JP7442313B2 - 仮想マシンにおいて脆弱性を有するファイルを実行するときにログを作成するためのシステムおよび方法 - Google Patents
仮想マシンにおいて脆弱性を有するファイルを実行するときにログを作成するためのシステムおよび方法 Download PDFInfo
- Publication number
- JP7442313B2 JP7442313B2 JP2019229699A JP2019229699A JP7442313B2 JP 7442313 B2 JP7442313 B2 JP 7442313B2 JP 2019229699 A JP2019229699 A JP 2019229699A JP 2019229699 A JP2019229699 A JP 2019229699A JP 7442313 B2 JP7442313 B2 JP 7442313B2
- Authority
- JP
- Japan
- Prior art keywords
- file
- trigger
- event
- vulnerability
- exploit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 89
- 230000006870 function Effects 0.000 claims description 66
- 230000008569 process Effects 0.000 claims description 49
- 230000004913 activation Effects 0.000 claims description 10
- 230000004048 modification Effects 0.000 claims description 4
- 238000012986 modification Methods 0.000 claims description 4
- 230000009471 action Effects 0.000 description 12
- 229940004975 interceptor Drugs 0.000 description 10
- 238000010586 diagram Methods 0.000 description 8
- 230000000694 effects Effects 0.000 description 6
- 230000008901 benefit Effects 0.000 description 5
- 230000002093 peripheral effect Effects 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 238000004590 computer program Methods 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 4
- 238000011161 development Methods 0.000 description 3
- 230000018109 developmental process Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000001902 propagating effect Effects 0.000 description 2
- RYGMFSIKBFXOCR-UHFFFAOYSA-N Copper Chemical compound [Cu] RYGMFSIKBFXOCR-UHFFFAOYSA-N 0.000 description 1
- 244000035744 Hura crepitans Species 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 238000007630 basic procedure Methods 0.000 description 1
- 239000003990 capacitor Substances 0.000 description 1
- 229910052802 copper Inorganic materials 0.000 description 1
- 239000010949 copper Substances 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000009931 harmful effect Effects 0.000 description 1
- RGNPBRKPHBKNKX-UHFFFAOYSA-N hexaflumuron Chemical compound C1=C(Cl)C(OC(F)(F)C(F)F)=C(Cl)C=C1NC(=O)NC(=O)C1=C(F)C=CC=C1F RGNPBRKPHBKNKX-UHFFFAOYSA-N 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3466—Performance evaluation by tracing or monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/54—Interprogram communication
- G06F9/542—Event management; Broadcasting; Multicasting; Notifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45591—Monitoring or debugging support
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Multimedia (AREA)
- Quality & Reliability (AREA)
- Debugging And Monitoring (AREA)
Description
-ファイル100が実行可能である場合には、ファイル100を実行すること。
-ファイル100が実行可能でない場合には、アプリケーションによってファイル100を開くこと。
-プロセスのスレッドの実行中のAPI関数の呼び出し;
-API関数からのリターン;
-システムコール(つまり、スレッドがOSのカーネルにアクセスして何らかの動作を実行すること);
-システムコールからのリターン;および
-OSからのメッセージ(たとえば通知)(たとえば、スレッドの作成、プロセスの作成、モジュールのロードを示すメッセージ等)。
-リターン指向プログラミング(ROP)を利用する呼出しチェーンからのイベント生成;
-ヒープ上でのコードの実行によるイベントの生成;
-スタック上でのコードの実行によるイベントの生成;
-スタックの変更;
-オペレーティングシステム内のプロセスの権利および特権を記述するデータ構造の変更(悪意のあるアプリケーション190がオペレーティングシステムのカーネルの脆弱性を利用している場合、その結果、いずれかのアプリケーションがそれまでは有していなかった権利を取得する可能性がある);
-メモリページからの最初の実行によって生成されたイベント;および
-メモリの動的割当およびその中へのオブジェクトの配置。
インターセプタ130がイベントを発見する: API関数が呼び出され、それに対してトリガがアクティブ化された。インターセプタ130はESPレジスタをチェックし、関数呼び出しのアドレスを一つずつ特定し、API関数の呼び出し元を決定する。API関数を呼び出したコードが、ファイル100を開いたときに作成されたプロセスのアドレス空間にロードされたモジュールまたはダイナミックライブラリに見つからない場合(すなわち、コードが異常なアドレスに位置する場合)、上述のアクション、すなわち、呼び出しの異常なアドレスを含む、特定された呼び出しのシーケンスに関する情報をログ150に保存すること、および、異常なアドレスの周りのメモリ領域のダンプをログ150に保存すること、を実行する必要がある。
インターセプタ130がイベントを発見する: API関数が呼び出され、それに対してトリガがアクティブ化された。インターセプタ130はESPレジスタをチェックし、スタック上のリターン指向プログラミング(ROP)チェーンの存在をチェックする。チェーンが見つかった場合、メモリダンプ(スタック)は、さらなる分析のためにログ150に保存される。
インターセプタ130がイベントを発見する: それに対してトリガがアクティブ化されたAPI関数からのリターンである。インターセプタは、API関数のリターンアドレスをチェックする。リターンアドレスがヒープまたはスタックを示す場合、リターンアドレスとヒープまたはスタックのダンプとがログ150に保存される。
インターセプタ130がイベントを発見する: あるメモリページ上の実行の第1のインスタンスである。インターセプタはメモリページを分析する。ページが、ロードされたモジュールおよびライブラリに対応しない場合、そこから実行の第1のインスタンスが発生したメモリページのアドレスを保存することができ、さらに、メモリページ自体の内容をさらに分析するため、たとえばログ150に保存することができる。
脆弱性の利用がいくつかのステップで行われる場合、悪意のあるアプリケーション190はまず、メモリオブジェクト(データ構造、実行可能コードなど)が配置されることになる、ある量のメモリを割り当て(例えば、ヒープの割振り)、次に、このメモリに制御を移す試みが行われる。インターセプタ130はイベントを発見する: すなわち、動的メモリ割り当てである。(たとえば、脆弱なファイル100のバージョンが一致しないため)制御が移されなかった場合であっても、インターセプタ130は、オブジェクトが配置された、割り当てられたメモリのダンプを記録し、さらなる分析のために記録されたダンプを送信する。
インターセプタ130はイベントを発見する: オペレーティングシステム内のプロセスの特権を記述するデータ構造が変更されている。この場合、オペレーティングシステムのカーネルの脆弱性が利用される可能性が高い。インターセプタ130はさらなる分析のために、ログ150に、インターセプトされたイベントを生成した関数呼び出しのスタック、プロセスの特権を記述するデータ構造、およびプロセスのメモリダンプを保存する。
-プロセスのスレッド実行中のAPI関数の呼び出し;
-API関数からのリターン;
-システムコール(例えば、スレッドがオペレーティングシステムのカーネルにアクセスして何らかの動作を実行すること);
-システムコールからのリターン;および
-オペレーティングシステムからの通知の受信。
-リターン指向プログラミング(ROP)を利用する呼出しチェーンからのイベントの生成;
-ヒープ上での実行によるイベントの生成;
-スタック上での実行によるイベントの生成;
-スタックの変更;
-オペレーティングシステム内のプロセスの権利および特権を記述するデータ構造の変更;
-メモリページからの最初の実行によって生成されたイベント;および
-メモリの動的割当、および、動的に割り当てられたメモリへのオブジェクトの配置。
Claims (20)
- 仮想マシンにおいて脆弱性を有するファイルの実行中にログを作成する方法であって、
インターセプタにより、前記ファイルを開いたときに作成されたプロセスのスレッドの実行中のトリガのアクティブ化を発見し、当該トリガは、少なくとも、オペレーティングシステム内のプロセスの権利および特権を記述するデータ構造の変更を実行するイベント、および、前記ファイルの脆弱性を利用しようとする試みに関連する前記イベントに付随する一つまたは複数の条件を記述し、
前記インターセプタにより、前記ファイルを開いたときに作成された前記プロセスのスタックを分析し、呼出しとリターンアドレスのシーケンスの形をとる、前記イベントに先行する関数呼び出しのチェーンを発見し、
前記インターセプタにより、発見された前記関数呼び出しのチェーンが前記脆弱性を利用しようとする前記試みに関連する前記トリガの条件を満足するか分析し、
前記ファイルの前記脆弱性を利用しようとする前記試みに関連する前記トリガの前記条件が満足される場合、前記インターセプタにより、前記関数呼び出しのチェーンに関する情報をログに保存する、
ことを含む方法。 - 前記トリガの前記条件が満足されたことに関連するメモリ領域のダンプを、前記ログに保存する
ことをさらに含む、請求項1に記載の方法。 - 前記イベントは、
前記プロセスの前記スレッドの実行中のAPI関数の呼び出し、
API関数からのリターン、
システムコール、
システムコールからのリターン、および
オペレーティングシステムからの通知の受信、
のうち少なくとも一つを含む、請求項1に記載の方法。 - 前記トリガは、前記ファイルの脆弱性を利用しようとする試みに関連する一つまたは複数のさらなるイベントおよび当該一つまたは複数のさらなるイベントに付随する条件を記述し、前記一つまたは複数のさらなるイベントは、
リターン指向プログラミング(ROP)を利用する呼出しチェーンからのイベントの生成、
ヒープ上での実行によるイベントの生成、
スタック上での実行によるイベントの生成、
スタックの変更、
メモリページからの最初の実行によって生成されたイベント、および、
メモリの動的割当、および、動的に割り当てられた当該メモリへのオブジェクトの配置、
の少なくとも一つを含む、請求項1に記載の方法。 - 前記ファイルを開くことは、
前記ファイルが実行可能な場合は、当該ファイルの実行、または、
前記ファイルが実行不可能な場合は、アプリケーションによって当該ファイルを開くこと、
のうち一つを含む、請求項1に記載の方法。 - セキュリティモジュールは、
前記仮想マシンの起動、または、
以前に作成された仮想マシンからの前記セキュリティモジュールの選択、
のうち、少なくとも一つを実行する、請求項1に記載の方法。 - 前記トリガは、発生により前記トリガをアクティブ化する実際の前記イベントと、前記ファイルの前記脆弱性を利用しようとする前記試みに関連する実際の前記イベントに付随する前記トリガの前記条件とを記述する、請求項1に記載の方法。
- コンピューティングデバイス上でインスタンス化された仮想マシンにおいて脆弱性を有するファイルの実行中にログを作成するためのシステムであって
インターセプタにより、前記ファイルを開いたときに作成されたプロセスのスレッドの実行中のトリガのアクティブ化を発見し、当該トリガは、少なくとも、オペレーティングシステム内のプロセスの権利および特権を記述するデータ構造の変更を実行するイベント、および、前記ファイルの脆弱性を利用しようとする試みに関連する前記イベントに付随する一つまたは複数の条件を記述し、
前記インターセプタにより、前記ファイルを開いたときに作成された前記プロセスのスタックを分析し、呼出しとリターンアドレスのシーケンスの形をとる、前記イベントに先行する関数呼び出しのチェーンを発見し、
前記インターセプタにより、発見された前記関数呼び出しのチェーンが前記脆弱性を利用しようとする前記試みに関連する前記トリガの条件を満足するか分析し、
前記ファイルの前記脆弱性を利用しようとする前記試みに関連する前記トリガの前記条件が満足される場合、前記インターセプタにより、前記関数呼び出しのチェーンに関する情報をログに保存する
よう構成される少なくとも一つのハードウェアのプロセッサを備えるシステム。 - 前記プロセッサはさらに、前記トリガの前記条件が満足されたことに関連するメモリ領域のダンプを、前記ログに保存するよう構成される、請求項8に記載のシステム。
- 前記イベントは、
前記プロセスの前記スレッドの実行中のAPI関数の呼び出し、
API関数からのリターン、
システムコール、
システムコールからのリターン、および
オペレーティングシステムからの通知の受信、
のうち少なくとも一つを含む、請求項8に記載のシステム。 - 前記トリガは、前記ファイルの脆弱性を利用しようとする試みに関連する一つまたは複数のさらなるイベントおよび当該一つまたは複数のさらなるイベントに付随する条件を記述し、前記一つまたは複数のさらなるイベントは、
リターン指向プログラミング(ROP)を利用する呼出しチェーンからのイベントの生成、
ヒープ上での実行によるイベントの生成、
スタック上での実行によるイベントの生成、
スタックの変更、
メモリページからの最初の実行によって生成されたイベント、および、
メモリの動的割当、および、動的に割り当てられた当該メモリへのオブジェクトの配置、
の少なくとも一つを含む、請求項8に記載のシステム。 - 前記ファイルを開くことは、
前記ファイルが実行可能な場合は、当該ファイルの実行、または、
前記ファイルが実行不可能な場合は、アプリケーションによって当該ファイルを開くこと、
のうち一つを含む、請求項8に記載のシステム。 - セキュリティモジュールは、
前記仮想マシンの起動、または
以前に作成された仮想マシンからの前記セキュリティモジュールの選択、
のうち、少なくとも一つを実行する、請求項8に記載のシステム。 - 前記トリガは、発生により前記トリガをアクティブ化する実際の前記イベントと、前記ファイルの前記脆弱性を利用しようとする前記試みに関連する実際の前記イベントに付随する前記トリガの前記条件とを記述する、請求項8に記載のシステム。
- 仮想マシンにおいて脆弱性を有するファイルの実行中にログを作成するためのコンピュータ実行可能命令を記憶する非一時的コンピュータ可読媒体であって、
前記ファイルを開いたときに作成されたプロセスのスレッドの実行中のトリガのアクティブ化を発見し、当該トリガは、少なくとも、オペレーティングシステム内のプロセスの権利および特権を記述するデータ構造の変更を実行するイベント、および、前記ファイルの脆弱性を利用しようとする試みに関連する前記イベントに付随する一つまたは複数の条件を記述し、
前記ファイルを開いたときに作成された前記プロセスのスタックを分析し、呼出しとリターンアドレスのシーケンスの形をとる、前記イベントに先行する関数呼び出しのチェーンを発見し、
発見された前記関数呼び出しのチェーンが前記脆弱性を利用しようとする前記試みに関連する前記トリガの条件を満足するか分析し、
前記ファイルの前記脆弱性を利用しようとする前記試みに関連する前記トリガの前記条件が満足される場合、前記関数呼び出しのチェーンに関する情報をログに保存する、
ための命令を含む、非一時的コンピュータ可読媒体。 - 前記命令はさらに、前記トリガの前記条件が満足されたことに関連するメモリ領域のダンプを、前記ログに保存するための命令を含む、請求項15に記載の非一時的コンピュータ可読媒体。
- 前記イベントは、
前記プロセスの前記スレッドの実行中のAPI関数の呼び出し、
API関数からのリターン、
システムコール、
システムコールからのリターン、および
オペレーティングシステムからの通知の受信、
のうち少なくとも一つを含む、請求項15に記載の非一時的コンピュータ可読媒体。 - 前記トリガは、前記ファイルの脆弱性を利用しようとする試みに関連する一つまたは複数のさらなるイベントおよび当該一つまたは複数のさらなるイベントに付随する条件を記述し、前記一つまたは複数のさらなるイベントは、
リターン指向プログラミング(ROP)を利用する呼出しチェーンからのイベントの生成、
ヒープ上での実行によるイベントの生成、
スタック上での実行によるイベントの生成、
スタックの変更、
メモリページからの最初の実行によって生成されたイベント、および、
メモリの動的割当、および、動的に割り当てられた当該メモリへのオブジェクトの配置、
の少なくとも一つを含む、請求項15に記載の非一時的コンピュータ可読媒体。 - 前記ファイルを開くことは、
前記ファイルが実行可能な場合は、当該ファイルの実行、または、
前記ファイルが実行不可能な場合は、アプリケーションによって当該ファイルを開くこと、
のうち一つを含む、請求項15に記載の非一時的コンピュータ可読媒体。 - セキュリティモジュールは、
前記仮想マシンの起動、または、
以前に作成された仮想マシンからの前記セキュリティモジュールの選択、
のうち、少なくとも一つを実行する、請求項15に記載の非一時的コンピュータ可読媒体。
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2018147237A RU2724790C1 (ru) | 2018-12-28 | 2018-12-28 | Система и способ формирования журнала при исполнении файла с уязвимостями в виртуальной машине |
RU2018147237 | 2018-12-28 | ||
US16/412,499 | 2019-05-15 | ||
US16/412,499 US11449615B2 (en) | 2018-12-28 | 2019-05-15 | System and method of forming a log when executing a file with vulnerabilities in a virtual machine |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2020109649A JP2020109649A (ja) | 2020-07-16 |
JP7442313B2 true JP7442313B2 (ja) | 2024-03-04 |
Family
ID=71122937
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019229699A Active JP7442313B2 (ja) | 2018-12-28 | 2019-12-19 | 仮想マシンにおいて脆弱性を有するファイルを実行するときにログを作成するためのシステムおよび方法 |
Country Status (4)
Country | Link |
---|---|
US (1) | US11449615B2 (ja) |
JP (1) | JP7442313B2 (ja) |
CN (1) | CN111382043B (ja) |
RU (1) | RU2724790C1 (ja) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11886585B1 (en) * | 2019-09-27 | 2024-01-30 | Musarubra Us Llc | System and method for identifying and mitigating cyberattacks through malicious position-independent code execution |
US11416611B2 (en) * | 2019-12-05 | 2022-08-16 | Vmware, Inc. | Countering malware detection evasion techniques |
CN112035318B (zh) * | 2020-08-28 | 2022-03-22 | 北京浪潮数据技术有限公司 | 一种异常进程的定位方法、系统及相关装置 |
US20220108007A1 (en) * | 2020-10-02 | 2022-04-07 | Vdoo Connected Trust Ltd. | Firmware Protection |
CN113779561B (zh) * | 2021-09-09 | 2024-03-01 | 安天科技集团股份有限公司 | 内核漏洞处理方法、装置、存储介质及电子设备 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2017514260A (ja) | 2014-07-31 | 2017-06-01 | エヌイーシー ラボラトリーズ アメリカ インクNEC Laboratories America, Inc. | リターン指向プログラミング攻撃の透過的な検出及び抽出 |
JP2018041438A (ja) | 2016-09-08 | 2018-03-15 | エーオー カスペルスキー ラボAO Kaspersky Lab | ファイル中の悪意のあるコードの検出システム及び方法 |
JP2018129019A (ja) | 2017-02-08 | 2018-08-16 | エーオー カスペルスキー ラボAO Kaspersky Lab | 仮想マシンにおける悪意のあるファイルを分析するシステム及び方法 |
Family Cites Families (23)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7779472B1 (en) | 2005-10-11 | 2010-08-17 | Trend Micro, Inc. | Application behavior based malware detection |
US8805995B1 (en) * | 2008-05-23 | 2014-08-12 | Symantec Corporation | Capturing data relating to a threat |
US8479286B2 (en) | 2009-12-15 | 2013-07-02 | Mcafee, Inc. | Systems and methods for behavioral sandboxing |
US8458798B2 (en) * | 2010-03-19 | 2013-06-04 | Aspect Security Inc. | Detection of vulnerabilities in computer systems |
RU2453917C1 (ru) * | 2010-12-30 | 2012-06-20 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ для оптимизации выполнения антивирусных задач в локальной сети |
US9058492B1 (en) * | 2011-02-14 | 2015-06-16 | Symantec Corporation | Techniques for reducing executable code vulnerability |
US9223979B2 (en) * | 2012-10-31 | 2015-12-29 | Intel Corporation | Detection of return oriented programming attacks |
US9015835B2 (en) * | 2013-06-23 | 2015-04-21 | Intel Corporation | Systems and methods for procedure return address verification |
US9465936B2 (en) * | 2013-11-06 | 2016-10-11 | Bitdefender IPR Management Ltd. | Systems and methods for detecting return-oriented programming (ROP) exploits |
WO2015142755A1 (en) * | 2014-03-17 | 2015-09-24 | Proofpoint, Inc. | Behavior profiling for malware detection |
US9305167B2 (en) * | 2014-05-21 | 2016-04-05 | Bitdefender IPR Management Ltd. | Hardware-enabled prevention of code reuse attacks |
US9594912B1 (en) | 2014-06-06 | 2017-03-14 | Fireeye, Inc. | Return-oriented programming detection |
US10049211B1 (en) * | 2014-07-16 | 2018-08-14 | Bitdefender IPR Management Ltd. | Hardware-accelerated prevention of code reuse attacks |
US9990492B2 (en) * | 2014-07-23 | 2018-06-05 | Grammatech, Inc. | Systems and/or methods for automatically protecting against memory corruption vulnerabilities |
RU2628921C1 (ru) * | 2016-03-18 | 2017-08-22 | Акционерное общество "Лаборатория Касперского" | Система и способ выполнения антивирусной проверки файла на виртуальной машине |
GB2555517B (en) * | 2016-08-03 | 2022-05-11 | Sophos Ltd | Mitigation of return-oriented programming attacks |
US10437990B2 (en) * | 2016-09-30 | 2019-10-08 | Mcafee, Llc | Detection of return oriented programming attacks in a processor |
US10686823B2 (en) * | 2017-01-30 | 2020-06-16 | Xm Cyber Ltd. | Systems and methods for detecting computer vulnerabilities that are triggered by events |
RU2649794C1 (ru) * | 2017-04-28 | 2018-04-04 | Акционерное общество "Лаборатория Касперского" | Система и способ формирования журнала в виртуальной машине для проведения антивирусной проверки файла |
US10565379B2 (en) * | 2017-05-31 | 2020-02-18 | Intel Corporation | System, apparatus and method for instruction level behavioral analysis without binary instrumentation |
US20180357413A1 (en) | 2017-05-31 | 2018-12-13 | Paul A. Rivera | Methods and Systems for the Active Defense of a Computing System Against Malware |
CN108171062B (zh) * | 2017-12-22 | 2022-01-18 | 联想(北京)有限公司 | 一种针对设备的定位方法、装置及存储介质 |
US11003764B2 (en) * | 2018-02-06 | 2021-05-11 | Jayant Shukla | System and method for exploiting attack detection by validating application stack at runtime |
-
2018
- 2018-12-28 RU RU2018147237A patent/RU2724790C1/ru active
-
2019
- 2019-05-15 US US16/412,499 patent/US11449615B2/en active Active
- 2019-07-01 CN CN201910586084.4A patent/CN111382043B/zh active Active
- 2019-12-19 JP JP2019229699A patent/JP7442313B2/ja active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2017514260A (ja) | 2014-07-31 | 2017-06-01 | エヌイーシー ラボラトリーズ アメリカ インクNEC Laboratories America, Inc. | リターン指向プログラミング攻撃の透過的な検出及び抽出 |
JP2018041438A (ja) | 2016-09-08 | 2018-03-15 | エーオー カスペルスキー ラボAO Kaspersky Lab | ファイル中の悪意のあるコードの検出システム及び方法 |
JP2018129019A (ja) | 2017-02-08 | 2018-08-16 | エーオー カスペルスキー ラボAO Kaspersky Lab | 仮想マシンにおける悪意のあるファイルを分析するシステム及び方法 |
Also Published As
Publication number | Publication date |
---|---|
US20200210591A1 (en) | 2020-07-02 |
CN111382043A (zh) | 2020-07-07 |
CN111382043B (zh) | 2023-10-13 |
RU2724790C1 (ru) | 2020-06-25 |
US11449615B2 (en) | 2022-09-20 |
JP2020109649A (ja) | 2020-07-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7442313B2 (ja) | 仮想マシンにおいて脆弱性を有するファイルを実行するときにログを作成するためのシステムおよび方法 | |
US10242186B2 (en) | System and method for detecting malicious code in address space of a process | |
RU2531861C1 (ru) | Система и способ оценки вредоносности кода, исполняемого в адресном пространстве доверенного процесса | |
US9094451B2 (en) | System and method for reducing load on an operating system when executing antivirus operations | |
RU2679175C1 (ru) | Способ поведенческого обнаружения вредоносных программ с использованием виртуальной машины-интерпретатора | |
US10642973B2 (en) | System and method of analysis of files for maliciousness and determining an action | |
US11048795B2 (en) | System and method for analyzing a log in a virtual machine based on a template | |
US20150121531A1 (en) | System and method for preserving and subsequently restoring emulator state | |
RU2649794C1 (ru) | Система и способ формирования журнала в виртуальной машине для проведения антивирусной проверки файла | |
EP3926470B1 (en) | Emulator and emulation method | |
CN110659478B (zh) | 在隔离的环境中检测阻止分析的恶意文件的方法 | |
US11182473B1 (en) | System and method for mitigating cyberattacks against processor operability by a guest process | |
EP2881883B1 (en) | System and method for reducing load on an operating system when executing antivirus operations | |
EP3674940B1 (en) | System and method of forming a log when executing a file with vulnerabilities in a virtual machine | |
EP3361406A1 (en) | System and method of analysis of files for maliciousness in a virtual machine | |
US11609993B2 (en) | Emulator and emulation method | |
RU2592383C1 (ru) | Способ формирования антивирусной записи при обнаружении вредоносного кода в оперативной памяти | |
EP3588346A1 (en) | Method of detecting malicious files resisting analysis in an isolated environment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220719 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230719 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230725 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20231025 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240123 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240220 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7442313 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |