求項9に記載の装置。 - 前記実行プロファイリングバイナリ変換モジュールが、
さらに、前記コードの変換の最中に例外が生じたかどうか判断し、
無効アドレスにおいて前記例外が生じた場合に前記イベントを記録する、
請求項9に記載の装置。 - 前記実行プロファイリングバイナリ変換モジュールが、
さらに、前記コードが書き込み可能メモリ領域にある場合に前記コードをセキュリティモジュールに通信する、
請求項9に記載の装置。 - コードの実行のとき、自己書き換えコードを含む前記コードを監視する段階と、
前記自己書き換えコードがGetPCアドレス領域に生じた場合にイベントを記録することと
を備える、方法。 - マルウェアに関する前記コードを分析する段階
をさらに備える、請求項17に記載の方法。 - ポイズンGetPCアドレスを前記GetPCアドレス領域にばらまく段階
をさらに備える、請求項17または18に記載の方法。 - 前記ポイズンGetPCアドレスがメモリ障害を引き起こす、請求項19に記載の方法。
- メモリ障害例外が変換の最中に生じてメモリ障害変換が無効アドレスと一致することが判断された場合に前記イベントを記録する段階
をさらに備える、請求項17に記載の方法。 - 前記自己書き換えコードがGetPCアドレス領域に生じた場合にセキュリティモジュールに前記コードを通信する段階
をさらに備える、請求項17に記載の方法。 - 前記コードの変換の最中に例外が生じたかどうか判断する段階と、
無効アドレスにおいて前記例外が生じた場合に前記イベントを記録する段階と
をさらに備える、請求項17に記載の方法。 - シェルコードを検知するためのシステムであって、前記システムは、実行プロファイリングバイナリ変換モジュールを備え、
前記実行プロファイリングバイナリ変換モジュールは、
コードの実行のとき、自己書き換えコードを含む前記コードを監視し、
前記自己書き換えコードがGetPCアドレス領域に生じた場合にイベントを記録する、
システム。 - 前記実行プロファイリングバイナリ変換モジュールが、さらに、ポイズンGetPCアドレスを前記GetPCアドレス領域にばらまく、
請求項24に記載のシステム。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201562185604P | 2015-06-27 | 2015-06-27 | |
US62/185,604 | 2015-06-27 | ||
US14/866,860 US10803165B2 (en) | 2015-06-27 | 2015-09-26 | Detection of shellcode |
US14/866,860 | 2015-09-26 | ||
PCT/US2016/034267 WO2017003601A1 (en) | 2015-06-27 | 2016-05-26 | Detection of shellcode |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2018519603A true JP2018519603A (ja) | 2018-07-19 |
Family
ID=57603134
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017566758A Pending JP2018519603A (ja) | 2015-06-27 | 2016-05-26 | シェルコードの検知 |
Country Status (5)
Country | Link |
---|---|
US (1) | US10803165B2 (ja) |
EP (1) | EP3314513A1 (ja) |
JP (1) | JP2018519603A (ja) |
CN (1) | CN107912064B (ja) |
WO (1) | WO2017003601A1 (ja) |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10437998B2 (en) | 2015-10-26 | 2019-10-08 | Mcafee, Llc | Hardware heuristic-driven binary translation-based execution analysis for return-oriented programming malware detection |
US10880316B2 (en) | 2015-12-09 | 2020-12-29 | Check Point Software Technologies Ltd. | Method and system for determining initial execution of an attack |
US10291634B2 (en) | 2015-12-09 | 2019-05-14 | Checkpoint Software Technologies Ltd. | System and method for determining summary events of an attack |
US10440036B2 (en) * | 2015-12-09 | 2019-10-08 | Checkpoint Software Technologies Ltd | Method and system for modeling all operations and executions of an attack and malicious process entry |
US10108798B1 (en) * | 2016-01-04 | 2018-10-23 | Smart Information Flow Technologies LLC | Methods and systems for defending against cyber-attacks |
US10372908B2 (en) * | 2016-07-25 | 2019-08-06 | Trap Data Security Ltd. | System and method for detecting malware in a stream of bytes |
IL266459B2 (en) * | 2016-11-07 | 2023-10-01 | Perception Point Ltd | A system and method for detecting and alerting the exploitation of security loopholes in computer systems |
US10372902B2 (en) * | 2017-03-06 | 2019-08-06 | Intel Corporation | Control flow integrity |
EP3612969A1 (en) * | 2017-04-20 | 2020-02-26 | Morphisec Information Security 2014 Ltd. | System and method for runtime detection, analysis and signature determination of obfuscated malicious code |
WO2021011138A1 (en) * | 2019-07-14 | 2021-01-21 | Jung Yong Kyu | A hybrid security-enabled lookahead microprocessor based method and apparatus for securing computer systems and data |
US11681804B2 (en) | 2020-03-09 | 2023-06-20 | Commvault Systems, Inc. | System and method for automatic generation of malware detection traps |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006031718A (ja) * | 2004-07-21 | 2006-02-02 | Microsoft Corp | ワームの封じ込め |
US20090158431A1 (en) * | 2007-12-18 | 2009-06-18 | Electronics And Telecommunications Research Institute | Method of detecting polymorphic shell code |
JP2009528632A (ja) * | 2006-03-01 | 2009-08-06 | マイクロソフト コーポレーション | 実行可能コード変更の防止 |
US8515075B1 (en) * | 2008-01-31 | 2013-08-20 | Mcafee, Inc. | Method of and system for malicious software detection using critical address space protection |
US20140123280A1 (en) * | 2012-10-30 | 2014-05-01 | Gabriel Kedma | Runtime detection of self-replicating malware |
US20140181976A1 (en) * | 2011-05-06 | 2014-06-26 | The University Of North Carolina At Chapel Hill | Methods, systems, and computer readable media for detecting injected machine code |
Family Cites Families (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5313616A (en) * | 1990-09-18 | 1994-05-17 | 88Open Consortium, Ltd. | Method for analyzing calls of application program by inserting monitoring routines into the executable version and redirecting calls to the monitoring routines |
US6073142A (en) | 1997-06-23 | 2000-06-06 | Park City Group | Automated post office based rule analysis of e-mail messages and other data objects for controlled distribution in network environments |
US5987610A (en) | 1998-02-12 | 1999-11-16 | Ameritech Corporation | Computer virus screening methods and systems |
US7430670B1 (en) * | 1999-07-29 | 2008-09-30 | Intertrust Technologies Corp. | Software self-defense systems and methods |
US6460050B1 (en) | 1999-12-22 | 2002-10-01 | Mark Raymond Pace | Distributed content identification system |
US6901519B1 (en) | 2000-06-22 | 2005-05-31 | Infobahn, Inc. | E-mail virus protection system and method |
US8639828B1 (en) * | 2004-10-13 | 2014-01-28 | Symantec Corporation | Accelerated TCP network communications |
US20070094496A1 (en) * | 2005-10-25 | 2007-04-26 | Michael Burtscher | System and method for kernel-level pestware management |
CN101645119B (zh) * | 2008-08-07 | 2012-05-23 | 中国科学院软件研究所 | 一种基于虚拟硬件环境的恶意代码自动分析方法及系统 |
CN102081719B (zh) * | 2009-12-01 | 2015-05-20 | 南京翰海源信息技术有限公司 | 基于动态污染传播的软件安全测试系统及方法 |
US8813227B2 (en) | 2011-03-29 | 2014-08-19 | Mcafee, Inc. | System and method for below-operating system regulation and control of self-modifying code |
US8856789B2 (en) * | 2012-09-06 | 2014-10-07 | Assured Information Security, Inc. | Facilitating execution of a self-modifying executable |
WO2014089744A1 (zh) * | 2012-12-10 | 2014-06-19 | 华为技术有限公司 | 恶意代码的检测方法及装置 |
KR101429131B1 (ko) * | 2013-06-12 | 2014-08-11 | 소프트캠프(주) | 시스템 보호를 위한 파일 보안용 관리장치와 관리방법 |
US8943592B1 (en) | 2013-07-15 | 2015-01-27 | Eset, Spol. S.R.O. | Methods of detection of software exploitation |
US10229268B2 (en) * | 2015-03-28 | 2019-03-12 | Leviathan, Inc. | System and method for emulation-based detection of malicious code with unmet operating system or architecture dependencies |
-
2015
- 2015-09-26 US US14/866,860 patent/US10803165B2/en active Active
-
2016
- 2016-05-26 CN CN201680037859.7A patent/CN107912064B/zh active Active
- 2016-05-26 JP JP2017566758A patent/JP2018519603A/ja active Pending
- 2016-05-26 EP EP16818410.9A patent/EP3314513A1/en not_active Withdrawn
- 2016-05-26 WO PCT/US2016/034267 patent/WO2017003601A1/en active Application Filing
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006031718A (ja) * | 2004-07-21 | 2006-02-02 | Microsoft Corp | ワームの封じ込め |
JP2009528632A (ja) * | 2006-03-01 | 2009-08-06 | マイクロソフト コーポレーション | 実行可能コード変更の防止 |
US20090158431A1 (en) * | 2007-12-18 | 2009-06-18 | Electronics And Telecommunications Research Institute | Method of detecting polymorphic shell code |
US8515075B1 (en) * | 2008-01-31 | 2013-08-20 | Mcafee, Inc. | Method of and system for malicious software detection using critical address space protection |
US20140181976A1 (en) * | 2011-05-06 | 2014-06-26 | The University Of North Carolina At Chapel Hill | Methods, systems, and computer readable media for detecting injected machine code |
US20140123280A1 (en) * | 2012-10-30 | 2014-05-01 | Gabriel Kedma | Runtime detection of self-replicating malware |
Non-Patent Citations (1)
Title |
---|
藤井 孝好: "エミュレーションに基づくシェルコード検知手法の改善", コンピュータセキュリティシンポジウム2010 論文集 [第二分冊], vol. 第2010巻, JPN6019000160, 12 October 2010 (2010-10-12), JP, pages 465 - 470 * |
Also Published As
Publication number | Publication date |
---|---|
CN107912064B (zh) | 2022-01-14 |
CN107912064A (zh) | 2018-04-13 |
EP3314513A1 (en) | 2018-05-02 |
WO2017003601A1 (en) | 2017-01-05 |
US20160381043A1 (en) | 2016-12-29 |
US10803165B2 (en) | 2020-10-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2018519603A (ja) | シェルコードの検知 | |
US11870793B2 (en) | Determining a reputation for a process | |
US20200065493A1 (en) | Identification of malicious execution of a process | |
US9825908B2 (en) | System and method to monitor and manage imperfect or compromised software | |
EP3314503B1 (en) | Simulation of an application | |
US10366228B2 (en) | Detection and mitigation of malicious invocation of sensitive code | |
US20170091453A1 (en) | Enforcement of file characteristics | |
JP6583865B2 (ja) | プロファイリングイベントに基づいたエクスプロイト検出 | |
JP6668390B2 (ja) | マルウェアの軽減 | |
US20150379268A1 (en) | System and method for the tracing and detection of malware | |
US10204223B2 (en) | System and method to mitigate malicious calls |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180131 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180601 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20181228 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190115 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20190806 |