JP6243479B2 - コンピュータセキュリティのためのイノキュレータ及び抗体 - Google Patents

コンピュータセキュリティのためのイノキュレータ及び抗体 Download PDF

Info

Publication number
JP6243479B2
JP6243479B2 JP2016114274A JP2016114274A JP6243479B2 JP 6243479 B2 JP6243479 B2 JP 6243479B2 JP 2016114274 A JP2016114274 A JP 2016114274A JP 2016114274 A JP2016114274 A JP 2016114274A JP 6243479 B2 JP6243479 B2 JP 6243479B2
Authority
JP
Japan
Prior art keywords
computer program
computer
data object
location
program
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2016114274A
Other languages
English (en)
Other versions
JP2016189201A5 (ja
JP2016189201A (ja
Inventor
マイケル ジー ホグランド
マイケル ジー ホグランド
ショーン エム ブラッケン
ショーン エム ブラッケン
Original Assignee
エイチビーゲーリー インコーポレイテッド
エイチビーゲーリー インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by エイチビーゲーリー インコーポレイテッド, エイチビーゲーリー インコーポレイテッド filed Critical エイチビーゲーリー インコーポレイテッド
Publication of JP2016189201A publication Critical patent/JP2016189201A/ja
Publication of JP2016189201A5 publication Critical patent/JP2016189201A5/ja
Application granted granted Critical
Publication of JP6243479B2 publication Critical patent/JP6243479B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/568Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Storage Device Security (AREA)
  • Stored Programmes (AREA)
  • Information Transfer Between Computers (AREA)

Description

〔関連出願との相互参照〕
本出願は、米国仮特許出願第61/456,192号に対する優先権を主張するとともに、その利益を主張するものである。米国仮出願第61/456,192号は、その全体が引用により本明細書に組み入れられる。
マルウェアなどの望ましくないプログラムは、あるコンピュータ(又はコンピュータシステム)上で、コンピュータユーザの同意を得ずに動作を行うコンピュータプログラム又はソフトウェアである。マルウェアとしては、例えば、ウイルス、ワーム、トロイの木馬、バックドア、スパイウェア、アドウェア、ボットネット、又はコンピュータに悪質な影響を与える(又は他の望ましくない機能を実行する)可能性がある他のマルウェア又は他のプログラムを挙げることができる。コンピュータに対する悪質な影響とは、例えば、コンピュータ(又はコンピュータリソース又はオブジェクト)が損傷を受け、妨害され、破損し、望ましくない負荷を受け、又は別様に望ましくない形で影響を受ける場合のことである。当業者であれば周知のように、あるユーザにとって望ましくないものが、別のユーザにとっては実際に望ましい場合もあり、或いはベンダの実行可能なソフトウェア製品、又はマルウェア試験手順におけるソフトウェアツールになる場合さえもある。
いくつかの具体例として、ボットネットは、スパム、マルウェア又はウイルスを作成して送信し、或いはネットワークをサービス拒否攻撃などのメッセージで溢れさせるために使用されるソフトウェアエージェントである。スパイウェアは、コンピュータにインストールできて、知らない間にユーザに関する情報を収集するマルウェアの一種である。ウイルスは、プログラム又はコンピュータに損傷を与え又は妨害できるプログラムであり、繁殖して他のプログラム又はコンピュータに感染することができる。
望ましくないプログラムのクリーニング(除去、削除又は隔離など)、又は望ましくないプログラムの感染予防のための現在の方法では、例えば、ソフトウェアエージェント、アクティブな実行コード(プロセス)又はビヘイビアブロックソフトウェアを使用する必要がある。例えば、既知のマルウェアをブロックするためにファイアウォールが使用されるが、これはコンピュータリソースを使用して機能する。大企業(又は組織)にとっては、従来のマルウェア保護の解決策は、維持に費用がかかり困難なことが多い。
また、特定の悪質でないコンピュータプログラムの中にも、企業が望まないものがある。例えば、企業(大企業など)は、企業のネットワーク内にピアツーピアファイル共有プログラム(又はその他のタイプのコンピュータプログラム)を望まないことがある。また、これらの悪質でない望ましくないプログラムは、例えば、ハードウェアリソース(メモリ空間及び/又はプロセッサリソースなど)及び/又はソフトウェアリソース(オペレーティングシステムタスクなど)などのコンピュータリソースを消費することもある。従って、コンピュータユーザは、必ずしも悪質なコードとは限らない特定のコンピュータプログラムがインストールされないことを望む場合がある。
ユーザは、コンピュータ内に望ましくないコンピュータプログラムが存在すること(又はネットワーク内の装置内に望ましくないプログラムが存在すること、又は携帯情報端末、スマートフォン、iPad又はiPhoneなどのポータブルコンピュータ装置内に望ましくないプログラムが存在すること)を発見した場合、通常は、現在利用可能な解決策を用いて、この望ましくないプログラムを除去することができる。例えば、現在のソフトウェアプログラムを使用して、コンピュータ内のマルウェア又はウイルスを除去することができる。しかしながら、コンピュータは、同じ望ましくないプログラムに再感染する可能性が高い。再感染率が高い(約50%以上などの)場合、特に複数のコンピュータが同じ望ましくないプログラムに再感染する場合には、企業にとってコンピュータの維持コストが高額になる。
企業が、大規模で全組織的な統合アプリケーションソフトウェアパッケージである「企業システム」を使用している場合、このコストの増大を招く可能性が高い。例えば、企業が、あるコンピュータを企業システムとともに又はその一部として使用するように再構成し、この再構成したコンピュータを分析した後で、このコンピュータが企業のコンピュータに以前に侵入していた望ましくないプログラム(マルウェア又はウイルスなど)に感染又は再感染していることが判明した場合、この再感染を除去するのに必要な手順が企業にとってコストの増大を招く。
現在の技術には、コンピュータ又はネットワーク装置の再感染を防ぐための、それほど複雑でない安価な方法を提供するものはない。従って、現在の技術は、その性能が限られており、少なくとも上記の制約及び不完全性が存在する。
以下の図を参照しながら本発明の非限定的かつ非包括的な実施形態について説明するが、特に指定しない限り様々な図全体を通じて同じ参照数字は同じ部分を示す。
本発明の実施形態による装置(システム)のブロック図である。 本発明の様々な実施形態による、図1の装置内の様々な特徴を示すブロック図である。 本発明の1つの実施形態による方法のブロック図である。
本明細書の説明では、本発明の実施形態を完全に理解できるように、構成要素、モジュール、ソフトウェア、プログラムコード及び/又は方法の例などの数多くの具体的な詳細を示す。しかしながら、当業者であれば、これらの具体的な詳細の1又はそれ以上を伴わずに、或いは他の装置、システム、方法、モジュール、ソフトウェア、プログラムコード、構成要素、材料、部品、及び/又は同様のものを用いて本発明の実施形態を実施できると認識するであろう。その他の場合、本発明の実施形態の態様を曖昧にしないように、周知の構造、材料、モジュール、ソフトウェア、プログラムコード又は動作については詳細に図示又は説明していない。また、本質的に図は代表的表現であり、これらの形状は、あらゆる要素の正確な形状又は正確なサイズを示すことを意図するものではなく、本発明の範囲を限定することを意図するものでもない。
図1は、本発明の1つの実施形態による装置(システム)100のブロック図、又は本発明の実施形態において使用できる装置(システム)のブロック図である。例示的なコンピュータ装置105(又はコンピュータ105)は、通信ネットワーク110に接続可能であるとともに、これに沿って通信することができる。従って、コンピュータ装置105は、ネットワーク110を介してリモートサーバ112と通信し、このリモートサーバ112からデータオブジェクト又はプログラムをダウンロードすることができる。サーバ112のプラットフォーム上では、本発明の1つの実施形態によるイノキュレータエンジン114が動作し、このイノキュレータエンジン114の機能については後述する。
コンピュータ装置105は、例えば限定ではなく、コンピュータ(パーソナルコンピュータなど)、サーバ、ワークステーション、メインフレームコンピュータ、ミニコンピュータ、マイクロコンピュータ、ノートブック型又はラップトップ型コンピュータ、パームトップ、スマート装置(スマートプリンタ、スマートカメラ、スマートスキャナ又はその他のスマート装置など)、又はポータブルコンピュータ装置(携帯電話機、スマートフォン、携帯情報端末、iPad、iPhone又はその他のポータブルコンピュータ装置など)、或いは別のタイプのコンピュータとすることができる。
通信ネットワーク110は、例えば限定ではなく、ワイドエリアネットワーク(インターネットなど)などの公衆ネットワーク、ローカルエリアネットワーク(LAN)、或いは異なるタイプのプライベートネットワーク、セミプライベート又は公衆ネットワークなどである。ネットワーク110を形成する(単複の)リンクは、有線、無線、又はこれらの組み合わせとすることができる。
コンピュータ装置105は、計算動作又はデータ送信で使用される標準要素115を含む。図1に示す要素115のいくつかは、ハードウェア要素又はオブジェクト(ディスクドライバなど)である。当然ながら、要素115内の構成要素は、コンピュータ装置のタイプに応じて異なることができる。例えば、PDA又はスマートフォン内のハードウェア要素と比較すると、パーソナルコンピュータ内のいくつかのハードウェア要素は異なる場合がある。一例として、要素115は、プロセッサ120、1又はそれ以上のメモリ素子125、ディスクなどの記憶装置130、(ネットワークインターフェイス142内の構成要素とすることもできる)ポート140、ディスクドライバ145、(ネットワークインターフェイス142内の構成要素とすることもできる)ネットワークドライバ150、及び/又はコンピュータ装置内で使用されるその他の既知の要素を含む。
コンピュータ装置105は、当業者に周知の管理機能及びその他の機能を実行する、例えばオペレーティングシステム(OS)155などのソフトウェア要素152も含む。OS155は、例えば、Microsoft WINDOWS(登録商標)ベースのオペレーティングシステム、MAC OS(登録商標)、MAC OS X(登録商標)、iOS(モバイルオペレーティングシステム)、UNIX又はUNIX様OS、BSD及びその子孫オペレーティングシステム、Linux/GNU、Google CROME OS(登録商標)、OS/2、又は別のオペレーティングシステムなどの様々なタイプの既知のOS155のうちの1つとすることができる。なお、上記のオペレーティングシステム名のうちの少なくとも一部は登録商標である。後述するように、イノキュレータ114は、コンピュータ装置105上にブロックオブジェクト160(すなわち、ブロック160又はウェッジ160)を送信して、コンピュータ装置105に既知の特定のソフトウェアプログラムがインストールされ又は実行されるのを防ぐように構成される。ブロックオブジェクト160は、不活性オブジェクト(或いはヌルオブジェクト、又は機能を実施も実行もしないデータオブジェクト)であるデータオブジェクトである。本明細書では、このブロックオブジェクト160を「ブロック160」又は「ウェッジ160」とも呼ぶ。以下でさらに詳細に説明するように、特定のブロックオブジェクト160は、コンピュータ装置105上における特定のコンピュータプログラムのインストール又は実行をブロックする。ブロックされるコンピュータプログラムは、悪質なコンピュータプログラムの場合も、又は悪質でないコンピュータプログラムの場合もある。
コンピュータ装置105は、ユーザインターフェイス165及び/又はその他の周辺構成要素を含むこともできる。当然ながら、ユーザインターフェイス165は、コンピュータ装置105のタイプに応じて異なることができる。例えば、ノートブック型コンピュータ用のユーザインターフェイスは、PDA用のユーザインターフェイス又はスマートフォン用のユーザインターフェイスとは異なり得る。インターフェイス165は、コンピュータ装置105と一体化すること、又はコンピュータ装置105に結合してともに機能することができる。一例として、パーソナルコンピュータ用のインターフェイス165は、マウス(又はコントロールパッド)170、キーボード176、及び/又は画面(又はタッチ画面)180のうちの少なくとも1つを含むことができる。バス153は、上述したコンピュータ装置105の構成要素が互いに通信してともに機能できるようにする。図面を明確にするために、図1には、装置105内で使用できる他の標準的ハードウェア、ソフトウェア、又はファームウェア構成要素については示していない。
イノキュレータエンジン114は、標準プログラミング言語(C、C++、又はその他の好適な言語など)に基づくソフトウェアコードにより形成される。
図2は、本発明の実施形態による、図1の装置100のさらなる詳細を示すブロック図である。既知のコンピュータプログラム205(すなわち、不要な又は望ましくないコンピュータプログラム205、或いは不要な又は望ましくないソフトウェアプログラム205)が、例えば既知のマルウェア又は既知の悪質でないプログラムであると仮定する。マルウェアは、例えば、ウイルス、ワーム、トロイの木馬、バックドア、スパイウェア、アドウェア、ボットネット、又はコンピュータに悪質な影響を与える(又は他の望ましくない機能を実行する)可能性がある他のマルウェア又は他のプログラムとすることができる。悪質でないプログラムは、例えば、ピアツーピアファイル共有プログラム(又は他のタイプの悪質でないコンピュータプログラム)とすることができる。他の悪質でないプログラムは、例えば従業員が気を取られずに職場で利益を上げ続けるように、企業がコンピュータ装置105にインストール(又は再インストール)したくないと望むコンピュータゲーム、ビデオ又はその他のプログラムを実行するコンピュータプログラムとすることができる。既知のコンピュータプログラム205は、以前にコンピュータ装置105に感染し(或いはネットワーク110又はコンピュータ装置105に接続する他のいずれかの装置に感染し)、既にコンピュータ装置105から削除され、その後既にその属性210を分析されている、最近発見又は分析されたマルウェアプログラム又は悪質でないプログラムとすることもできる。コンピュータプログラム205の属性210は、例えば、別個のリモートデータベース212に、又はリモートサーバ112内のデータベースに、或いはリモートサーバ112がアクセスできる別の装置(図2には図示せず)に記憶することができる。当業者には、コンピュータプログラムの属性を分析する様々な方法が知られている。
一例では、コンピュータプログラム205が、コンピュータ装置105(或いはコンピュータ装置105と通信できる、又はネットワーク110上で通信できる別のコンピュータ装置)に既にインストールされている。
コンピュータプログラム205が、コンピュータ装置105(或いはコンピュータ装置105と通信できる、又はネットワーク110上で通信できる別のコンピュータ装置)に感染したと仮定する。一例では、コンピュータ装置105からコンピュータプログラム205を除去するために、Windows Management Interface(WMI)を使用してコンピュータ装置105に接続することができる。当業者には周知のように、WMIは、例えばWindows OSなどの特定のオペレーティングシステムによるコンピュータ装置の管理及び制御を可能にする。一例では、WMIを介して管理されるコンピュータ装置が、例えば企業ネットワークなどのネットワーク内に存在することができる。ネットワーク管理者は、WMIを使用して、コンピュータ装置、アプリケーション及びネットワーク上の情報を問い合わせて設定することができる。WMIを使用することにより、管理者は、Microsoft社がサポートするAPI(アプリケーションプログラムインターフェイス)コールを使用して(ファイルシステム220内の)レジストリ230にアクセスし、コンピュータ装置105に特定のコンピュータプログラム205(悪質なコンピュータプログラム又は悪質でないコンピュータプログラム)がインストールされているかどうかを判定することができる。
管理者は、APIコールを使用して特定のレジストリキー222にデータを書き込むことができる。一例では、この特定のレジストリキー222が、Microsoftサービスパックのインストール又はアップデートから使用されるレジストリキーであり、このレジストリキーは、コンピュータ装置105の再起動後に除去すべき特定のファイル及びレジストリキーに関する命令を含む。コンピュータ装置105から特定のコンピュータプログラム205を除去するために、この特定のコンピュータプログラム205を除去するための命令が特定のレジストリキー222に書き込まれる。コンピュータ装置105を再起動すると、オペレーティングシステム155は、この特定のレジストリキー222を読み取って、コンピュータ装置105から特定のコンピュータプログラム205を除去する(また、コンピュータプログラム205のレジストリキー206も除去する)。OS155は、レジストリキー222内の、特定のプログラム205及びレジストリキー206を除去するための命令に基づいて、プログラム205及びレジストリキー206の除去を実行する。従って、WMIの機能を有利に使用して、コンピュータ装置105からコンピュータプログラム205をクリーニング(ワクチン接種、除去、削除、隔離)することができる。本明細書の説明に基づけば、コンピュータ装置105からコンピュータプログラム205を除去するための他の方法も有利に使用できることが理解される。
次に、この既知のコンピュータプログラム205の属性210を分析すると仮定する。当業者であれば、コンピュータプログラムを分析して、属性210の以下の特性又は詳細を判断することができる。一例では、属性210が、この既知のプログラム205のソフトウェア名が「UNWANTED−1」であり、ファイル拡張子が「ext」であることを示す。属性210が、この既知のコンピュータプログラム205がファイルシステム220によって位置215に記憶される予定であることを示しているとさらに仮定する。当業者には周知のように、ファイルシステムは、あらゆるオペレーティングシステムタイプ(プラットフォーム)内のサブシステムの1つである。通常、位置215は、コンピュータ装置105のメモリ125(図1)内の領域である。
既知のプログラム205が、Windowsベースのオペレーティングシステムへのインストールを試みている場合、又はインストール済みソフトウェアのためにレジストリ型システムを使用する別のタイプのオペレーティングシステムへのインストールを試みている場合、属性210は、この既知のプログラム205が、(ファイルシステム220によって管理され、メモリ125(図1)のメモリ領域235内に存在する)レジストリ230内にレジストリキー206を作成するつもりであることを示すこともできる。
当業者には周知のように、レジストリは、Windowsオペレーティングシステムが使用する、コンピュータプログラムに関する構成情報を記憶するためのデータベースである。ほとんどのコンピュータプログラムは、少なくともインストール中にレジストリにデータを書き込む。
当業者であれば、本明細書で説明する構成の変形例又は代替例を作成できると理解するであろう。例えば、本明細書で説明するように、メモリ(ランダムアクセスメモリなど)に記憶されるオブジェクト(又は他の記憶構成要素)には、常にメモリ内に常駐はできずにディスクに記憶され、アクセスされた時にメモリにロードされるものもある。より具体的な例として、ディスクドライバ145(図1)、レジストリ230及び/又はファイルシステム220などの一部のオブジェクト(又はその他の記憶構成要素)は、通常はディスクに記憶されて常にRAM内には常駐できず、アクセスされた時にのみRAM内にロードすることができる。
これとは別に又はこれに加えて、既知のプログラム205が、非WINDOWSベースのオペレーティングシステムへのインストールを試みている場合、属性210は、この既知のプログラム205が構成情報ファイル240(すなわち、設定ファイル240)を作成するつもりであることを示すことができる。プログラム205がコンピュータ装置105にインストールされると、構成ファイル240は、この既知のプログラム205を有効に登録する。例えば、MAC(登録商標)OS(登録商標)のオペレーティングシステムでは、この構成ファイル240はプリファレンスファイル240である。プリファレンスファイルが削除された場合、コンピュータプログラム205は、そのプリファレンスファイル240を再構築する。構成ファイル240が、あらゆる好適な構成ファイル又はメタデータファイル、或いはコンピュータプログラム205に関連し、必ずしもMAC OSオペレーティングシステムに限定されないあらゆる好適なタイプのオペレーティングシステムが使用する他のデータファイルを含むことは、本発明の実施形態の範囲に含まれる。
本発明の1つの実施形態では、イノキュレータエンジン114をメモリ250に記憶し、(例えば限定ではなく、サーバ又は別のタイプのコンピュータとすることができる)リモートコンピュータ装置112内のプロセッサ255によって実行することができる。オペレーティングシステム155がWindowsオペレーティングシステムである場合、管理者は、プロセッサ255がイノキュレータエンジン114を実行できるようにすることができる。イノキュレータエンジン114は、データベース212に記憶又は収集された、既知のコンピュータプログラム205に関連する属性又はメタデータである属性210を、レジストリキー206を含めて読み込む。通常、属性210は、コンピュータプログラム205がインストール後に常駐する予定の(ターゲット装置105内の)メモリ空間又はメモリアドレス空間、又はコンピュータプログラム205がインストール後に常駐する予定の(ターゲット装置105内の)ファイルシステム位置を示す。属性210は、望ましくないコンピュータプログラム205のレジストリキー206を受け取るであろうレジストリ位置226を示すこともできる。
本発明の1つの実施形態では、イノキュレータエンジン114が、ネットワーク110を介してブロックオブジェクト160(すなわち、ブロック160又はウェッジ160)を提供し、コンピュータ装置105上に送信260して、既知の特定のソフトウェアプログラム(既知のプログラム205)がターゲットコンピュータ装置105にインストールされ、又は実行されるのを防ぐ。ブロックオブジェクト160は、不活性オブジェクト(或いはヌルオブジェクト、又は機能を実施も実行もしないデータオブジェクト)であるデータオブジェクトである。本明細書では、このブロックオブジェクト160を、「ブロック160」又は「ウェッジ160」、或いは実行せずにメモリ空間のみを占める「ダミーファイル160」とも呼ぶ。例えば、このブロックオブジェクト160は、コンピュータ装置105に再インストールされないようにすべき既知のコンピュータプログラム205のメモリ空間(又はメモリアドレス空間)を占める、いずれの機能も実行しない特定サイズの所与のデータとすることができる。
OS155のファイルシステム220は、このブロックデータ160をメモリ領域215にインストールする。Windowsタイプのオペレーティングシステムでは、ファイルシステム220が、不要なコンピュータプログラム205がインストールを試みる際にレジストリキー206を生成してインストールするはずのレジストリ領域226に、偽のレジストリキー225(ヌルレジストリキー225)もインストールする。このヌルレジストリキー225は、望ましくないコンピュータプログラム205のレジストリキー206のレジストリ領域226を占める、いずれの機能も実行しない(すなわち、実行されない)特定サイズの所与のデータでもある。
別のタイプのオペレーティングシステムでは、ファイルシステム220が、ブロックオブジェクト160(ヌルオブジェクト160、データオブジェクト160、又はダミーオブジェクト160)のための偽の構成情報241(ヌル構成情報241)を構成ファイル240にインストールする。MAC OSオペレーティングシステムでは、この構成ファイルが、プリファレンスファイルとして広く知られている。この偽の構成情報241は、不活性オブジェクト又は非機能データオブジェクトでもある。換言すれば、このヌル構成情報241は、非Windowsシステムにインストールされようとしている望ましくないコンピュータプログラム205の構成情報のメモリ領域を占める、いずれの機能も実行しない(すなわち、実行されない)特定サイズの所与のデータでもある。
本明細書及び以下の特許請求の範囲では、(Windowsベースのシステム又はレジストリキーを使用する他のOSタイプの場合の)ヌルレジストリキー225をヌル構成オブジェクト225とも呼ぶ。本明細書及び以下の特許請求の範囲では、(非Windowsベースのシステムの場合の)ヌル構成情報241をヌル構成オブジェクト241とも呼ぶ。ヌル構成オブジェクト225(又は241)は、ヌルオブジェクト160(データオブジェクト160)に関連する。
なお、(iPad、iPhone又はスマートフォンなどのモバイル装置のオペレーティングシステムなどの)オペレーティングシステムは、その全てのタイプがファイルシステムを有する。この結果、ターゲット装置105に不要なコンピュータプログラム205がインストールされるのを防ぐために、これらのファイルシステムを使用して、ブロックオブジェクト160を具体化したもの及び/又は偽の構成情報241を具体化したものをインストールすることができる。
特定のブロックオブジェクト160(データオブジェクト160)は、コンピュータ装置105に特定のコンピュータプログラム205がインストール(再インストール)され又は実行されるのをブロックする。ブロックされるコンピュータプログラム205は、悪質なコンピュータプログラムの場合もあれば、又は悪質でないコンピュータプログラムの場合もある。プログラム205が装置105に再インストールを試みると、ブロックオブジェクト160が、プログラム205のインストール先メモリ空間であるメモリ領域215を占める。この結果、このブロックオブジェクト160は、装置105へのプログラムの再インストールを防ぎ、装置105にプログラム205がインストールされ又は再感染するのを防ぐ抗体(又は機能的抗体)となる。プログラム205のインストール先メモリ空間215にはブロックオブジェクト160が存在するので、プログラム205はインストールできずにエラーを生じるようになる。
当業者には周知のように、Windowsオペレーティングシステムにインストールされるコンピュータプログラムに関しては、このコンピュータプログラムがレジストリにも登録される。本発明の実施形態では、イノキュレータエンジン114が、偽のレジストリキー225(或いはダミーレジストリキー225又は代用レジストリキー225)を提供してレジストリ230内に送信する260。この偽のレジストリキー225は、ブロックオブジェクト160に関連する。オペレーティングシステム155は、コンピュータプログラム205の実際のレジストリキー206の代わりに、この偽のレジストリキー225をレジストリ230にインストールする。この偽のレジストリキー225は、コンピュータプログラム205(マルウェア205又は悪質でないプログラム205など)がターゲット装置105へのインストール中にレジストリキー206を作成する場所である、レジストリ230の領域226にインストールされる。コンピュータプログラム205がターゲット装置105へのインストールを試みている時には、レジストリ230には既に偽のレジストリキー225がインストールされており、コンピュータプログラム205は、この偽のレジストリキー225を削除できないので、エラーが発生するようになる。
従って、ブロックデータ160及び/又は偽のレジストリキー225は、ターゲット装置105の、コンピュータプログラム205が「居住」又はインストールする必要がある領域をブロックする。
本発明の1つの実施形態では、(セキュリティサブシステム266によって管理される)セキュリティ許可設定265が、コンピュータプログラム205が偽のレジストリキー225の値を望ましくないプログラム205に関連する相応の値に変更するのを防ぐので、コンピュータプログラム205は、偽のレジストリキー225を削除することができない。この結果、コンピュータプログラム205は、ターゲット装置105に正常にインストールされず、ターゲット装置105は、コンピュータプログラム205による再感染から守られる。コンピュータプログラム205を装置105にうまくインストールできるようにするには、コンピュータプログラム205の作成者が、例えばコンピュータプログラム205の名前を変更するか、又はプログラム205のレジストリキー206以外の異なるレジストリキーを使用する必要がある。
本発明の別の実施形態では、OS155内のセキュリティ許可265を、ブロックオブジェクト160に関して、不要なコンピュータプログラム205がインストール済みのブロックオブジェクト160を修正又は置換できないように設定することができる。例えば、セキュリティ許可265を、インストール済みのブロックオブジェクト160をネットワーク管理者しか変更できないように設定することができる。データオブジェクトのためのセキュリティ許可265は、セキュリティサブシステム266を使用して設定することも、ネットワーク管理者がネットワーク110を介して遠隔で設定又は構成することもできる。セキュリティ許可265を設定することにより、不要なソフトウェアプログラム205がブロックオブジェクト160を首尾よく上書きし、削除し、置換し、又は修正することに対するセキュリティ又は保護が提供される。セキュリティサブシステム266は、ブロックオブジェクト160及び/又はヌルのレジストリキー225のためのセキュリティ許可265を設定する。
不要なコンピュータプログラム205の名前が「UNWANTED−1」であると仮定する。本発明の別の実施形態では、不要なコンピュータプログラム205が将来的にメモリ空間215にアクセスするのをブロックするブロックオブジェクト160を、ソフトウェアプログラム205が首尾よく上書き、削除、置換又は修正するのを防ぐために、ネットワーク管理者又はユーザが、ファイルシステム220及びセキュリティサブシステム266を介して、ブロックオブジェクト160の名前を変えずにそのタイプを変更することができる。例えば、ネットワーク管理者は、ブロックオブジェクト160を、ファイルオブジェクト160から、ファイルオブジェクトとは異なるタイプのオブジェクトであるディレクトリ160Aに変更することができる。ディレクトリ160Aの名前は、前のファイルオブジェクト160と同じ「UNWANTED−1」になる。(「UNWANTED−1」という名前の)不要なコンピュータプログラム205が将来的にメモリ領域215へのインストールを試みた場合、この不要なコンピュータプログラム205は、同じ「UNWANTED−1」という名前のディレクトリ160Aと名前が衝突するのでインストールすることができなくなる。この名前の衝突により、OS155がエラーコードをトリガし、これにより不要なコンピュータプログラム205がターゲット装置105にインストールを試みたことをネットワーク管理者又はターゲット装置105のユーザに警告することができる。
本発明の別の実施形態では、不要なソフトウェアプログラム205が(上記の例で説明したように「UNWANTED−1」という名前の)ディレクトリ160Aを首尾よく上書き、削除、置換又は修正するのを防ぐために、ネットワーク管理者又はユーザが、ファイルシステム220及びセキュリティサブシステム266を介して、メモリ領域215内のディレクトリ160A内に別のブロックオブジェクト160Bを配置することができる。上記の例のブロックオブジェクト160と同様に、ブロックオブジェクト160Bも、非機能的又は非実行的な1つのデータオブジェクトである。ブロックオブジェクト160Bは、ブロックオブジェクト160の名前と異なる名前(「UNWANTED−2」など)を有することも、又はブロックオブジェクト160の名前と同じ名前(「UNWANTED−1」など)を有することもできる。ディレクトリ160A内にブロックオブジェクト160Bが存在するので、不要なコンピュータプログラム205は、将来的にターゲット装置105へのインストールを試みた時にディレクトリ160Aを削除又は修正することができない。
本発明の別の実施形態では、ターゲット装置105へのインストール又は再インストールを試みる侵入コンピュータプログラム205が、偽のレジストリキー225に対するアクセス、修正又は削除を試みた場合、或いはターゲット装置105へのインストール又は再インストールを試みる侵入コンピュータプログラム205が、ブロックオブジェクト160に対するアクセス、修正又は削除を試みた場合、セキュリティイベント272を生成するようにOS155をプログラムすることができる。コンピュータプログラム205が、特定のメモリ領域215及び/又は特定のレジストリ領域226内のデータオブジェクトにアクセス(例えば、読み込み、書き込み、修正又は削除)しようと試みた場合、OS155は、(セキュリティサブシステム266などを介して)このセキュリティイベント272をトリガすることができる。その後、このセキュリティイベント272が監査サブシステム274に送信され、このサブシステム274は、このセキュリティイベント272をセキュリティイベントログ276に記録することができる。様々な市販のソフトウェア及びオープンソースソフトウェアを使用して、セキュリティイベントログ276を読み込み分析することができる。事実上、セキュリティイベント272は、コンピュータプログラム205がターゲット装置105へのインストールを試み、偽のレジストリ225及び/又はブロックオブジェクト160にアクセスし、又はこれらを修正又は削除しようと試みている時に、ネットワーク管理者又はターゲット装置105のユーザに警告を行う「仕掛け線」又は「盗難警報器」である。本発明の別の実施形態では、上述したセキュリティイベント272機能が除外される。
非限定的な動作例では、例えばMicrosoft Windowsオペレーティングシステム又はその他のタイプのオペレーティングシステムを使用するコンピュータシステムに、(悪質なものである場合も、又は悪質なものでない場合もある)1つのソフトウェア205をサービスとして登録すると仮定する。Windows OSでは、「現在の制御セット/サービス」という名前のレジストリキー206の下にソフトウェア205が登録され、そのサービス名が「有害ソフトウェア」であると仮定する。このソフトウェア205は、ターゲット装置105にインストールされ又は感染すると、レジストリ230にこのレジストリキー206を作成する。例えば上述したような方法を使用して、ターゲットシステム105からソフトウェア205をクリーニング(例えば、削除又は除去)することができる。
このソフトウェア205の属性210が分析され(例えば、データベース212に)記録されると、イノキュレータエンジン114が、ターゲット装置105に抗体を送り込んで、ソフトウェア205が将来的にターゲットシステム105にインストールされるのを防ぐことができる。上述したように、この抗体は、ブロックオブジェクト160(ウェッジ160)、ソフトウェア205と同じ名前のディレクトリ160A、ブロックオブジェクト160Bを含むディレクトリ160A、ブロックオブジェクト160に関連する偽のレジストリキー225、及び/又はブロックオブジェクト160に関連する偽の構成情報241とすることができる。上述したように、これらの抗体内の構成要素は、例えば、オペレーティングシステムのタイプ、及び/又はネットワーク管理者がブロックオブジェクト160、ディレクトリ160A、レジストリキー225及び/又は偽の構成情報241に設定することを好むセキュリティの量に基づいて異なることができる。
イノキュレータエンジン114は、ネットワーク110に沿ってリモートプロシージャコール(RPC)を介してレジストリ235を開く。RPCは、Microsoftベースのオペレーティングシステムの内蔵機能である。当業者には周知のように、RPCは、一方のコンピュータ上のプログラムが他方のコンピュータ内のプログラムを実行できるようにする一種のプロトコルである。一方のコンピュータ内のプログラムは、適当な引数を含むメッセージを他方のコンピュータに送信し、この他方のコンピュータは、実行したプログラムの結果を含むメッセージを返送する。
イノキュレータエンジン114は、「現在の制御セット/サービス」というレジストリパスの下に、「有害ソフトウェア」という名前のレジストリキーを作成する。従って、イノキュレータエンジン114は、ターゲット装置105にインストールを試みたプログラム205が作成したものと同じ名前のレジストリキーを作成する。
同じく上述したように、イノキュレータエンジン114を使用して、レジストリキー225に対するセキュリティ許可265を設定することができる。例えば、セキュリティ許可265は、レジストリキー225の所有者以外の誰かによるレジストリキー225への読み取りアクセス及び書き込みアクセスを防ぐ。通常、レジストリキー225の所有者はネットワーク管理者である。
この同じ例では、装置105のユーザが、後でインターネット又は別のネットワークを閲覧し、(「有害ソフトウェア」という名前の)同じプログラム205がターゲット装置105を悪用しようと試みると仮定する。「有害ソフトウェア」プログラム205は、その(「現在の制御セット/サービス/有害ソフトウェア」という名前の)レジストリキー206を作成し、ターゲット装置105へのインストールを試みている時に、このレジストリキー206をレジストリ230にインストールしようと試みる。レジストリ230には、レジストリキー225が既にインストールされているので、プログラム205のコードライン内にアクセス拒否エラーが生成される。このエラーコードは、レジストリ230に既にレジストリキー225がインストールされているという理由で生成され、このレジストリキー225が占めるレジストリ領域へのプログラム205によるアクセスが拒否されたことを示す。通常、プログラム205は、レジストリキー225を上書き又は修正するための正式なセキュリティ許可証明書を有していないので、エラーコードが生成される。プログラム205は、このエラーコードに対処するためのプログラミング応答を有しておらず、ターゲット装置105へのインストールを正常に完了することができず、ターゲット装置105の再起動中にプログラム205が存在し続けるための適当なレジストリキー及びファイルパスがインストールされないので、ターゲット装置105の再起動時に、OS155によってターゲット装置105から削除される。
本発明の別の実施形態では、上述した抗体(ブロックオブジェクト160、ディレクトリ160A、レジストリキー225及び/又は偽の構成情報241など)を、以前にコンピュータプログラム205に感染したことがないターゲット装置105内に与えることができる。この解決策は、既知の不要なソフトウェア205による悪用に対するターゲット装置105の能動的なワクチン接種を可能にする。
従って、本発明の実施形態では、装置及び/又は方法が、コンピュータセキュリティのためのイノキュレータ及び抗体を備える。ターゲットコンピュータ装置105(すなわち、図1のターゲットコンピュータ105又はコンピュータシステム105)に特定の既知のソフトウェアプログラムがインストールされて実行されるのを防ぐブロックオブジェクト(すなわち、ブロック又はウェッジ)が、ターゲットコンピュータ装置にインストールされる。一例として、このブロックオブジェクトは、Microsoft WindowsのRPCコールを使用して、遠隔装置からネットワークを介してターゲット装置105にインストールすることができる。本発明の実施形態により提供される解決策は、ターゲット装置にソフトウェアエージェントをインストールする必要がないという利点を有する。代わりに、この解決策は、データオブジェクト、ファイル及び/又はレジストリキーを提供して、不要なコンピュータソフトウェアプログラム205のインストールを防ぐ。従って、本発明の実施形態は、従来の解決策によるエージェント、アクティブな実行コード、ビヘイビアブロックソフトウェアの使用、或いは高額になること又はシステムリソースを消費することがある他の従来の解決策を有利に回避する。ターゲット装置内のターゲットシステムは、例えばMicrosoft Windows OSとすることができるが、本発明の実施形態は、他のタイプのオペレーティングシステムを保護することもできる。ブロックオブジェクトがターゲットシステムにインストールされる(「押し込まれる」)と、ターゲットシステムは、ターゲットシステムへのインストール又は実行を試みる特定の不要なソフトウェアプログラムから保護され、又はこれに対して免疫を持つようになる。上述したように、ブロックオブジェクトとともに偽のレジストリキーを使用してターゲットシステムを保護することもできる。
本発明の実施形態により提供される解決策は、ターゲットシステムが(一般に「マルウェア」と呼ばれる)特定の悪質なソフトウェアプログラムに対して免疫を持つようにすることができる。しかしながら、本発明の実施形態により提供される解決策は、ターゲットシステムが、ネットワーク管理者又はその他のユーザにより選択される悪質でないソフトウェアに対しても免疫を持つようにすることができる。
図3は、本発明の実施形態による方法300のブロック図である。最初に、望ましくないコンピュータプログラムが常駐するであろう領域を特定する(ブロック305)。その後、この領域内にデータオブジェクトを配置して、このデータオブジェクトが、コンピュータにセキュリティを与え、望ましくないコンピュータプログラムに対する免疫を提供する抗体となるようにする(ブロック310)。ブロック315における任意のステップとして、データオブジェクトに対するアクセス(例えば、削除及び/又は修正)を防ぐための動作を実行することもできる。上述したように、データオブジェクトに対するアクセス、削除及び/又は修正を防ぐことは、データオブジェクトに対するセキュリティ許可を設定すること、データオブジェクトのタイプを修正すること、又はデータオブジェクト内に第2のデータオブジェクトを配置することを含むことができる。
本発明の別の実施形態では、例えば、ヌルレジストリキー225又はヌル構成情報241に対するセキュリティ許可を設定すること、セキュリティサブシステム266を使用することにより、ヌルレジストリキー225(又は、妥当な場合にはヌル構成情報241)に対するアクセス(削除及び/又は変更など)を防ぐこともできる。
ブロック305において領域を特定する前に、コンピュータ又はネットワーク内の別の装置から望ましくないコンピュータプログラムをクリーニング(ワクチン接種)することもできる。
上述した本発明の技術のいずれかをコンピュータが実行できるようにする、機械可読又はコンピュータ可読媒体に記憶できるプログラム又はコードを実装すること、或いはフィールドプログラマブルゲートアレイ(FPGA)又は他の特殊な装置などの組み込み装置を含む、本発明の技術の実施形態を実施するためのコンピュータ可読命令を記憶するコンピュータ可読媒体を含む製造の物品に記憶できるプログラム又はコードを実装することも本発明の範囲に含まれる。本明細書で説明した教示に照らして、上述した実施形態及び方法の他の変形及び修正も可能である。
要約書に記載した内容を含む、例示した本発明の実施形態についての上記説明は、包括的であること、又は開示した詳細な形態に本発明を限定することを意図するものではない。本明細書では、本発明の特定の実施形態及び具体例について例示目的で説明したが、当業者であれば認識するように、本発明の範囲内で様々な同等の修正を行うことができる。
本発明に対するこれらの修正は、上記の詳細な説明に照らして行うことができる。
以下の特許請求の範囲で使用する用語を、本発明を本明細書及び特許請求の範囲で開示する特定の実施形態に限定するものであると解釈すべきではない。むしろ、本発明の範囲は、以下の特許請求の範囲により完全に定められるべきであり、特許請求の範囲の解釈の確立された原則に基づいて解釈すべきものである。
100:装置
105:コンピュータ装置
110:通信ネットワーク
112:リモートサーバ
114:イノキュレータ
115:要素
120:プロセッサ
125:メモリ素子
130:記憶装置
140:ポート
142:ネットワークインターフェイス
145:ディスクドライバ
150:ネットワークドライバ
152:ソフトウェア要素
153:バス
155:オペレーティングシステム
160:ブロック/ウェッジ
165:ユーザインターフェイス
170:マウス又はコントロールパッド
175:キーボード
180:画面又はタッチ画面

Claims (20)

  1. 第1のコンピュータ装置により実行される方法であって、
    前記第1のコンピュータ装置から分離し区別される第2のコンピュータ装置において、望ましくないコンピュータプログラムが前記第2のコンピュータ装置にインストールされる際にその望ましくないコンピュータプログラムが常駐するロケーションを決定する処理と、
    前記望ましくないコンピュータプログラムがインストールされるロケーションを占有するデータオブジェクトであって、当該望ましくないコンピュータプログラムが、前記第2のコンピュータ装置上の前記決定されたロケーションにインストールされないようにする前記データオブジェクトを前記第2のコンピュータ装置に提供する処理と、
    を含む方法。
  2. 前記第2のコンピュータ装置における第2のロケーションに、前記データオブジェクトに関連するヌルコンフィグレーション・オブジェクトを提供する処理を更に含む、請求項1に記載の方法。
  3. 前記データオブジェクトが削除又は修正されないようにする処理を更に含む、請求項1に記載の方法。
  4. 前記データオブジェクトが削除又は修正されないようにする処理は、前記データオブジェクトに対するセキュリティ許可を設定することを含む、請求項3に記載の方法。
  5. 前記データオブジェクトが削除又は修正されないようにする処理は、前記望ましくないコンピュータプログラムとは異なるオブジェクトタイプを有する前記データオブジェクトを設定することを含む、請求項3に記載の方法。
  6. 前記データオブジェクトが削除又は修正されないようにする処理は、前記データオブジェクトに第2のデータオブジェクトを配置することを含む、請求項5に記載の方法。
  7. 前記ロケーションは、メモリ空間及びファイルシステムロケーションの少なくとも1つを含む、請求項1に記載の方法。
  8. 前記データオブジェクトは、前記望ましくないコンピュータプログラムと同じ名称を有する、請求項1に記載の方法。
  9. 1以上のプロセッサと、
    前記1以上のプロセッサによって実行される1以上のプログラムを記憶するメモリと、 を備えた第1のコンピュータ装置であって、
    前記1以上のプログラムは、
    前記第1のコンピュータ装置から分離し区別される第2のコンピュータ装置において、望ましくないコンピュータプログラムが前記第2のコンピュータ装置にインストールされる際にその望ましくないコンピュータプログラムが常駐するロケーションを決定すること、及び
    前記望ましくないコンピュータプログラムがインストールされるロケーションを占有するデータオブジェクトであって、当該望ましくないコンピュータプログラムが、前記第2のコンピュータ装置上の前記決定されたロケーションにインストールされないようにする前記データオブジェクトを前記第2のコンピュータ装置に提供すること、
    のための命令を含む、第1のコンピュータ装置。
  10. 前記1以上のプログラムは、前記第2のコンピュータ装置における第2のロケーションに、前記データオブジェクトに関連するヌルコンフィグレーション・オブジェクトを提供するための命令を含む、請求項9に記載の第1のコンピュータ装置。
  11. 前記ロケーションは、メモリ空間及びファイルシステムロケーションの少なくとも1つを含む、請求項9に記載の第1のコンピュータ装置。
  12. 前記データオブジェクトは、前記望ましくないコンピュータプログラムと同じ名称を有する、請求項9に記載の第1のコンピュータ装置。
  13. 第1のコンピュータ装置の1以上のプロセッサによって実行されるコンピュータプログラムであって、前記1以上のプロセッサに、
    前記第1のコンピュータ装置から分離し区別される第2のコンピュータ装置において、望ましくないコンピュータプログラムが前記第2のコンピュータ装置にインストールされる際にその望ましくないコンピュータプログラムが常駐するロケーションを決定する処理と、
    前記望ましくないコンピュータプログラムがインストールされるロケーションを占有するデータオブジェクトであって、当該望ましくないコンピュータプログラムが、前記第2のコンピュータ装置上の前記決定されたロケーションにインストールされないようにする前記データオブジェクトを前記第2のコンピュータ装置に提供する処理と、
    を実行させるためのコンピュータプログラム。
  14. 前記第2のコンピュータ装置における第2のロケーションに、前記データオブジェクトに関連するヌルコンフィグレーション・オブジェクトを提供する処理のための命令を含む、請求項13に記載のコンピュータプログラム。
  15. 前記データオブジェクトが削除又は修正されないようにする処理のための命令を含む、請求項13に記載のコンピュータプログラム。
  16. 前記データオブジェクトが削除又は修正されないようにする処理は、前記データオブジェクトに対するセキュリティ許可を設定するための命令を含む、請求項15に記載のコンピュータプログラム。
  17. 前記データオブジェクトが削除又は修正されないようにする処理は、前記望ましくないコンピュータプログラムとは異なるオブジェクトタイプを有する前記データオブジェクトを設定するための命令を含む、請求項15に記載のコンピュータプログラム。
  18. 前記データオブジェクトが削除又は修正されないようにする処理は、前記データオブジェクトに第2のデータオブジェクトを配置するための命令を含む、請求項17に記載のコンピュータプログラム。
  19. 前記ロケーションは、メモリ空間及びファイルシステムロケーションの少なくとも1つを含む、請求項13に記載のコンピュータプログラム。
  20. 前記データオブジェクトは、前記望ましくないコンピュータプログラムと同じ名称を有する、請求項13に記載のコンピュータプログラム。
JP2016114274A 2010-11-01 2016-06-08 コンピュータセキュリティのためのイノキュレータ及び抗体 Expired - Fee Related JP6243479B2 (ja)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US45619210P 2010-11-01 2010-11-01
US61/456,192 2010-11-01
US13/200,504 US9311482B2 (en) 2010-11-01 2011-09-23 Inoculator and antibody for computer security
US13/200,504 2011-09-23

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2013537752A Division JP5951621B2 (ja) 2010-11-01 2011-10-31 コンピュータセキュリティのためのイノキュレータ及び抗体

Publications (3)

Publication Number Publication Date
JP2016189201A JP2016189201A (ja) 2016-11-04
JP2016189201A5 JP2016189201A5 (ja) 2017-03-16
JP6243479B2 true JP6243479B2 (ja) 2017-12-06

Family

ID=45998165

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2013537752A Active JP5951621B2 (ja) 2010-11-01 2011-10-31 コンピュータセキュリティのためのイノキュレータ及び抗体
JP2016114274A Expired - Fee Related JP6243479B2 (ja) 2010-11-01 2016-06-08 コンピュータセキュリティのためのイノキュレータ及び抗体

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2013537752A Active JP5951621B2 (ja) 2010-11-01 2011-10-31 コンピュータセキュリティのためのイノキュレータ及び抗体

Country Status (10)

Country Link
US (2) US9311482B2 (ja)
EP (1) EP2635969B1 (ja)
JP (2) JP5951621B2 (ja)
CN (2) CN103430153B (ja)
AU (3) AU2011323553B2 (ja)
CA (2) CA2816764C (ja)
IL (1) IL226098A (ja)
NZ (1) NZ610714A (ja)
SG (2) SG190120A1 (ja)
WO (1) WO2012061319A1 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6929144B2 (ja) * 2017-06-27 2021-09-01 キヤノン株式会社 情報処理装置、プログラム、インストーラ及び制御方法
CN112399409A (zh) * 2019-08-16 2021-02-23 华为技术有限公司 一种安全加密的方法及装置
US11914711B2 (en) * 2020-07-30 2024-02-27 Versa Networks, Inc. Systems and methods for automatically generating malware countermeasures
JP2022114778A (ja) * 2021-01-27 2022-08-08 セイコーエプソン株式会社 電子機器及び電子機器の制御方法
JP7174468B1 (ja) * 2022-06-13 2022-11-17 文生 根来 ウイルス侵入されたプログラムがプログラム自身でウイルスデータを排除できるプログラム開発方法

Family Cites Families (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1305688A2 (en) * 2000-05-28 2003-05-02 Yaron Mayer System and method for comprehensive general generic protection for computers against malicious programs that may steal information and/or cause damages
US7725558B2 (en) * 2000-07-26 2010-05-25 David Dickenson Distributive access controller
WO2004092981A2 (en) * 2003-04-07 2004-10-28 Belarc, Inc. Software update and patch audit subsystem for use in a computer information database system
US7512809B2 (en) * 2003-08-22 2009-03-31 Cyrus Peikari Attenuated computer virus vaccine
US7644441B2 (en) * 2003-09-26 2010-01-05 Cigital, Inc. Methods for identifying malicious software
US8255973B2 (en) * 2003-12-10 2012-08-28 Chris Hopen Provisioning remote computers for accessing resources
US7499929B2 (en) * 2004-03-22 2009-03-03 Microsoft Corporation Computing device with relatively limited storage space and operating/file system thereof
US20060041942A1 (en) 2004-06-24 2006-02-23 Mcafee, Inc. System, method and computer program product for preventing spyware/malware from installing a registry
JPWO2006057337A1 (ja) 2004-11-25 2008-06-05 日本電気株式会社 セキュリティ検証用のデータを生成する方法及びシステム
US7979889B2 (en) * 2005-01-07 2011-07-12 Cisco Technology, Inc. Methods and apparatus providing security to computer systems and networks
EP1684151A1 (en) 2005-01-20 2006-07-26 Grant Rothwell William Computer protection against malware affection
US8046831B2 (en) * 2005-03-02 2011-10-25 Actiance, Inc. Automating software security restrictions on system resources
GB0513375D0 (en) * 2005-06-30 2005-08-03 Retento Ltd Computer security
US7665123B1 (en) * 2005-12-01 2010-02-16 Symantec Corporation Method and apparatus for detecting hidden rootkits
US7836500B2 (en) 2005-12-16 2010-11-16 Eacceleration Corporation Computer virus and malware cleaner
EP1840902B1 (en) * 2006-03-29 2009-08-05 STMicroelectronics S.r.l. Method and device for detecting possible corruption of sector protection information of a non volatile memory stored in an on board volatile memory array at power-on
CN100424652C (zh) * 2006-07-28 2008-10-08 华南理工大学 一种基于嵌入式操作系统的硬盘自恢复保护方法
US8413135B2 (en) * 2006-10-30 2013-04-02 At&T Intellectual Property I, L.P. Methods, systems, and computer program products for controlling software application installations
US7761676B2 (en) * 2006-12-12 2010-07-20 Intel Corporation Protecting memory by containing pointer accesses
JP2008210057A (ja) 2007-02-23 2008-09-11 Hitachi Ltd 記憶システム及びその管理方法
US8321667B2 (en) * 2007-02-28 2012-11-27 Microsoft Corporation Security model for common multiplexed transactional logs
US20080244155A1 (en) * 2007-03-30 2008-10-02 Kyungwoo Lee Methods and apparatus to protect dynamic memory regions allocated to programming agents
WO2009105055A1 (en) * 2007-05-10 2009-08-27 Micron Technology, Inc. Memory area protection system and methods
US8291496B2 (en) * 2008-05-12 2012-10-16 Enpulz, L.L.C. Server based malware screening
US20100023522A1 (en) 2008-07-18 2010-01-28 George Madathilparambil George Dynamically controlling permissions
JP5313600B2 (ja) * 2008-09-16 2013-10-09 株式会社日立製作所 ストレージシステム、及びストレージシステムの運用方法
US20100095365A1 (en) * 2008-10-14 2010-04-15 Wei-Chiang Hsu Self-setting security system and method for guarding against unauthorized access to data and preventing malicious attacks
US20100100966A1 (en) 2008-10-21 2010-04-22 Memory Experts International Inc. Method and system for blocking installation of some processes
US8769685B1 (en) * 2010-02-03 2014-07-01 Symantec Corporation Systems and methods for using file paths to identify potentially malicious computer files
CN101894243A (zh) * 2010-06-24 2010-11-24 北京安天电子设备有限公司 一种针对网络浏览器的恶意插件的免疫方法
US9536089B2 (en) * 2010-09-02 2017-01-03 Mcafee, Inc. Atomic detection and repair of kernel memory

Also Published As

Publication number Publication date
AU2011323553B2 (en) 2017-03-23
AU2017204194A1 (en) 2017-07-13
AU2019206085B2 (en) 2021-07-08
CA3130495A1 (en) 2012-05-10
US9792444B2 (en) 2017-10-17
EP2635969A1 (en) 2013-09-11
CN103430153B (zh) 2017-11-14
WO2012061319A1 (en) 2012-05-10
CA2816764C (en) 2021-11-02
SG190120A1 (en) 2013-06-28
IL226098A (en) 2017-11-30
CN103430153A (zh) 2013-12-04
AU2017204194B2 (en) 2019-04-18
CN108038380B (zh) 2022-03-15
CN108038380A (zh) 2018-05-15
EP2635969A4 (en) 2014-08-27
US9311482B2 (en) 2016-04-12
SG10201508939VA (en) 2015-11-27
EP2635969B1 (en) 2020-07-08
NZ610714A (en) 2015-07-31
IL226098A0 (en) 2013-06-27
JP2014501002A (ja) 2014-01-16
US20160292424A1 (en) 2016-10-06
US20120110673A1 (en) 2012-05-03
JP5951621B2 (ja) 2016-07-13
AU2019206085A1 (en) 2019-08-08
AU2011323553A1 (en) 2013-06-13
CA2816764A1 (en) 2012-05-10
JP2016189201A (ja) 2016-11-04

Similar Documents

Publication Publication Date Title
EP3430556B1 (en) System and method for process hollowing detection
JP6317434B2 (ja) 評判インジケータを使用してマルウェアスキャニングを容易にするためのシステムおよび方法
JP6196393B2 (ja) プリインストールアプリケーションのスキャンを最適化するためのシステム及び方法
CN111356985B (zh) 用于阻止恶意应用程序利用应用程序服务的系统和方法
US9177145B2 (en) Modified file tracking on virtual machines
US8826424B2 (en) Run-time additive disinfection of malware functions
JP6243479B2 (ja) コンピュータセキュリティのためのイノキュレータ及び抗体
WO2020055495A1 (en) Systems and methods for threat and information protection through file classification
US10685116B2 (en) Anti-ransomware systems and methods using a sinkhole at an electronic device
EP3797371B1 (en) Systems and methods for controlling an application launch based on a security policy
US9607176B2 (en) Secure copy and paste of mobile app data
US10572663B1 (en) Systems and methods for identifying malicious file droppers
Awade et al. WallDroid: Firewalls for the Android OS

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170213

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170911

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170928

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20171010

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20171109

R150 Certificate of patent or registration of utility model

Ref document number: 6243479

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees