JPH09288577A - コンピュータウイルス感染監視方法および装置 - Google Patents
コンピュータウイルス感染監視方法および装置Info
- Publication number
- JPH09288577A JPH09288577A JP8102346A JP10234696A JPH09288577A JP H09288577 A JPH09288577 A JP H09288577A JP 8102346 A JP8102346 A JP 8102346A JP 10234696 A JP10234696 A JP 10234696A JP H09288577 A JPH09288577 A JP H09288577A
- Authority
- JP
- Japan
- Prior art keywords
- virus
- memory
- virus infection
- time
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Storage Device Security (AREA)
Abstract
(57)【要約】
【課題】 ウイルスの感染を早期に発見してウイルスの
侵入と蔓延を防止し、また、ウイルスのパターンを既存
ウイルス情報に登録し、これを基としてウイルスに感染
しているか否かを比較確認することにより、実行形式フ
ァイルの管理情報のための大容量の記憶装置と管理情報
の更新のための時間を不必要とする。 【解決手段】 読出し専用メモリ内の書き換え可能なブ
ートブロック機能外領域にウイルス感染監視プログラム
と既存ウイルス情報を格納しておき、記憶保持メモリに
立ち上げ時間および立ち上げ回数およびウイルス感染フ
ラグを格納しておき、コンピュータシステムの立ち上げ
時に、記憶保持メモリの立ち上げ時間および立ち上げ回
数およびウイルス感染フラグを参照してHDD内のファ
イルのウイルスの感染状態をチェックし、更に既存ウイ
ルス情報を基にファイルのウイルスの感染をチェックし
て正常か異常かを表示装置を介して利用者に知らせる。
侵入と蔓延を防止し、また、ウイルスのパターンを既存
ウイルス情報に登録し、これを基としてウイルスに感染
しているか否かを比較確認することにより、実行形式フ
ァイルの管理情報のための大容量の記憶装置と管理情報
の更新のための時間を不必要とする。 【解決手段】 読出し専用メモリ内の書き換え可能なブ
ートブロック機能外領域にウイルス感染監視プログラム
と既存ウイルス情報を格納しておき、記憶保持メモリに
立ち上げ時間および立ち上げ回数およびウイルス感染フ
ラグを格納しておき、コンピュータシステムの立ち上げ
時に、記憶保持メモリの立ち上げ時間および立ち上げ回
数およびウイルス感染フラグを参照してHDD内のファ
イルのウイルスの感染状態をチェックし、更に既存ウイ
ルス情報を基にファイルのウイルスの感染をチェックし
て正常か異常かを表示装置を介して利用者に知らせる。
Description
【0001】
【発明の属する技術分野】本発明はコンピュータシステ
ムに対して不法に侵入してくるコンピュータウイルスを
監視してその感染を防止するためのコンピュータウイル
ス感染監視方法および装置に関する。
ムに対して不法に侵入してくるコンピュータウイルスを
監視してその感染を防止するためのコンピュータウイル
ス感染監視方法および装置に関する。
【0002】
【従来の技術】近年、コンピュータシステムに対して不
法に侵入してきてそのプログラム等を破壊するいわゆる
コンピュータウイルス(ウイルス)は、社会的問題にま
で発展してきており、このため、コンピュータウイルス
の感染を監視するための種々の手段が発表されている。
法に侵入してきてそのプログラム等を破壊するいわゆる
コンピュータウイルス(ウイルス)は、社会的問題にま
で発展してきており、このため、コンピュータウイルス
の感染を監視するための種々の手段が発表されている。
【0003】例えば、特開平3−233629号公報に
開示されている実行形式ファイルの被破壊チェック方式
は、コンピュータウイルスの感染の性質に着目して統一
的かつ網羅的にチェックを行うことにより、被疑ファイ
ルの特定を容易にしてコンピュータウイルスによるコン
ピュータシステムの発病を防止するのを目的として、フ
ァイル取り出し機構がファイルシステムから取り出した
実行形式ファイルのファイル名がファイルチェックデー
タベースから読出したデータ中に存在するか否かをファ
イル存在チェック機構によって調べ、実行形式ファイル
の実際のファイル長がファイルチェックデータベースに
登録されている同じファイルのファイル長と一致するか
否かをファイル長チェック機構によって調べ、取り出し
た実行形式ファイルの実際のバイト列のチェックサムが
ファイルチェックデータベースに登録されている同じフ
ァイルのバイト列のチェックサムと一致するか否かをフ
ァイルチェックサムチェック機構によって調べ、それぞ
れの場合に警告メッセージを画面表示装置に出力するこ
とにより、コンピュータウイルスの感染を容易にチェッ
クできるようにしたものである。
開示されている実行形式ファイルの被破壊チェック方式
は、コンピュータウイルスの感染の性質に着目して統一
的かつ網羅的にチェックを行うことにより、被疑ファイ
ルの特定を容易にしてコンピュータウイルスによるコン
ピュータシステムの発病を防止するのを目的として、フ
ァイル取り出し機構がファイルシステムから取り出した
実行形式ファイルのファイル名がファイルチェックデー
タベースから読出したデータ中に存在するか否かをファ
イル存在チェック機構によって調べ、実行形式ファイル
の実際のファイル長がファイルチェックデータベースに
登録されている同じファイルのファイル長と一致するか
否かをファイル長チェック機構によって調べ、取り出し
た実行形式ファイルの実際のバイト列のチェックサムが
ファイルチェックデータベースに登録されている同じフ
ァイルのバイト列のチェックサムと一致するか否かをフ
ァイルチェックサムチェック機構によって調べ、それぞ
れの場合に警告メッセージを画面表示装置に出力するこ
とにより、コンピュータウイルスの感染を容易にチェッ
クできるようにしたものである。
【0004】また、特開平5−108487号公報に開
示されているコンピュータウイルス侵入防止装置および
侵入防止方式は、コンピュータウイルスの侵入を事前に
チェックし、その侵入や増殖を防止するのを目的とし
て、アプリケーションプログラムからオペレーションプ
ログラムへの要求を取り込み、取り込まれた要求が正常
な要求かまたはコンピュータウイルスによる要求かを判
別し、その判別結果に基づいて該要求がコンピュータウ
イルスによる要求の場合に少なくともその要求を禁止す
るようにしたものである。
示されているコンピュータウイルス侵入防止装置および
侵入防止方式は、コンピュータウイルスの侵入を事前に
チェックし、その侵入や増殖を防止するのを目的とし
て、アプリケーションプログラムからオペレーションプ
ログラムへの要求を取り込み、取り込まれた要求が正常
な要求かまたはコンピュータウイルスによる要求かを判
別し、その判別結果に基づいて該要求がコンピュータウ
イルスによる要求の場合に少なくともその要求を禁止す
るようにしたものである。
【0005】
【発明が解決しようとする課題】上述したような従来の
コンピュータウイルスの感染監視方式は、前者の場合
は、実行形式ファイルの管理情報が必要であり、管理情
報がない場合はウイルスに感染したファイルであると判
断されるため、新規のインストールやファイルの追加を
行うときは、必らずファイルの管理情報の更新を行わな
ければならず、従って新規のインストールやファイルの
追加を行うとき、ファイルの管理情報の更新のために時
間がかかるという問題点を有している。また、ウイルス
の感染を確認するための手段としてのファイルの管理情
報のデータが膨大な量となるため、管理情報のデータを
記憶しておくための大容量の記憶装置が必要であるとい
う問題点も有している。
コンピュータウイルスの感染監視方式は、前者の場合
は、実行形式ファイルの管理情報が必要であり、管理情
報がない場合はウイルスに感染したファイルであると判
断されるため、新規のインストールやファイルの追加を
行うときは、必らずファイルの管理情報の更新を行わな
ければならず、従って新規のインストールやファイルの
追加を行うとき、ファイルの管理情報の更新のために時
間がかかるという問題点を有している。また、ウイルス
の感染を確認するための手段としてのファイルの管理情
報のデータが膨大な量となるため、管理情報のデータを
記憶しておくための大容量の記憶装置が必要であるとい
う問題点も有している。
【0006】後者の場合は、ウイルスの感染を確認する
ための手段として、アプリケーションプログラムから各
デバイスへの要求を取り込み、ウイルスからの要求であ
るか否かをチィェックすることによって確認している
が、これは、ウイルスからの要求がくることを前提とし
ているため、ウイルスの増殖は防止できるが、既に感染
はしているがまだ発病していないウイルスがあっても、
それを発見することができないという欠点を有してい
る。
ための手段として、アプリケーションプログラムから各
デバイスへの要求を取り込み、ウイルスからの要求であ
るか否かをチィェックすることによって確認している
が、これは、ウイルスからの要求がくることを前提とし
ているため、ウイルスの増殖は防止できるが、既に感染
はしているがまだ発病していないウイルスがあっても、
それを発見することができないという欠点を有してい
る。
【0007】
【課題を解決するための手段】本発明のコンピュータウ
イルス感染監視方法は、コンピュータシステムの立ち上
げのとき、読出し専用メモリ内の書き換え不可能なブー
トブロック機能領域のプログラムから書き換え可能なブ
ートブロック機能外領域のウイルス感染監視プログラム
に制御を移し、前記ウイルス感染監視プログラムによっ
て、記憶保持メモリにウイルス感染フラグが立っている
か否かを調べ、前記ウイルス感染フラグが立っていない
ときは起動時から現在まで時間の計測結果を前回の処理
のときに前記記憶保持メモリに格納してある立ち上げ時
間と比較して一定時間以上余計に経過しているか否かを
調べ、一定時間以上余計に経過していないときは前記記
憶保持メモリに格納してある立ち上げ回数が一定回数以
上であるか否かを調べ、一定時間以上余計に経過してい
るときまたは立ち上げ回数が一定回数以上であるときま
たは前記ウイルス感染フラグが立っているときは前記読
出し専用メモリ内の前記ブートブロック機能外領域に格
納してある既存ウイルス情報を基にハードディスク装置
内のファイルがウイルスに感染しているか否かを調べ、
その結果を利用者に通知することを含むものである。
イルス感染監視方法は、コンピュータシステムの立ち上
げのとき、読出し専用メモリ内の書き換え不可能なブー
トブロック機能領域のプログラムから書き換え可能なブ
ートブロック機能外領域のウイルス感染監視プログラム
に制御を移し、前記ウイルス感染監視プログラムによっ
て、記憶保持メモリにウイルス感染フラグが立っている
か否かを調べ、前記ウイルス感染フラグが立っていない
ときは起動時から現在まで時間の計測結果を前回の処理
のときに前記記憶保持メモリに格納してある立ち上げ時
間と比較して一定時間以上余計に経過しているか否かを
調べ、一定時間以上余計に経過していないときは前記記
憶保持メモリに格納してある立ち上げ回数が一定回数以
上であるか否かを調べ、一定時間以上余計に経過してい
るときまたは立ち上げ回数が一定回数以上であるときま
たは前記ウイルス感染フラグが立っているときは前記読
出し専用メモリ内の前記ブートブロック機能外領域に格
納してある既存ウイルス情報を基にハードディスク装置
内のファイルがウイルスに感染しているか否かを調べ、
その結果を利用者に通知することを含むものである。
【0008】本発明のコンピュータウイルス感染監視装
置は、書き換え可能なブートブロック機能外領域にウイ
ルス感染監視プログラムと既存ウイルス情報とを格納し
ている読出し専用メモリと、立ち上げ時間および立ち上
げ回数およびウイルス感染フラグを格納している記憶保
持メモリとを備え、前記ウイルス感染監視プログラム
が、コンピュータシステムの立ち上げのとき、前記記憶
保持メモリの前記ウイルス感染フラグの有無を調べ、前
記ウイルス感染フラグが無いときは起動時から現在まで
時間の計測結果を前回の処理のときに前記記憶保持メモ
リに格納してある前記立ち上げ時間と比較して一定時間
以上余計に経過しているか否かを調べ、一定時間以上余
計に経過していないときは前記記憶保持メモリに格納し
てある前記立ち上げ回数が一定回数以上であるか否かを
調べ、一定時間以上余計に経過しているときまたは立ち
上げ回数が一定回数以上であるときまたは前記ウイルス
感染フラグが有るときは前記読出し専用メモリ内の前記
ブートブロック機能外領域に格納してある前記既存ウイ
ルス情報を基にハードディスク装置内のファイルがウイ
ルスに感染しているか否かを調べ、その結果を表示装置
に表示する機能を有するものである。
置は、書き換え可能なブートブロック機能外領域にウイ
ルス感染監視プログラムと既存ウイルス情報とを格納し
ている読出し専用メモリと、立ち上げ時間および立ち上
げ回数およびウイルス感染フラグを格納している記憶保
持メモリとを備え、前記ウイルス感染監視プログラム
が、コンピュータシステムの立ち上げのとき、前記記憶
保持メモリの前記ウイルス感染フラグの有無を調べ、前
記ウイルス感染フラグが無いときは起動時から現在まで
時間の計測結果を前回の処理のときに前記記憶保持メモ
リに格納してある前記立ち上げ時間と比較して一定時間
以上余計に経過しているか否かを調べ、一定時間以上余
計に経過していないときは前記記憶保持メモリに格納し
てある前記立ち上げ回数が一定回数以上であるか否かを
調べ、一定時間以上余計に経過しているときまたは立ち
上げ回数が一定回数以上であるときまたは前記ウイルス
感染フラグが有るときは前記読出し専用メモリ内の前記
ブートブロック機能外領域に格納してある前記既存ウイ
ルス情報を基にハードディスク装置内のファイルがウイ
ルスに感染しているか否かを調べ、その結果を表示装置
に表示する機能を有するものである。
【0009】
【発明の実施の形態】次に、本発明の実施の形態につい
て図面を参照して説明する。
て図面を参照して説明する。
【0010】図1は本発明のコンピュータウイルス感染
監視装置の一実施形態を示すブロック図、図2は図1の
実施形態の動作を示すフローチャートである。
監視装置の一実施形態を示すブロック図、図2は図1の
実施形態の動作を示すフローチャートである。
【0011】図1のコンピュータウイルス感染監視装置
の実施形態は、読出し専用メモリ(フラッシュROM)
1と、記憶保持メモリ(BUM)11とを備えており、
表示装置15とハードディスク装置(HDD)16を接
続している。
の実施形態は、読出し専用メモリ(フラッシュROM)
1と、記憶保持メモリ(BUM)11とを備えており、
表示装置15とハードディスク装置(HDD)16を接
続している。
【0012】フラッシュROM1は、書き換え不可能な
領域であるブートブロック機能領域2と、書き換え可能
な領域であるブートブロック機能外領域3とに分かれて
いる。ブートブロック機能領域2には、コンピュータシ
ステムを動作させるためのプログラムが格納してあり、
ブートブロック機能外領域3には、ウイルス感染監視プ
ログラム4と既存ウイルス情報10とを格納している。
領域であるブートブロック機能領域2と、書き換え可能
な領域であるブートブロック機能外領域3とに分かれて
いる。ブートブロック機能領域2には、コンピュータシ
ステムを動作させるためのプログラムが格納してあり、
ブートブロック機能外領域3には、ウイルス感染監視プ
ログラム4と既存ウイルス情報10とを格納している。
【0013】ウイルス感染監視プログラム4は、時間計
測処理機能5と、立ち上げ監視処理機能6と、ウイルス
情報比較処理機能7と、比較結果通知処理機能8と、記
録データ更新処理機能9との五つの処理機能を有してい
る。
測処理機能5と、立ち上げ監視処理機能6と、ウイルス
情報比較処理機能7と、比較結果通知処理機能8と、記
録データ更新処理機能9との五つの処理機能を有してい
る。
【0014】時間計測処理機能5は、コンピュータシス
テム内に搭載しているタイマを用いて起動時から現在ま
での時間を計測する処理機能である。
テム内に搭載しているタイマを用いて起動時から現在ま
での時間を計測する処理機能である。
【0015】立ち上げ監視処理機能6は、前回の処理の
とき、BUM11内に記憶したウイルス感染フラグ14
の状態を確認し、また時間計測処理機能5による起動時
から現在まで時間の計測結果を読取り、前回の処理のと
きにBUM11内に記憶した立ち上げ時間12が一定時
間以上であるか否か、または一定時間以上ではないが前
回の処理のときににBUM11内に記憶した立ち上げ回
数13が一定回数以上であるか否かを確認する処理機能
である。なお、上記の一定時間および一定回数は、コン
ピュータシステムの管理者が任意の値にその設定値を変
更することができる。
とき、BUM11内に記憶したウイルス感染フラグ14
の状態を確認し、また時間計測処理機能5による起動時
から現在まで時間の計測結果を読取り、前回の処理のと
きにBUM11内に記憶した立ち上げ時間12が一定時
間以上であるか否か、または一定時間以上ではないが前
回の処理のときににBUM11内に記憶した立ち上げ回
数13が一定回数以上であるか否かを確認する処理機能
である。なお、上記の一定時間および一定回数は、コン
ピュータシステムの管理者が任意の値にその設定値を変
更することができる。
【0016】ウイルス情報比較処理機能7は、既存ウイ
ルス情報10を基に、HDD16内に格納しているプロ
グラム等のファイルが、ウイルスに感染しているか否か
を比較確認する処理機能である。
ルス情報10を基に、HDD16内に格納しているプロ
グラム等のファイルが、ウイルスに感染しているか否か
を比較確認する処理機能である。
【0017】比較結果通知処理機能8は、ウイルス情報
比較処理機能7によって確認した結果を表示装置15に
送って、「正常」または「警告」メッセージを表示させ
る処理機能である。
比較処理機能7によって確認した結果を表示装置15に
送って、「正常」または「警告」メッセージを表示させ
る処理機能である。
【0018】記録データ更新処理機能9は、次回の処理
のときの立ち上げのために、BUM11内に記憶してあ
る立ち上げ時間12および立ち上げ回数13およびウイ
ルス感染フラグ14を更新する処理機能である。
のときの立ち上げのために、BUM11内に記憶してあ
る立ち上げ時間12および立ち上げ回数13およびウイ
ルス感染フラグ14を更新する処理機能である。
【0019】既存ウイルス情報10は、これまでに発見
されたウイルスに関する情報(ウイルスのパターン)が
登録されているデータベースであり、新たなウイルスが
発見されると、その都度登録内容が更新される。
されたウイルスに関する情報(ウイルスのパターン)が
登録されているデータベースであり、新たなウイルスが
発見されると、その都度登録内容が更新される。
【0020】記憶保持メモリ(BUM)11は、記憶内
容を保持しているメモリであり、立ち上げ時間12およ
び立ち上げ回数13およびウイルス感染フラグ14の三
つのデータを格納している。
容を保持しているメモリであり、立ち上げ時間12およ
び立ち上げ回数13およびウイルス感染フラグ14の三
つのデータを格納している。
【0021】立ち上げ時間12は、ウイルス感染監視プ
ログラム4が実行された時間である。
ログラム4が実行された時間である。
【0022】立ち上げ回数13は、コンピュータシステ
ムの管理者が定めた一定時間内に、ウイルス感染監視プ
ログラム4を立ち上げた回数である。
ムの管理者が定めた一定時間内に、ウイルス感染監視プ
ログラム4を立ち上げた回数である。
【0023】ウイルス感染フラグ14は、ウイルス感染
監視プログラム4によって確認したウイルス感染の状態
(正常か異常か)を示すフラグである。
監視プログラム4によって確認したウイルス感染の状態
(正常か異常か)を示すフラグである。
【0024】次に、図2を参照して上記のコンピュータ
ウイルス感染監視装置の動作について説明する。
ウイルス感染監視装置の動作について説明する。
【0025】コンピュータシステムの動作が開始される
と、まずフラッシュROM1内のブートブロック機能領
域2のプログラムが実行され、ブートブロック機能領域
2のプログラムからウイルス感染監視プログラム4に制
御が移行する(ステップ21)。ウイルス感染監視プロ
グラム4は、立ち上げ監視処理機能6を実行し、前回の
処理のときにBUM11内に記憶したウイルス感染フラ
グ14の状態を確認する(ステップ22)。
と、まずフラッシュROM1内のブートブロック機能領
域2のプログラムが実行され、ブートブロック機能領域
2のプログラムからウイルス感染監視プログラム4に制
御が移行する(ステップ21)。ウイルス感染監視プロ
グラム4は、立ち上げ監視処理機能6を実行し、前回の
処理のときにBUM11内に記憶したウイルス感染フラ
グ14の状態を確認する(ステップ22)。
【0026】この確認の結果が異常であった(ウイルス
に感染していると判断した)ときは、直接ステップ24
に移行する。上記の確認の結果が正常であった(ウイル
スに感染していないと判断した)ときは、ステップ23
に移行し、時間計測処理機能5によって起動時から現在
まで時間の計測結果を読取り、前回の処理のときにBU
M11内に記憶した立ち上げ時間12と比べて一定時間
以上余計に経過しているか否か、または一定時間以上余
計に経過していないが前回の処理のときににBUM11
内に記憶した立ち上げ回数13が一定回数以上であるか
否かを確認する。
に感染していると判断した)ときは、直接ステップ24
に移行する。上記の確認の結果が正常であった(ウイル
スに感染していないと判断した)ときは、ステップ23
に移行し、時間計測処理機能5によって起動時から現在
まで時間の計測結果を読取り、前回の処理のときにBU
M11内に記憶した立ち上げ時間12と比べて一定時間
以上余計に経過しているか否か、または一定時間以上余
計に経過していないが前回の処理のときににBUM11
内に記憶した立ち上げ回数13が一定回数以上であるか
否かを確認する。
【0027】上記の確認結果が一定時間余計に経過して
おらず、また一定回数以上でもないときは、ステップ3
0に移行し、記録データ更新処理機能9によってBUM
11内に記憶してある立ち上げ回数13のみを更新し、
立ち上げ時間12は更新せずに処理を終了する。この場
合は、通常のOSロード処理に移行する。
おらず、また一定回数以上でもないときは、ステップ3
0に移行し、記録データ更新処理機能9によってBUM
11内に記憶してある立ち上げ回数13のみを更新し、
立ち上げ時間12は更新せずに処理を終了する。この場
合は、通常のOSロード処理に移行する。
【0028】上記の確認結果が一定時間余計に経過して
いるか、または一定回数以上であるときは、HDD16
内に格納しているすべてのファイルについて、これまで
に発見されているウイルスのパターンが登録されている
既存ウイルス情報10を基に、ウイルス情報比較処理機
能7によってウイルスに感染しているか否かを比較確認
する(ステップ24)。この結果ウイルスに感染してい
ると判断した場合は(ステップ25)、ステップ26に
移行し、比較結果通知処理機能8によってその結果を表
示装置15に送り、「警告」メッセージを表示させてウ
イルスに感染していることを利用者に知らせる。続いて
記録データ更新処理機能9によってBUM11内に記憶
してあるウイルス感染フラグ14を立て(ステップ2
8)、更に、記録データ更新処理機能9によってBUM
11内に記憶してある立ち上げ時間12および立ち上げ
回数13を更新して(ステップ30)処理を終了する。
この場合は、通常のOSロード処理には移行せず、その
後の処理は利用者の判断に委ねる。
いるか、または一定回数以上であるときは、HDD16
内に格納しているすべてのファイルについて、これまで
に発見されているウイルスのパターンが登録されている
既存ウイルス情報10を基に、ウイルス情報比較処理機
能7によってウイルスに感染しているか否かを比較確認
する(ステップ24)。この結果ウイルスに感染してい
ると判断した場合は(ステップ25)、ステップ26に
移行し、比較結果通知処理機能8によってその結果を表
示装置15に送り、「警告」メッセージを表示させてウ
イルスに感染していることを利用者に知らせる。続いて
記録データ更新処理機能9によってBUM11内に記憶
してあるウイルス感染フラグ14を立て(ステップ2
8)、更に、記録データ更新処理機能9によってBUM
11内に記憶してある立ち上げ時間12および立ち上げ
回数13を更新して(ステップ30)処理を終了する。
この場合は、通常のOSロード処理には移行せず、その
後の処理は利用者の判断に委ねる。
【0029】ステップ24における比較確認の結果ウイ
ルスに感染していないと判断した場合は(ステップ2
5)、ステップ27に移行し、比較結果通知処理機能8
によってその結果を表示装置15に送り、「正常」メッ
セージを表示させてウイルスに感染していないことを利
用者に知らせる。続いて記録データ更新処理機能9によ
ってBUM11内に記憶してあるウイルス感染フラグ1
4をクリアし(ステップ29)、更に、ステップ30に
移行して処理を終了する。この場合は、通常のOSロー
ド処理に移行する。
ルスに感染していないと判断した場合は(ステップ2
5)、ステップ27に移行し、比較結果通知処理機能8
によってその結果を表示装置15に送り、「正常」メッ
セージを表示させてウイルスに感染していないことを利
用者に知らせる。続いて記録データ更新処理機能9によ
ってBUM11内に記憶してあるウイルス感染フラグ1
4をクリアし(ステップ29)、更に、ステップ30に
移行して処理を終了する。この場合は、通常のOSロー
ド処理に移行する。
【0030】このように、コンピュータシステムの立ち
上げ時にHDD16内のファイルがウイルスに感染して
いるか否かをチェックするため、ウイルスの感染を早期
に発見してそれ以降のウイルスの侵入および蔓延を防止
できる。また、ウイルスのパターンをこれまでに発見さ
れたウイルスに関する情報として既存ウイルス情報に登
録し、これを基としてウイルスに感染しているか否かを
比較確認するため、実行形式ファイルの管理情報を必要
とせず、従ってファイルの管理情報の更新のための時間
もかからず、また、管理情報のデータを記憶しておくた
めの大容量の記憶装置も必要としない。
上げ時にHDD16内のファイルがウイルスに感染して
いるか否かをチェックするため、ウイルスの感染を早期
に発見してそれ以降のウイルスの侵入および蔓延を防止
できる。また、ウイルスのパターンをこれまでに発見さ
れたウイルスに関する情報として既存ウイルス情報に登
録し、これを基としてウイルスに感染しているか否かを
比較確認するため、実行形式ファイルの管理情報を必要
とせず、従ってファイルの管理情報の更新のための時間
もかからず、また、管理情報のデータを記憶しておくた
めの大容量の記憶装置も必要としない。
【0031】
【発明の効果】以上説明したように、本発明のコンピュ
ータウイルス感染監視方法および装置は、読出し専用メ
モリ内の書き換え可能なブートブロック機能外領域にウ
イルス感染監視プログラムおよび既存ウイルス情報を格
納しておき、記憶保持メモリに立ち上げ時間および立ち
上げ回数およびウイルス感染フラグを格納しておき、コ
ンピュータシステムの立ち上げ時に、記憶保持メモリの
立ち上げ時間および立ち上げ回数およびウイルス感染フ
ラグを参照してHDD内のファイルのウイルスの感染状
態をチェックし、更に既存ウイルス情報を基にファイル
のウイルスの感染をチェックして正常か異常かを表示装
置を介して利用者に知らせることにより、ウイルスの感
染を早期に発見してそれ以降のウイルスの侵入および蔓
延を防止できるという効果がある。また、ウイルスのパ
ターンをこれまでに発見されたウイルスに関する情報と
して既存ウイルス情報に登録し、これを基としてウイル
スに感染しているか否かを比較確認するため、実行形式
ファイルの管理情報を必要とせず、従ってファイルの管
理情報の更新のための時間もかからず、また、管理情報
のデータを記憶しておくための大容量の記憶装置も必要
としないという効果もある。
ータウイルス感染監視方法および装置は、読出し専用メ
モリ内の書き換え可能なブートブロック機能外領域にウ
イルス感染監視プログラムおよび既存ウイルス情報を格
納しておき、記憶保持メモリに立ち上げ時間および立ち
上げ回数およびウイルス感染フラグを格納しておき、コ
ンピュータシステムの立ち上げ時に、記憶保持メモリの
立ち上げ時間および立ち上げ回数およびウイルス感染フ
ラグを参照してHDD内のファイルのウイルスの感染状
態をチェックし、更に既存ウイルス情報を基にファイル
のウイルスの感染をチェックして正常か異常かを表示装
置を介して利用者に知らせることにより、ウイルスの感
染を早期に発見してそれ以降のウイルスの侵入および蔓
延を防止できるという効果がある。また、ウイルスのパ
ターンをこれまでに発見されたウイルスに関する情報と
して既存ウイルス情報に登録し、これを基としてウイル
スに感染しているか否かを比較確認するため、実行形式
ファイルの管理情報を必要とせず、従ってファイルの管
理情報の更新のための時間もかからず、また、管理情報
のデータを記憶しておくための大容量の記憶装置も必要
としないという効果もある。
【図1】本発明のコンピュータウイルス感染監視装置の
一実施形態を示すブロック図である。
一実施形態を示すブロック図である。
【図2】図1の実施形態の動作を示すフローチャートで
ある。
ある。
1 読出し専用メモリ(フラッシュROM) 2 ブートブロック機能領域 3 ブートブロック機能外領域 4 ウイルス感染監視プログラム 5 時間計測処理機能 6 立ち上げ監視処理機能 7 ウイルス情報比較処理機能 8 比較結果通知処理機能 9 記録データ更新処理機能 10 既存ウイルス情報 11 記憶保持メモリ(BUM) 12 立ち上げ時間 13 立ち上げ回数 14 ウイルス感染フラグ 15 表示装置 16 ハードディスク装置(HDD) 21〜30 ステップ
Claims (2)
- 【請求項1】 コンピュータシステムの立ち上げのと
き、読出し専用メモリ内の書き換え不可能なブートブロ
ック機能領域のプログラムから書き換え可能なブートブ
ロック機能外領域のウイルス感染監視プログラムに制御
を移し、前記ウイルス感染監視プログラムによって、記
憶保持メモリにウイルス感染フラグが立っているか否か
を調べ、前記ウイルス感染フラグが立っていないときは
起動時から現在まで時間の計測結果を前回の処理のとき
に前記記憶保持メモリに格納してある立ち上げ時間と比
較して一定時間以上余計に経過しているか否かを調べ、
一定時間以上余計に経過していないときは前記記憶保持
メモリに格納してある立ち上げ回数が一定回数以上であ
るか否かを調べ、一定時間以上余計に経過しているとき
または立ち上げ回数が一定回数以上であるときまたは前
記ウイルス感染フラグが立っているときは前記読出し専
用メモリ内の前記ブートブロック機能外領域に格納して
ある既存ウイルス情報を基にハードディスク装置内のフ
ァイルがウイルスに感染しているか否かを調べ、その結
果を利用者に通知することを含むことを特徴とするコン
ピュータウイルス感染監視方法。 - 【請求項2】 書き換え可能なブートブロック機能外領
域にウイルス感染監視プログラムと既存ウイルス情報と
を格納している読出し専用メモリと、立ち上げ時間およ
び立ち上げ回数およびウイルス感染フラグを格納してい
る記憶保持メモリとを備え、前記ウイルス感染監視プロ
グラムが、コンピュータシステムの立ち上げのとき、前
記記憶保持メモリの前記ウイルス感染フラグの有無を調
べ、前記ウイルス感染フラグが無いときは起動時から現
在まで時間の計測結果を前回の処理のときに前記記憶保
持メモリに格納してある前記立ち上げ時間と比較して一
定時間以上余計に経過しているか否かを調べ、一定時間
以上余計に経過していないときは前記記憶保持メモリに
格納してある前記立ち上げ回数が一定回数以上であるか
否かを調べ、一定時間以上余計に経過しているときまた
は立ち上げ回数が一定回数以上であるときまたは前記ウ
イルス感染フラグが有るときは前記読出し専用メモリ内
の前記ブートブロック機能外領域に格納してある前記既
存ウイルス情報を基にハードディスク装置内のファイル
がウイルスに感染しているか否かを調べ、その結果を表
示装置に表示する機能を有することを特徴とするコンピ
ュータウイルス感染監視装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP8102346A JPH09288577A (ja) | 1996-04-24 | 1996-04-24 | コンピュータウイルス感染監視方法および装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP8102346A JPH09288577A (ja) | 1996-04-24 | 1996-04-24 | コンピュータウイルス感染監視方法および装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
JPH09288577A true JPH09288577A (ja) | 1997-11-04 |
Family
ID=14324939
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP8102346A Pending JPH09288577A (ja) | 1996-04-24 | 1996-04-24 | コンピュータウイルス感染監視方法および装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JPH09288577A (ja) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003527653A (ja) * | 1999-06-25 | 2003-09-16 | テレフォンアクチーボラゲット エル エム エリクソン(パブル) | データ処理デバイスと方法 |
JP2006127521A (ja) * | 2004-10-27 | 2006-05-18 | Lucent Technol Inc | 時限式実行可能エージェントを使用したソフトウェア保全性保護のための方法および装置 |
JP2006190184A (ja) * | 2005-01-07 | 2006-07-20 | Fujitsu Ltd | ファイル検索プログラムおよびファイル検索方法 |
KR100613126B1 (ko) * | 2005-07-29 | 2006-08-17 | (주)해피바이러스 | 컴퓨터에서의 악성 코드 제거 방법 및 그 장치, 그 방법을컴퓨터에서 실행시키기 위한 프로그램 코드를 기록한기록매체 |
JP2009543186A (ja) * | 2006-06-30 | 2009-12-03 | マイクロソフト コーポレーション | ブート環境におけるマルウェアの識別 |
JP2014191658A (ja) * | 2013-03-27 | 2014-10-06 | Fujitsu Fsas Inc | サーバ装置およびプログラム管理方法 |
-
1996
- 1996-04-24 JP JP8102346A patent/JPH09288577A/ja active Pending
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003527653A (ja) * | 1999-06-25 | 2003-09-16 | テレフォンアクチーボラゲット エル エム エリクソン(パブル) | データ処理デバイスと方法 |
JP2006127521A (ja) * | 2004-10-27 | 2006-05-18 | Lucent Technol Inc | 時限式実行可能エージェントを使用したソフトウェア保全性保護のための方法および装置 |
JP2006190184A (ja) * | 2005-01-07 | 2006-07-20 | Fujitsu Ltd | ファイル検索プログラムおよびファイル検索方法 |
JP4622523B2 (ja) * | 2005-01-07 | 2011-02-02 | 富士通株式会社 | ファイル検索プログラムおよびファイル検索方法 |
KR100613126B1 (ko) * | 2005-07-29 | 2006-08-17 | (주)해피바이러스 | 컴퓨터에서의 악성 코드 제거 방법 및 그 장치, 그 방법을컴퓨터에서 실행시키기 위한 프로그램 코드를 기록한기록매체 |
JP2009543186A (ja) * | 2006-06-30 | 2009-12-03 | マイクロソフト コーポレーション | ブート環境におけるマルウェアの識別 |
JP2014191658A (ja) * | 2013-03-27 | 2014-10-06 | Fujitsu Fsas Inc | サーバ装置およびプログラム管理方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2650809B1 (en) | Information processing device and information processing method | |
KR101443932B1 (ko) | 시스템 분석 및 관리 | |
US7841006B2 (en) | Discovery of kernel rootkits by detecting hidden information | |
US7933979B2 (en) | Identification information creating method, information processing apparatus, computer program product, recording device monitoring method, terminal apparatus management method, and communication network system | |
JP4807970B2 (ja) | 自動開始拡張ポイントを介したスパイウェアおよび不要ソフトウェアの管理 | |
US20070078915A1 (en) | Discovery of kernel rootkits with memory scan | |
KR100689742B1 (ko) | 메모리 덤프 프로그램의 부팅 방법, 기구 및 프로그램을기록한 컴퓨터로 판독 가능한 기록 매체 | |
EP2219130A1 (en) | Method and apparatus for detecting the malicious behavior of computer program | |
JPH11506856A (ja) | コンピュータ・システムにおけるウィルス保護 | |
JP5287980B2 (ja) | 情報処理装置,情報処理装置の起動制御方法及び起動プログラム | |
JP3904534B2 (ja) | 端末状態監視システムおよびその方法 | |
CN109783316B (zh) | 系统安全日志篡改行为的识别方法及装置、存储介质、计算机设备 | |
JP2006330864A (ja) | サーバ計算機システムの制御方法 | |
CN105335197A (zh) | 终端中应用程序的启动控制方法和装置 | |
JPH03233629A (ja) | 実行形式ファイルの被破壊チェック方式 | |
CN111090857A (zh) | 防御恶意软件攻击文件的方法、计算机系统以及记录介质 | |
JPH09288577A (ja) | コンピュータウイルス感染監視方法および装置 | |
US20060015939A1 (en) | Method and system to protect a file system from viral infections | |
JP5081761B2 (ja) | アーカイブ装置,不正アクセス検出方法及び不正アクセス検出プログラム | |
KR20100026195A (ko) | 시스템 보호 장치 및 방법 | |
KR100594870B1 (ko) | 비정상 파일 및 프로세스의 탐지 제거 방법 | |
CN110795733A (zh) | 管理主机中文件方法和装置 | |
JP2002312205A (ja) | アクセスログ情報の保存処理方法とその保存処理装置およびその処理プログラム | |
CN106971112B (zh) | 文件读写方法及装置 | |
JPH11259160A (ja) | コンピュータの起動方法、コンピュータ、起動処理プログラムを記録した記録媒体 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20000321 |