JP6600034B2 - 動作解析システム及び動作解析方法 - Google Patents
動作解析システム及び動作解析方法 Download PDFInfo
- Publication number
- JP6600034B2 JP6600034B2 JP2018077432A JP2018077432A JP6600034B2 JP 6600034 B2 JP6600034 B2 JP 6600034B2 JP 2018077432 A JP2018077432 A JP 2018077432A JP 2018077432 A JP2018077432 A JP 2018077432A JP 6600034 B2 JP6600034 B2 JP 6600034B2
- Authority
- JP
- Japan
- Prior art keywords
- diskless
- analysis
- server
- file
- malware
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Stored Programmes (AREA)
- Debugging And Monitoring (AREA)
Description
本発明は、マルウェアの動作を解析するための動作解析システム及び動作解析方法に関する。
情報セキュリティの脅威の多くが、不正かつ有害に動作させる意図で作成された悪意のあるマルウェアに関連している。また、新型、あるいは亜種のマルウェアはウィルス対策ソフトでは検知できないものも多い。このような状況下でマルウェアによる被害を未然に防ぐためにも、メールサーバ等に到着するマルウェアや、新しいマルウェアの特性を迅速に解明し、対策を講じることが重要である。
このため、未知のマルウェアも含めて効率的に解析を行ない、対策を迅速に行なうためには適切な解析手法を用いることが重要である(例えば、特許文献1)。この文献に記載された技術では、不正処理解析装置のホストOS上で、仮想化層を形成してゲストOSを動作させ、マルウェアを実行する。そして、マルウェアの実行中に仮想マシン上で通信プロセスが発生したことを検出し、仮想マシン上のメモリ領域を監視し、メモリダンプをログファイルとして保存する。
マルウェアの解析手法は、マルウェアを動作させる解析方法(動的解析)とマルウェアを動作させないで解析する方法(静的解析)に分類できる。動的解析は、解析環境上でマルウェアを実際に動作させ、モニタリングし、その振る舞いを調べる手法である。動的解析の解析範囲は限定的ではあるが、一般的に静的解析よりも短時間でマルウェアの挙動を確認することができる。また、マルウェア自身がダウンロードした設定ファイルやモジュールがあって初めて有効になるような機能については、動的解析の方が解析結果を得やすい。
特に、金融系マルウェアの中には外部から設定情報を取得し、それにより挙動を変えるものが存在すると報告されている(例えば、非特許文献1)。このようなマルウェアに対して迅速に対策を行なうためには、先に述べたとおり動的解析が有効である。また、マルウェアの中には、仮想化機構によって作られた環境では実行を終了して解析を妨害するものがある(例えば、非特許文献2)。
西田雅太 他「静的解析と挙動観測による金融系マルウェアの攻撃手法の調査」、[online]、コンピュータセキュリティシンポジウム2014論文集,Vol.2014,No.2,第859−866頁、2014年10月15日、[平成30年3月10日検索]、インターネット<https://ipsj.ixsq.nii.ac.jp/ej/?action=repository_uri&item_id=106635&file_id=1&file_no=1>
大山恵弘「マルウェアによる対仮想化処理の傾向についての分析」、[online]、コンピュータセキュリティシンポジウム2016論文集,Vol.2016,No.2,第534−541頁、2016年10月4日、[平成30年3月10日検索]インターネット<https://ipsj.ixsq.nii.ac.jp/ej/?action=repository_uri&item_id=175780&file_id=1&file_no=1>
マルウェアの動的解析環境には、仮想マシンが採用されていることが多い。仮想マシンが持つ監視機能やスナップショット機能が動的解析に利用される。仮想マシンの監視機能を用いることによって、仮想マシンからゲストOSのメモリやデバイスを監視することができる。また、動的解析は、OSにマルウェアを感染させて解析を行なうため、解析完了後に感染前の状態に戻す必要がある。これは、解析前の状態のスナップショットを取得した仮想マシンを利用することによって、解析完了後ただちに解析前の状態に戻すことによって実現される。
上述のように、マルウェアには自身の実行環境を判別する機能により、物理マシンでは動作するが、仮想マシンでは動作しないものがある。このため、動的解析環境には物理マシンを用いることが望ましい。一方、物理マシンを用いた動的解析環境を構築するためには、OSを短時間で解析前の状態に戻す仕組みを実現させることが課題となる。
上記課題を解決する動作解析システムは、ディスクレスマシンと、前記ディスクレスマシンに接続される記憶部と、ウィルスプログラムの動作前のスナップショットを保存したファイルサーバとを備える。前記ディスクレスマシンと前記ファイルサーバ上の記憶部とを、IPアドレスを用いたハードウェア間インターフェース規格で接続し、前記ディスクレスマシンにおいて、ウィルスプログラムを実行させ、前記ウィルスプログラムの動作解析を行ない、前記動作解析の終了時に、前記スナップショットを用いて、前記記憶部のロールバックを行なう。
本発明によれば、仮想マシンで動作しないマルウェアについて、物理マシンを用いての動的解析を効率的に行なうことができる。
以下、図1〜図3に従って、動作解析システム及び動作解析方法を具体化した一実施形態を説明する。本実施形態では、仮想マシンで動作しない金融系マルウェアについて、物理マシンを用いての動的解析を行なう。
図1に示すように、本実施形態では、ディスクレスクライアント10、支援システム20を用いる。
ディスクレスクライアント10は、CPU、RAM、ROM等の制御部11を備え、ハードディスクなどの記憶装置を持たない物理マシン(ディスクレスマシン)である。ディスクレスクライアント10は、ネットワークカード(NIC:Network Interface Card)を備え、PXE(Preboot eXecution Environment)機能を内蔵する。
ディスクレスクライアント10は、CPU、RAM、ROM等の制御部11を備え、ハードディスクなどの記憶装置を持たない物理マシン(ディスクレスマシン)である。ディスクレスクライアント10は、ネットワークカード(NIC:Network Interface Card)を備え、PXE(Preboot eXecution Environment)機能を内蔵する。
支援システム20は、ディスクレスクライアント10の動作、復旧を支援するコンピュータシステムであり、DHCPサーバ21、TFTPサーバ22、ファイルシステム23を備える。
DHCPサーバ21は、ネットワークに接続されたクライアントが起動した場合、DHCP(Dynamic Host Configuration Protocol)を用いて、ネットワーク利用に必要な設定情報を自動的に割り当てる機能部である。
DHCPサーバ21は、ネットワークに接続されたクライアントが起動した場合、DHCP(Dynamic Host Configuration Protocol)を用いて、ネットワーク利用に必要な設定情報を自動的に割り当てる機能部である。
TFTPサーバ22は、TFTP(Trivial File Transfer Protocol)を用いて、ディスクレスクライアント10にデータを転送する機能部(ファイル転送サーバ)である。TFTPサーバ22は、ディスクレスクライアント10に転送するiPXEブートファイル、iPXEスクリプトを保持する。
ファイルシステム23には、Oracle Solaris(登録商標)上で実装されているストレージ仮想化機能であるZFS(登録商標)を用いる。ZFSは、ある時点におけるファイルシステムの状態を保持することができるスナップショット機能を備える。このスナップショット機能により、多くの仮想マシンが有するスナップショット機能を物理マシンにて実現する。このスナップショット機能を用いて、ファイルシステム23の記憶部230には、マルウェア感染前のOSを保存しておく。そして、動的解析を行なうためにマルウェアに感染した物理マシンを、再起動により速やかに感染前の状態に戻す。
また、本実施形態では、ディスクレスクライアント10と支援システム20との間の通信には、iSCSI(Internet Small Computer System Interface)を用いる。iSCSIは、ハードウェア間のデータのやり取り(SCSIプロトコル)を行なうインターフェースを、ネットワークを介してTCP/IP上で行なう規格である。
iSCSIでは、iSCSIイニシエータ15、iSCSIターゲット25を用いる。そして、iSCSIターゲット25のファイルシステム23を直接HDDとしてマウントすることができる。動的解析に使用するOSは、iSCSIを介して、支援システム20のファイルシステム23にOSを直接インストールすることができ、システムドライブとすることができる。
自動解析環境30は、マルウェアの挙動を自動解析するコンピュータである。この自動解析環境30は、マルウェアに感染したディスクレスクライアント10における挙動解析や、マルウェア特徴情報の抽出等を行なう。この自動解析環境30は、解析対象の複数のマルウェアを保持している。
次に、図2〜図3に従って、上記のように構成されたシステムにおいて実行される処理手順について説明する。
(起動プロセス)
まず、図2を用いて、起動プロセスを説明する。
ここでは、ディスクレスクライアント10の電源を投入する(ステップS1−1)。
この場合、ディスクレスクライアント10は、PXE起動処理を行なう(ステップS1−2)。具体的には、ネットワークカードのROMに内蔵されたPXEクライアントを起動する。
(起動プロセス)
まず、図2を用いて、起動プロセスを説明する。
ここでは、ディスクレスクライアント10の電源を投入する(ステップS1−1)。
この場合、ディスクレスクライアント10は、PXE起動処理を行なう(ステップS1−2)。具体的には、ネットワークカードのROMに内蔵されたPXEクライアントを起動する。
次に、ディスクレスクライアント10は、DHCP要求処理を行なう(ステップS1−3)。具体的には、起動されたPXEクライアントにより、DHCPサーバ21に対して、DHCP要求を行なう。
次に、DHCPサーバ21は、ブートファイル情報の返却処理を行なう(ステップS1−4)。具体的には、DHCPサーバ21は、TFTPサーバ22のIPアドレスとiPXEブートファイル名を、ディスクレスクライアント10に返送する。
次に、ディスクレスクライアント10は、ブートファイル要求処理を行なう(ステップS1−5)。具体的には、ディスクレスクライアント10は、TFTPサーバ22に対して、プリブート実行環境のiPXEブートファイルを要求する。
次に、TFTPサーバ22は、ブートファイル転送処理を行なう(ステップS1−6)。具体的には、TFTPサーバ22は、ディスクレスクライアント10に、iPXEブートファイルを返送する。
次に、ディスクレスクライアント10は、iPXE起動処理を行なう(ステップS1−7)。具体的には、ディスクレスクライアント10は、取得したiPXEブートファイルを実行し、iPXEクライアントとして機能する。
次に、ディスクレスクライアント10は、DHCP要求処理を行なう(ステップS1−8)。具体的には、ディスクレスクライアント10のiPXEクライアントが、DHCP要求を行なう。
そして、DHCPサーバ21は、HDDロールバック要求処理を行なう(ステップS1−9)。具体的には、DHCPサーバ21は、ファイルシステム23に対して、記憶部230のロールバックを要求する。この場合、ファイルシステム23は、スナップショット機能を用いて、記憶部230のロールバックを行なう。
そして、DHCPサーバ21は、HDDロールバック要求処理を行なう(ステップS1−9)。具体的には、DHCPサーバ21は、ファイルシステム23に対して、記憶部230のロールバックを要求する。この場合、ファイルシステム23は、スナップショット機能を用いて、記憶部230のロールバックを行なう。
そして、ロールバック完了後に、ファイルシステム23は、ACK処理を行なう(ステップS1−10)。具体的には、ファイルシステム23は、DHCPサーバ21にACK(肯定応答)を送信する。
ACKを取得したDHCPサーバ21は、スクリプト情報の返却処理を行なう(ステップS1−11)。具体的には、DHCPサーバ21は、ディスクレスクライアント10に、TFTPサーバ22のIPアドレス、iPXEスクリプトファイル名を返送する。
次に、ディスクレスクライアント10は、iPXEスクリプト要求処理を行なう(ステップS1−12)。具体的には、ディスクレスクライアント10は、TFTPサーバ22に対してiPXEスクリプトを要求する。
次に、TFTPサーバ22は、iPXEスクリプトの転送処理を行なう(ステップS1−13)。具体的には、TFTPサーバ22は、ディスクレスクライアント10に、iPXEスクリプトを返送する。
次に、ディスクレスクライアント10は、iPXEスクリプト設定処理を行なう(ステップS1−14)。具体的には、ディスクレスクライアント10は、取得したiPXEスクリプトの設定を行なう。
次に、ディスクレスクライアント10は、iSCSI接続処理を行なう(ステップS1−15)。具体的には、ディスクレスクライアント10は、iPXEスクリプトにより起動されたiSCSIイニシエータ15により、ファイルシステム23のiSCSIターゲット25に接続する。
次に、ファイルシステム23は、OSロード処理を行なう(ステップS1−16)。具体的には、ファイルシステム23は、iSCSIターゲット25として提供されるディスクを起動ディスクとしてOSを起動するように設定する。
次に、ディスクレスクライアント10は、OS起動処理を行なう(ステップS1−17)。具体的には、ディスクレスクライアント10は、制御部11においてOSを起動する。
次に、ディスクレスクライアント10は、OS起動処理を行なう(ステップS1−17)。具体的には、ディスクレスクライアント10は、制御部11においてOSを起動する。
次に、図3を用いて、マルウェアの挙動解析を説明する。
ここでは、ディスクレスクライアント10は、マルウェア投入処理を実行する(ステップS2−1)。具体的には、ディスクレスクライアント10は、自動解析環境30から、解析対象のマルウェアを取得し、ファイルシステム23の記憶部に感染させる。
ここでは、ディスクレスクライアント10は、マルウェア投入処理を実行する(ステップS2−1)。具体的には、ディスクレスクライアント10は、自動解析環境30から、解析対象のマルウェアを取得し、ファイルシステム23の記憶部に感染させる。
次に、ディスクレスクライアント10は、ログ通知処理を実行する(ステップS2−2)。具体的には、ディスクレスクライアント10は、ファイルシステム23の記憶部におけるマルウェアの挙動を自動解析環境30に通知する。
次に、ディスクレスクライアント10は、終了通知処理を実行する(ステップS2−3)。具体的には、ディスクレスクライアント10において、マルウェアの挙動解析を終了する場合、自動解析環境30に終了を通知する。
この場合、ディスクレスクライアント10は、再起動指示の取得処理を実行する(ステップS2−4)。具体的には、自動解析環境30は、ディスクレスクライアント10に、再起動指示を行なう。自動解析環境30から再起動指示を取得したディスクレスクライアント10は、再起動を行ない、電源投入(ステップS1−1)以降の処理を実行する。
本実施形態によれば、以下のような効果を得ることができる。
(1)本実施形態では、ディスクレスクライアント10は、DHCP要求処理を行ない(ステップS1−8)、DHCPサーバ21は、HDDロールバック要求処理を行なう(ステップS1−9)。これにより、スナップショット機能を用いて、マルウェアに感染させたOSを感染前に戻すことができる。
(1)本実施形態では、ディスクレスクライアント10は、DHCP要求処理を行ない(ステップS1−8)、DHCPサーバ21は、HDDロールバック要求処理を行なう(ステップS1−9)。これにより、スナップショット機能を用いて、マルウェアに感染させたOSを感染前に戻すことができる。
(2)本実施形態では、ディスクレスクライアント10は、iPXEスクリプト設定処理(ステップS1−14)、iSCSI接続処理(ステップS1−15)を行なう。これにより、物理マシンを用いた動的解析を行なうことができる。従って、対仮想化処理機能が備わっているマルウェアを解析することができる。
本実施形態は、以下のように変更して実施することができる。本実施形態及び以下の変更例は、技術的に矛盾しない範囲で互いに組み合わせて実施することができる。
・上記実施形態では、ファイルシステム23には、ZFSを用いる。スナップショット機能を備えたファイルシステムであれば、ZFSに限定されるものではない。
・上記実施形態では、ファイルシステム23には、ZFSを用いる。スナップショット機能を備えたファイルシステムであれば、ZFSに限定されるものではない。
・上記実施形態では、ディスクレスクライアント10とファイルシステム23との接続に、iSCSIを用いるが、ハードウェア間インターフェース規格であれば、これに限定されるものではない。
・上記実施形態では、仮想マシンで動作しない金融系マルウェアについての動的解析を行なうが、解析対象は、これに限定されるものではない。コンピュータ(ディスクレスクライアント10)をマルウェアに感染させる等、コンピュータの環境が汚れる可能性のある検証に応用することができ、仮想マシンで動作するマルウェアや、金融系以外のあらゆるマルウェアにも適用できる。例えば、マルウェア等への感染が懸念される悪性のURLへのアクセス試行により、ドライブバイダウンロード等の攻撃手法によるマルウェア感染の調査を行なうことができる。そして、解析完了時に、次回解析のためにコンピュータを解析前の状態に戻すことができるので、複数の解析を連続的に行なうことができる。
次に、上記実施形態及び別例から把握できる技術的思想について、それらの効果とともに以下に追記する。
(a)ファイルサーバとして、ZFSを用いることを特徴とする動作解析システム及び動作解析方法。
これにより、物理マシンにおいてスナップショット機能を利用することができる。
(a)ファイルサーバとして、ZFSを用いることを特徴とする動作解析システム及び動作解析方法。
これにより、物理マシンにおいてスナップショット機能を利用することができる。
(b)ハードウェア間インターフェース規格として、iSCSIを用いることを特徴とする動作解析システム及び動作解析方法。
これにより、ディスクレスマシンとサーバ上の記憶部とを接続できる。
これにより、ディスクレスマシンとサーバ上の記憶部とを接続できる。
10…ディスクレスクライアント、15…iSCSIイニシエータ、20…支援システム、21…DHCPサーバ、22…TFTPサーバ、23…ファイルシステム、230…記憶部、25…iSCSIターゲット、30…自動解析環境。
Claims (2)
- ディスクレスマシンと、前記ディスクレスマシンに接続されるとともに、ウィルスプログラムの動作前のスナップショットを保存したファイルサーバと、挙動解析装置とを備え、ウィルスプログラムの動作を解析する動作解析システムであって、
前記ディスクレスマシンは、
設定割当サーバから、ファイル転送サーバのアドレスとスクリプト名を取得し、
前記取得したアドレス及びスクリプト名に基づいて、前記ファイル転送サーバから、プリブートスクリプトを取得し、
前記プリブートスクリプトに基づいて、前記ファイルサーバに保存されたスナップショットを用いて、前記ファイルサーバ上の記憶部のロールバックを行なった後で、前記ディスクレスマシンと前記ファイルサーバ上の記憶部とを、IPアドレスを用いたハードウェア間インターフェース規格で接続してOSを起動する起動処理を実行し、
前記ディスクレスマシンにおいて、ウィルスプログラムを実行させ、
前記挙動解析装置が、前記ウィルスプログラムの動作解析を行ない、
前記ディスクレスマシンは、前記動作解析の終了後に再起動指示を取得した場合、前記起動処理を行なうことを特徴とする動作解析システム。 - ディスクレスマシンと、前記ディスクレスマシンに接続されるとともに、ウィルスプログラムの動作前のスナップショットを保存したファイルサーバと、挙動解析装置とを備えた動作解析システムを用いて、ウィルスプログラムの動作を解析する方法であって、
前記ディスクレスマシンは、
設定割当サーバから、ファイル転送サーバのアドレスとスクリプト名を取得し、
前記取得したアドレス及びスクリプト名に基づいて、前記ファイル転送サーバから、プリブートスクリプトを取得し、
前記プリブートスクリプトに基づいて、前記ファイルサーバに保存されたスナップショットを用いて、前記ファイルサーバ上の記憶部のロールバックを行なった後で、前記ディスクレスマシンと前記ファイルサーバ上の記憶部とを、IPアドレスを用いたハードウェア間インターフェース規格で接続してOSを起動する起動処理を実行し、
前記ディスクレスマシンにおいて、ウィルスプログラムを実行させ、
前記挙動解析装置が、前記ウィルスプログラムの動作解析を行ない、
前記ディスクレスマシンは、前記動作解析の終了後に再起動指示を取得した場合、前記起動処理を行なうことを特徴とする動作解析方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018077432A JP6600034B2 (ja) | 2018-04-13 | 2018-04-13 | 動作解析システム及び動作解析方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018077432A JP6600034B2 (ja) | 2018-04-13 | 2018-04-13 | 動作解析システム及び動作解析方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019185517A JP2019185517A (ja) | 2019-10-24 |
| JP6600034B2 true JP6600034B2 (ja) | 2019-10-30 |
Family
ID=68341417
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018077432A Active JP6600034B2 (ja) | 2018-04-13 | 2018-04-13 | 動作解析システム及び動作解析方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6600034B2 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20220093585A (ko) * | 2020-12-28 | 2022-07-05 | 주식회사 에스투더블유 | 악성코드 분석 시스템 및 시스템의 동작 방법 |
| KR102514513B1 (ko) * | 2021-10-28 | 2023-03-29 | 아이지엠 주식회사 | 병원 의료영상 등록기를 이용한 컴퓨터 바이러스 사전차단 방법 |
| CN114780302B (zh) * | 2022-06-23 | 2022-09-16 | 山东爱特云翔信息技术有限公司 | 基于openstack云主机的快照回滚方法、系统、装置及存储介质 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007334536A (ja) * | 2006-06-14 | 2007-12-27 | Securebrain Corp | マルウェアの挙動解析システム |
| JP2009042892A (ja) * | 2007-08-07 | 2009-02-26 | Nippon Telegr & Teleph Corp <Ntt> | データ管理システム,データ管理方法 |
| FR2957700B1 (fr) * | 2010-03-22 | 2012-04-13 | Bull Sas | Procede, programme d'ordinateur et dispositif d'optimisation de chargement et de demarrage d'un systeme d'exploitation dans un systeme informatique via un reseau de communication |
| JP5389855B2 (ja) * | 2011-04-28 | 2014-01-15 | 日本電信電話株式会社 | 解析システム、解析方法および解析プログラム |
| CN103164295B (zh) * | 2013-03-22 | 2015-05-13 | 危子彪 | 基于zfs文件系统和kvm内核虚拟底层系统的企业it业务虚拟化容灾方法 |
| ITRM20130712A1 (it) * | 2013-12-23 | 2015-06-24 | Alma Mater Studiorum Uni D I Bologna | Metodo e sistema per la fruizione di dati in informatica forense in ambienti virtuali. |
-
2018
- 2018-04-13 JP JP2018077432A patent/JP6600034B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2019185517A (ja) | 2019-10-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9146767B2 (en) | Secure cloud hypervisor monitor | |
| Lindorfer et al. | Detecting environment-sensitive malware | |
| TWI514283B (zh) | 擷取輕型虛擬機器管理員中錯誤條件的方法、系統及設備 | |
| US9804869B1 (en) | Evaluating malware in a virtual machine using dynamic patching | |
| US20170366563A1 (en) | Agentless ransomware detection and recovery | |
| US20100175108A1 (en) | Method and system for securing virtual machines by restricting access in connection with a vulnerability audit | |
| US20100199351A1 (en) | Method and system for securing virtual machines by restricting access in connection with a vulnerability audit | |
| JP6600034B2 (ja) | 動作解析システム及び動作解析方法 | |
| US10678918B1 (en) | Evaluating malware in a virtual machine using copy-on-write | |
| US9813443B1 (en) | Systems and methods for remediating the effects of malware | |
| US20080016572A1 (en) | Malicious software detection via memory analysis | |
| US9792436B1 (en) | Techniques for remediating an infected file | |
| CN101436234A (zh) | 一种确保操作环境安全的系统和方法 | |
| US10140454B1 (en) | Systems and methods for restarting computing devices into security-application-configured safe modes | |
| US9330260B1 (en) | Detecting auto-start malware by checking its aggressive load point behaviors | |
| US11971994B2 (en) | End-point visibility | |
| US20190294796A1 (en) | Resolving anomalies for network applications using code injection | |
| US10601867B2 (en) | Attack content analysis program, attack content analysis method, and attack content analysis apparatus | |
| US20180137274A1 (en) | Malware analysis method and storage medium | |
| CN110505246B (zh) | 客户端网络通讯检测方法、装置及存储介质 | |
| US9785492B1 (en) | Technique for hypervisor-based firmware acquisition and analysis | |
| US10200374B1 (en) | Techniques for detecting malicious files | |
| US9141795B2 (en) | Techniques for detecting malicious activity | |
| US9342694B2 (en) | Security method and apparatus | |
| US20180276382A1 (en) | System and Method for Automation of Malware Unpacking and Analysis |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180413 |
|
| A80 | Written request to apply exceptions to lack of novelty of invention |
Free format text: JAPANESE INTERMEDIATE CODE: A80 Effective date: 20180510 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190625 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190821 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190903 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20191003 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6600034 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |