JP6549767B2 - ウイルス侵入経路特定装置、ウイルス侵入経路特定方法およびプログラム - Google Patents
ウイルス侵入経路特定装置、ウイルス侵入経路特定方法およびプログラム Download PDFInfo
- Publication number
- JP6549767B2 JP6549767B2 JP2018137988A JP2018137988A JP6549767B2 JP 6549767 B2 JP6549767 B2 JP 6549767B2 JP 2018137988 A JP2018137988 A JP 2018137988A JP 2018137988 A JP2018137988 A JP 2018137988A JP 6549767 B2 JP6549767 B2 JP 6549767B2
- Authority
- JP
- Japan
- Prior art keywords
- virus
- operation history
- intrusion route
- terminal device
- specifying
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 241000700605 Viruses Species 0.000 title claims description 593
- 238000000034 method Methods 0.000 title claims description 214
- 230000008569 process Effects 0.000 claims description 200
- 238000001514 detection method Methods 0.000 claims description 50
- 230000006870 function Effects 0.000 claims description 19
- 230000005540 biological transmission Effects 0.000 claims description 14
- 239000003795 chemical substances by application Substances 0.000 description 27
- 208000015181 infectious disease Diseases 0.000 description 25
- 239000000284 extract Substances 0.000 description 20
- 238000012545 processing Methods 0.000 description 14
- 230000009385 viral infection Effects 0.000 description 12
- 238000012546 transfer Methods 0.000 description 10
- 238000013515 script Methods 0.000 description 7
- 230000009545 invasion Effects 0.000 description 6
- 230000006854 communication Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000033001 locomotion Effects 0.000 description 4
- PCTMTFRHKVHKIS-BMFZQQSSSA-N (1s,3r,4e,6e,8e,10e,12e,14e,16e,18s,19r,20r,21s,25r,27r,30r,31r,33s,35r,37s,38r)-3-[(2r,3s,4s,5s,6r)-4-amino-3,5-dihydroxy-6-methyloxan-2-yl]oxy-19,25,27,30,31,33,35,37-octahydroxy-18,20,21-trimethyl-23-oxo-22,39-dioxabicyclo[33.3.1]nonatriaconta-4,6,8,10 Chemical compound C1C=C2C[C@@H](OS(O)(=O)=O)CC[C@]2(C)[C@@H]2[C@@H]1[C@@H]1CC[C@H]([C@H](C)CCCC(C)C)[C@@]1(C)CC2.O[C@H]1[C@@H](N)[C@H](O)[C@@H](C)O[C@H]1O[C@H]1/C=C/C=C/C=C/C=C/C=C/C=C/C=C/[C@H](C)[C@@H](O)[C@@H](C)[C@H](C)OC(=O)C[C@H](O)C[C@H](O)CC[C@@H](O)[C@H](O)C[C@H](O)C[C@](O)(C[C@H](O)[C@H]2C(O)=O)O[C@H]2C1 PCTMTFRHKVHKIS-BMFZQQSSSA-N 0.000 description 3
- 230000008901 benefit Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 229960005486 vaccine Drugs 0.000 description 3
- 208000036142 Viral infection Diseases 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 238000009792 diffusion process Methods 0.000 description 2
- 206010000210 abortion Diseases 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000006837 decompression Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000012678 infectious agent Substances 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
- 230000007502 viral entry Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/567—Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Debugging And Monitoring (AREA)
Description
端末装置へのウイルスの侵入経路をバックトレースするウイルス侵入経路特定装置であって、
前記端末装置において実行された操作の履歴である操作履歴を記憶した操作履歴記憶手段と、
前記端末装置においてウイルスが検出されると、前記操作履歴記憶手段に記憶されている当該操作履歴から前記ウイルスの侵入経路を特定する特定手段と
を有し、
前記ウイルス侵入経路特定装置が前記端末装置に設けられているとともに、前記端末装置に接続されたサーバ装置にも設けられており、前記端末装置に設けられた前記ウイルス侵入経路特定装置と、前記サーバ装置に設けられた前記ウイルス侵入経路特定装置とが連携して前記端末装置へのウイルスの侵入経路を特定し、
前記端末装置に設けられるウイルス侵入経路特定装置は、
前記特定手段が前記端末装置の前記操作履歴記憶手段に記憶されている操作履歴からウイルスの侵入経路を特定できなかったときに、前記サーバ装置に記憶されている操作履歴から前記ウイルスの侵入経路を特定するよう依頼するためのリクエストを前記サーバ装置に対して送信するリクエスト送信手段をさらに有する
ことを特徴とするウイルス侵入経路特定装置を提供する。
コンピュータウイルスの侵入経路としては、一般的に、次の経路が考えられる。
(II)リムーバブルメディアからの感染(USBメモリであれば、そのベンダーID
やシリアルIDの特定)
(III)ウェブサイトからの感染(ウェブサイトのURLの特定)
(IV)ファイル共有ネットワークからの感染(ネットワークにおけるパス名等の特定)
なお、感染の要因としては、たとえば、次のようなものが考えられる。
(b)ファイル実行
(c)ファイルコピー/移動
(d)ウェブサイトの閲覧
(e)スクリプトの実行
(f)OLE(Object Linking and Embedding)
(g)脆弱性攻撃
(h)メーラー
(i)URLクリック
(j)ウェブメール
(k)ウイルス感染
(l)ファイルダウンロード
(m)ファイルの保存
(n)名前を付けて保存
(o)フラッシュ実行
(p)ZIP(圧縮ファイル)の解凍処理
などがある。さらに、これらの感染要因の組み合わせによる侵入経路は次のように細分化できる。
(2)リムーバブルメディアに記憶されているファイルをコピーすること(a=>c)
(3)リムーバブルメディアに記憶されているZIPファイルを解凍すること(a=>p)
(4)ローカルでファイルをコピーしてそれを実行すること(c=>b)
(5)ローカルでZIPファイルを解凍して作成されたファイルを実行(p=>b)
(6)ローカルでZIPファイルを解凍して作成されたファイルをコピーすること(p=>c)
(7)ファイルを実行することによるウェブサイトの閲覧(b=>d)
(8)ウェブサイトを閲覧してスクリプトを実行(d=>e)
(9)ファイルを実行してOLEの呼出し(b=>f)
(10)OLEによるファイルの実行(f=>b)
(11)スクリプトの実行による脆弱性攻撃(e=>g)
(12)ファイル実行による脆弱性攻撃(b=>h)
(13)ウェブ閲覧によるファイルダウンロード(d=>l)
(14)メーラーの実行による添付URLのクリック(h=>i)
(15)ウェブメールによるファイルのダウンロード(j=>l)
(16)ウェブメールによる添付URLのクリック(j=>i)
(17)メーラーによるファイルのダウンロード(h=>l)
(18)脆弱性攻撃によるウイルス感染(g=>k)
(19)添付URLクリックによるウェブサイトの閲覧(i=>d)
(20)ファイルを保存してそれを実行(m=>b)
(21)ファイルに名前を付けて保存し、それを実行(n=>b)
(22)ファイルをダウンロードしてそれを実行(l=>b)
(23)ファイルをダウンロードしてそれを保存(l=>m)
(24)ファイルをダウンロードしてそれに名前を付けて保存(l=>n)
(25)ウェブ閲覧によるフラッシュの実行(d=>o)
(26)フラッシュの実行による脆弱性攻撃(o=>g)
(27)メール転送(h=>h)
実際の侵入経路はさらにこれらの複合的な組み合わせとなる。たとえば、ウェブサイトの閲覧、ファイル(ZIP)をダウンロード、ダウンロードしたファイル(ZIP)を保存、保存したファイル(ZIP)を解凍、解凍されたファイルを実行、脆弱性攻撃、そしてウイルス感染(d=>l=>m=>p=>b=>g=>k)といった経路となる。また、メールを起点とした完成経路としては、たとえば、メーラーの実行、添付ファイルのダウンロード、添付ファイルを保存、保存したファイルを実行、脆弱性攻撃、そしてウイルス感染(h=>l=>m=>b=>g=>k)といった経路となる。USBメモリなどのリムーバブルメディアからの侵入経路は、たとえば、リムーバブルメディア、ファイルコピー、ファイル実行、脆弱性攻撃、そしてウイルス感染(a=>c=>b=>g=>k)といった経路となる。ファイル共有ネットワークからの感染の場合、ファイルのコピー、ファイルを実行、脆弱性攻撃、そしてウイルス感染(c=>b=>g=>k)といった経路となる。ウイルス検知ソフトウエアは、ウイルス特有のコードを探索することで、ウイルスに感染しているファイルを発見し、そのファイルを実行しようとしたプロセスのプロセス名(プロセスパス名)とプロセスIDを特定する。よって、プロセスパス名とプロセスIDを検索キーとして操作履歴を探索することで、感染ファイルがどのような経路で端末に作成されたのか、すなわち侵入経路を特定できるようになる。
操作内容としては、ファイルアップロード、ファイルダウンロード、ファイル削除などである。アクティブウインドウに関する操作内容としては、URLアクセス、アクティブウインドウ、ウインドウタイトル変更、名前を付けて保存ダイアログなどである。
図1は、クライアント装置10a、10b(以下、単にクライアント装置10と称す。)と操作履歴を収集するサーバ装置20とを含むウイルス侵入経路検索システムの一例を示す図である。本発明にとってサーバ装置20は必須ではないが、一部の実施例ではサーバ装置20が必要となるため、図1に示されている。クライアント装置10は、たとえば、企業、学校、行政機関または家庭などに設置され、ユーザの業務履歴(操作履歴ないしは閲覧履歴)を取得するコンピュータの一例である。なお、クライアント装置10は、パーソナルコンピュータに限定されず、スキャナ装置、複合機、デジタルカメラ、携帯端末装置でもよい。サーバ装置20は、複数のクライアント装置10から操作履歴を取得して、データベース化したり、ウイルス侵入経路を検索したりするコンピュータである。なお、サーバ装置20は、オプションであり、必ずしも必要ではない。クライアント装置10は、インターネットやイントラネットなどのネットワーク100を介してサーバ装置20やWebサーバ、FTPサーバ、メールサーバなどと接続されている。
図6は、ウェブ閲覧によってウイルスに感染したときのバックトレースの一例を示す。ここでは、操作履歴600に記憶されている操作の内容からバックトレースを実行する例を説明する。操作履歴600は、たとえば、操作名601、ファイル名602、プロセス名603、添付ファイル名604、URL605、操作日時606などを含んでいる。URL605はネットワークのアクセスログから特定されてもよいし、対象のプロセスのアクティブウインドウのウィンドウ名(タイトル名)/アドレスバー名から判断されてもよい。なお、プロセスによっては、あるプロセス(親プログラム)が元になって何らかのプログラム(子プログラム)を生成する場合がある。その場合は、親プログラム/子プログラムのウィンドウ名(タイトル名)/アドレスバー名からURL605が判断されてもよい。ウイルス検知部203がウイルスを検出すると、そのプロセス名(例:Malware.exe)やプロセスIDなどがウイルス検知部203からウイルス侵入経路検索部202に渡される。ウイルス侵入経路検索部202は、プロセス名(例:Malware.exe)やプロセスIDを検索キーとして操作履歴600を検索し、日時の新しい操作内容から順番に経路をバックトレースして行く。この例では、ウイルス(Malware.exe)がウェブアクセスを実行していることがわかる。さらに、ウイルス侵入経路検索部202は、過去の操作履歴を遡ってゆく。この例では、2012年11月20日13時5分30秒にウイルス(Malware.exe)が保存されたことがわかる。なお、プロセス名603やファイル名602はパスを含むパス名としてもよい。これにより、さらに正確にバックトレースを実行できるからである。さらに、ウイルス侵入経路検索部202は、過去の操作履歴を遡り、ウイルス(Malware.exe)がwebbrowser.exeによって、あるサイト(http://www.jp)からダウンロードされたことを突き止める。ファイルダウンロードは、ウイルス(Malware.exe)が最初にクライアント装置10に侵入した動作の一例である。このように、ウイルス(Malware.exe)が最初にクライアント装置10に侵入したタイミングが操作名601から判断できる。
上述した実施例によれば、あるクライアント装置10についてウイルスが侵入してきた侵入口を特定することが可能となる。ところで、ネットワークでファイル共有プロトコルによってファイルサーバからファイルをコピーすることでウイルスに感染した場合、そのファイルはだれがアップロードしたかが問題となる。一方で、サーバ装置20は、自己の配下にある複数のクライアント装置10のそれぞれの操作履歴を保持している。よって、ウイルスに感染したファイル名(パス名)と操作日時がわかれば、そのファイルをファイルサーバにアップロード(コピー)した他のクライアント装置10をサーバ装置20は特定できる。さらに、他のクライアント装置10において当該ファイルがどのように操作(コピー、リネーム、ダウンロード、保存)されたかもサーバ装置20は、操作履歴から特定できる。よって、ファイル共有プロトコルによってファイルを共有しているドメイン内へのウイルスの侵入経路もサーバ装置20のウイルス侵入経路検索部222は特定することができる。
図11が示すように、インターネットやイントラネットなどではネットワーク100に対して複数のクライアント装置10a、10b、10c、10dが接続されている。クライアント装置10aは、例えばSMBなどでアクセスが許可されているフォルダ1101がある。フォルダ1101のパス名は、たとえば、¥¥CleientAである。フォルダ1101には、任意のファイル(ここでは、Malware.pdf)が記憶されている。クライアント装置10b、10cからはこのフォルダにアクセスして、当該ファイルを開いたり、コピーしたりするなど、ファイル操作が許可されている。このような前提の下、クライアント装置10b、10cがフォルダ1101のファイルをプロセス(Viewer.exe)により操作したところ、ウイルス検知部203がウイルスを検知した。このような場合において、ウイルスの侵入経路が他の端末装置であることを特定する。なお、以降の説明では、クライアント装置10aの識別情報の一例として「ClientA」、クライアント装置10bの識別情報の一例として「ClientB」、クライアント装置10cの識別情報の一例として「ClientC」として説明する。
図16は、メールの転送によってウイルスに感染するケースを示している。ウイルスがメールに添付されている場合、添付ファイルを実行したときにそのウイルスがウイルス検知部203によって検知される。よって、メールを受信したとしても添付ファイルを操作せずにそのまま転送した場合にはウイルスが検知されないおそれがある。
上述したようにUSBメモリなどのリムーバブルデバイスは複数のクライアント装置間で使用することができる。よって、リムーバブルデバイスを経由して物理的にウイルスに関連したファイルが搬送されることがある。いずれかのクライアント装置でリムーバブルデバイスから読み出したファイルからウイルスが検知された場合に、どのクライアント装置によってどのリムーバブルデバイスにそのファイルが書き込まれてかを特定することは有意義であろう。
上述したようにバックトレースを実行すると、プロセスが起動してからウイルスが検知されるまでに、当該プロセスが複数のファイルを開いていることが多々ある。この場合、バックトレースの結果が複数となってしまい、どちらのファイルがウイルスに関連したファイルであるかを特定することができない。
Claims (12)
- 端末装置へのウイルスの侵入経路をバックトレースするウイルス侵入経路特定装置であって、
前記端末装置において実行された操作の履歴である操作履歴を記憶した操作履歴記憶手段と、
前記端末装置においてウイルスが検出されると、前記操作履歴記憶手段に記憶されている当該操作履歴から前記ウイルスの侵入経路を特定する特定手段と
を有し、
前記ウイルス侵入経路特定装置が前記端末装置に設けられているとともに、前記端末装置に接続されたサーバ装置にも設けられており、前記端末装置に設けられた前記ウイルス侵入経路特定装置と、前記サーバ装置に設けられた前記ウイルス侵入経路特定装置とが連携して前記端末装置へのウイルスの侵入経路を特定し、
前記端末装置に設けられるウイルス侵入経路特定装置は、
前記特定手段が前記端末装置の前記操作履歴記憶手段に記憶されている操作履歴からウイルスの侵入経路を特定できなかったときに、前記サーバ装置に記憶されている操作履歴から前記ウイルスの侵入経路を特定するよう依頼するためのリクエストを前記サーバ装置に対して送信するリクエスト送信手段をさらに有することを特徴とするウイルス侵入経路特定装置。 - 端末装置へのウイルスの侵入経路をバックトレースするウイルス侵入経路特定装置であって、
前記端末装置において実行された操作の履歴である操作履歴を記憶した操作履歴記憶手段と、
前記端末装置においてウイルスが検出されると、前記操作履歴記憶手段に記憶されている当該操作履歴から前記ウイルスの侵入経路を特定する特定手段とを有し、
前記ウイルス侵入経路特定装置が前記端末装置に設けられているとともに、前記端末装置に接続されたサーバ装置にも設けられており、前記サーバ装置に設けられた前記特定手段は、前記端末装置に設けられた前記特定手段が調査した期間よりもさらに過去の期間に取得された操作履歴について前記ウイルスの侵入経路を特定することを特徴とするウイルス侵入経路特定装置。 - 端末装置へのウイルスの侵入経路をバックトレースするウイルス侵入経路特定装置であって、
前記端末装置において実行された操作の履歴である操作履歴を記憶した操作履歴記憶手段と、
前記端末装置においてウイルスが検出されると、前記操作履歴記憶手段に記憶されている当該操作履歴から前記ウイルスの侵入経路を特定する特定手段とを有し、
前記特定手段は、ウイルスが検知されたプロセスのプロセス識別情報に基づいて当該プロセスが起動してから当該ウイルスが検知されるまでに操作したファイルを特定し、複数のファイルが特定されたときに、当該複数のファイルに対して重みづけを実行することで、前記ウイルスの侵入経路に関連した1つのファイルを絞り込むことを特徴とするウイルス侵入経路特定装置。 - 端末装置へのウイルスの侵入経路をバックトレースするウイルス侵入経路特定装置において実行される方法であって、
前記端末装置において実行された操作の履歴である操作履歴を操作履歴記憶手段に記憶する工程と、
前記端末装置においてウイルスが検出されると、前記操作履歴記憶手段に記憶されている当該操作履歴から前記ウイルスの侵入経路を特定する工程と
を有し、
前記ウイルス侵入経路特定装置が前記端末装置に設けられているとともに、前記端末装置に接続されたサーバ装置にも設けられており、
前記ウイルスの侵入経路を特定する工程は、
前記端末装置に設けられた前記ウイルス侵入経路特定装置が前記端末装置の前記操作履歴記憶手段に記憶されている操作履歴からウイルスの侵入経路を特定できなかったときに、前記サーバ装置に記憶されている操作履歴から前記ウイルスの侵入経路を特定するよう依頼するためのリクエストを前記サーバ装置に対して送信することで、前記端末装置に設けられた前記ウイルス侵入経路特定装置と、前記サーバ装置に設けられた前記ウイルス侵入経路特定装置とが連携して前記端末装置へのウイルスの侵入経路を特定する工程を含む
ことを特徴とする方法。 - 端末装置へのウイルスの侵入経路をバックトレースするウイルス侵入経路特定装置としてコンピュータを機能させるプログラムであって、前記プログラムは、前記コンピュータに、
前記端末装置において実行された操作の履歴である操作履歴を記憶した操作履歴記憶手段と、
前記端末装置においてウイルスが検出されると、前記操作履歴記憶手段に記憶されている当該操作履歴から前記ウイルスの侵入経路を特定する特定手段と、
前記特定手段が、前記端末装置の前記操作履歴記憶手段に記憶されている操作履歴からウイルスの侵入経路を特定できなかったときに、前記端末装置に接続されたサーバ装置に記憶されている操作履歴から前記ウイルスの侵入経路を特定するよう依頼するためのリクエストを、前記サーバ装置に対して送信するリクエスト送信手段
として機能させ、
前記ウイルス侵入経路特定装置が前記端末装置に設けられているとともに、前記サーバ装置にも設けられており、前記端末装置に設けられた前記ウイルス侵入経路特定装置と、前記サーバ装置に設けられた前記ウイルス侵入経路特定装置とが連携して前記端末装置へのウイルスの侵入経路を特定することを特徴とするプログラム。 - 端末装置へのウイルスの侵入経路をバックトレースするウイルス侵入経路特定装置において実行される方法であって、
前記端末装置において実行された操作の履歴である操作履歴を操作履歴記憶手段に記憶する工程と、
前記端末装置においてウイルスが検出されると、前記操作履歴記憶手段に記憶されている当該操作履歴から前記ウイルスの侵入経路を特定する工程とを有し、
前記ウイルス侵入経路特定装置が前記端末装置に設けられているとともに、前記端末装置に接続されたサーバ装置にも設けられており、前記サーバ装置に設けられた前記ウイルス侵入経路特定装置は、前記端末装置に設けられた前記ウイルス侵入経路特定装置が調査した期間よりもさらに過去の期間に取得された操作履歴について前記ウイルスの侵入経路を特定することを特徴とする方法。 - 端末装置へのウイルスの侵入経路をバックトレースするウイルス侵入経路特定装置としてコンピュータを機能させるプログラムであって、前記コンピュータを、
前記端末装置において実行された操作の履歴である操作履歴を記憶した操作履歴記憶手段と、
前記端末装置においてウイルスが検出されると、前記操作履歴記憶手段に記憶されている当該操作履歴から前記ウイルスの侵入経路を特定する特定手段として機能させ、
前記ウイルス侵入経路特定装置が前記端末装置に設けられているとともに、前記端末装置に接続されたサーバ装置にも設けられており、前記サーバ装置に設けられた前記特定手段は、前記端末装置に設けられた前記特定手段が調査した期間よりもさらに過去の期間に取得された操作履歴について前記ウイルスの侵入経路を特定することを特徴とするプログラム。 - 端末装置へのウイルスの侵入経路をバックトレースするウイルス侵入経路特定装置において実行される方法であって、
前記端末装置において実行された操作の履歴である操作履歴を操作履歴記憶手段に記憶する記憶工程と、
前記端末装置においてウイルスが検出されると、前記操作履歴記憶手段に記憶されている当該操作履歴から前記ウイルスの侵入経路を特定する特定工程とを有し、
前記特定工程は、ウイルスが検知されたプロセスのプロセス識別情報に基づいて当該プロセスが起動してから当該ウイルスが検知されるまでに操作したファイルを特定する工程と、複数のファイルが特定されたときに、当該複数のファイルに対して重みづけを実行することで、前記ウイルスの侵入経路に関連した1つのファイルを絞り込む工程とを含むことを特徴とする方法。 - 端末装置へのウイルスの侵入経路をバックトレースするウイルス侵入経路特定装置としてコンピュータを機能させるプログラムであって、前記コンピュータを、
前記端末装置において実行された操作の履歴である操作履歴を記憶した操作履歴記憶手段と、
前記端末装置においてウイルスが検出されると、前記操作履歴記憶手段に記憶されている当該操作履歴から前記ウイルスの侵入経路を特定する特定手段として機能させ、
前記特定手段は、ウイルスが検知されたプロセスのプロセス識別情報に基づいて当該プロセスが起動してから当該ウイルスが検知されるまでに操作したファイルを特定し、複数のファイルが特定されたときに、当該複数のファイルに対して重みづけを実行することで、前記ウイルスの侵入経路に関連した1つのファイルを絞り込むことを特徴とするプログラム。 - 端末装置へのウイルスの侵入経路をバックトレースするウイルス侵入経路特定装置であって、
前記端末装置におけるユーザの操作を監視し、各ユーザの操作ごとに、当該操作の内容と、当該操作を実行したプロセスのプロセス識別情報と、当該操作の対象となったファイルのファイル名またはパス名であるファイル識別情報と、当該操作の実行された日時とを関連付けたレコードを含む操作履歴を作成し、当該作成された操作履歴を記憶する操作履歴記憶手段と、
前記端末装置においてウイルスが検出されると、当該ウイルスに関係するプロセスのプロセス識別情報を検索キーとして前記操作履歴のバックトレースを開始し、当該ウイルスに関係するプロセスのプロセス識別情報を起点とし、かつ、プロセス識別情報、ファイル識別情報、操作内容および日時の少なくとも一つを通じて相互に関係した一連のレコードを検索し、検索により見つかった一連のレコードを前記ウイルスの侵入経路として特定する特定手段と、
前記特定手段にて特定されたウイルスの侵入経路を示す情報を出力する出力手段と
を有することを特徴とするウイルス侵入経路特定装置。 - 端末装置へのウイルスの侵入経路をバックトレースするウイルス侵入経路特定装置において実行される方法であって、
前記端末装置におけるユーザの操作を監視し、各ユーザの操作ごとに、当該操作の内容と、当該操作を実行したプロセスのプロセス識別情報と、当該操作の対象となったファイルのファイル名またはパス名であるファイル識別情報と、当該操作の実行された日時とを関連付けたレコードを含む操作履歴を作成し、当該作成された操作履歴を操作履歴記憶手段に記憶する記憶工程と、
前記端末装置においてウイルスが検出されると、当該ウイルスに関係するプロセスのプロセス識別情報を検索キーとして前記操作履歴のバックトレースを開始し、当該ウイルスに関係するプロセスのプロセス識別情報を起点とし、かつ、プロセス識別情報、ファイル識別情報、操作内容および日時の少なくとも一つを通じて相互に関係した一連のレコードを検索し、検索により見つかった一連のレコードを前記ウイルスの侵入経路として特定する特定工程と、
前記特定工程にて特定されたウイルスの侵入経路を示す情報を出力する出力工程と
を有することを特徴とする方法。 - 端末装置へのウイルスの侵入経路をバックトレースするウイルス侵入経路特定装置としてコンピュータを機能させるプログラムであって、前記コンピュータを、
前記端末装置におけるユーザの操作を監視し、各ユーザの操作ごとに、当該操作の内容と、当該操作を実行したプロセスのプロセス識別情報と、当該操作の対象となったファイルのファイル名またはパス名であるファイル識別情報と、当該操作の実行された日時とを関連付けたレコードを含む操作履歴を作成し、当該作成された操作履歴を記憶する操作履歴記憶手段と、
前記端末装置においてウイルスが検出されると、当該ウイルスに関係するプロセスのプロセス識別情報を検索キーとして前記操作履歴のバックトレースを開始し、当該ウイルスに関係するプロセスのプロセス識別情報を起点とし、かつ、プロセス識別情報、ファイル識別情報、操作内容および日時の少なくとも一つを通じて相互に関係した一連のレコードを検索し、検索により見つかった一連のレコードを前記ウイルスの侵入経路として特定する特定手段と、
前記特定手段にて特定されたウイルスの侵入経路を示す情報を出力する出力手段として機能させることを特徴とするプログラム。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012268785 | 2012-12-07 | ||
JP2012268785 | 2012-12-07 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014550901A Division JP6590481B2 (ja) | 2012-12-07 | 2013-11-21 | ウイルス侵入経路特定装置、ウイルス侵入経路特定方法およびプログラム |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2018185860A JP2018185860A (ja) | 2018-11-22 |
JP2018185860A5 JP2018185860A5 (ja) | 2019-06-13 |
JP6549767B2 true JP6549767B2 (ja) | 2019-07-24 |
Family
ID=50883039
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014550901A Active JP6590481B2 (ja) | 2012-12-07 | 2013-11-21 | ウイルス侵入経路特定装置、ウイルス侵入経路特定方法およびプログラム |
JP2018137988A Active JP6549767B2 (ja) | 2012-12-07 | 2018-07-23 | ウイルス侵入経路特定装置、ウイルス侵入経路特定方法およびプログラム |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014550901A Active JP6590481B2 (ja) | 2012-12-07 | 2013-11-21 | ウイルス侵入経路特定装置、ウイルス侵入経路特定方法およびプログラム |
Country Status (3)
Country | Link |
---|---|
US (1) | US10326792B2 (ja) |
JP (2) | JP6590481B2 (ja) |
WO (1) | WO2014087597A1 (ja) |
Families Citing this family (43)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2014087597A1 (ja) | 2012-12-07 | 2014-06-12 | キヤノン電子株式会社 | ウイルス侵入経路特定装置、ウイルス侵入経路特定方法およびプログラム |
DE102014201908A1 (de) * | 2014-02-03 | 2015-08-06 | Duerr Cyplan Ltd. | Verfahren zur Führung eines Fluidstroms, Strömungsapparat und dessen Verwendung |
CN106796635B (zh) * | 2014-10-14 | 2019-10-22 | 日本电信电话株式会社 | 确定装置、确定方法 |
JP6461992B2 (ja) | 2014-11-05 | 2019-01-30 | キヤノン電子株式会社 | 特定装置、その制御方法、及びプログラム |
JP2016181191A (ja) * | 2015-03-25 | 2016-10-13 | 富士通株式会社 | 管理プログラム、管理装置及び管理方法 |
JP6577241B2 (ja) * | 2015-05-21 | 2019-09-18 | 日本電信電話株式会社 | ログ抽出システム、ログ抽出方法およびログ抽出プログラム |
JP6404771B2 (ja) * | 2015-05-26 | 2018-10-17 | 日本電信電話株式会社 | ログ判定装置、ログ判定方法、およびログ判定プログラム |
US9553885B2 (en) * | 2015-06-08 | 2017-01-24 | Illusive Networks Ltd. | System and method for creation, deployment and management of augmented attacker map |
US10382484B2 (en) | 2015-06-08 | 2019-08-13 | Illusive Networks Ltd. | Detecting attackers who target containerized clusters |
US9967273B2 (en) * | 2015-06-15 | 2018-05-08 | Microsoft Technology Licensing, Llc. | Abusive traffic detection |
US10440036B2 (en) * | 2015-12-09 | 2019-10-08 | Checkpoint Software Technologies Ltd | Method and system for modeling all operations and executions of an attack and malicious process entry |
US10462160B2 (en) * | 2015-12-09 | 2019-10-29 | Check Point Software Technologies Ltd. | Method and system for identifying uncorrelated suspicious events during an attack |
US10880316B2 (en) * | 2015-12-09 | 2020-12-29 | Check Point Software Technologies Ltd. | Method and system for determining initial execution of an attack |
US10291634B2 (en) | 2015-12-09 | 2019-05-14 | Checkpoint Software Technologies Ltd. | System and method for determining summary events of an attack |
CN106934287B (zh) * | 2015-12-31 | 2020-02-11 | 北京金山安全软件有限公司 | 一种root病毒清理方法、装置及电子设备 |
CN106934288B (zh) * | 2015-12-31 | 2021-04-16 | 北京金山安全软件有限公司 | 一种root病毒清理方法、装置及电子设备 |
JP6759610B2 (ja) * | 2016-02-04 | 2020-09-23 | 富士通株式会社 | 安全性判定装置、安全性判定プログラムおよび安全性判定方法 |
US10200374B1 (en) * | 2016-02-29 | 2019-02-05 | Symantec Corporation | Techniques for detecting malicious files |
JP6720607B2 (ja) * | 2016-03-18 | 2020-07-08 | 日本電気株式会社 | 履歴解析装置、履歴解析方法、履歴解析システム及びプログラム |
JP6359227B2 (ja) * | 2016-04-04 | 2018-07-18 | 三菱電機株式会社 | プロセス探索装置およびプロセス探索プログラム |
US9928366B2 (en) | 2016-04-15 | 2018-03-27 | Sophos Limited | Endpoint malware detection using an event graph |
US12093383B2 (en) | 2016-04-15 | 2024-09-17 | Sophos Limited | Tracking malware root causes with an event graph |
US9967267B2 (en) | 2016-04-15 | 2018-05-08 | Sophos Limited | Forensic analysis of computing activity |
JP6786959B2 (ja) | 2016-08-26 | 2020-11-18 | 富士通株式会社 | サイバー攻撃分析支援プログラム、サイバー攻撃分析支援方法およびサイバー攻撃分析支援装置 |
US10616147B2 (en) * | 2016-09-16 | 2020-04-07 | Oracle International Corporation | Internet cloud-hosted natural language interactive messaging system with entity-based communication |
CN106850564B (zh) * | 2016-12-29 | 2020-07-28 | 北京安天网络安全技术有限公司 | 一种定位文件横向移动路径的方法及系统 |
JP6866645B2 (ja) | 2017-01-05 | 2021-04-28 | 富士通株式会社 | 類似度判定プログラム、類似度判定方法および情報処理装置 |
JP2018109910A (ja) * | 2017-01-05 | 2018-07-12 | 富士通株式会社 | 類似度判定プログラム、類似度判定方法および情報処理装置 |
TWI648650B (zh) * | 2017-07-20 | 2019-01-21 | 中華電信股份有限公司 | 閘道裝置、其惡意網域與受駭主機的偵測方法及非暫態電腦可讀取媒體 |
US11194903B2 (en) | 2018-02-23 | 2021-12-07 | Crowd Strike, Inc. | Cross-machine detection techniques |
US11050764B2 (en) | 2018-02-23 | 2021-06-29 | Crowdstrike, Inc. | Cardinality-based activity pattern detection |
EP3531325B1 (en) | 2018-02-23 | 2021-06-23 | Crowdstrike, Inc. | Computer security event analysis |
JP7067612B2 (ja) * | 2018-03-15 | 2022-05-16 | 日本電気株式会社 | 分析装置、分析方法、及び、プログラム |
CN108804122B (zh) * | 2018-06-04 | 2022-04-29 | 北京知道创宇信息技术股份有限公司 | 信息安全处理系统、虚拟专用服务器及其控制方法 |
US10404747B1 (en) | 2018-07-24 | 2019-09-03 | Illusive Networks Ltd. | Detecting malicious activity by using endemic network hosts as decoys |
US10382483B1 (en) | 2018-08-02 | 2019-08-13 | Illusive Networks Ltd. | User-customized deceptions and their deployment in networks |
US10333977B1 (en) * | 2018-08-23 | 2019-06-25 | Illusive Networks Ltd. | Deceiving an attacker who is harvesting credentials |
US10432665B1 (en) | 2018-09-03 | 2019-10-01 | Illusive Networks Ltd. | Creating, managing and deploying deceptions on mobile devices |
JP7099533B2 (ja) * | 2018-09-25 | 2022-07-12 | 日本電気株式会社 | 影響範囲推定装置、影響範囲推定方法、及びプログラム |
CN112100618B (zh) * | 2019-06-18 | 2023-12-29 | 深信服科技股份有限公司 | 一种病毒文件检测方法、系统、设备及计算机存储介质 |
JP7281998B2 (ja) * | 2019-08-23 | 2023-05-26 | キヤノン電子株式会社 | 情報処理装置、情報処理方法、情報処理システム及びプログラム |
DE112020006558T5 (de) * | 2020-03-19 | 2022-12-29 | Mitsubishi Electric Corporation | Einrichtung zur lokalisierung von korrumpierten bereichen und programm zur lokalisierung von korrumpierten bereichen |
CN112052454B (zh) * | 2020-10-12 | 2022-04-15 | 腾讯科技(深圳)有限公司 | 应用的病毒查杀方法、装置、设备及计算机存储介质 |
Family Cites Families (38)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH06110718A (ja) | 1992-09-30 | 1994-04-22 | Toshiba Corp | ウィルス防御方式 |
JPH0944432A (ja) * | 1995-05-24 | 1997-02-14 | Fuji Xerox Co Ltd | 情報処理方法および情報処理装置 |
JPH11134190A (ja) * | 1997-10-31 | 1999-05-21 | Hitachi Ltd | ウイルス検出通知システム、方法、および該方法に係るプログラムを格納した記憶媒体 |
JP2002287991A (ja) | 2001-03-26 | 2002-10-04 | Fujitsu Ltd | コンピュータウィルス感染情報提供方法及びコンピュータウィルス感染情報提供システム |
JP2004086241A (ja) * | 2002-08-22 | 2004-03-18 | Hitachi Information Systems Ltd | コンピュータウィルス感染元検知システム |
US7111000B2 (en) * | 2003-01-06 | 2006-09-19 | Microsoft Corporation | Retrieval of structured documents |
JP3912676B2 (ja) * | 2003-02-27 | 2007-05-09 | ソニー株式会社 | 記録装置、ファイル管理方法、ファイル管理方法のプログラム、ファイル管理方法のプログラムを記録した記録媒体 |
JP2005025378A (ja) * | 2003-06-30 | 2005-01-27 | Nidek Co Ltd | コンピュータウイルス検出方法及び該方法を用いたネットワークシステム |
US20090144826A2 (en) * | 2005-06-30 | 2009-06-04 | Webroot Software, Inc. | Systems and Methods for Identifying Malware Distribution |
US7937758B2 (en) * | 2006-01-25 | 2011-05-03 | Symantec Corporation | File origin determination |
US8181244B2 (en) * | 2006-04-20 | 2012-05-15 | Webroot Inc. | Backward researching time stamped events to find an origin of pestware |
US8201243B2 (en) * | 2006-04-20 | 2012-06-12 | Webroot Inc. | Backwards researching activity indicative of pestware |
US20070250818A1 (en) * | 2006-04-20 | 2007-10-25 | Boney Matthew L | Backwards researching existing pestware |
JP2008052570A (ja) | 2006-08-25 | 2008-03-06 | Hitachi Software Eng Co Ltd | 操作履歴管理システム |
US7797335B2 (en) | 2007-01-18 | 2010-09-14 | International Business Machines Corporation | Creation and persistence of action metadata |
KR100922582B1 (ko) * | 2007-07-20 | 2009-10-21 | 한국전자통신연구원 | 중심점 분할 기법을 이용한 로그 기반의 역추적 시스템 및방법 |
JP4705961B2 (ja) * | 2008-01-25 | 2011-06-22 | Sky株式会社 | ウィルス被害範囲予測システム |
US8745703B2 (en) * | 2008-06-24 | 2014-06-03 | Microsoft Corporation | Identifying exploitation of vulnerabilities using error report |
US8695094B2 (en) | 2008-06-24 | 2014-04-08 | International Business Machines Corporation | Detecting secondary infections in virus scanning |
US20110029819A1 (en) * | 2009-07-31 | 2011-02-03 | Virendra Kumar Mehta | System and method for providing program tracking information |
JP4788808B2 (ja) * | 2009-08-06 | 2011-10-05 | コニカミノルタビジネステクノロジーズ株式会社 | ジョブ処理システム、画像処理装置、ウイルス検出方法およびウイルス検出プログラム |
US8190647B1 (en) * | 2009-09-15 | 2012-05-29 | Symantec Corporation | Decision tree induction that is sensitive to attribute computational complexity |
WO2012001763A1 (ja) | 2010-06-28 | 2012-01-05 | 株式会社日立製作所 | 計算機システムの管理方法及びクライアントコンピュータ |
US8413244B1 (en) * | 2010-11-11 | 2013-04-02 | Symantec Corporation | Using temporal attributes to detect malware |
JP5736881B2 (ja) * | 2011-03-22 | 2015-06-17 | 日本電気株式会社 | ログ収集システム、装置、方法及びプログラム |
US9038176B2 (en) * | 2011-03-31 | 2015-05-19 | Mcafee, Inc. | System and method for below-operating system trapping and securing loading of code into memory |
US8627465B2 (en) * | 2011-04-18 | 2014-01-07 | International Business Machines Corporation | Automatic inference of whitelist-based validation as part of static analysis for security |
US20140351936A1 (en) * | 2011-12-19 | 2014-11-27 | Beijing Rising Information Technology Co., Ltd. | Frequency-variable anti-virus technology |
US20130312099A1 (en) * | 2012-05-21 | 2013-11-21 | Mcafee, Inc. | Realtime Kernel Object Table and Type Protection |
US9767280B2 (en) | 2012-10-09 | 2017-09-19 | Canon Denshi Kabushiki Kaisha | Information processing apparatus, method of controlling the same, information processing system, and information processing method |
US9275223B2 (en) * | 2012-10-19 | 2016-03-01 | Mcafee, Inc. | Real-time module protection |
WO2014087597A1 (ja) | 2012-12-07 | 2014-06-12 | キヤノン電子株式会社 | ウイルス侵入経路特定装置、ウイルス侵入経路特定方法およびプログラム |
US10409980B2 (en) | 2012-12-27 | 2019-09-10 | Crowdstrike, Inc. | Real-time representation of security-relevant system state |
JP2017503222A (ja) * | 2013-01-25 | 2017-01-26 | レムテクス, インコーポレイテッド | ネットワークセキュリティシステム、方法、及び装置 |
JP6352140B2 (ja) * | 2013-10-22 | 2018-07-04 | キヤノン電子株式会社 | ウェブシステム、サーバ切替装置、サーバ切替方法およびプログラム |
US9471912B2 (en) * | 2014-02-06 | 2016-10-18 | Verto Analytics Oy | Behavioral event measurement system and related method |
JP6461992B2 (ja) | 2014-11-05 | 2019-01-30 | キヤノン電子株式会社 | 特定装置、その制御方法、及びプログラム |
KR101676366B1 (ko) * | 2016-06-23 | 2016-11-15 | 국방과학연구소 | 사이버 공격 대응을 위한 악성코드 침해 경로 및 행위 추적을 수행하는 침해 공격 추적 시스템 및 방법 |
-
2013
- 2013-11-21 WO PCT/JP2013/006842 patent/WO2014087597A1/ja active Application Filing
- 2013-11-21 JP JP2014550901A patent/JP6590481B2/ja active Active
-
2015
- 2015-05-28 US US14/723,898 patent/US10326792B2/en active Active
-
2018
- 2018-07-23 JP JP2018137988A patent/JP6549767B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2018185860A (ja) | 2018-11-22 |
US20150264062A1 (en) | 2015-09-17 |
JP6590481B2 (ja) | 2019-10-16 |
WO2014087597A1 (ja) | 2014-06-12 |
US10326792B2 (en) | 2019-06-18 |
JPWO2014087597A1 (ja) | 2017-01-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6549767B2 (ja) | ウイルス侵入経路特定装置、ウイルス侵入経路特定方法およびプログラム | |
US9294486B1 (en) | Malware detection and analysis | |
JP5917573B2 (ja) | リアル・タイム・データ・アウェアネスおよびファイル追跡のシステムおよび方法 | |
JP5972401B2 (ja) | 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム | |
US20160014145A1 (en) | Website Security | |
JP5417533B2 (ja) | 計算機システムの管理方法及びクライアントコンピュータ | |
JP5525048B2 (ja) | 不正操作検知方法、及び、不正操作を検知する計算機 | |
JP6461992B2 (ja) | 特定装置、その制御方法、及びプログラム | |
US8627404B2 (en) | Detecting addition of a file to a computer system and initiating remote analysis of the file for malware | |
US10097569B2 (en) | System and method for tracking malware route and behavior for defending against cyberattacks | |
US20210165785A1 (en) | Remote processing of memory and files residing on endpoint computing devices from a centralized device | |
Shaaban et al. | Practical windows forensics | |
JP2008129707A (ja) | プログラム分析装置、プログラム分析方法、及びプログラム | |
WO2011117268A1 (en) | Secure data scanning method and system | |
JP5274227B2 (ja) | ウェブページ検査装置、コンピュータシステム、ウェブページ検査方法、及びプログラム | |
Satrya et al. | A novel Android memory forensics for discovering remnant data | |
US11354081B2 (en) | Information processing apparatus with concealed information | |
JP2009128936A (ja) | 履歴保存方法及び装置及びプログラム | |
US20220083646A1 (en) | Context Based Authorized External Device Copy Detection | |
Patil et al. | RegForensicTool: evidence collection and analysis of Windows registry | |
Martini et al. | Detecting and manipulating compressed alternate data streams in a forensics investigation | |
Afolabi et al. | Memory Forensics Tools Quantification and Ranking | |
KR20230174954A (ko) | 외부 유입 파일 관리 방법, 장치, 컴퓨터 프로그램 및 기록 매체 | |
JP2016115037A (ja) | 端末分析装置、ふるまい検知装置、端末分析プログラムおよびふるまい検知プログラム | |
KR100874989B1 (ko) | 단말에 대한 감사 장치, 방법 및 프로그램이 기록된기록매체 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190417 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190507 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190531 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190627 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6549767 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |