JP6165900B2 - マルウェアプロセスの検出 - Google Patents
マルウェアプロセスの検出 Download PDFInfo
- Publication number
- JP6165900B2 JP6165900B2 JP2016018519A JP2016018519A JP6165900B2 JP 6165900 B2 JP6165900 B2 JP 6165900B2 JP 2016018519 A JP2016018519 A JP 2016018519A JP 2016018519 A JP2016018519 A JP 2016018519A JP 6165900 B2 JP6165900 B2 JP 6165900B2
- Authority
- JP
- Japan
- Prior art keywords
- base address
- malware
- memory block
- code
- memory
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 384
- 230000008569 process Effects 0.000 title claims description 348
- 238000001514 detection method Methods 0.000 title description 13
- 230000015654 memory Effects 0.000 claims description 102
- 230000004913 activation Effects 0.000 claims description 15
- 238000004590 computer program Methods 0.000 claims description 7
- 230000006870 function Effects 0.000 claims description 6
- 230000004044 response Effects 0.000 claims 9
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 69
- 238000002347 injection Methods 0.000 description 12
- 239000007924 injection Substances 0.000 description 12
- 238000012545 processing Methods 0.000 description 9
- 238000012544 monitoring process Methods 0.000 description 7
- 238000011156 evaluation Methods 0.000 description 4
- 230000006378 damage Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 241000283086 Equidae Species 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 230000005741 malignant process Effects 0.000 description 1
- 239000004557 technical material Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Storage Device Security (AREA)
- Stored Programmes (AREA)
Description
本出願は、2012年8月28日に出願され「A TROJAN HORSE DETECTION METHOD AND DEVICE(トロイの木馬を検出する方法及び機器)」と題された中国特許出願第201210310462.4号の優先権を主張する。該出願は、あらゆる目的のために、参照によって本明細書に組み込まれる。
本発明は、たとえば、以下のような態様で実現することもできる。
適用例1:
マルウェアプロセスを検出するためのシステムであって、
1つ以上のプロセッサと、
前記1つ以上のプロセッサに結合され、前記1つ以上のプロセッサに命令を提供するように構成された1つ以上のメモリと、
を備え、
前記1つ以上のプロセッサは、
プロセスの起動を監視し、
前記プロセスの前記起動の完了を受けて、前記プロセスに関係付けられたベースアドレスを決定し、
前記ベースアドレスに関係付けられたメモリブロックの許可を決定し、及び
前記決定された許可に少なくとも部分的に基づいて、前記プロセスがマルウェアプロセスに関係付けられている可能性があるかどうかを決定する、ように構成される、システム。
適用例2:
適用例1のシステムであって、
前記ベースアドレスは、前記プロセスに対応する拡張指示ポインタ(EIP)情報に関係付けられた戻りアドレスに少なくとも部分的に基づいて決定される、システム。
適用例3:
適用例1のシステムであって、
前記ベースアドレスは、オペレーティングシステムによって記録される、システム。
適用例4:
適用例1のシステムであって、
前記許可が書き込みを許可していると決定された場合に、前記1つ以上のプロセッサは、さらに、前記プロセスは前記マルウェアプロセスに関係付けられている可能性があると決定するように構成される、システム。
適用例5:
適用例4のシステムであって、
前記1つ以上のプロセッサは、さらに、前記マルウェアプロセスに関係付けられた警告メッセージを、ユーザインターフェースにおいて提示するように構成される、システム。
適用例6:
適用例4のシステムであって、
前記1つ以上のプロセッサは、さらに、前記プロセスの更なる実行をブロックするように構成される、システム。
適用例7:
適用例1のシステムであって、
前記許可が読み出し専用であると決定された場合に、前記1つ以上のプロセッサは、さらに、前記プロセスは前記マルウェアプロセスに関係付けられていないと決定するように構成される、システム。
適用例8:
適用例1のシステムであって、
前記許可が書き込みを許可していると決定された場合に、前記1つ以上のプロセッサは、さらに、前記プロセスに関係付けられたメモリ画像に含まれるポータブル実行可能(PE)ヘッダコードが指定のコードに一致するかどうかを決定するように構成される、システム。
適用例9:
適用例8のシステムであって、
前記プロセスに関係付けられた前記PEヘッダコードが前記指定のコードに一致する場合に、前記1つ以上のプロセッサは、さらに、前記プロセスは前記マルウェアプロセスに関係付けられている可能性があると決定するように構成される、システム。
適用例10:
適用例8のシステムであって、
前記プロセスに関係付けられた前記PEヘッダコードが前記指定のコードに一致しない場合に、前記1つ以上のプロセッサは、さらに、前記プロセスは前記マルウェアプロセスに関係付けられていないと決定するように構成される、システム。
適用例11:
マルウェアプロセスを検出するための方法であって、
プロセスの起動を監視することと、
前記プロセスの前記起動の完了を受けて、1つ以上のプロセッサを使用して、前記プロセスに関係付けられたベースアドレスを決定することと、
前記ベースアドレスに関係付けられたメモリブロックの許可を決定することと、
前記決定された許可に少なくとも部分的に基づいて、前記プロセスがマルウェアプロセスに関係付けられている可能性があるかどうかを決定することと、
を備える方法。
適用例12:
適用例11の方法であって、
前記ベースアドレスは、前記プロセスに対応する拡張指示ポインタ(EIP)情報に関係付けられた戻りアドレスに少なくとも部分的に基づいて、決定される、方法。
適用例13:
適用例11の方法であって、さらに、
前記許可が書き込みを許可していると決定された場合に、前記プロセスは前記マルウェアプロセスに関係付けられている可能性があると決定することを備える方法。
適用例14:
適用例13の方法であって、さらに、
前記マルウェアプロセスに関係付けられた警告メッセージを、ユーザインターフェースにおいて提示することを備える方法。
適用例15:
適用例13の方法であって、さらに、
前記プロセスの更なる実行をブロックすることを備える方法。
適用例16:
適用例11の方法であって、さらに、
前記許可が読み出し専用であると決定された場合に、前記プロセスは前記マルウェアプロセスに関係付けられていないと決定することを備える方法。
適用例17:
適用例11の方法であって、さらに、
前記許可が書き込みを許可していると決定された場合に、前記プロセスに関係付けられたメモリ画像に含まれるポータブル実行可能(PE)ヘッダコードが、指定のコードに一致するかどうかを決定することを備える方法。
適用例18:
適用例17の方法であって、さらに、
前記プロセスに関係付けられた前記PEヘッダコードが前記指定のコードに一致する場合に、前記プロセスは前記マルウェアプロセスに関係付けられている可能性があると決定することを備える方法。
適用例19:
適用例17の方法であって、さらに、
前記プロセスに関係付けられた前記PEヘッダコードが前記指定のコードに一致しない場合に、前記プロセスは前記マルウェアプロセスに関係付けられていないと決定することを備える方法。
適用例20:
マルウェアプロセスを検出するためのコンピュータプログラム製品であって、非一時的なコンピュータ読み取り可能記憶媒体に実装され、
プロセスの起動を監視するためのコンピュータ命令と、
前記プロセスの前記起動の完了を受けて、前記プロセスに関係付けられたベースアドレスを決定するためのコンピュータ命令と、
前記ベースアドレスに関係付けられたメモリブロックの許可を決定するためのコンピュータ命令と、
前記決定された許可に少なくとも部分的に基づいて、前記プロセスがマルウェアプロセスに関係付けられている可能性があるかどうかを決定するためのコンピュータ命令と、
を備えるコンピュータプログラム製品。
Claims (19)
- システムであって、
プロセッサと、
前記プロセッサに結合され、前記プロセッサに命令を提供するように構成されたメモリと、を備え、
前記プロセッサは、
プロセスの起動の完了を受けて、前記プロセスの実行の前に、前記プロセスに関係付けられた命令がそこから読み出されて実行されるメモリブロックに関係付けられたベースアドレスを決定し、
前記ベースアドレスに関係付けられた前記メモリブロックが書き込み許容許可に関係付けられているかを決定し、
前記ベースアドレスに関係付けられた前記メモリブロックが前記書き込み許容許可に関係付けられているという決定を受けて、
前記プロセスに関係付けられたメモリ画像に含まれるポータブル実行可能(PE)ヘッダコードが指定のコードに一致するかどうかを決定し、
前記プロセスに関係付けられた前記メモリ画像に含まれる前記PEヘッダコードが前記指定のコードに一致するかどうかの前記決定に少なくとも部分的に基づいて、前記プロセスがマルウェアプロセスに関係付けられている可能性があるかどうかを決定する、
ように構成される、システム。 - 請求項1に記載のシステムであって、前記プロセッサは、さらに、
前記ベースアドレスに関係付けられた前記メモリブロックが前記書き込み許容許可に関係付けられていないという決定を受けて、
前記プロセスが前記マルウェアプロセスに関係付けられている可能性がないことを決定し、
前記プロセスの前記実行を許可する、
ように構成される、システム。 - 請求項1に記載のシステムであって、
前記ベースアドレスは、前記プロセスに対応する拡張指示ポインタ(EIP)情報に関係付けられた戻りアドレスに少なくとも部分的に基づいて決定される、システム。 - 請求項1に記載のシステムであって、
前記ベースアドレスは、オペレーティングシステムによって記録される、システム。 - 請求項1に記載のシステムであって、
前記書き込み許容許可は、書き込み専用許可、または読み出しおよび書き込み許容許可を含む、システム。 - 請求項1に記載のシステムであって、
前記プロセスに関係付けられた前記メモリ画像に含まれる前記PEヘッダコードが前記指定のコードに一致するという決定を受けて、
前記プロセスが前記マルウェアプロセスに関係付けられている可能性があることを決定し、
前記プロセスの前記実行を防ぐ、
ように構成されるプロセッサを備える、システム。 - 請求項1に記載のシステムであって、
前記プロセスに関係付けられた前記メモリ画像に含まれる前記PEヘッダコードが前記指定のコードに一致しないという決定を受けて、
前記プロセスが前記マルウェアプロセスに関係付けられている可能性がないことを決定し、
前記プロセスの前記実行を許可する、
ように構成されるプロセッサを備える、システム。 - 請求項1に記載のシステムであって、
前記プロセッサは、さらに、前記プロセスに関係付けられた前記メモリ画像に含まれる前記PEヘッダコードを、指定のコードを挙げた所定のリストと比較するように構成される、システム。 - 請求項1に記載のシステムであって、
前記指定のコードは、通常プロセスに関係付けられる、システム。 - 方法であって、
プロセスの起動の完了を受けて、前記プロセスの実行の前に、前記プロセスに関係付けられた命令がそこから読み出されて実行されるメモリブロックに関係付けられたベースアドレスを決定することと、
前記ベースアドレスに関係付けられた前記メモリブロックが書き込み許容許可に関係付けられているかを決定することと、
前記ベースアドレスに関係付けられた前記メモリブロックが前記書き込み許容許可に関係付けられているという決定を受けて、
前記プロセスに関係付けられたメモリ画像に含まれるポータブル実行可能(PE)ヘッダコードが指定のコードに一致するかどうかを決定することと、
前記プロセスに関係付けられた前記メモリ画像に含まれる前記PEヘッダコードが前記指定のコードに一致するかどうかの前記決定に少なくとも部分的に基づいて、前記プロセスがマルウェアプロセスに関係付けられている可能性があるかどうかを決定することと、
を含む、方法。 - 請求項10に記載の方法であって、さらに、
前記ベースアドレスに関係付けられた前記メモリブロックが前記書き込み許容許可に関係付けられていないという決定を受けて、
前記プロセスが前記マルウェアプロセスに関係付けられている可能性がないことを決定することと、
前記プロセスの前記実行を許可することと、
を含む、方法。 - 請求項10に記載の方法であって、
前記ベースアドレスは、前記プロセスに対応する拡張指示ポインタ(EIP)情報に関係付けられた戻りアドレスに少なくとも部分的に基づいて決定される、方法。 - 請求項10に記載の方法であって、
前記ベースアドレスは、オペレーティングシステムによって記録される、方法。 - 請求項10に記載の方法であって、
前記書き込み許容許可は、書き込み専用許可、または読み出しおよび書き込み許容許可を含む、方法。 - 請求項10に記載の方法であって、さらに、
前記プロセスに関係付けられた前記メモリ画像に含まれる前記PEヘッダコードが前記指定のコードに一致するという決定を受けて、
前記プロセスが前記マルウェアプロセスに関係付けられている可能性があることを決定することと、
前記プロセスの前記実行を防ぐことと、
を含む、方法。 - 請求項10に記載の方法であって、さらに、
前記プロセスに関係付けられた前記メモリ画像に含まれる前記PEヘッダコードが前記指定のコードに一致しないという決定を受けて、
前記プロセスが前記マルウェアプロセスに関係付けられている可能性がないことを決定することと、
前記プロセスの前記実行を許可することと、
を含む、方法。 - 請求項10に記載の方法であって、さらに、
前記プロセスに関係付けられた前記メモリ画像に含まれる前記PEヘッダコードを、指定のコードを挙げた所定のリストと比較することを含む、方法。 - 請求項10に記載の方法であって、
前記指定のコードは、通常プロセスに関係付けられる、方法。 - コンピュータプログラムであって、コンピュータを使用して、
プロセスの起動の完了を受けて、前記プロセスの実行の前に、前記プロセスに関係付けられた命令がそこから読み出されて実行されるメモリブロックに関係付けられたベースアドレスを決定する機能と、
前記ベースアドレスに関係付けられた前記メモリブロックが書き込み許容許可に関係付けられているかを決定する機能と、
前記ベースアドレスに関係付けられた前記メモリブロックが前記書き込み許容許可に関係付けられているという決定を受けて、
前記プロセスに関係付けられたメモリ画像に含まれるポータブル実行可能(PE)ヘッダコードが指定のコードに一致するかどうかを決定する機能と、
前記プロセスに関係付けられた前記メモリ画像に含まれる前記PEヘッダコードが前記指定のコードに一致するかどうかの前記決定に少なくとも部分的に基づいて、前記プロセスがマルウェアプロセスに関係付けられている可能性があるかどうかを決定する機能と、
を実現させるための、コンピュータプログラム。
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210310462.4A CN103632088A (zh) | 2012-08-28 | 2012-08-28 | 一种木马检测方法及装置 |
CN201210310462.4 | 2012-08-28 | ||
US13/973,229 | 2013-08-22 | ||
US13/973,229 US9152788B2 (en) | 2012-08-28 | 2013-08-22 | Detecting a malware process |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015525646A Division JP5882542B2 (ja) | 2012-08-28 | 2013-08-26 | マルウェアプロセスの検出 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2016105310A JP2016105310A (ja) | 2016-06-09 |
JP6165900B2 true JP6165900B2 (ja) | 2017-07-19 |
Family
ID=50189431
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015525646A Expired - Fee Related JP5882542B2 (ja) | 2012-08-28 | 2013-08-26 | マルウェアプロセスの検出 |
JP2016018519A Active JP6165900B2 (ja) | 2012-08-28 | 2016-02-03 | マルウェアプロセスの検出 |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015525646A Expired - Fee Related JP5882542B2 (ja) | 2012-08-28 | 2013-08-26 | マルウェアプロセスの検出 |
Country Status (6)
Country | Link |
---|---|
US (2) | US9152788B2 (ja) |
EP (2) | EP3422238B1 (ja) |
JP (2) | JP5882542B2 (ja) |
CN (1) | CN103632088A (ja) |
TW (1) | TWI554907B (ja) |
WO (1) | WO2014035857A1 (ja) |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10223530B2 (en) | 2013-11-13 | 2019-03-05 | Proofpoint, Inc. | System and method of protecting client computers |
US9378367B2 (en) * | 2014-03-31 | 2016-06-28 | Symantec Corporation | Systems and methods for identifying a source of a suspect event |
WO2016186902A1 (en) * | 2015-05-20 | 2016-11-24 | Alibaba Group Holding Limited | Detecting malicious files |
CN106295328B (zh) | 2015-05-20 | 2019-06-18 | 阿里巴巴集团控股有限公司 | 文件检测方法、装置及系统 |
US10083296B2 (en) * | 2015-06-27 | 2018-09-25 | Mcafee, Llc | Detection of malicious thread suspension |
CN105608377A (zh) * | 2015-12-24 | 2016-05-25 | 国家电网公司 | 一种信息系统进程安全管理系统及管理方法 |
US10049214B2 (en) * | 2016-09-13 | 2018-08-14 | Symantec Corporation | Systems and methods for detecting malicious processes on computing devices |
CN110414230B (zh) * | 2019-06-21 | 2022-04-08 | 腾讯科技(深圳)有限公司 | 病毒查杀方法、装置、计算机设备和存储介质 |
CN111552962B (zh) * | 2020-03-25 | 2024-03-01 | 三六零数字安全科技集团有限公司 | 一种基于Windows操作系统的U盘PE格式文件病毒的拦截方法 |
US11874920B2 (en) * | 2020-12-30 | 2024-01-16 | Acronis International Gmbh | Systems and methods for preventing injections of malicious processes in software |
CN112948863B (zh) * | 2021-03-15 | 2022-07-29 | 清华大学 | 敏感数据的读取方法、装置、电子设备及存储介质 |
Family Cites Families (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5812848A (en) * | 1995-08-23 | 1998-09-22 | Symantec Corporation | Subclassing system for computer that operates with portable-executable (PE) modules |
US7493498B1 (en) * | 2002-03-27 | 2009-02-17 | Advanced Micro Devices, Inc. | Input/output permission bitmaps for compartmentalized security |
EP1684151A1 (en) * | 2005-01-20 | 2006-07-26 | Grant Rothwell William | Computer protection against malware affection |
EP1860588A1 (en) * | 2005-02-25 | 2007-11-28 | Matsushita Electric Industrial Co., Ltd. | Processor |
US7673345B2 (en) | 2005-03-31 | 2010-03-02 | Intel Corporation | Providing extended memory protection |
KR100843701B1 (ko) * | 2006-11-07 | 2008-07-04 | 소프트캠프(주) | 콜 스택에 기록된 정보를 이용한 에이피아이 확인방법 |
US7917725B2 (en) * | 2007-09-11 | 2011-03-29 | QNX Software Systems GmbH & Co., KG | Processing system implementing variable page size memory organization using a multiple page per entry translation lookaside buffer |
US8578483B2 (en) * | 2008-07-31 | 2013-11-05 | Carnegie Mellon University | Systems and methods for preventing unauthorized modification of an operating system |
ES2644856T3 (es) * | 2009-07-29 | 2017-11-30 | Reversinglabs Corporation | Desempaquetado automatizado de archivos ejecutables portátiles |
US8572740B2 (en) | 2009-10-01 | 2013-10-29 | Kaspersky Lab, Zao | Method and system for detection of previously unknown malware |
TW201137660A (en) * | 2009-12-23 | 2011-11-01 | Ibm | Method and system for protecting an operating system against unauthorized modification |
CN101826139B (zh) * | 2009-12-30 | 2012-05-30 | 厦门市美亚柏科信息股份有限公司 | 一种非可执行文件挂马检测方法及其装置 |
US8468602B2 (en) | 2010-03-08 | 2013-06-18 | Raytheon Company | System and method for host-level malware detection |
US20120036569A1 (en) * | 2010-04-05 | 2012-02-09 | Andrew Cottrell | Securing portable executable modules |
KR101122650B1 (ko) * | 2010-04-28 | 2012-03-09 | 한국전자통신연구원 | 정상 프로세스에 위장 삽입된 악성코드 탐지 장치, 시스템 및 방법 |
EP2609537A1 (en) * | 2010-08-26 | 2013-07-03 | Verisign, Inc. | Method and system for automatic detection and analysis of malware |
TW201220186A (en) * | 2010-11-04 | 2012-05-16 | Inventec Corp | Data protection method for damaged memory cells |
US8955132B2 (en) | 2011-04-14 | 2015-02-10 | F-Secure Corporation | Emulation for malware detection |
RU2487405C1 (ru) * | 2011-11-24 | 2013-07-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ для исправления антивирусных записей |
WO2014142986A1 (en) * | 2013-03-15 | 2014-09-18 | Mcafee, Inc. | Server-assisted anti-malware client |
EP2784716A1 (en) * | 2013-03-25 | 2014-10-01 | British Telecommunications public limited company | Suspicious program detection |
-
2012
- 2012-08-28 CN CN201210310462.4A patent/CN103632088A/zh active Pending
- 2012-12-12 TW TW101146915A patent/TWI554907B/zh not_active IP Right Cessation
-
2013
- 2013-08-22 US US13/973,229 patent/US9152788B2/en active Active
- 2013-08-26 EP EP18190007.7A patent/EP3422238B1/en active Active
- 2013-08-26 WO PCT/US2013/056562 patent/WO2014035857A1/en active Application Filing
- 2013-08-26 EP EP13759086.5A patent/EP2891104B1/en active Active
- 2013-08-26 JP JP2015525646A patent/JP5882542B2/ja not_active Expired - Fee Related
-
2015
- 2015-09-01 US US14/842,648 patent/US9516056B2/en active Active
-
2016
- 2016-02-03 JP JP2016018519A patent/JP6165900B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
US9516056B2 (en) | 2016-12-06 |
EP2891104B1 (en) | 2018-10-10 |
US9152788B2 (en) | 2015-10-06 |
US20160087998A1 (en) | 2016-03-24 |
CN103632088A (zh) | 2014-03-12 |
JP2016105310A (ja) | 2016-06-09 |
US20140068774A1 (en) | 2014-03-06 |
EP3422238B1 (en) | 2020-03-11 |
JP5882542B2 (ja) | 2016-03-09 |
JP2015523668A (ja) | 2015-08-13 |
TWI554907B (zh) | 2016-10-21 |
EP2891104A1 (en) | 2015-07-08 |
EP3422238A1 (en) | 2019-01-02 |
WO2014035857A1 (en) | 2014-03-06 |
TW201409272A (zh) | 2014-03-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6165900B2 (ja) | マルウェアプロセスの検出 | |
US10810309B2 (en) | Method and system for detecting kernel corruption exploits | |
EP3123311B1 (en) | Malicious code protection for computer systems based on process modification | |
US9514305B2 (en) | Code pointer authentication for hardware flow control | |
CN107066311B (zh) | 一种内核数据访问控制方法与系统 | |
US8364973B2 (en) | Dynamic generation of integrity manifest for run-time verification of software program | |
JP2007529803A (ja) | 周辺機器に対するアクセスを制御する方法およびデバイス | |
JP2016081522A (ja) | メモリからの情報漏洩を低減するためのシステム及び方法 | |
US11055168B2 (en) | Unexpected event detection during execution of an application | |
TW202101262A (zh) | 內核安全檢測方法、裝置、設備及儲存媒體 | |
US9942268B1 (en) | Systems and methods for thwarting unauthorized attempts to disable security managers within runtime environments | |
CN113467981A (zh) | 异常处理的方法和装置 | |
JP2011145945A (ja) | マルウェア検出装置及びマルウェア検出方法 | |
CN113646763B (zh) | shellcode的检测方法及装置 | |
US10691586B2 (en) | Apparatus and method for software self-test | |
KR102411770B1 (ko) | 전자 장치를 보호하기 위한 장치 및 방법 | |
CN112395609A (zh) | 应用层shellcode的检测方法及装置 | |
CN112395599B (zh) | 系统内核数据的攻击检测方法及装置、存储介质、计算机设备 | |
Chen et al. | Vulnerability-based backdoors: Threats from two-step trojans | |
JP6594213B2 (ja) | 制御装置およびプログラム | |
Hou et al. | An Enhancement Method for Android Permission Mechanism based on Context |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160303 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160303 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170530 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170621 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6165900 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |