JP6335315B2 - 不審な挙動の検出に応答してパックされたプログラムをスキャンするためのシステム及び方法 - Google Patents
不審な挙動の検出に応答してパックされたプログラムをスキャンするためのシステム及び方法 Download PDFInfo
- Publication number
- JP6335315B2 JP6335315B2 JP2016549094A JP2016549094A JP6335315B2 JP 6335315 B2 JP6335315 B2 JP 6335315B2 JP 2016549094 A JP2016549094 A JP 2016549094A JP 2016549094 A JP2016549094 A JP 2016549094A JP 6335315 B2 JP6335315 B2 JP 6335315B2
- Authority
- JP
- Japan
- Prior art keywords
- program
- packed
- known malicious
- suspicious behavior
- memory
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 64
- 230000004044 response Effects 0.000 title claims description 33
- 238000001514 detection method Methods 0.000 title claims description 27
- 230000006399 behavior Effects 0.000 claims description 97
- 230000015654 memory Effects 0.000 claims description 96
- 238000012544 monitoring process Methods 0.000 claims description 26
- 230000008569 process Effects 0.000 claims description 23
- 230000009471 action Effects 0.000 claims description 12
- 230000008859 change Effects 0.000 claims description 3
- 238000004891 communication Methods 0.000 description 33
- 238000010586 diagram Methods 0.000 description 12
- 230000006870 function Effects 0.000 description 7
- 238000004590 computer program Methods 0.000 description 6
- 238000002347 injection Methods 0.000 description 5
- 239000007924 injection Substances 0.000 description 5
- 238000006243 chemical reaction Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 239000004744 fabric Substances 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 230000002155 anti-virotic effect Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000002265 prevention Effects 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 239000000243 solution Substances 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 102000016904 Armadillo Domain Proteins Human genes 0.000 description 1
- 108010014223 Armadillo Domain Proteins Proteins 0.000 description 1
- 241000289632 Dasypodidae Species 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000012856 packing Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000001012 protector Effects 0.000 description 1
- 230000010076 replication Effects 0.000 description 1
- 238000013515 script Methods 0.000 description 1
- 239000004984 smart glass Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Storage Device Security (AREA)
Description
Claims (15)
- 不審な挙動の検出に応答してパックされたプログラムをスキャンするためのコンピュータ実装方法であって、前記方法の少なくとも一部が、少なくとも1つのプロセッサを備えるコンピューティングデバイスによって行われ、前記方法が、
少なくとも1つの既知の悪意のあるプログラムの少なくとも1つの不審な挙動と、
前記少なくとも1つの既知の悪意のあるプログラムの前記少なくとも1つの不審な挙動と関連付けられた、前記少なくとも1つの既知の悪意のあるプログラムの少なくとも1つのマルウェアシグネチャと、
を特定するスキャン基準を識別することと、
パックされたプログラムを実行することであって、前記パックされたプログラムが、
前記パックされたプログラム内で難読化された悪意のあるコードと、
前記パックされたプログラムが実行されると、前記悪意のあるコードを難読化解除して実行するアンパッキングコードと、を備える、実行することと、
前記パックされたプログラムが実行している間に、前記パックされたプログラムがどのように挙動するかを監視することと、
前記パックされたプログラムがどのように挙動するかを監視している間に、前記アンパッキングコードが前記悪意のあるコードを難読化解除して実行したことを、前記少なくとも1つの既知の悪意のあるプログラムの前記少なくとも1つの不審な挙動を実行する前記パックされたプログラムによる試みを検出することによって、判定することと、
前記少なくとも1つの既知の悪意のあるプログラムの前記少なくとも1つの不審な挙動を実行する前記パックされたプログラムによる前記試みに応答して、
前記パックされたプログラムの実行を一時停止することと、
前記パックされたプログラムの実行が一時停止されている間に、前記少なくとも1つの既知の悪意のあるプログラムの前記少なくとも1つのマルウェアシグネチャについて、前記パックされたプログラムのメモリの少なくとも一部をスキャンすることであって、前記少なくとも1つのマルウェアシグネチャは前記スキャン基準によって特定され、前記少なくとも1つの既知の悪意のあるプログラムの前記少なくとも1つの不審な挙動と関連付けられる、スキャンすることと、を含む方法。 - 前記パックされたプログラムの前記メモリの前記一部をスキャンすることは、前記少なくとも1つの既知の悪意のあるプログラムの前記少なくとも1つの不審な挙動と関連付けられた、前記少なくとも1つの既知の悪意のあるプログラムの前記少なくとも1つのマルウェアシグネチャのみについて、前記パックされたプログラムのメモリの前記一部をスキャンすることを含み、
前記スキャン基準によって特定され、前記少なくとも1つの既知の悪意のあるプログラムの前記少なくとも1つの不審な挙動と関連付けられた、前記少なくとも1つの既知の悪意のあるプログラムの前記少なくとも1つのマルウェアシグネチャは、マルウェアをスキャンするために使用されるマルウェアシグネチャのセットのサブセットを含み、これにより、前記少なくとも1つの既知の悪意のあるプログラムの前記少なくとも1つの不審な挙動に関連付けられた前記少なくとも1つの既知の悪意のあるプログラムの前記少なくとも1つのマルウェアシグネチャのみについて前記パックされたプログラムをスキャンすることは、マルウェアにつき前記パックされたプログラムをスキャンするために使用されるマルウェアシグネチャの数を低減する、請求項1に記載の方法。 - 前記少なくとも1つの既知の悪意のあるプログラムを実行することと、
前記少なくとも1つの既知の悪意のあるプログラムの挙動を分析することと、
前記少なくとも1つの既知の悪意のあるプログラムが最初に実行されるときに前記少なくとも1つの既知の悪意のあるプログラムによって実行される1以上のアクションを識別することによって、前記少なくとも1つの既知の悪意のあるプログラムの前記少なくとも1つの不審な挙動を識別することと、
を更に含む請求項1に記載の方法。 - 前記スキャン基準が更に、前記少なくとも1つの既知の悪意のあるプログラムの前記少なくとも1つの不審な挙動を実行する前記パックされたプログラムによる試みを検出することに応答してスキャンされるべき前記パックされたプログラムの前記メモリの前記一部を特定し、
前記パックされたプログラムの前記メモリの前記一部をスキャンすることが、前記スキャン基準によって特定される前記少なくとも1つの既知の悪意のあるプログラムの前記少なくとも1つのマルウェアシグネチャについて、前記スキャン基準によって特定される前記パックされたプログラムの前記メモリの前記一部のみをスキャンすることを含む、請求項1に記載の方法。 - 前記少なくとも1つの既知の悪意のあるプログラムの前記少なくとも1つのマルウェアシグネチャについて、前記スキャン基準によって特定された前記パックされたプログラムの前記メモリの前記一部のみをスキャンすることが、前記スキャン基準によって特定された前記少なくとも1つの既知の悪意のあるプログラムの前記少なくとも1つのマルウェアシグネチャのみについて、前記スキャン基準によって特定される前記パックされたプログラムの前記メモリの前記一部のみをスキャンすることを含む、請求項4に記載の方法。
- 前記少なくとも1つの既知の悪意のあるプログラムの前記少なくとも1つの不審な挙動が、ランレジストリキーを作成しようとする試みを含む、請求項1に記載の方法。
- 前記少なくとも1つの既知の悪意のあるプログラムの前記不審な挙動が、ジェネリックロードポイントを作成しようとする試みを含む、請求項1に記載の方法。
- 前記少なくとも1つの既知の悪意のあるプログラムの前記不審な挙動が、悪意のあるコードを別のプロセス内に注入しようとする試みを含む、請求項1に記載の方法。
- 前記少なくとも1つの既知の悪意のあるプログラムの前記不審な挙動が、セキュリティ設定を変更しようとする試みを含む、請求項1に記載の方法。
- 不審な挙動の検出に応答してパックされたプログラムをスキャンするためのシステムであって、
メモリに記憶され、スキャン基準を受信する受信モジュールであって、当該スキャン基準が、
少なくとも1つの既知の悪意のあるプログラムの少なくとも1つの不審な挙動と、
前記少なくとも1つの既知の悪意のあるプログラムの前記少なくとも1つの不審な挙動と関連付けられた、前記少なくとも1つの既知の悪意のあるプログラムの少なくとも1つのマルウェアシグネチャと、
を特定する、受信モジュールと、
パックされたプログラムを実行する、メモリに記憶された実行モジュールであって、前記パックされたプログラムが、
前記パックされたプログラム内で難読化された悪意のあるコードと、
前記パックされたプログラムが実行されると、前記悪意のあるコードを難読化解除して実行するアンパッキングコードと、を備える、実行モジュールと、
前記パックされたプログラムが実行している間に、前記パックされたプログラムがどのように挙動するかを監視する、メモリに記憶された監視モジュールと、
前記パックされたプログラムが監視されている間に、前記アンパッキングコードが前記悪意のあるコードを難読化解除して実行したことを、前記少なくとも1つの既知の悪意のあるプログラムの前記少なくとも1つの不審な挙動を実行する前記パックされたプログラムによる試みを検出することによって判定する、メモリに記憶された検出モジュールと、
メモリに記憶されたセキュリティモジュールであって、
前記少なくとも1つの既知の悪意のあるプログラムの前記少なくとも1つの不審な挙動を実行する前記パックされたプログラムによる前記試みに応答して、前記パックされたプログラムの実行を一時停止することと、
前記パックされたプログラムの実行が一時停止されている間に、前記少なくとも1つの既知の悪意のあるプログラムの前記少なくとも1つのマルウェアシグネチャについて、前記パックされたプログラムのメモリの少なくとも一部をスキャンすることであって、前記少なくとも1つのマルウェアシグネチャは前記スキャン基準によって特定され、前記少なくとも1つの既知の悪意のあるプログラムの前記少なくとも1つの不審な挙動と関連付けられる、スキャンすることと、
を実行するセキュリティモジュールと、
前記実行モジュール、前記監視モジュール、前記検出モジュール、及び前記セキュリティモジュールを実行する、少なくとも1つのプロセッサと、を備える、システム。 - 前記セキュリティモジュールは、前記少なくとも1つの既知の悪意のあるプログラムの前記少なくとも1つの不審な挙動と関連付けられた、前記少なくとも1つの既知の悪意のあるプログラムの前記少なくとも1つのマルウェアシグネチャのみについて、前記パックされたプログラムのメモリの前記一部をスキャンすることによって、前記パックされたプログラムの前記メモリの前記一部をスキャンし、
前記スキャン基準によって特定され、前記少なくとも1つの既知の悪意のあるプログラムの前記少なくとも1つの不審な挙動と関連付けられた、前記少なくとも1つの既知の悪意のあるプログラムの前記少なくとも1つのマルウェアシグネチャは、マルウェアをスキャンするために使用されるマルウェアシグネチャのセットのサブセットを含み、これにより、前記少なくとも1つの既知の悪意のあるプログラムの前記少なくとも1つの不審な挙動に関連付けられた、前記少なくとも1つの既知の悪意のあるプログラムの前記少なくとも1つのマルウェアシグネチャのみについて前記パックされたプログラムをスキャンすることは、マルウェアにつき前記パックされたプログラムをスキャンするために使用されるマルウェアシグネチャの数を低減する、請求項10に記載のシステム。 - 前記実行モジュールは更に、前記少なくとも1つの既知の悪意のあるプログラムを実行し、
前記監視モジュールは更に、前記少なくとも1つの既知の悪意のあるプログラムの挙動を分析し、
前記検出モジュールは更に、前記少なくとも1つの既知の悪意のあるプログラムが最初に実行されるときに前記少なくとも1つの既知の悪意のあるプログラムによって実行される1以上のアクションを識別することによって、前記少なくとも1つの既知の悪意のあるプログラムの前記少なくとも1つの不審な挙動を識別する、請求項10に記載のシステム。 - 前記スキャン基準が更に、前記少なくとも1つの既知の悪意のあるプログラムの前記少なくとも1つの不審な挙動を実行する前記パックされたプログラムによる試みを検出することに応答してスキャンされるべき前記パックされたプログラムの前記メモリの前記一部を特定し、
前記セキュリティモジュールは、前記スキャン基準によって特定される前記少なくとも1つの既知の悪意のあるプログラムの前記少なくとも1つのマルウェアシグネチャについて、前記スキャン基準によって特定される前記パックされたプログラムの前記メモリの前記一部のみをスキャンすることによって、前記パックされたプログラムの前記メモリの前記一部をスキャンする、請求項10に記載のシステム。 - 前記セキュリティモジュールが、前記スキャン基準によって特定された前記少なくとも1つの既知の悪意のあるプログラムの前記少なくとも1つのマルウェアシグネチャのみについて、前記スキャン基準によって特定される前記パックされたプログラムの前記メモリの前記一部のみをスキャンすることによって、前記スキャン基準によって特定された前記少なくとも1つの既知の悪意のあるプログラムの前記少なくとも1つのマルウェアシグネチャについて、前記スキャン基準によって特定された前記パックされたプログラムの前記メモリの前記一部のみをスキャンする、請求項10に記載のシステム。
- 1つ以上のコンピュータ実行可能命令を含む非一時的コンピュータ可読媒体であって、前記1つ以上のコンピュータ実行可能命令が、コンピューティングデバイスの少なくとも1つのプロセッサによって実行されると、前記コンピューティングデバイスに、
少なくとも1つの既知の悪意のあるプログラムの少なくとも1つの不審な挙動と、
前記少なくとも1つの既知の悪意のあるプログラムの前記少なくとも1つの不審な挙動と関連付けられた、前記少なくとも1つの既知の悪意のあるプログラムの少なくとも1つのマルウェアシグネチャと、
を特定するスキャン基準を識別することと、
パックされたプログラムを実行することであって、前記パックされたプログラムが、
前記パックされたプログラム内で難読化された悪意のあるコードと、
前記パックされたプログラムが実行されると、前記悪意のあるコードを難読化解除して実行するアンパッキングコードと、を備える、実行することと、
前記パックされたプログラムが実行している間に、前記パックされたプログラムがどのように挙動するかを監視することと、
前記パックされたプログラムがどのように挙動するかを監視している間に、前記アンパッキングコードが前記悪意のあるコードを難読化解除して実行したことを、前記少なくとも1つの既知の悪意のあるプログラムの前記少なくとも1つの不審な挙動を実行する前記パックされたプログラムによる試みを検出することによって、判定することと、
前記少なくとも1つの既知の悪意のあるプログラムの前記少なくとも1つの不審な挙動を実行する前記パックされたプログラムによる前記試みに応答して、
前記パックされたプログラムの実行を一時停止することと、
前記パックされたプログラムの実行が一時停止されている間に、前記少なくとも1つの既知の悪意のあるプログラムの前記少なくとも1つのマルウェアシグネチャについて、前記パックされたプログラムのメモリの少なくとも一部をスキャンすることであって、前記少なくとも1つのマルウェアシグネチャは前記スキャン基準によって特定され、前記少なくとも1つの既知の悪意のあるプログラムの前記少なくとも1つの不審な挙動と関連付けられる、スキャンすることと、
を実行することと、を行わせる非一時的コンピュータ可読媒体。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US14/178,727 US9171154B2 (en) | 2014-02-12 | 2014-02-12 | Systems and methods for scanning packed programs in response to detecting suspicious behaviors |
US14/178,727 | 2014-02-12 | ||
PCT/US2015/015291 WO2015123226A1 (en) | 2014-02-12 | 2015-02-10 | Systems and methods for scanning packed programs in response to detecting suspicious behaviors |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017507414A JP2017507414A (ja) | 2017-03-16 |
JP6335315B2 true JP6335315B2 (ja) | 2018-05-30 |
Family
ID=52633597
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016549094A Active JP6335315B2 (ja) | 2014-02-12 | 2015-02-10 | 不審な挙動の検出に応答してパックされたプログラムをスキャンするためのシステム及び方法 |
Country Status (5)
Country | Link |
---|---|
US (1) | US9171154B2 (ja) |
EP (1) | EP3105701B1 (ja) |
JP (1) | JP6335315B2 (ja) |
CN (1) | CN106133741B (ja) |
WO (1) | WO2015123226A1 (ja) |
Families Citing this family (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3103070B1 (en) | 2014-02-07 | 2023-09-13 | Cylance Inc. | Application execution control utilizing ensemble machine learning for discernment |
US9251090B1 (en) * | 2014-06-03 | 2016-02-02 | Amazon Technologies, Inc. | Hypervisor assisted virtual memory obfuscation |
US9965627B2 (en) | 2014-09-14 | 2018-05-08 | Sophos Limited | Labeling objects on an endpoint for encryption management |
US10122687B2 (en) | 2014-09-14 | 2018-11-06 | Sophos Limited | Firewall techniques for colored objects on endpoints |
US9537841B2 (en) | 2014-09-14 | 2017-01-03 | Sophos Limited | Key management for compromised enterprise endpoints |
US9465940B1 (en) | 2015-03-30 | 2016-10-11 | Cylance Inc. | Wavelet decomposition of software entropy to identify malware |
US9729572B1 (en) * | 2015-03-31 | 2017-08-08 | Juniper Networks, Inc. | Remote remediation of malicious files |
US9607152B1 (en) * | 2015-05-20 | 2017-03-28 | Symantec Corporation | Detect encrypted program based on CPU statistics |
CN106921608B (zh) * | 2015-12-24 | 2019-11-22 | 华为技术有限公司 | 一种检测终端安全状况方法、装置及系统 |
US10826933B1 (en) | 2016-03-31 | 2020-11-03 | Fireeye, Inc. | Technique for verifying exploit/malware at malware detection appliance through correlation with endpoints |
US10893059B1 (en) | 2016-03-31 | 2021-01-12 | Fireeye, Inc. | Verification and enhancement using detection systems located at the network periphery and endpoint devices |
JP6687844B2 (ja) * | 2016-04-13 | 2020-04-28 | 富士通株式会社 | マルウエア解析装置、マルウエア解析方法及びマルウエア解析プログラム |
US10645107B2 (en) * | 2017-01-23 | 2020-05-05 | Cyphort Inc. | System and method for detecting and classifying malware |
EP3352110B1 (en) * | 2017-01-23 | 2020-04-01 | Cyphort Inc. | System and method for detecting and classifying malware |
US10873589B2 (en) * | 2017-08-08 | 2020-12-22 | Sonicwall Inc. | Real-time prevention of malicious content via dynamic analysis |
CN107678755B (zh) * | 2017-09-13 | 2021-01-26 | 北京京东尚科信息技术有限公司 | 安装包打包的方法、装置、电子设备和计算机可读介质 |
US11151252B2 (en) | 2017-10-13 | 2021-10-19 | Sonicwall Inc. | Just in time memory analysis for malware detection |
US10977368B1 (en) * | 2017-12-27 | 2021-04-13 | Ca Technologies, Inc. | Detecting malware based on memory allocation patterns |
US10685110B2 (en) | 2017-12-29 | 2020-06-16 | Sonicwall Inc. | Detection of exploitative program code |
US20220138311A1 (en) * | 2018-01-08 | 2022-05-05 | Digital Immunity Llc | Systems and methods for detecting and mitigating code injection attacks |
CA3088604A1 (en) * | 2018-01-08 | 2019-07-11 | Digital Immunity, Inc. | Systems and methods for detecting and mitigating code injection attacks |
US11232201B2 (en) | 2018-05-14 | 2022-01-25 | Sonicwall Inc. | Cloud based just in time memory analysis for malware detection |
US10776487B2 (en) | 2018-07-12 | 2020-09-15 | Saudi Arabian Oil Company | Systems and methods for detecting obfuscated malware in obfuscated just-in-time (JIT) compiled code |
GB2588745B (en) * | 2018-11-19 | 2021-11-03 | Sophos Ltd | Deferred malware scanning |
US11916930B2 (en) * | 2021-06-29 | 2024-02-27 | Acronis International Gmbh | Non-invasive virus scanning using remote access |
CN113792294B (zh) * | 2021-11-15 | 2022-03-08 | 北京升鑫网络科技有限公司 | 一种恶意类检测方法、系统、装置、设备及介质 |
Family Cites Families (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP0815510B1 (en) * | 1995-12-28 | 2000-11-08 | InDefense, Inc. | Method for protecting executable software programs against infection by software viruses |
US7779472B1 (en) | 2005-10-11 | 2010-08-17 | Trend Micro, Inc. | Application behavior based malware detection |
US8479174B2 (en) | 2006-04-05 | 2013-07-02 | Prevx Limited | Method, computer program and computer for analyzing an executable computer file |
US8365286B2 (en) * | 2006-06-30 | 2013-01-29 | Sophos Plc | Method and system for classification of software using characteristics and combinations of such characteristics |
US8069484B2 (en) * | 2007-01-25 | 2011-11-29 | Mandiant Corporation | System and method for determining data entropy to identify malware |
CN101266550B (zh) * | 2007-12-21 | 2011-02-16 | 北京大学 | 一种恶意代码检测方法 |
CN101620659A (zh) * | 2009-07-14 | 2010-01-06 | 北京大学 | 一种Windows操作系统下钩子的检测方法 |
US8590045B2 (en) * | 2009-10-07 | 2013-11-19 | F-Secure Oyj | Malware detection by application monitoring |
US8566944B2 (en) * | 2010-04-27 | 2013-10-22 | Microsoft Corporation | Malware investigation by analyzing computer memory |
US8479291B1 (en) | 2010-10-28 | 2013-07-02 | Symantec Corporation | Systems and methods for identifying polymorphic malware |
US8997233B2 (en) * | 2011-04-13 | 2015-03-31 | Microsoft Technology Licensing, Llc | Detecting script-based malware using emulation and heuristics |
US8281399B1 (en) * | 2012-03-28 | 2012-10-02 | Symantec Corporation | Systems and methods for using property tables to perform non-iterative malware scans |
CN102799826B (zh) * | 2012-07-19 | 2015-07-29 | 腾讯科技(深圳)有限公司 | 应用程序安装包解压过程的检测方法与装置、客户端设备 |
US9471783B2 (en) * | 2013-03-15 | 2016-10-18 | Mcafee, Inc. | Generic unpacking of applications for malware detection |
RU2531861C1 (ru) * | 2013-04-26 | 2014-10-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ оценки вредоносности кода, исполняемого в адресном пространстве доверенного процесса |
-
2014
- 2014-02-12 US US14/178,727 patent/US9171154B2/en active Active
-
2015
- 2015-02-10 JP JP2016549094A patent/JP6335315B2/ja active Active
- 2015-02-10 WO PCT/US2015/015291 patent/WO2015123226A1/en active Application Filing
- 2015-02-10 CN CN201580006884.4A patent/CN106133741B/zh active Active
- 2015-02-10 EP EP15708938.4A patent/EP3105701B1/en active Active
Also Published As
Publication number | Publication date |
---|---|
CN106133741B (zh) | 2019-06-07 |
US20150227742A1 (en) | 2015-08-13 |
JP2017507414A (ja) | 2017-03-16 |
US9171154B2 (en) | 2015-10-27 |
WO2015123226A1 (en) | 2015-08-20 |
EP3105701B1 (en) | 2023-11-22 |
EP3105701A1 (en) | 2016-12-21 |
CN106133741A (zh) | 2016-11-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6335315B2 (ja) | 不審な挙動の検出に応答してパックされたプログラムをスキャンするためのシステム及び方法 | |
US9852289B1 (en) | Systems and methods for protecting files from malicious encryption attempts | |
US20200082081A1 (en) | Systems and methods for threat and information protection through file classification | |
US10742665B2 (en) | Systems and methods for modifying file backups in response to detecting potential ransomware | |
US9246948B2 (en) | Systems and methods for providing targeted data loss prevention on unmanaged computing devices | |
JP6101408B2 (ja) | イベント相関グラフを使用してコンピューティングシステムに対する攻撃を検出するためのシステム及び方法 | |
JP6122555B2 (ja) | 危殆化されている秘密鍵を識別するためのシステム及び方法 | |
JP6196393B2 (ja) | プリインストールアプリケーションのスキャンを最適化するためのシステム及び方法 | |
JP6247405B2 (ja) | インストール前にモバイルデバイス上でマルウェアを検出するためのシステム及び方法 | |
US9703956B1 (en) | Systems and methods for categorizing virtual-machine-aware applications for further analysis | |
US10210330B1 (en) | Systems and methods for detecting malicious processes that encrypt files | |
EP3797371B1 (en) | Systems and methods for controlling an application launch based on a security policy | |
JP2018522359A (ja) | コンピューティングプロセス内の未知の脆弱性を検出するためのシステム及び方法 | |
JP2019500712A (ja) | ドメイン名サービストラフィック分析を介してマルウェア感染を検出するためのシステム及び方法 | |
US11204992B1 (en) | Systems and methods for safely executing unreliable malware | |
US10049214B2 (en) | Systems and methods for detecting malicious processes on computing devices | |
US9646158B1 (en) | Systems and methods for detecting malicious files | |
US10447671B1 (en) | Systems and methods for recovering encrypted information | |
US9483643B1 (en) | Systems and methods for creating behavioral signatures used to detect malware | |
US9552481B1 (en) | Systems and methods for monitoring programs | |
US10169584B1 (en) | Systems and methods for identifying non-malicious files on computing devices within organizations | |
US10262135B1 (en) | Systems and methods for detecting and addressing suspicious file restore activities | |
US10043013B1 (en) | Systems and methods for detecting gadgets on computing devices | |
US10887339B1 (en) | Systems and methods for protecting a cloud storage against suspected malware | |
US10116688B1 (en) | Systems and methods for detecting potentially malicious files |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170714 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170829 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20171128 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180403 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180427 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6335315 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |