JP5951879B2 - オペレーティングシステムに対する悪意ある活動のレポート - Google Patents
オペレーティングシステムに対する悪意ある活動のレポート Download PDFInfo
- Publication number
- JP5951879B2 JP5951879B2 JP2015501648A JP2015501648A JP5951879B2 JP 5951879 B2 JP5951879 B2 JP 5951879B2 JP 2015501648 A JP2015501648 A JP 2015501648A JP 2015501648 A JP2015501648 A JP 2015501648A JP 5951879 B2 JP5951879 B2 JP 5951879B2
- Authority
- JP
- Japan
- Prior art keywords
- bios
- processor
- operating system
- computer
- handler
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Debugging And Monitoring (AREA)
- Storage Device Security (AREA)
Description
Claims (21)
- オペレーティングシステムによってアクセス可能なメモリと、
検出された悪意あるソフトウェア活動に応じて、前記メモリの中にデータを保管して、前記活動を前記オペレーティングシステムに対してレポートする、基本入力/出力システム(BIOS)ハンドラと、
を含む、装置。 - 前記BIOSハンドラは、前記悪意あるソフトウェア活動に関する少なくとも一つの実行可能なインストラクションのアドレスを判断し、かつ、前記アドレスを表すデータを前記メモリの中に保管する、
請求項1に記載の装置。 - 前記メモリは、マイクロプロセッサのレジスタの少なくとも一つのビットを含む、
請求項1に記載の装置。 - 前記BIOSハンドラは、信号をアサートして、前記オペレーティングシステムに対して前記メモリを確認するように警告する、
請求項1に記載の装置。 - 前記BIOSハンドラは、システムマネジメントインタラプトに応じて呼び出される、
請求項1に記載の装置。 - 前記BIOSハンドラは、プロセッサのロックされたコンフィグレーションビットを変更するためのインストラクションを実行する試みを検出したことに応じて、呼び出されるように適合されている、
請求項1に記載の装置。 - 前記BIOSハンドラは、システムマネジメントモードの最中に、プロセッサの実行をシステムマネジメントモードインストラクションに対して期待されるロケーションの外部に保管されたインストラクションへ向けるためのインストラクションを実行する試みに応じて、呼び出されるように適合されている、
請求項1に記載の装置。 - 前記BIOSハンドラは、少なくとも部分的にコードセレクタとプロセッサのインストラクションポインタに基づいて、前記悪意あるソフトウェア活動に関する少なくとも一つの実行可能なインストラクションのアドレスを判断するように適合されている、
請求項1に記載の装置。 - 前記BIOSハンドラは、ゼネラルプロテクションエクセプション(GPE)ハンドラによって使用されるスタックから、前記悪意あるソフトウェア活動に関する少なくとも一つの実行可能なインストラクションのアドレスを判断するように適合されている、
請求項1に記載の装置。 - 前記オペレーティングシステムは、ホストオペレーティングシステムまたはゲストオペレーティングシステムを含む、
請求項1に記載の装置。 - コンピュータのプロセッサが、
オペレーティングシステムによってメモリにアクセスするステップと、
検出された前記コンピュータ上での悪意あるソフトウェア活動に応じて、前記メモリの中にデータを保管するステップと、
前記コンピュータの基本入力/出力オペレーティングシステム(BIOS)に、前記検出された前記コンピュータ上での悪意あるソフトウェア活動について警告するステップと、
前記コンピュータの前記オペレーティングシステムに対して前記検出をレポートするために、前記BIOSを使用するステップと、
を含む、方法。 - 前記BIOSを使用するステップは、
前記コンピュータのプロセッサが、前記悪意あるソフトウェア活動に関する少なくとも一つのマシンで実行可能なインストラクションのアドレスを前記オペレーティングシステムに対してレポートする段階、を含む、
請求項11に記載の方法。 - 前記BIOSに警告するステップは、
前記コンピュータのプロセッサが、前記プロセッサのロックされたコンフィグレーションビットを変更するためのインストラクションを実行する検出された試みに応じて、少なくとも一つのBIOSインストラクションを実行する段階、を含む、
請求項11に記載の方法。 - 前記BIOSに警告するステップは、
前記コンピュータのプロセッサが、前記プロセッサのシステムマネジメントモードの最中に、前記プロセッサをシステムマネジメントモードインストラクションに対して期待されるロケーションの外部に保管されたインストラクションを実行するように仕向けるためのインストラクションを実行する試みに応じて、少なくとも一つのBIOSインストラクションを実行する段階、を含む、
請求項11に記載の方法。 - 前記検出をレポートするために前記BIOSを使用するステップは、
前記コンピュータのプロセッサが、少なくとも部分的にコードセレクタとプロセッサのインストラクションポインタに基づいて、前記悪意あるソフトウェア活動に関する少なくとも一つのマシンで実行可能なインストラクションのアドレスを報告する段階、を含む、
請求項11に記載の方法。 - 前記検出をレポートするために前記BIOSを使用するステップは、
前記コンピュータのプロセッサが、少なくとも部分的にゼネラルプロテクションエクセプション(GPE)ハンドラによって使用されるスタックコンテンツに基づいて、前記悪意あるソフトウェア活動に関する少なくとも一つのマシンで実行可能なインストラクションのアドレスを報告する段階、を含む、
請求項11に記載の方法。 - レポートするために前記BIOSを使用するステップは、
前記コンピュータのプロセッサが、前記オペレーティングシステムによってアクセス可能なメモリを、前記悪意あるソフトウェア活動に関する少なくとも一つの実行可能なインストラクションのアドレスを表すデータで更新する段階、を含む、
請求項11に記載の方法。 - レポートするために前記BIOSを使用するステップは、
前記コンピュータのプロセッサが、前記検出された悪意あるソフトウェア活動について前記オペレーティングシステムに対して警告するために、プロセッサレジスタのコンテンツを変更する段階、を含む、
請求項11に記載の方法。 - 請求項11乃至18いずれか一項に記載の方法を実行するように構成されたプロセッサを含む、装置。
- コンピュータデバイス上で実行されると、請求項11乃至18いずれか一項に記載の方法を前記コンピュータデバイスに実行させる複数のインストラクションを含む、少なくとも一つのマシンで読取り可能な媒体。
- コンピュータデバイス上で実行されると、請求項11乃至18いずれか一項に記載の方法を前記コンピュータデバイスに実行させる複数のインストラクションを含む、コンピュータプログラム。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/US2012/031511 WO2013147859A1 (en) | 2012-03-30 | 2012-03-30 | Reporting malicious activity to an operating system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2015514252A JP2015514252A (ja) | 2015-05-18 |
JP5951879B2 true JP5951879B2 (ja) | 2016-07-13 |
Family
ID=49260914
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015501648A Expired - Fee Related JP5951879B2 (ja) | 2012-03-30 | 2012-03-30 | オペレーティングシステムに対する悪意ある活動のレポート |
Country Status (7)
Country | Link |
---|---|
US (1) | US9507937B2 (ja) |
EP (1) | EP2831788B1 (ja) |
JP (1) | JP5951879B2 (ja) |
KR (1) | KR101701014B1 (ja) |
CN (1) | CN104205113B (ja) |
AU (2) | AU2012375309A1 (ja) |
WO (1) | WO2013147859A1 (ja) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10275593B2 (en) * | 2013-04-01 | 2019-04-30 | Uniquesoft, Llc | Secure computing device using different central processing resources |
US9519775B2 (en) * | 2013-10-03 | 2016-12-13 | Qualcomm Incorporated | Pre-identifying probable malicious behavior based on configuration pathways |
US9213831B2 (en) | 2013-10-03 | 2015-12-15 | Qualcomm Incorporated | Malware detection and prevention by monitoring and modifying a hardware pipeline |
US9817975B2 (en) * | 2015-01-26 | 2017-11-14 | Dell Products, Lp | Method for logging firmware attack event and system therefor |
US9984230B2 (en) * | 2015-06-26 | 2018-05-29 | Mcafee, Llc | Profiling event based exploit detection |
JP6123931B1 (ja) * | 2016-03-15 | 2017-05-10 | 日本電気株式会社 | 情報処理装置、情報処理方法、およびプログラム |
US10949540B2 (en) * | 2018-03-20 | 2021-03-16 | Dell Products L.P. | Security policy enforcement based on dynamic security context updates |
US11151285B2 (en) * | 2019-03-06 | 2021-10-19 | International Business Machines Corporation | Detecting sensitive data exposure via logging |
US11948008B2 (en) | 2019-04-30 | 2024-04-02 | Hewlett-Packard Development Company, L.P. | System management memory coherency detection |
US10809944B1 (en) | 2020-01-22 | 2020-10-20 | Cypress Semiconductor Corporation | Memory device resilient to cyber-attacks and malfunction |
Family Cites Families (27)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5911777A (en) * | 1996-07-05 | 1999-06-15 | Ncr Corporation | Method and apparatus for reporting unauthorized attempt to release a portable computer from a docking station |
US6581162B1 (en) * | 1996-12-31 | 2003-06-17 | Compaq Information Technologies Group, L.P. | Method for securely creating, storing and using encryption keys in a computer system |
TW452733B (en) * | 1999-11-26 | 2001-09-01 | Inventec Corp | Method for preventing BIOS from viruses infection |
JP2002269065A (ja) * | 2001-03-08 | 2002-09-20 | Mitsubishi Electric Corp | プログラム可能な不揮発性メモリを内蔵したマイクロコンピュータ |
US7363657B2 (en) * | 2001-03-12 | 2008-04-22 | Emc Corporation | Using a virus checker in one file server to check for viruses in another file server |
TWI286701B (en) * | 2002-01-09 | 2007-09-11 | Via Tech Inc | Process for avoiding system infection of software viruses |
US7043666B2 (en) * | 2002-01-22 | 2006-05-09 | Dell Products L.P. | System and method for recovering from memory errors |
US7451324B2 (en) * | 2002-05-31 | 2008-11-11 | Advanced Micro Devices, Inc. | Secure execution mode exceptions |
US7421431B2 (en) * | 2002-12-20 | 2008-09-02 | Intel Corporation | Providing access to system management information |
US7051222B2 (en) * | 2002-12-31 | 2006-05-23 | Intel Corporation | Robust computer subsystem power management with or without explicit operating system support |
US7308584B2 (en) * | 2003-08-14 | 2007-12-11 | International Business Machines Corporation | System and method for securing a portable processing module |
US20050166213A1 (en) * | 2003-12-31 | 2005-07-28 | International Business Machines Corporation | Remote deployment of executable code in a pre-boot environment |
US7370190B2 (en) * | 2005-03-03 | 2008-05-06 | Digimarc Corporation | Data processing systems and methods with enhanced bios functionality |
US7500095B2 (en) * | 2006-03-15 | 2009-03-03 | Dell Products L.P. | Chipset-independent method for locally and remotely updating and configuring system BIOS |
US20070258469A1 (en) * | 2006-05-05 | 2007-11-08 | Broadcom Corporation, A California Corporation | Switching network employing adware quarantine techniques |
US20080134321A1 (en) * | 2006-12-05 | 2008-06-05 | Priya Rajagopal | Tamper-resistant method and apparatus for verification and measurement of host agent dynamic data updates |
US8341428B2 (en) * | 2007-06-25 | 2012-12-25 | International Business Machines Corporation | System and method to protect computing systems |
US8108768B2 (en) * | 2007-07-20 | 2012-01-31 | International Business Machines Corporation | Improving efficiency of content rule checking in a content management system |
WO2010116536A1 (en) * | 2009-04-06 | 2010-10-14 | Hitachi, Ltd. | Storage subsystem and its control method |
US8578138B2 (en) * | 2009-08-31 | 2013-11-05 | Intel Corporation | Enabling storage of active state in internal storage of processor rather than in SMRAM upon entry to system management mode |
JP2011113518A (ja) * | 2009-11-30 | 2011-06-09 | Toshiba Corp | 情報処理装置及びロック設定方法 |
US9063836B2 (en) * | 2010-07-26 | 2015-06-23 | Intel Corporation | Methods and apparatus to protect segments of memory |
US20120297177A1 (en) * | 2010-11-15 | 2012-11-22 | Ghosh Anup K | Hardware Assisted Operating System Switch |
US8813227B2 (en) * | 2011-03-29 | 2014-08-19 | Mcafee, Inc. | System and method for below-operating system regulation and control of self-modifying code |
CN103620613B (zh) * | 2011-03-28 | 2018-06-12 | 迈克菲股份有限公司 | 用于基于虚拟机监视器的反恶意软件安全的系统和方法 |
US8918907B2 (en) * | 2011-04-13 | 2014-12-23 | Phoenix Technologies Ltd. | Approaches for firmware to trust an application |
CN104115125B (zh) * | 2011-12-29 | 2017-12-01 | 英特尔公司 | 安全的错误处理 |
-
2012
- 2012-03-30 EP EP12872999.3A patent/EP2831788B1/en active Active
- 2012-03-30 US US13/992,009 patent/US9507937B2/en active Active
- 2012-03-30 KR KR1020147026665A patent/KR101701014B1/ko active IP Right Grant
- 2012-03-30 CN CN201280072136.2A patent/CN104205113B/zh active Active
- 2012-03-30 JP JP2015501648A patent/JP5951879B2/ja not_active Expired - Fee Related
- 2012-03-30 AU AU2012375309A patent/AU2012375309A1/en not_active Abandoned
- 2012-03-30 WO PCT/US2012/031511 patent/WO2013147859A1/en active Application Filing
-
2016
- 2016-07-18 AU AU2016206224A patent/AU2016206224A1/en not_active Abandoned
Also Published As
Publication number | Publication date |
---|---|
US9507937B2 (en) | 2016-11-29 |
WO2013147859A1 (en) | 2013-10-03 |
US20130340081A1 (en) | 2013-12-19 |
KR20140138206A (ko) | 2014-12-03 |
CN104205113B (zh) | 2017-07-11 |
EP2831788A4 (en) | 2015-10-14 |
AU2012375309A1 (en) | 2014-09-25 |
EP2831788B1 (en) | 2018-05-02 |
KR101701014B1 (ko) | 2017-01-31 |
EP2831788A1 (en) | 2015-02-04 |
AU2016206224A1 (en) | 2016-08-04 |
CN104205113A (zh) | 2014-12-10 |
JP2015514252A (ja) | 2015-05-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5951879B2 (ja) | オペレーティングシステムに対する悪意ある活動のレポート | |
JP6317435B2 (ja) | マルウェア検出のための複雑なスコアリング | |
US9037873B2 (en) | Method and system for preventing tampering with software agent in a virtual machine | |
US20170024238A1 (en) | Apparatus for Hardware Accelerated Runtime Integrity Measurement | |
US9171159B2 (en) | Performing security operations using binary translation | |
US11363058B2 (en) | Detecting execution of modified executable code | |
US10621340B2 (en) | Hybrid hypervisor-assisted security model | |
US11977631B2 (en) | Hypervisor level signature checks for encrypted trusted execution environments | |
EP3365794B1 (en) | Techniques for protecting memory pages of a virtual computing instance | |
US20210286877A1 (en) | Cloud-based method to increase integrity of a next generation antivirus (ngav) security solution in a virtualized computing environment | |
JP2015166952A (ja) | 情報処理装置、情報処理監視方法、プログラム、及び記録媒体 | |
CN111194447B (zh) | 监视控制流完整性 | |
Suzaki et al. | Kernel memory protection by an insertable hypervisor which has VM introspection and stealth breakpoints | |
CN111052114B (zh) | 入侵检测系统 | |
JP2018174001A (ja) | 情報処理装置、情報処理監視方法、プログラム、及び記録媒体 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150929 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20151104 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160202 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160510 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160608 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5951879 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |