JP5996145B1 - プログラム、情報処理装置、及び情報処理方法 - Google Patents
プログラム、情報処理装置、及び情報処理方法 Download PDFInfo
- Publication number
- JP5996145B1 JP5996145B1 JP2016139145A JP2016139145A JP5996145B1 JP 5996145 B1 JP5996145 B1 JP 5996145B1 JP 2016139145 A JP2016139145 A JP 2016139145A JP 2016139145 A JP2016139145 A JP 2016139145A JP 5996145 B1 JP5996145 B1 JP 5996145B1
- Authority
- JP
- Japan
- Prior art keywords
- file
- function
- path
- predetermined process
- called
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
Description
本発明が適用される一般的な情報処理装置及びその動作について図1乃至図3を用いて説明する。
本発明の原理について図4乃至図16を用いて説明する。
本願発明者等は、まず、国内外で被害が報告されている主なランサムウェア複数種について、ファイルの暗号化を行う際のファイル操作に関わる挙動について解析した。具体的には、4種類のランサムウェア、CryptoLocker、CryptWall、CERBER、TeslaCryptのファイル操作の挙動について解析した。
(a)ランサムウェアCryptoLockerの分析
APIモニター(API Monitor)という解析ツールを用いてランサムウェアCryptoLockerの動作を分析した。APIモニターは、アプリケーションから呼ばれるWindows API(Application Programming Interface)コールの引数、戻り値を、アプリケーションを変更することなくモニターすることができるプログラムである。Windowsは登録商標である。
(1)FindFirstFile、FindNextFileによりファイルを検索する。FindFirstFile、 FindNextFileは、セットで使用される検索用のWindows API関数である。
(2)CreateFileにより暗号化対象のファイルを開く。
(3)開いたファイルに対し、ReadFile、WriteFileでファイルを書き換えて暗号化する。すなわち、ReadFileにより、暗号化対象ファイルのファイル内容を読み込み、読み込んだ暗号化対象ファイル内容をマルウェアが暗号化し、暗号化された後のデータをWriteFileにより元の暗号化対象ファイルに書き込む。
(1)ファイル検索のWindows API関数であるFindFirstFile、FindNextFileが呼び出される。
(2)ファイルを開くWindows API関数であるCreateFileが呼び出される。
(3)CreateFileの対象ファイルに、ファイルを読み出すWindows API関数であるReadFileと、ファイルにデータを書き込むWindows API関数であるWriteFileが呼び出される。
(4)CreateFileの対象ファイルのヘッダが、ランサムウェアCryptoLockerのアクセス前後で相違している。
(b)ランサムウェアCryptoWallの分析
プログラムのデバッグを支援するプログラムであるデバッガ(Debugger)を用いてランサムウェアCryptoWallの動作を分析した。
(1)ファイル検索のWindows API関数であるFindFirstFile、FindNextFileが呼び出される。
(2)ファイルを開くWindows API関数であるCreateFileが呼び出される。
(3)CreateFileの対象ファイルに、ファイルを読み出すWindows API関数であるReadFileと、ファイルにデータを書き込むWindows API関数であるWriteFileが呼び出される。
(4)CreateFileの対象ファイルのヘッダが、ランサムウェアCryptoWallのアクセス前後で相違している。
(5)ファイルを移動するWindows API関数であるMoveFileExが呼び出され、移動元の移動先が同じでファイル名が変更される。
(c)ランサムウェアCERBERの分析
プログラムのデバッグを支援するプログラムであるデバッガ(Debugger)を用いてランサムウェアCERBERの動作を分析した。
(1)ファイル検索のWindows API関数であるCreateFileが呼び出される。
(2)CreateFileの対象ファイルに、ファイルを読み出すWindows API関数であるReadFileと、ファイルにデータを書き込むWindows API関数であるWriteFileが呼び出される。
(3)CreateFileの対象ファイルのヘッダが、ランサムウェアCERBERのアクセス前後で相違している。
(4)ファイルを移動するWindows API関数であるMoveFileExが呼び出され、移動元の移動先が同じでファイル名が変更される。
(d)ランサムウェアTeslaCryptの分析
プログラムのデバッグを支援するプログラムであるデバッガ(Debugger)を用いてランサムウェアTeslaCryptの動作を分析した。
(1)ファイル検索のWindows API関数であるFindFirstFile、FindNextFileが呼び出される。
(2)ファイル検索のWindows API関数であるCreateFileが呼び出される。
(3)CreateFileの対象ファイルに、ファイルを読み出すWindows API関数であるReadFileと、ファイルにデータを書き込むWindows API関数であるWriteFileが呼び出される。
(4)CreateFileの対象ファイルのヘッダが、ランサムウェアTeslaCryptのアクセス前後で相違している。
本願発明者等は、これら4種類のランサムウェアの分析結果から、ファイルを暗号化する際のファイル操作の挙動に、次のような共通する挙動があることに気がついた。
(1)ファイルを開くWindows API関数であるCreateFileが呼び出される。
(2)CreateFileの対象ファイルに、Windows API関数であるReadFile、WriteFileが1回以上呼び出される。
(3)CreateFileの対象ファイルのヘッダが変化している。
本発明の第1実施形態によるプログラム、情報処理装置及び情報処理方法について図17乃至図43を用いて説明する。
本実施形態の概要について図17及び図18を用いて説明する。
本発明プログラムは、監視対象プロセスにおいて、ランサムウェアの分析結果から得られた共通の挙動であるWindows API関数をフックすることにより、ランサムウェアの検知および防御を実現する。
HookReadFileは、ReadFile(ファイル読出関数)をフックするWindows API関数である。
(a)通知元API名。フックするWindows API関数の名前であるReadFileである。
(b)自身のプロセスID。フックするReadFileを呼び出す監視対象プロセスのプロセスIDである。
(c)ReadFileの対象ファイルパス。通知元APIであるReadFileのパラメータに指定されたファイルハンドルを示すファイルパスである。
また、ファイルパス(C:\Users\user\desktop\note.doc)からファイル名(note.doc)を除いたファイルパス(C:\Users\user\desktop\)のことを「フォルダパス」と言う。
HookWriteFileは、WriteFile(ファイル書込関数)をフックするWindows API関数である。
本発明プログラムを、システム上において動作する全てのプロセスから呼び出される全てのReadFile、WriteFileをフックし、そのプロセスがランサムウェアである否かを判断することは、システムに新たな負荷を加えることになる。
「ランサムウェアによるファイル暗号化操作であることの判断基準」の条件(A)は、HookWriteFileからの書き込み対象ファイルへの書き込み開始位置が先頭又はヘッダ範囲内であることである。この条件(A)は、監視対象プログラムがファイルのヘッダを書き換えるものであるかを判断するための条件である。監視対象プログラムがファイルのヘッダを書き換える場合には、監視対象プログラムがランサムウェアの可能性があると判断する。監視対象プログラムがファイルのヘッダ以外の部分を書き換える場合には、通常の書き換え処理でありランサムウェアの可能性がないと判断する。
本発明プログラムが、監視対象プログラムをランサムウェアであると判断した場合の対処行動について説明する。
図26に、本発明プログラムによるHookReadFileによる動作とHookWriteFileによる動作のイメージをまとめて示す。
本発明プログラムが、Windows APIをフックする具体的な方法について、図27乃至図34を用いて説明する。
本発明プログラムが監視対象プログラムをランサムウェアであると判断した場合には、ランサムウェアによるファイルの暗号化を防ぐため、監視対象プログラムによるプロセスを強制終了する。
HookFindNextFileは、FindNextFile(ファイル検索関数)をフックするWindows API関数である。
(a)通知元API名。フックするWindows API関数の名前であるFindNextFileである。
(b)自身のプロセスID。フックするFindNextFileを呼び出す監視対象プロセスのプロセスIDである。
(c)通知元APIであるFindNextFileのパラメータで指定されたデータバッファから取得できるファイル名。データバッファには次のファイルの情報が格納されている。
"C:\Users\user\Documents\"内のファイル"description.doc"に対して同様な処理を行っていることが記録されている。WriteFileにより、ファイル"description.doc"のヘッダが変更されたことが検出された場合には、暗号化処理が同一フォルダ内の複数のファイルに対して連続して行われていると判断する。
設定画面では、チェックボタンの後に「複数のファイルに対する暗号化処理を検知条件の入れる」を表示すると共に、「チェックを入れない場合は単一ファイルに対する暗号化処理も検知対象に含まれます」との注意書きを表示する。ユーザーがチェックボタンをチェックすることに検知条件を変更することができる。
HookMoveFileは、MoveFile(MoveFileA、MoveFileW、MoveFileExA、MoveFileExW)(ファイル移動関数)をフックするWindows API関数である。
(a)通知元API名。フックするWindows API関数の名前であるMoveFileである。
(b)自身のプロセスID。フックするMoveFileを呼び出す監視対象プロセスのプロセスIDである。
(c)通知元APIであるMoveFileの第一引数と第二引数で指定されたファイルパス。
"C:\Users\user\Documents\"内のファイル"description.doc"に対して同様な処理を行っていることが記録されている。WriteFileによりファイル"description.doc"のヘッダが変更されたことが検出された場合には、"description.doc"が暗号化処理され、かつ、"description.doc"のファイル名も"p6dfg7p4.vvv"暗号化処理されていると判断する。
設定画面では、チェックボタンの後に「「ファイル名の変化」を検知条件に入れる」を表示すると共に、「チェックを入れない場合はファイル名が変化しない暗号化処理も検知対象に含まれます」「チェックを入れた場合はファイル名の変化に関する情報が検知時に表示され、対処を選択可能となります」との注意書きを表示する。ユーザーがチェックボタンをチェックすることで警告するか否かを設定することができる。
本発明の第2実施形態によるプログラム、情報処理装置及び情報処理方法について図44乃至図51を用いて説明する。
(ステップ1):ReadFileにより、ファイルAを読み込みメモリ23上で暗号化する。
(ステップ2):メモリ23上のファイルAの暗号化されたデータを、WriteFileにより、任意の場所にファイルBとして作成する。
(ステップ3−A):暗号化されたファイルBを、MoveFileにより、ファイル名をファイルCに変更する。
(ステップ3−B):暗号化されたファイルBを、MoveFileにより、ファイル名をファイルAに変更し、ファイルAが存在したフォルダに移動することでファイルAを上書きする。
(ステップ4):MoveFileにより、ファイルCをファイルAが存在したフォルダに移動する。
(ステップ5):DeleteFileにより、ファイルAを削除する。
図48に、ケース1の検知の事前処理を示す。
図51に、ケース2の検知の事前処理を示す。
本発明は上記実施形態に限らず種々の変形が可能である。
20…コンピューター(PC)
30…外部周辺装置
21…CPU
22…ハードディスク
23…メモリ
24…入出力装置
25…ディスプレイ
31…プリンター
32…外部記憶装置
Claims (16)
- コンピューターを、
所定のプロセスから呼び出されるファイル書込関数がデータを書き込むファイルパスと同一のファイルパスに対して、前記所定のプロセスからファイル読出関数が既に呼び出されているという第1の条件と、前記ファイル書込関数が、前記ファイルパスのファイルのヘッダを書き換えるという第2の条件とを満足する場合に、前記所定のプロセスをランサムウェアと判断する判断部
として機能させるためのプログラム。 - 請求項1記載のプログラムにおいて、
前記判断部は、
前記第1の条件及び前記第2の条件に加えて、前記ファイルパスのファイルがヘッダを有しないテキストファイルであるという第3の条件とを満足する場合には、前記所定のプロセスをランサムウェアとして処理するか否かの処理の選択肢をユーザーに提示する
ことを特徴とするプログラム。 - 請求項1又は2記載のプログラムにおいて、
前記判断部は、
前記第1の条件及び前記第2の条件に加えて、前記所定のプロセスから、前記ファイル書込関数の呼び出しの前に、前記ファイルパスに含まれるパスと同一のパスにおける他のファイルを検索するファイル検索関数が呼びだされているという第4の条件とを満足する場合に、前記所定のプロセスをランサムウェアと判断する
ことを特徴とするプログラム。 - 請求項1乃至3のいずれか1項に記載のプログラムにおいて、
前記判断部は、
前記第1の条件及び前記第2の条件に加えて、前記所定のプロセスから、前記ファイル書込関数の呼び出しの後に、前記ファイルパスに含まれるパスと同一のパスを移動元のパスとし、前記ファイルパスに含まれるパスと同一のパスを移動元のパスとするファイル移動関数が呼びだされているという第5の条件を満足する場合に、前記所定のプロセスをランサムウェアと判断する
ことを特徴とするプログラム。 - コンピューターを、
所定のプロセスから呼び出されるファイル削除関数が削除するファイルパスと同一のファイルパスに対して、前記所定のプロセスからファイル読出関数が既に呼び出されているという第1の条件と、前記所定のプロセスから呼び出される前記ファイル削除関数が削除する前記ファイルパスと同一のファイルパスを移動先とする第1のファイル移動関数が既に呼び出されているという第2の条件と、前記所定のプロセスから呼び出される第2のファイル移動関数の移動元のファイルパスと同一のファイルパスに対して、前記所定のプロセスからファイル書込関数が既に呼び出されているという第3の条件と、前記第1のファイル移動関数の移動元のファイルパスのファイルのヘッダと、前記ファイル削除関数が削除する前記ファイルパスのファイルのヘッダとが相違しているという第4の条件とを満足する場合に、前記所定のプロセスをランサムウェアと判断する判断部
として機能させるためのプログラム。 - コンピューターを、
所定のプロセスから呼び出されるファイル移動関数の移動先のファイルパスと同一のファイルパスに対して、前記所定のプロセスからファイル読出関数が既に呼び出されているという第1の条件と、前記ファイル移動関数の移動元のファイルパスと同一のファイルパスに対して、前記所定のプロセスからファイル書込関数が既に呼び出されているという第2の条件と、前記ファイル移動関数の移動元のファイルパスのファイルのヘッダと、前記ファイル移動関数の移動先のファイルパスのファイルのヘッダとが相違しているという第3の条件とを満足する場合に、前記所定のプロセスをランサムウェアと判断する判断部
として機能させるためのプログラム。 - コンピューターに、
所定のプロセスから呼び出されるファイル書込関数がデータを書き込むファイルパスと同一のファイルパスに対して、前記所定のプロセスからファイル読出関数が既に呼び出されているという第1の条件と、前記ファイル書込関数が、前記ファイルパスのファイルのヘッダを書き換えるという第2の条件とを満足する場合に、前記所定のプロセスをランサムウェアと判断する手順
を実行させるためのプログラム。 - コンピューターに、
所定のプロセスから呼び出されるファイル削除関数が削除するファイルパスと同一のファイルパスに対して、前記所定のプロセスからファイル読出関数が既に呼び出されているという第1の条件と、前記所定のプロセスから呼び出される前記ファイル削除関数が削除する前記ファイルパスと同一のファイルパスを移動先とする第1のファイル移動関数が既に呼び出されているという第2の条件と、前記所定のプロセスから呼び出される第2のファイル移動関数の移動元のファイルパスと同一のファイルパスに対して、前記所定のプロセスからファイル書込関数が既に呼び出されているという第3の条件と、前記第1のファイル移動関数の移動元のファイルパスのファイルのヘッダと、前記ファイル削除関数が削除する前記ファイルパスのファイルのヘッダとが相違しているという第4の条件とを満足する場合に、前記所定のプロセスをランサムウェアと判断する手順
を実行させるためのプログラム。 - コンピューターに、
所定のプロセスから呼び出されるファイル移動関数の移動先のファイルパスと同一のファイルパスに対して、前記所定のプロセスからファイル読出関数が既に呼び出されているという第1の条件と、前記ファイル移動関数の移動元のファイルパスと同一のファイルパスに対して、前記所定のプロセスからファイル書込関数が既に呼び出されているという第2の条件と、前記ファイル移動関数の移動元のファイルパスのファイルのヘッダと、前記ファイル移動関数の移動先のファイルパスのファイルのヘッダとが相違しているという第3の条件とを満足する場合に、前記所定のプロセスをランサムウェアと判断する手順
を実行させるためのプログラム。 - 請求項1乃至9のいずれか1項に記載のプログラムを記録したコンピューター読み取り可能な記録媒体。
- 所定のプロセスから呼び出されるファイル書込関数がデータを書き込むファイルパスと同一のファイルパスに対して、前記所定のプロセスからファイル読出関数が既に呼び出されているという第1の条件と、前記ファイル書込関数が、前記ファイルパスのファイルのヘッダを書き換えるという第2の条件とを満足する場合に、前記所定のプロセスをランサムウェアと判断する判断部
を有することを特徴とする情報処理装置。 - 所定のプロセスから呼び出されるファイル削除関数が削除するファイルパスと同一のファイルパスに対して、前記所定のプロセスからファイル読出関数が既に呼び出されているという第1の条件と、前記所定のプロセスから呼び出される前記ファイル削除関数が削除する前記ファイルパスと同一のファイルパスを移動先とする第1のファイル移動関数が既に呼び出されているという第2の条件と、前記所定のプロセスから呼び出される第2のファイル移動関数の移動元のファイルパスと同一のファイルパスに対して、前記所定のプロセスからファイル書込関数が既に呼び出されているという第3の条件と、前記第1のファイル移動関数の移動元のファイルパスのファイルのヘッダと、前記ファイル削除関数が削除する前記ファイルパスのファイルのヘッダとが相違しているという第4の条件とを満足する場合に、前記所定のプロセスをランサムウェアと判断する判断部
を有することを特徴とする情報処理装置。 - 所定のプロセスから呼び出されるファイル移動関数の移動先のファイルパスと同一のファイルパスに対して、前記所定のプロセスからファイル読出関数が既に呼び出されているという第1の条件と、前記ファイル移動関数の移動元のファイルパスと同一のファイルパスに対して、前記所定のプロセスからファイル書込関数が既に呼び出されているという第2の条件と、前記ファイル移動関数の移動元のファイルパスのファイルのヘッダと、前記ファイル移動関数の移動先のファイルパスのファイルのヘッダとが相違しているという第3の条件とを満足する場合に、前記所定のプロセスをランサムウェアと判断する判断部
を有することを特徴とする情報処理装置。 - 所定のプロセスから呼び出されるファイル書込関数がデータを書き込むファイルパスと同一のファイルパスに対して、前記所定のプロセスからファイル読出関数が既に呼び出されているという第1の条件と、前記ファイル書込関数が、前記ファイルパスのファイルのヘッダを書き換えるという第2の条件とを満足する場合に、前記所定のプロセスをランサムウェアと判断する
ことを特徴とする情報処理方法。 - 所定のプロセスから呼び出されるファイル削除関数が削除するファイルパスと同一のファイルパスに対して、前記所定のプロセスからファイル読出関数が既に呼び出されているという第1の条件と、前記所定のプロセスから呼び出される前記ファイル削除関数が削除する前記ファイルパスと同一のファイルパスを移動先とする第1のファイル移動関数が既に呼び出されているという第2の条件と、前記所定のプロセスから呼び出される第2のファイル移動関数の移動元のファイルパスと同一のファイルパスに対して、前記所定のプロセスからファイル書込関数が既に呼び出されているという第3の条件と、前記第1のファイル移動関数の移動元のファイルパスのファイルのヘッダと、前記ファイル削除関数が削除する前記ファイルパスのファイルのヘッダとが相違しているという第4の条件とを満足する場合に、前記所定のプロセスをランサムウェアと判断する
ことを特徴とする情報処理方法。 - 所定のプロセスから呼び出されるファイル移動関数の移動先のファイルパスと同一のファイルパスに対して、前記所定のプロセスからファイル読出関数が既に呼び出されているという第1の条件と、前記ファイル移動関数の移動元のファイルパスと同一のファイルパスに対して、前記所定のプロセスからファイル書込関数が既に呼び出されているという第2の条件と、前記ファイル移動関数の移動元のファイルパスのファイルのヘッダと、前記ファイル移動関数の移動先のファイルパスのファイルのヘッダとが相違しているという第3の条件とを満足する場合に、前記所定のプロセスをランサムウェアと判断する
ことを特徴とする情報処理方法。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016139145A JP5996145B1 (ja) | 2016-07-14 | 2016-07-14 | プログラム、情報処理装置、及び情報処理方法 |
US15/645,270 US10264002B2 (en) | 2016-07-14 | 2017-07-10 | Program, information processing device, and information processing method |
US16/144,606 US11159541B2 (en) | 2016-07-14 | 2018-09-27 | Program, information processing device, and information processing method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016139145A JP5996145B1 (ja) | 2016-07-14 | 2016-07-14 | プログラム、情報処理装置、及び情報処理方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP5996145B1 true JP5996145B1 (ja) | 2016-09-21 |
JP2018010499A JP2018010499A (ja) | 2018-01-18 |
Family
ID=56960921
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016139145A Active JP5996145B1 (ja) | 2016-07-14 | 2016-07-14 | プログラム、情報処理装置、及び情報処理方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5996145B1 (ja) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106778267A (zh) * | 2016-11-24 | 2017-05-31 | 北京金山安全管理系统技术有限公司 | 一种应用于计算机文件的加密病毒的拦截方法及系统 |
JP6219550B1 (ja) * | 2017-05-19 | 2017-10-25 | 三井物産セキュアディレクション株式会社 | プログラム、情報処理装置、及び情報処理方法 |
WO2018056601A1 (ko) * | 2016-09-22 | 2018-03-29 | 주식회사 위드네트웍스 | 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치 및 차단 방법 |
KR20190006429A (ko) * | 2017-07-10 | 2019-01-18 | 한국전자통신연구원 | 랜섬웨어 감지 장치 및 그 동작 방법 |
US10264002B2 (en) | 2016-07-14 | 2019-04-16 | Mitsui Bussan Secure Directions, Inc. | Program, information processing device, and information processing method |
JP2020502648A (ja) * | 2016-12-11 | 2020-01-23 | エンサイロ リミテッドenSilo Ltd. | クリプトウェアを検出するためのシステムおよび方法 |
JP2020522808A (ja) * | 2017-05-30 | 2020-07-30 | サイエンプティブ テクノロジーズ インコーポレイテッド | カーネルモードにおけるマルウェアおよびステガノグラフィのリアルタイム検出ならびにマルウェアおよびステガノグラフィからの保護 |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2697954C2 (ru) * | 2018-02-06 | 2019-08-21 | Акционерное общество "Лаборатория Касперского" | Система и способ создания антивирусной записи |
CN109376547A (zh) * | 2018-09-29 | 2019-02-22 | 北京邮电大学 | 基于文件路径的信息防护方法和系统 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140181971A1 (en) * | 2012-12-25 | 2014-06-26 | Kaspersky Lab Zao | System and method for detecting malware that interferes with the user interface |
EP3038003A1 (en) * | 2014-12-22 | 2016-06-29 | Alcatel Lucent | Method for protection against ransomware |
-
2016
- 2016-07-14 JP JP2016139145A patent/JP5996145B1/ja active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140181971A1 (en) * | 2012-12-25 | 2014-06-26 | Kaspersky Lab Zao | System and method for detecting malware that interferes with the user interface |
EP3038003A1 (en) * | 2014-12-22 | 2016-06-29 | Alcatel Lucent | Method for protection against ransomware |
Non-Patent Citations (2)
Title |
---|
JPN6016032092; 澤村 隆志 TAKASHI SAWAMURA: 'PC内のファイル改ざんを行うマルウェアの検知手法 A Proposal of Detection Method of Malware that Mod' 情報処理学会研究報告コンピュータセキュリティ 2012-CSEC-56巻, 11号, 20120229, pp.1-7, 一般社団法人情報処理学会 * |
JPN6016032093; 金岡 晃 Akira KANAOKA: 'ランサムウェアの脅威分析と対策検討 Ransomware: Threat Analysis and Countermeasures' 電子情報通信学会技術研究報告 IEICE Technical Report Vol.114 No.71, 20140606, pp.33-38, 一般社団法人電子情報通信学会 The Institute of Ele * |
Cited By (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10264002B2 (en) | 2016-07-14 | 2019-04-16 | Mitsui Bussan Secure Directions, Inc. | Program, information processing device, and information processing method |
US11159541B2 (en) | 2016-07-14 | 2021-10-26 | Mitsui Bussan Secure Directions, Inc | Program, information processing device, and information processing method |
JP2019531519A (ja) * | 2016-09-22 | 2019-10-31 | ウィズネットワークス カンパニー リミテッドwithnetworks Co.,Ltd. | コンテンツファイルアクセス制御を利用したランサムウェア遮断装置および遮断方法 |
KR101883713B1 (ko) * | 2016-09-22 | 2018-07-31 | 주식회사 위드네트웍스 | 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치 및 차단 방법 |
KR20180032409A (ko) * | 2016-09-22 | 2018-03-30 | 주식회사 위드네트웍스 | 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치 및 차단 방법 |
WO2018056601A1 (ko) * | 2016-09-22 | 2018-03-29 | 주식회사 위드네트웍스 | 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치 및 차단 방법 |
CN106778267A (zh) * | 2016-11-24 | 2017-05-31 | 北京金山安全管理系统技术有限公司 | 一种应用于计算机文件的加密病毒的拦截方法及系统 |
CN106778267B (zh) * | 2016-11-24 | 2019-12-17 | 北京金山安全管理系统技术有限公司 | 一种应用于计算机文件的加密病毒的拦截方法及系统 |
JP2020502648A (ja) * | 2016-12-11 | 2020-01-23 | エンサイロ リミテッドenSilo Ltd. | クリプトウェアを検出するためのシステムおよび方法 |
JP7027425B2 (ja) | 2016-12-11 | 2022-03-01 | フォーティネット インク | クリプトウェアを検出するためのシステムおよび方法 |
JP2018195155A (ja) * | 2017-05-19 | 2018-12-06 | 三井物産セキュアディレクション株式会社 | プログラム、情報処理装置、及び情報処理方法 |
JP6219550B1 (ja) * | 2017-05-19 | 2017-10-25 | 三井物産セキュアディレクション株式会社 | プログラム、情報処理装置、及び情報処理方法 |
US11575704B2 (en) | 2017-05-30 | 2023-02-07 | Cyemptive Technologies, Inc. | Real-time detection of and protection from malware and steganography in a kernel mode |
JP2020522808A (ja) * | 2017-05-30 | 2020-07-30 | サイエンプティブ テクノロジーズ インコーポレイテッド | カーネルモードにおけるマルウェアおよびステガノグラフィのリアルタイム検出ならびにマルウェアおよびステガノグラフィからの保護 |
JP7460696B2 (ja) | 2017-05-30 | 2024-04-02 | サイエンプティブ テクノロジーズ インコーポレイテッド | カーネルモードにおけるマルウェアおよびステガノグラフィのリアルタイム検出ならびにマルウェアおよびステガノグラフィからの保護 |
KR20190006429A (ko) * | 2017-07-10 | 2019-01-18 | 한국전자통신연구원 | 랜섬웨어 감지 장치 및 그 동작 방법 |
KR102145289B1 (ko) | 2017-07-10 | 2020-08-28 | 한국전자통신연구원 | 랜섬웨어 감지 장치 및 그 동작 방법 |
Also Published As
Publication number | Publication date |
---|---|
JP2018010499A (ja) | 2018-01-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5996145B1 (ja) | プログラム、情報処理装置、及び情報処理方法 | |
US11159541B2 (en) | Program, information processing device, and information processing method | |
US9824217B2 (en) | Runtime detection of self-replicating malware | |
US20240012907A1 (en) | Cloud based just in time memory analysis for malware detection | |
US20230222214A1 (en) | Detection of exploitative program code | |
JP5265061B1 (ja) | 悪意のあるファイル検査装置及び方法 | |
US20090038011A1 (en) | System and method of identifying and removing malware on a computer system | |
JP4732484B2 (ja) | 仮想環境を利用した非実行ファイル内のエクスプロイトコード分析方法及び装置 | |
US20080222215A1 (en) | Method for Deleting Virus Program and Method to Get Back the Data Destroyed by the Virus | |
JP6170900B2 (ja) | ファイル処理方法及び装置 | |
WO2015081791A1 (zh) | 内核级恶意软件查杀的方法和装置 | |
US10902122B2 (en) | Just in time memory analysis for malware detection | |
JP5955475B1 (ja) | プログラム、情報処理装置、及び情報処理方法 | |
JP6219550B1 (ja) | プログラム、情報処理装置、及び情報処理方法 | |
JP4050253B2 (ja) | コンピュータウィルス情報収集装置、コンピュータウィルス情報収集方法、及びプログラム | |
JP2019095882A (ja) | プログラム及び情報処理装置 | |
WO2020065778A1 (ja) | 情報処理装置、制御方法、及びプログラム | |
US11170112B2 (en) | Exploit detection via induced exceptions | |
US11899782B1 (en) | Preserving DLL hooks | |
US20240111860A1 (en) | Systems and methods for preventing hollowing attack | |
JP2017134805A (ja) | プログラム、情報処理装置、及び情報処理方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160715 |
|
A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20160715 |
|
A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20160816 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160823 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160823 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5996145 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |