JP6455738B2 - パッチファイル分析システム - Google Patents
パッチファイル分析システム Download PDFInfo
- Publication number
- JP6455738B2 JP6455738B2 JP2016567731A JP2016567731A JP6455738B2 JP 6455738 B2 JP6455738 B2 JP 6455738B2 JP 2016567731 A JP2016567731 A JP 2016567731A JP 2016567731 A JP2016567731 A JP 2016567731A JP 6455738 B2 JP6455738 B2 JP 6455738B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- patch
- file
- reference information
- application program
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004458 analytical method Methods 0.000 title claims description 51
- 238000009434 installation Methods 0.000 claims description 10
- 230000003068 static effect Effects 0.000 claims description 9
- 230000009471 action Effects 0.000 claims description 8
- 239000008186 active pharmaceutical agent Substances 0.000 description 20
- 238000000034 method Methods 0.000 description 14
- 230000008569 process Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 4
- 208000015181 infectious disease Diseases 0.000 description 4
- 230000015556 catabolic process Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 229940028617 conventional vaccine Drugs 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000006866 deterioration Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000011900 installation process Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/564—Static detection by virus signature recognition
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Stored Programmes (AREA)
Description
本発明は、応用プログラムのパッチファイルに対して動作パターン及び形態などにおいて、既存のファイルとの類似性があるか否かと共に、パッチファイルによって危険性の高い行為が行われるか否かを判断して、パッチファイルに含まれてくるマルウェア、ウイルス、バックドア、機能低下コードなどを検出するパッチファイル分析システム及び分析方法に関する。
コンピュータ技術分野において、パッチ(patch)は、コンピュータなどにインストールされた各種応用プログラムまたはデータなどの障害を修正するとか、応用プログラムまたはデータなどの既存情報を最新情報に変える動作を指称する。従って、コンピュータにインストールされた各種応用プログラムは、周期的に提供されるパッチファイルのインストールを介してパッチが行われ、ユーザーは、前記パッチを介して該当応用プログラムを安定して利用をすることができる。
ところが、社会工学的な攻撃の発達とともに、マルウェアをあたかも正常なパッチファイルのように配布するとか、パッチファイルがマルウェアに感染されるとか、バックドアを含ませることによって、該当パッチファイルをインストールしたシステムに深刻な障害を引き起こす事例が多数発生している。
このような深刻さにもかかわらず、従来には、応用プログラムに対するアップデートファイル(パッチファイル)が前記応用プログラムの該当製造社から提供したパッチファイルであるか否かを判断する方法が全くなく、これによって、パッチファイルによるコンピュータのマルウェア感染が頻繁であった。
前述した問題を解消するために、従来のワクチンプログラムは、マルウェアなどの動作パターンを確認して、該当動作パターンが確認されると、マルウェアによる感染と見做し、これを治癒するようにした。
しかし、従来のワクチンプログラムは、パッチファイルがマルウェアであるか否かのみを判断するだけであり、該当パッチファイルが前記製造社で作られた正常なパッチファイルであるか否かを判断することができなかった。また、動作パターンに対する情報がない場合には、マルウェアの感染の可否を判断することができなかったし、感染可否判断が動作パターンの分析にのみ重点を置くので、論理爆弾、隠されたコードなどによる新しい形式のマルウェアは、従来のワクチンプログラムにおいて全く検出することができないという問題があった。
これに対し本発明は、前記のような問題を解消するために発明されたものであって、応用プログラムのパッチファイルに対して、動作パターン、ファイル形態側面から既存の正常な応用プログラムファイルとの類似性を判断し、更に、パッチファイルの危険行為を把握して、該当パッチファイルが正常なパッチファイルであるか否かをユーザーが判別することができるパッチファイル分析システム及び分析方法の提供を解決課題にしようとする。
前記の技術的課題を達成するために、本発明は、
応用プログラムに構成された設定情報を収集して基準情報として生成するプログラム分析モジュールと、
前記基準情報を格納する基準情報DBと、
前記応用プログラムのパッチファイルを分析して、前記パッチファイルに構成された設定情報をパッチ情報として生成するパッチファイル分析モジュールと、
前記パッチ情報に対応する基準情報を前記基準情報DBから検索し、前記パッチ情報及び基準情報を比較する比較モジュールと、を含むパッチファイル分析システムである。
応用プログラムに構成された設定情報を収集して基準情報として生成するプログラム分析モジュールと、
前記基準情報を格納する基準情報DBと、
前記応用プログラムのパッチファイルを分析して、前記パッチファイルに構成された設定情報をパッチ情報として生成するパッチファイル分析モジュールと、
前記パッチ情報に対応する基準情報を前記基準情報DBから検索し、前記パッチ情報及び基準情報を比較する比較モジュールと、を含むパッチファイル分析システムである。
本発明は、応用プログラムのインストールファイル及び既存のパッチファイルから収集した基準情報を新しいパッチファイルのパッチ情報と比較して、ファイル形態の変化、新しいAPI呼び出しなどの新しい危険な行為が含まれているか否かを判断することができるので、パッチ過程で危険なパッチファイルのインストールを防止することができる効果がある。
前述した本発明の特徴及び効果は、添付された図面と関連した下記の詳細な説明を通じてより明らかになるはずであり、それによって、本発明の属する技術分野において、通常の知識を有する者が本発明の技術的思想を容易に実施することができるだろう。本発明は、様々な変更を加えることができ、様々な形態を有することができるところ、特定の実施例などを図面に例示して本文に詳細に説明しようとする。しかし、これは本発明を特定の開示形態に対して限定しようとするものではなく、本発明の思想及び技術範囲に含まれるすべての変更、均等物ないし代替物を含むものとして理解されるべきである。本出願で使った用語は、単に特定の実施例などを説明するために使われたものであって、本発明を限定しようとする意図ではない。
以下、本発明を実施するための具体的な内容が添付された図面に基づいて詳細に説明する。
図1は、本発明による分析システムの構成を示したブロック図であり、これを参照して説明する。
一般に、パッチファイルは、既存のプログラムの機能を大きく修正するとか、システムの敏感な領域に同意せずにアクセスするコードを含まない。
本発明による分析システム100は、パッチファイルの前述した特性を活用して、新しいパッチファイルが既存のプログラムの動作を大きく外れるとか、システムの敏感な領域を新たにアクセスするコードが存在することが確認されると、これを検査して分析結果をユーザーに報知することが基本動作概念である。
本発明による分析システム100は、既存のプログラムを分析して、システム呼び出し情報を格納し、システムの敏感な領域にアクセスする関連データが格納された危険知識ベースを管理し、新しいパッチファイルを分析して、既存のプログラムとの差異とシステム民間領域の新しいアクセスを分析することができるように構成される。
このための本発明による分析システム100は、任意の端末機に対する応用プログラムの設定情報(応用プログラムに属するファイル形態情報及び動作パターン情報など)を収集して基準情報として設定するプログラム分析モジュール120と、前記基準情報を格納する基準情報DB110と、前記応用プログラムのパッチファイルを分析してファイル形態情報及び動作パターン情報などの分析情報を収集し、前記分析情報をパッチ情報として設定するパッチファイル分析モジュール130と、前記応用プログラムの基準情報及びパッチ情報を比較する比較モジュール140と、を含む。
基準情報DB110は、先に説明したように、前記応用プログラムの設定情報は勿論、正常なパッチファイルから構成された設定情報(各ファイルの形態情報及び動作パターン情報など)を基準情報として格納する。
プログラム分析モジュール120は、前記基準情報を生成する。本発明による実施例において、基準情報は、前述したように、前記応用プログラムの設定情報(ファイル形態情報及び動作パターン情報など)を分析して生成されるが、これを下記でより具体的に説明する。
動作パターン情報は、静的分析及び動的分析(デバッグ)を介して行われる。
前記静的分析は、応用プログラムのインストールファイルなどが実行していない状態で、OSに対するAPI、またはサービス関数の呼び出し履歴を確認し、これを記録する。もう少し説明すると、静的分析技術は、ソフトウェアの静的表現(representation)に基づいてソフトウェアの動作に対する情報を推論する。これは、ソフトウェアが動作するときに、これを観察して情報を収集する動的分析技術と対比される。コードが実行されていない状態で分析するので、テストケースは必要ない。静的分析は、2つのステップの過程を経る。第一のステップでは、ソフトウェアのバイナリファイルから意味情報(semantic information)を抽出する。第二のステップでは、この情報を利用して欠陷や所望の他の特性を捜す。
前記動的分析は、前記インストールファイルを実行した状態で、動的でOSに対するAPI、またはサービス関数の呼び出し履歴を確認し、これを記録する。静的分析または動的分析などを介して該当応用プログラムから呼び出し及びロードされるAPI及びサービス関数リストを確認することができ、パッチファイルによって新規に追加されるAPI及びサービス関数リストを確認することができる。
参考までに、関数ごとに使うリソース内訳(ファイル及びレジストリなど)の確認は、前記静的分析及び動的分析を通じて行われることができ、これを通じて基準情報を生成する。例えば、Createfile関数は、ファイル及びI/Oデバイスを生成するとか、オープンする関数であるが、パッチファイルが任意ファイル及びI/Oデバイスにアクセスするために、主に活用する。プログラム分析モジュール120は、Createfile関数のparameterを‘アクセス先のファイル’と指定し、インストールファイルのインストール過程中、Createfile関数がアクセスするファイルリストを基準情報に含む。以後、該当応用プログラムのパッチファイルが正常なパッチファイルであるものとして判明されると、パッチ過程でCreatefile関数がアクセスするファイルリストを基準情報DB110に持続的にアップデートすることができる。
以上説明したように、プログラム分析モジュール120は、前記応用プログラムファイルに対するファイル形態情報と動作パターン情報などを把握して基準情報として生成し、このように生成した基準情報を基準情報DB110に格納する。
パッチファイル分析モジュール130は、該当応用プログラムのパッチファイルに対するファイル形態情報と動作パターン情報などを収集してパッチ情報として生成する。パッチ情報は、基準情報であるファイルの形態情報と動作パターン情報に対応した情報が収集され得る。一例として、パッチ情報は、基準情報のファイル形態情報と共に動作パターン情報に例示されたAPIリストまたはサービス関数リストなどに相応して、パッチ時OSから呼び出される呼び出しリストを含むことができる。
比較モジュール140は、該当応用プログラムの基準情報を基準情報DB110から検索し、パッチファイル分析モジュール130が生成したパッチ情報を前記基準情報と比較する。
比較結果、基準情報とパッチ情報に差があると、該当結果内容を様々な形態(doc、pdf、htmlなど)の結果報告書として出力することができ、以後、パッチ情報に対する危険度を更に判断して結果報告書に含むことができる。以後、管理者は、結果報告書に基づいて該当応用プログラムの製造社200に問い合わせて、パッチファイルが製造社200から配布された正常なファイルであるか否かを問い合わせする。製造200から該当パッチファイルが正常であれば、前記パッチファイルのパッチ情報を基準情報にアップデートし、該当ファイルをパッチする。パッチ方式は、既存の公知、共用のパッチ技術が適用されるので、これに対する具体的な説明は省略する。
以上の内容を参考にして、本発明によるパッチ分析方法を説明する。
図2は、本発明による分析システムを利用した分析方法を順次示したフローチャートであるところ、これを参照して説明する。
S10;基準情報生成ステップ
管理者は、任意の応用プログラムのインストールファイル(例えば、setupファイル)の構成情報をプログラム分析モジュール120に入力データとして入力して基準情報として設定する。また、正常なパッチファイルがあれば、前記パッチファイル構成情報もプログラム分析モジュール120に入力データとして入力して前記基準情報に補強する。
管理者は、任意の応用プログラムのインストールファイル(例えば、setupファイル)の構成情報をプログラム分析モジュール120に入力データとして入力して基準情報として設定する。また、正常なパッチファイルがあれば、前記パッチファイル構成情報もプログラム分析モジュール120に入力データとして入力して前記基準情報に補強する。
プログラム分析モジュール120は、入力された応用プログラムのインストールファイル及び正常なパッチファイルに対する情報を把握して、該当応用プログラムの基準情報として生成するが、前述したように、前記基準情報は、インストールファイル及び正常なパッチファイルの形態情報と動作パターン情報を含む。プログラム分析モジュール120が形態情報と動作パターン情報を収集する技術は、先に説明したことがあるので、ここでは、追加説明は省略する。
S20;パッチ情報確認ステップ
パッチファイル分析モジュール130は、該当応用プログラムの新しいパッチのためのパッチファイルのファイル形態情報と動作パターン情報などを収集して、パッチ情報として生成する。パッチ情報は、基準情報であるファイルの形態情報と動作パターン情報に対応して収集され得る。基準情報のファイル形態情報と共に動作パターン情報に例示されたAPIリストまたはサービス関数リストなどに相応して、パッチ時OSから呼び出される呼び出しリストを含むことができる。
パッチファイル分析モジュール130は、該当応用プログラムの新しいパッチのためのパッチファイルのファイル形態情報と動作パターン情報などを収集して、パッチ情報として生成する。パッチ情報は、基準情報であるファイルの形態情報と動作パターン情報に対応して収集され得る。基準情報のファイル形態情報と共に動作パターン情報に例示されたAPIリストまたはサービス関数リストなどに相応して、パッチ時OSから呼び出される呼び出しリストを含むことができる。
S30;比較ステップ
一般に、応用プログラムが動作するためには、OSから提供するAPIを呼び出さなければならないが、一般に、OSに対する応用プログラムのAPI呼び出し内訳は、パッチ前後に大きい差がない。従って、パッチファイルが既存応用プログラムのAPI呼び出し内訳には確認できない新しいAPI呼び出しを行うと、前記パッチファイルを製造社200から提供した正常なパッチであるか否かを確認すべき対象として分類する。例えば、ウイルスのようなマルウェアが他のプロセスのリソースを占有するために使う代表的なAPIとして、CreateRemoteThreadOを挙げることができる。CreateRemoteThreadOは、他のプロセスから実行されるthreadを生成するAPI関数であるが、他のプロセス権限で実行しようとするときに使われる。また、CreateRemoteThreadAPIを介して他のDLLに対するインジェクションも可能である。従って、CreateRemoteThreadOを利用して、他のDLLに対する動作を迂回するとか無力化させることができる。これを基にして基準情報には、CreateRemoteThreadOAPIが使用されていないが、パッチ情報で該当APIが追加されたら、これは危険として分類され得る。また、MBR(master boot record)をアクセスするためには、ハードディスクをファイル単位でアクセスせず、物理的にディスクにアクセスするべきであり、この場合、CreateFile("\\\\.\\PhysicalDriveO"、...)形態でCreateFileAPI呼び出しのパラメタが変わる。このようなシステムを破壊、感染重要API、API呼び出し時のパラメタ、ドライバー、サービス、ネットワークなどをすべて前記基準情報に含み、パッチファイルによるパッチ情報を前記基準情報と比較する。例えば、ある応用プログラムのパッチ比較のために、該当応用プログラムの歴代パッチ情報まで累積して分析した結果、基準情報(既存パッチファイル含み)では確認できなかったCreateRemoteThreadOの呼び出しがパッチ情報に確認されると、該当パッチファイルは、製造社200から提供した正常なパッチファイルではないものとして疑うことができる。
一般に、応用プログラムが動作するためには、OSから提供するAPIを呼び出さなければならないが、一般に、OSに対する応用プログラムのAPI呼び出し内訳は、パッチ前後に大きい差がない。従って、パッチファイルが既存応用プログラムのAPI呼び出し内訳には確認できない新しいAPI呼び出しを行うと、前記パッチファイルを製造社200から提供した正常なパッチであるか否かを確認すべき対象として分類する。例えば、ウイルスのようなマルウェアが他のプロセスのリソースを占有するために使う代表的なAPIとして、CreateRemoteThreadOを挙げることができる。CreateRemoteThreadOは、他のプロセスから実行されるthreadを生成するAPI関数であるが、他のプロセス権限で実行しようとするときに使われる。また、CreateRemoteThreadAPIを介して他のDLLに対するインジェクションも可能である。従って、CreateRemoteThreadOを利用して、他のDLLに対する動作を迂回するとか無力化させることができる。これを基にして基準情報には、CreateRemoteThreadOAPIが使用されていないが、パッチ情報で該当APIが追加されたら、これは危険として分類され得る。また、MBR(master boot record)をアクセスするためには、ハードディスクをファイル単位でアクセスせず、物理的にディスクにアクセスするべきであり、この場合、CreateFile("\\\\.\\PhysicalDriveO"、...)形態でCreateFileAPI呼び出しのパラメタが変わる。このようなシステムを破壊、感染重要API、API呼び出し時のパラメタ、ドライバー、サービス、ネットワークなどをすべて前記基準情報に含み、パッチファイルによるパッチ情報を前記基準情報と比較する。例えば、ある応用プログラムのパッチ比較のために、該当応用プログラムの歴代パッチ情報まで累積して分析した結果、基準情報(既存パッチファイル含み)では確認できなかったCreateRemoteThreadOの呼び出しがパッチ情報に確認されると、該当パッチファイルは、製造社200から提供した正常なパッチファイルではないものとして疑うことができる。
前述したように、比較モジュール140は、パッチファイル分析モジュール130が生成したパッチ情報を該当応用プログラムの基準情報と比較して、その差の可否を判断する。このために、比較モジュール140は、該当パッチファイル関連応用プログラムの基準情報を基準情報DB110から検索し、検索した基準情報を前記パッチ情報と比較する。
更に、API及びサービス項目呼び出しに対しては、ディスアセンブラ(disassembler)を介してパラメタを追跡し、応用プログラムの基準情報と比較することができる。例えば、パッチファイルのパッチ中から呼び出されるAPIまたはサービス項目が該当応用プログラムの実行に必要なリソースではなく、基準情報では確認できなかった他の応用プログラムのリソースまたはシステムリソース(System Resource)にアクセスする場合には、基準情報と比較することができ、後の危険性判断ステップS40でリソースの重要性に応じて‘危険’と見做すことができる。参考までに、システム重要リソース(System Critical Resource)は、MBRなどのディスクに対する物理的R/W(READ/WRITE)と、デバイスドライバーロード、システムサービスロード、API Message HOOK、HOSTファイル変調、ネットワーク通信などが例示され得る。
以上説明したように、比較モジュール140は、パッチ情報が既存情報と異なる場合、この情報を結果報告書に記録する。
図3は、本発明による分析システムの他の実施例を示したブロック図であり、図4は、本発明によるパッチ進行過程を概略的に示したフローチャートであるところ、図2と共に参照して本発明による分析システム及び分析方法を説明する。
S40;危険性判断ステップ
比較モジュール140でパッチファイル分析モジュール130が生成したパッチ情報が該当応用プログラムの基準情報と比較して、動作パターン情報が異なるとか、またはファイル形態が異なると判断された場合、危険判断モジュール170は、該当パッチ情報の危険度等級を危険知識ベース160から検索して、パッチファイルの危険度を出力する。参考までに、危険知識ベース160は、OSに対する動作行為またはOSの動作行為を危険度に応じて等級化して格納し、危険判断モジュール170は、比較モジュール140が前記基準情報とパッチ情報を比較して確認した比較内容を前記危険知識ベース160の動作行為と比較して、該当する危険度を検索及び出力する。
比較モジュール140でパッチファイル分析モジュール130が生成したパッチ情報が該当応用プログラムの基準情報と比較して、動作パターン情報が異なるとか、またはファイル形態が異なると判断された場合、危険判断モジュール170は、該当パッチ情報の危険度等級を危険知識ベース160から検索して、パッチファイルの危険度を出力する。参考までに、危険知識ベース160は、OSに対する動作行為またはOSの動作行為を危険度に応じて等級化して格納し、危険判断モジュール170は、比較モジュール140が前記基準情報とパッチ情報を比較して確認した比較内容を前記危険知識ベース160の動作行為と比較して、該当する危険度を検索及び出力する。
例を挙げて説明すると、危険度等級に対する情報は、アクセスされるパラメータを把握して具体的な危険性を判断することができるが、システム全般のリソース(System Critical Resource)は、 MBRなどのディスク(PhysicalDrive0)に対する物理的R/W(READ/WRITE)と、デバイスドライバーロード、システムサービスロード、API Message HOOK、HOSTファイル変調、ネットワーク通信などのアクセスが例示され得る。すなわち、該当パッチ情報に基準情報では確認できない他のIPへのネットワーク通信が追加されたら、該当パッチは、‘危険’と見做すものである。また、ファイルにアクセスして読み取り/書き込みをする際に活用される関数であるCreateFile関数のパラメータがPhysicalDriveOである場合には、システム起動に必要なMBR領域へのアクセスを意味するので、これも該当パッチは、‘危険’と見做す。また、該当ハッキングでウィンドウズ(登録商標)などのOSオペレーティングに使われる共用ファイル(ex、EXE.dll、ntdll.dll、kernel32.dllなど)と同一の名前のファイルを生成するとか、名前を変更するハッキング情報が確認されると、これも、基準情報と比較して、該当パッチは‘危険’と見做す。参考までに、ntdll.dllなどのように、OS(ex、Windows)の共用ファイルは、すべての応用プログラムが動作するときに使われる構成要素であるが、このファイルが損傷されると、OS自体はもちろん、前記コンピュータに既にインストールされている応用プログラムは、正常な動作をすることができなくなる。
S60:報告及び問い合わせのステップ
上のステップで導出された結果報告書に基づいて、管理者は、前記パッチファイルが該当応用プログラム製造社200から提供した正常なパッチファイルであるか否かを製造社200に問い合わせする。該当パッチファイルが製造社200から提供された正常なパッチファイルとして確認されると、既存の方式でパッチを行い、該当パッチ情報を基準情報にアップデートする。もし、該当パッチファイルが製造社200から提供されていない偽装されたパッチファイルの場合には、パッチを行わないように措置する。
上のステップで導出された結果報告書に基づいて、管理者は、前記パッチファイルが該当応用プログラム製造社200から提供した正常なパッチファイルであるか否かを製造社200に問い合わせする。該当パッチファイルが製造社200から提供された正常なパッチファイルとして確認されると、既存の方式でパッチを行い、該当パッチ情報を基準情報にアップデートする。もし、該当パッチファイルが製造社200から提供されていない偽装されたパッチファイルの場合には、パッチを行わないように措置する。
先に説明した本発明の詳細な説明では、本発明の好ましい実施例などを参照して説明したが、該当技術分野の熟練した当業者または該当技術分野において通常の知識を有する者であれば、後述される特許請求の範囲に記載された本発明の思想及び技術領域から逸脱しない範囲内で、本発明を様々に修正及び変更させ得ることを理解することができるだろう。
Claims (5)
- 応用プログラムに構成された設定情報を収集して基準情報として生成するプログラム分析モジュールと、
前記基準情報を格納する基準情報DBと、
前記応用プログラムのパッチファイルを分析して、前記パッチファイルに構成された設定情報をパッチ情報として生成するパッチファイル分析モジュールと、
前記パッチ情報に対応する基準情報を前記基準情報DBから検索し、前記パッチ情報及び基準情報を比較する比較モジュールと、を含むことを特徴とする、パッチファイル分析システム。 - 更に、動作行為を危険度に応じて等級化して格納する危険知識ベースと、
前記比較モジュールが前記基準情報及びパッチ情報を比較して確認した比較内容を前記危険知識ベースの動作行為と比較して、該当する危険度を検索する危険判断モジュールと、を含むことを特徴とする、請求項1に記載のパッチファイル分析システム。 - 前記基準情報は、前記応用プログラムのインストールの前後のAPI呼び出しリスト及びサービス関数呼び出しリストのうちから選択された一つ以上を収集して備えた動作パターン情報を含むことを特徴とする、請求項1又は2に記載のパッチファイル分析システム。
- 前記パッチ情報は、前記パッチファイルのインストールの前後のAPI呼び出しリストとサービス関数呼び出しリストとのうちから選択された一つ以上を収集して備えたことを特徴とする、請求項3に記載のパッチファイル分析システム。
- 前記基準情報は、応用プログラムのバイナリファイルから意味情報を抽出して確認した静的分析情報を含み、前記パッチ情報は、パッチファイルのバイナリファイルから意味情報を抽出して確認した静的分析情報を含むことを特徴とする、請求項4に記載のパッチファイル分析システム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020140061759A KR101647487B1 (ko) | 2014-05-22 | 2014-05-22 | 패치파일 분석시스템과 분석방법 |
| KR10-2014-0061759 | 2014-05-22 | ||
| PCT/KR2015/002797 WO2015178578A1 (ko) | 2014-05-22 | 2015-03-23 | 패치파일 분석시스템과 분석방법 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2017527864A JP2017527864A (ja) | 2017-09-21 |
| JP6455738B2 true JP6455738B2 (ja) | 2019-01-23 |
Family
ID=54554213
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016567731A Active JP6455738B2 (ja) | 2014-05-22 | 2015-03-23 | パッチファイル分析システム |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10235520B2 (ja) |
| JP (1) | JP6455738B2 (ja) |
| KR (1) | KR101647487B1 (ja) |
| CN (1) | CN106462703B (ja) |
| WO (1) | WO2015178578A1 (ja) |
Families Citing this family (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11405423B2 (en) | 2016-03-11 | 2022-08-02 | Netskope, Inc. | Metadata-based data loss prevention (DLP) for cloud resources |
| US11019101B2 (en) * | 2016-03-11 | 2021-05-25 | Netskope, Inc. | Middle ware security layer for cloud computing services |
| US11425169B2 (en) | 2016-03-11 | 2022-08-23 | Netskope, Inc. | Small-footprint endpoint data loss prevention (DLP) |
| KR101893518B1 (ko) * | 2016-10-28 | 2018-10-04 | 한국전자통신연구원 | 제어 시스템의 업데이트 관리 장치, 업데이트 검증 장치 및 그 방법 |
| US10834113B2 (en) | 2017-07-25 | 2020-11-10 | Netskope, Inc. | Compact logging of network traffic events |
| US20190163463A1 (en) * | 2017-11-30 | 2019-05-30 | International Business Machines Corporation | Relational patch orchestration |
| US10833962B2 (en) | 2017-12-14 | 2020-11-10 | International Business Machines Corporation | Orchestration engine blueprint aspects for hybrid cloud composition |
| US10972366B2 (en) | 2017-12-14 | 2021-04-06 | International Business Machines Corporation | Orchestration engine blueprint aspects for hybrid cloud composition |
| US11025511B2 (en) | 2017-12-14 | 2021-06-01 | International Business Machines Corporation | Orchestration engine blueprint aspects for hybrid cloud composition |
| CN108268777B (zh) * | 2018-01-18 | 2020-06-30 | 中国人民大学 | 一种利用补丁信息进行未知漏洞发现的相似性检测方法 |
| CN108388442B (zh) * | 2018-01-22 | 2021-06-08 | 深圳市亿道数码技术有限公司 | 一种安卓系统中固件的补丁管理方法及系统 |
| CN108989094B (zh) * | 2018-06-27 | 2021-08-27 | 新华三技术有限公司合肥分公司 | 补丁包的安装方法及装置 |
| US11416641B2 (en) | 2019-01-24 | 2022-08-16 | Netskope, Inc. | Incident-driven introspection for data loss prevention |
| CN111241307A (zh) * | 2020-01-23 | 2020-06-05 | 复旦大学 | 面向软件系统的软件项目及第三方库知识图谱构造方法 |
| US11463362B2 (en) | 2021-01-29 | 2022-10-04 | Netskope, Inc. | Dynamic token bucket method adaptive to opaque server limits |
| US11848949B2 (en) | 2021-01-30 | 2023-12-19 | Netskope, Inc. | Dynamic distribution of unified policies in a cloud-based policy enforcement system |
| US12015619B2 (en) | 2021-01-30 | 2024-06-18 | Netskope, Inc. | Dynamic routing of access request streams in a unified policy enforcement system |
| US11777993B2 (en) | 2021-01-30 | 2023-10-03 | Netskope, Inc. | Unified system for detecting policy enforcement issues in a cloud-based environment |
| US11947682B2 (en) | 2022-07-07 | 2024-04-02 | Netskope, Inc. | ML-based encrypted file classification for identifying encrypted data movement |
| KR20240085924A (ko) * | 2022-12-08 | 2024-06-18 | 레드펜소프트 주식회사 | 수요자 관점의 sbom 기반 설치파일 비교 분석을 통한 위협 요인 검출시스템과 검출방법 |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH09171460A (ja) * | 1995-12-20 | 1997-06-30 | Hitachi Ltd | 計算機の診断システム |
| KR20020031500A (ko) * | 2000-10-20 | 2002-05-02 | 김영돈, 정춘보 | 정품 프로그램에 대해 갱신하는 방법 |
| JP2004258777A (ja) * | 2003-02-24 | 2004-09-16 | Fujitsu Ltd | セキュリティ管理装置、セキュリティ管理システム、セキュリティ管理方法、セキュリティ管理プログラム |
| US20050005152A1 (en) * | 2003-07-01 | 2005-01-06 | Navjot Singh | Security vulnerability monitor |
| KR100666562B1 (ko) * | 2005-08-11 | 2007-01-09 | 주식회사 웨어플러스 | 커널 드라이버 및 프로세스 보호 방법 |
| JP2009171460A (ja) * | 2008-01-18 | 2009-07-30 | Sony Corp | 通信装置、発振器、並びに周波数シンセサイザ |
| KR20090097522A (ko) * | 2008-03-12 | 2009-09-16 | 윤영세 | 파일 고유값을 이용한 서비스 방법 및 그 기록매체 |
| US8239940B2 (en) * | 2008-12-25 | 2012-08-07 | Trusteer Ltd. | Functional patching/hooking detection and prevention |
| US8595836B2 (en) * | 2008-12-25 | 2013-11-26 | Trusteer Ltd. | Functional patching/hooking detection and prevention |
| CN101819525B (zh) * | 2009-02-27 | 2013-11-27 | 国际商业机器公司 | 用于查找系统中应用的配置文件的方法和设备 |
| JP2010262609A (ja) * | 2009-04-28 | 2010-11-18 | Fourteenforty Research Institute Inc | 効率的なマルウェアの動的解析手法 |
| CN102012990A (zh) * | 2010-12-16 | 2011-04-13 | 北京安天电子设备有限公司 | 第三方软件漏洞的修补方法和装置 |
| KR20130114672A (ko) * | 2011-01-19 | 2013-10-17 | 인터내셔널 비지네스 머신즈 코포레이션 | 소프트웨어를 업데이트하는 장치 및 방법 |
| JP5665188B2 (ja) * | 2011-03-31 | 2015-02-04 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | ソフトウエア更新を適用した情報処理装置を検査するシステム |
| KR101326896B1 (ko) * | 2011-08-24 | 2013-11-11 | 주식회사 팬택 | 단말기 및 이를 이용하는 어플리케이션의 위험도 제공 방법 |
| KR101324691B1 (ko) * | 2011-12-08 | 2013-11-04 | 한국인터넷진흥원 | 모바일 악성 행위 어플리케이션 탐지 시스템 및 방법 |
| CN103218241B (zh) * | 2013-04-19 | 2016-08-31 | 华为技术有限公司 | 补丁加载方法和装置 |
-
2014
- 2014-05-22 KR KR1020140061759A patent/KR101647487B1/ko active IP Right Grant
-
2015
- 2015-03-23 CN CN201580026121.6A patent/CN106462703B/zh active Active
- 2015-03-23 JP JP2016567731A patent/JP6455738B2/ja active Active
- 2015-03-23 US US15/312,028 patent/US10235520B2/en active Active
- 2015-03-23 WO PCT/KR2015/002797 patent/WO2015178578A1/ko active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| JP2017527864A (ja) | 2017-09-21 |
| KR101647487B1 (ko) | 2016-08-10 |
| WO2015178578A1 (ko) | 2015-11-26 |
| CN106462703B (zh) | 2019-08-02 |
| CN106462703A (zh) | 2017-02-22 |
| US20170076094A1 (en) | 2017-03-16 |
| KR20150134679A (ko) | 2015-12-02 |
| US10235520B2 (en) | 2019-03-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6455738B2 (ja) | パッチファイル分析システム | |
| US10528735B2 (en) | Malicious code protection for computer systems based on process modification | |
| RU2589862C1 (ru) | Способ обнаружения вредоносного кода в оперативной памяти | |
| EP3430556B1 (en) | System and method for process hollowing detection | |
| JP6829718B2 (ja) | 複数のソフトウェアエンティティにわたって悪意あるビヘイビアを追跡するためのシステムおよび方法 | |
| RU2531861C1 (ru) | Система и способ оценки вредоносности кода, исполняемого в адресном пространстве доверенного процесса | |
| US10055585B2 (en) | Hardware and software execution profiling | |
| US8898775B2 (en) | Method and apparatus for detecting the malicious behavior of computer program | |
| KR101201118B1 (ko) | 바이러스 방지 소프트웨어 어플리케이션들의 지식 베이스를모으는 시스템 및 방법 | |
| US8099596B1 (en) | System and method for malware protection using virtualization | |
| JP2019082989A (ja) | 標的型攻撃をクラウド型検出、探索および除去するシステムおよび方法 | |
| JP2014038596A (ja) | 悪意ある実行ファイルの識別方法 | |
| US11775636B1 (en) | Systems and methods of detecting malicious powershell scripts | |
| RU2618947C2 (ru) | Способ предотвращения работы программ, содержащих нежелательный для пользователя функционал | |
| Vokorokos et al. | Application security through sandbox virtualization | |
| US8201253B1 (en) | Performing security functions when a process is created | |
| CA2816764C (en) | Inoculator and antibody for computer security | |
| RU2592383C1 (ru) | Способ формирования антивирусной записи при обнаружении вредоносного кода в оперативной памяти | |
| US20240241953A1 (en) | System and method for detecting malicious code by an interpreter in a computing device | |
| EP4310707A1 (en) | System and method for detecting malicious code by an interpreter in a computing device | |
| US20220092171A1 (en) | Malicious code protection for computer systems based on system call table modification and runtime application patching | |
| RU2595510C1 (ru) | Способ исключения процессов из антивирусной проверки на основании данных о файле | |
| Aboughadareh et al. | Detecting rootkits with the RAI runtime application inventory | |
| Archana et al. | Experimental Analysis of Hooks in Virtual Environment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180118 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180213 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20180508 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180709 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180807 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20181029 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20181106 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20181205 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6455738 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |