JPH03233629A - System for checking destruction of execution format file - Google Patents
System for checking destruction of execution format fileInfo
- Publication number
- JPH03233629A JPH03233629A JP2029902A JP2990290A JPH03233629A JP H03233629 A JPH03233629 A JP H03233629A JP 2029902 A JP2029902 A JP 2029902A JP 2990290 A JP2990290 A JP 2990290A JP H03233629 A JPH03233629 A JP H03233629A
- Authority
- JP
- Japan
- Prior art keywords
- file
- check
- executable
- length
- checksum
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000006378 damage Effects 0.000 title claims description 12
- 230000007246 mechanism Effects 0.000 claims abstract description 63
- 238000000034 method Methods 0.000 claims description 38
- 230000000694 effects Effects 0.000 claims description 13
- 238000000605 extraction Methods 0.000 claims description 7
- 239000000284 extract Substances 0.000 claims description 5
- 241000700605 Viruses Species 0.000 abstract description 31
- 208000015181 infectious disease Diseases 0.000 abstract description 11
- 230000009385 viral infection Effects 0.000 description 11
- 230000008569 process Effects 0.000 description 9
- 230000006870 function Effects 0.000 description 7
- 230000035755 proliferation Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 208000024891 symptom Diseases 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 201000010099 disease Diseases 0.000 description 1
- 208000037265 diseases, disorders, signs and symptoms Diseases 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Abstract
Description
【発明の詳細な説明】
〔産業上の利用分野〕
本発明はコンピュータシステムにおける実行形式ファイ
ルの被破壊チェック方式に関するものであり、より詳し
くは、俗にコンピュータウィルスと呼ばれる不正なプロ
グラムのコンピュータシステムへの侵入および実行形式
ファイルの破壊を検査する方式に関するものである。[Detailed Description of the Invention] [Industrial Application Field] The present invention relates to a method for checking whether an executable file in a computer system is destroyed. This relates to a method for inspecting for intrusion and destruction of executable files.
コンピュータウィルスとは、自己複写機能およびシステ
ム損傷機能を持つプログラムのことである。A computer virus is a program that has the ability to self-replicate and damage the system.
ここで、自己複写機能とは、それ自身のプログラム(コ
ンピュータウィルスプログラム)を他の適当な実行形式
ファイル(プログラム)に複写または挿入する機能のこ
とである。コンピュータウィルスプログラムを複写また
は挿入された実行形式ファイルは、コンピュータウィル
スに感染したと言い、次にこの実行形式ファイルを実行
すると、また別の適当な実行形式ファイルを選び、コン
ピュータウィルスプログラムを複写または挿入する。Here, the self-copying function refers to a function that copies or inserts its own program (computer virus program) into another appropriate executable file (program). An executable file that has a computer virus program copied or inserted into it is said to be infected with a computer virus, and when this executable file is executed next, another suitable executable file is selected and the computer virus program is copied or inserted. do.
そして、これらがコンピュータシステム内の各所で繰り
返されて行くことになる。これをコンピュータウィルス
の増殖という、また、コンピュータウィルスプログラム
がコンピュータシステムへ侵入したことを、コンピュー
タシステムがコンピュータウィルスに感染したと言う。These operations are then repeated at various locations within the computer system. This is called the proliferation of computer viruses, and when a computer virus program invades a computer system, it is said that the computer system is infected with a computer virus.
一方、システム損傷機能とは、磁気ディスク装置のフォ
ーマントのようなコンピュータシステムに復旧不能な損
害を与える処理を行う機能のことであり、特定の日時や
、感染してからの時間や、増殖回数等の契機によって生
ずる。このようになった状態を、コンピュータシステム
が発病したと言う。On the other hand, a system damage function is a function that performs processing that causes irreparable damage to a computer system, such as the formant of a magnetic disk drive. Occurs due to factors such as When this happens, it is said that the computer system has developed an illness.
従来、上述したコンピュータウィルスについては次のよ
うな対策が採られていた。Conventionally, the following measures have been taken against the computer viruses mentioned above.
■ネットワークからの感染を防ぐために、外部のコンピ
ュータシステムからのログインユーザは、なるべく一般
ユーザとして扱い、特権ユーザとは区別し、プログラム
の書き換えやインストールを行わせない。■In order to prevent infection from the network, users logging in from external computer systems should be treated as general users, distinguished from privileged users, and prevented from rewriting or installing programs.
■フロッピーディスク等の外部記憶装置からの感染を防
ぐために、その発行元を明確にし、怪しいものはインス
トールを行わないようにする。■To prevent infection from external storage devices such as floppy disks, clarify the publisher and avoid installing anything suspicious.
■特権ユーザは、正当性が十分信鎖できる実行形式ファ
イルに関してのみ実行するように注意し、コンピュータ
ウィルスの感染する機会を最小限に止め、またシステム
破壊等の復元不可能な事態の発生(発病)が起こらない
ように努める。■Privileged users should be careful to execute only executable files that have sufficient credibility to minimize the chance of computer virus infection, and also to minimize the chance of computer virus infection, and to ) will try to prevent this from happening.
■実行時間が普段よりも遅くなったといった兆候によっ
てコンピュータウィルスに感染した疑いのある実行形式
ファイルに対しては、既に正しいことが検証されている
実・行形式ファイルと比較し、書き換えられていないこ
と、すなわちコンピュータウィルスに感染していないこ
とを確認する。■For executable files that are suspected to have been infected with a computer virus due to signs such as execution time being slower than usual, we compare them with executable files that have already been verified to be correct and ensure that they have not been rewritten. In other words, make sure that your computer is not infected with a virus.
上述したように、従来は、コンピュータウィルスの感染
そのものを防くことが主に考えられており、コンビュー
タンステムが既に感染しているか否かを判断する方法に
ついては、感染の疑いのある実行形式ファイルについて
、個々にその正当性をチェックするという方法しかなく
、顕著な兆候が現れずに潜伏しているコンピュータウィ
ルスを早期に発見することはできず、よって、コンピュ
ータシステムの発病を十分に防止することができないと
いう欠点があった。As mentioned above, in the past, the main focus was on preventing computer virus infection itself, and the method for determining whether or not a computer virus has already been infected was based on an executable file that is suspected of being infected. The only way to do this is to check the validity of each computer virus individually, and it is not possible to discover latent computer viruses without any noticeable symptoms at an early stage. The drawback was that it was not possible.
本発明は上記の点に鑑み提案されたものであり、その目
的とするところは、ファイルシステムに存在する全ての
実行形式ファイルについて容易にコンピュータウィルス
の感染をチェックして被疑ファイルを特定することがで
き、コンピュータシステムの発病を有効に防止すること
のできる実行形式ファイルの被破壊チェック方式を提供
することにある。The present invention has been proposed in view of the above points, and its purpose is to easily check all executable files existing in a file system for computer virus infection and identify suspect files. An object of the present invention is to provide a method for checking whether an executable file is destroyed and can effectively prevent the onset of computer system problems.
[課題を解決するための手段]
本発明の実行形式ファイルの被破壊チェック方弐では、
コンピュータシステムへのコンピュータウィルスの感染
のタイプと、実行形式ファイルへのコンピュータウィル
スの感染のタイプとをそれぞれ分析した結果に基づき、
コンピュータウイルスが感染した実行形式ファイル(被
疑ファイル)を統一的に検出することを可能にしている
。[Means for solving the problem] In the second method of checking for destruction of executable files of the present invention,
Based on the results of analyzing the types of computer virus infections to computer systems and the types of computer virus infections to executable files,
This makes it possible to uniformly detect executable files (suspect files) infected with computer viruses.
すなわち、コンピュータシステムへのコンピュータウィ
ルスの感染には、以下の2種類のタイプがある。That is, there are two types of computer virus infections to computer systems:
1つ目は、コンピュータシステムのファイルシステムに
元来存在する実行形式ファイルの感染である。The first is the infection of executable files that originally reside in the file system of a computer system.
2つ目ハ、既にコンピュータウィルスに感染した実行形
式ファイルの新規インストールである。The second problem is the new installation of an executable file that has already been infected with a computer virus.
これは、かかる実行形式ファイルをファイルシステム上
の適当な場所にインストールしておき、特権モードの利
用者がこれを実行するのを待つというものである。これ
を実行したユーザがたまたま特権モードであったときに
、コンピュータウィルスの増殖または発病を引き起こす
。This involves installing such an executable file in an appropriate location on the file system and waiting for a user in privileged mode to execute it. When the user who executes this happens to be in a privileged mode, it causes the proliferation or onset of a computer virus.
一方、実行形式ファイルへのコンピュータウィルスの感
染には、以下の2種類のタイプがある。On the other hand, there are two types of computer virus infections to executable files:
1つ目は、コンピュータウィルスプログラム実行形式フ
ァイルに上書きされてしまったものである。このように
侵されたものは、本来その実行形式ファイルの持ってい
る機能は失われ、これを実行しても期待した動作はせず
、その代わりに発病を引き起こす。The first is that the computer virus program executable file has been overwritten. When infected in this way, the original functions of the executable file are lost, and even if the executable file is executed, it does not perform the expected operation, but instead causes the virus to become infected.
2つ目は、本来の機能を損傷しない状態で、実行形式フ
ァイルにコンピュータウィルスプログラムが付は加えら
れたものである.この実行形式ファイルを実行すると、
コンピュータウィルスの増殖を引き起こすが、本来の機
能も正しく動作するため、実行速度が普段より遅くなる
といったコンピュータウィルスプログラムの実行に伴っ
た副次的な兆候によってのみ判断されるため、ユーザは
感染していることに気付きにくい。そして、増殖回数が
ある一定の数値に達するなどの契機により発病を引き起
こす。The second type is one in which a computer virus program is added to an executable file without damaging its original functionality. When you run this executable file,
Although the computer virus causes the virus to propagate, the original function also works properly, so users can be assured that they are not infected, as it can only be determined by the secondary symptoms associated with the execution of the computer virus program, such as execution speed being slower than usual. It's hard to notice that it's there. Then, the onset of the disease occurs when the number of proliferation reaches a certain value.
しかして、本発明の実行形式ファイルの被破壊チェック
方式では、コンピュータシステムへのコンピュータウィ
ルスの感染の2タイプのうち、2つ目の、既にコンピュ
ータウィルスに感染した実行形式ファイルの新規インス
トールについては、ファイルシステムに存在する全ての
実行形式ファイルについて、ファイルシステムに存在す
ることがIi1認されている実行形式ファイルであるか
否かをファイル名から判断することにより、被疑ファイ
ルを検出するようにしている。すなわち、今までになか
った実行形式ファイルがインストールされていることに
より、その感染を知ることができる。なお、1つ目の、
コンピュータシステムのファイルシステムに元来存在す
る実行形式ファイルの感染については、ファイル名とし
ては正当であるため、この方式では検出できず、その判
断は次に委ねる。Therefore, in the executable file destruction check method of the present invention, of the two types of computer virus infection of a computer system, the second type of new installation of an executable file that has already been infected with a computer virus is For all executable files existing in the file system, suspect files are detected by determining from the file name whether or not the executable file is approved to exist in the file system. . In other words, the infection can be detected by the fact that a new executable file has been installed. In addition, the first
Infection of executable files that originally exist in the file system of a computer system cannot be detected by this method because the file names are legitimate, and the determination will be left to the next section.
次に、実行形式ファイルへのコンピュータウィルスの感
染の2タイプのうち、2つ目の、実行形式ファイルにコ
ンピュータウィルスプログラムが付は加えられたものに
ついては、ファイル長を以前の値と比較することにより
被疑ファイルを検出するようにしている。すなわち、こ
のタイプのものは、ファイルのサイズが元のものより大
きくなることから、その感染を知ることができる。Next, of the two types of computer virus infection of executable files, for the second one, in which a computer virus program is added to an executable file, the file length should be compared with the previous value. The system detects suspicious files. In other words, this type of infection can be detected by the fact that the file size is larger than the original one.
また、1つ目の、コンピュータウィルスプログラム
ものについては、ファイル長の変化では感染を検出する
ことはできないが、ファイル内容の相違を反映するファ
イルチェックサムを以前の値と比較することにより被疑
ファイルを検出するようにしている。すなわち、このタ
イプのものは、ファイルの内容をチェックすることによ
ってのみ、その感染を知ることができる。Regarding the first type of computer virus programs, infection cannot be detected by changes in file length, but suspect files can be detected by comparing the file checksum, which reflects the difference in file content, with the previous value. I'm trying to detect it. In other words, this type of infection can only be known by checking the file contents.
これらの手法により、あらゆるタイプの感染について検
出が可能である。These techniques allow detection of all types of infections.
本発明では、上記の手法を実現するため、各実行形式フ
ァイルのファイル名とファイル長とファイルのハイド列
のチェックサムとの対応表から構成されるファイルチェ
ックデータベースと、前記ファイルチェックデータベー
スからデータを読み出すファイルチェックデータベース
読み出し機構と、
ファイルシステムから全ての実行形式ファイルを逐次取
り出す実行形式ファイル取り出し機構と、取り出した実
行形式ファイルが前記ファイルチェックデータベースに
存在するか否かを調べ、存在しなければ存在しない旨の
警告メツセージを出力するファイル存在チェック機構と
、
取り出した実行形式ファイルの実際のファイル長が前記
ファイルチェックデータベースに登録された同ファイル
のファイル長と一致しているか否かを1周べ、−itし
ていなければ一致していない旨の警告メツセージを出力
するファイル長子1フク機構と、
取り出した実行形式ファイルの実際のバイト列のチェッ
クサムが前記ファイルチェックデータベースに登録され
た同ファイルのバイト列のチェックサムと一致している
か否かを調べ、一致していなければ一致していない旨の
警告メッセージを出力するファイルチェックサムチェッ
ク機構と、前記ファイル存在チェック機構、ファイル長
チエ、り41j4Rおよびファイルチェックサムチェッ
ク機構の実行を任意に選択可能としたチェック方式選択
機構とを備えるようにしている。In order to realize the above-mentioned method, the present invention includes a file check database consisting of a correspondence table between the file name and file length of each executable file and the checksum of the hide column of the file, and data from the file check database. A file check database reading mechanism for reading, an executable file extracting mechanism for sequentially extracting all executable files from the file system, and checking whether or not the extracted executable file exists in the file check database, and if it does not exist, it is checked. A file existence check mechanism outputs a warning message to the effect that the executable file is not executed, and it checks once whether the actual file length of the retrieved executable file matches the file length of the same file registered in the file check database. A file length 1 hook mechanism that outputs a warning message indicating that they do not match if -it is not present, and a checksum of the actual byte sequence of the extracted executable file is the byte of the same file registered in the file check database. A file checksum check mechanism that checks whether the column checksum matches the column checksum, and outputs a warning message to the effect that they do not match if they do not match, and the file existence check mechanism, file length checker, and The present invention includes a check method selection mechanism that allows execution of the file checksum check mechanism to be arbitrarily selected.
本発明の実行形式ファイルの被破壊チェック方式にあっ
ては、各実行形式ファイルのファイル名とファイル長と
ファイルのバイト列のチェックサムとの対応表から構成
されるファイルチェックデータベースを予め構築してお
くことにより、チェック実行の指示に応じて、ファイル
チェックデータベース読み出し機構が前記ファイルチェ
ックデータベースからデータを読み出し、実行形式ファ
イル取り出し機構がファイルシステムから全ての実行形
式ファイルを逐次取り出し、取り出した実行形式ファイ
ルが前記ファイルチェックデータベースに存在するか否
かをファイル存在チェック機構が調べて存在しなければ
存在しない旨の警告メツセージを出力し、取り出した実
行形式ファイルの実際のファイル長が前記ファイルチエ
”)クデータヘースに登録された同ファイルのファイル
長と一致しているか否かをファイル長子1フク機構が調
べて一致していなければ一致していない旨の警告メツセ
ージを出力し、取り出した実行形式ファイルの実際のバ
イト列のチェックサムが前記ファイルチエ、クデータヘ
ースに登録された同ファイルのハイド列のチェックサム
と一致しているか否かをファイルチェックサムチェック
機構が調べて一致していなければ一致していない旨の警
告メッセージを出力する。また、チェック方式選択機構
が前記ファイル存在チェック機構、ファイル長チェック
機構およびファイルチェックサムチエ、り機構の実行を
任意に選択可能とする。In the executable file destruction check method of the present invention, a file check database is constructed in advance, which is composed of a correspondence table of the file name and file length of each executable file and the checksum of the byte string of the file. In response to the check execution instruction, the file check database reading mechanism reads data from the file check database, and the executable file extraction mechanism sequentially extracts all executable files from the file system, and extracts the extracted executable files. The file existence check mechanism checks whether the file exists in the file check database, and if it does not exist, outputs a warning message to the effect that it does not exist, and the actual file length of the retrieved executable file is checked in the file check database. The file length 1 hook mechanism checks whether the file length matches the file length of the same file registered in The file checksum checking mechanism checks whether the checksum of the byte string matches the checksum of the hide string of the same file registered in the file chain and the data file, and if they do not match, a check is made to indicate that they do not match. A warning message is output.Furthermore, the check method selection mechanism can arbitrarily select execution of the file existence check mechanism, file length check mechanism, and file check sum checking mechanism.
以下、本発明の実施例につき図面を参照して説明する。 Embodiments of the present invention will be described below with reference to the drawings.
第1図は本発明の実行形式ファイルの被破壊チェック方
式の一実施例を示す構成図である。第1図において、本
実施例は、ファイルシステム1とファイルチェックデー
タベース2とチェック方式選択機構3とファイルチェッ
クデータベース読み出し機構4と実行形式ファイル取り
出し機構5とファイル存在チエ・7り4a!416とフ
ァイル長チェック機構7とファイルチェックサムチェッ
ク機構8と画面表示装置9とから構成されている。なお
、矢印を付した太線は制御の流れを示し、細線はデータ
の流れを示し、破線は選択が行われることを示している
。FIG. 1 is a block diagram showing an embodiment of a method for checking whether an executable file is destroyed according to the present invention. In FIG. 1, this embodiment includes a file system 1, a file check database 2, a check method selection mechanism 3, a file check database reading mechanism 4, an executable file retrieval mechanism 5, and a file existence check 7ri 4a! 416, a file length check mechanism 7, a file checksum check mechanism 8, and a screen display device 9. Note that thick lines with arrows indicate the flow of control, thin lines indicate the flow of data, and broken lines indicate selection.
各部の機能は次の通りである。The functions of each part are as follows.
ファイルシステム1;コンピュータシステムのファイル
システムであり、実行形式ファイルが格納されている。File system 1: A file system of a computer system, in which executable files are stored.
ファイルチェックデータベース2;ファイルシステムl
に正当に格納されている実行形式ファイルのファイル名
と、そのファイル長と、そのファイルのハイド列のチェ
ックサムとを一つのエントリとするデータヘースである
。これは、コンピュータシステムを最初にインストール
したときに作成しておく。そのコンピュータシステムの
管理者がエディタで登録してもよいし、別途ツールを作
成して登録してもよい。File check database 2; file system l
This is a data hese in which one entry is the file name of an executable file that is legitimately stored in , the file length, and the checksum of the hide string of the file. Create this when you first install your computer system. The administrator of the computer system may register using an editor, or a separate tool may be created and registered.
チェック方式選択機構3;チェック方
し、実行する機構を確定するものである.チェック方式
としては、ファイル存在チェックとファイル長チェック
とファイルチェックサムチェックとがある。なお、どの
チェックを行うかは、起動時に引数として与えられる。Check method selection mechanism 3; determines the mechanism to be checked and executed. Check methods include file existence check, file length check, and file checksum check. Note that which check to perform is given as an argument at startup.
ファイルチェックデータベース読み出し機構4;ファイ
ルチエソクデータヘース2からデータを読み出すもので
ある。File check database reading mechanism 4; reads data from the file check data base 2.
実行形式ファイル取り出し機構5;ファイルシステムl
から全ての実行形式ファイルを逐次取り出すものである
。Executable file extraction mechanism 5; file system l
This is to sequentially extract all executable files from .
ファイル存在チェック機構6;実行形式ファイル取り出
し機構5がファイルシステム1から取り出した実行形式
ファイルのファイル名がファイルチェックデータベース
2から読み出したデータ中に存在するか否かを調べ、存
在しなければ存在しない旨の警告メツセージを画面表示
装置9に出力するものである。なお、チェック方式選択
機構3により当該機構が選択された場合にだけ動作する
。File existence checking mechanism 6: Checks whether the file name of the executable file extracted from the file system 1 by the executable file extraction mechanism 5 exists in the data read from the file check database 2, and if it does not exist, it does not exist. A warning message to this effect is output to the screen display device 9. Note that it operates only when the check method selection mechanism 3 selects that mechanism.
ファイル長チェック機構7;実行形式ファイル取り出し
機構5がファイルシステム1から取り出した実行形式フ
ァイルの実際のファイル長がファイルチェックデータベ
ース2に登録された同ファイルのファイル長と一致して
いるか否かを調べ、一致していなければ一致していない
旨の警告メツセージを画面表示装置9に出力するもので
ある。File length check mechanism 7; checks whether the actual file length of the executable file retrieved from the file system 1 by the executable file retrieval mechanism 5 matches the file length of the same file registered in the file check database 2. , if they do not match, a warning message to the effect that they do not match is output to the screen display device 9.
なお、チェック方式選択機構3により当該機構が選択さ
れた場合にだけ動作する。Note that it operates only when the check method selection mechanism 3 selects that mechanism.
ファイルチェックサムチェック機構8;実行形式ファイ
ル取り出し機構5がファイルシステム1から取り出した
実行形式ファイルの実際のバイト列のチェックサムがフ
ァイルチェックデータベース2に登録された同ファイル
のバイト列のチェックサムと一致しているか否かを調べ
、−itしていなければ一致していない旨の警告メツセ
ージを画面表示装置9に出力するものである。なお、チ
ェック方式選択機構3により当該機構が選択された場合
にだけ動作する。File checksum check mechanism 8: The checksum of the actual byte sequence of the executable file extracted from the file system 1 by the executable file extraction mechanism 5 is the same as the checksum of the byte sequence of the same file registered in the file check database 2. It is checked whether they match, and if -it is not found, a warning message to the effect that they do not match is output to the screen display device 9. Note that it operates only when the check method selection mechanism 3 selects that mechanism.
画面表示装置9;警告メッセージをコンピュータシステ
ムの管理者等に対して表示するものである。Screen display device 9: Displays a warning message to the administrator of the computer system.
第2図は、上記の実施例の処理を示すフローチャートで
あり、以下、第1図および第2回を参照して実施例の動
作を説明する。FIG. 2 is a flowchart showing the processing of the above embodiment, and the operation of the embodiment will be explained below with reference to FIG. 1 and the second part.
先ず、動作が開始されると(ステップSl)、オペレー
タ等の指示に基づき、チェック方式選択lm443によ
りチェック方式の特定が行われる(ステップS2)、具
体的には、起動時に与えられるプログラムの引数に応じ
°ζ、3つのナエ、タ方式(ファイル存在チェック、フ
ァイル長チエツタファイルチェックサムチェック)のそ
れぞれに対応するビットを持ったファイルチェックフラ
グのビットを設定する。ビットの値がその方式を採用す
るか採用しないかを示す。First, when the operation starts (step SL), the check method selection lm443 specifies the check method based on instructions from an operator or the like (step S2). Accordingly, bits of a file check flag having bits corresponding to each of the three methods (file existence check, file length check, file checksum check) are set. The value of the bit indicates whether the method is adopted or not.
次いで、ファイルチェックデータベース読み出し機構4
により、ファイルチェックデータベース2からデータが
メモリ(図示せず)上に読み出される(ステップS3)
。Next, the file check database reading mechanism 4
As a result, data is read from the file check database 2 onto a memory (not shown) (step S3).
.
次いで、実行形式ファイル取り出し機構5により、ファ
イルシステム1から順次に実行形式ファイルが取り出さ
れる(ステップS4)、そして、実行形式ファイルが存
在しないか否かが判断され(ステップS5)、存在しな
い場合(ステップS5のYES)は全ての実行形式ファ
イルについて処理が終了したものとして処理を終了する
(ステップS6)、存在する場合は次の処理に移行する
。Next, the executable file extraction mechanism 5 sequentially extracts executable files from the file system 1 (step S4), and it is determined whether or not the executable file exists (step S5). If YES in step S5), it is assumed that processing has been completed for all executable files and the process ends (step S6). If there are any executable files, the process moves to the next process.
次いで、ファイル存在チェック機構6では、先にチェッ
ク方式選択機構3により設定されたファイルチェックフ
ラグのうちファイル存在チェックに対応する値が調べら
れ(ステップS7)、「ON」の場合(ステップS7の
ON)は、メモリに読み出したファイルチェックデータ
ベース2のデータ中に、取り出した実行形式ファイルと
同しファイル名が存在するか否かが調べられ(ステップ
S8)、存在しない場合(ステップS8のNo)には、
存在しない旨の警告メツセージが画面表示装置9に出力
される(ステップS9)。その後、ステップS4に戻る
。Next, the file existence check mechanism 6 checks the value corresponding to the file existence check among the file check flags previously set by the check method selection mechanism 3 (step S7), and if it is "ON" (ON in step S7 ) is checked to see if a file name with the same name as the retrieved executable file exists in the data of the file check database 2 read into the memory (step S8), and if it does not exist (No in step S8). teeth,
A warning message to the effect that it does not exist is output to the screen display device 9 (step S9). After that, the process returns to step S4.
ファイルチェックフラグのうちファイル存在チェックに
対応する値がrOFF、の場合(ステップS7の0FF
)およびファイルチェックデータベース2に同じファイ
ル名が存在する場合(ステツブS8のYES)には、次
の処理に移行する。If the value corresponding to the file existence check among the file check flags is rOFF (0FF in step S7
) and the same file name exists in the file check database 2 (YES in step S8), the process moves to the next step.
次いで、ファイル長チェック機構7では、ファイルチェ
ックフラグのうちファイル艮チェックに対応する値が調
べられ(ステップ310)、「ON」の場合(ステップ
510のON)は、ファイルチェックデータベース2に
登録された同ファイルのファイル長が、取り出した実行
形式ファイルの実際のファイル長と一致しているか否か
が調べられ(ステップ5ll)、一致していない場合(
ステップSllのNO)は、一致していない旨の警告メ
ッセージが画面表示装置9に出力される(ステップ51
2)。その後、ステップS4に戻る。Next, the file length check mechanism 7 checks the value corresponding to the file check flag among the file check flags (step 310), and if it is "ON" (ON in step 510), the value is registered in the file check database 2. It is checked whether the file length of the same file matches the actual file length of the extracted executable file (step 5ll), and if they do not match (
If NO in step Sll), a warning message to the effect that they do not match is output to the screen display device 9 (step 51).
2). After that, the process returns to step S4.
ファイルチェックフラグのうちファイル長チェックに対
応する値がrOFFJの場合(ステ、プS10の0FF
)およびファイルチエ、クデータベース2の同ファイル
とファイル長が−tする場合(ステップSllのYES
)には、次の処理に移行する。If the value corresponding to the file length check among the file check flags is rOFFJ (0FF in step S10)
) and the file length is -t with the same file in the file manager and database 2 (YES in step Sll).
), move on to the next process.
次いで、ファイルチェックサムチェック機構8では、フ
ァイルチェックフラグのうちファイルチェックサムチェ
ックに対応する値が調べられ(ステップ513)、rO
NJの場合(ステップS13のON)は、ファイルチェ
ックデータベース2に登録された同ファイルのファイル
チェックサムが、取り出した実行形式ファイルの実際の
バイト列のチェックサムと一致しているか否かが調べら
れ(ステップ514)、一致していない場合(ステップ
S14のNo)は、一致していない旨の警告メッセージ
を画面表示装置9に出力する(ステップ515)。その
後、ステップS4に戻る。Next, the file checksum check mechanism 8 checks the value corresponding to the file checksum check among the file check flags (step 513), and rO
In the case of NJ (ON in step S13), it is checked whether the file checksum of the same file registered in the file check database 2 matches the checksum of the actual byte string of the extracted executable file. (Step 514) If they do not match (No in step S14), a warning message to the effect that they do not match is output to the screen display device 9 (step 515). After that, the process returns to step S4.
また、ファイルチェックフラグのうちファイルチェック
サムチェックに対応する値がrOFFJの場合(ステッ
プS13の0FF)およびファイルチェックデータベー
ス2の同ファイルとファイルチエ、クサムが一致する場
合(ステップS14のYES)にも同様にステップS4
に戻る。Also, if the value corresponding to the file check sum check among the file check flags is rOFFJ (0FF in step S13), and if the file check sum matches the same file in the file check database 2 (YES in step S14), Similarly, step S4
Return to
これらの処理が全ての実行形式ファイルについて行われ
る。These processes are performed for all executable files.
警告メツセージで特定された実行形式ファイルについて
は、コンピュータウィルスの感染の可能性が高いので、
個別にチェックした上で適当な処置がとられる。The executable file identified by the warning message has a high possibility of being infected with a computer virus, so please do not
Appropriate action will be taken after checking each case individually.
以上説明したように、本発明の実行形式ファイルの被破
壊チェックサムにあっては、コンピュータウィルスの感
染の性質に着目して統一的かつ網羅的にチェックを行う
ため、コンピュータウィルスに感染しているか否かの判
定および被疑ファイルの特定が遅滞なく行え、コンピュ
ータウィルスによるコンピュータシステムの発病を有効
に防止できる効果がある。As explained above, in the destruction checksum of an executable file according to the present invention, a unified and comprehensive check is performed focusing on the nature of computer virus infection. It is possible to determine whether or not the file is false and to identify the suspect file without delay, which has the effect of effectively preventing computer systems from becoming ill due to computer viruses.
第1図は本発明の実行形式ファイルの被破壊チェック方
式の一実施例を示す構成回および、第2図は第1図の実
施例の処理のフローチャートである。
図において、
l・・・・・・ファイルシステム
2・・・・・・ファイルチェックデータベース3・・・
・・・チェック方式選択機構
4・・・・・・ファイルチェックデータベース読み出し
機構
5・・・・・・実行形式ファイル取り出し機構6・・・
・・・ファイル存在チェック機構7・・・・・・ファイ
ル長チェック機構8・・・・・・ファイルチェックサム
チェック機構9・・・・・・画面表示装置FIG. 1 is a configuration diagram showing an embodiment of the executable file destruction check method of the present invention, and FIG. 2 is a flowchart of the processing of the embodiment of FIG. In the figure, l...File system 2...File check database 3...
... Check method selection mechanism 4 ... File check database reading mechanism 5 ... Executable file extraction mechanism 6 ...
... File existence check mechanism 7 ... File length check mechanism 8 ... File checksum check mechanism 9 ... Screen display device
Claims (2)
ファイルのバイト列のチェックサムとの対応表から構成
されるファイルチェックデータベースと、 前記ファイルチェックデータベースからデータを読み出
すファイルチェックデータベース読み出し機構と、 ファイルシステムから全ての実行形式ファイルを逐次取
り出す実行形式ファイル取り出し機構と、取り出した実
行形式ファイルが前記ファイルチェックデータベースに
存在するか否かを調べ、存在しなければ存在しない旨の
警告メッセージを出力するファイル存在チェック機構と
、 取り出した実行形式ファイルの実際のファイル長が前記
ファイルチェックデータベースに登録された同ファイル
のファイル長と一致しているか否かを調べ、一致してい
なければ一致していない旨の警告メッセージを出力する
ファイル長チェック機構と、 取り出した実行形式ファイルの実際のバイト列のチェッ
クサムが前記ファイルチェックデータベースに登録され
た同ファイルのバイト列のチェックサムと一致している
か否かを調べ、一致していなければ一致していない旨の
警告メッセージを出力するファイルチェックサムチェッ
ク機構と、前記ファイル存在チェック機構、ファイル長
チェック機構およびファイルチェックサムチェック機構
の実行を任意に選択可能としたチェック方式選択機構と
を備えたことを特徴とする実行形式ファイルの被破壊チ
ェック方式。(1) A file check database consisting of a correspondence table between the file name and file length of each executable file and the checksum of the byte string of the file; a file check database reading mechanism that reads data from the file check database; and a file check database. An executable file extraction mechanism that sequentially extracts all executable files from the system, and a file that checks whether the extracted executable file exists in the file check database and outputs a warning message that it does not exist if it does not exist. The existence check mechanism checks whether the actual file length of the retrieved executable file matches the file length of the same file registered in the file check database, and if it does not match, a check is made to indicate that they do not match. A file length check mechanism that outputs a warning message and checks whether the checksum of the actual byte string of the retrieved executable file matches the checksum of the byte string of the same file registered in the file check database. , a file checksum check mechanism that outputs a warning message to the effect that they do not match if they do not match, and a check that allows execution of the file existence check mechanism, file length check mechanism, and file checksum check mechanism to be arbitrarily selected. A method for checking destruction of an executable file, characterized by comprising a method selection mechanism.
を特徴とした請求項1記載の実行形式ファイルの被破壊
チェック方式。(2) The executable file destruction check method according to claim 1, wherein each warning message is output to a screen display device.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2029902A JPH03233629A (en) | 1990-02-09 | 1990-02-09 | System for checking destruction of execution format file |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2029902A JPH03233629A (en) | 1990-02-09 | 1990-02-09 | System for checking destruction of execution format file |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH03233629A true JPH03233629A (en) | 1991-10-17 |
Family
ID=12288912
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2029902A Pending JPH03233629A (en) | 1990-02-09 | 1990-02-09 | System for checking destruction of execution format file |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH03233629A (en) |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH06250861A (en) * | 1993-01-19 | 1994-09-09 | Internatl Business Mach Corp <Ibm> | Method and equipment for evaluating and sampling computer virus and signature of other undesired existing software |
| US5473769A (en) * | 1992-03-30 | 1995-12-05 | Cozza; Paul D. | Method and apparatus for increasing the speed of the detecting of computer viruses |
| US5502815A (en) * | 1992-03-30 | 1996-03-26 | Cozza; Paul D. | Method and apparatus for increasing the speed at which computer viruses are detected |
| JP2003091429A (en) * | 2001-09-17 | 2003-03-28 | Tomoki Noguchi | Data batch protection system |
| JP2004510226A (en) * | 2000-09-22 | 2004-04-02 | ジーイー・メディカル・システムズ・グローバル・テクノロジー・カンパニー・エルエルシー | Ultrasound imaging system with virus protection |
| JP2006277747A (en) * | 2005-03-28 | 2006-10-12 | Microsoft Corp | System and method for identifying and removing potentially unwanted software |
| JP2007079989A (en) * | 2005-09-14 | 2007-03-29 | Sony Corp | Information processing apparatus, information recording medium, information recording medium manufacturing apparatus, method, and computer program |
| JP2009500706A (en) * | 2005-06-30 | 2009-01-08 | プレヴィクス リミテッド | Method and apparatus for dealing with malware |
| JP2009129220A (en) * | 2007-11-26 | 2009-06-11 | Nec Infrontia Corp | Computer system and control method thereof |
| JP2009139722A (en) * | 2007-12-07 | 2009-06-25 | Tani Electronics Corp | Encryption method and encryption device using color |
| JP2011233126A (en) * | 2010-04-28 | 2011-11-17 | Electronics And Telecommunications Research Institute | Device, system and method for detecting malignant code which is disguised as normal and inserted to normal process |
| US8479174B2 (en) | 2006-04-05 | 2013-07-02 | Prevx Limited | Method, computer program and computer for analyzing an executable computer file |
| JP2013143126A (en) * | 2012-01-10 | 2013-07-22 | O2 Micro Inc | Detecting status of application program running in device |
| JP2014191658A (en) * | 2013-03-27 | 2014-10-06 | Fujitsu Fsas Inc | Server device and program management method |
| US10574630B2 (en) | 2011-02-15 | 2020-02-25 | Webroot Inc. | Methods and apparatus for malware threat research |
| CN114996707A (en) * | 2022-08-01 | 2022-09-02 | 北京微步在线科技有限公司 | Static detection method and device for picture Trojan horse, electronic equipment and storage medium |
-
1990
- 1990-02-09 JP JP2029902A patent/JPH03233629A/en active Pending
Cited By (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5473769A (en) * | 1992-03-30 | 1995-12-05 | Cozza; Paul D. | Method and apparatus for increasing the speed of the detecting of computer viruses |
| US5502815A (en) * | 1992-03-30 | 1996-03-26 | Cozza; Paul D. | Method and apparatus for increasing the speed at which computer viruses are detected |
| JPH06250861A (en) * | 1993-01-19 | 1994-09-09 | Internatl Business Mach Corp <Ibm> | Method and equipment for evaluating and sampling computer virus and signature of other undesired existing software |
| JP2004510226A (en) * | 2000-09-22 | 2004-04-02 | ジーイー・メディカル・システムズ・グローバル・テクノロジー・カンパニー・エルエルシー | Ultrasound imaging system with virus protection |
| JP2003091429A (en) * | 2001-09-17 | 2003-03-28 | Tomoki Noguchi | Data batch protection system |
| JP2006277747A (en) * | 2005-03-28 | 2006-10-12 | Microsoft Corp | System and method for identifying and removing potentially unwanted software |
| KR101224793B1 (en) * | 2005-03-28 | 2013-01-21 | 마이크로소프트 코포레이션 | System and method for identifying and removing potentially unwanted software |
| US8418250B2 (en) | 2005-06-30 | 2013-04-09 | Prevx Limited | Methods and apparatus for dealing with malware |
| JP2009500706A (en) * | 2005-06-30 | 2009-01-08 | プレヴィクス リミテッド | Method and apparatus for dealing with malware |
| US11379582B2 (en) | 2005-06-30 | 2022-07-05 | Webroot Inc. | Methods and apparatus for malware threat research |
| US10803170B2 (en) | 2005-06-30 | 2020-10-13 | Webroot Inc. | Methods and apparatus for dealing with malware |
| US8763123B2 (en) | 2005-06-30 | 2014-06-24 | Prevx Limited | Methods and apparatus for dealing with malware |
| US8726389B2 (en) | 2005-06-30 | 2014-05-13 | Prevx Limited | Methods and apparatus for dealing with malware |
| JP2007079989A (en) * | 2005-09-14 | 2007-03-29 | Sony Corp | Information processing apparatus, information recording medium, information recording medium manufacturing apparatus, method, and computer program |
| US7979709B2 (en) | 2005-09-14 | 2011-07-12 | Sony Corporation | Information processing apparatus, information recording medium, apparatus and method of manufacturing information recording medium, and computer program |
| US8479174B2 (en) | 2006-04-05 | 2013-07-02 | Prevx Limited | Method, computer program and computer for analyzing an executable computer file |
| JP2009129220A (en) * | 2007-11-26 | 2009-06-11 | Nec Infrontia Corp | Computer system and control method thereof |
| JP2009139722A (en) * | 2007-12-07 | 2009-06-25 | Tani Electronics Corp | Encryption method and encryption device using color |
| JP2011233126A (en) * | 2010-04-28 | 2011-11-17 | Electronics And Telecommunications Research Institute | Device, system and method for detecting malignant code which is disguised as normal and inserted to normal process |
| US8955124B2 (en) | 2010-04-28 | 2015-02-10 | Electronics And Telecommunications Research Institute | Apparatus, system and method for detecting malicious code |
| US10574630B2 (en) | 2011-02-15 | 2020-02-25 | Webroot Inc. | Methods and apparatus for malware threat research |
| JP2013143126A (en) * | 2012-01-10 | 2013-07-22 | O2 Micro Inc | Detecting status of application program running in device |
| US9298909B2 (en) | 2012-01-10 | 2016-03-29 | O2Micro, Inc. | Detecting status of an application program running in a device |
| JP2014191658A (en) * | 2013-03-27 | 2014-10-06 | Fujitsu Fsas Inc | Server device and program management method |
| CN114996707A (en) * | 2022-08-01 | 2022-09-02 | 北京微步在线科技有限公司 | Static detection method and device for picture Trojan horse, electronic equipment and storage medium |
| CN114996707B (en) * | 2022-08-01 | 2022-12-16 | 北京微步在线科技有限公司 | Static detection method and device for picture Trojan horse, electronic equipment and storage medium |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JPH03233629A (en) | System for checking destruction of execution format file | |
| KR100942795B1 (en) | A method and a device for malware detection | |
| EP0815510B1 (en) | Method for protecting executable software programs against infection by software viruses | |
| US7725735B2 (en) | Source code management method for malicious code detection | |
| US7620990B2 (en) | System and method for unpacking packed executables for malware evaluation | |
| US7581250B2 (en) | System, computer program product and method of selecting sectors of a hard disk on which to perform a virus scan | |
| US20040181677A1 (en) | Method for detecting malicious scripts using static analysis | |
| US20040205411A1 (en) | Method of detecting malicious scripts using code insertion technique | |
| JP2018041438A (en) | System and method for detecting malicious codes in file | |
| TWI396995B (en) | Method and system for cleaning malicious software and computer program product and storage medium | |
| US9038161B2 (en) | Exploit nonspecific host intrusion prevention/detection methods and systems and smart filters therefor | |
| CN102999726A (en) | File macro virus immunization method and device | |
| JP2010262609A (en) | Efficient technique for dynamic analysis of malware | |
| JP2006330864A (en) | Control method for server computer system | |
| KR100745639B1 (en) | Method for protecting file system and registry and apparatus thereof | |
| KR100745640B1 (en) | Method for protecting kernel memory and apparatus thereof | |
| KR101769714B1 (en) | System and method for prventing the activation of bad usb | |
| CN111625296B (en) | Method for protecting program by constructing code copy | |
| US8938807B1 (en) | Malware removal without virus pattern | |
| US20220292201A1 (en) | Backdoor inspection apparatus, backdoor inspection method, and non-transitory computer readable medium | |
| JP4643201B2 (en) | Buffer overflow vulnerability analysis method, data processing device, analysis information providing device, analysis information extraction processing program, and analysis information provision processing program | |
| CN105224871B (en) | Virus removal method and device | |
| WO2004114528A2 (en) | Method and system for operating system anti-tampering | |
| US20090133124A1 (en) | A method for detecting the operation behavior of the program and a method for detecting and clearing the virus program | |
| EP1962168A1 (en) | A method for detecting the operation behavior of the program and a method for detecting and clearing the virus program |