JP5882542B2 - マルウェアプロセスの検出 - Google Patents

マルウェアプロセスの検出 Download PDF

Info

Publication number
JP5882542B2
JP5882542B2 JP2015525646A JP2015525646A JP5882542B2 JP 5882542 B2 JP5882542 B2 JP 5882542B2 JP 2015525646 A JP2015525646 A JP 2015525646A JP 2015525646 A JP2015525646 A JP 2015525646A JP 5882542 B2 JP5882542 B2 JP 5882542B2
Authority
JP
Japan
Prior art keywords
permission
memory block
malware
read
base address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2015525646A
Other languages
English (en)
Other versions
JP2015523668A5 (ja
JP2015523668A (ja
Inventor
ニエ・ワンチュエン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alibaba Group Holding Ltd
Original Assignee
Alibaba Group Holding Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alibaba Group Holding Ltd filed Critical Alibaba Group Holding Ltd
Publication of JP2015523668A publication Critical patent/JP2015523668A/ja
Publication of JP2015523668A5 publication Critical patent/JP2015523668A5/ja
Application granted granted Critical
Publication of JP5882542B2 publication Critical patent/JP5882542B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Storage Device Security (AREA)
  • Stored Programmes (AREA)

Description

[関連出願の相互参照]
本出願は、2012年8月28日に出願され「A TROJAN HORSE DETECTION METHOD AND DEVICE(トロイの木馬を検出する方法及び機器)」と題された中国特許出願第201210310462.4号の優先権を主張する。該出願は、あらゆる目的のために、参照によって本明細書に組み込まれる。
本出願は、通信技術の分野に関し、特に、マルウェアプロセスを検出するための技術に関する。
インターネット技術の更なる普及に伴って、ネットワークセキュリティの問題がいっそう目立ってきた。特に、トロイの木馬タイプのマルウェアプロセスは、重要な情報の盗用及び破壊を招いてきた。トロイの木馬は、疑いを持たないユーザの機器にダウンロードされ、オペレーティングシステムへの特権的アクセスを得る及び/又は悪性コードを機器にインストールするタイプのマルウェアである。多くの場合、トロイの木馬は、悪意を持つ者にユーザ機器への不正アクセスを提供する。悪意を持つ者は、そのような不正アクセスを悪用して情報を盗む及び/又はそれ以外の形でユーザ機器に危害を加える。
従来タイプのトロイの木馬検出技術の1つは、以下のとおりである。即ち、トロイの木馬に関係しているとまだ決定されていないプロセスからサンプルコードを抽出し、そのサンプルコードを、トロイの木馬特徴データベースに保存されている既知のトロイの木馬プロセス特徴コードに関係付けられた1つ以上の特徴コードと比較し、もし、一致を見つけられたならば、そのプロセスをトロイの木馬プロセスに関係していると決定する。
上述された従来のトロイの木馬検出方法では、信頼できる署名情報を有するプロセス(例えば、いずれの既知のトロイの木馬プロセスに関係付けられた特徴コードにも一致しないサンプルコードを伴うプロセス)又はホワイトリストに載っている信頼できるプロセス(例えば、既知の非マルウェアプロセスに関係付けられた特徴コードに一致するサンプルコードを伴うプロセス)は、トロイの木馬検出を受けないのが一般的である。しかしながら、このような検出技術は、インジェクション型トロイの木馬を検出しない恐れがある。インジェクション型トロイの木馬プロセスは、実行されるときに、先ず、プロセスを起動させる。このプロセスは、既知のマルウェアプロセスに関係付けられた特徴コードに及び/又はマルウェアプロセスであると決定されなかったいずれのプロセスに関係付けられた特徴コードにも一致せず、その代わり、ホワイトリストに含まれるプロセスに関係付けられた特徴コードに一致するゆえに、マルウェアプロセスであると決定されない、あらゆるプロセスでありうる。このプロセスの起動が完了する前に、インジェクション型トロイの木馬プロセスは、プロセスを休止させ、プロセスに関係付けられたメモリ画像に自身の悪性コードを書き込む。インジェクション型トロイの木馬プロセスは、次いで、プロセスの起動を再開させる。このようにして、インジェクション型トロイの木馬は、従来のトロイの木馬検出技術を巧みに回避する。
一具体例では、インジェクション型トロイの木馬プロセスは、ノードパッドプロセス(notepad.exe)のプロセスを起動させるだろう。このノードパッドプロセスは、信頼できる署名情報を有する(例えば、そのコードのサンプルが、ホワイトリストに載っているコードに一致しえる)ゆえに、マルウェアプロセスであると見なされない。このノードパッドプロセスの起動が完了する前に、インジェクション型トロイの木馬プロセスは、このノードパッドプロセスを休止させ、ノードパッドプロセスのメモリ画像に自身の悪性コードを書き込む。インジェクション型トロイの木馬プロセスは、次いで、ノードパッドプロセスの起動を再開させる。
ノードパッドプロセスの起動が完了した後、このノードパッドプロセスは、トロイの木馬プロセスに関係付けられたものになり、また、信頼できる署名情報を有しているゆえに、従来のトロイの木馬検出技術によってマルウェアを検出することができないだろう。したがって、ノードパッドプロセスは、操り人形型のプロセスであるインジェクション型トロイの木馬プロセスに変容する。インジェクション型トロイの木馬プロセスは、従来のトロイの木馬検出技術を回避するために、悪性プロセスを隠す覆いを外側に纏っているのに等しい振る舞いをする。
以下の詳細な説明及び添付の図面において、本発明の様々な実施形態が開示される。
マルウェアプロセスを検出するためのシステムの一実施形態を示した図である。
マルウェアプロセスを検出するためのプロセスの一実施形態を示したフローチャートである。
マルウェアプロセスを検出するためのプロセスの一実施形態を示したフローチャートである。
マルウェアプロセスを検出するためのシステムの一実施形態を示した図である。
本発明は、プロセス、装置、システム、合成物、コンピュータ読み取り可能記憶媒体に実装されたコンピュータプログラム製品、並びに/又は結合先のメモリに記憶された命令及び/若しくは結合先のメモリによって提供される命令を実行するように構成されたプロセッサなどのプロセッサのような、数々の形態で実現することができる。本明細書では、これらの実現形態、又は本発明がとりえるその他のあらゆる形態が、技術と称されてよい。一般に、開示されるプロセスの各段階の順番は、本発明の範囲内で変更されてよい。別途明記されない限り、タスクを実施するように構成されるものとして説明されるプロセッサ又はメモリなどのコンポーネントは、所定時にタスクを実施するように一時的に構成された汎用コンポーネントとして、又はタスクを実施するように製造された特殊コンポーネントとして実装されてよい。本明細書で使用される「プロセッサ」という用語は、コンピュータプログラム命令などのデータを処理するように構成された1つ以上の機器、回路、並びに/又は処理コアを言う。
本発明の原理を例示した添付の図面とともに、以下で、本発明の1つ以上の実施形態の詳細な説明が提供される。本発明は、このような実施形態との関わりのもとで説明されるが、いずれの実施形態にも限定されない。本発明の範囲は、特許請求の範囲によってのみ限定され、本発明は、数々の代替形態、変更形態、及び均等物を包含している。以下の説明では、本発明の完全な理解を与えるために、数々の具体的詳細が明記されている。これらの詳細は、例示を目的として提供されるものであり、本発明は、これらの詳細の一部又は全部を伴わずとも、特許請求の範囲にしたがって実施されえる。明瞭を期するために、本発明に関係した技術分野においてで知られる技工物は、本発明が不必要に不明瞭にされないように、詳細な説明を省略されている。
本明細書において、マルウェアプロセス検出の実施形態が説明される。プロセスの起動は、監視される。一部の実施形態では、プロセスは、マルウェアプロセス若しくは非マルウェアプロセスのいずれであるかをまだ決定されておらず、既知のマルウェアプロセスに関係付けられた特徴コードに一致せず、及び/又はホワイトリストに含まれるプロセスに関係付けられた特徴コードに一致している。様々な実施形態において、「ホワイトリスト」は、マルウェアではないと見なされている及び/又は事前に決定されたプロセスを挙げたリストである。プロセスの起動が完了した後、プロセスに関係付けられたベースアドレスに関係付けられたメモリブロックの許可が決定される。例えば、許可は、読み出し専用、書き込み専用、並びに/又は読み出し及び書き込み許容のいずれかであってよい。非マルウェアプロセスのベースアドレスに関係付けられたメモリブロックは、一般に、読み出し専用許可に関係付けられていると想定される。しかしながら、トロイの木馬プロセスは、通常は、悪性コードを書き込むために書き込みを許容する許可を持つメモリブロックを探す必要がある。したがって、様々な実施形態において、もし、プロセスの起動の完了に続いて、プロセスのベースアドレスに関係付けられたメモリブロックが読み出し専用ではない(例えば、書き込み専用や、読み出し及び書き込みの)許可に関係付けられていると決定されたならば、そのプロセスは、トロイの木馬プロセスに関係付けられている可能性があること、及びプロセスの起動中に、トロイの木馬プロセスは、プロセスのベースアドレスを、トロイの木馬プロセスが(例えば、悪性コードを)書き込むことを許可されたメモリブロックに関係付けられるものに変更したことが決定される。しかしながら、もし、プロセスのベースアドレスに関係付けられたメモリブロックが読み出し専用許可に関係付けられていると決定されたならば、プロセスは、トロイの木馬プロセスに関係付けられていないと決定される。
図1は、マルウェアプロセスを検出するためのシステムの一実施形態を示した図である。この例では、システム100は、機器102と、ネットワーク104と、第三者システム106とを含む。ネットワーク104は、様々な高速ネットワーク及び/又は電気通信ネットワークを含む。
機器102は、ラップトップとして示されているが、機器102は、デスクトップコンピュータ、モバイル機器、スマートフォン、タブレット端末、及び/又は任意の計算機器であってよい。機器102には、ソフトウェアアプリケーション及び/又は物理的コンポーネントがインストールされてよく、これは、機器102ではなく、マルウェアプロセスである可能性があるプロセスを検出するために機器102のオペレーティングシステム及び/又はメモリへのアクセスを有するその他のどこかにインストールされてもよい。マルウェアプロセスの一例は、トロイの木馬プロセスである。例えば、もし、トロイの木馬プロセスなどのマルウェアプロセスが機器102にインストールされることになると、第三者システム106を使用している悪意あるユーザは、機器102に記憶されている情報をトロイの木馬プロセスを通じて盗もうとする及び/又はそれ以外の形で危害を加えようとするだろう。損なわれたプロセスは、トロイの木馬プロセスによって書き込まれた悪性コードを実行するかもしれないゆえに、トロイの木馬プロセスがいつ機器102にインストールされた可能性があるかを検出し、そのトロイの木馬に関係付けられたプロセスの更なる実行をブロックすることが望ましいとされる。マルウェアプロセス検出のためのソフトウェアアプリケーション及び/又は物理的コンポーネントは、機器102において起動するプロセスを監視するように構成される。プロセスの起動の完了を受けて、プロセスに関係付けられたベースアドレスが決定される。ベースアドレスに関係付けられた機器102に関係付けられたメモリブロックが見つけられ、そのメモリブロックに関係付けられた読み出し及び/又は書き込み許可が決定される。以下で更に説明されるように、プロセスがマルウェアプロセス(例えば、トロイの木馬プロセス)に関係付けられている可能性があるかどうかは、そのプロセスのベースアドレスにおけるメモリブロックに関係付けられた許可のタイプに少なくとも部分的に基づいて決定される。もし、プロセスが、マルウェアプロセスに関係付けられていると決定されたならば、そのプロセスは、悪意あるユーザから機器102が遠隔攻撃を受ける可能性を防ぐために、更なる実行が行われないように停止されるだろう。
図2は、マルウェアプロセスを検出するためのプロセスの一実施形態を示したフローチャートである。一部の実施形態では、プロセス200は、図1の機器102において実行に移される。
202では、プロセスの起動が監視される。例えば、プロセスは、ユーザによる選択を受けて、又はソフトウェアアプリケーションの実行を受けて起動されてよい。一部の実施形態では、プロセスは、マルウェアプロセス若しくは非マルウェアプロセスのいずれであるかをまだ決定されておらず、既知のマルウェアプロセスに関係付けられた特徴コードに一致せず、及び/又はホワイトリストに含まれるプロセスに関係付けられた特徴コードに一致している。
204では、プロセスの起動の完了を受けて、プロセスに関係付けられたベースアドレスが決定される。プロセスが起動を終了させた後に、プロセスに関係付けられたベースアドレスが決定される。様々な実施形態において、「ベースアドレス」は、プロセスに関係付けられたメモリブロックの先頭のメモリアドレスを言う。ベースアドレスは、そこから命令が読み出されて実行される、プロセスの先頭のメモリブロックを指している。
一般に、プロセスが機器(例えば、コンピュータ)において起動されるときは、ディスクに保存されている対応するプログラムにしたがって、先ず、ディスク画像が生成される必要がある。ディスク画像は、メモリ(例えば、ランダムアクセスメモリ(RAM))内へマッピングされ、それによって、プロセスに関係付けられたメモリ画像が生成される。プロセスが実行されているときは、該実行は、メモリ内へマッピングされたメモリ画像に含まれるプロセスの先頭アドレスから開始する。この先頭アドレスは、プロセスのベースアドレスとして言及される。ベースアドレスの厳密な位置は、オペレーティングシステムに依存する。例えば、Windows(登録商標)オペレーティングシステムにおいて、もし、動的アドレス機能(例えば、アドレス空間配置の無作為化、即ち略称ASLR)がアクティブにされないならば、特定のプロセスのベースアドレスは、特定のアドレス(例えば、0x4000000)に固定されるのが一般的である。しかしながら、ASLR機能がアクティブにされるときは、プロセスのベースアドレスは、メモリ内において動的に移動されてよく、したがって、特定のアドレスに固定されない(例えば、ASLRがアクティブにされると、プロセスのベースアドレスは、必ずしも常に0x4000000であるとは限らない)。
インジェクション型トロイの木馬プロセスが正常プロセスを起動させるときに、前者は、後者のプロセスのメモリ画像の生成を、それが完全に行われる前に休止させ、書き込みを許可しているメモリ内のメモリブロックに自身の悪性コードを書き込む。もし、プロセスの初期ベースアドレスが、書き込みを許可しない(例えば、読み出し専用許可に関係付けられた)メモリブロックに関係付けられているならば、トロイの木馬プロセスは、悪性コードを書き込むための異なるメモリブロック、即ち書き込みを許可しているメモリブロック(例えば、書き込み専用の、又は読み出し及び書き込み許容のメモリブロック)を探す。一部の実施形態では、プロセスの起動が停止されている間に、トロイの木馬プロセスは、トロイの木馬が悪性コードを書き込んだメモリブロックのアドレスを、プロセスに対応する拡張指示ポインタ(EIP)情報に関係付けられた戻りアドレスとして設定する。一部の実施形態では、プロセスに対応する戻りアドレス(EIP)情報は、次いで、プロセスの新しいベースアドレスとして記録される。次いで、インジェクション型トロイの木馬プロセスは、新しいベースアドレス、即ちトロイの木馬プロセスによって書き込まれた悪性コードに関係付けられたアドレスから、プロセスの起動を再開させる。このようにして、プロセスの初期ベースアドレスは、インジェクション型トロイの木馬プロセスによって、トロイの木馬が悪性コードを書き込んだメモリブロックの先頭アドレスに変更されている。もし、プロセスが実行されると、該プロセスは、初期ベースアドレスに関係付けられたメモリブロックに含まれていた初期機能を実行するのではなく、トロイの木馬プロセスによって戻された変更後のベースアドレスに関係付けられたメモリブロックに含まれる悪性コードに対応する機能を実行する。
一部の実施形態では、プロセスのベースアドレスは、機器のオペレーティングシステムによって記録される。したがって、プロセスのベースアドレスは、オペレーティングシステムから決定されて、対応するメモリブロックを見つけるために使用されてよい。
206では、ベースアドレスに関係付けられたメモリブロックの許可が決定される。メモリブロックの許可は、任意の既知の技術を使用して決定されてよい。様々な実施形態において、メモリブロックの許可は、読み出し専用、書き込み専用、又は読み出し及び書き込み許容であってよい。
208では、決定された許可に少なくとも部分的に基づいて、プロセスがマルウェアプロセスに関係付けられている可能性があるかどうかが決定される。様々な実施形態において、プロセスのベースアドレスに関係付けられたメモリブロックの許可が読み出し専用である場合は、プロセスはマルウェアプロセスに関係付けられていないと決定される。もし、プロセスがマルウェアプロセスに関係付けられていないならば、これ以上の更なる行為はとられない、及び/又はプロセスは実行を許可される。様々な実施形態において、プロセスのベースアドレスに関係付けられたメモリブロックの許可が読み出し専用ではない何かである(例えば、メモリブロックの許可が書き込みを許可している)場合は、プロセスはマルウェアプロセスに関係付けられている可能性があると決定される。一部の実施形態では、具体的なマルウェアプロセスは、トロイの木馬プロセスである。一部の実施形態では、プロセスのベースアドレスに関係付けられたメモリブロックの許可が、読み出し専用ではない何かである場合に、プロセスは、それがマルウェアプロセス(例えば、トロイの木馬プロセス)に関係付けられているかどうかを決定するために、更なるテストを経る。
プロセスのベースアドレスに関係付けられたメモリブロックの許可は、通常は読み出し専用である。インジェクション型トロイの木馬は、メモリブロックに悪性コードを書き込む必要があるので、悪性コードを書き込むための許可を有するメモリブロックを探し、プロセスに関係付けられたベースアドレスを、読み出し専用ではない許可を有するメモリブロックに関係付けられるように変更する。こうして、変更後のベースアドレスは、書き込みを許可するメモリブロックを指すことになる。したがって、もし、メモリブロックの許可が読み出し専用であるならば、プロセスのベースアドレスは、トロイの木馬プロセスによって変更されていないと想定される。しかしながら、もし、メモリブロックの許可が書き込みを許可しているならば、プロセスのベースアドレスは、トロイの木馬プロセスによって変更されていると想定される。プロセスは、トロイの木馬プロセスに関係付けられている可能性があると決定された場合は、更なる実行からブロックされるだろう、及び/又は機器上で実行されているトロイの木馬プロセスの存在についての警告がユーザに対して提示されるだろう。更に、プロセスがトロイの木馬プロセスに関係付けられていると決定された場合は、その事象からログが生成されて、将来の照会/分析に備えて保存されてよい。
一部の実施形態では、読み出し専用ではない許可に関係付けられたメモリブロック内に位置するベースアドレスを有する特殊プロセスがある。特殊プロセスは、そのベースアドレスが読み出し専用ではない許可に初期から関係付けられているものの、必ずしもトロイの木馬プロセスに関係付けられているとは限らない。一部の実施形態では、特殊プロセスは、通常プロセスのメモリ画像に含まれるポータブル実行可能ファイルヘッダ(PEヘッダ)コードとは異なるPEヘッダに基づいて、通常プロセスから区別されるだろう。プロセスのPEヘッダは、プロセスに関係付けられたメモリ画像内で見つけられる。したがって、プロセスがトロイの木馬プロセスに関係付けられていると決定される偽陽性率を下げるためには、もし、プロセスのベースアドレスに関係付けられたメモリブロックに関係付けられた許可が読み出し専用ではない何かであると決定されたならば、そのプロセスがトロイの木馬プロセスに関係付けられている可能性があると決定する前に、そのプロセスのメモリ画像に含まれるPEヘッダコードが通常プロセス(非特殊プロセス)に関係付けられた指定のコードに一致するかどうかもチェックされる。例えば、読み出し専用ではない許可を有するメモリブロックに関係付けられたベースアドレスを持つプロセスがトロイの木馬プロセスに関係付けられたプロセスであるかどうかを決定するために、通常プロセスのメモリ画像に含まれるPEヘッダコードに対応する指定のコードを挙げた所定のリストが使用される。したがって、この追加のチェックを実施することによって、ベースアドレスに関係付けられたメモリブロックの許可が読み出し専用はない何かであるがそのPEヘッダコードは指定のコードに一致しないプロセスが、トロイの木馬プロセスに関係付けられた通常プロセスではなく、特殊プロセスであると見なされる。
図3は、マルウェアプロセスを検出するためのプロセスの一実施形態を示したフローチャートである。一部の実施形態では、プロセス300は、図1の機器102において実行に移される。一部の実施形態では、図2のプロセス200は、プロセス300を使用して実現される。
302では、プロセスの起動が監視される。
304では、プロセスの起動の完了を受けて、プロセスに関係付けられたベースアドレスが決定される。
306では、ベースアドレスに関係付けられたメモリブロックが読み出し専用許可に関係付けられているかどうかが決定される。メモリブロックが読み出し専用許可に関係付けられている場合は、制御は308に移される。メモリブロックが読み出し専用ではない許可に関係付けられている場合は、制御は310に移される。
308では、プロセスはマルウェアプロセスに関係付けられていないと決定される。一部の実施形態では、これ以上の行為はなされない。
310では、プロセスのメモリ画像に含まれるPEヘッダコードが指定のコードに一致するかどうかが決定される。一部の実施形態では、ヘッダコードは、通常(非特殊)プロセスの指定のコードを挙げた所定のリストに突き合わされる。PEヘッダコードが指定のコードに一致する場合は、制御は312に移される。PEヘッダコードが指定のコードに一致しない場合は、制御は308に移される。
312では、プロセスはマルウェアプロセスに関係付けられている可能性があると決定される。例えば、マルウェアプロセスは、トロイの木馬プロセスである。プロセスは、対応するメモリブロックが読み出し専用ではない許可に関係付けられたベースアドレスを有し、これは、トロイの木馬プロセスがプロセスの初期ベースアドレスを、トロイの木馬プロセスが悪性コードを書き込むことができたメモリブロックに関係付けられるように変更した可能性が高いことを意味し、また、プロセスは、特殊プロセスであると決定されていないので、プロセスは、トロイの木馬プロセスに関係付けられている可能性があると決定される。一部の実施形態では、プロセスのベースアドレスに関係付けられたメモリブロックの許可が読み出し専用ではない何かである場合に、プロセスは、それがトロイの木馬プロセスに関係付けられているかどうかを決定するために更なるテストを経る。
314では、ユーザインターフェースにおいて警告メッセージが提示される。一部の実施形態では、トロイの木馬プロセスに関係付けられている可能性があるプロセスの検出に関する警告メッセージをユーザに対して提示することに加えて、プロセスは、更なる実行からブロックもされる。
図4は、マルウェアプロセスを検出するためのシステムの一実施形態を示した図である。この例では、システム400は、監視モジュール402と、評価モジュール404と、処理モジュール406とを含む。
モジュールは、1つ以上の汎用プロセッサ上で実行されるソフトウェアコンポーネントとして、又は本発明の実施形態で説明される方法を(パソコン、サーバ、ネットワーク装置などの)計算機器に実行させるための幾つかの命令を含み尚且つ(光ディスク、フラッシュ記憶装置、モバイルハードディスクなどの)不揮発性の記憶媒体に記憶させることができるソフトウェア製品の形で具現化することができる要素であるように設計されたプログラム可能論理装置及び/若しくは特殊用途向け集積回路などのハードウェアとして、実装することができる。モジュールは、1つの機器に実装されてよい、又は複数の機器に分散されてよい。
監視モジュール402は、起動されたプロセスを監視するように、及びプロセスの起動が完了したときにプロセスのベースアドレスに関係付けられたメモリブロックを決定するように構成される。例えば、プロセスのベースアドレスは、オペレーティングシステムによって記録される。
評価モジュール404は、監視モジュール402によって決定されたメモリブロックの許可が読み出し専用であるかどうかを評価するように構成される。
処理モジュール406は、評価モジュール404がメモリブロックの許可が読み出し専用であると決定した場合に、そのプロセスはトロイの木馬プロセスに関係付けられていないと決定するように構成される。処理モジュール406は、評価モジュール404がメモリブロックの許可が読み出し専用ではない何かであると決定した場合に、そのプロセスをトロイの木馬プロセスに関係付けられている可能性があると決定するように構成される。一部の実施形態では、処理モジュール406は、更に、プロセスがトロイの木馬プロセスに関係付けられている可能性があると決定した場合に、プロセスを更なる実行からブロックするように構成される。
一部の実施形態では、監視モジュール402は、更に、起動されたプロセスのベースアドレスを記録するように、及び該記録されたベースアドレスを使用して、ベースアドレスに関係付けられたメモリブロックを見つけるように構成される。
一部の実施形態では、監視モジュール402は、更に、プロセスの起動の停止中に戻りアドレスEIP情報に含まれるアドレスを、そのプロセスのベースアドレスとして記録するように構成される。
一部の実施形態では、処理モジュール406は、更に、記録されたプロセスのベースアドレスに関係付けられたメモリブロックの許可が読み出し専用ではない何かであると決定した場合に、プロセスのメモリ画像に含まれるPEヘッダコードが通常プロセスに対応する指定のコードに一致するかどうかを決定するように構成される。プロセスのメモリ画像に含まれるPEヘッダコードが通常プロセスに対応する指定のコードに一致する場合は、処理モジュール406は、そのプロセスはトロイの木馬プロセスに関係付けられている可能性があると決定するように構成される。しかしながら、プロセスのメモリ画像に含まれるPEヘッダコードが通常プロセスに対応する指定のコードに一致しない場合は、処理モジュール406は、そのプロセスは(例えば、そのプロセスはPEヘッダコードが通常プロセスのそれに一致しないゆえに実際は特殊プロセスであるだろうゆえに、)トロイの木馬プロセスに関係付けられていないと決定するように構成される。
処理モジュール406は、更に、プロセスがトロイの木馬プロセスに関係付けられている可能性があると決定した場合に、トロイの木馬プロセスの検出に関係付けられた警告メッセージをユーザインターフェースにおいて提示するために生成するように構成される。
当業者ならば、本出願を、本発明の趣旨及び範囲から逸脱することなく変更する及び多様化することができる。したがって、もし、本出願のこれらの変更形態及び多様化形態が、本出願の特許請求の範囲及びそれらの等価技術の範囲内であるならば、本出願は、これらの変更形態及び多様化形態もまた、その範囲内に含むことを意図する。当業者ならば、本出願の実施形態が、方法、システム、又はコンピュータソフトウェア製品として提供可能であることがわかるはずである。したがって、本出願は、完全にハードウェアで構成される実施形態、完全にソフトウェアで構成される実施形態、及びソフトウェアとハードウェアとを組み合わせた実施形態の形態をとることができる。また、本出願は、コンピュータ動作可能なプログラムコードを含む1つ以上のコンピュータ動作可能な記憶媒体(磁気ディスク記憶装置、CD−ROM、及び光記憶装置を含むがこれらに限定はされない)に実装されたコンピュータプログラム製品の形態をとることができる。
以上の実施形態は、理解を明瞭にする目的で幾らか詳細に説明されているが、本発明は、与えられた詳細に限定されない。本発明を実現するには、多くの代替的手法がある。開示される実施形態は、例示的であり、非限定的である。
本発明は、たとえば、以下のような態様で実現することもできる。

適用例1:
マルウェアプロセスを検出するためのシステムであって、
1つ以上のプロセッサと、
前記1つ以上のプロセッサに結合され、前記1つ以上のプロセッサに命令を提供するように構成された1つ以上のメモリと、
を備え、
前記1つ以上のプロセッサは、
プロセスの起動を監視し、
前記プロセスの前記起動の完了を受けて、前記プロセスに関係付けられたベースアドレスを決定し、
前記ベースアドレスに関係付けられたメモリブロックの許可を決定し、及び
前記決定された許可に少なくとも部分的に基づいて、前記プロセスがマルウェアプロセスに関係付けられている可能性があるかどうかを決定する、ように構成される、システム。

適用例2:
適用例1のシステムであって、
前記ベースアドレスは、前記プロセスに対応する拡張指示ポインタ(EIP)情報に関係付けられた戻りアドレスに少なくとも部分的に基づいて決定される、システム。

適用例3:
適用例1のシステムであって、
前記ベースアドレスは、オペレーティングシステムによって記録される、システム。

適用例4:
適用例1のシステムであって、
前記許可が書き込みを許可していると決定された場合に、前記1つ以上のプロセッサは、更に、前記プロセスは前記マルウェアプロセスに関係付けられている可能性があると決定するように構成される、システム。

適用例5:
適用例4のシステムであって、
前記1つ以上のプロセッサは、更に、前記マルウェアプロセスに関係付けられた警告メッセージを、ユーザインターフェースにおいて提示するように構成される、システム。

適用例6:
適用例4のシステムであって、
前記1つ以上のプロセッサは、更に、前記プロセスの更なる実行をブロックするように構成される、システム。

適用例7:
適用例1のシステムであって、
前記許可が読み出し専用であると決定された場合に、前記1つ以上のプロセッサは、更に、前記プロセスは前記マルウェアプロセスに関係付けられていないと決定するように構成される、システム。

適用例8:
適用例1のシステムであって、
前記許可が書き込みを許可していると決定された場合に、前記1つ以上のプロセッサは、更に、前記プロセスに関係付けられたメモリ画像に含まれるポータブル実行可能(PE)ヘッダコードが指定のコードに一致するかどうかを決定するように構成される、システム。

適用例9:
適用例8のシステムであって、
前記プロセスに関係付けられた前記PEヘッダコードが前記指定のコードに一致する場合に、前記1つ以上のプロセッサは、更に、前記プロセスは前記マルウェアプロセスに関係付けられている可能性があると決定するように構成される、システム。

適用例10:
適用例8のシステムであって、
前記プロセスに関係付けられた前記PEヘッダコードが前記指定のコードに一致しない場合に、前記1つ以上のプロセッサは、更に、前記プロセスは前記マルウェアプロセスに関係付けられていないと決定するように構成される、システム。

適用例11:
マルウェアプロセスを検出するための方法であって、
プロセスの起動を監視することと、
前記プロセスの前記起動の完了を受けて、1つ以上のプロセッサを使用して、前記プロセスに関係付けられたベースアドレスを決定することと、
前記ベースアドレスに関係付けられたメモリブロックの許可を決定することと、
前記決定された許可に少なくとも部分的に基づいて、前記プロセスがマルウェアプロセスに関係付けられている可能性があるかどうかを決定することと、
を備える方法。

適用例12:
適用例11の方法であって、
前記ベースアドレスは、前記プロセスに対応する拡張指示ポインタ(EIP)情報に関係付けられた戻りアドレスに少なくとも部分的に基づいて、決定される、方法。

適用例13:
適用例11の方法であって、更に、
前記許可が書き込みを許可していると決定された場合に、前記プロセスは前記マルウェアプロセスに関係付けられている可能性があると決定することを備える方法。

適用例14:
適用例13の方法であって、更に、
前記マルウェアプロセスに関係付けられた警告メッセージを、ユーザインターフェースにおいて提示することを備える方法。

適用例15:
適用例13の方法であって、更に、
前記プロセスの更なる実行をブロックすることを備える方法。

適用例16:
適用例11の方法であって、更に、
前記許可が読み出し専用であると決定された場合に、前記プロセスは前記マルウェアプロセスに関係付けられていないと決定することを備える方法。

適用例17:
適用例11の方法であって、更に、
前記許可が書き込みを許可していると決定された場合に、前記プロセスに関係付けられたメモリ画像に含まれるポータブル実行可能(PE)ヘッダコードが、指定のコードに一致するかどうかを決定することを備える方法。

適用例18:
適用例17の方法であって、更に、
前記プロセスに関係付けられた前記PEヘッダコードが前記指定のコードに一致する場合に、前記プロセスは前記マルウェアプロセスに関係付けられている可能性があると決定することを備える方法。

適用例19:
適用例17の方法であって、更に、
前記プロセスに関係付けられた前記PEヘッダコードが前記指定のコードに一致しない場合に、前記プロセスは前記マルウェアプロセスに関係付けられていないと決定することを備える方法。

適用例20:
マルウェアプロセスを検出するためのコンピュータプログラム製品であって、非一時的なコンピュータ読み取り可能記憶媒体に実装され、
プロセスの起動を監視するためのコンピュータ命令と、
前記プロセスの前記起動の完了を受けて、前記プロセスに関係付けられたベースアドレスを決定するためのコンピュータ命令と、
前記ベースアドレスに関係付けられたメモリブロックの許可を決定するためのコンピュータ命令と、
前記決定された許可に少なくとも部分的に基づいて、前記プロセスがマルウェアプロセスに関係付けられている可能性があるかどうかを決定するためのコンピュータ命令と、
を備えるコンピュータプログラム製品。

Claims (14)

  1. マルウェアプロセスを検出するためのシステムであって、
    1つ以上のプロセッサと、
    前記1つ以上のプロセッサに結合され、前記1つ以上のプロセッサに命令を提供するように構成された1つ以上のメモリと、を備え、
    前記1つ以上のプロセッサは、
    プロセスの起動を監視し、
    前記プロセスの前記起動の完了に対応して、前記プロセスの実行より前に、前記プロセスに関係付けられたベースアドレスを決定し、前記プロセスに関係付けられた前記ベースアドレスは、そこから命令が読み出されて実行されるメモリブロックに関係付けられ、
    前記ベースアドレスに関係付けられた前記メモリブロックの許可を決定し、前記メモリブロックの許可は、読み出し及び書き込みのうち少なくとも1つが前記メモリブロックにおいて許可されたかどうかに関係付けられ、
    前記メモリブロックの前記決定された許可に少なくとも部分的に基づいて、前記プロセスがマルウェアプロセスに関係付けられている可能性があるかどうかを決定し、
    前記メモリブロックの前記許可が読み出し専用許可を含む場合に、
    前記プロセスが前記マルウェアプロセスに関係付けられている可能性がないことを決定し、
    前記プロセスの前記実行を許可し、
    前記メモリブロックの前記許可が前記読み出し専用許可を含まない場合に、
    前記プロセスに関係付けられたメモリ画像に含まれるポータブル実行可能ヘッダコードが指定のコードに一致するかどうかを決定し、
    前記プロセスに関係付けられた前記メモリ画像に含まれる前記ポータブル実行可能ヘッダコードが前記指定のコードに一致するかどうかに少なくとも部分的に基づいて、前記プロセスが前記マルウェアプロセスに関係付けられている可能性があるかどうかを決定し、
    前記プロセスに関係付けられた前記メモリ画像に含まれる前記ポータブル実行可能ヘッダコードが前記指定のコードに一致するかどうかに少なくとも部分的に基づいて、前記プロセスの前記実行を防ぐことを決定する、ように構成される、システム。
  2. 請求項1に記載のシステムであって、
    前記ベースアドレスは、前記プロセスに対応する拡張指示ポインタ情報に関係付けられた戻りアドレスに少なくとも部分的に基づいて決定される、システム。
  3. 請求項1に記載のシステムであって、
    前記ベースアドレスは、オペレーティングシステムによって記録される、システム。
  4. 請求項1に記載のシステムであって、
    前記読み出し専用許可を含まない前記許可は、書き込みを許可する、システム。
  5. 請求項4に記載のシステムであって、
    前記メモリブロックの前記許可が前記読み出し専用許可を含まない場合に、前記1つ以上のプロセッサは、さらに、前記マルウェアプロセスに関係付けられた警告メッセージを、ユーザインターフェースにおいて提示するように構成される、システム。
  6. 請求項1に記載のシステムであって、
    前記プロセスに関係付けられた前記ポータブル実行可能ヘッダコードが前記指定のコードに一致する場合に、前記1つ以上のプロセッサは、さらに、前記プロセスが前記マルウェアプロセスに関係付けられている可能性があると決定し、前記プロセスの前記実行を防ぐように構成される、システム。
  7. 請求項6に記載のシステムであって、
    前記プロセスに関係付けられた前記ポータブル実行可能ヘッダコードが前記指定のコードに一致しない場合に、前記1つ以上のプロセッサは、さらに、前記プロセスが前記マルウェアプロセスに関係付けられていないと決定し、前記プロセスの前記実行を許可するように構成される、システム。
  8. マルウェアプロセスを検出するための方法であって、
    プロセスの起動を監視することと、
    前記プロセスの前記起動の完了に対応して、前記プロセスの実行より前に、1つ以上のプロセッサを使用して、前記プロセスに関係付けられたベースアドレスを決定することであって、前記プロセスに関係付けられた前記ベースアドレスは、そこから命令が読み出されて実行されるメモリブロックに関係付けられる、ベースアドレスの決定と、
    前記ベースアドレスに関係付けられた前記メモリブロックの許可を決定することであって、前記メモリブロックの前記許可は、読み出し及び書き込みのうち少なくとも1つが前記メモリブロックにおいて許可されたかどうかに関係付けられる、前記メモリブロックの許可の決定と、
    前記メモリブロックの前記決定された許可に少なくとも部分的に基づいて、前記プロセスがマルウェアプロセスに関係付けられている可能性があるかどうかを決定することと、
    前記メモリブロックの前記許可が読み出し専用許可を含む場合に、
    前記プロセスが前記マルウェアプロセスに関係付けられている可能性がないことを決定することと、
    前記プロセスの前記実行を許可することと、
    前記メモリブロックの前記許可が前記読み出し専用許可を含まない場合に、
    前記プロセスに関係付けられたメモリ画像に含まれるポータブル実行可能ヘッダコードが指定のコードに一致するかどうかを決定することと、
    前記プロセスに関係付けられた前記メモリ画像に含まれる前記ポータブル実行可能ヘッダコードが前記指定のコードに一致するかどうかに少なくとも部分的に基づいて、前記プロセスが前記マルウェアプロセスに関係付けられている可能性があるかどうかを決定することと、
    前記プロセスに関係付けられた前記メモリ画像に含まれる前記ポータブル実行可能ヘッダコードが前記指定のコードに一致するかどうかに少なくとも部分的に基づいて、前記プロセスの前記実行を防ぐかどうかを決定することと、を含む、方法。
  9. 請求項8に記載の方法であって、
    前記ベースアドレスは、前記プロセスに対応する拡張指示ポインタ情報に関係付けられた戻りアドレスに少なくとも部分的に基づいて決定される、方法。
  10. 請求項8に記載の方法であって、
    前記読み出し専用許可を含まない前記許可は、書き込みを許可する、方法。
  11. 請求項10に記載の方法であって、
    前記メモリブロックの前記許可が前記読み出し専用許可を含まない場合に、さらに、前記マルウェアプロセスに関係付けられた警告メッセージを、ユーザインターフェースにおいて提示することを含む、方法。
  12. 請求項8に記載の方法であって、
    前記プロセスに関係付けられた前記ポータブル実行可能ヘッダコードが前記指定のコードに一致する場合に、さらに、前記プロセスが前記マルウェアプロセスに関係付けられている可能性があると決定し、前記プロセスの前記実行を防ぐことを含む、方法。
  13. 請求項8に記載の方法であって、
    前記プロセスに関係付けられた前記ポータブル実行可能ヘッダコードが前記指定のコードに一致しない場合に、さらに、前記プロセスが前記マルウェアプロセスに関係付けられていないと決定し、前記プロセスの前記実行を許可することを含む、方法。
  14. マルウェアプロセスを検出するためのコンピュータプログラムであって、コンピュータを使用して、
    プロセスの起動を監視する機能と、
    前記プロセスの前記起動の完了に対応して、前記プロセスの実行より前に、前記プロセスに関係付けられたベースアドレスを決定するための機能であって、前記プロセスに関係付けられた前記ベースアドレスは、そこから命令が読み出されて実行されるメモリブロックに関係付けられる、ベースアドレスの決定機能と、
    前記ベースアドレスに関係付けられた前記メモリブロックの許可を決定する機能であって、前記メモリブロックの許可は、読み出し及び書き込みのうち少なくとも1つが前記メモリブロックにおいて許可されたかどうかに関係付けられる、前記メモリブロックの許可決定機能と、
    前記メモリブロックの前記決定された許可に少なくとも部分的に基づいて、前記プロセスがマルウェアプロセスに関係付けられている可能性があるかどうかを決定する機能と、
    前記メモリブロックの前記許可が読み出し専用許可を含む場合に、
    前記プロセスが前記マルウェアプロセスに関係付けられている可能性がないことを決定し、
    前記プロセスの前記実行を許可し、
    前記メモリブロックの前記許可が前記読み出し専用許可を含まない場合に、
    前記プロセスに関係付けられたメモリ画像に含まれるポータブル実行可能ヘッダコードが指定のコードに一致するかどうかを決定し、
    前記プロセスに関係付けられた前記メモリ画像に含まれる前記ポータブル実行可能ヘッダコードが前記指定のコードに一致するかどうかに少なくとも部分的に基づいて、前記プロセスが前記マルウェアプロセスに関係付けられている可能性があるかどうかを決定し、
    前記プロセスに関係付けられた前記メモリ画像に含まれる前記ポータブル実行可能ヘッダコードが前記指定のコードに一致するかどうかに少なくとも部分的に基づいて、前記プロセスの前記実行を防ぐかどうかを決定する、
    機能と、を実現するための、コンピュータプログラム。
JP2015525646A 2012-08-28 2013-08-26 マルウェアプロセスの検出 Expired - Fee Related JP5882542B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
CN201210310462.4 2012-08-28
CN201210310462.4A CN103632088A (zh) 2012-08-28 2012-08-28 一种木马检测方法及装置
US13/973,229 US9152788B2 (en) 2012-08-28 2013-08-22 Detecting a malware process
US13/973,229 2013-08-22
PCT/US2013/056562 WO2014035857A1 (en) 2012-08-28 2013-08-26 Detecting a malware process

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2016018519A Division JP6165900B2 (ja) 2012-08-28 2016-02-03 マルウェアプロセスの検出

Publications (3)

Publication Number Publication Date
JP2015523668A JP2015523668A (ja) 2015-08-13
JP2015523668A5 JP2015523668A5 (ja) 2016-01-21
JP5882542B2 true JP5882542B2 (ja) 2016-03-09

Family

ID=50189431

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2015525646A Expired - Fee Related JP5882542B2 (ja) 2012-08-28 2013-08-26 マルウェアプロセスの検出
JP2016018519A Active JP6165900B2 (ja) 2012-08-28 2016-02-03 マルウェアプロセスの検出

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2016018519A Active JP6165900B2 (ja) 2012-08-28 2016-02-03 マルウェアプロセスの検出

Country Status (6)

Country Link
US (2) US9152788B2 (ja)
EP (2) EP2891104B1 (ja)
JP (2) JP5882542B2 (ja)
CN (1) CN103632088A (ja)
TW (1) TWI554907B (ja)
WO (1) WO2014035857A1 (ja)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10223530B2 (en) * 2013-11-13 2019-03-05 Proofpoint, Inc. System and method of protecting client computers
US9378367B2 (en) * 2014-03-31 2016-06-28 Symantec Corporation Systems and methods for identifying a source of a suspect event
CN106295328B (zh) 2015-05-20 2019-06-18 阿里巴巴集团控股有限公司 文件检测方法、装置及系统
WO2016186902A1 (en) * 2015-05-20 2016-11-24 Alibaba Group Holding Limited Detecting malicious files
US10083296B2 (en) * 2015-06-27 2018-09-25 Mcafee, Llc Detection of malicious thread suspension
CN105608377A (zh) * 2015-12-24 2016-05-25 国家电网公司 一种信息系统进程安全管理系统及管理方法
US10049214B2 (en) * 2016-09-13 2018-08-14 Symantec Corporation Systems and methods for detecting malicious processes on computing devices
CN110414230B (zh) * 2019-06-21 2022-04-08 腾讯科技(深圳)有限公司 病毒查杀方法、装置、计算机设备和存储介质
CN111552962B (zh) * 2020-03-25 2024-03-01 三六零数字安全科技集团有限公司 一种基于Windows操作系统的U盘PE格式文件病毒的拦截方法
US11874920B2 (en) * 2020-12-30 2024-01-16 Acronis International Gmbh Systems and methods for preventing injections of malicious processes in software
CN112948863B (zh) * 2021-03-15 2022-07-29 清华大学 敏感数据的读取方法、装置、电子设备及存储介质

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5812848A (en) * 1995-08-23 1998-09-22 Symantec Corporation Subclassing system for computer that operates with portable-executable (PE) modules
US7493498B1 (en) * 2002-03-27 2009-02-17 Advanced Micro Devices, Inc. Input/output permission bitmaps for compartmentalized security
EP1684151A1 (en) * 2005-01-20 2006-07-26 Grant Rothwell William Computer protection against malware affection
US7937763B2 (en) * 2005-02-25 2011-05-03 Panasonic Corporation Processor and processing apparatus performing virus protection
US7673345B2 (en) 2005-03-31 2010-03-02 Intel Corporation Providing extended memory protection
KR100843701B1 (ko) * 2006-11-07 2008-07-04 소프트캠프(주) 콜 스택에 기록된 정보를 이용한 에이피아이 확인방법
US7917725B2 (en) * 2007-09-11 2011-03-29 QNX Software Systems GmbH & Co., KG Processing system implementing variable page size memory organization using a multiple page per entry translation lookaside buffer
US8578483B2 (en) * 2008-07-31 2013-11-05 Carnegie Mellon University Systems and methods for preventing unauthorized modification of an operating system
US8826071B2 (en) * 2009-07-29 2014-09-02 Reversinglabs Corporation Repairing portable executable files
US8572740B2 (en) 2009-10-01 2013-10-29 Kaspersky Lab, Zao Method and system for detection of previously unknown malware
TW201137660A (en) * 2009-12-23 2011-11-01 Ibm Method and system for protecting an operating system against unauthorized modification
CN101826139B (zh) * 2009-12-30 2012-05-30 厦门市美亚柏科信息股份有限公司 一种非可执行文件挂马检测方法及其装置
US8468602B2 (en) 2010-03-08 2013-06-18 Raytheon Company System and method for host-level malware detection
US20120036569A1 (en) * 2010-04-05 2012-02-09 Andrew Cottrell Securing portable executable modules
KR101122650B1 (ko) * 2010-04-28 2012-03-09 한국전자통신연구원 정상 프로세스에 위장 삽입된 악성코드 탐지 장치, 시스템 및 방법
AU2011293160B2 (en) * 2010-08-26 2015-04-09 Verisign, Inc. Method and system for automatic detection and analysis of malware
TW201220186A (en) * 2010-11-04 2012-05-16 Inventec Corp Data protection method for damaged memory cells
US8955132B2 (en) 2011-04-14 2015-02-10 F-Secure Corporation Emulation for malware detection
RU2487405C1 (ru) * 2011-11-24 2013-07-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ для исправления антивирусных записей
US9614865B2 (en) * 2013-03-15 2017-04-04 Mcafee, Inc. Server-assisted anti-malware client
EP2784716A1 (en) * 2013-03-25 2014-10-01 British Telecommunications public limited company Suspicious program detection

Also Published As

Publication number Publication date
EP2891104A1 (en) 2015-07-08
US9516056B2 (en) 2016-12-06
EP3422238B1 (en) 2020-03-11
JP2016105310A (ja) 2016-06-09
EP3422238A1 (en) 2019-01-02
TWI554907B (zh) 2016-10-21
US20160087998A1 (en) 2016-03-24
WO2014035857A1 (en) 2014-03-06
TW201409272A (zh) 2014-03-01
JP6165900B2 (ja) 2017-07-19
US9152788B2 (en) 2015-10-06
US20140068774A1 (en) 2014-03-06
JP2015523668A (ja) 2015-08-13
EP2891104B1 (en) 2018-10-10
CN103632088A (zh) 2014-03-12

Similar Documents

Publication Publication Date Title
JP6165900B2 (ja) マルウェアプロセスの検出
US10810309B2 (en) Method and system for detecting kernel corruption exploits
EP3123311B1 (en) Malicious code protection for computer systems based on process modification
CN107066311B (zh) 一种内核数据访问控制方法与系统
US8364973B2 (en) Dynamic generation of integrity manifest for run-time verification of software program
EP2666116B1 (en) System and method for supporting jit in a secure system with randomly allocated memory ranges
US20160110545A1 (en) Code pointer authentication for hardware flow control
JP2016081522A (ja) メモリからの情報漏洩を低減するためのシステム及び方法
US11055168B2 (en) Unexpected event detection during execution of an application
US9942268B1 (en) Systems and methods for thwarting unauthorized attempts to disable security managers within runtime environments
TW202101262A (zh) 內核安全檢測方法、裝置、設備及儲存媒體
CN110688650B (zh) 访问请求的监测方法及装置、存储介质、计算机设备
JP2011145945A (ja) マルウェア検出装置及びマルウェア検出方法
CN113646763B (zh) shellcode的检测方法及装置
US10691586B2 (en) Apparatus and method for software self-test
KR102411770B1 (ko) 전자 장치를 보호하기 위한 장치 및 방법
CN112395609A (zh) 应用层shellcode的检测方法及装置
Chen et al. Vulnerability-based backdoors: Threats from two-step trojans
CN112948241B (zh) 应用程序的反调试方法、装置、电子设备及存储介质
CN112395599B (zh) 系统内核数据的攻击检测方法及装置、存储介质、计算机设备
US20210390176A1 (en) Electronic device and control method therefor
CN114282178A (zh) 一种软件自防护方法、装置、电子设备及存储介质
JP6594213B2 (ja) 制御装置およびプログラム
Hou et al. An Enhancement Method for Android Permission Mechanism based on Context

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150323

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150128

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20151124

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20151124

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20151218

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20151224

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160112

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160203

R150 Certificate of patent or registration of utility model

Ref document number: 5882542

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees