JP2021111384A - 不正なメモリダンプ改変を防ぐシステムおよび方法 - Google Patents
不正なメモリダンプ改変を防ぐシステムおよび方法 Download PDFInfo
- Publication number
- JP2021111384A JP2021111384A JP2020215245A JP2020215245A JP2021111384A JP 2021111384 A JP2021111384 A JP 2021111384A JP 2020215245 A JP2020215245 A JP 2020215245A JP 2020215245 A JP2020215245 A JP 2020215245A JP 2021111384 A JP2021111384 A JP 2021111384A
- Authority
- JP
- Japan
- Prior art keywords
- memory dump
- kernel function
- create
- memory
- kernel
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 30
- 238000012986 modification Methods 0.000 title claims abstract description 13
- 230000004048 modification Effects 0.000 title claims abstract description 13
- 230000006870 function Effects 0.000 claims abstract description 100
- 230000004044 response Effects 0.000 claims abstract description 8
- 239000012634 fragment Substances 0.000 claims description 10
- 238000012544 monitoring process Methods 0.000 description 9
- 238000013459 approach Methods 0.000 description 7
- 239000003795 chemical substances by application Substances 0.000 description 7
- 238000012545 processing Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 5
- 230000002093 peripheral effect Effects 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 238000004590 computer program Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 230000004075 alteration Effects 0.000 description 3
- 239000007787 solid Substances 0.000 description 3
- 239000008186 active pharmaceutical agent Substances 0.000 description 2
- 238000003491 array Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000014509 gene expression Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- RYGMFSIKBFXOCR-UHFFFAOYSA-N Copper Chemical compound [Cu] RYGMFSIKBFXOCR-UHFFFAOYSA-N 0.000 description 1
- 101001095089 Homo sapiens PML-RARA-regulated adapter molecule 1 Proteins 0.000 description 1
- 102100037019 PML-RARA-regulated adapter molecule 1 Human genes 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000007630 basic procedure Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 229910052802 copper Inorganic materials 0.000 description 1
- 239000010949 copper Substances 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000011843 digital forensic investigation Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- RGNPBRKPHBKNKX-UHFFFAOYSA-N hexaflumuron Chemical compound C1=C(Cl)C(OC(F)(F)C(F)F)=C(Cl)C=C1NC(=O)NC(=O)C1=C(F)C=CC=C1F RGNPBRKPHBKNKX-UHFFFAOYSA-N 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000001902 propagating effect Effects 0.000 description 1
- 238000009877 rendering Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
- 238000013024 troubleshooting Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
- G06F21/79—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/54—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by adding security routines or objects to programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Abstract
Description
…80501dcc 80607ac8 8056f074 805b3de0 8056f3ca…
である場合がある。
しかし、ルートキットが作動している場合(例えば、その後)、コマンドの出力は、
…80501dcc 80607ac8 f7c38486 805b3de0 8056f3ca…
である場合がある。
これらの2つの出力を比較すると、明らかにメモリアドレス「8056f074」が、「f7c38486」に置き換えられたことが分かる。システムコール番号は、どちらのアドレスも同じ(例えば、55)である。したがって、システムコール番号を参照することによって、「f7c38486」に置き換わったカーネル関数が呼び出される。
Claims (18)
- 不正なメモリダンプ改変を防ぐ方法であって、
コンピューティングデバイスのメモリダンプを作成することと、
前記メモリダンプを作成するのに使用された現在のカーネル関数を特定することと、
前記現在のカーネル関数が前記メモリダンプを作成することを許可されていないと判断することに応じて、
前記作成されたメモリダンプが改変されたと判断することと、
呼び出しツリーを解析して、メモリダンプを作成することを許可されている元のカーネル関数を特定することと、
真正のメモリダンプを作成するために前記元のカーネル関数を呼び出すことと、
を含む、方法。 - 前記現在のカーネル関数が前記メモリダンプを作成することを許可されていないと判断することは、メモリダンプをするカーネル関数を指し示すディスパッチテーブル内のエントリが改変されたと判断することを含む、請求項1に記載の方法。
- 前記エントリが改変されたと判断することは、初回の前記ディスパッチテーブル内のシステムコール番号に関連付けられたアドレスが、2回目の前記システムコール番号に関連付けられたアドレスと一致しないと判断することを含む、請求項2に記載の方法。
- 前記現在のカーネル関数が前記メモリダンプを作成することを許可されていないと判断することは、前記現在のカーネル関数のアドレスが前記コンピューティングデバイスのオペレーティングシステムカーネル範囲内にないという判断に基づく、請求項1から3のいずれか1項に記載の方法。
- 前記呼び出しツリーを解析して、前記元のカーネル関数を特定することは、前記呼び出しツリーのコンテンツに基づいて、前記元のカーネル関数を示すオフセットを判断することを含む、請求項1から4のいずれか1項に記載の方法。
- 前記現在のカーネル関数が前記メモリダンプを作成することを許可されていないと判断することは、
前記コンピューティングデバイスのディスク上のカーネルイメージと、前記コンピューティングデバイスのメモリ内のカーネルイメージとを比較することと、
前記比較に基づいて、前記メモリダンプを作成するのに使用された改変されたカーネル断片を特定することと、
前記改変されたカーネル断片が、マルウェアに起因するものであると判断することと、
をさらに含む、請求項1から5のいずれか1項に記載の方法。 - 不正なメモリダンプ改変を防ぐシステムであって、前記システムは、ハードウェアプロセッサを備え、前記ハードウェアプロセッサは、
コンピューティングデバイスのメモリダンプを作成し、
前記メモリダンプを作成するのに使用された現在のカーネル関数を特定し、
前記現在のカーネル関数が前記メモリダンプを作成することを許可されていないと判断することに応じて、
前記作成されたメモリダンプが改変されたと判断し、
呼び出しツリーを解析して、メモリダンプを作成することを許可されている元のカーネル関数を特定し、
真正のメモリダンプを作成するために前記元のカーネル関数を呼び出す、
ように構成される、システム。 - 前記ハードウェアプロセッサは、メモリダンプをするカーネル関数を指し示すディスパッチテーブル内のエントリが改変されたと判断することによって、前記現在のカーネル関数が前記メモリダンプを作成することを許可されていないと判断するように構成される、請求項7に記載のシステム。
- 前記ハードウェアプロセッサは、初回の前記ディスパッチテーブル内のシステムコール番号に関連付けられたアドレスが、2回目の前記システムコール番号に関連付けられたアドレスと一致しないと判断することによって、前記エントリが改変されたと判断するように構成される、請求項8に記載のシステム。
- 前記ハードウェアプロセッサは、前記現在のカーネル関数のアドレスが前記コンピューティングデバイスのオペレーティングシステムカーネル範囲内にないという判断に基づいて、前記現在のカーネル関数が前記メモリダンプを作成することを許可されていないと判断するように構成される、請求項7から9のいずれか1項に記載のシステム。
- 前記ハードウェアプロセッサは、前記呼び出しツリー内のエントリのコンテンツに基づいて前記元のカーネル関数を示すオフセットを判断することによって、前記呼び出しツリーを解析して、前記元のカーネル関数を特定するように構成される、請求項7から10のいずれか1項に記載のシステム。
- 前記ハードウェアプロセッサは、
前記コンピューティングデバイスのディスク上のカーネルイメージと、前記コンピューティングデバイスのメモリ内のカーネルイメージとを比較することと、
前記比較に基づいて、前記メモリダンプを作成するのに使用された改変されたカーネル断片を特定することと、
前記改変されたカーネル断片が、マルウェアに起因するものであると判断することと、
によって、前記現在のカーネル関数が前記メモリダンプを作成することを許可されていないと判断するように構成される、請求項7から11のいずれか1項に記載のシステム。 - 不正なメモリダンプ改変を防ぐためのコンピュータ実行可能命令を記憶している非一時的なコンピュータ可読媒体であって、
コンピューティングデバイスのメモリダンプを作成することと、
前記メモリダンプを作成するのに使用された現在のカーネル関数を特定することと、
前記現在のカーネル関数は前記メモリダンプを作成することを許可されていないと判断することに応じて、
前記作成されたメモリダンプが改変されたと判断することと、
呼び出しツリーを解析して、メモリダンプを作成することを許可されている元のカーネル関数を特定することと、
真正のメモリダンプを作成するために前記元のカーネル関数を呼び出す、
命令を含む、非一時的なコンピュータ可読媒体。 - 前記現在のカーネル関数が前記メモリダンプを作成することを許可されていないと判断する命令は、メモリダンプをするカーネル関数を指し示すディスパッチテーブル内のエントリが改変されたと判断する命令をさらに含む、請求項13に記載の非一時的なコンピュータ可読媒体。
- 前記エントリが改変されたと判断する命令は、初回の前記ディスパッチテーブル内のシステムコール番号に関連付けられたアドレスが、2回目の前記システムコール番号に関連付けられたアドレスと一致しないと判断する命令をさらに含む、請求項14に記載の非一時的なコンピュータ可読媒体。
- 前記現在のカーネル関数が前記メモリダンプを作成することを許可されていないと判断する命令は、前記現在のカーネル関数のアドレスが前記コンピューティングデバイスのオペレーティングシステムカーネル範囲内にないと判断する命令をさらに含む、請求項13に記載の非一時的なコンピュータ可読媒体。
- 前記呼び出しツリーを解析して、前記元のカーネル関数を特定する命令は、前記呼び出しツリー内のエントリのコンテンツに基づいて前記元のカーネル関数を示すオフセットを判断する命令をさらに含む、請求項13に記載の非一時的なコンピュータ可読媒体。
- 前記現在のカーネル関数が前記メモリダンプを作成することを許可されていないと判断する命令は、
前記コンピューティングデバイスのディスク上のカーネルイメージと、前記コンピューティングデバイスのメモリ内のカーネルイメージとを比較する命令と、
前記比較に基づいて、前記メモリダンプを作成するのに使用された改変されたカーネル断片を特定する命令と、
前記改変されたカーネル断片が、マルウェアに起因するものであると判断する命令と、
をさらに含む、請求項13に記載の非一時的なコンピュータ可読媒体。
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US202062959222P | 2020-01-10 | 2020-01-10 | |
US62/959,222 | 2020-01-10 | ||
US17/113,195 | 2020-12-07 | ||
US17/113,195 US20210216667A1 (en) | 2020-01-10 | 2020-12-07 | Systems and methods for protecting against unauthorized memory dump modification |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2021111384A true JP2021111384A (ja) | 2021-08-02 |
JP7404223B2 JP7404223B2 (ja) | 2023-12-25 |
Family
ID=73856127
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020215245A Active JP7404223B2 (ja) | 2020-01-10 | 2020-12-24 | 不正なメモリダンプ改変を防ぐシステムおよび方法 |
Country Status (4)
Country | Link |
---|---|
US (1) | US20210216667A1 (ja) |
EP (1) | EP3848835A1 (ja) |
JP (1) | JP7404223B2 (ja) |
CH (1) | CH717045B1 (ja) |
Family Cites Families (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2001037094A1 (en) | 1999-11-14 | 2001-05-25 | Clicknet Software, Inc. | Method for secure function execution by calling address validation |
IL132915A (en) * | 1999-11-14 | 2004-05-12 | Networks Assoc Tech Inc | Method for secure function execution by calling address validation |
US20050229250A1 (en) * | 2004-02-26 | 2005-10-13 | Ring Sandra E | Methodology, system, computer readable medium, and product providing a security software suite for handling operating system exploitations |
US7571482B2 (en) * | 2005-06-28 | 2009-08-04 | Microsoft Corporation | Automated rootkit detector |
US7802300B1 (en) * | 2007-02-06 | 2010-09-21 | Trend Micro Incorporated | Method and apparatus for detecting and removing kernel rootkits |
US8566944B2 (en) * | 2010-04-27 | 2013-10-22 | Microsoft Corporation | Malware investigation by analyzing computer memory |
EP2592557A4 (en) | 2010-07-06 | 2014-03-26 | Mitsubishi Electric Corp | PROCESSOR AND PROGRAM |
US8539584B2 (en) * | 2010-08-30 | 2013-09-17 | International Business Machines Corporation | Rootkit monitoring agent built into an operating system kernel |
JP5641233B2 (ja) | 2011-03-03 | 2014-12-17 | トヨタ自動車株式会社 | 車両データ取得システム及び車両データ取得方法 |
US9575793B1 (en) * | 2014-08-26 | 2017-02-21 | Amazon Technologies, Inc. | Identifying kernel data structures |
US9609005B2 (en) * | 2014-09-25 | 2017-03-28 | Mcafee, Inc. | Cross-view malware detection |
CN106203121B (zh) * | 2016-07-19 | 2019-09-06 | 珠海豹趣科技有限公司 | 内核地址防止恶意修改方法、装置以及终端 |
US10417420B2 (en) * | 2016-10-26 | 2019-09-17 | Fortinet, Inc. | Malware detection and classification based on memory semantic analysis |
US9930064B1 (en) * | 2016-11-23 | 2018-03-27 | Blue Star Software | Network management security and protection system |
WO2019013033A1 (ja) * | 2017-07-10 | 2019-01-17 | 日本電信電話株式会社 | コールスタック取得装置、コールスタック取得方法、および、コールスタック取得プログラム |
US10628586B1 (en) * | 2017-11-30 | 2020-04-21 | Palo Alto Networks, Inc. | Detecting malware via scanning for dynamically generated function pointers in memory |
WO2019151013A1 (ja) | 2018-02-02 | 2019-08-08 | 日本電気株式会社 | 情報処理装置、情報処理方法及び記録媒体 |
US11003764B2 (en) * | 2018-02-06 | 2021-05-11 | Jayant Shukla | System and method for exploiting attack detection by validating application stack at runtime |
-
2020
- 2020-12-07 US US17/113,195 patent/US20210216667A1/en not_active Abandoned
- 2020-12-21 EP EP20215988.5A patent/EP3848835A1/en active Pending
- 2020-12-21 CH CH001632/2020A patent/CH717045B1/it unknown
- 2020-12-24 JP JP2020215245A patent/JP7404223B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
US20210216667A1 (en) | 2021-07-15 |
EP3848835A1 (en) | 2021-07-14 |
CH717045A2 (it) | 2021-07-15 |
CH717045B1 (it) | 2023-11-30 |
JP7404223B2 (ja) | 2023-12-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11586736B2 (en) | Systems and methods for detecting malicious processes | |
JP7027425B2 (ja) | クリプトウェアを検出するためのシステムおよび方法 | |
US7788730B2 (en) | Secure bytecode instrumentation facility | |
US8806625B1 (en) | Systems and methods for performing security scans | |
US20130160126A1 (en) | Malware remediation system and method for modern applications | |
US11706237B2 (en) | Threat detection and security for edge devices | |
US11601443B2 (en) | System and method for generating and storing forensics-specific metadata | |
US10091213B2 (en) | Systems and methods to provide secure storage | |
US9436824B1 (en) | System and method for performing antivirus scans of files | |
US11275835B2 (en) | Method of speeding up a full antivirus scan of files on a mobile device | |
JP2022100232A (ja) | 根本原因解析のために経時的にフォレンジックスナップショットを相互参照するためのシステムおよび方法 | |
CN110659478B (zh) | 在隔离的环境中检测阻止分析的恶意文件的方法 | |
JP7353346B2 (ja) | ソフトウェアへの悪意あるプロセスの注入を防止するためのシステムおよび方法 | |
US9501649B2 (en) | Systems and methods for determining potential impacts of applications on the security of computing systems | |
JP7404223B2 (ja) | 不正なメモリダンプ改変を防ぐシステムおよび方法 | |
CH716699A2 (it) | Sistemi e metodi per contrastare la rimozione di informazioni di scienza digitale forense da parte di software dannosi. | |
US10061924B1 (en) | Detecting malicious code based on deviations in executable image import resolutions and load patterns | |
US11392696B1 (en) | Systems and methods for detecting code implanted into a published application | |
US20230138346A1 (en) | Managing file dependency management in virtual machines | |
CN111984944B (zh) | 一种源代码处理方法、相关装置及存储介质 | |
WO2022249416A1 (ja) | 分析装置、分析方法、および、分析システム | |
US20210019409A1 (en) | System and method for identifying system files to be checked for malware using a remote service | |
EP3588346A1 (en) | Method of detecting malicious files resisting analysis in an isolated environment | |
Lidén Martinsson | Cyber security in IoT communication development | |
JP6498413B2 (ja) | 情報処理システム、情報処理装置、制御サーバ、生成サーバ、動作制御方法及び動作制御プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220822 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230816 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230822 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20231115 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20231128 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20231213 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7404223 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |