JP6176622B2 - マルウェアの検出方法 - Google Patents
マルウェアの検出方法 Download PDFInfo
- Publication number
- JP6176622B2 JP6176622B2 JP2013015153A JP2013015153A JP6176622B2 JP 6176622 B2 JP6176622 B2 JP 6176622B2 JP 2013015153 A JP2013015153 A JP 2013015153A JP 2013015153 A JP2013015153 A JP 2013015153A JP 6176622 B2 JP6176622 B2 JP 6176622B2
- Authority
- JP
- Japan
- Prior art keywords
- code
- malware
- site
- call
- inspected
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/561—Virus type analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Stored Programmes (AREA)
- Storage Device Security (AREA)
Description
Claims (12)
- セキュリティアプリケーションにより、検査対象プロセスコードがマルウェアであるか否かを、判定するための方法であって、
a.前記検査対象プロセスコードが呼び出しアクティビティを行う度に、当該呼び出しアクティビティを検出するステップと、
b.前記検査対象プロセスコード内のサイトである呼び出しサイトを検出するステップであって、前記呼び出しアクティビティが前記サイトから起動されたものである、前記検出するステップと、
c.前記サイトの周囲の領域内のコードの1つまたは2以上の部分を解析するステップと、
d.前記コードの解析対象部分のプロパティの少なくとも一部と、定義済みのソフトウェア・コード・パターンとを比較し、前記検査対象プロセスコードが前記定義済みのソフトウェア・コード・パターンのうちの1つに対応するか否か判定するステップと、
e.前記比較の結果に従って前記検査対象プロセスコードを分類するステップと
を含む、前記方法。 - 前記検査対象プロセスコードは、有害または無害として分類される、請求項1に記載の方法。
- 前記検査対象プロセスコードは、実行ファイルから、またはDLLからロードされる、請求項1に記載の方法。
- 前記検査対象プロセスコードは、関数呼び出しツリーの一部分、特定のサブルーチン、または、複数のコード命令によって相互に間隔を置いた特定のコードラインの組み合わせ、である、請求項1に記載の方法。
- 前記セキュリティアプリケーション、または、その少なくとも一部分がクライアント装置にある、請求項1に記載の方法。
- マルウェアをインストールしようとする試みの検出がリアルタイムで行われる、請求項1に記載の方法。
- 検出されると、前記マルウェアが、そのインストール完了を妨げられる、請求項6に記載の方法。
- 前記呼び出しアクティビティがシステムコールである、請求項1に記載の方法。
- 前記セキュリティアプリケーションは、前記コードの各解析対象部分を公知のマルウェアパターンのブラックリストと比較する、請求項1に記載の方法。
- アプリケーション、または、オペレーティングシステムから、前記セキュリティアプリケーションを呼び出すことができる、請求項1に記載の方法。
- 検査対象プロセスコードがマルウェアであるか否かを判定するためのシステムであって、
a.前記検査対象プロセスコードが呼び出しアクティビティを行う度に、当該呼び出しアクティビティを検出すること、
b.前記検査対象プロセスコード内のサイトである呼び出しサイトを検出すること、前記呼び出しアクティビティが前記サイトから起動されたものである、
c.前記サイトの周囲の領域内のコードの1つまたは2以上の部分を解析すること
d.前記コードの解析対象部分のプロパティの少なくとも一部と、定義済みのソフトウェア・コード・パターンとを比較し、前記検査対象プロセスコードが前記定義済みのソフトウェア・コード・パターンのうちの1つに対応するか否か判定すること
e.前記比較の結果に従って前記検査対象プロセスコードを分類すること
を実行する、前記システム。 - 検査対象プロセスコードがマルウェアであるか否かを判定するためのコンピュータ・プログラムであって、コンピュータに請求項1〜10のいずれか一項に記載の方法の各ステップを実行させる、前記コンピュータ・プログラム。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US13/362,963 US9659173B2 (en) | 2012-01-31 | 2012-01-31 | Method for detecting a malware |
US13/362,963 | 2012-01-31 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2013168141A JP2013168141A (ja) | 2013-08-29 |
JP6176622B2 true JP6176622B2 (ja) | 2017-08-09 |
Family
ID=47740798
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013015153A Active JP6176622B2 (ja) | 2012-01-31 | 2013-01-30 | マルウェアの検出方法 |
Country Status (3)
Country | Link |
---|---|
US (1) | US9659173B2 (ja) |
EP (1) | EP2624163A1 (ja) |
JP (1) | JP6176622B2 (ja) |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11126720B2 (en) * | 2012-09-26 | 2021-09-21 | Bluvector, Inc. | System and method for automated machine-learning, zero-day malware detection |
JP6188956B2 (ja) * | 2013-12-30 | 2017-08-30 | ノキア テクノロジーズ オーユー | マルウェア検出検査方法及び装置 |
US9256738B2 (en) * | 2014-03-11 | 2016-02-09 | Symantec Corporation | Systems and methods for pre-installation detection of malware on mobile devices |
AU2015235840A1 (en) | 2014-03-27 | 2016-08-18 | Alert Logic, Inc. | Malicious software identification integrating behavioral analytics and hardware events |
US10078752B2 (en) | 2014-03-27 | 2018-09-18 | Barkly Protects, Inc. | Continuous malicious software identification through responsive machine learning |
JP6246377B2 (ja) | 2014-08-28 | 2017-12-13 | 三菱電機株式会社 | プロセス解析装置、プロセス解析方法、及びプロセス解析プログラム |
EP3213207A4 (en) * | 2014-10-31 | 2018-04-25 | Cyber Crucible Inc. | A system and method for network intrusion detection of covert channels based on off-line network traffic |
US10089095B2 (en) * | 2015-05-06 | 2018-10-02 | Mcafee, Llc | Alerting the presence of bundled software during an installation |
JP7278423B2 (ja) * | 2019-05-20 | 2023-05-19 | センチネル ラブス イスラエル リミテッド | 実行可能コード検出、自動特徴抽出及び位置独立コード検出のためのシステム及び方法 |
CN111897559B (zh) * | 2020-08-06 | 2022-08-26 | 厦门美图之家科技有限公司 | 热更新代码检测方法、装置、电子设备及存储介质 |
US11989294B2 (en) | 2021-01-07 | 2024-05-21 | Bank Of America Corporation | Detecting and preventing installation and execution of malicious browser extensions |
Family Cites Families (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7340777B1 (en) * | 2003-03-31 | 2008-03-04 | Symantec Corporation | In memory heuristic system and method for detecting viruses |
US20050108562A1 (en) * | 2003-06-18 | 2005-05-19 | Khazan Roger I. | Technique for detecting executable malicious code using a combination of static and dynamic analyses |
US20060075494A1 (en) * | 2004-10-01 | 2006-04-06 | Bertman Justin R | Method and system for analyzing data for potential malware |
JP2006268687A (ja) * | 2005-03-25 | 2006-10-05 | Mitsubishi Electric Corp | コンピュータウィルス監視プログラム及びこれを用いたコンピュータ端末装置 |
US7607173B1 (en) * | 2005-10-31 | 2009-10-20 | Symantec Corporation | Method and apparatus for preventing rootkit installation |
US8171550B2 (en) * | 2006-08-07 | 2012-05-01 | Webroot Inc. | System and method for defining and detecting pestware with function parameters |
US8065664B2 (en) * | 2006-08-07 | 2011-11-22 | Webroot Software, Inc. | System and method for defining and detecting pestware |
CN101350052B (zh) * | 2007-10-15 | 2010-11-03 | 北京瑞星信息技术有限公司 | 发现计算机程序的恶意行为的方法和装置 |
JP2009238153A (ja) * | 2008-03-28 | 2009-10-15 | Nec Corp | マルウェア対処システム、方法及びプログラム |
US8230499B1 (en) * | 2008-05-29 | 2012-07-24 | Symantec Corporation | Detecting and blocking unauthorized downloads |
JP4589996B2 (ja) * | 2008-10-14 | 2010-12-01 | 株式会社セキュアウェア | データ処理方法、データ処理装置、コンピュータプログラム、及び記録媒体 |
US20100107257A1 (en) | 2008-10-29 | 2010-04-29 | International Business Machines Corporation | System, method and program product for detecting presence of malicious software running on a computer system |
US20100192222A1 (en) * | 2009-01-23 | 2010-07-29 | Microsoft Corporation | Malware detection using multiple classifiers |
IL197477A0 (en) * | 2009-03-08 | 2009-12-24 | Univ Ben Gurion | System and method for detecting new malicious executables, based on discovering and monitoring of characteristic system call sequences |
JP2010262609A (ja) * | 2009-04-28 | 2010-11-18 | Fourteenforty Research Institute Inc | 効率的なマルウェアの動的解析手法 |
JP2011145945A (ja) * | 2010-01-15 | 2011-07-28 | Panasonic Corp | マルウェア検出装置及びマルウェア検出方法 |
-
2012
- 2012-01-31 US US13/362,963 patent/US9659173B2/en active Active
-
2013
- 2013-01-29 EP EP13153123.8A patent/EP2624163A1/en not_active Withdrawn
- 2013-01-30 JP JP2013015153A patent/JP6176622B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
US20130198842A1 (en) | 2013-08-01 |
EP2624163A1 (en) | 2013-08-07 |
JP2013168141A (ja) | 2013-08-29 |
US9659173B2 (en) | 2017-05-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6176622B2 (ja) | マルウェアの検出方法 | |
EP2946330B1 (en) | Method and system for protecting computerized systems from malicious code | |
JP5908132B2 (ja) | プログラムの脆弱点を用いた攻撃の探知装置および方法 | |
EP3039608B1 (en) | Hardware and software execution profiling | |
JP5326062B1 (ja) | 非実行ファイル検査装置及び方法 | |
RU2571723C2 (ru) | Система и способ для снижения нагрузки на операционную систему при работе антивирусного приложения | |
JP5265061B1 (ja) | 悪意のあるファイル検査装置及び方法 | |
RU2531861C1 (ru) | Система и способ оценки вредоносности кода, исполняемого в адресном пространстве доверенного процесса | |
KR101122650B1 (ko) | 정상 프로세스에 위장 삽입된 악성코드 탐지 장치, 시스템 및 방법 | |
EP3462358B1 (en) | System and method for detection of malicious code in the address space of processes | |
US20140053267A1 (en) | Method for identifying malicious executables | |
US9183377B1 (en) | Unauthorized account monitoring system and method | |
US7665139B1 (en) | Method and apparatus to detect and prevent malicious changes to tokens | |
US7934261B1 (en) | On-demand cleanup system | |
US20070250927A1 (en) | Application protection | |
US20130239214A1 (en) | Method for detecting and removing malware | |
KR20180032566A (ko) | 다수 소프트웨어 개체들에 걸쳐서 악성 행동을 트래킹하기 위한 시스템들 및 방법들 | |
JP6909770B2 (ja) | ウィルス対策レコードを作成するシステムと方法 | |
US9754105B1 (en) | Preventing the successful exploitation of software application vulnerability for malicious purposes | |
US9910983B2 (en) | Malware detection | |
JP2011525662A (ja) | ソフトウェア評価を確立し監視するシステムおよび方法 | |
US10880316B2 (en) | Method and system for determining initial execution of an attack | |
KR20140064840A (ko) | 멀웨어 위험 스캐너 | |
US20130276119A1 (en) | System, method, and computer program product for reacting to a detection of an attempt by a process that is unknown to control a process that is known | |
WO2014048751A1 (en) | Method and apparatus for detecting a malicious website |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160114 |
|
RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20161122 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20161130 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20161122 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20161228 |
|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20170106 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20170106 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170306 Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20170306 |
|
RD12 | Notification of acceptance of power of sub attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7432 Effective date: 20170306 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20170307 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170613 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20170614 |
|
RD14 | Notification of resignation of power of sub attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7434 Effective date: 20170614 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170704 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6176622 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |