JP6317646B2 - 情報処理装置、不正プログラム実行防止方法、プログラム及び記録媒体 - Google Patents
情報処理装置、不正プログラム実行防止方法、プログラム及び記録媒体 Download PDFInfo
- Publication number
- JP6317646B2 JP6317646B2 JP2014166326A JP2014166326A JP6317646B2 JP 6317646 B2 JP6317646 B2 JP 6317646B2 JP 2014166326 A JP2014166326 A JP 2014166326A JP 2014166326 A JP2014166326 A JP 2014166326A JP 6317646 B2 JP6317646 B2 JP 6317646B2
- Authority
- JP
- Japan
- Prior art keywords
- area
- dynamic memory
- processing
- program
- content data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Storage Device Security (AREA)
Description
(i)あるプロセス(スレッド)が動的にメモリを確保する
(ii)確保したヒープ領域に不作為コードを書き込む
(iii)上記行為を繰り返す
という、繰り返し行われるメモリの動的確保という行為に対して、プロセス(スレッド)による前回書き込み内容から判断するという点で捉える。こうすることで、ヒープスプレイがPDF等から行われたとしても、同様のルールにより対策が適用される。すなわち、ブラウザを利用する態様の他、別の方法で外部から取得し、あるいは既に所得済みの態様を含む。また、コンテンツデータはデジタルデータに限定されず、イメージデータを含むアナログのデータでもよい。
11 CPU
30 RAM
31 仮想メモリ空間
313,315 ヒープ領域
31c NOP領域
321 フック部(フック手段)
322 検査部(検査処理手段)
323 取得部(検査処理手段)
324 分析部(検査処理手段)
325 処置部(終了処理手段)
90 ウェブサイト
Claims (7)
- スクリプト言語で記述された動的メモリ確保用のアルゴリズムを含むコンテンツデータを仮想メモリに展開した状態で、展開領域内のヒープ領域に所定サイズの動的メモリを確保するプロセスを経て処理プログラムをロードし、前記コンテンツデータに対する処理を行う情報処理装置において、
前記動的メモリ確保用のアルゴリズムの実行の命令の発行をフックするフック手段と、
前記フックの度に、直前の前記動的メモリ確保用のアルゴリズムの実行で確保されたアドレスの領域内の内容を検査する検査処理手段と、
検査の結果、当該アドレスの領域内に所定の不作為コードがスプレイされたと判断可能なデータ量だけ存在している場合、前記コンテンツデータに対する処理を終了する終了処理手段とを備えた情報処理装置。 - 前記終了処理手段は、前記仮想メモリに展開した前記コンテンツデータを消去することを特徴とする請求項1に記載の情報処理装置。
- 前記スクリプト言語で記述された動的メモリ確保用のアルゴリズムを周期的に実行させて、前記ヒープ領域内の順次異なる領域に、前記所定の不作為コードとしてのNOPコードをスプレイするヒープスプレイ処理手段を含む請求項1又は2に記載の情報処理装置。
- 仮想マシンの動作を監視する仮想マシンモニタを含み、
前記検査処理手段及び前記終了処理手段は、前記仮想マシンモニタに備えられ、
前記検査処理手段は、前記動的メモリ確保用のアルゴリズムの実行の命令が前記仮想マシンから発行される時点で制御を前記仮想マシンモニタに遷移させる請求項1〜3のいずれかに記載の情報処理装置。 - スクリプト言語で記述された動的メモリ確保用のアルゴリズムを含むコンテンツデータを仮想メモリに展開した状態で、展開領域内のヒープ領域に所定サイズの動的メモリを確保するプロセスを経て処理プログラムをロードし、前記コンテンツデータに対する処理を行う情報処理装置の前記処理を監視する不正プログラム実行防止方法において、
前記動的メモリ確保用のアルゴリズムの実行の命令の発行をフックするフックステップと、
前記フックの度に、直前の前記動的メモリ確保用のアルゴリズムの実行で確保されたアドレスの領域内の内容を検査する検査処理ステップと、
検査の結果、当該アドレスの領域内に所定の不作為コードがスプレイされたと判断可能なデータ量だけ存在している場合、前記コンテンツデータに対する処理を終了する終了処理ステップとを備えた不正プログラム実行防止方法。 - スクリプト言語で記述された動的メモリ確保用のアルゴリズムを含むコンテンツデータを仮想メモリに展開した状態で、展開領域内のヒープ領域に所定サイズの動的メモリを確保するプロセスを経て処理プログラムをロードし、前記コンテンツデータに対する処理を行う情報処理装置の前記処理を監視するプログラムにおいて、
前記動的メモリ確保用のアルゴリズムの実行の命令の発行をフックするフック手段、
前記フックの度に、直前の前記動的メモリ確保用のアルゴリズムの実行で確保されたアドレスの領域内の内容を検査する検査処理手段、及び、
検査の結果、当該アドレスの領域内に所定の不作為コードがスプレイされたと判断可能なデータ量だけ存在している場合、前記コンテンツデータに対する処理を終了する終了処理手段として前記情報処理装置を機能させるプログラム。 - スクリプト言語で記述された動的メモリ確保用のアルゴリズムを含むコンテンツデータを仮想メモリに展開した状態で、展開領域内のヒープ領域に所定サイズの動的メモリを確保するプロセスを経て処理プログラムをロードし、前記コンテンツデータに対する処理を行う情報処理装置の前記処理を監視するコンピュータ読み取り可能な記録媒体において、
前記動的メモリ確保用のアルゴリズムの実行の命令の発行をフックするフック手段、
前記フックの度に、直前の前記動的メモリ確保用のアルゴリズムの実行で確保されたアドレスの領域内の内容を検査する検査処理手段、及び、
検査の結果、当該アドレスの領域内に所定の不作為コードがスプレイされたと判断可能なデータ量だけ存在している場合、前記コンテンツデータに対する処理を終了する終了処理手段として、前記情報処理装置を機能させるプログラムを記録したコンピュータ読み取り可能な記録媒体。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014166326A JP6317646B2 (ja) | 2014-08-19 | 2014-08-19 | 情報処理装置、不正プログラム実行防止方法、プログラム及び記録媒体 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014166326A JP6317646B2 (ja) | 2014-08-19 | 2014-08-19 | 情報処理装置、不正プログラム実行防止方法、プログラム及び記録媒体 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2016042318A JP2016042318A (ja) | 2016-03-31 |
JP6317646B2 true JP6317646B2 (ja) | 2018-04-25 |
Family
ID=55592031
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014166326A Active JP6317646B2 (ja) | 2014-08-19 | 2014-08-19 | 情報処理装置、不正プログラム実行防止方法、プログラム及び記録媒体 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6317646B2 (ja) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019008503A (ja) * | 2017-06-23 | 2019-01-17 | 杉中 順子 | 情報処理監視装置、情報処理監視方法、プログラム、記録媒体及び情報処理装置 |
CN109086122A (zh) * | 2018-08-16 | 2018-12-25 | 郑州云海信息技术有限公司 | 一种虚拟机的监控方法、装置和存储介质 |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8272059B2 (en) * | 2008-05-28 | 2012-09-18 | International Business Machines Corporation | System and method for identification and blocking of malicious code for web browser script engines |
JP4949363B2 (ja) * | 2008-12-15 | 2012-06-06 | ブリヂストンサイクル株式会社 | 自転車用錠装置 |
MY151479A (en) * | 2008-12-16 | 2014-05-30 | Secure Corp M Sdn Bhd F | Method and apparatus for detecting shellcode insertion |
US20100205674A1 (en) * | 2009-02-11 | 2010-08-12 | Microsoft Corporation | Monitoring System for Heap Spraying Attacks |
US8307435B1 (en) * | 2010-02-18 | 2012-11-06 | Symantec Corporation | Software object corruption detection |
KR101217546B1 (ko) * | 2010-11-24 | 2013-01-21 | 엔에이치엔비즈니스플랫폼 주식회사 | 힙 스프레이 공격의 실시간 탐지 및 차단 방법 및 시스템 |
US9003501B2 (en) * | 2010-12-07 | 2015-04-07 | Mcafee, Inc. | Method and system for protecting against unknown malicious activities by detecting a heap spray attack on an electronic device |
US8788785B1 (en) * | 2011-01-14 | 2014-07-22 | Symantec Corporation | Systems and methods for preventing heap-spray attacks |
US20140123283A1 (en) * | 2012-11-01 | 2014-05-01 | Fortinet, Inc. | Detection of heap spraying by flash with an actionscript emulator |
-
2014
- 2014-08-19 JP JP2014166326A patent/JP6317646B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2016042318A (ja) | 2016-03-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6218859B2 (ja) | 仮想マシンの完全性保護のためのメモリイントロスペクションエンジン | |
JP6761476B2 (ja) | 仮想マシンを監査するためのシステムおよび方法 | |
RU2637997C1 (ru) | Система и способ обнаружения вредоносного кода в файле | |
RU2510074C2 (ru) | Система и способ проверки исполняемого кода перед его выполнением | |
US9547346B2 (en) | Context agent injection using virtual machine introspection | |
Volckaert et al. | Cloning your gadgets: Complete ROP attack immunity with multi-variant execution | |
JP6411494B2 (ja) | 仮想マシンにおけるページフォールトインジェクション | |
US8429741B2 (en) | Altered token sandboxing | |
CN110622138B (zh) | 一种数据迁移方法及装置 | |
KR101740604B1 (ko) | 멀웨어 검출을 위한 애플리케이션들의 제네릭 언패킹 | |
JP2007220086A (ja) | 入出力制御装置、入出力制御システム及び入出力制御方法 | |
JP6370098B2 (ja) | 情報処理装置、情報処理監視方法、プログラム、及び記録媒体 | |
CN105512550B (zh) | 用于活跃的操作系统内核保护的系统和方法 | |
Tang et al. | Exploring control flow guard in windows 10 | |
US10372908B2 (en) | System and method for detecting malware in a stream of bytes | |
JP5131563B2 (ja) | コンピュータ、動作ルール適用方法、オペレーティングシステム | |
JP6317646B2 (ja) | 情報処理装置、不正プログラム実行防止方法、プログラム及び記録媒体 | |
Li et al. | Iso-UniK: lightweight multi-process unikernel through memory protection keys | |
US20170132025A1 (en) | Target process injection prior to execution of marker libraries | |
JP2019008503A (ja) | 情報処理監視装置、情報処理監視方法、プログラム、記録媒体及び情報処理装置 | |
EP2720170A1 (en) | Automated protection against computer exploits | |
KR102297611B1 (ko) | 리눅스 운영체제에서의 Docker 환경 탐지 방법 및 시스템 | |
KR102431638B1 (ko) | 인공 신경망에 기반한 악성 데이터 분류 모델을 활용하여 분할된 파일 시스템 사이의 파일 접근을 제어하는 방법 및 클라우드 시스템 | |
JP2018036695A (ja) | 情報処理監視装置、情報処理監視方法、監視プログラム、記録媒体及び情報処理装置 | |
JP6430922B2 (ja) | 解析装置、解析方法および解析プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170814 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20171031 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20171222 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180306 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180330 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6317646 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |