JP4599400B2 - サンドボックス法によるコンピュータセキュリティ向上方法 - Google Patents

サンドボックス法によるコンピュータセキュリティ向上方法 Download PDF

Info

Publication number
JP4599400B2
JP4599400B2 JP2007515700A JP2007515700A JP4599400B2 JP 4599400 B2 JP4599400 B2 JP 4599400B2 JP 2007515700 A JP2007515700 A JP 2007515700A JP 2007515700 A JP2007515700 A JP 2007515700A JP 4599400 B2 JP4599400 B2 JP 4599400B2
Authority
JP
Japan
Prior art keywords
file
virtual machine
computer
sandbox
suspicious
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2007515700A
Other languages
English (en)
Other versions
JP2008500653A (ja
Inventor
ホール、クリフォード、ディー
チフラ、ヨセフ、エフ
ウーリッヒ、リチャード
ブリッケル、アーニー、エフ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intel Corp
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intel Corp filed Critical Intel Corp
Publication of JP2008500653A publication Critical patent/JP2008500653A/ja
Application granted granted Critical
Publication of JP4599400B2 publication Critical patent/JP4599400B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2145Inheriting rights or properties, e.g., propagation of permissions or restrictions within a hierarchy

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)
  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は大まかにコンピュータセキュリティに関しており、特に、仮想化技術を使用したコンピュータプラットフォームの安全性向上に関している。
コンピュータウィルスはコンピュータユーザにとって共通の悩みである。典型的な攻撃法の一つが、疑いを持たないユーザのコンピュータに対して、ファイル添付を含む電子メールメッセージ(Eメール)を送りつける方法である。ファイル添付には悪意のある攻撃コードが含まれており、Eメールにユーザがファイル添付を開くようなきっかけを含ませていたりする。ユーザがファイル添付をクリックすると、該ファイルに埋め込まれている攻撃コードが実行される。攻撃コードはアドレス帳にアクセスして該ファイル添付をEメールで該アドレス帳にあるアドレスに送りつける。攻撃コードはその後ユーザのコンピュータのファイルの変更を試みたり、また他のファイルを入手して攻撃者の許にメール送信することを行ったりする。
このような攻撃の伝播は急速である。ひとたびある疑いを持たないユーザがファイル添付を実行してしまうと、ウィルスは急速に他の疑いを持たないユーザに広がり、彼らがまたこの問題を連鎖させる。このようなウィルスはコンピュータネットワークを壊滅させ、ネットワーク操作者、企業、そしてユーザは何百万ドルという損害を被ることになることが知られている。
影響を受けているコンピュータからウィルスを検出したり駆除する技術は現存する。しかし、このような技術はしばしばウィルス検出後に使用されることとなり、多くのコンピュータが感染してしまっている。コンピュータウィルスその他の悪意あるコードの伝播を遅らせ、ウィルス検出者に損害が広がる前にウィルス検出を行わせるような、新たな方法が望まれている。
このような攻撃を検出・遅延させる能力の向上とともに、同様に望まれているのはユーザのシステムへの損害およびユーザのデータへのアクセスの制限、あるいは阻止である。ユーザが疑いあるファイルを決して実行しないような理想的世界は存在し得ないため、実際的な解決法としてはこれを踏まえて、プログラムがユーザのシステムに損害を加えたり、ユーザのデータへアクセスすることを阻止、あるいは制限することである。
本発明の特徴および利点が以下に記載する本発明の詳細な説明により明らかになろう、以下において、
本発明の一実施の形態が操作可能な、仮想マシン環境の一実施の形態を図示する。
本発明の一実施の形態による、サンドボックス仮想マシンと相互作用するユーザ仮想マシンを示す図である。
本発明の一実施の形態による、サンドボックス仮想マシンの利用例を図示したフロー図である。
本発明の一実施の形態による、仮想マシン環境を図示する図である。
本発明の一実施の形態は、サンドボックス法を利用して、コンピュータプラットフォームの安全性を向上させる方法である。昨今の仮想化の進歩により、コンピューティング・プラットフォームは、計算環境の保護された多数の仮想マシンを実行でき、一つの環境を実行しても他の環境と干渉しないようになっている。本発明の実施の形態は仮想化を使用して、コンピューティング・プラットフォームの残りの部分とは隔離されたサンドボックス仮想マシンを作り出す。サンドボックスは疑わしいファイルを開いたり、疑わしいアプリケーションプログラムを実行して、もしもその疑わしいファイルやアプリケーションプログラムに攻撃コードが含まれていた場合にも、攻撃がサンドボックスに内包されるようにする。攻撃コードはその後所定の規定によって取り扱われることになる。疑わしいファイルをサンドボックス内のみでアクセスすることにより、攻撃コードのさらなる伝播を減らすことができ、攻撃をより簡単に検出することができる。
本明細書で使用される、本発明の「一つの実施の形態」あるいは「一実施の形態」という参照は、該実施の形態に関連する特定の特徴、構造、あるいは特性が本発明の少なくとも一つの実施の形態に含まれている、ということを意味する。従って、「一つの実施の形態においては」や「一つの実施の形態によると」などの言い回しが本明細書の随所に現れるが、これらは必ずしも全てが同一の実施の形態のことを意味しているとは限らない。
詳細な説明の幾つかの箇所は、コンピュータシステムのレジスタあるいはメモリ内のデータビット操作のアルゴリズムおよび象徴的表現の観点から提示されている。これらアルゴリズムの記載や表現は、データプロセッシング技術の当業者が他の当業者に彼ら自身の仕事の実質を最も効果的に伝えるために使用される手段である。ここにおいて、および一般的に、アルゴリズムは望ましい結果につながる一連の首尾一貫した操作と考えられる。操作は物理的性質の物理的操作を要求するものである。通常、しかし必然的にではないが、これら性質は、記憶、伝達、合成、比較、さもなくば操作が可能な、電気あるいは電磁信号の形を取る。時として、主に共通使用の理由から、これら信号をビット、値、要素、記号、特性、期間、数、などとして言及することが都合がよいことが証明されている。
しかし、注意を喚起したいのは、これらおよび類似した用語は適切な物理量と関連付けられるべきものであり、単にこれら量に当てはめられた単に便利な標識であるということである。特に以下の開示に明記、さもなくば明らかである場合以外には、本発明を通じて、「プロセッシング」「コンピューティング」「計算する」「決定する」などの用語は、コンピュータシステムの動きや処理、あるいは類似の電子コンピュータ装置であって、コンピュータシステム内のレジスタやメモリ内の物理(電子)量として表現されたデータを操作および変形して、同様にコンピュータシステム内メモリあるいはレジスタ内の物理量として表現されたほかのデータ、あるいは他の同様の情報記憶装置、送信装置あるいは表示装置として表現することがある。
以下に詳細な実施の形態の記載は、本発明が実行され得る特定の実施の形態を例示により示す関連図面について言及している。図面においては、幾つかの図面を通じて同様な記号は略類似した部材を表している。これら実施の形態は当業者が本発明を実施できるほどに十分な詳細を記している。他の実施の形態の使用も可能であり、本発明の範囲を逸脱せずに構造的、論理的、電気的変更を加えることができる。さらに、本発明の様々な実施の形態は、お互い異なってはいるが、必ずしも相互排他の関係であるわけではない。例えば、一つの実施の形態で記載されている特定の特徴、構成、あるいは特性は他の実施の形態に含ませることができる。従って以下の詳説は限定的な意味あいで受け取るべきものではなくて、本発明の範囲は付記する請求項の範囲によりのみ、このような請求項の均等物の全範囲とともに定義される。
幾らかの実施の形態においては、コンピュータが本発明による工程を実行できるようにプログラムするのに使用できる命令を記憶した機械・コンピュータ読み取り可能な媒体を含むことのできるコンピュータプログラム製品あるいはソフトウェアとして本発明を提供することもできる。他の実施の形態においては、本発明の工程はこれら工程を実行するための組み込み論理を含む特定のハードウェア部品、あるいはプログラムされたコンピュータ部材およびカスタムハードウェア部材のいかなる組み合わせにより実行することができる。
ゆえに、機械読み取り可能な媒体は機械(例えばコンピュータ)読み取り可能な形の情報の記憶、あるいは送信のためのいかなる機構を含むことができるが、フロッピーディスケット、光ディスク、コンパクトディスク、リード・オンリ・メモリ(CD−ROMs)、および磁気光ディスク、リード・オンリ・メモリ(ROMs)、ランダム・アクセス・メモリ(RAM)、消去可能PROM(EPROM)、電気消去可能PROM(EEPROM)、電磁あるいは光カード、フラッシュメモリ、インターネット経由の電気、光、音声、あるいはその他の形の伝播信号(例えば搬送波、赤外線信号、デジタル信号その他)の送信などに限られるわけではない。
図1は本発明がその中で動作できる、プロセッシングシステム100の仮想マシン環境の一実施の形態を図示する。本実施の形態においては、裸のプラットフォーム・ハードウェア116が、標準オペレーティングシステム(OS)とVMM112などの仮想マシンモニタ(VMM)を例えば実行できるコンピューティング・プラットフォームを有す。
VMM112は、一般的にはソフトウェア内に実装されるが、裸のマシンインタフェースをより高度なレベルのソフトウェアにエミュレートおよびエクスポートすることができる。このような高度なレベルのソフトウェアは標準あるいはリアルタイムなOSを含んでもよく、あるいはよく知られたOS機構などを含まないような、オペレーティングシステム機能が制限された、大いにそぎ落とされた操作環境であってもよい。ソフトウェアはまたBIOSなどのファームウェアの版を含むこともできる。またその代わりに、例えばVMM112が他のVMMの内部で、上段で、あるいはそれと並行して動作してもよい。VMMは例えば、ハードウェア、ソフトウェア、あるいはファームウェアなどに、あるいはさまざまな技術の組み合わせにより実装することができる。
プロセッシングシステム100はパソコン(PC)、メインフレーム、ハンドヘルド装置、携帯コンピュータ、セットトップボックス、あるいはいかなるその他のコンピューティング・システムであってもよい。プラットフォーム・ハードウェア116はプロセッサ118とメモリ120とを含む。
プロセッサ118はマイクロプロセッサ、デジタル信号プロセッサ、マイクロコントローラ、その他の、ソフトウェアを実行可能なプロセッサであれば如何なるものでもかまわない。プロセッサ118は本発明の方法の実施の形態の実行を行うためにマイクロコード、プログラム可能な論理、あるいはハードコードされた論理を含むことができる。図1にはこのようなプロセッサ118を一つしか示していないが、システム内には一以上のプロセッサが存在してもよく、その各プロセッサが同じVMMを実行してもよいし、互いに異なるVMMを実行してもよいし、多数のVMMを実行してもよいし、あるいはなんらVMMを実行しなくてもよい。
メモリ120はハードディスク、フロッピーディスク、ランダム・アクセス・メモリ(RAM)、リード・オンリ・メモリ(ROM)、フラッシュメモリ、あるいはこれら装置の如何なる組み合わせ、あるいはプロセッサ118が読み取ることのできる如何なる他の種類の機械媒体であってもかまわない。メモリ120は本発明の方法の実施の形態の実行を行うための命令、および/またはデータを記憶することができる。
VMM112は他のソフトウェア(「ゲスト」ソフトウェア)に対して一以上の仮想マシン(VMs)の象徴を提示するが、該VMsは同じあるいは異なる象徴を様々なゲストに提供することができる。図1は仮想マシン#1 102、仮想マシン#N 114という二つのVMsを示しているが、いかなるシステムにおいても仮想マシンの実装数は幾つでもかまわない。各VM上で動作するゲストソフトウェアは、ゲストOS#1 104、OS#J 106などのゲストOS、および様々なゲストソフトウェアアプリケーション107、108、109、および110を含むことができる。前記ゲストOS104、106の各々は、ゲストOS104あるいは106が動作しているVMs102および104内の物理資源(例えばプロセッサレジスタ、メモリ、およびI/O装置)にアクセスし、その他の機能を発揮することが予期される。例えば、ゲストOSはVMに提示されるプロセッサおよびプラットフォームのアーキテクチャにより、すべてのレジスタ、キャッシュ、構造、I/O装置、メモリなどへのアクセスをもつことが予期されてもよい。ゲストソフトウェアがアクセス可能な資源は「特典付」と「特典なし」とのいずれかに分類することができる。特典付の資源に対しては、VMM112は、これら特典付の資源への究極の制御は維持しながらも、ゲストソフトウェアが望む機能を促進する。特典なしの資源はVMM112の制御を必要とせず、ゲストソフトウェアからアクセスができる。
さらに、各ゲストOSは例外(例としてはページ不良、一般的保護不良など)、割り込み(例としてはハードウェア割り込み、ソフトウェア割り込み)、およびプラットフォームイベント(例としては、初期化(INIT)、システム管理割り込み(SMIs))などの各種イベントの処理をするよう予期される。これらイベントのうち幾つかはVMs102と114との適切な操作を保証する目的上、およびゲストソフトウェアからの保護の観点からVMM112により処理される必要があるので、「特典付」になっている。
特典付のイベントが発生する、あるいはゲストソフトウェアが特典付資源にアクセスを試みると、VMM112へ制御を移譲することができる。ゲストソフトウェアからVMM112への制御の移譲はここではVM終了と称される。資源アクセスあるいはイベント処理が適切になされた後、VMM112はゲストソフトウェアへ制御を戻すこともできる。VMM112からゲストソフトウェアへの制御の移譲はVM開始と称される。
一つの実施の形態においては、プロセッサ118がVMs102と114の動作を仮想マシン制御構成(VMCS)124の記憶データに則って行う。VMCS124はゲストソフトウェアの状態、VMM112の状態、ゲストソフトウェアの動作制御をVMM112が行いたい方法を示す実行制御情報、VMM112・VM間の遷移を制御する情報、などを含むことができる構成である。プロセッサ118はVMの実行環境の特定、およびその行動を制限する目的でVMCS124から情報を読み出す。一つの実施の形態においては、VMCSはメモリ120に記憶されている。幾つかの実施の形態においては、多数VMs支援の目的で多数のVMCS構成を使用する。
ここで使用されるように、サンドボックスは環境内のコード実行について幾らかの機能性制限がある実行環境である。本発明の実施の形態においては、サンドボックスはコード実行を許可することもあるが、該コードがサンドボックス外のいずれのコンピューティング・プラットフォームにも損害を与えたり、アクセスしたりしないように、隔離する場合もある。悪意があると疑われたファイルは、該ファイルが実際悪意のあるものであった場合に引き起こす損害を制限、あるいは阻止する目的上、サンドボックス内で開かれるべきである。さらに、ファイル開封の際あるいはコード実行の際などにサンドボックス内に起こり得る疑わしい行為を監視することもできる。一つの実施の形態においては、サンドボックスは仮想マシンとして実装されることもある。
図2は本発明の一実施の形態におけるサンドボックス仮想マシンと相互作用するユーザ仮想マシンの図示である。一つの例においては、ユーザが一以上のアプリケーションをユーザ仮想マシン200内で実行することができる。例えばアプリケーション202は電子メールプログラムであってもよい。ユーザのコンピュータはファイル添付204を含んだ電子メールを受信することがある。ユーザがこのファイル添付をクリックすると、ユーザ仮想マシン200でファイルを開封するのではなく、添付204をサンドボックス仮想マシン206内でアプリケーション202の他の複製版により、あるいはもしかすると他のプログラムにより(不図示)開封することができる。ユーザは依然サンドボックス仮想マシンの提示する添付を見ることができるが、サンドボックス仮想マシンをホストしている残りのコンピューティング・プラットフォームはサンドボックスで起きる動作から保護することができる。つまり、サンドボックス仮想マシンはある主の特定の動作がサンドボックス外のファイルやその他のシステム資源に影響を与えるのを阻止することができる。ゆえに、もしもファイル添付が電子メールアプリケーション内のアドレスブックにアクセスすることで他のユーザに攻撃をばらまこうと試みる攻撃コードを含んでいたとしても、サンドボックスがアプリケーションに電子メールを送信させなければ、その試みはサンドボックスの外部に対しては成功しない。
図3は本発明の一実施の形態によるサンドボックス仮想マシンの利用例を図示したフロー図300である。ブロック302にて、処理システムの実体は、疑わしいとしてマークすべきファイルを特定する。一つの実施の形態においては、該実体は仮想マシン管理者(VMM)である。ファイルをマークするかについての決定にはユーザも加わることができる。他の実施の形態においては、サンドボックス管理動作のための専用仮想マシンを実行させてもよい。疑わしいファイルは処理システムがまだ信用するに至っていない、いかなるファイルであってよい。処理システムに入ると、ファイルあるいはアプリケーションプログラムは、所定のファイル特定規定に基づき、疑わしいとマークされるべきか否かを評価されてもよい。規定の一例としては、処理システム上で作成されておらず、該処理システムで受信して初めて保存するファイルあるいはアプリケーションの全てを疑わしいとマークする、というものがある。また他の規定によると、ファイル、アプリケーションが信用できる署名鍵によりデジタル署名されている場合、該ファイル、アプリケーションを疑わしいとして特定せず、その他の場合には疑わしいと考慮する、というものもある。これら規定は単に例示であって、本発明の範囲を逸脱しなければ、疑わしいファイル、アプリケーションを特定するには他の方法を使用することができる。
ブロック304において、ひとたびファイルが疑わしいと特定されると、前記実体は疑わしいファイルをマークして、それらが疑わしいことを印で示す。当業者であれば、ファイルのマーク法には様々なものがあることは認識されよう。ファイルのマーク法の一例としては、拡張子をファイルシステムに対して作成して、各ファイルの注記に該ファイルが疑わしいか否かを示すようにするというものがある。一つの実施の形態においては、この注記は、ファイルが疑わしいとされる場合にフラグがセットされるような、バイナリフラグである。
幾らかのマーク動作を行った後いずれかの時点で、ブロック306において、ユーザ仮想マシン(アプリケーションプログラムなど)内で動作するソフトウェアはファイルの実行あるいはアクセスを要請することもできる。例えば、ユーザが電子メール添付実行を選択する場合がある。他の例においては、選択されたアプリケーションプログラムがファイルシステムの記憶ファイルにアクセスすることをユーザが希望することもある。ブロック308においては、ファイルが目下疑わしいとマークされているかについての決定を行うことができる。ファイルが疑わしくない場合には、ブロック310で該ファイルをユーザ仮想マシン内で実行する又はアクセスする。該ファイルが疑わしい場合には、該ファイルをサンドボックス仮想マシン内で処理することができる。一つの実施の形態においては、ブロック312において、このファイルアクセス要求について特別に処理を行うためのサンドボックス仮想マシンを作成してもよい。他の実施の形態においては、常設のサンドボックス仮想マシンを処理システム内でアクティブにしておいて、疑わしいファイルへのアクセス要求のようなもの全てを処理するようにしてもよい。
また別の実施の形態においては、サンドボックス仮想マシンは、サンドボックスが必要となったとき、新たな仮想マシン環境を「分岐」(フォーキング)させてユーザ仮想マシンの複製版を構築する。「分岐」を行うことのひとつの利点は、オリジナル版の状態を完全に不修正のまま、オリジナル版と複製版との間を分岐させ始めることができるため、マシン状態の、既知の良好な(ノウングッド)「チェックポイント」として機能することである。後に複製版に攻撃が見つかった場合には、システムはノウングッドチェックポイントまで戻るだけでよい。従ってVM「分岐」は、ウィルスを収容したりその伝播を遅延させたりすることよりも上を行き、攻撃から回復する方法をも提供できるものとなっている。
ひとたびサンドボックス仮想マシンがアクティブとなり、ファイルアクセス処理をできるようになると、ブロック314で、特定のサンドボックス規定の規則によりサンドボックス仮想マシン内でファイルのアクセスあるいは実行が行うことができる。サンドボックス規定はファイルアクセスの一環としてどのような動作を行うのか規定してもよい。例えば、サンドボックス内のソフトウェア実行は電子メールを該サンドボックス外へ送信してはならないという規定を守ることとしてもよい。これは、処理システム内の規定チェック部材にサンドボックスからの電子メール送信要求を捉えるようにさせて執行してもよい。他の例としては、サンドボックス内のソフトウェア実行は処理システム内のファイルの削除、あるいは修正ができないようにすることもできる。一つの実施の形態においては、この執行は、全てのファイル修正要求を仮想化して、サンドボックス仮想マシンにファイルの修正要求が達成されたと示すようにしておいて、実際には該要求は暫定ファイルを使用して達成して常設システムのファイルには変更が加えられないように行うこともできる。ユーザ仮想マシンからサンドボックス仮想マシンを分岐する他の実施の形態においては、サンドボックス内でしばらくの間実行された後、分岐された環境をユーザ環境へ戻して融合させてもよい。この時点では、サンドボックス仮想マシンが要求するファイルに対する変更を受け付けるかどうかに関する決定を行うようにしてもよい。一例においては、サンドボックスからのシステムファイル変更を一切認めないようにしてもよい。そうではなくて、分岐された環境がウィルス攻撃により妥協を余儀なくされた状況を検知して、その環境を単に放棄して、システム動作を、ノウングッドチェックポイントである元のVM状態に戻すこともできる。
疑わしいファイルがサンドボックス仮想マシン内で実行あるいはアクセスされている間、仮想マシンモニタ(VMM)などの実体はサンドボックス内に攻撃コードの実行開始を示唆する行動がないか監視することができる。例えば、VMMはサンドボックス内にシステムファイル変更、自動電子メール要求、あるいは慎重を要するドキュメントへのアクセスの試みなどがないか監視することができる。もしもVMMがこれら行動のいずれかを検知したら、VMMは一以上の所定の方法で対応することができる。例えば、VMMはファイルを攻撃可能性のあるコードとしてマークすることができたり、該コードを削除したり、ユーザに通知したり、ファイルに対して更なる評価、あるいはその他の所定の処置を行うためにファイルをセキュリティサーバへ送ったりすることなどができる。
本発明の実施の形態においては、実行可能なファイルを疑わしいとマークして、サンドボックス内で実行すること以外にも、さらにデータファイルを疑わしいとマークして、該データファイルへのアクセスを行うアプリケーションをサンドボックス内で行うこともできる。例えば、信用できるデータファイルへのアクセスであればアプリケーションはユーザ仮想マシン内で行うことにしてもよいが、疑わしいデータファイルへのアクセスの際にはサンドボックス内で行うようにしてもよい。これは、その結果の組み合わせは依然攻撃を含む可能性があるため、コードは信用できるのだが、信用できるコードが信用できないデータを実行する場合も含んだ概念である。
ひとたびファイルが疑わしいとマークされると、何らかの特定の処置を講じてファイル上の疑わしいとするマークが取り除かれない以上、該ファイルはマークされ続けることになる。疑わしいファイルは多数回アクセスされても依然疑わしいとマークされ続ける。疑わしいファイルというマークを外す機能実装のための規定の一つとしては、ユーザにサンドボックスではない仮想マシンを操作させて、その仮想マシンへの疑わしいファイルのインポートを要求する方法がある。疑わしいファイルのマークを外す別の規定としては、ファイルがサンドボックス内で特定の期間実行されても攻撃コードを示すような行動の証拠が見つからなかった場合、ファイルに対する疑わしいというマークを変更する、などが考えられる。一つの実施の形態では、マークの取り外しは、ファイルに対する疑わしいフラグの設定を取り外すことで実行される。別の実施の形態では、ユーザがそのファイルが信用できると思ったら選択的にファイルのマークを取り外すことを許可している。
図4は本発明の一実施の形態による仮想マシン環境を図示する図である。この実施の形態では、VMMにサンドボックス仮想マシンの操作を監視させるのではなくて、監視を行う実体を規定執行仮想マシン404としてもよいことになっている。代わりに、監視する実体が追加的行動を行う他のVMに(少なくとも一部が)存在していてもよい。この仮想マシンはファイルシステム仮想マシン402と相互作用して、サンドボックス内で実行される攻撃コードが処理システム内のファイルを修正できないように保証してもよい。該ファイルシステムへのアクセス要求はファイルシステム仮想マシンが処理してもよい。規定執行仮想マシンはサンドボックス内で実行されるコードが許可可能な活動を記述している所定の規定406を執行することができる。一つの例では、サンドボックス仮想マシンはネットワークに直接アクセスできないようになっており、これによりサンドボックス仮想マシンからのいかなるネットワークへのアクセス要求であっても規定執行者へ送られるようにしてもよい。規定執行者はその後そのネットワークへのアクセスが許可されるか、規定をチェックする。このようにして、規定執行者はサンドボックス仮想マシンが電子メール送信、あるいは該ネットワークへのいずれの情報の送信をできないようにしてもよい。
本発明の実施の形態は幾らかのコンピュータウィルスの急速な伝播を阻止する一助となる。本発明において攻撃コードを持つファイル添付が開封された場合、該添付はサンドボックスで開封されることになる。サンドボックスは電子メールが送信されるのを許可しないので(規定の定義によって)、攻撃は複製されることはない。攻撃コードはシステムファイルにサンドボックス内で修正を加えることはあるかもしれないが、これら修正は仮想上に行われることなので、実際のシステムファイルには修正は施されない。サンドボックス内でファイルを開封した後、ユーザは該ファイルを他の仮想マシンに移動させる決定もできる。これは該ファイルをサンドボックス内に留めておくことに比べると好ましいことではないが、この筋書きにおいてもウィルス伝播は遅延させることができる。
ここで操作は一連の工程として記述されているかもしれないが、幾つかの操作は実施には並列的に、あるいは同時的に行うこともできる。さらに、幾つかの実施の形態においては、操作の順序は本発明の精神から逸脱することなく入れ替えることができる。
本発明は例示的な実施の形態とともに記載されたが、本記載は限定的な意味で解釈されるべきものではない。例示的な実施の形態の様々な変形例が本発明の他の実施の形態とともに本発明の精神および範囲内で可能なことは本発明が関する当業者にとっては自明である。

Claims (40)

  1. セキュリティを向上させる方法であって、
    コンピュータが、ユーザ仮想マシンによって前記コンピュータ内のファイルの実行およびアクセスのうち少なくとも一方の実行が要求された場合に、前記要求されたファイルが疑わしいファイルとしてマークされていることを条件として、前記ユーザ仮想マシンを分岐することにより、前記ユーザ仮想マシンの複製でありサンドボックスが実装された仮想マシンであるサンドボックス仮想マシンを作成する工程と、
    コンピュータが、前記疑わしいファイルとしてマークされた前記要求されたファイルの実行およびアクセスのうち少なくとも一方を前記サンドボックス仮想マシン内で行う工程と
    前記コンピュータが、前記サンドボックス仮想マシンの動作を、前記サンドボックス仮想マシンに対して許可すべき動作を記述した予め定められたポリシーを執行するポリシー執行仮想マシンで監視する工程と、
    前記コンピュータが、前記サンドボックス仮想マシン内で実行されるコードによって前記コンピュータのファイルシステム内のファイルが修正されないことを保証すべく、ファイルシステム仮想マシンで前記ファイルシステムへのアクセス要求を処理する工程と
    を含
    前記疑わしいファイルとしてマークされるべきファイルは、前記コンピュータ上で作成されていないファイルであり、前記コンピュータが当該ファイルを受信して初めて保存する場合に前記疑わしいファイルとしてマークされる、
    方法。
  2. 前記実行およびアクセスのうち少なくとも一方を前記サンドボックス仮想マシン内で行う工程は、前記許可すべき動作を定義するサンドボックスポリシーに従って、前記要求されたファイルの実行およびアクセスのうち少なくとも一方を行う、請求項1に記載の方法。
  3. 前記サンドボックスポリシーは、全てサンドボックス仮想マシン内から始められる、電子メールメッセージの送信、前記コンピュータ内のファイルに対する削除あるいは修正、およびネットワークインタフェースを通じたメッセージ送信、のうち少なくとも一つを前記コンピュータが阻止することを含む、請求項2に記載の方法。
  4. 前記コンピュータが、前記疑わしいファイルとしてマークされるべきファイルを、予め定められたファイル特定ポリシーに基づき特定する工程をさらに含む、請求項1から3のいずれかに記載の方法。
  5. 前記疑わしいファイルとしてマークされるべきファイルを特定する工程は、前記予め定められたファイル特定ポリシーに従ってファイルを評価することにより、前記疑わしいファイルとしてマークされるべきファイルを特定する、請求項4に記載の方法。
  6. 前記疑わしいファイルとしてマークされるべきファイルを特定する工程は、前記ファイルを仮想マシンモニタで特定する、請求項5に記載の方法。
  7. 前記コンピュータが、前記ファイルが前記疑わしいファイルであることを特定するために、前記ファイルをマークする工程をさらに含む、請求項4から6のいずれかに記載の方法。
  8. 前記サンドボックス仮想マシンは、前記疑わしいファイルとしてマークされた一以上のファイルの実行およびアクセスのうち少なくとも一方を行う、請求項1から7のいずれかに記載の方法。
  9. 前記コンピュータが、前記疑わしいファイルとしてマークされたファイルの実行およびアクセスのうち少なくとも一方を監視することで当該ファイルが悪意あるものではないと示唆された場合、当該ファイルのマークを変更する工程をさらに含む、請求項1から8のいずれかに記載の方法。
  10. 前記コンピュータが、前記ユーザ仮想マシンの中から前記疑わしいファイルとするマークを取り外す工程をさらに含む、請求項1から8のいずれかに記載の方法。
  11. 前記コンピュータが、前記ユーザ仮想マシン内で前記ファイルの実行およびアクセスのうち少なくとも一方を行おうとする前に、当該ファイルが前記疑わしいファイルとしてマークされているかどうかを判断する工程をさらに含む、請求項1から10のいずれかに記載の方法。
  12. 前記コンピュータが、前記ポリシー執行仮想マシンを作成する工程と、
    前記コンピュータが、前記サンドボックス仮想マシンにネットワークへ直接アクセスさせず、前記サンドボックス仮想マシンからの前記ネットワークへのアクセス要求を前記ポリシー執行仮想マシンに送信する工程と
    をさらに含む請求項1から11のいずれか記載の方法。
  13. プログラムであって、コンピュータに、
    ユーザ仮想マシンによって前記コンピュータ内のファイルの実行およびアクセスのうち少なくとも一方の実行が要求された場合に、前記要求されたファイルが疑わしいファイルとしてマークされていることを条件として、前記ユーザ仮想マシンを分岐することにより、前記ユーザ仮想マシンの複製でありサンドボックスが実装された仮想マシンであるサンドボックス仮想マシンを作成させる手順と、
    前記疑わしいファイルとしてマークされた前記要求されたファイルの実行およびアクセスのうち少なくとも一方をサンドボックス仮想マシン内で行う手順と
    前記サンドボックス仮想マシンの動作を、前記サンドボックス仮想マシンに対して許可すべき動作を記述した予め定められたポリシーを執行するポリシー執行仮想マシンで監視する手順と、
    前記サンドボックス仮想マシン内で実行されるコードによって前記コンピュータのファイルシステム内のファイルが修正されないことを保証すべく、ファイルシステム仮想マシンで前記ファイルシステムへのアクセス要求を処理する手順と
    を実行させ
    前記疑わしいファイルとしてマークされるべきファイルは、前記コンピュータ上で作成されていないファイルであり、前記コンピュータが当該ファイルを受信して初めて保存する場合に前記疑わしいファイルとしてマークされる
    プログラム。
  14. 前記実行およびアクセスのうち少なくとも一方を前記サンドボックス仮想マシン内で行う手順は、前記許可すべき動作を定義するサンドボックスポリシーに従って、前記要求されたファイルの実行およびアクセスのうち少なくとも一方を行う手順を含む、請求項13に記載のプログラム。
  15. 前記サンドボックスポリシーは、全てサンドボックス仮想マシン内から始められる、電子メールメッセージの送信、前記コンピュータ内のファイルに対する削除あるいは修正、およびネットワークインタフェースを通じたメッセージ送信、のうち少なくとも一つを前記コンピュータに阻止させることを含む、請求項14に記載のプログラム。
  16. 前記疑わしいファイルとしてマークされるべきファイルを、予め定められたファイル特定ポリシーに基づき特定する手順
    を前記コンピュータにさらに実行させる請求項13から15のいずれかに記載のプログラム。
  17. 前記疑わしいファイルとしてマークされるべきファイルを特定する手順は、前記予め定められたファイル特定ポリシーに従ってファイルを評価するにより、前記疑わしいファイルとしてマークされるべきファイルを特定する手順を含む、請求項16に記載のプログラム。
  18. 前記疑わしいファイルとしてマークされるべきファイルを特定する手順は、前記ファイルを仮想マシンモニタで特定する手順を含む、請求項17に記載のプログラム。
  19. 前記ファイルが前記疑わしいファイルであることを特定するために、前記ファイルをマークする手順
    を前記コンピュータにさらに実行させる請求項16から18のいずれかに記載のプログラム。
  20. 前記サンドボックス仮想マシンは、前記疑わしいファイルとしてマークされた一以上のファイルの実行およびアクセスのうち少なくとも一方を行う、請求項13から19のいずれかに記載のプログラム。
  21. 前記疑わしいファイルとしてマークされたファイルの実行およびアクセスのうち少なくとも一方を監視することで当該ファイルが悪意あるものではないと示唆された場合、当該疑わしいファイルのマークを変更する手順
    を前記コンピュータにさらに実行させる請求項13から20のいずれかに記載のプログラム。
  22. 前記ユーザ仮想マシンの中から前記疑わしいファイルとするマークを取り外す手順
    を前記コンピュータにさらに実行させる請求項13から20のいずれかに記載のプログラム。
  23. 前記ユーザ仮想マシン内で前記ファイルを実行およびアクセスのうち少なくとも一方を行おうとする前に、当該ファイルが前記疑わしいファイルとしてマークされているかどうかを判断する手順
    を前記コンピュータにさらに実行させる請求項13から22のいずれかに記載のプログラム。
  24. 前記ポリシー執行仮想マシンを作成する手順と、
    前記コンピュータが、前記サンドボックス仮想マシンにネットワークへ直接アクセスさせず、前記サンドボックス仮想マシンからの前記ネットワークへのアクセス要求を前記ポリシー執行仮想マシンに送信する手順と
    を前記コンピュータにさらに実行させる請求項13から23のいずれか記載のプログラム。
  25. 処理システムであって、
    コンピュータに、疑わしいファイルを特定し、疑わしいファイルとしてマークさせる仮想マシンモニタと、
    前記コンピュータに、前記疑わしいファイルの実行およびアクセスのうち少なくとも一方を行わせる、サンドボックスが実装された仮想マシンであるサンドボックス仮想マシンと
    前記コンピュータに前記サンドボックス仮想マシンの動作を監視させるポリシー執行仮想マシンであって、前記サンドボックス仮想マシンに対して許可すべき動作を記述した予め定められたポリシーを前記コンピュータに執行させるポリシー執行仮想マシンと、
    前記コンピュータ上で稼働し、前記サンドボックス仮想マシン内で実行されるコードによって前記コンピュータのファイルシステム内のファイルが修正されないことを保証すべく、前記ファイルシステムへのアクセス要求を処理するファイルシステム仮想マシンと
    を含み、
    前記サンドボックス仮想マシンは、ユーザ仮想マシンによって前記コンピュータ内のファイルの実行およびアクセスのうち少なくとも一方の実行が要求された場合に、前記要求されたファイルが前記疑わしいファイルとしてマークされていることを条件として、前記ユーザ仮想マシンを分岐することにより前記ユーザ仮想マシンの複製として前記コンピュータにより作成され、
    前記サンドボックス仮想マシンは、前記疑わしいファイルとしてマークされた前記要求されたファイルの実行およびアクセスのうち少なくとも一方を前記コンピュータに行わせ
    前記疑わしいファイルとしてマークされるべきファイルは、前記コンピュータ上で作成されていないファイルであり、前記コンピュータが当該ファイルを受信して初めて保存する場合に前記疑わしいファイルとしてマークされる
    処理システム。
  26. 前記サンドボックス仮想マシンは、前記許可すべき動作を定義するサンドボックスポリシーに従って、前記要求されたファイルの実行およびアクセスのうち少なくとも一方を前記コンピュータに行わせる、請求項25に記載の処理システム。
  27. 前記サンドボックスポリシーは、どちらもサンドボックス仮想マシン内から始められる、前記疑わしいファイルとしてマークされたファイルが添付として付されている電子メールメッセージの送信、および前記コンピュータ内のファイルの削除のうち少なくとも一つを前記コンピュータに阻止させることを含む、請求項26に記載の処理システム。
  28. 前記仮想マシンモニタは、予め定められたファイル特定ポリシーに従ってファイルを評価することにより、前記疑わしいファイルとしてマークされるべきファイルを特定する、請求項25から27のいずれかに記載の処理システム。
  29. 前記仮想マシンモニタは、前記疑わしいファイルとしてマークされたファイルの前記サンドボックス仮想マシンによる実行およびアクセスのうち少なくとも一方を監視することで当該ファイルが悪意あるものではないと示唆された場合、当該疑わしいファイルのマークを前記コンピュータに変更させる、請求項25から28のいずれかに記載の処理システム。
  30. 前記ポリシー執行仮想マシンは、前記サンドボックス仮想マシンにネットワークへ直接アクセスさせず、前記サンドボックス仮想マシンからの前記ネットワークへのアクセス要求を受信する
    を請求項25から29のいずれか記載の処理システム。
  31. 処理システムであって、
    コンピュータに、疑わしいファイルとしてマークされたファイルの実行およびアクセスのうち少なくとも一方を行わせる、サンドボックスが実装された仮想マシンであるサンドボックス仮想マシンと、
    前記コンピュータに、前記疑わしいファイルの特定およびマークを行わせ、許可すべき動作を定義しているサンドボックスポリシーを執行するポリシー執行仮想マシンと
    前記コンピュータ上で稼働し、前記サンドボックス仮想マシン内で実行されるコードによって前記コンピュータのファイルシステム内のファイルが修正されないことを保証すべく、前記ファイルシステムへのアクセス要求を処理するファイルシステム仮想マシンと
    を含み、
    前記サンドボックス仮想マシンは、ユーザ仮想マシンによって前記コンピュータ内のファイルの実行およびアクセスのうち少なくとも一方の実行が要求された場合に、前記要求されたファイルが前記疑わしいファイルとしてマークされていることを条件として、前記ユーザ仮想マシンを分岐することにより、前記ユーザ仮想マシンの複製として前記コンピュータにより作成され、
    前記サンドボックス仮想マシンは、前記疑わしいファイルとしてマークされた前記要求されたファイルの実行およびアクセスのうち少なくとも一方を前記コンピュータに行わせ
    前記疑わしいファイルとしてマークされるべきファイルは、前記コンピュータ上で作成されていないファイルであり、前記コンピュータが当該ファイルを受信して初めて保存する場合に前記疑わしいファイルとしてマークされる
    処理システム。
  32. 前記サンドボックスポリシーは、どちらもサンドボックス仮想マシン内から始められる、前記疑わしいファイルとしてマークされたファイルが添付として付されている電子メールメッセージの前記コンピュータによる送信、および前記コンピュータ内のファイルの前記コンピュータによる削除のうち少なくとも一つを前記ポリシー執行仮想マシンにより阻止することを含む、請求項31に記載の処理システム。
  33. 前記ポリシー執行仮想マシンは、予め定められたファイル特定ポリシーに従ってファイルを評価することにより、前記疑わしいファイルとしてマークされるべきファイルを特定する、請求項31または32に記載の処理システム。
  34. 前記ポリシー執行仮想マシンは、前記疑わしいファイルとしてマークされたファイルの前記サンドボックス仮想マシンによる実行およびアクセスのうち少なくとも一方を監視することで当該ファイルが悪意あるものではないと示唆された場合、当該疑わしいファイルのマークを変更する、請求項31から33のいずれかに記載の処理システム。
  35. 前記ポリシー執行仮想マシンは、前記サンドボックス仮想マシンにネットワークへ直接アクセスさせず、前記サンドボックス仮想マシンからの前記ネットワークへのアクセス要求を受信する
    を請求項31から34のいずれか記載の処理システム。
  36. セキュリティを向上させる方法であって、
    コンピュータが、疑わしいファイルとしてマークされるべきファイルを特定する工程と、
    前記コンピュータが、前記特定されたファイルをマークする工程と、
    前記コンピュータが、ユーザ仮想マシンからの、ファイルの実行およびアクセスのうち少なくとも一方の実行要求を受け付ける工程と、
    前記ファイルが疑わしいファイルとしてマークされていない場合、前記コンピュータが、前記ファイルの実行およびアクセスのうち少なくとも一方を前記ユーザ仮想マシン内で行う工程と、
    前記ファイルが疑わしいファイルとしてマークされている場合、前記コンピュータが、前記ユーザ仮想マシンを分岐することにより前記ユーザ仮想マシンの複製でありサンドボックスが実装された仮想マシンであるサンドボックス仮想マシンを作成して、前記サンドボックス仮想マシン内で前記ファイルの実行およびアクセスのうち少なくとも一方をポリシーに従って行う工程と
    前記コンピュータが、前記サンドボックス仮想マシンの動作を、前記サンドボックス仮想マシンに対して許可すべき動作を記述した予め定められたポリシーを執行するポリシー執行仮想マシンで監視する工程と、
    前記コンピュータが、前記サンドボックス仮想マシン内で実行されるコードによって前記コンピュータのファイルシステム内のファイルが修正されないことを保証すべく、ファイルシステム仮想マシンで前記ファイルシステムへのアクセス要求を処理する工程と
    を含み、
    前記疑わしいファイルとしてマークされるべきファイルは、前記コンピュータ上で作成されていないファイルであり、前記コンピュータが当該ファイルを受信して初めて保存する場合に前記疑わしいファイルとしてマークされる
    方法。
  37. 前記ポリシーは、どちらもサンドボックス仮想マシン内から始められる、前記疑わしいファイルとしてマークされたファイルが添付として付されている電子メールメッセージの送信、および前記コンピュータ内のファイルの削除のうち少なくとも一つを前記コンピュータが阻止することを含む、請求項36に記載の方法。
  38. 前記疑わしいファイルとしてマークされるべきファイルを特定する工程は、予め定められたファイル特定ポリシーに従ってファイルを評価することにより、前記疑わしいファイルとしてマークされるべきファイルを特定する、請求項36または37に記載の方法。
  39. 前記疑わしいファイルとしてマークされるべきファイルを特定する工程は、前記ファイルを仮想マシンモニタで特定する、請求項38に記載の方法。
  40. 前記コンピュータが、前記ポリシー執行仮想マシンを作成する工程と、
    前記コンピュータが、前記サンドボックス仮想マシンにネットワークへ直接アクセスさせず、前記サンドボックス仮想マシンからの前記ネットワークへのアクセス要求を前記ポリシー執行仮想マシンに送信する工程と
    をさらに含む請求項36から39のいずれか記載の方法。
JP2007515700A 2004-06-29 2005-06-21 サンドボックス法によるコンピュータセキュリティ向上方法 Expired - Fee Related JP4599400B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/881,602 US7908653B2 (en) 2004-06-29 2004-06-29 Method of improving computer security through sandboxing
PCT/US2005/022227 WO2006012197A2 (en) 2004-06-29 2005-06-21 Method of improving computer security through sandboxing

Publications (2)

Publication Number Publication Date
JP2008500653A JP2008500653A (ja) 2008-01-10
JP4599400B2 true JP4599400B2 (ja) 2010-12-15

Family

ID=35457009

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007515700A Expired - Fee Related JP4599400B2 (ja) 2004-06-29 2005-06-21 サンドボックス法によるコンピュータセキュリティ向上方法

Country Status (5)

Country Link
US (1) US7908653B2 (ja)
EP (1) EP1761836B1 (ja)
JP (1) JP4599400B2 (ja)
CN (1) CN100533334C (ja)
WO (1) WO2006012197A2 (ja)

Families Citing this family (435)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8539063B1 (en) 2003-08-29 2013-09-17 Mcafee, Inc. Method and system for containment of networked application client software by explicit human input
US7840968B1 (en) 2003-12-17 2010-11-23 Mcafee, Inc. Method and system for containment of usage of language interfaces
US7783735B1 (en) 2004-03-22 2010-08-24 Mcafee, Inc. Containment of network communication
US8898788B1 (en) 2004-04-01 2014-11-25 Fireeye, Inc. Systems and methods for malware attack prevention
US8793787B2 (en) 2004-04-01 2014-07-29 Fireeye, Inc. Detecting malicious network content using virtual environment components
US8549638B2 (en) 2004-06-14 2013-10-01 Fireeye, Inc. System and method of containing computer worms
US8881282B1 (en) 2004-04-01 2014-11-04 Fireeye, Inc. Systems and methods for malware attack detection and identification
US8566946B1 (en) 2006-04-20 2013-10-22 Fireeye, Inc. Malware containment on connection
US9106694B2 (en) 2004-04-01 2015-08-11 Fireeye, Inc. Electronic message analysis for malware detection
US8171553B2 (en) 2004-04-01 2012-05-01 Fireeye, Inc. Heuristic based capture with replay to virtual machine
US8584239B2 (en) 2004-04-01 2013-11-12 Fireeye, Inc. Virtual machine with dynamic data flow analysis
US8528086B1 (en) 2004-04-01 2013-09-03 Fireeye, Inc. System and method of detecting computer worms
US7587537B1 (en) 2007-11-30 2009-09-08 Altera Corporation Serializer-deserializer circuits formed from input-output circuit registers
US7908653B2 (en) 2004-06-29 2011-03-15 Intel Corporation Method of improving computer security through sandboxing
US7873955B1 (en) * 2004-09-07 2011-01-18 Mcafee, Inc. Solidifying the executable software set of a computer
US8150617B2 (en) 2004-10-25 2012-04-03 A9.Com, Inc. System and method for displaying location-specific images on a mobile device
US8131804B2 (en) * 2004-11-19 2012-03-06 J Michael Greata Method and apparatus for immunizing data in computer systems from corruption
JP4717426B2 (ja) * 2004-12-07 2011-07-06 キヤノン株式会社 情報処理装置及びその方法
US8706942B2 (en) * 2004-12-29 2014-04-22 Intel Corporation Direct memory access (DMA) address translation between peer-to-peer input/output (I/O) devices
US8214830B2 (en) * 2005-01-19 2012-07-03 Intel Corporation Performance in a virtualization architecture with a processor abstraction layer
US20070067844A1 (en) * 2005-09-16 2007-03-22 Sana Security Method and apparatus for removing harmful software
US7603552B1 (en) 2005-05-04 2009-10-13 Mcafee, Inc. Piracy prevention using unique module translation
US7945958B2 (en) * 2005-06-07 2011-05-17 Vmware, Inc. Constraint injection system for immunizing software programs against vulnerabilities and attacks
US8312452B2 (en) * 2005-06-30 2012-11-13 Intel Corporation Method and apparatus for a guest to access a privileged register
US7937701B2 (en) * 2005-06-30 2011-05-03 Intel Corporation ACPI communication between virtual machine monitor and policy virtual machine via mailbox
US7856661B1 (en) * 2005-07-14 2010-12-21 Mcafee, Inc. Classification of software on networked systems
US8407785B2 (en) * 2005-08-18 2013-03-26 The Trustees Of Columbia University In The City Of New York Systems, methods, and media protecting a digital data processing device from attack
US8117608B1 (en) 2005-09-03 2012-02-14 Ringcube Technologies, Inc. System and method of providing mobility to personal computers
US8528107B1 (en) * 2005-09-19 2013-09-03 Vmware, Inc. Enforcing restrictions related to a virtualized computer environment
EP1952233A2 (en) * 2005-10-21 2008-08-06 Vir2us, Inc. Computer security method having operating system virtualization allowing multiple operating system instances to securely share single machine resources
US8104034B2 (en) * 2005-11-30 2012-01-24 Red Hat, Inc. Purpose domain for in-kernel virtual machine for low overhead startup and low resource usage
US8612970B2 (en) * 2005-11-30 2013-12-17 Red Hat, Inc. Purpose domain for low overhead virtual machines
US7836303B2 (en) 2005-12-09 2010-11-16 University Of Washington Web browser operating system
WO2007074565A1 (ja) * 2005-12-27 2007-07-05 Nec Corporation プログラム実行制御方法および装置ならびに実行制御プログラム
US8196205B2 (en) 2006-01-23 2012-06-05 University Of Washington Through Its Center For Commercialization Detection of spyware threats within virtual machine
US7757269B1 (en) 2006-02-02 2010-07-13 Mcafee, Inc. Enforcing alignment of approved changes and deployed changes in the software change life-cycle
US8443358B1 (en) 2006-02-10 2013-05-14 Citrix Systems, Inc. Hot pluggable virtual machine
US7926105B2 (en) * 2006-02-28 2011-04-12 Microsoft Corporation Using security-related attributes
US7895573B1 (en) 2006-03-27 2011-02-22 Mcafee, Inc. Execution environment file inventory
US7996901B2 (en) * 2006-03-31 2011-08-09 Lenovo (Singapore) Pte. Ltd. Hypervisor area for email virus testing
US7870387B1 (en) * 2006-04-07 2011-01-11 Mcafee, Inc. Program-based authorization
US9280662B2 (en) * 2006-04-21 2016-03-08 Hewlett Packard Enterprise Development Lp Automatic isolation of misbehaving processes on a computer system
US8352930B1 (en) 2006-04-24 2013-01-08 Mcafee, Inc. Software modification by group to minimize breakage
US8128203B2 (en) * 2006-04-28 2012-03-06 Telecom Italia S.P.A. Ink-jet printhead and manufacturing method thereof
US8555404B1 (en) 2006-05-18 2013-10-08 Mcafee, Inc. Connectivity-based authorization
US20080005472A1 (en) * 2006-06-30 2008-01-03 Microsoft Corporation Running applications from removable media
US8151352B1 (en) * 2006-07-14 2012-04-03 Bitdefender IPR Managament Ltd. Anti-malware emulation systems and methods
US8272048B2 (en) * 2006-08-04 2012-09-18 Apple Inc. Restriction of program process capabilities
US8201244B2 (en) * 2006-09-19 2012-06-12 Microsoft Corporation Automated malware signature generation
US20080126792A1 (en) * 2006-09-19 2008-05-29 Herington Daniel E Systems and methods for achieving minimal rebooting during system update operations
US8707337B2 (en) * 2006-10-31 2014-04-22 Motorola Mobility Llc Dispatch API that permits midlets to initiate dispatch calls
EP1933248A1 (de) * 2006-12-12 2008-06-18 secunet Security Networks Aktiengesellschaft Verfahren zur sicheren Datenverarbeitung auf einem Computersystem
US9424154B2 (en) 2007-01-10 2016-08-23 Mcafee, Inc. Method of and system for computer system state checks
US8332929B1 (en) 2007-01-10 2012-12-11 Mcafee, Inc. Method and apparatus for process enforced configuration management
JP2008176352A (ja) * 2007-01-16 2008-07-31 Lac Co Ltd コンピュータプログラム、コンピュータ装置、及び動作制御方法
US8561176B1 (en) 2007-01-24 2013-10-15 Mcafee, Inc. System, method and computer program product for monitoring and/or analyzing at least one aspect of an invocation of an interface
US8181264B2 (en) * 2007-02-07 2012-05-15 Apple Inc. Method and apparatus for deferred security analysis
KR101348245B1 (ko) * 2007-02-26 2014-01-08 삼성전자주식회사 보안 영역을 제공하는 장치 및 그 방법
US8856782B2 (en) * 2007-03-01 2014-10-07 George Mason Research Foundation, Inc. On-demand disposable virtual work system
US8301686B1 (en) 2007-04-16 2012-10-30 Citrix Systems, Inc. Systems and methods for decentralized computing
US20080263679A1 (en) * 2007-04-23 2008-10-23 Microsoft Corporation Storing information in closed computing devices
US20080271031A1 (en) * 2007-04-30 2008-10-30 Dan Herington Resource Partition Management in Kernel Space
US8407696B2 (en) * 2007-06-04 2013-03-26 International Business Machines Corporation Method for delivering, testing, and applying software patches or other changes to a conventionally installed application in virtual application containers
US20090064329A1 (en) * 2007-06-25 2009-03-05 Google Inc. Zero-hour quarantine of suspect electronic messages
US8739156B2 (en) * 2007-07-24 2014-05-27 Red Hat Israel, Ltd. Method for securing the execution of virtual machines
US8763115B2 (en) * 2007-08-08 2014-06-24 Vmware, Inc. Impeding progress of malicious guest software
US8250641B2 (en) * 2007-09-17 2012-08-21 Intel Corporation Method and apparatus for dynamic switching and real time security control on virtualized systems
US8782779B2 (en) * 2007-09-26 2014-07-15 Hewlett-Packard Development Company, L.P. System and method for achieving protected region within computer system
KR100945247B1 (ko) * 2007-10-04 2010-03-03 한국전자통신연구원 가상 환경을 이용한 비실행 파일 내의 악성 코드 분석 방법및 장치
DE112007003737A5 (de) * 2007-10-17 2010-09-16 N.Runs Ag Verfahren zum Erkennen des Zustands eines Codes
US8195931B1 (en) 2007-10-31 2012-06-05 Mcafee, Inc. Application change control
CN101425016B (zh) * 2007-11-01 2012-07-25 珠海金山快快科技有限公司 运行安装软件的方法和系统
US7840839B2 (en) * 2007-11-06 2010-11-23 Vmware, Inc. Storage handling for fault tolerance in virtual machines
US8099718B2 (en) * 2007-11-13 2012-01-17 Intel Corporation Method and system for whitelisting software components
US8505029B1 (en) * 2007-11-26 2013-08-06 Adobe Systems Incorporated Virtual machine communication
US8515075B1 (en) 2008-01-31 2013-08-20 Mcafee, Inc. Method of and system for malicious software detection using critical address space protection
JP2009205527A (ja) * 2008-02-28 2009-09-10 Oki Data Corp 印刷装置
US20090241192A1 (en) * 2008-03-21 2009-09-24 Thomas Andrew J Virtual machine configuration sharing between host and virtual machines and between virtual machines
US20090241194A1 (en) * 2008-03-21 2009-09-24 Andrew James Thomas Virtual machine configuration sharing between host and virtual machines and between virtual machines
US8104083B1 (en) * 2008-03-31 2012-01-24 Symantec Corporation Virtual machine file system content protection system and method
US8769702B2 (en) 2008-04-16 2014-07-01 Micosoft Corporation Application reputation service
US8615502B2 (en) 2008-04-18 2013-12-24 Mcafee, Inc. Method of and system for reverse mapping vnode pointers
US8424082B2 (en) * 2008-05-08 2013-04-16 Google Inc. Safely executing an untrusted native code module on a computing device
CN101593249B (zh) * 2008-05-30 2011-08-03 成都市华为赛门铁克科技有限公司 一种可疑文件分析方法及系统
US8356352B1 (en) * 2008-06-16 2013-01-15 Symantec Corporation Security scanner for user-generated web content
US8881284B1 (en) * 2008-06-16 2014-11-04 Symantec Operating Corporation Method and system for secure network access using a virtual machine
JP5446167B2 (ja) 2008-08-13 2014-03-19 富士通株式会社 ウイルス対策方法、コンピュータ、及びプログラム
US8261342B2 (en) * 2008-08-20 2012-09-04 Reliant Security Payment card industry (PCI) compliant architecture and associated methodology of managing a service infrastructure
US9098698B2 (en) 2008-09-12 2015-08-04 George Mason Research Foundation, Inc. Methods and apparatus for application isolation
US8850571B2 (en) * 2008-11-03 2014-09-30 Fireeye, Inc. Systems and methods for detecting malicious network content
US8997219B2 (en) 2008-11-03 2015-03-31 Fireeye, Inc. Systems and methods for detecting malicious PDF network content
US9450960B1 (en) 2008-11-05 2016-09-20 Symantec Corporation Virtual machine file system restriction system and method
US8745361B2 (en) 2008-12-02 2014-06-03 Microsoft Corporation Sandboxed execution of plug-ins
US8544003B1 (en) 2008-12-11 2013-09-24 Mcafee, Inc. System and method for managing virtual machine configurations
WO2010082161A1 (en) * 2009-01-19 2010-07-22 Koninklijke Philips Electronics N.V. Browser with dual scripting engine for privacy protection
US20100191784A1 (en) 2009-01-29 2010-07-29 Sobel William E Extending Secure Management of File Attribute Information to Virtual Hard Disks
US8065567B1 (en) * 2009-03-03 2011-11-22 Symantec Corporation Systems and methods for recording behavioral information of an unverified component
JP5423063B2 (ja) * 2009-03-05 2014-02-19 日本電気株式会社 情報処理装置と方法とプログラム
US8484625B2 (en) * 2009-04-01 2013-07-09 Motorola Mobility Llc Method and apparatus to vet an executable program using a model
EP2237200A1 (en) * 2009-04-01 2010-10-06 Alcatel Lucent Method for filtering the streaming of virtual environment content assets, a related system, network element and a related virtual environment content asset
GB2470928A (en) * 2009-06-10 2010-12-15 F Secure Oyj False alarm identification for malware using clean scanning
US9954875B2 (en) * 2009-06-26 2018-04-24 International Business Machines Corporation Protecting from unintentional malware download
US8839422B2 (en) 2009-06-30 2014-09-16 George Mason Research Foundation, Inc. Virtual browsing environment
US8797337B1 (en) 2009-07-02 2014-08-05 Google Inc. Graphics scenegraph rendering for web applications using native code modules
US8341627B2 (en) * 2009-08-21 2012-12-25 Mcafee, Inc. Method and system for providing user space address protection from writable memory area in a virtual environment
US8381284B2 (en) 2009-08-21 2013-02-19 Mcafee, Inc. System and method for enforcing security policies in a virtual environment
US8627451B2 (en) * 2009-08-21 2014-01-07 Red Hat, Inc. Systems and methods for providing an isolated execution environment for accessing untrusted content
US8839421B2 (en) * 2009-08-31 2014-09-16 Blackberry Limited System and method for controlling applications to mitigate the effects of malicious software
US8800030B2 (en) 2009-09-15 2014-08-05 Symantec Corporation Individualized time-to-live for reputation scores of computer files
JP4852638B2 (ja) * 2009-09-28 2012-01-11 株式会社沖データ メール管理装置、複合装置、及び通信方法
US8832829B2 (en) 2009-09-30 2014-09-09 Fireeye, Inc. Network-based binary file extraction and analysis for malware detection
JP5472604B2 (ja) * 2009-10-08 2014-04-16 日本電気株式会社 プロセス検疫装置、検疫システム、ファイル処理方法、及びプログラム
US9552497B2 (en) * 2009-11-10 2017-01-24 Mcafee, Inc. System and method for preventing data loss using virtual machine wrapped applications
US8479286B2 (en) * 2009-12-15 2013-07-02 Mcafee, Inc. Systems and methods for behavioral sandboxing
US9684785B2 (en) * 2009-12-17 2017-06-20 Red Hat, Inc. Providing multiple isolated execution environments for securely accessing untrusted content
US8850572B2 (en) * 2010-01-15 2014-09-30 Apple Inc. Methods for handling a file associated with a program in a restricted program environment
US9052919B2 (en) * 2010-01-15 2015-06-09 Apple Inc. Specialized network fileserver
WO2011143103A2 (en) * 2010-05-10 2011-11-17 Citrix Systems, Inc. Redirection of information from secure virtual machines to unsecure virtual machines
US9106624B2 (en) 2010-05-16 2015-08-11 James Thomas Hudson, JR. System security for network resource access using cross firewall coded requests
US9104837B1 (en) * 2012-06-18 2015-08-11 Bromium, Inc. Exposing subset of host file systems to restricted virtual machines based on upon performing user-initiated actions against host files
US8943550B2 (en) * 2010-05-28 2015-01-27 Apple Inc. File system access for one or more sandboxed applications
US8473961B2 (en) 2011-01-14 2013-06-25 Apple Inc. Methods to generate security profile for restricting resources used by a program based on entitlements of the program
US8365192B2 (en) 2011-01-14 2013-01-29 Apple Inc. Methods for managing authority designation of graphical user interfaces
US8782434B1 (en) 2010-07-15 2014-07-15 The Research Foundation For The State University Of New York System and method for validating program execution at run-time
US8938800B2 (en) 2010-07-28 2015-01-20 Mcafee, Inc. System and method for network level protection against malicious software
US8925101B2 (en) 2010-07-28 2014-12-30 Mcafee, Inc. System and method for local protection against malicious software
US11080396B1 (en) * 2010-08-04 2021-08-03 Open Invention Network Llc Secure downloads
US8549003B1 (en) 2010-09-12 2013-10-01 Mcafee, Inc. System and method for clustering host inventories
US8959451B2 (en) * 2010-09-24 2015-02-17 Blackberry Limited Launching an application based on data classification
CN101959193A (zh) * 2010-09-26 2011-01-26 宇龙计算机通信科技(深圳)有限公司 一种信息安全检测方法及移动终端
CA2816298A1 (en) * 2010-10-31 2012-05-03 Mark Lowell Tucker System and method for securing virtual computing environments
US20120159127A1 (en) * 2010-12-16 2012-06-21 Microsoft Corporation Security sandbox
CN102122330B (zh) * 2011-01-24 2014-12-03 中国人民解放军国防科学技术大学 基于虚拟机的“In-VM”恶意代码检测系统
US9075993B2 (en) 2011-01-24 2015-07-07 Mcafee, Inc. System and method for selectively grouping and managing program files
JP5739182B2 (ja) 2011-02-04 2015-06-24 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 制御システム、方法およびプログラム
JP5731223B2 (ja) 2011-02-14 2015-06-10 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 異常検知装置、監視制御システム、異常検知方法、プログラムおよび記録媒体
JP5689333B2 (ja) * 2011-02-15 2015-03-25 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 異常検知システム、異常検知装置、異常検知方法、プログラムおよび記録媒体
US9027151B2 (en) 2011-02-17 2015-05-05 Red Hat, Inc. Inhibiting denial-of-service attacks using group controls
US9292324B2 (en) 2011-02-18 2016-03-22 Telefonaktiebolaget L M Ericsson (Publ) Virtual machine supervision by machine code rewriting to inject policy rule
US9112830B2 (en) 2011-02-23 2015-08-18 Mcafee, Inc. System and method for interlocking a host and a gateway
CN102184356B (zh) * 2011-04-21 2014-04-02 奇智软件(北京)有限公司 利用沙箱技术进行防御的方法、装置及安全浏览器
CN104050411A (zh) * 2011-04-21 2014-09-17 北京奇虎科技有限公司 主动防御方法
CN103514401A (zh) * 2011-04-21 2014-01-15 北京奇虎科技有限公司 利用沙箱技术进行防御的方法、装置及安全浏览器
CN103942488B (zh) * 2011-04-21 2017-06-23 北京奇虎科技有限公司 利用沙箱技术进行防御的方法、装置及安全浏览器
US8904537B2 (en) * 2011-05-09 2014-12-02 F—Secure Corporation Malware detection
US8555388B1 (en) 2011-05-24 2013-10-08 Palo Alto Networks, Inc. Heuristic botnet detection
CN102222292B (zh) * 2011-05-27 2013-08-14 北京洋浦伟业科技发展有限公司 一种手机支付保护方法
CN102184372B (zh) * 2011-05-27 2013-06-19 北京洋浦伟业科技发展有限公司 一种基于逆向沙箱的手机支付保护方法
US8601579B2 (en) 2011-06-03 2013-12-03 Apple Inc. System and method for preserving references in sandboxes
CN102289628A (zh) * 2011-07-21 2011-12-21 浙江大学城市学院 基于沙箱技术的shell脚本安全运行方法及系统
CN102254120B (zh) * 2011-08-09 2014-05-21 华为数字技术(成都)有限公司 恶意代码的检测方法、系统及相关装置
US8707434B2 (en) 2011-08-17 2014-04-22 Mcafee, Inc. System and method for indirect interface monitoring and plumb-lining
US9594881B2 (en) 2011-09-09 2017-03-14 Mcafee, Inc. System and method for passive threat detection using virtual memory inspection
RU2014112261A (ru) 2011-09-15 2015-10-20 Зе Трастис Оф Коламбия Юниверсити Ин Зе Сити Оф Нью-Йорк Системы, способы и носители информации для обнаружения полезных нагрузок возвратно-ориентированного программирования
US8694738B2 (en) 2011-10-11 2014-04-08 Mcafee, Inc. System and method for critical address space protection in a hypervisor environment
US9069586B2 (en) 2011-10-13 2015-06-30 Mcafee, Inc. System and method for kernel rootkit protection in a hypervisor environment
US8973144B2 (en) 2011-10-13 2015-03-03 Mcafee, Inc. System and method for kernel rootkit protection in a hypervisor environment
US8800024B2 (en) 2011-10-17 2014-08-05 Mcafee, Inc. System and method for host-initiated firewall discovery in a network environment
US8713668B2 (en) 2011-10-17 2014-04-29 Mcafee, Inc. System and method for redirected firewall discovery in a network environment
TWI619038B (zh) * 2011-11-07 2018-03-21 Admedec Co Ltd Safety box
EP2795829B1 (en) * 2011-11-16 2020-05-20 V-Key Inc Cryptographic system and methodology for securing software cryptography
WO2013082437A1 (en) 2011-12-02 2013-06-06 Invincia, Inc. Methods and apparatus for control and detection of malicious content using a sandbox environment
US10255587B2 (en) * 2012-01-18 2019-04-09 Microsoft Technology Licensing, Llc System and method for blended presentation of locally and remotely stored electronic messages
US8667594B1 (en) 2012-03-13 2014-03-04 Bromium, Inc. Securing file trust with file format conversions
US8719933B1 (en) 2012-03-13 2014-05-06 Bromium, Inc. Safe printing
US9349008B1 (en) 2012-03-13 2016-05-24 Bromium, Inc. Safe printing
US8739272B1 (en) 2012-04-02 2014-05-27 Mcafee, Inc. System and method for interlocking a host and a gateway
CN102760212B (zh) * 2012-05-31 2015-04-01 北京朋创天地科技有限公司 一种基于存储镜像克隆机制虚拟桌面恶意代码检测方法
US11023088B2 (en) * 2012-06-18 2021-06-01 Hewlett-Packard Development Company, L.P. Composing the display of a virtualized web browser
US9483635B2 (en) * 2012-08-03 2016-11-01 North Carolina State University Methods, systems, and computer readable medium for active monitoring, memory protection and integrity verification of target devices
US9898445B2 (en) * 2012-08-16 2018-02-20 Qualcomm Incorporated Resource prefetching via sandboxed execution
US9047108B1 (en) * 2012-09-07 2015-06-02 Symantec Corporation Systems and methods for migrating replicated virtual machine disks
US9063721B2 (en) 2012-09-14 2015-06-23 The Research Foundation For The State University Of New York Continuous run-time validation of program execution: a practical approach
US9104870B1 (en) 2012-09-28 2015-08-11 Palo Alto Networks, Inc. Detecting malware
US9215239B1 (en) 2012-09-28 2015-12-15 Palo Alto Networks, Inc. Malware detection based on traffic analysis
US9069782B2 (en) 2012-10-01 2015-06-30 The Research Foundation For The State University Of New York System and method for security and privacy aware virtual machine checkpointing
US9135436B2 (en) * 2012-10-19 2015-09-15 The Aerospace Corporation Execution stack securing process
US9003479B2 (en) * 2012-12-11 2015-04-07 International Business Machines Corporation Uniformly transforming the characteristics of a production environment
GB2513535A (en) * 2012-12-14 2014-11-05 Ibm Software installer with built-in hypervisor
US8973146B2 (en) 2012-12-27 2015-03-03 Mcafee, Inc. Herd based scan avoidance system in a network environment
US10572665B2 (en) 2012-12-28 2020-02-25 Fireeye, Inc. System and method to create a number of breakpoints in a virtual machine via virtual machine trapping events
EP2759956B1 (en) * 2013-01-25 2017-01-11 Synopsys, Inc. System for testing computer application
CN103971051A (zh) * 2013-01-28 2014-08-06 腾讯科技(深圳)有限公司 一种文件隔离方法、装置和系统
US9208317B2 (en) * 2013-02-17 2015-12-08 Check Point Software Technologies Ltd. Simultaneous screening of untrusted digital files
CN103150506B (zh) * 2013-02-17 2016-03-30 北京奇虎科技有限公司 一种恶意程序检测的方法和装置
US9367681B1 (en) 2013-02-23 2016-06-14 Fireeye, Inc. Framework for efficient security coverage of mobile software applications using symbolic execution to reach regions of interest within an application
US9195829B1 (en) 2013-02-23 2015-11-24 Fireeye, Inc. User interface with real-time visual playback along with synchronous textual analysis log display and event/time index for anomalous behavior detection in applications
US9176843B1 (en) 2013-02-23 2015-11-03 Fireeye, Inc. Framework for efficient security coverage of mobile software applications
US8990944B1 (en) 2013-02-23 2015-03-24 Fireeye, Inc. Systems and methods for automatically detecting backdoors
US9009823B1 (en) 2013-02-23 2015-04-14 Fireeye, Inc. Framework for efficient security coverage of mobile software applications installed on mobile devices
US10713356B2 (en) * 2013-03-04 2020-07-14 Crowdstrike, Inc. Deception-based responses to security attacks
US20140259171A1 (en) * 2013-03-11 2014-09-11 Spikes, Inc. Tunable intrusion prevention with forensic analysis
US9626509B1 (en) 2013-03-13 2017-04-18 Fireeye, Inc. Malicious content analysis with multi-version application support within single operating environment
US10579405B1 (en) * 2013-03-13 2020-03-03 Amazon Technologies, Inc. Parallel virtual machine managers
US9104867B1 (en) * 2013-03-13 2015-08-11 Fireeye, Inc. Malicious content analysis using simulated user interaction without user involvement
US9355247B1 (en) * 2013-03-13 2016-05-31 Fireeye, Inc. File extraction from memory dump for malicious content analysis
US9311479B1 (en) 2013-03-14 2016-04-12 Fireeye, Inc. Correlation and consolidation of analytic data for holistic view of a malware attack
US9430646B1 (en) 2013-03-14 2016-08-30 Fireeye, Inc. Distributed systems and methods for automatically detecting unknown bots and botnets
US10713358B2 (en) 2013-03-15 2020-07-14 Fireeye, Inc. System and method to extract and utilize disassembly features to classify software intent
US9413781B2 (en) 2013-03-15 2016-08-09 Fireeye, Inc. System and method employing structured intelligence to verify and contain threats at endpoints
CN103207969B (zh) * 2013-04-12 2016-10-05 百度在线网络技术(北京)有限公司 检测Android恶意软件的装置以及方法
US9495180B2 (en) 2013-05-10 2016-11-15 Fireeye, Inc. Optimized resource allocation for virtual machines within a malware content detection system
US9635039B1 (en) 2013-05-13 2017-04-25 Fireeye, Inc. Classifying sets of malicious indicators for detecting command and control communications associated with malware
CN104134034B (zh) 2013-06-13 2015-10-21 腾讯科技(深圳)有限公司 控制应用运行的方法和装置
US10133863B2 (en) 2013-06-24 2018-11-20 Fireeye, Inc. Zero-day discovery system
US9300686B2 (en) 2013-06-28 2016-03-29 Fireeye, Inc. System and method for detecting malicious links in electronic messages
US9794275B1 (en) * 2013-06-28 2017-10-17 Symantec Corporation Lightweight replicas for securing cloud-based services
WO2016059846A1 (ja) * 2014-10-14 2016-04-21 デジタルア-ツ株式会社 情報処理装置及びプログラム
US10019575B1 (en) 2013-07-30 2018-07-10 Palo Alto Networks, Inc. Evaluating malware in a virtual machine using copy-on-write
US9811665B1 (en) 2013-07-30 2017-11-07 Palo Alto Networks, Inc. Static and dynamic security analysis of apps for mobile devices
US9613210B1 (en) 2013-07-30 2017-04-04 Palo Alto Networks, Inc. Evaluating malware in a virtual machine using dynamic patching
US9628507B2 (en) 2013-09-30 2017-04-18 Fireeye, Inc. Advanced persistent threat (APT) detection center
US9294501B2 (en) 2013-09-30 2016-03-22 Fireeye, Inc. Fuzzy hash of behavioral results
US9690936B1 (en) 2013-09-30 2017-06-27 Fireeye, Inc. Multistage system and method for analyzing obfuscated content for malware
US9171160B2 (en) 2013-09-30 2015-10-27 Fireeye, Inc. Dynamically adaptive framework and method for classifying malware using intelligent static, emulation, and dynamic analyses
US9736179B2 (en) 2013-09-30 2017-08-15 Fireeye, Inc. System, apparatus and method for using malware analysis results to drive adaptive instrumentation of virtual machines to improve exploit detection
US10515214B1 (en) 2013-09-30 2019-12-24 Fireeye, Inc. System and method for classifying malware within content created during analysis of a specimen
WO2015060857A1 (en) 2013-10-24 2015-04-30 Mcafee, Inc. Agent assisted malicious application blocking in a network environment
US9921978B1 (en) 2013-11-08 2018-03-20 Fireeye, Inc. System and method for enhanced security of storage devices
US20150143375A1 (en) * 2013-11-18 2015-05-21 Unisys Corporation Transaction execution in systems without transaction support
US9195833B2 (en) * 2013-11-19 2015-11-24 Veracode, Inc. System and method for implementing application policies among development environments
US9747446B1 (en) 2013-12-26 2017-08-29 Fireeye, Inc. System and method for run-time object classification
US9756074B2 (en) 2013-12-26 2017-09-05 Fireeye, Inc. System and method for IPS and VM-based detection of suspicious objects
US9740857B2 (en) 2014-01-16 2017-08-22 Fireeye, Inc. Threat-aware microvisor
US20150222665A1 (en) * 2014-01-31 2015-08-06 Peter Eberlein Restricting user actions based on document classification
US9262635B2 (en) 2014-02-05 2016-02-16 Fireeye, Inc. Detection efficacy of virtual machine-based analysis with application specific events
US9241010B1 (en) 2014-03-20 2016-01-19 Fireeye, Inc. System and method for network behavior detection
US10242185B1 (en) 2014-03-21 2019-03-26 Fireeye, Inc. Dynamic guest image creation and rollback
US9591015B1 (en) 2014-03-28 2017-03-07 Fireeye, Inc. System and method for offloading packet processing and static analysis operations
US20150278512A1 (en) * 2014-03-28 2015-10-01 Intel Corporation Virtualization based intra-block workload isolation
US9432389B1 (en) 2014-03-31 2016-08-30 Fireeye, Inc. System, apparatus and method for detecting a malicious attack based on static analysis of a multi-flow object
US9223972B1 (en) 2014-03-31 2015-12-29 Fireeye, Inc. Dynamically remote tuning of a malware content detection system
TWI507912B (zh) * 2014-04-03 2015-11-11 Wistron Corp 輸出入重定向方法、輸出入指令虛擬化系統與方法以及其電腦程式產品
US9552365B2 (en) 2014-05-31 2017-01-24 Institute For Information Industry Secure synchronization apparatus, method, and non-transitory computer readable storage medium thereof
US9973531B1 (en) * 2014-06-06 2018-05-15 Fireeye, Inc. Shellcode detection
US9594912B1 (en) 2014-06-06 2017-03-14 Fireeye, Inc. Return-oriented programming detection
US9438623B1 (en) 2014-06-06 2016-09-06 Fireeye, Inc. Computer exploit detection using heap spray pattern matching
US9766981B2 (en) 2014-06-10 2017-09-19 Institute For Information Industry Synchronization apparatus, method, and non-transitory computer readable storage medium
CN106663170B (zh) * 2014-06-17 2019-06-25 日本电信电话株式会社 信息处理系统、控制方法
US9742752B1 (en) * 2014-06-20 2017-08-22 Ca, Inc. Data backup and self-service data restoration
US10084813B2 (en) 2014-06-24 2018-09-25 Fireeye, Inc. Intrusion prevention and remedy system
US10805340B1 (en) 2014-06-26 2020-10-13 Fireeye, Inc. Infection vector and malware tracking with an interactive user display
US9398028B1 (en) 2014-06-26 2016-07-19 Fireeye, Inc. System, device and method for detecting a malicious attack based on communcations between remotely hosted virtual machines and malicious web servers
US9680862B2 (en) * 2014-07-01 2017-06-13 Fireeye, Inc. Trusted threat-aware microvisor
US10002252B2 (en) 2014-07-01 2018-06-19 Fireeye, Inc. Verification of trusted threat-aware microvisor
US9489516B1 (en) 2014-07-14 2016-11-08 Palo Alto Networks, Inc. Detection of malware using an instrumented virtual machine environment
US10032027B2 (en) 2014-07-29 2018-07-24 Digital Arts Inc. Information processing apparatus and program for executing an electronic data in an execution environment
US9363280B1 (en) 2014-08-22 2016-06-07 Fireeye, Inc. System and method of detecting delivery of malware using cross-customer data
US10671726B1 (en) 2014-09-22 2020-06-02 Fireeye Inc. System and method for malware analysis using thread-level event monitoring
CN105447382A (zh) * 2014-09-28 2016-03-30 北京云巢动脉科技有限公司 一种基于沙箱的软件注册表重定向方法及系统
US9773112B1 (en) 2014-09-29 2017-09-26 Fireeye, Inc. Exploit detection of malware and malware families
US10027689B1 (en) 2014-09-29 2018-07-17 Fireeye, Inc. Interactive infection visualization for improved exploit detection and signature generation for malware and malware families
CN104376265A (zh) * 2014-10-30 2015-02-25 广东电子工业研究院有限公司 一种用于计算机信息系统安全等级保护的综合定级方法
US11063956B2 (en) * 2014-11-14 2021-07-13 Adobe Inc. Protecting documents from cross-site scripting attacks
US9535731B2 (en) * 2014-11-21 2017-01-03 International Business Machines Corporation Dynamic security sandboxing based on intruder intent
CN104375494B (zh) * 2014-12-02 2017-02-22 北京奇虎科技有限公司 安全沙箱构造方法及装置
US9542554B1 (en) 2014-12-18 2017-01-10 Palo Alto Networks, Inc. Deduplicating malware
US9805193B1 (en) 2014-12-18 2017-10-31 Palo Alto Networks, Inc. Collecting algorithmically generated domains
US9690933B1 (en) 2014-12-22 2017-06-27 Fireeye, Inc. Framework for classifying an object as malicious with machine learning for deploying updated predictive models
US10075455B2 (en) 2014-12-26 2018-09-11 Fireeye, Inc. Zero-day rotating guest image profile
US9934376B1 (en) 2014-12-29 2018-04-03 Fireeye, Inc. Malware detection appliance architecture
US9838417B1 (en) 2014-12-30 2017-12-05 Fireeye, Inc. Intelligent context aware user interaction for malware detection
US9690606B1 (en) 2015-03-25 2017-06-27 Fireeye, Inc. Selective system call monitoring
US10148693B2 (en) 2015-03-25 2018-12-04 Fireeye, Inc. Exploit detection system
US9438613B1 (en) 2015-03-30 2016-09-06 Fireeye, Inc. Dynamic content activation for automated analysis of embedded objects
US9646159B2 (en) * 2015-03-31 2017-05-09 Juniper Networks, Inc. Multi-file malware analysis
US10417031B2 (en) 2015-03-31 2019-09-17 Fireeye, Inc. Selective virtualization for security threat detection
US9483644B1 (en) 2015-03-31 2016-11-01 Fireeye, Inc. Methods for detecting file altering malware in VM based analysis
US10474813B1 (en) 2015-03-31 2019-11-12 Fireeye, Inc. Code injection technique for remediation at an endpoint of a network
US9654485B1 (en) 2015-04-13 2017-05-16 Fireeye, Inc. Analytics-based security monitoring system and method
US9594904B1 (en) 2015-04-23 2017-03-14 Fireeye, Inc. Detecting malware based on reflection
US11113086B1 (en) 2015-06-30 2021-09-07 Fireeye, Inc. Virtual system and method for securing external network connectivity
US10454950B1 (en) 2015-06-30 2019-10-22 Fireeye, Inc. Centralized aggregation technique for detecting lateral movement of stealthy cyber-attacks
US10642753B1 (en) 2015-06-30 2020-05-05 Fireeye, Inc. System and method for protecting a software component running in virtual machine using a virtualization layer
RU2618947C2 (ru) 2015-06-30 2017-05-11 Закрытое акционерное общество "Лаборатория Касперского" Способ предотвращения работы программ, содержащих нежелательный для пользователя функционал
US10726127B1 (en) 2015-06-30 2020-07-28 Fireeye, Inc. System and method for protecting a software component running in a virtual machine through virtual interrupts by the virtualization layer
US10715542B1 (en) 2015-08-14 2020-07-14 Fireeye, Inc. Mobile application risk analysis
CN105138903B (zh) * 2015-08-14 2018-07-10 电子科技大学 一种基于ret指令与jmp指令的rop攻击检测方法
US10176321B2 (en) 2015-09-22 2019-01-08 Fireeye, Inc. Leveraging behavior-based rules for malware family classification
RU2606877C1 (ru) 2015-09-28 2017-01-10 Общество С Ограниченной Ответственностью "Яндекс" Система и способ обработки данных в исполняемой на компьютере системе
US10033747B1 (en) 2015-09-29 2018-07-24 Fireeye, Inc. System and method for detecting interpreter-based exploit attacks
US10817606B1 (en) 2015-09-30 2020-10-27 Fireeye, Inc. Detecting delayed activation malware using a run-time monitoring agent and time-dilation logic
US9825976B1 (en) 2015-09-30 2017-11-21 Fireeye, Inc. Detection and classification of exploit kits
US10601865B1 (en) 2015-09-30 2020-03-24 Fireeye, Inc. Detection of credential spearphishing attacks using email analysis
US9825989B1 (en) 2015-09-30 2017-11-21 Fireeye, Inc. Cyber attack early warning system
US10210329B1 (en) 2015-09-30 2019-02-19 Fireeye, Inc. Method to detect application execution hijacking using memory protection
US10706149B1 (en) 2015-09-30 2020-07-07 Fireeye, Inc. Detecting delayed activation malware using a primary controller and plural time controllers
US11637866B2 (en) * 2015-10-28 2023-04-25 Qomplx, Inc. System and method for the secure evaluation of cyber detection products
CN109074456A (zh) * 2015-10-29 2018-12-21 江格 二阶段过滤的计算机攻击阻挡方法以及使用该方法的装置
US10284575B2 (en) 2015-11-10 2019-05-07 Fireeye, Inc. Launcher for setting analysis environment variations for malware detection
US10447728B1 (en) 2015-12-10 2019-10-15 Fireeye, Inc. Technique for protecting guest processes using a layered virtualization architecture
US10846117B1 (en) 2015-12-10 2020-11-24 Fireeye, Inc. Technique for establishing secure communication between host and guest processes of a virtualization architecture
US10108446B1 (en) 2015-12-11 2018-10-23 Fireeye, Inc. Late load technique for deploying a virtualization layer underneath a running operating system
US10565378B1 (en) 2015-12-30 2020-02-18 Fireeye, Inc. Exploit of privilege detection framework
US10133866B1 (en) 2015-12-30 2018-11-20 Fireeye, Inc. System and method for triggering analysis of an object for malware in response to modification of that object
US10050998B1 (en) 2015-12-30 2018-08-14 Fireeye, Inc. Malicious message analysis system
US10621338B1 (en) 2015-12-30 2020-04-14 Fireeye, Inc. Method to detect forgery and exploits using last branch recording registers
US9824216B1 (en) 2015-12-31 2017-11-21 Fireeye, Inc. Susceptible environment detection system
US10417414B2 (en) * 2015-12-31 2019-09-17 Cybereason, Inc. Baseline calculation for firewalling
US10581874B1 (en) 2015-12-31 2020-03-03 Fireeye, Inc. Malware detection system with contextual analysis
CN105653938A (zh) * 2015-12-31 2016-06-08 中国电子科技网络信息安全有限公司 一种用于虚拟机的沙箱保护系统及方法
US11552986B1 (en) 2015-12-31 2023-01-10 Fireeye Security Holdings Us Llc Cyber-security framework for application of virtual features
US10474589B1 (en) * 2016-03-02 2019-11-12 Janus Technologies, Inc. Method and apparatus for side-band management of security for a server computer
US10671721B1 (en) 2016-03-25 2020-06-02 Fireeye, Inc. Timeout management services
US10476906B1 (en) 2016-03-25 2019-11-12 Fireeye, Inc. System and method for managing formation and modification of a cluster within a malware detection system
US10601863B1 (en) 2016-03-25 2020-03-24 Fireeye, Inc. System and method for managing sensor enrollment
US10785255B1 (en) 2016-03-25 2020-09-22 Fireeye, Inc. Cluster configuration within a scalable malware detection system
US10893059B1 (en) 2016-03-31 2021-01-12 Fireeye, Inc. Verification and enhancement using detection systems located at the network periphery and endpoint devices
US10826933B1 (en) 2016-03-31 2020-11-03 Fireeye, Inc. Technique for verifying exploit/malware at malware detection appliance through correlation with endpoints
US10700894B2 (en) 2016-06-01 2020-06-30 At&T Intellectual Property I, L.P. Network caching of outbound content from endpoint device to prevent unauthorized extraction
US10169585B1 (en) 2016-06-22 2019-01-01 Fireeye, Inc. System and methods for advanced malware detection through placement of transition events
US10552624B2 (en) 2016-06-24 2020-02-04 Xattic, Inc. Methods and a system for inoculating inter-device communication
WO2018004572A1 (en) * 2016-06-29 2018-01-04 Sophos Limited Sandbox environment for document preview and analysis
US10462173B1 (en) 2016-06-30 2019-10-29 Fireeye, Inc. Malware detection verification and enhancement by coordinating endpoint and malware detection systems
CN107786413B (zh) * 2016-08-24 2022-03-22 中兴通讯股份有限公司 一种浏览电子邮件的方法及用户终端
US10122739B2 (en) * 2016-08-31 2018-11-06 Dell Products L.P. Rootkit detection system and method
US10592678B1 (en) 2016-09-09 2020-03-17 Fireeye, Inc. Secure communications between peers using a verified virtual trusted platform module
US10491627B1 (en) 2016-09-29 2019-11-26 Fireeye, Inc. Advanced malware detection using similarity analysis
US10795991B1 (en) 2016-11-08 2020-10-06 Fireeye, Inc. Enterprise search
US10587647B1 (en) 2016-11-22 2020-03-10 Fireeye, Inc. Technique for malware detection capability comparison of network security devices
CN106815525B (zh) * 2016-12-13 2020-03-31 北京元心科技有限公司 数据传递方法及装置
US10581879B1 (en) 2016-12-22 2020-03-03 Fireeye, Inc. Enhanced malware detection for generated objects
US10552610B1 (en) 2016-12-22 2020-02-04 Fireeye, Inc. Adaptive virtual machine snapshot update framework for malware behavioral analysis
US10523609B1 (en) 2016-12-27 2019-12-31 Fireeye, Inc. Multi-vector malware detection and analysis
RU2665911C2 (ru) * 2017-02-08 2018-09-04 Акционерное общество "Лаборатория Касперского" Система и способ анализа файла на вредоносность в виртуальной машине
US11314870B1 (en) * 2017-03-14 2022-04-26 Melih Abdulhayoglu Auto-containment of potentially vulnerable applications
US10904286B1 (en) 2017-03-24 2021-01-26 Fireeye, Inc. Detection of phishing attacks using similarity analysis
US11423140B1 (en) 2017-03-27 2022-08-23 Melih Abdulhayoglu Auto-containment of guest user applications
US10791138B1 (en) 2017-03-30 2020-09-29 Fireeye, Inc. Subscription-based malware detection
US10798112B2 (en) 2017-03-30 2020-10-06 Fireeye, Inc. Attribute-controlled malware detection
US10554507B1 (en) 2017-03-30 2020-02-04 Fireeye, Inc. Multi-level control for enhanced resource and object evaluation management of malware detection system
US10902119B1 (en) 2017-03-30 2021-01-26 Fireeye, Inc. Data extraction system for malware analysis
US10951644B1 (en) 2017-04-07 2021-03-16 Comodo Security Solutions, Inc. Auto-containment of potentially vulnerable applications
US10855700B1 (en) 2017-06-29 2020-12-01 Fireeye, Inc. Post-intrusion detection of cyber-attacks during lateral movement within networks
US10503904B1 (en) 2017-06-29 2019-12-10 Fireeye, Inc. Ransomware detection and mitigation
US10601848B1 (en) 2017-06-29 2020-03-24 Fireeye, Inc. Cyber-security system and method for weak indicator detection and correlation to generate strong indicators
US10893068B1 (en) 2017-06-30 2021-01-12 Fireeye, Inc. Ransomware file modification prevention technique
US10708297B2 (en) 2017-08-25 2020-07-07 Ecrime Management Strategies, Inc. Security system for detection and mitigation of malicious communications
US11062021B2 (en) * 2017-08-29 2021-07-13 NortonLifeLock Inc. Systems and methods for preventing malicious applications from exploiting application services
US10747872B1 (en) 2017-09-27 2020-08-18 Fireeye, Inc. System and method for preventing malware evasion
US10805346B2 (en) 2017-10-01 2020-10-13 Fireeye, Inc. Phishing attack detection
US11108809B2 (en) 2017-10-27 2021-08-31 Fireeye, Inc. System and method for analyzing binary code for malware classification using artificial neural network techniques
US10572283B2 (en) * 2017-11-16 2020-02-25 International Business Machines Corporation Implementing requests on a model of a system prior to implementing on the system
US11005860B1 (en) 2017-12-28 2021-05-11 Fireeye, Inc. Method and system for efficient cybersecurity analysis of endpoint events
US11271955B2 (en) 2017-12-28 2022-03-08 Fireeye Security Holdings Us Llc Platform and method for retroactive reclassification employing a cybersecurity-based global data store
US11240275B1 (en) 2017-12-28 2022-02-01 Fireeye Security Holdings Us Llc Platform and method for performing cybersecurity analyses employing an intelligence hub with a modular architecture
RU2680736C1 (ru) * 2018-01-17 2019-02-26 Общество с ограниченной ответственностью "Группа АйБи ТДС" Сервер и способ для определения вредоносных файлов в сетевом трафике
US11010233B1 (en) 2018-01-18 2021-05-18 Pure Storage, Inc Hardware-based system monitoring
CN108337153B (zh) * 2018-01-19 2020-10-23 论客科技(广州)有限公司 一种邮件的监控方法、系统与装置
US10803167B1 (en) 2018-02-20 2020-10-13 NortonLifeLock, Inc. Systems and methods for executing application launchers
US10826931B1 (en) 2018-03-29 2020-11-03 Fireeye, Inc. System and method for predicting and mitigating cybersecurity system misconfigurations
US11558401B1 (en) 2018-03-30 2023-01-17 Fireeye Security Holdings Us Llc Multi-vector malware detection data sharing system for improved detection
US10956477B1 (en) 2018-03-30 2021-03-23 Fireeye, Inc. System and method for detecting malicious scripts through natural language processing modeling
US11003773B1 (en) 2018-03-30 2021-05-11 Fireeye, Inc. System and method for automatically generating malware detection rule recommendations
US10776482B2 (en) 2018-05-18 2020-09-15 International Business Machines Corporation Automated virtual machine integrity checks
US10747874B2 (en) * 2018-05-22 2020-08-18 NortonLifeLock, Inc. Systems and methods for controlling an application launch based on a security policy
US11314859B1 (en) 2018-06-27 2022-04-26 FireEye Security Holdings, Inc. Cyber-security system and method for detecting escalation of privileges within an access token
US11075930B1 (en) 2018-06-27 2021-07-27 Fireeye, Inc. System and method for detecting repetitive cybersecurity attacks constituting an email campaign
US11228491B1 (en) 2018-06-28 2022-01-18 Fireeye Security Holdings Us Llc System and method for distributed cluster configuration monitoring and management
US11316900B1 (en) 2018-06-29 2022-04-26 FireEye Security Holdings Inc. System and method for automatically prioritizing rules for cyber-threat detection and mitigation
US10956573B2 (en) 2018-06-29 2021-03-23 Palo Alto Networks, Inc. Dynamic analysis techniques for applications
US11010474B2 (en) 2018-06-29 2021-05-18 Palo Alto Networks, Inc. Dynamic analysis techniques for applications
US11182473B1 (en) 2018-09-13 2021-11-23 Fireeye Security Holdings Us Llc System and method for mitigating cyberattacks against processor operability by a guest process
US11763004B1 (en) 2018-09-27 2023-09-19 Fireeye Security Holdings Us Llc System and method for bootkit detection
KR102510846B1 (ko) 2018-10-04 2023-03-16 삼성전자주식회사 전자 장치 및 그의 제어방법
US11178171B2 (en) 2018-12-04 2021-11-16 International Business Machines Corporation Security mechanism for suspicious files
US11176251B1 (en) 2018-12-21 2021-11-16 Fireeye, Inc. Determining malware via symbolic function hash analysis
US11368475B1 (en) 2018-12-21 2022-06-21 Fireeye Security Holdings Us Llc System and method for scanning remote services to locate stored objects with malware
US11743290B2 (en) 2018-12-21 2023-08-29 Fireeye Security Holdings Us Llc System and method for detecting cyberattacks impersonating legitimate sources
US12074887B1 (en) 2018-12-21 2024-08-27 Musarubra Us Llc System and method for selectively processing content after identification and removal of malicious content
US11601444B1 (en) 2018-12-31 2023-03-07 Fireeye Security Holdings Us Llc Automated system for triage of customer issues
US11310238B1 (en) 2019-03-26 2022-04-19 FireEye Security Holdings, Inc. System and method for retrieval and analysis of operational data from customer, cloud-hosted virtual resources
US11677786B1 (en) 2019-03-29 2023-06-13 Fireeye Security Holdings Us Llc System and method for detecting and protecting against cybersecurity attacks on servers
US11636198B1 (en) 2019-03-30 2023-04-25 Fireeye Security Holdings Us Llc System and method for cybersecurity analyzer update and concurrent management system
US11258806B1 (en) 2019-06-24 2022-02-22 Mandiant, Inc. System and method for automatically associating cybersecurity intelligence to cyberthreat actors
US11556640B1 (en) 2019-06-27 2023-01-17 Mandiant, Inc. Systems and methods for automated cybersecurity analysis of extracted binary string sets
US12445458B1 (en) 2019-06-28 2025-10-14 Google Llc System and method for identifying malicious hosts prior to commencement of a cyber-attack
US11392700B1 (en) 2019-06-28 2022-07-19 Fireeye Security Holdings Us Llc System and method for supporting cross-platform data verification
US12200013B2 (en) 2019-08-07 2025-01-14 Musarubra Us Llc System and method for detecting cyberattacks impersonating legitimate sources
US11113389B1 (en) 2019-08-15 2021-09-07 NortonLifeLock Inc. Systems and methods for providing persistent visual warnings for application launchers
US11196765B2 (en) 2019-09-13 2021-12-07 Palo Alto Networks, Inc. Simulating user interactions for malware analysis
US11886585B1 (en) 2019-09-27 2024-01-30 Musarubra Us Llc System and method for identifying and mitigating cyberattacks through malicious position-independent code execution
US11637862B1 (en) 2019-09-30 2023-04-25 Mandiant, Inc. System and method for surfacing cyber-security threats with a self-learning recommendation engine
DE102019129253B4 (de) 2019-10-30 2023-02-09 Hans-Jürgen Kuhn Verfahren und Computer-System zur Abwehr eines Angriffes von Schadsoftware durch elektronische Nachrichten
US11675898B2 (en) 2019-11-22 2023-06-13 Pure Storage, Inc. Recovery dataset management for security threat monitoring
US12050683B2 (en) 2019-11-22 2024-07-30 Pure Storage, Inc. Selective control of a data synchronization setting of a storage system based on a possible ransomware attack against the storage system
US11625481B2 (en) 2019-11-22 2023-04-11 Pure Storage, Inc. Selective throttling of operations potentially related to a security threat to a storage system
US12079356B2 (en) * 2019-11-22 2024-09-03 Pure Storage, Inc. Measurement interval anomaly detection-based generation of snapshots
US11615185B2 (en) 2019-11-22 2023-03-28 Pure Storage, Inc. Multi-layer security threat detection for a storage system
US12079502B2 (en) 2019-11-22 2024-09-03 Pure Storage, Inc. Storage element attribute-based determination of a data protection policy for use within a storage system
US12153670B2 (en) * 2019-11-22 2024-11-26 Pure Storage, Inc. Host-driven threat detection-based protection of storage elements within a storage system
US12079333B2 (en) 2019-11-22 2024-09-03 Pure Storage, Inc. Independent security threat detection and remediation by storage systems in a synchronous replication arrangement
US11657155B2 (en) * 2019-11-22 2023-05-23 Pure Storage, Inc Snapshot delta metric based determination of a possible ransomware attack against data maintained by a storage system
US11520907B1 (en) 2019-11-22 2022-12-06 Pure Storage, Inc. Storage system snapshot retention based on encrypted data
US11720714B2 (en) 2019-11-22 2023-08-08 Pure Storage, Inc. Inter-I/O relationship based detection of a security threat to a storage system
US12204657B2 (en) 2019-11-22 2025-01-21 Pure Storage, Inc. Similar block detection-based detection of a ransomware attack
US12050689B2 (en) 2019-11-22 2024-07-30 Pure Storage, Inc. Host anomaly-based generation of snapshots
US11645162B2 (en) * 2019-11-22 2023-05-09 Pure Storage, Inc. Recovery point determination for data restoration in a storage system
US11651075B2 (en) * 2019-11-22 2023-05-16 Pure Storage, Inc. Extensible attack monitoring by a storage system
US12067118B2 (en) 2019-11-22 2024-08-20 Pure Storage, Inc. Detection of writing to a non-header portion of a file as an indicator of a possible ransomware attack against a storage system
US11720692B2 (en) 2019-11-22 2023-08-08 Pure Storage, Inc. Hardware token based management of recovery datasets for a storage system
US11941116B2 (en) 2019-11-22 2024-03-26 Pure Storage, Inc. Ransomware-based data protection parameter modification
US11687418B2 (en) 2019-11-22 2023-06-27 Pure Storage, Inc. Automatic generation of recovery plans specific to individual storage elements
US12411962B2 (en) 2019-11-22 2025-09-09 Pure Storage, Inc. Managed run-time environment-based detection of a ransomware attack
US11500788B2 (en) 2019-11-22 2022-11-15 Pure Storage, Inc. Logical address based authorization of operations with respect to a storage system
US12561428B2 (en) 2019-11-22 2026-02-24 Pure Storage, Inc. Remote analysis of potentially corrupt data written to a storage system
US11755751B2 (en) * 2019-11-22 2023-09-12 Pure Storage, Inc. Modify access restrictions in response to a possible attack against data stored by a storage system
US11341236B2 (en) * 2019-11-22 2022-05-24 Pure Storage, Inc. Traffic-based detection of a security threat to a storage system
US12248566B2 (en) 2019-11-22 2025-03-11 Pure Storage, Inc. Snapshot deletion pattern-based determination of ransomware attack against data maintained by a storage system
RU2728498C1 (ru) 2019-12-05 2020-07-29 Общество с ограниченной ответственностью "Группа АйБи ТДС" Способ и система определения принадлежности программного обеспечения по его исходному коду
US11416611B2 (en) * 2019-12-05 2022-08-16 Vmware, Inc. Countering malware detection evasion techniques
RU2728497C1 (ru) 2019-12-05 2020-07-29 Общество с ограниченной ответственностью "Группа АйБи ТДС" Способ и система определения принадлежности программного обеспечения по его машинному коду
US11838300B1 (en) 2019-12-24 2023-12-05 Musarubra Us Llc Run-time configurable cybersecurity system
US11522884B1 (en) 2019-12-24 2022-12-06 Fireeye Security Holdings Us Llc Subscription and key management system
US11436327B1 (en) 2019-12-24 2022-09-06 Fireeye Security Holdings Us Llc System and method for circumventing evasive code for cyberthreat detection
RU2722692C1 (ru) 2020-02-21 2020-06-03 Общество с ограниченной ответственностью «Группа АйБи ТДС» Способ и система выявления вредоносных файлов в неизолированной среде
RU2738344C1 (ru) 2020-03-10 2020-12-11 Общество с ограниченной ответственностью «Группа АйБи ТДС» Способ и система поиска схожих вредоносных программ по результатам их динамического анализа
US10997286B1 (en) * 2020-06-02 2021-05-04 Snowflake Inc. Secure code execution in a database system
RU2743619C1 (ru) 2020-08-06 2021-02-20 Общество с ограниченной ответственностью "Группа АйБи ТДС" Способ и система генерации списка индикаторов компрометации
WO2022047415A1 (en) * 2020-08-31 2022-03-03 Qomplx, Inc. System and method for secure evaluation of cyber detection products
WO2022173508A1 (en) * 2021-02-12 2022-08-18 Google Llc Utilization of sandboxed feature detection process to ensure security of captured audio and/or other sensor data
US11947572B2 (en) 2021-03-29 2024-04-02 Group IB TDS, Ltd Method and system for clustering executable files
GB2605635B (en) * 2021-04-08 2025-05-07 Withsecure Corp Arrangement and method of threat detection in a computer or computer network
JP7431776B2 (ja) * 2021-06-09 2024-02-15 株式会社東芝 情報処理装置、情報処理方法、およびプログラム
US12028374B2 (en) * 2021-07-12 2024-07-02 At&T Intellectual Property I, L.P. Method and system for detection of phishing emails and suspect malicious executable hyperlinks
US11818172B1 (en) * 2021-08-24 2023-11-14 Amdocs Development Limited System, method, and computer program for a computer attack response service
US12079378B2 (en) * 2021-10-25 2024-09-03 Kyndryl, Inc. Gathering universal serial bus threat intelligence
US20230325496A1 (en) * 2022-04-12 2023-10-12 Dell Products, L.P. System and method for transitional isolation of applications using a workspace environment
US11681805B1 (en) * 2022-05-26 2023-06-20 Morgan Stanley Services Group Inc. System for analytic data memorialization, data science, and validation
US12436849B2 (en) * 2022-10-25 2025-10-07 Rubrik, Inc. Investigation procedures for virtual machines
US12411679B2 (en) 2023-04-28 2025-09-09 Dell Products L.P. System and method for managing a cache hosted by a data processing system using a digital twin
US12563451B2 (en) 2023-04-28 2026-02-24 Dell Products L.P. System and method for managing methods of communication between data processing systems using a digital twin
US12452082B2 (en) * 2023-04-28 2025-10-21 Dell Products L.P. System and method for securing data processing systems through recognition and analysis of commands
US12556587B2 (en) 2023-04-28 2026-02-17 Dell Products L.P. System and method for managing security models through scenario generation and evaluation
US20240403993A1 (en) * 2023-06-01 2024-12-05 Zscaler, Inc. Systems and methods for browser isolation via a virtualized Graphics Processing Unit (GPU)

Family Cites Families (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ATE183592T1 (de) 1994-06-01 1999-09-15 Quantum Leap Innovations Inc Computervirenfalle
US7058822B2 (en) * 2000-03-30 2006-06-06 Finjan Software, Ltd. Malicious mobile code runtime monitoring system and methods
US5974549A (en) 1997-03-27 1999-10-26 Soliton Ltd. Security monitor
US6167522A (en) 1997-04-01 2000-12-26 Sun Microsystems, Inc. Method and apparatus for providing security for servers executing application programs received via a network
US6275938B1 (en) * 1997-08-28 2001-08-14 Microsoft Corporation Security enhancement for untrusted executable code
US6308275B1 (en) * 1998-07-10 2001-10-23 At Home Corporation Web host providing for secure execution of CGI programs and method of doing the same
FR2797963B1 (fr) * 1999-08-23 2002-11-29 Trusted Logic Protocole de gestion, procede de verification et de transformation d'un fragment de programme telecharge et systemes correspondants
JP2001117769A (ja) 1999-10-20 2001-04-27 Matsushita Electric Ind Co Ltd プログラム実行装置
JP2001195247A (ja) 2000-01-07 2001-07-19 Nec Corp ソフトウェアの安全性を検証し保証するシステム及び方法
US20040034794A1 (en) * 2000-05-28 2004-02-19 Yaron Mayer System and method for comprehensive general generic protection for computers against malicious programs that may steal information and/or cause damages
US7051366B1 (en) * 2000-06-21 2006-05-23 Microsoft Corporation Evidence-based security policy manager
US7131143B1 (en) * 2000-06-21 2006-10-31 Microsoft Corporation Evaluating initially untrusted evidence in an evidence-based security policy manager
US7086090B1 (en) * 2000-10-20 2006-08-01 International Business Machines Corporation Method and system for protecting pervasive devices and servers from exchanging viruses
GB2371125A (en) 2001-01-13 2002-07-17 Secr Defence Computer protection system
US7987510B2 (en) * 2001-03-28 2011-07-26 Rovi Solutions Corporation Self-protecting digital content
US6873988B2 (en) * 2001-07-06 2005-03-29 Check Point Software Technologies, Inc. System and methods providing anti-virus cooperative enforcement
US7356736B2 (en) * 2001-09-25 2008-04-08 Norman Asa Simulated computer system for monitoring of software performance
US7103529B2 (en) * 2001-09-27 2006-09-05 Intel Corporation Method for providing system integrity and legacy environment emulation
US7251594B2 (en) * 2001-12-21 2007-07-31 Hitachi, Ltd. Execution time modification of instruction emulation parameters
US20030229794A1 (en) * 2002-06-07 2003-12-11 Sutton James A. System and method for protection against untrusted system management code by redirecting a system management interrupt and creating a virtual machine container
US7761917B1 (en) * 2002-11-21 2010-07-20 Vmware, Inc. Method and apparatus for the detection and prevention of intrusions, computer worms, and denial of service attacks
US7603704B2 (en) * 2002-12-19 2009-10-13 Massachusetts Institute Of Technology Secure execution of a computer program using a code cache
US7770202B2 (en) * 2004-02-03 2010-08-03 Microsoft Corporation Cross assembly call interception
US7401230B2 (en) * 2004-03-31 2008-07-15 Intel Corporation Secure virtual machine monitor to tear down a secure execution environment
US7908653B2 (en) 2004-06-29 2011-03-15 Intel Corporation Method of improving computer security through sandboxing

Also Published As

Publication number Publication date
EP1761836B1 (en) 2013-03-20
CN1961272A (zh) 2007-05-09
WO2006012197A2 (en) 2006-02-02
US20060021029A1 (en) 2006-01-26
CN100533334C (zh) 2009-08-26
EP1761836A2 (en) 2007-03-14
US7908653B2 (en) 2011-03-15
JP2008500653A (ja) 2008-01-10
WO2006012197A3 (en) 2006-04-06

Similar Documents

Publication Publication Date Title
JP4599400B2 (ja) サンドボックス法によるコンピュータセキュリティ向上方法
US9530001B2 (en) System and method for below-operating system trapping and securing loading of code into memory
US9392016B2 (en) System and method for below-operating system regulation and control of self-modifying code
US9747443B2 (en) System and method for firmware based anti-malware security
US8650642B2 (en) System and method for below-operating system protection of an operating system kernel
US8925089B2 (en) System and method for below-operating system modification of malicious code on an electronic device
US9032525B2 (en) System and method for below-operating system trapping of driver filter attachment
US8549648B2 (en) Systems and methods for identifying hidden processes
US8959638B2 (en) System and method for below-operating system trapping and securing of interdriver communication
US9384349B2 (en) Negative light-weight rules
US9262246B2 (en) System and method for securing memory and storage of an electronic device with a below-operating system security agent
CN103842971B (zh) 用于间接接口监视和垂线探测的系统和方法
CN104769604B (zh) 实时模块保护
US8549644B2 (en) Systems and method for regulating software access to security-sensitive processor resources
US20120255003A1 (en) System and method for securing access to the objects of an operating system
US20120255014A1 (en) System and method for below-operating system repair of related malware-infected threads and resources
US20130312099A1 (en) Realtime Kernel Object Table and Type Protection
US20120255031A1 (en) System and method for securing memory using below-operating system trapping
US20120254993A1 (en) System and method for virtual machine monitor based anti-malware security
US20120254994A1 (en) System and method for microcode based anti-malware security
KR20140033349A (ko) 가상 머신 모니터 기반 안티 악성 소프트웨어 보안 시스템 및 방법
JP2010517164A (ja) オペレーティングシステム資源の保護
Baliga et al. Automated containment of rootkits attacks

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20091117

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20100216

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20100223

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20100316

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20100324

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20100416

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20100423

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100517

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100608

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100728

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100831

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100927

R150 Certificate of patent or registration of utility model

Ref document number: 4599400

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131001

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees