JP6313384B2 - アンチウィルス判定の最適化のためのシステム及び方法 - Google Patents
アンチウィルス判定の最適化のためのシステム及び方法 Download PDFInfo
- Publication number
- JP6313384B2 JP6313384B2 JP2016163356A JP2016163356A JP6313384B2 JP 6313384 B2 JP6313384 B2 JP 6313384B2 JP 2016163356 A JP2016163356 A JP 2016163356A JP 2016163356 A JP2016163356 A JP 2016163356A JP 6313384 B2 JP6313384 B2 JP 6313384B2
- Authority
- JP
- Japan
- Prior art keywords
- executable
- file
- executable file
- tool
- condition
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000002155 anti-virotic effect Effects 0.000 title claims description 95
- 238000000034 method Methods 0.000 title claims description 53
- 238000004458 analytical method Methods 0.000 claims description 90
- 238000007689 inspection Methods 0.000 claims description 58
- 238000000354 decomposition reaction Methods 0.000 claims description 23
- 230000006870 function Effects 0.000 claims description 15
- 230000008569 process Effects 0.000 claims description 11
- 238000004364 calculation method Methods 0.000 claims 3
- 238000004590 computer program Methods 0.000 claims 2
- 238000013500 data storage Methods 0.000 claims 2
- 238000001514 detection method Methods 0.000 description 15
- 230000008676 import Effects 0.000 description 6
- 230000003287 optical effect Effects 0.000 description 6
- 230000001419 dependent effect Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 238000005457 optimization Methods 0.000 description 4
- 238000013459 approach Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000011156 evaluation Methods 0.000 description 2
- 238000010348 incorporation Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000007630 basic procedure Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000007717 exclusion Effects 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 238000013515 script Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000012916 structural analysis Methods 0.000 description 1
- 238000000547 structure data Methods 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F40/00—Handling natural language data
- G06F40/20—Natural language analysis
- G06F40/205—Parsing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/40—Transformation of program code
- G06F8/41—Compilation
- G06F8/42—Syntactic analysis
- G06F8/427—Parsing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Artificial Intelligence (AREA)
- Audiology, Speech & Language Pathology (AREA)
- Computational Linguistics (AREA)
- Stored Programmes (AREA)
- Medical Treatment And Welfare Office Work (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Description
この出願は、ロシア連邦特許出願番号2015145266(2015年10月22日出願)についての優先権の利益を主張し、本明細書中に参考として援用する。
検査ツールは、アンチウィルスチェックのために実行可能ファイルを受信し、実行可能ファイルを分解ツールへ送信し、解析ツールから受け取った決定に基づいて実行可能コードを含まない実行可能ファイルをアンチウィルスチェックから除外するように構成される。
分解ツールは、実行可能ファイルの構造を解析し、実行可能ファイルのヘッダーを確認することによって実行可能ファイルのフォーマットを特定し、実行可能ファイルのフォーマット及び実行可能ファイルの構造に関する情報を解析ツールへ送信するように構成される。
解析ツールは、
少なくとも実行可能ファイルのフォーマットに関する情報に基づいてデータベースから条件リストを選択し、条件リストは、実行可能ファイルの構造解析のための複数の条件を有し、
選択される条件リストを使用して実行可能ファイルの構造の解析を実行し、
上記解析は選択される条件リストからの各条件が満たされているかどうかを確認することを含み、
上記解析に基づく結果を作成し、その結果は、確認済み各条件が満たされているかどうかに関する情報を含み、
上記結果に基づく決定を発行し、その決定は、条件リストからの全ての条件が満たされる場合に実行可能ファイル内に実行可能コードが存在しないという決定であり、
発行される決定を検査ツールへ送信するように構成される。
データベースは、解析ツールから操作できるように接続され、条件リストを格納するように構成される。
検査ツールを使用して、アンチウィルスチェックのための実行可能ファイルを受信する工程と、
分解ツールを用いて実行可能ファイルの構造を解析し、実行可能ファイルのヘッダーを確認して実行可能ファイルのフォーマットを特定する工程と、
解析ツールを用いて、少なくとも実行可能ファイルのフォーマットに関する情報に基づいてデータベースから条件リストを選択する工程と、上記条件リストは実行可能ファイルの構造の解析のための複数の条件を有し、
解析ツールを用いて、選択される条件リストを使用して実行可能ファイルの構造を解析する工程と、その解析は選択される条件リストからの各条件が満たされているかどうかを確認することを含み、
検査ツールを用いて、上記解析に基づく結果を作成する工程と、その結果は確認済み各条件が満たされているかどうか関する情報を含み、
上記結果に基づく決定を発行する工程と、その決定は条件リストからの全ての条件が満たされる場合に実行可能ファイル内に実行可能コードが存在しないという決定であり、
検査ツールを使用して、実行可能コードを含まない実行可能ファイルを上記発行される決定に基づいて、アンチウィルスチェックから除外する工程を含む。
図1は、一実施形態に係る、実行可能ファイルのアンチウィルスチェックを最適化するためのシステム10のブロック図である。特に、図1の最適化システム10は、ユーザー機器20に代わって又はユーザー機器20のために、1つ又は複数の実行可能ファイル100をアンチウィルスチェックから除外するように構成されている。
ユーザー機器20は、パーソナルコンピュータ、ラップトップコンピュータ、タブレット、パーソナルデジタルアシスタント、モバイルデバイス、又は実行可能ファイルを実行するように構成された任意の他のコンピューティングデバイスを備えることができる。図に示すように、最適化システム10は、一般的に、1つ又は複数の実行可能ファイル100を除外するためのアンチウィルスシステム110を備えている。
例えば、検査ツール120は、検出ツール130に実行可能ファイルを送ることができる。検出システム130は、分解ツール150を使用して、受信したファイルのフォーマットを判定することができる。
例えば、セクションが実行可能であれば、セクションの実行可能なステータス(フラグ)に基づいてそのような判定を行うことができる。分解ツール150は、さらに、実行可能ファイルにあるプログラムコードの実行開始アドレス(すなわち、エントリポイント)を判定するように構成することができる。分解ツール150は、実行可能ファイル100(動的ライブラリ)のフォーマット及びその構造に関する情報を解析ツール160に提供することができる。
- "リソーステーブル(Resource table)"セクション(リソースセクション)のアドレスとサイズがゼロでない。つまり、リソースに関する情報が存在する。
- "エクスポートテーブル(Export table)"セクション(エクスポートセクション)のアドレスとサイズがゼロに等しい。つまり、エクスポート可能な関数に関する情報はない。
- "インポートテーブル(Import table)"セクション(インポートセクション)のアドレスとサイズがゼロに等しい。つまり、インポート可能な関数に関する情報はない。
- "インポートアドレステーブル(Import address)"セクション(インポートテーブルセクション)のアドレスとサイズがゼロに等しい。つまり、インポートアドレステーブルがない。
- "スレッドローカルストレージ(Thread local storage)"(TLS)テーブル(スレッドメモリセクション)のアドレスとサイズがゼロに等しい。つまり、TLSは存在しない。
一実施形態では、条件リストは、前述の条件の少なくとも3つを含む。他の実施形態では、条件リストは、前述の条件のうちの3つ未満を含むことができる。他の実施形態では、他の組み合わせ又はリンクされた条件も利用することができる。例えば、第1の条件は、第2の条件の評価をトリガとすることができる。他の例では、第1の条件は、第2及び第3の条件の両方の評価をトリガとすることができ、以下同様である。
- 実行可能なセクションが1つしか存在しない。すなわち、セクションは、"特性(characteristics)"フィールドに対応するフラグを有する。
- エントリポイントは、ゼロアドレス(0х00)又は特定のセクションに従ったエントリポイントのいずれかを示す必要がある。この場合、".NET"ファイルのエントリポイントは、"mscoree.dll"ライブラリの"_CorDllMain"関数の呼び出しを示す。
そうでない場合、少なくとも1つの基準が満たされていない場合、分解ツール150は、".NET"ファイルフォーマット及び構造情報を解析ツール160へ送信せず、代わりに適切に検査ツール120に通知する。したがって、検査ツール120は、アンチウィルスチェックを実行する。さらに、他の例では、指定された基準は、データベース170に格納された条件リストからの条件を含むこともできる。一実施形態では、前述の基準が条件である場合、分解ツール150は、それらを追加の送信基準として使用しない。
-"_CorDllMain"インポート可能関数へのエントリポイント、そこにはインポート可能な関数はなく、"_CorDllMain"関数自体がmscoree.dllからインポートされる。
-mscoree.dllライブラリからインポート可能な関数を除き、インポート可能な関数は存在しない。
-"エクスポートテーブル(Export table)"セクション(エクスポートセクション)のアドレスとサイズがゼロに等しい。つまり、エクスポート可能な関数に関する情報はない。
-"スレッドローカルストレージ(Thread local storage)"(TLS)テーブル(スレッドメモリセクション)のアドレスとサイズはゼロに等しい。つまり、TLSは存在しない。
-".NET"メタデータ(.NET MetaData)セクションのアドレスとサイズがゼロでない。
-"ManagedNativeHeader"構造体のアドレスとサイズがゼロに等しい。つまり、チェック対象の".NET"ファイルはNativeImageファイルではない。
-管理可能なリソースの有無、そのサイズがゼロでない。
- MaskValidフィールドは、MethodDef、MethodPtr、MethodSemantics、MethodImpl、及びMetodSpecの各メソッドのテーブルに関連するビットを含まない。
一実施形態では、条件リストは、前述の条件の少なくとも3つを含む。他の実施形態では、条件リストは、前述の条件のうちの3つ未満を含むことができる。
-セクションの数がゼロに等しい(ファイルセグメントの数=0、自動データセグメント番号=0)。
-ヒープ割り当て(Heap allocation)セクション(メモリ割り当てセクション)のアドレスとサイズはゼロに等しい。
-スタック割り当て(Stack allocation section)セクションのアドレスとサイズ(スタック内の位置)がゼロに等しい。
-制御レジスタはゼロ(IP = 0、CS = 0、SP = 0、SS = 0)に初期化される。
-インポート用のライブラリはない(ImportNamesセクションはゼロアドレス0x0000を示す)。
ハードドライブ327、磁気ドライブ328、及び光学ドライブ330は、それぞれハードドライブインターフェース332、磁気ドライブインターフェース333及び光学ドライブインターフェース334を介してシステムバス23に接続される。ドライブ及び対応するコンピュータ情報媒体は、パーソナルコンピュータ320のコンピュータ命令、データ構造、プログラムモジュール、及び他のデータを記憶するため、電力的に独立しているモジュールである。
ユーザーは、入力デバイス(キーボード340、マウス342)を用いて、パーソナルコンピュータ320にコマンドと情報を入力することが可能である。他の入力デバイス(図示せず)は、マイクロフォン、ジョイスティック、ゲームコントローラー、スキャナー、等を用いることができる。
そのような入力デバイスは、通常コンピュータシステム320に、シリアルポート346を介して接続される。システムバスに順に接続されるが、他の方法で、例えばパラレルポート、ゲームポート及びユニバーサルシリアルバス(USB)を用いて接続されることもできる。モニター347又は他の種類のディスプレイデバイスも、ビデオアダプター348等のインターフェースを介してシステムバス323に接続される。モニター347に加えて、パーソナルコンピュータは、スピーカー、プリンタ等他の周辺外部デバイス(図示せず)に備えてもよい。
Claims (24)
- 実行可能コードを含まない実行可能ファイルをアンチウィルスチェックから除外するシステムであって、検査ツール、分解ツール、解析ツール、データベースを備え、
前記検査ツールは、
アンチウィルスチェックのために実行可能ファイルを受信し、
前記実行可能ファイルを前記分解ツールへ送信し、
前記解析ツールから受け取った決定に基づいて、実行可能コードを含まない前記実行可能ファイルを前記アンチウィルスチェックから除外するように構成され、
前記分解ツールは、
前記実行可能ファイルの構造を解析し、前記実行可能ファイルのヘッダーを確認することによって前記実行可能ファイルのフォーマットを特定し、
前記実行可能ファイルのフォーマット及び前記実行可能ファイルの構造に関する情報を前記解析ツールへ送信するように構成され、
前記解析ツールは、
少なくとも前記実行可能ファイルのフォーマットに関する情報に基づいて前記データベースから条件リストを選択し、前記条件リストは前記実行可能ファイルの構造の解析のための複数の条件を含み、
前記選択された条件リストを使用して前記実行可能ファイルの構造の解析を実行し、前記解析は、前記選択される条件リストからの各条件が満たされているかどうかを確認することを含み、
前記解析に基づく結果を作成し、前記結果は、確認済みの各条件が満たされているかどうかに関する情報を含み、
前記結果に基づく決定を発行し、前記条件リストからの全ての条件が満たされる場合に前記実行可能ファイル内に実行可能コードが存在しないという決定であり、
前記発行された決定を前記検査ツールへ送信するように構成され、
前記データベースは、前記解析ツールから操作できるように接続され、前記条件リストを格納するように構成される、システム。 - 前記複数のファイルのフォーマットは、新しい実行可能(NE)フォーマット、動的リンクライブラリ(DLL)フォーマット、リソースファイルフォーマット、及び実行可能なDOSファイルフォーマットを含む、請求項1に記載のシステム。
- 前記動的リンクライブラリ(DLL)フォーマットは、Native DLL又は.NETアセンブリDLLであることを特徴とする請求項2に記載のシステム
- 前記実行可能ファイルの構造の解析は、前記実行可能ファイルの1つ以上のセクションが実行できるかどうかの判定を含む、請求項1に記載のシステム。
- 前記実行可能ファイルの構造の解析は、前記実行可能ファイルのプログラムコードのエントリポイントの判定を含む、請求項1に記載のシステム。
- 前記データベースから選択された前記条件リストは、前記実行可能ファイルの前記フォーマットに固有である、請求項1に記載のシステム。
- 前記実行可能ファイルは、.NETアセンブリ動的ライブラリ(DLL)であり、前記条件リストは、
動的ライブラリの_CorDllMain関数へのエントリポイント、
_CorDllMain関数がmscoree.dllからインポートされたかどうか、
動的ライブラリのエクスポートテーブルセクションのエクスポートテーブルアドレス及びエクスポートテーブルサイズ、
動的ライブラリのスレッドローカルストレージテーブルのスレッドローカルストレージテーブルアドレスとスレッドローカルストレージテーブルサイズ、
動的ライブラリの.NETメタデータセクションのメタデータアドレス及びメタデータサイズ、
動的ライブラリのManagedNativeHeader構造体のネイティブヘッダーアドレス及びネイティブヘッダーサイズ、
動的ライブラリの管理可能なリソースサイズの有無、又は
動的ライブラリのMaskValidフィールドが、MethodDef、MethodPtr、MethodSemantics、MethodImpl、又はMethodSpecのテーブルに関連するビットがあるかどうか、
という条件を含む、請求項6に記載のシステム。 - 前記検査ツールは、アンチウィルスチェックを行うようにさらに構成され、前記検査ツールによるアンチウィルスチェックの種類は、前記条件リストからの満たされていない条件に基づいて判定される、請求項1に記載のシステム。
- 満たされていない前記条件は、エクスポートセクションのアドレスがゼロであるか、及び前記エクスポートセクションのサイズがゼロであるかという条件であり、前記アンチウィルスチェックは前記エクスポートセクションのシグネチャ解析である、請求項8に記載のシステム。
- インターネットを介して前記データベースと通信できるように接続されるアンチウィルスサーバをさらに備え、前記アンチウィルスサーバは、前記条件リストへ更新を送信するように構成される、請求項1に記載のシステム。
- 前記検査ツールは、前記実行可能ファイルの読み込みを傍受するようにさらに構成される、請求項1に記載のシステム。
- 前記条件リストは、第1の条件及び第2の条件を含み、前記第1の条件が満たされていない場合、前記解析ツールは、前記第2の条件のチェックを中断し、前記発行された決定を送信するように構成される、請求項1に記載のシステム。
- 前記システムは、少なくとも1つのプロセッサ、データ記憶装置、及び入出力機能の計算ハードウェアを含むコンピューティングプラットフォームで実行され、前記検査ツール、前記分解ツール、及び前記解析ツールは、前記コンピューティングプラットフォームで実行される有形の媒体に格納されたコンピュータプログラム命令を含む、請求項1に記載のシステム。
- 実行可能コードを含まない実行可能ファイルをアンチウィルスチェックから除外する方法であって、
前記方法は、少なくとも1つのプロセッサ、データ記憶装置、及び入出力機能の計算ハードウェアを含むコンピューティングプラットフォームで実行され、
前記方法は、検査工程、分解工程、解析工程を含み、
前記検査工程では、前記計算ハードウェアに実装された検査ツールを使って、アンチウィルスチェックのための実行可能ファイルを受信し、
前記分解工程では、前記計算ハードウェアに実装された分解ツールを使って、前記実行可能ファイルの構造を解析し、前記実行可能ファイルのヘッダーを確認することによって前記実行可能ファイルのフォーマットを特定し、
前記解析工程では、前記計算ハードウェアに実装された解析ツールを使って、少なくとも前記実行可能ファイルのフォーマットに関する情報に基づいて、データベースから条件リストを選択し、前記条件リストは前記実行可能ファイルの構造を解析するために複数の条件を含み、
前記解析ツールを用いて、前記選択される条件リストによって前記実行可能ファイルの構造を解析し、前記解析は前記選択された条件リストからの各条件が満たされているかどうかを確認することを含み、
前記解析ツールを用いて、前記解析に基づく結果を作成し、前記結果は確認済みの各条件が満たされているかどうかに関する情報を含み、
前記解析ツールを用いて、前記結果に基づく決定を発行し、前記決定は前記条件リストからの全ての条件が満たされる場合に前記実行可能ファイル内に実行可能コードが存在しないという決定であり、
前記検査ツールを使用して、実行可能コードを含まない前記実行可能ファイルを前記発行される決定に基づいて、アンチウィルスチェックから除外する、方法。 - 前記複数のファイルのフォーマットは、新しい実行可能(NE)フォーマット、動的リンクライブラリ(DLL)フォーマット、リソースファイルフォーマット、及び実行可能DOSファイルフォーマットを含む、請求項14に記載の方法。
- 前記動的リンクライブラリ(DLL)フォーマットは、Native DLL又は.NETアセンブリDLLであることを特徴とする請求項15に記載のシステム。
- 前記実行可能ファイルの構造を解析する工程は、前記実行可能ファイルの1つ以上のセクションが実行できるどうかの判定を含む、請求項14に記載の方法。
- 前記実行可能ファイルの構造を解析する工程は、前記実行可能ファイルのプログラムコードのエントリポイントの判定を含む、請求項14に記載の方法。
- 前記データベースから選択された前記条件リストは、前記実行可能ファイルのフォーマットに固有である、請求項14に記載の方法。
- 前記検査ツールを用いてアンチウィルスチェックを行う工程をさらに備え、前記アンチウィルスチェックの種類は、前記条件リストからの満たしていない条件に基づいて判定される、請求項14に記載の方法。
- アンチウィルスサーバから前記条件リストへの更新を受信することをさらに含む、請求項14に記載の方法。
- 前記検査ツールを用いて前記実行可能ファイルの読み込みを傍受する工程をさらに含む、請求項14に記載の方法。
- 前記条件リストは、第1の条件及び第2の条件を含み、前記方法は、前記第1の条件が満たされていない場合、前記解析ツールによる前記第2の条件のチェックを中断し、前記検査ツールに前記決定を送信する工程をさらに含む、請求項14に記載の方法。
- 前記検査ツール、前記分解ツール、及び前記解析ツールは、前記コンピューティングプラットフォームで実行される有形の媒体に格納されたコンピュータプログラム命令である、請求項14に記載の方法。
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2015145266 | 2015-10-22 | ||
RU2015145266A RU2606559C1 (ru) | 2015-10-22 | 2015-10-22 | Система и способ оптимизации антивирусной проверки файлов |
US15/015,764 | 2016-02-04 | ||
US15/015,764 US9444832B1 (en) | 2015-10-22 | 2016-02-04 | Systems and methods for optimizing antivirus determinations |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017097842A JP2017097842A (ja) | 2017-06-01 |
JP6313384B2 true JP6313384B2 (ja) | 2018-04-18 |
Family
ID=56881112
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016163356A Active JP6313384B2 (ja) | 2015-10-22 | 2016-08-24 | アンチウィルス判定の最適化のためのシステム及び方法 |
Country Status (5)
Country | Link |
---|---|
US (1) | US9444832B1 (ja) |
EP (1) | EP3159822B1 (ja) |
JP (1) | JP6313384B2 (ja) |
CN (1) | CN106355092B (ja) |
RU (1) | RU2606559C1 (ja) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10572663B1 (en) * | 2016-03-09 | 2020-02-25 | Symantec Corporation | Systems and methods for identifying malicious file droppers |
KR101893518B1 (ko) * | 2016-10-28 | 2018-10-04 | 한국전자통신연구원 | 제어 시스템의 업데이트 관리 장치, 업데이트 검증 장치 및 그 방법 |
US11481492B2 (en) | 2017-07-25 | 2022-10-25 | Trend Micro Incorporated | Method and system for static behavior-predictive malware detection |
US10460108B1 (en) | 2017-08-16 | 2019-10-29 | Trend Micro Incorporated | Method and system to identify and rectify input dependency based evasion in dynamic analysis |
RU2702053C1 (ru) * | 2018-12-28 | 2019-10-03 | Акционерное общество "Лаборатория Касперского" | Способ снижения нагрузки на сканирующую подсистему путем дедупликации сканирования файлов |
US11636204B2 (en) | 2019-10-01 | 2023-04-25 | Acronis International Gmbh | Systems and methods for countering removal of digital forensics information by malicious software |
CN112149113B (zh) * | 2020-11-26 | 2021-06-08 | 飞天诚信科技股份有限公司 | 一种iOS应用反钩子的方法及装置 |
Family Cites Families (37)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5826013A (en) | 1995-09-28 | 1998-10-20 | Symantec Corporation | Polymorphic virus detection module |
US5696822A (en) | 1995-09-28 | 1997-12-09 | Symantec Corporation | Polymorphic virus detection module |
US6717588B1 (en) * | 1998-08-14 | 2004-04-06 | Microsoft Corporation | Multilingual user interface for an operating system |
GB2396227B (en) * | 2002-12-12 | 2006-02-08 | Messagelabs Ltd | Method of and system for heuristically detecting viruses in executable code |
GB2400933B (en) | 2003-04-25 | 2006-11-22 | Messagelabs Ltd | A method of, and system for, heuristically detecting viruses in executable code by detecting files which have been maliciously altered |
US7721334B2 (en) * | 2004-01-30 | 2010-05-18 | Microsoft Corporation | Detection of code-free files |
US7523500B1 (en) | 2004-06-08 | 2009-04-21 | Symantec Corporation | Filtered antivirus scanning |
US20060129603A1 (en) * | 2004-12-14 | 2006-06-15 | Jae Woo Park | Apparatus and method for detecting malicious code embedded in office document |
US7490352B2 (en) | 2005-04-07 | 2009-02-10 | Microsoft Corporation | Systems and methods for verifying trust of executable files |
US20070006300A1 (en) * | 2005-07-01 | 2007-01-04 | Shay Zamir | Method and system for detecting a malicious packed executable |
US8161548B1 (en) * | 2005-08-15 | 2012-04-17 | Trend Micro, Inc. | Malware detection using pattern classification |
US9235703B2 (en) | 2005-09-30 | 2016-01-12 | Lenovo Enterprise Solutions (Singapore) Pte. Ltd. | Virus scanning in a computer system |
US9055093B2 (en) | 2005-10-21 | 2015-06-09 | Kevin R. Borders | Method, system and computer program product for detecting at least one of security threats and undesirable computer files |
CN100483434C (zh) * | 2005-12-12 | 2009-04-29 | 北京瑞星国际软件有限公司 | 病毒识别方法及装置 |
US20080115219A1 (en) * | 2006-11-13 | 2008-05-15 | Electronics And Telecommunications Research | Apparatus and method of detecting file having embedded malicious code |
US20080127038A1 (en) * | 2006-11-23 | 2008-05-29 | Electronics And Telecommunications Research Institute | Apparatus and method for detecting self-executable compressed file |
US20090013405A1 (en) | 2007-07-06 | 2009-01-08 | Messagelabs Limited | Heuristic detection of malicious code |
JP2010009269A (ja) * | 2008-06-26 | 2010-01-14 | Iwate Univ | コンピュータウィルス検出装置、コンピュータウィルス検出方法及びコンピュータウィルス検出プログラム |
US8181251B2 (en) | 2008-12-18 | 2012-05-15 | Symantec Corporation | Methods and systems for detecting malware |
US8621625B1 (en) | 2008-12-23 | 2013-12-31 | Symantec Corporation | Methods and systems for detecting infected files |
US8745743B2 (en) | 2009-06-09 | 2014-06-03 | F-Secure Oyj | Anti-virus trusted files database |
GB2471716A (en) * | 2009-07-10 | 2011-01-12 | F Secure Oyj | Anti-virus scan management using intermediate results |
HUE038791T2 (hu) * | 2009-07-29 | 2018-11-28 | Reversinglabs Corp | Hordozható futtatható fájl elemzése |
US8955131B2 (en) * | 2010-01-27 | 2015-02-10 | Mcafee Inc. | Method and system for proactive detection of malicious shared libraries via a remote reputation system |
CN101924761B (zh) | 2010-08-18 | 2013-11-06 | 北京奇虎科技有限公司 | 一种依据白名单进行恶意程序检测的方法 |
EP2447859B1 (en) * | 2010-11-01 | 2015-04-08 | Kaspersky Lab, ZAO | System and method for acceleration of malware detection using antivirus cache |
WO2012071989A1 (zh) * | 2010-11-29 | 2012-06-07 | 北京奇虎科技有限公司 | 基于机器学习的程序识别方法及装置 |
US8549647B1 (en) | 2011-01-14 | 2013-10-01 | The United States Of America As Represented By The Secretary Of The Air Force | Classifying portable executable files as malware or whiteware |
RU2491623C1 (ru) | 2012-02-24 | 2013-08-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ проверки файлов на доверенность |
CN103067364B (zh) * | 2012-12-21 | 2015-11-25 | 华为技术有限公司 | 病毒检测方法及设备 |
US10409987B2 (en) | 2013-03-31 | 2019-09-10 | AO Kaspersky Lab | System and method for adaptive modification of antivirus databases |
RU2541120C2 (ru) | 2013-06-06 | 2015-02-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ обнаружения вредоносных исполняемых файлов на основании сходства ресурсов исполняемых файлов |
RU2568285C2 (ru) * | 2013-09-30 | 2015-11-20 | Закрытое акционерное общество "Лаборатория Касперского" | Способ и система анализа работы правил обнаружения программного обеспечения |
US9769189B2 (en) | 2014-02-21 | 2017-09-19 | Verisign, Inc. | Systems and methods for behavior-based automated malware analysis and classification |
RU2584505C2 (ru) | 2014-04-18 | 2016-05-20 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ предварительной фильтрации файлов для контроля приложений |
US9015814B1 (en) | 2014-06-10 | 2015-04-21 | Kaspersky Lab Zao | System and methods for detecting harmful files of different formats |
CN104077528A (zh) * | 2014-06-25 | 2014-10-01 | 珠海市君天电子科技有限公司 | 病毒检测方法、装置以及终端 |
-
2015
- 2015-10-22 RU RU2015145266A patent/RU2606559C1/ru active
-
2016
- 2016-02-04 US US15/015,764 patent/US9444832B1/en active Active
- 2016-03-30 EP EP16163016.5A patent/EP3159822B1/en active Active
- 2016-08-24 JP JP2016163356A patent/JP6313384B2/ja active Active
- 2016-08-31 CN CN201610798554.XA patent/CN106355092B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
EP3159822A2 (en) | 2017-04-26 |
EP3159822A3 (en) | 2017-07-05 |
EP3159822B1 (en) | 2018-07-18 |
CN106355092B (zh) | 2019-05-03 |
RU2606559C1 (ru) | 2017-01-10 |
US9444832B1 (en) | 2016-09-13 |
CN106355092A (zh) | 2017-01-25 |
JP2017097842A (ja) | 2017-06-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6313384B2 (ja) | アンチウィルス判定の最適化のためのシステム及び方法 | |
JP6842367B2 (ja) | ファイル中の悪意のあるコードの検出システム及び方法 | |
US9081967B2 (en) | System and method for protecting computers from software vulnerabilities | |
RU2514141C1 (ru) | Способ эмуляции вызовов системных функций для обхода средств противодействия эмуляции | |
JP2018041438A5 (ja) | ||
RU2665911C2 (ru) | Система и способ анализа файла на вредоносность в виртуальной машине | |
JP6404273B2 (ja) | 仮想マシンでファイルのアンチウイルススキャンを実行するシステム及び方法 | |
US11048795B2 (en) | System and method for analyzing a log in a virtual machine based on a template | |
US10867043B2 (en) | Method and system for generating a request for information on a file to perform an antivirus scan | |
RU2724790C1 (ru) | Система и способ формирования журнала при исполнении файла с уязвимостями в виртуальной машине | |
US11528298B2 (en) | Methods and systems for preventing malicious activity in a computer system | |
RU2649794C1 (ru) | Система и способ формирования журнала в виртуальной машине для проведения антивирусной проверки файла | |
US11397812B2 (en) | System and method for categorization of .NET applications | |
JP2008129707A (ja) | プログラム分析装置、プログラム分析方法、及びプログラム | |
CN110659478B (zh) | 在隔离的环境中检测阻止分析的恶意文件的方法 | |
Huster et al. | To boldly go where no fuzzer has gone before: Finding bugs in linux’wireless stacks through virtio devices | |
EP2835757B1 (en) | System and method protecting computers from software vulnerabilities | |
EP3588350B1 (en) | Method and system for generating a request for information on a file to perform an antivirus scan | |
RU91204U1 (ru) | Система определения новых версий программ | |
JP6498413B2 (ja) | 情報処理システム、情報処理装置、制御サーバ、生成サーバ、動作制御方法及び動作制御プログラム | |
EP3588346A1 (en) | Method of detecting malicious files resisting analysis in an isolated environment | |
RU2595510C1 (ru) | Способ исключения процессов из антивирусной проверки на основании данных о файле | |
JP2014211733A (ja) | 監視装置、監視方法、および、監視プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20171128 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20171130 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180226 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180306 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180322 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6313384 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |