JP6577399B2 - 望ましくないプログラムのインストール及び実行を予防するシステム及び方法 - Google Patents
望ましくないプログラムのインストール及び実行を予防するシステム及び方法 Download PDFInfo
- Publication number
- JP6577399B2 JP6577399B2 JP2016064920A JP2016064920A JP6577399B2 JP 6577399 B2 JP6577399 B2 JP 6577399B2 JP 2016064920 A JP2016064920 A JP 2016064920A JP 2016064920 A JP2016064920 A JP 2016064920A JP 6577399 B2 JP6577399 B2 JP 6577399B2
- Authority
- JP
- Japan
- Prior art keywords
- program
- undesirable
- user
- computer
- actions
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/51—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/561—Virus type analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/567—Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/01—Input arrangements or combined input and output arrangements for interaction between user and computer
- G06F3/048—Interaction techniques based on graphical user interfaces [GUI]
- G06F3/0481—Interaction techniques based on graphical user interfaces [GUI] based on specific properties of the displayed interaction object or a metaphor-based environment, e.g. interaction with desktop elements like windows or icons, or assisted by a cursor's changing behaviour or appearance
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/01—Input arrangements or combined input and output arrangements for interaction between user and computer
- G06F3/048—Interaction techniques based on graphical user interfaces [GUI]
- G06F3/0484—Interaction techniques based on graphical user interfaces [GUI] for the control of specific functions or operations, e.g. selecting or manipulating an object, an image or a displayed text element, setting a parameter value or selecting a range
- G06F3/04842—Selection of displayed objects or displayed text elements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Human Computer Interaction (AREA)
- Bioethics (AREA)
- Medical Informatics (AREA)
- Databases & Information Systems (AREA)
- User Interface Of Digital Computer (AREA)
- Stored Programmes (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
Description
・ブラウザのホームページ、検索エンジン、及び、ブラウザ-アドオン(プラグイン)ができる全てのインストール、における認可されてない変更。これは多くの場合、ブラウザの不要な操作を導くものである。これらは、最も一般的な望ましくないアクションである。
・多くの場合、フェイクAV(FakeAV)、フェイクアンチウイルスと呼ばれ、分類されるアプリケーション。一方でそれは、ユーザ又は自分のデータに害を引き起こすことはないが、他方で、それは、役に立たない特徴をもつ機能のライセンス購入をしつこく提案する(それは、動作はするが、実際には、どんな利益も有さない)。
・最適化プログラム。実際に有用なユーティリィティと同様に、それは、(一時的なファイル、レジスタの未使用なブランチ等を削除することによって)オペレーティング・システムの操作を最適化する。多くの有料の最適化プログラムがあり、有用なアクションを実行しないが、実行している「有用な」アクションをユーザに通知するインターフェースを含むのみである。
・望ましくないソフトウェアのリストの中に多く見られる特徴は、さらに、スパイウェアプログラムであり、それは、ユーザが知ることなく、ユーザとユーザのコンピュータに関するデータを収集できる。ユーザが自主的にそのようなソフトウェアをインストールする状況は、ほとんどの場合、注意欠如の可能性がある。
コンピュータへの未知のプログラムのインストールを検出する工程と、
未知のプログラムのインストールを停止する工程と、
安全な環境で、未知のプログラムを実行する工程と、
ユーザが知ることなくプログラムにより実行されたアクション(コンピュータにある個人ユーザデータにアクセスするアクション、及び、コンピュータの他のプログラム又はオペレーティング・システムでのユーザ作業に影響を与えるアクション)を含む、未知のプログラムの望ましくないアクションを検出する工程と、
プログラムにおける検出された望ましくないアクションに基づいて、未知のプログラムが望ましくないものであるかどうかを判断する工程と、
未知のプログラムが望ましくないと判断された場合、コンピュータにその望ましくないプログラムのインストールを許可又は禁止するかどうかについてユーザが選択できるように示す工程と、
未知のプログラムが、望ましくないと判断されなかった場合、コンピュータに未知のプログラムのインストールを許可する工程を含む。
アクティブである望ましくないGUI要素の存在について、プログラムインストーラーのグラフィカル・ユーザ・インターフェース(GUI)を解析する工程と、
プログラムインストーラーの検出された望ましくないGUI要素をアクティブでない状態にする工程を含む。
ここで、望ましくないアクションは、以下のうち少なくとも1つのアクションを含み、
それは、ユーザが知ることのないプログラムによって実行されるアクション、
コンピュータで、個人ユーザデータにアクセスするアクション、
及び、コンピュータの他のプログラム又はオペレーティング・システムでのユーザ作業に影響を与えるアクション、
プログラムにおける識別された望ましくないアクションに基づいて、未知のプログラムが望ましくないものであるかどうか判断する。未知のプログラムが、望ましくないと判断された場合、コンピュータで望ましくないプログラムの実行を許可又は禁止するかどうかについてユーザが選択できるように示し、未知のプログラムが望ましくないと判断されなかった場合、コンピュータにおいて未知のプログラムの実行が許可される。
・ソフトウェアの製造元のデジタル署名を有していない。
・許可されたアプリケーションのホワイトリスト、又は、少なくとも1つのアンチウイルスソフトウェアの製造元でのマルウェアリストのどちらかに含まれていない。
・ブラウザのホームページの変更。
・ブラウザのデフォルト設定の変更。
・ネットワークパラメータ(プロキシサーバ及びLSP(Layered Service Provider))技術の変更。
・ユーザが知ることのない、ブラウザへの新しいツールバーの追加。
・OSレジストリでの自動起動キーの作成。
・ユーザが知ることのない、デスクトップ及び/又はタスクバーへのアイコンの追加。
・ユーザが知ることのない、ユーザのそれぞれのフォルダ(例えば、"C:/Users/<user_name>/My Documents")からファイルにアクセスする試み。
・アプリケーションのインターフェースにおける、多数のポップアップ・ウィンドウの有無(これは、フェイクAVにとって特徴的なものでありえる)。
・未承認サイトへのURLリンクのコードの有無。それは、アプリケーションのさらなる操作、又は個人情報を提供するために、ユーザに対して、鍵の支払いを要求する。
・explorer.exeのような主要なオペレーティング・システムコンポーネント120に、付加的なグラフィカル・ユーザインターフェースのメニュー(それは、ユーザ150をいらいらさせる見た目である)を追加することによって変更すること。
表1
・インストーラーのウィンドウでのアクティブな要素(ラジオボタン、チェックボックスなど)を変更するための、Uncheckyのようなユーティリティの使用。
・自動起動レジストリエントリのインストール、又は、フォルダ"C:/ Windows/ system32"へのファイルの書き込みなどの、特定のファイル操作又はレジストリ操作のパフォーマンスの禁止。
・安全な環境でのプログラムのインストールは、ソフトウェアのインストール時に、OSそのものでそれらを実行するのではなく、インストール時に関数コールから肯定的な結果を返すことによって、多数の望ましくないアクションの"プロエミュレート"を可能にすることによって安全な環境でインストールが成される。
たとえば、ファイルがシステムフォルダで作成される場合、ファイルは、実際に作成されず、ファイル作成が成功したことを示す結果は、関数コールからインストーラーへ返されるだろう。一方、これにより、正確にソフトウェアをインストールすることができるが、一方で、安定した操作を保証するものではない。
・人気のあるプログラムのインストーラーの予備的な解析。そのプログラムは、インターネット経由で更新することができるデータベースへ、その結果をアップロードされているものである。
・インストーラーのグラフィカル・ユーザ・インターフェース(GUI)の解析、及び、その結果(例えば、キーワードを使用して解析)に基づいて、各種の制御要素の"望ましくないこと(不快)"におけるヒューリスティック判断の解析。
他の更なる一例としては、アプリケーションウィンドウの検索に関連されることができ、それは、(例えば、FakeAVの場合)周期的に前面に配置され、及びユーザに示され、1つのウィンドウを制御するプロセスにおける後続の判断を有するものである。工程320で、ソフトウェアにおける、望ましくないこと(不快)ということが評価される。この評価は、インストールされた未知のソフトウェアにより実行された望ましくないアクションに関与するものである。そのようなアクションの例は、図2Aの説明に記載されている。また、評価は、リアルタイムに、ソフトウェア自体の操作中に生じることができる(例えば、参照により本明細書に組み込まれる、同一所有者の米国特許第8566943に記載された技術を使用して)。望ましくない(不快な)ことの評価は、さらに、未知のインストールされたソフトウェアのアクションにおける評価の間、望ましくないこと(不快)の重みの用いることを含むことができる。実施例はまた、図2Aの説明において、より詳細に示されている。工程330で、未知のインストールされたソフトウェアが、望ましくないと認識される場合、その後、工程350(1つの例示的な態様ではオプションである)において、ユーザは、インストールされた未知のソフトウェアの操作を継続する許可を求められてもよい。ユーザが操作を許可した場合には、工程340で、インストールされた未知のソフトウェアは、もはや望ましくないソフトウェアとして解釈されない。そうでなければ、工程360において、インストール済みの未知のソフトウェアは削除される。そのようなソフトウェアを削除するというユーザの選択は、記憶させることができ、将来的に、類似の望ましくないアクションを有する望ましくないソフトウェアの検出において、工程350は、ユーザが以前に行った選択を考慮して、自動的に省略することができる。
・プログラムと機能(アプリケーションのアンインストーラーのコールアップ)からのアプリケーションの標準的な削除。
・インストールされた未知のソフトウェアに関連する、OSレジストリの、すべてのファイルとブランチの自動削除(1つの例示的な態様の検出器140で、アクティブなファイル及びアクティブなレジストリを追跡する)。
・システムに、除去することが望ましいとされる、望ましくないソフトウェアがあるということのユーザへの通知。
Claims (22)
- プログラムのインストールを制御する方法であって、前記方法は、
ハードウェアプロセッサによって、コンピュータへの未知のプログラムのインストールを検出する工程と、
前記ハードウェアプロセッサによって、前記未知のプログラムのインストールを停止する工程と、
前記ハードウェアプロセッサによって、安全な環境で前記未知のプログラムを実行する工程と、
前記ハードウェアプロセッサによって、前記未知のプログラムの望ましくないアクションを検出する工程と、
前記ハードウェアプロセッサによって、前記プログラムにおける前記検出された望ましくないアクションに基づいて、前記未知のプログラムが望ましくないかどうかを判断する工程と、
前記未知のプログラムが望ましくないと判断された場合、前記コンピュータに前記望ましくないプログラムのインストールを許可又は禁止するかどうかの選択をユーザに示す工程と、
前記未知のプログラムが望ましくないと判断されなかった場合、前記ハードウェアプロセッサによって、前記コンピュータに前記未知のプログラムのインストールを許可する工程とを含み、
前記望ましくないアクションは、
ユーザが知ることなく前記プログラムによって実行されるアクション、
前記コンピュータにあるユーザの個人データへのアクセスするアクション、及び
前記コンピュータの他のプログラム又はオペレーティング・システムでのユーザ作業に影響を与えるアクション、
の少なくとも1つのアクションを含み、
前記未知のプログラムが望ましくないものであるかを判断する工程は、
前記検出された望ましくないアクションに対して数値的重みを割り当てる工程をさらに含み、
ユーザが知ることなく実行される望ましくないアクションは、他のプログラム又はオペレーティング・システムでのユーザ作業に影響を与える、他の望ましくないアクションよりも大きい数値的重みを有する、プログラムのインストールを制御する方法。 - 前記未知のプログラムが望ましくないものであるかを判断する工程は、
前記検出された望ましくないアクションに対して前記数値的重みを増す工程と、
全ての検出された望ましくないアクションの前記数値的重みの合計が、所定の閾値を超えた場合、前記未知のプログラムが望ましくないと特定される工程とをさらに備える、
請求項1に記載の方法。 - 前記方法は、
前記コンピュータに前記未知のプログラムのインストールを許可又は禁止するかについて、ユーザの選択を保存する工程と、
前記ユーザのコンピュータに、前記プログラムと同じプログラムのインストール又は実行のその後の試みがあった場合、前記ユーザに再度示すことなく、前記保存されたユーザの選択を自動的に実行する工程とをさらに含む、
請求項1に記載の方法。 - 前記コンピュータに前記望ましくないプログラムのインストールを許可する工程は、
前記プログラムにおける1つ又は複数の検出された望ましくないアクションの実行を防止する工程をさらに含む、
請求項1に記載の方法。 - 前記プログラムにおける1つ又は複数の検出された望ましくないアクションの実行を防止する工程は、
アクティブである状態の望ましくないGUI要素の存在について、未知のプログラムをインストールするプログラムインストーラーのグラフィカル・ユーザ・インターフェース(GUI)を解析する工程と、
前記プログラムインストーラーの前記検出された望ましくないGUI要素をアクティブでない状態にする工程とをさらに含む、
請求項4に記載の方法。 - 望ましくないアクションは、
ネットワーク設定の変更、ブラウザ設定の変更、前記コンピュータのデスクトップでのアイコンの作成、ポップアップ・ウィンドウのアクティブ化、のうち少なくとも1つをさらに含む、
請求項1に記載の方法。 - プログラムのインストールを制御するシステムであって、
前記システムは、
コンピュータへの未知のプログラムのインストールを検出し、
前記未知のプログラムのインストールを停止し、
安全な環境で、前記未知のプログラムを実行し、
前記未知のプログラムの望ましくないアクションを検出し、
前記プログラムにおける前記検出された望ましくないアクションに基づいて、前記未知のプログラムが、望ましくないものであるかどうかを判断し、
前記未知のプログラムが、望ましくないと判断された場合、前記コンピュータに前記望ましくないプログラムのインストールを許可又は禁止するかどうかについてユーザが選択できるように示し、
前記未知のプログラムが、望ましくないと判断されなかった場合、前記コンピュータに前記未知のプログラムのインストールを許可する、ように構成されたハードウェアプロセッサを含み、
前記望ましくないアクションは、
ユーザが知ることなく、前記プログラムによって実行されるアクション、前記コンピュータにあるユーザの個人データへのアクセスするアクション、及び、前記コンピュータの他のプログラムまたはオペレーティング・システムでのユーザの作業に影響を与えるアクション、
の少なくとも1つのアクションを含み、
前記未知のプログラムが望ましくないかどうかを判断することは、
前記検出された望ましくないアクションに数値的重みを割り当てることをさらに含み、
ユーザが知ることなく実行される望ましくないアクションは、他のプログラム又はオペレーティング・システムでのユーザの作業に影響を与える他の望ましくないアクションよりも大きい数値的重みを有する、プログラムのインストールを制御するシステム。 - 前記未知のプログラムが望ましいかどうかを判断することは、
前記検出された望ましくないアクションの前記数値的重みを増すことと、
全ての検出された望ましくないアクションの前記数値的重みの合計が、所定の閾値を超えた場合、前記未知のプログラムが望ましくないものであると特定されることとを含む、
請求項7に記載のシステム。 - 前記コンピュータに前記未知のプログラムのインストールを許可又は禁止するかどうかにおける前記ユーザの選択を保存し、
前記ユーザのコンピュータに前記プログラムと同じプログラムのインストール又は実行のその後の試みがあった場合、前記ユーザに再度示すことなく、前記保存されたユーザの選択を自動的に実行する、
請求項7に記載のシステム。 - 前記コンピュータに前記望ましくないプログラムのインストールを許可することは、前記プログラムにおける1つ又は複数の検出された望ましくないアクションの実行を防止する、
請求項7に記載のシステム。 - 前記プログラムにおける1つ又は複数の検出された望ましくないアクションの実行を防止することは、
アクティブである状態の望ましくないGUI要素の存在のために、未知のプログラムをインストールするプログラムインストーラーのグラフィカル・ユーザ・インターフェース(GUI)を解析することと、
前記プログラムインストーラーの前記検出された望ましくないGUI要素をアクティブでない状態にすることとを含む、
請求項10に記載のシステム。 - 望ましくないアクションは、
ネットワーク設定の変更、ブラウザ設定の変更、前記コンピュータのデスクトップでのアイコンを作成、及びポップアップ・ウィンドウのアクティブ化のうち、少なくとも1つをさらに含む、
請求項7に記載のシステム。 - ハードウェアプロセッサによって、コンピュータにインストールされる未知のプログラムを検出する工程と、
前記ハードウェアプロセッサによって、前記コンピュータに前記未知のプログラムによって実行される望ましくないアクションを識別する工程と、
前記ハードウェアプロセッサによって、前記プログラムの前記検出された望ましくないアクションに基づいて、前記未知のプログラムが、望ましくないものであるかを判断する工程と、
前記未知のプログラムが望ましくないと判断された場合、前記コンピュータに前記望ましくないプログラムの実行を許可又は禁止するかどうかについてユーザが選択できるように示す工程と、
前記未知のプログラムが望ましくないと判断されなかった場合、前記ハードウェアプロセッサによって、前記コンピュータに前記未知のプログラムの実行を許可する工程とを含み、
前記望ましくないアクションは、
ユーザが知ることなく前記プログラムによって実行されるアクション、前記コンピュータでの個人ユーザデータにアクセスするアクション、及び、前記コンピュータの他のプログラム又はオペレーティング・システムでのユーザ作業に影響を与えるアクションのうちの少なくとも1つを含み、
前記未知のプログラムが望ましくないかどうかを判断する工程は、
前記検出された望ましくないアクションに数値的重みを割り当てる工程をさらに含み、
ユーザが知ることなく実行される望ましくないアクションは、他のプログラム又はオペレーティング・システムでのユーザ作業に影響を与える他の望ましくないアクションよりも大きい数値的重みを有する、プログラムの実行を制御する方法。 - 前記未知のプログラムが望ましくないかどうかを判断する工程は、
前記検出された望ましくないアクションの数値的重みを増す工程と、
全ての検出された望ましくないアクションの前記数値的重みの合計が、所定の閾値を越える場合、前記未知のプログラムが望ましくないものであると特定される工程と
をさらに含む、
請求項13に記載の方法。 - 前記コンピュータでの前記未知のプログラムの実行を許可又は禁止するかどうかにおけるユーザの選択を保存する工程と、
前記ユーザのコンピュータに前記プログラムと同じプログラムを実行するその後の試みがあった場合、前記ユーザに再度示すことなく、前記保存されたユーザの選択を自動的に実行する工程とをさらに含む、
請求項13に記載の方法。 - 前記コンピュータで前記望ましくないプログラムの実行を許可する工程は、
前記プログラムにおける、1つ又は複数の検出された望ましくないアクションの実行を防止する工程を含む、
請求項13に記載の方法。 - 前記プログラムにおける1つ又は複数の検出された望ましくないアクションの実行を防止する工程は、
アクティブである状態の望ましくないGUI要素の存在について、未知のプログラムをインストールするプログラムインストーラーのグラフィック・ユーザ・インターフェース(GUI)を解析する工程と、
前記プログラムインストーラーの前記検出された望ましくないGUI要素のアクティブでない状態にする工程と
をさらに含む、
請求項16に記載の方法。 - プログラムの実行を制御するためのシステムであって、
前記システムは、
コンピュータにインストールされる未知のプログラムを検出し、
前記コンピュータで前記未知のプログラムによって実行される望ましくないアクションを識別し、
前記プログラムの前記識別された望ましくないアクションに基づいて、前記未知のプログラムが望ましいものであるかどうかを判断し、
前記未知のプログラムが、望ましくないと判断された場合、前記コンピュータに前記望ましくないプログラムの実行を許可又は禁止かどうかについてユーザが選択できるように示し、
前記未知のプログラムが望ましくないと判断されなかった場合、前記コンピュータに前記未知のプログラムの実行を許可する、ように構成されたハードウェアプロセッサを含み、
前記望ましくないアクションは、
ユーザが知ることなく、前記プログラムによって実行されるアクションと、
前記コンピュータにあるユーザの個人データにアクセスするアクションと、
前記コンピュータの他のプログラム又はオペレーティング・システムでのユーザ作業に影響を与えるアクションと、
の少なくとも1つ含み、
前記未知のプログラムが望ましくないものであるかどうか判断する工程は、
前記検出された望ましくないアクションに対して数値的重みを割り当てる工程をさらに含み、
ユーザが知ることなく実行される望ましくないアクションは、他のプログラム又はオペレーティング・システムでのユーザ作業に影響を与える、他の望ましくないアクションよりも大きい数値的重みを有する、プログラムの実行を制御するためのシステム。 - 前記未知のプログラムが、望ましくないものであるかどうかを判断する工程は、
前記検出された望ましくないアクションの前記数値的重みを増す工程と、
全ての検出された望ましくないアクションの前記数値的重みの合計が、所定の閾値を超える場合、前記未知のプログラムを望ましくないと特定される工程とを、さらに含む、
請求項18に記載のシステム。 - 前記ハードウェアプロセッサは、
前記コンピュータで前記未知のプログラムの実行を許可又は禁止するかどうかについて、ユーザの選択を保存し、
前記ユーザのコンピュータに、前記プログラムと同じプログラムを実行するその後の試みがあった場合、前記ユーザに再度示されることなく、前記保存されたユーザの選択を自動的に実行する、ように構成される、
請求項18のシステム。 - 前記コンピュータで前記望ましくないプログラムの実行を許可することは、
前記プログラムにおける、1つ又は複数の検出された望ましくないアクションの実行を防止することをさらに含む、
請求項18に記載のシステム。 - 前記プログラムにおける、1つ又は複数の検出される望ましくないアクションの実行を防止することは、
アクティブである状態の望ましくないGUI要素の存在について、未知のプログラムをインストールするプログラムインストーラーのグラフィックユーザインターフェースを解析することと、
前記プログラムインストーラーの前記検出された望ましくないGUI要素をアクティブでない状態にすることとをさらに含む、
請求項21に記載のシステム。
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2015125976 | 2015-06-30 | ||
RU2015125976A RU2618947C2 (ru) | 2015-06-30 | 2015-06-30 | Способ предотвращения работы программ, содержащих нежелательный для пользователя функционал |
US14/944,821 US9390266B1 (en) | 2015-06-30 | 2015-11-18 | System and method of preventing installation and execution of undesirable programs |
US14/944,821 | 2015-11-18 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017021773A JP2017021773A (ja) | 2017-01-26 |
JP6577399B2 true JP6577399B2 (ja) | 2019-09-18 |
Family
ID=56321063
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016064920A Active JP6577399B2 (ja) | 2015-06-30 | 2016-03-29 | 望ましくないプログラムのインストール及び実行を予防するシステム及び方法 |
Country Status (5)
Country | Link |
---|---|
US (2) | US9390266B1 (ja) |
EP (1) | EP3113059B1 (ja) |
JP (1) | JP6577399B2 (ja) |
CN (1) | CN106326731B (ja) |
RU (1) | RU2618947C2 (ja) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9646159B2 (en) | 2015-03-31 | 2017-05-09 | Juniper Networks, Inc. | Multi-file malware analysis |
US9928363B2 (en) * | 2016-02-26 | 2018-03-27 | Cylance Inc. | Isolating data for analysis to avoid malicious attacks |
RU2634177C1 (ru) * | 2016-05-20 | 2017-10-24 | Акционерное общество "Лаборатория Касперского" | Система и способ обнаружения нежелательного программного обеспечения |
US10367833B2 (en) * | 2017-03-07 | 2019-07-30 | International Business Machines Corporation | Detection of forbidden software through analysis of GUI components |
US10489593B2 (en) * | 2017-06-27 | 2019-11-26 | Symantec Corporation | Mitigation of malicious actions associated with graphical user interface elements |
CN107832605A (zh) * | 2017-11-22 | 2018-03-23 | 江苏神州信源系统工程有限公司 | 一种保护终端安全的方法和装置 |
CN108804941A (zh) * | 2018-05-23 | 2018-11-13 | 郑州信大天瑞信息技术有限公司 | 一种应用安全态势感知方法 |
CN108734006A (zh) * | 2018-05-25 | 2018-11-02 | 山东华软金盾软件股份有限公司 | 一种禁用 Windows 安装程序的方法 |
US11509676B2 (en) * | 2020-01-22 | 2022-11-22 | Tenable, Inc. | Detecting untracked software components on an asset |
Family Cites Families (47)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7114184B2 (en) * | 2001-03-30 | 2006-09-26 | Computer Associates Think, Inc. | System and method for restoring computer systems damaged by a malicious computer program |
US7254526B2 (en) * | 2001-08-24 | 2007-08-07 | International Business Machines Corporation | Apparatus and method for determining compatibility of web sites with designated requirements based on functional characteristics of the web sites |
US7765592B2 (en) * | 2004-01-10 | 2010-07-27 | Microsoft Corporation | Changed file identification, software conflict resolution and unwanted file removal |
US8156489B2 (en) * | 2004-05-21 | 2012-04-10 | Computer Associates Think, Inc. | Distributed installation configuration system and method |
US7908653B2 (en) * | 2004-06-29 | 2011-03-15 | Intel Corporation | Method of improving computer security through sandboxing |
US7409719B2 (en) * | 2004-12-21 | 2008-08-05 | Microsoft Corporation | Computer security management, such as in a virtual machine or hardened operating system |
US7739682B1 (en) * | 2005-03-24 | 2010-06-15 | The Weather Channel, Inc. | Systems and methods for selectively blocking application installation |
GB0513375D0 (en) * | 2005-06-30 | 2005-08-03 | Retento Ltd | Computer security |
US8196205B2 (en) * | 2006-01-23 | 2012-06-05 | University Of Washington Through Its Center For Commercialization | Detection of spyware threats within virtual machine |
US7870612B2 (en) * | 2006-09-11 | 2011-01-11 | Fujian Eastern Micropoint Info-Tech Co., Ltd | Antivirus protection system and method for computers |
US8413135B2 (en) * | 2006-10-30 | 2013-04-02 | At&T Intellectual Property I, L.P. | Methods, systems, and computer program products for controlling software application installations |
US8782786B2 (en) * | 2007-03-30 | 2014-07-15 | Sophos Limited | Remedial action against malicious code at a client facility |
CN100504903C (zh) * | 2007-09-18 | 2009-06-24 | 北京大学 | 一种恶意代码自动识别方法 |
US8019700B2 (en) * | 2007-10-05 | 2011-09-13 | Google Inc. | Detecting an intrusive landing page |
US20090100519A1 (en) * | 2007-10-16 | 2009-04-16 | Mcafee, Inc. | Installer detection and warning system and method |
US7392544B1 (en) * | 2007-12-18 | 2008-06-24 | Kaspersky Lab, Zao | Method and system for anti-malware scanning with variable scan settings |
US8658354B2 (en) * | 2008-03-28 | 2014-02-25 | National University Corporation Hokkaido University | Anti-(influenza a virus subtype H5 hemagglutinin) monoclonal antibody |
US8763125B1 (en) * | 2008-09-26 | 2014-06-24 | Trend Micro, Inc. | Disabling execution of malware having a self-defense mechanism |
US8099472B2 (en) * | 2008-10-21 | 2012-01-17 | Lookout, Inc. | System and method for a mobile cross-platform software system |
US8533844B2 (en) * | 2008-10-21 | 2013-09-10 | Lookout, Inc. | System and method for security data collection and analysis |
US8347386B2 (en) * | 2008-10-21 | 2013-01-01 | Lookout, Inc. | System and method for server-coupled malware prevention |
US9235704B2 (en) * | 2008-10-21 | 2016-01-12 | Lookout, Inc. | System and method for a scanning API |
US8745361B2 (en) * | 2008-12-02 | 2014-06-03 | Microsoft Corporation | Sandboxed execution of plug-ins |
US8631330B1 (en) * | 2009-08-16 | 2014-01-14 | Bitdefender IPR Management Ltd. | Security application graphical user interface customization systems and methods |
RU91205U1 (ru) * | 2009-10-01 | 2010-01-27 | ЗАО "Лаборатория Касперского" | Система асинхронной обработки событий для обнаружения неизвестных вредоносных программ |
US8566943B2 (en) | 2009-10-01 | 2013-10-22 | Kaspersky Lab, Zao | Asynchronous processing of events for malware detection |
CN102045214B (zh) * | 2009-10-20 | 2013-06-26 | 成都市华为赛门铁克科技有限公司 | 僵尸网络检测方法、装置和系统 |
US8479286B2 (en) * | 2009-12-15 | 2013-07-02 | Mcafee, Inc. | Systems and methods for behavioral sandboxing |
US9245154B2 (en) * | 2010-03-08 | 2016-01-26 | Eva Andreasson | System and method for securing input signals when using touch-screens and other input interfaces |
US20110225649A1 (en) * | 2010-03-11 | 2011-09-15 | International Business Machines Corporation | Protecting Computer Systems From Malicious Software |
CN101901321A (zh) * | 2010-06-04 | 2010-12-01 | 华为终端有限公司 | 终端防御恶意程序的方法、装置及系统 |
JP2012008732A (ja) * | 2010-06-23 | 2012-01-12 | Kddi Corp | インストール制御装置およびプログラム |
JP5557623B2 (ja) * | 2010-06-30 | 2014-07-23 | 三菱電機株式会社 | 感染検査システム及び感染検査方法及び記録媒体及びプログラム |
US8844039B2 (en) * | 2010-06-30 | 2014-09-23 | F-Secure Corporation | Malware image recognition |
CN103078864B (zh) * | 2010-08-18 | 2015-11-25 | 北京奇虎科技有限公司 | 一种基于云安全的主动防御文件修复方法 |
EP2609537A1 (en) * | 2010-08-26 | 2013-07-03 | Verisign, Inc. | Method and system for automatic detection and analysis of malware |
US8555385B1 (en) * | 2011-03-14 | 2013-10-08 | Symantec Corporation | Techniques for behavior based malware analysis |
US9047441B2 (en) * | 2011-05-24 | 2015-06-02 | Palo Alto Networks, Inc. | Malware analysis system |
US9323928B2 (en) * | 2011-06-01 | 2016-04-26 | Mcafee, Inc. | System and method for non-signature based detection of malicious processes |
US9158919B2 (en) * | 2011-06-13 | 2015-10-13 | Microsoft Technology Licensing, Llc | Threat level assessment of applications |
US8181247B1 (en) * | 2011-08-29 | 2012-05-15 | Kaspersky Lab Zao | System and method for protecting a computer system from the activity of malicious objects |
US20130333039A1 (en) * | 2012-06-07 | 2013-12-12 | Mcafee, Inc. | Evaluating Whether to Block or Allow Installation of a Software Application |
EP2759956B1 (en) * | 2013-01-25 | 2017-01-11 | Synopsys, Inc. | System for testing computer application |
US9117080B2 (en) * | 2013-07-05 | 2015-08-25 | Bitdefender IPR Management Ltd. | Process evaluation for malware detection in virtual machines |
US9323931B2 (en) * | 2013-10-04 | 2016-04-26 | Bitdefender IPR Management Ltd. | Complex scoring for malware detection |
US20150235277A1 (en) * | 2014-02-19 | 2015-08-20 | Kyle W. Bagley | Provision of Advertising in Social Media Content In a User Compensation Based Model |
CN104199703A (zh) * | 2014-09-05 | 2014-12-10 | 北京奇虎科技有限公司 | 静默安装的管理方法及装置 |
-
2015
- 2015-06-30 RU RU2015125976A patent/RU2618947C2/ru active
- 2015-11-18 US US14/944,821 patent/US9390266B1/en active Active
- 2015-11-30 EP EP15197087.8A patent/EP3113059B1/en active Active
-
2016
- 2016-03-29 JP JP2016064920A patent/JP6577399B2/ja active Active
- 2016-04-20 CN CN201610248222.4A patent/CN106326731B/zh active Active
- 2016-06-13 US US15/180,717 patent/US9659172B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
EP3113059B1 (en) | 2018-01-10 |
EP3113059A1 (en) | 2017-01-04 |
CN106326731A (zh) | 2017-01-11 |
RU2015125976A (ru) | 2017-01-10 |
CN106326731B (zh) | 2019-05-31 |
US9390266B1 (en) | 2016-07-12 |
US20170004305A1 (en) | 2017-01-05 |
US9659172B2 (en) | 2017-05-23 |
RU2618947C2 (ru) | 2017-05-11 |
JP2017021773A (ja) | 2017-01-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6577399B2 (ja) | 望ましくないプログラムのインストール及び実行を予防するシステム及び方法 | |
RU2589862C1 (ru) | Способ обнаружения вредоносного кода в оперативной памяти | |
US9547765B2 (en) | Validating a type of a peripheral device | |
US8079085B1 (en) | Reducing false positives during behavior monitoring | |
US7739682B1 (en) | Systems and methods for selectively blocking application installation | |
RU2531861C1 (ru) | Система и способ оценки вредоносности кода, исполняемого в адресном пространстве доверенного процесса | |
RU2514140C1 (ru) | Система и способ увеличения качества обнаружений вредоносных объектов с использованием правил и приоритетов | |
US8099596B1 (en) | System and method for malware protection using virtualization | |
US8646080B2 (en) | Method and apparatus for removing harmful software | |
US7620990B2 (en) | System and method for unpacking packed executables for malware evaluation | |
EP2515250A1 (en) | System and method for detection of complex malware | |
US20130160126A1 (en) | Malware remediation system and method for modern applications | |
US9330260B1 (en) | Detecting auto-start malware by checking its aggressive load point behaviors | |
US8898591B2 (en) | Program removal | |
EP3314499B1 (en) | Temporary process deprivileging | |
RU101233U1 (ru) | Система ограничения прав доступа к ресурсам на основе расчета рейтинга опасности | |
US9740865B2 (en) | System and method for configuring antivirus scans | |
JP6714112B2 (ja) | グラフィカルユーザインターフェース要素に関連した悪意のある行為の軽減 | |
US9122872B1 (en) | System and method for treatment of malware using antivirus driver | |
RU2592383C1 (ru) | Способ формирования антивирусной записи при обнаружении вредоносного кода в оперативной памяти | |
RU2583709C2 (ru) | Система и способ устранения последствий заражения виртуальных машин | |
RU2595510C1 (ru) | Способ исключения процессов из антивирусной проверки на основании данных о файле | |
Alsagoff | Removal Of Malware Without The Use Of Antimalware Software |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170817 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180619 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180703 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20181003 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20190416 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190628 |
|
A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20190705 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190806 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190822 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6577399 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |