JP6455738B2 - パッチファイル分析システム - Google Patents
パッチファイル分析システム Download PDFInfo
- Publication number
- JP6455738B2 JP6455738B2 JP2016567731A JP2016567731A JP6455738B2 JP 6455738 B2 JP6455738 B2 JP 6455738B2 JP 2016567731 A JP2016567731 A JP 2016567731A JP 2016567731 A JP2016567731 A JP 2016567731A JP 6455738 B2 JP6455738 B2 JP 6455738B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- patch
- file
- reference information
- application program
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004458 analytical method Methods 0.000 title claims description 51
- 238000009434 installation Methods 0.000 claims description 10
- 230000003068 static effect Effects 0.000 claims description 9
- 230000009471 action Effects 0.000 claims description 8
- 239000008186 active pharmaceutical agent Substances 0.000 description 20
- 238000000034 method Methods 0.000 description 14
- 230000008569 process Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 4
- 208000015181 infectious disease Diseases 0.000 description 4
- 230000015556 catabolic process Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 229940028617 conventional vaccine Drugs 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000006866 deterioration Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000011900 installation process Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/564—Static detection by virus signature recognition
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Stored Programmes (AREA)
Description
応用プログラムに構成された設定情報を収集して基準情報として生成するプログラム分析モジュールと、
前記基準情報を格納する基準情報DBと、
前記応用プログラムのパッチファイルを分析して、前記パッチファイルに構成された設定情報をパッチ情報として生成するパッチファイル分析モジュールと、
前記パッチ情報に対応する基準情報を前記基準情報DBから検索し、前記パッチ情報及び基準情報を比較する比較モジュールと、を含むパッチファイル分析システムである。
管理者は、任意の応用プログラムのインストールファイル(例えば、setupファイル)の構成情報をプログラム分析モジュール120に入力データとして入力して基準情報として設定する。また、正常なパッチファイルがあれば、前記パッチファイル構成情報もプログラム分析モジュール120に入力データとして入力して前記基準情報に補強する。
パッチファイル分析モジュール130は、該当応用プログラムの新しいパッチのためのパッチファイルのファイル形態情報と動作パターン情報などを収集して、パッチ情報として生成する。パッチ情報は、基準情報であるファイルの形態情報と動作パターン情報に対応して収集され得る。基準情報のファイル形態情報と共に動作パターン情報に例示されたAPIリストまたはサービス関数リストなどに相応して、パッチ時OSから呼び出される呼び出しリストを含むことができる。
一般に、応用プログラムが動作するためには、OSから提供するAPIを呼び出さなければならないが、一般に、OSに対する応用プログラムのAPI呼び出し内訳は、パッチ前後に大きい差がない。従って、パッチファイルが既存応用プログラムのAPI呼び出し内訳には確認できない新しいAPI呼び出しを行うと、前記パッチファイルを製造社200から提供した正常なパッチであるか否かを確認すべき対象として分類する。例えば、ウイルスのようなマルウェアが他のプロセスのリソースを占有するために使う代表的なAPIとして、CreateRemoteThreadOを挙げることができる。CreateRemoteThreadOは、他のプロセスから実行されるthreadを生成するAPI関数であるが、他のプロセス権限で実行しようとするときに使われる。また、CreateRemoteThreadAPIを介して他のDLLに対するインジェクションも可能である。従って、CreateRemoteThreadOを利用して、他のDLLに対する動作を迂回するとか無力化させることができる。これを基にして基準情報には、CreateRemoteThreadOAPIが使用されていないが、パッチ情報で該当APIが追加されたら、これは危険として分類され得る。また、MBR(master boot record)をアクセスするためには、ハードディスクをファイル単位でアクセスせず、物理的にディスクにアクセスするべきであり、この場合、CreateFile("\\\\.\\PhysicalDriveO"、...)形態でCreateFileAPI呼び出しのパラメタが変わる。このようなシステムを破壊、感染重要API、API呼び出し時のパラメタ、ドライバー、サービス、ネットワークなどをすべて前記基準情報に含み、パッチファイルによるパッチ情報を前記基準情報と比較する。例えば、ある応用プログラムのパッチ比較のために、該当応用プログラムの歴代パッチ情報まで累積して分析した結果、基準情報(既存パッチファイル含み)では確認できなかったCreateRemoteThreadOの呼び出しがパッチ情報に確認されると、該当パッチファイルは、製造社200から提供した正常なパッチファイルではないものとして疑うことができる。
比較モジュール140でパッチファイル分析モジュール130が生成したパッチ情報が該当応用プログラムの基準情報と比較して、動作パターン情報が異なるとか、またはファイル形態が異なると判断された場合、危険判断モジュール170は、該当パッチ情報の危険度等級を危険知識ベース160から検索して、パッチファイルの危険度を出力する。参考までに、危険知識ベース160は、OSに対する動作行為またはOSの動作行為を危険度に応じて等級化して格納し、危険判断モジュール170は、比較モジュール140が前記基準情報とパッチ情報を比較して確認した比較内容を前記危険知識ベース160の動作行為と比較して、該当する危険度を検索及び出力する。
上のステップで導出された結果報告書に基づいて、管理者は、前記パッチファイルが該当応用プログラム製造社200から提供した正常なパッチファイルであるか否かを製造社200に問い合わせする。該当パッチファイルが製造社200から提供された正常なパッチファイルとして確認されると、既存の方式でパッチを行い、該当パッチ情報を基準情報にアップデートする。もし、該当パッチファイルが製造社200から提供されていない偽装されたパッチファイルの場合には、パッチを行わないように措置する。
Claims (5)
- 応用プログラムに構成された設定情報を収集して基準情報として生成するプログラム分析モジュールと、
前記基準情報を格納する基準情報DBと、
前記応用プログラムのパッチファイルを分析して、前記パッチファイルに構成された設定情報をパッチ情報として生成するパッチファイル分析モジュールと、
前記パッチ情報に対応する基準情報を前記基準情報DBから検索し、前記パッチ情報及び基準情報を比較する比較モジュールと、を含むことを特徴とする、パッチファイル分析システム。 - 更に、動作行為を危険度に応じて等級化して格納する危険知識ベースと、
前記比較モジュールが前記基準情報及びパッチ情報を比較して確認した比較内容を前記危険知識ベースの動作行為と比較して、該当する危険度を検索する危険判断モジュールと、を含むことを特徴とする、請求項1に記載のパッチファイル分析システム。 - 前記基準情報は、前記応用プログラムのインストールの前後のAPI呼び出しリスト及びサービス関数呼び出しリストのうちから選択された一つ以上を収集して備えた動作パターン情報を含むことを特徴とする、請求項1又は2に記載のパッチファイル分析システム。
- 前記パッチ情報は、前記パッチファイルのインストールの前後のAPI呼び出しリストとサービス関数呼び出しリストとのうちから選択された一つ以上を収集して備えたことを特徴とする、請求項3に記載のパッチファイル分析システム。
- 前記基準情報は、応用プログラムのバイナリファイルから意味情報を抽出して確認した静的分析情報を含み、前記パッチ情報は、パッチファイルのバイナリファイルから意味情報を抽出して確認した静的分析情報を含むことを特徴とする、請求項4に記載のパッチファイル分析システム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020140061759A KR101647487B1 (ko) | 2014-05-22 | 2014-05-22 | 패치파일 분석시스템과 분석방법 |
KR10-2014-0061759 | 2014-05-22 | ||
PCT/KR2015/002797 WO2015178578A1 (ko) | 2014-05-22 | 2015-03-23 | 패치파일 분석시스템과 분석방법 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017527864A JP2017527864A (ja) | 2017-09-21 |
JP6455738B2 true JP6455738B2 (ja) | 2019-01-23 |
Family
ID=54554213
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016567731A Active JP6455738B2 (ja) | 2014-05-22 | 2015-03-23 | パッチファイル分析システム |
Country Status (5)
Country | Link |
---|---|
US (1) | US10235520B2 (ja) |
JP (1) | JP6455738B2 (ja) |
KR (1) | KR101647487B1 (ja) |
CN (1) | CN106462703B (ja) |
WO (1) | WO2015178578A1 (ja) |
Families Citing this family (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11405423B2 (en) | 2016-03-11 | 2022-08-02 | Netskope, Inc. | Metadata-based data loss prevention (DLP) for cloud resources |
US11019101B2 (en) * | 2016-03-11 | 2021-05-25 | Netskope, Inc. | Middle ware security layer for cloud computing services |
US11425169B2 (en) | 2016-03-11 | 2022-08-23 | Netskope, Inc. | Small-footprint endpoint data loss prevention (DLP) |
KR101893518B1 (ko) * | 2016-10-28 | 2018-10-04 | 한국전자통신연구원 | 제어 시스템의 업데이트 관리 장치, 업데이트 검증 장치 및 그 방법 |
US10834113B2 (en) | 2017-07-25 | 2020-11-10 | Netskope, Inc. | Compact logging of network traffic events |
US20190163463A1 (en) * | 2017-11-30 | 2019-05-30 | International Business Machines Corporation | Relational patch orchestration |
US10833962B2 (en) | 2017-12-14 | 2020-11-10 | International Business Machines Corporation | Orchestration engine blueprint aspects for hybrid cloud composition |
US10972366B2 (en) | 2017-12-14 | 2021-04-06 | International Business Machines Corporation | Orchestration engine blueprint aspects for hybrid cloud composition |
US11025511B2 (en) | 2017-12-14 | 2021-06-01 | International Business Machines Corporation | Orchestration engine blueprint aspects for hybrid cloud composition |
CN108268777B (zh) * | 2018-01-18 | 2020-06-30 | 中国人民大学 | 一种利用补丁信息进行未知漏洞发现的相似性检测方法 |
CN108388442B (zh) * | 2018-01-22 | 2021-06-08 | 深圳市亿道数码技术有限公司 | 一种安卓系统中固件的补丁管理方法及系统 |
CN108989094B (zh) * | 2018-06-27 | 2021-08-27 | 新华三技术有限公司合肥分公司 | 补丁包的安装方法及装置 |
US11416641B2 (en) | 2019-01-24 | 2022-08-16 | Netskope, Inc. | Incident-driven introspection for data loss prevention |
CN111241307A (zh) * | 2020-01-23 | 2020-06-05 | 复旦大学 | 面向软件系统的软件项目及第三方库知识图谱构造方法 |
US11463362B2 (en) | 2021-01-29 | 2022-10-04 | Netskope, Inc. | Dynamic token bucket method adaptive to opaque server limits |
US11848949B2 (en) | 2021-01-30 | 2023-12-19 | Netskope, Inc. | Dynamic distribution of unified policies in a cloud-based policy enforcement system |
US12015619B2 (en) | 2021-01-30 | 2024-06-18 | Netskope, Inc. | Dynamic routing of access request streams in a unified policy enforcement system |
US11777993B2 (en) | 2021-01-30 | 2023-10-03 | Netskope, Inc. | Unified system for detecting policy enforcement issues in a cloud-based environment |
US11947682B2 (en) | 2022-07-07 | 2024-04-02 | Netskope, Inc. | ML-based encrypted file classification for identifying encrypted data movement |
KR20240085924A (ko) * | 2022-12-08 | 2024-06-18 | 레드펜소프트 주식회사 | 수요자 관점의 sbom 기반 설치파일 비교 분석을 통한 위협 요인 검출시스템과 검출방법 |
Family Cites Families (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH09171460A (ja) * | 1995-12-20 | 1997-06-30 | Hitachi Ltd | 計算機の診断システム |
KR20020031500A (ko) * | 2000-10-20 | 2002-05-02 | 김영돈, 정춘보 | 정품 프로그램에 대해 갱신하는 방법 |
JP2004258777A (ja) * | 2003-02-24 | 2004-09-16 | Fujitsu Ltd | セキュリティ管理装置、セキュリティ管理システム、セキュリティ管理方法、セキュリティ管理プログラム |
US20050005152A1 (en) * | 2003-07-01 | 2005-01-06 | Navjot Singh | Security vulnerability monitor |
KR100666562B1 (ko) * | 2005-08-11 | 2007-01-09 | 주식회사 웨어플러스 | 커널 드라이버 및 프로세스 보호 방법 |
JP2009171460A (ja) * | 2008-01-18 | 2009-07-30 | Sony Corp | 通信装置、発振器、並びに周波数シンセサイザ |
KR20090097522A (ko) * | 2008-03-12 | 2009-09-16 | 윤영세 | 파일 고유값을 이용한 서비스 방법 및 그 기록매체 |
US8239940B2 (en) * | 2008-12-25 | 2012-08-07 | Trusteer Ltd. | Functional patching/hooking detection and prevention |
US8595836B2 (en) * | 2008-12-25 | 2013-11-26 | Trusteer Ltd. | Functional patching/hooking detection and prevention |
CN101819525B (zh) * | 2009-02-27 | 2013-11-27 | 国际商业机器公司 | 用于查找系统中应用的配置文件的方法和设备 |
JP2010262609A (ja) * | 2009-04-28 | 2010-11-18 | Fourteenforty Research Institute Inc | 効率的なマルウェアの動的解析手法 |
CN102012990A (zh) * | 2010-12-16 | 2011-04-13 | 北京安天电子设备有限公司 | 第三方软件漏洞的修补方法和装置 |
KR20130114672A (ko) * | 2011-01-19 | 2013-10-17 | 인터내셔널 비지네스 머신즈 코포레이션 | 소프트웨어를 업데이트하는 장치 및 방법 |
JP5665188B2 (ja) * | 2011-03-31 | 2015-02-04 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | ソフトウエア更新を適用した情報処理装置を検査するシステム |
KR101326896B1 (ko) * | 2011-08-24 | 2013-11-11 | 주식회사 팬택 | 단말기 및 이를 이용하는 어플리케이션의 위험도 제공 방법 |
KR101324691B1 (ko) * | 2011-12-08 | 2013-11-04 | 한국인터넷진흥원 | 모바일 악성 행위 어플리케이션 탐지 시스템 및 방법 |
CN103218241B (zh) * | 2013-04-19 | 2016-08-31 | 华为技术有限公司 | 补丁加载方法和装置 |
-
2014
- 2014-05-22 KR KR1020140061759A patent/KR101647487B1/ko active IP Right Grant
-
2015
- 2015-03-23 CN CN201580026121.6A patent/CN106462703B/zh active Active
- 2015-03-23 JP JP2016567731A patent/JP6455738B2/ja active Active
- 2015-03-23 US US15/312,028 patent/US10235520B2/en active Active
- 2015-03-23 WO PCT/KR2015/002797 patent/WO2015178578A1/ko active Application Filing
Also Published As
Publication number | Publication date |
---|---|
JP2017527864A (ja) | 2017-09-21 |
KR101647487B1 (ko) | 2016-08-10 |
WO2015178578A1 (ko) | 2015-11-26 |
CN106462703B (zh) | 2019-08-02 |
CN106462703A (zh) | 2017-02-22 |
US20170076094A1 (en) | 2017-03-16 |
KR20150134679A (ko) | 2015-12-02 |
US10235520B2 (en) | 2019-03-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6455738B2 (ja) | パッチファイル分析システム | |
US10528735B2 (en) | Malicious code protection for computer systems based on process modification | |
RU2589862C1 (ru) | Способ обнаружения вредоносного кода в оперативной памяти | |
EP3430556B1 (en) | System and method for process hollowing detection | |
JP6829718B2 (ja) | 複数のソフトウェアエンティティにわたって悪意あるビヘイビアを追跡するためのシステムおよび方法 | |
RU2531861C1 (ru) | Система и способ оценки вредоносности кода, исполняемого в адресном пространстве доверенного процесса | |
US10055585B2 (en) | Hardware and software execution profiling | |
US8898775B2 (en) | Method and apparatus for detecting the malicious behavior of computer program | |
KR101201118B1 (ko) | 바이러스 방지 소프트웨어 어플리케이션들의 지식 베이스를모으는 시스템 및 방법 | |
US8099596B1 (en) | System and method for malware protection using virtualization | |
JP2019082989A (ja) | 標的型攻撃をクラウド型検出、探索および除去するシステムおよび方法 | |
JP2014038596A (ja) | 悪意ある実行ファイルの識別方法 | |
US11775636B1 (en) | Systems and methods of detecting malicious powershell scripts | |
RU2618947C2 (ru) | Способ предотвращения работы программ, содержащих нежелательный для пользователя функционал | |
Vokorokos et al. | Application security through sandbox virtualization | |
US8201253B1 (en) | Performing security functions when a process is created | |
CA2816764C (en) | Inoculator and antibody for computer security | |
RU2592383C1 (ru) | Способ формирования антивирусной записи при обнаружении вредоносного кода в оперативной памяти | |
US20240241953A1 (en) | System and method for detecting malicious code by an interpreter in a computing device | |
EP4310707A1 (en) | System and method for detecting malicious code by an interpreter in a computing device | |
US20220092171A1 (en) | Malicious code protection for computer systems based on system call table modification and runtime application patching | |
RU2595510C1 (ru) | Способ исключения процессов из антивирусной проверки на основании данных о файле | |
Aboughadareh et al. | Detecting rootkits with the RAI runtime application inventory | |
Archana et al. | Experimental Analysis of Hooks in Virtual Environment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180118 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180213 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20180508 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180709 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180807 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20181029 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20181106 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20181205 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6455738 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |