KR101255359B1 - 사용자 변경가능 파일들의 효과적인 화이트 리스팅 - Google Patents

사용자 변경가능 파일들의 효과적인 화이트 리스팅 Download PDF

Info

Publication number
KR101255359B1
KR101255359B1 KR1020050086757A KR20050086757A KR101255359B1 KR 101255359 B1 KR101255359 B1 KR 101255359B1 KR 1020050086757 A KR1020050086757 A KR 1020050086757A KR 20050086757 A KR20050086757 A KR 20050086757A KR 101255359 B1 KR101255359 B1 KR 101255359B1
Authority
KR
South Korea
Prior art keywords
file
signature
malware
computer
white list
Prior art date
Application number
KR1020050086757A
Other languages
English (en)
Other versions
KR20060051379A (ko
Inventor
다모드하란 울라가라트차간
미하이 코스테아
스콧 에이. 필드
Original Assignee
마이크로소프트 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 마이크로소프트 코포레이션 filed Critical 마이크로소프트 코포레이션
Publication of KR20060051379A publication Critical patent/KR20060051379A/ko
Application granted granted Critical
Publication of KR101255359B1 publication Critical patent/KR101255359B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

수신된 파일이 멀웨어가 아닌지를 효과적으로 결정하기 위한 시스템 및 방법이 제공된다. 동작에 있어서, 컴퓨터 디바이스에 파일이 수신될 때, 파일이 사용자 변경가능한, 또는 피상적인, 데이터 영역들, 즉 본질에 의해 통상적으로 멀웨어를 수행하지 않거나 내장하고 있지 않은 파일의 영역을 포함하는지의 여부에 대한 평가가 이루어진다. 만일 파일이 피상적인 데이터 영역을 포함하고 있다면, 이들 피상적인 데이터 영역은 필터링되고 수신된 파일의 나머지 부분들에 기초하여 파일 서명이 생성된다. 다음으로, 파일은 공지된 멀웨어의 리스트에 대해 비교되어 파일이 멀웨어인지를 결정한다. 대안적으로, 파일은 공지된 신뢰 파일들의 리스트에 대해 비교되어, 파일이 신뢰가치가 있는지를 결정한다.
컴퓨터 소프트웨어, 컴퓨터 보안, 멀웨어, 네트워크

Description

사용자 변경가능 파일들의 효과적인 화이트 리스팅{EFFICIENT WHITE LISTING OF USER-MODIFIABLE FILES}
도 1은 안티바이러스 소프트웨어와 관련된 취약성있는 윈도우, 특히 서명 인식 방법들을 도시한 예시적인 타임라인의 블럭도.
도 2는 예시적인 사용자 변경가능 문서를 나타낸 블럭도.
도 3은 도 2의 예시적인 사용자 변경가능 문서를 도시한 블럭도로서, 파일의 임의의 세그먼트들만이 파일에 대한 서명을 개발하는데 필요하다는 것을 또한 도시한 도면.
도 4는 본 발명의 양상들을 수행하는데 적합한 예시적인 네트워크화된 환경을 도시한 도면.
도 5는 본 발명에서 이용하기에 적합한 예시적인 화이트 리스트 데이터를 도시한 블럭도.
도 6은 본 발명의 양상에 따른 신뢰성있는 파일로서 파일이 화이트 리스팅되었는지를 결정하는데 적합한 예시적인 루틴을 도시한 블럭도.
도 7은 본 발명의 양상에 따라 채택된 예시적인 서명 생성 루틴을 나타낸 블럭도.
〈도면의 주요 부분에 대한 부호의 설명〉
202 : 마크로
204 : 템플레이트
206 : 내장된 오브젝트들
206 : 적용 스타일
210, 212 ; 사용자 데이터
402, 404, 406 : 컴퓨터
408 : 화이트 리스트 서비스
410 : 화이트 리스트 데이터 저장 장치
412 : 네트워크
본 발명은 컴퓨터 소프트웨어 및 컴퓨터 보안에 관한 것으로, 특히 본 발명은 컴퓨터에서 수신된 사용자 변경가능 파일들의 효과적인 보안 화이트 리스팅에 관한 것이다.
컴퓨터, 특히 네트워크에 접속된 컴퓨터를 구동하는 불행한 현실은 컴퓨터가 지속적으로 공격하에 놓여져 있다는 것이다. 이들 공격에는 컴퓨터 바이러스, 웜스(worms), 컴퓨터 활용(즉, 합법적인 컴퓨터 서비스들을 남용하거나 오용하는 것), 애드웨어 또는 스파이웨어 등을 포함하지만 이에 국한되지 않는 다양한 형태가 있다. 이들 다양한 컴퓨터 공격들 각각에 대한 동작의 메카니즘이 상당히 구분되 고 있지만, 일반적으로, 이들은 모두 컴퓨터 상에서 일부 허용되지 않은, 통상적으로 환영받지 못한, 종종 파과적인, 행동을 수행하도록 설계되어 있다. 본 발명을 위해, 이들 공격들은 통상적으로 이하 멀웨어(malware)로서 참조될 것이다.
멀웨어가 통상적으로 컴퓨터들에 대한 현실이며, 특히 네트워크 컴퓨터들에 대한 현실이기 때문에, 컴퓨터 상에서 멀웨어가 악의있는 의도를 수행하는 것을 방지하는 다양한 도구들이 고안되고 전개되어 왔다. 이들 도구는 공격받기 쉬운 어플리케이션에 대한 방어벽(firewall), 프럭시(proxy) 및 보안 설정을 포함한다. 그러나, 멀웨어에 대해서 컴퓨터를 보호하는 가장 공통적으로 사용되는 도구는 안티바이러스 소프트웨어이다.
본 분야의 숙련된 자라면, 대부분의 안티바이러스 소프트웨어는 패턴 인식 서비스로서 동작한다는 것을 알 수 있을 것이다. 특히, 파일이 컴퓨터에 의해 수신될 때, 파일이 워드 프로세싱 문서, 이미지 등을 실행가능한지의 여부에 무관하게, 컴퓨터가 파일을 "분석"하는 것을 보호하는 안티바이러스 소프트웨어가 멀웨어로서 알려져 있는지를 결정한다. 안티바이러스 소프트웨어는 파일에 대한, 서명으로서 참조되는, 해쉬(hash) 값을 생성함으로써 파일을 "분석"한다. 이 서명은 다른 파일이 동일 서명을 갖게 되는 것이 극히 드물게 되도록 생성되기 때문에, 그 파일에 고유한 것으로 고려된다. 일단 서명이 생성되면, 서명은 일명 서명 파일내의 공지된 멀웨어의 다른 서명들에 대해 비교된다. 따라서, 파일의 생성된 서명이 서명 파일내의 공지된 멀웨어의 서명과 일치하지 않는다면, 안티바이러스 소프트웨어는 그 파일을 멀웨어라는 것을 발견하게 되고 적당한 액션을 취한다.
불행하게도, 서명 인식은 컴퓨터를 멀웨어로부터 보호하기 위해 멀웨어가 이전에 공지된(식별된) 것이기를 요구한다. 따라서, 안티바이러스 소프트웨어는 시간-제로 보호, 즉, 네트워크상에서 배포되자 마자, 또는 타임-제로시 컴퓨터를 멀웨어로부터 보호하는 것이 아니다. 대신에, 공격받기 쉬운 윈도우는 새로운, 비공지된 멀웨어가 배포되는 동안 그리고 안티바이러스 소프트웨어가 컴퓨터를 새로운 멀웨어로부터 보호할 수 있을 때에 존재한다.
도 1은 현재의 안티바이러스 소프트웨어의 서명 인식과 관련된 취약성있는 윈도우를 나타낸 예시적인 타임라인(100)의 블럭도이다. 도 1에 나타난 바와 같이, 이벤트(102)로 표시된 바와 같이, 적시에 일부 포인트에서, 악의가 있는 파티는 인터넷과 같은, 네트워크 상에 새로운, 비공지된 멀웨어를 배포한다. 명백하게, 일단 새로운, 비공지된 멀웨어가 배포되면, 네트워크에 접속된 컴퓨터들은 위험에 처하거나 공격받기 쉬운 상태에 놓여진다. 따라서, 취약성있는 윈도우가 오픈된다.
네트워크상의 새로운 멀웨어를 검출하기 위한 실제 시간은 활용가능한 통계치에 따른, 새로운 멀웨어의 독성을 포함하는 수많은 요인들에 따라 좌우되는 동안, 안티바이러스 소프트웨어 커뮤니티, 즉, 안티바이러스 소프트웨어 제공자들이 새로운 멀웨어를 검출하거나 인식하는데 4시간 내지 3일이 걸린다. 이벤트(104)로 표시된 바와 같이, 일단 검출되면, 안티바이러스 커뮤니티는 멀웨어를 식별하기 시작할 수 있다. 새로운 멀웨어에 대한 서명을 생성하는 것에 부가하여, 멀웨어를 식별하는 것은 또한 통상적으로 멀웨어의 궁극적인 영향을 조사하고/결정하고, 그 공격 모드를 결정하고, 공격에 의해 노출되는 시스템 취약점을 식별하여, 감염된 컴퓨터로부터 멀웨어를 제거하기 위한 계획을 고안해 내는 것을 포함한다.
통상적으로 대략 4시간(적어도 서명 식별의 경우) 걸리는, 멀웨어를 식별한 후에, 안티바이러스 제공자는 이벤트(106)에 의해 표시된 바와 같이, 다운로딩된 서비스에 대한 갱신된 서명 파일을 포스트할 것이다. 불행하게도, 컴퓨터들(자동적으로, 또는 사용자의 요청시)은 그들의 서명 파일들을 즉시 갱신하지 않는다. 통상적으로, 대부분의 컴퓨터들은 이벤트(108)로 표시된 바와 같이, 그들의 서명 파일들을 갱신하는데 4시간 내지 1주일이 걸린다. 물론, 안티바이러스 소프트웨어가 새로운 멀웨어로부터 컴퓨터를 방어할 수 있는 컴퓨터 상에 갱신된 서명 파일이 다운로딩된 후이며, 이로써 취약한 윈도우(110)를 클로즈한다. 실제로, 컴퓨터 사용자가 휴가중일 때와 같은, 개인적인 환경하에 따라, 최신 서명 파일들로 컴퓨터를 갱신하는 것은 1주일 이상 걸릴 수 있다.
알 수 있는 바와 같이, 새로운, 비공지된 멀웨어는 안티바이러스 소프트웨어에 의해 체크되지 않은 채로, 네트워크 커뮤니티상에서 악의있는 파괴를 수행하는데 수시간 내지 수 주 어딘가에 있다. 안티바이러스 소프트웨어는 시간-제로 보호가 아니다. 유익한 소식은 대부분의 컴퓨터들은 멀웨어가 임의의 한 컴퓨터를 공격하려고 하기 전에 보호된다는 것이다. 불행하게도, 일부는 취약성있는 윈도우 동안 노출되고, 멀웨어에 의해 감염된다. 대부분, 특히 그들의 컴퓨터들에 크게 의존하는 것들, 이 취약성있는 윈도우는 전체적으로 수용할 수 없다.
본 분야의 숙련된 자라면 서명이 파일을 고유하게 식별하도록 파일에 대한 서명을 생성하는 것이 중요하다는 것을 바로 인식할 것이다. 복잡한 알고리즘 및 수학적 처리는 파일을 긍정적으로 식별하는하며, 동시에 임의의 다른 파일을 식별하지 않는 서명을 연산적으로 생성하는 것을 포함한다. 불행하게도, 고유하게, 서명을 생성하기 위해, 사용된 알고리즘은 파일에 대해 매우 민감하다. 파일에 대한 임의의 변형은 서명 생성 알고리즘이 오리지널 파일에 대한 것과 상이한 서명을 생성하게 할 것이다. 바꾸어 말하자면, 공지된 멀웨어에 대한 간단한, 표면적인 변경은 서명 생성 알고리즘이 전체적으로 상이한 서명을 리턴되도록 할 것이다. 따라서, 공지된 멀웨어에 대한 표면적인 변경(즉, 서명 파일내의 서명에 의해 식별된 것)은 적어도 변형된 멀웨어가 인식될 때까지 변형된 멀웨어가 검출을 피할 수 있게 하기에 충분하며, 서명 파일내에 생성 및 저장된 서명도 마찬가지이다.
멀웨어의 문제점은 통상적으로 멀웨어가 종종 사용자가 변형가능한 파일들내에 내장되어 있다는 사실에 의해 혼합된다. 예를 들면, 멀웨어는 워드 프로세싱 문서내에 내장된 실행가능한 스크립트로서 변장하여 배포될 수도 있다. 이들 경우, 멀웨어 부분(즉, 내장된 스크립트)는 문서의 편집가능한 부분에 전혀 무관한다. 따라서, 워드 프로세싱 문서의 데이터 영역에 대한, 작은 또는 큰 변형들은 완전한 멀웨어 파일이 오리지널과는 상이한 서명을 배출할 수 있게 하는 반면, 내장된 악의성있는 스크립트는 영향받지 않고 유지된다. 이들 사용자 변형가능한 파일들은 워드 프로세싱 문서들, 스프레드시트, 이미지들, HTML 문서들 등을 포함하지만 이에 국한되지 않는다. 게다가, 멀웨어 생성기들은, 안티바이러스 소프트웨 어 검출을 늦춰서 대기하기 위해, 자기 변형된 멀웨어: 비검출된 안티바이러스 소프트웨어를 유지하기 위해 파일의 일부분을 랜덤하게 변형하는 문서들을 생성하기 시작했다. 다음으로, 명백하게, 수많은 경우에 있어서, 배포된 멀웨어보다 앞서서 대기하기는 매우 어려우며, 특히 멀웨어를 정지시키기 위해 공지되어야 할 때 멀웨어보다 앞서서 대기하기는 매우 어렵다.
상술한 논의의 관점에서, 필요한 것은 안티바이러스 소프트웨어와 통상적으로 관련된 취약한 윈도우를 컴퓨터가 클로즈할 수 있게 함으로써, 안티바이러스 소프트웨어 또는 다른 보안 측정을 통해 자유롭게 패스하는 멀웨어-프리 또는 신뢰된 것으로 알려진 파일들을 허용하거나 화이트 리스팅하는 시스템 및 방법이다, 또한, 필요한 것은 전체 파일 이외의 서명 정보에 기초한 화이트 리스트된 사용자 변형가능 파일들을 식별하는 능력이다. 본 발명은 종래 기술에서 발견된 이들 및 다른 문제들을 논의한다.
본 발명의 관점들에 따르면, 수신된 파일이 멀웨어인지의 여부를 식별하기 위한 컴퓨터 시스템이 제공된다. 컴퓨터 시스템은 프로세서, 통신 접속 및 메모리를 포함한다. 컴퓨터 시스템은 통신 접속에서 파일을 수신시, 수신된 파일이 사용자 변형가능 파일인지의 여부에 대해 판별이 이루어지도록 구성된다. 만일 그렇다면, 보다 영구적인 사용자 변형가능 파일의 부분들이 선택된다. 파일 서명은 보다 영구적인 수신된 파일의 선택된 부분들에 기초하여 생성된다. 수신된 파일이 생성된 파일 서명에 기초한 멀웨어인지의 여부에 대한 판별이 이루어진다.
본 발명의 다른 양상에 따르면, 수신된 파일이 멀웨어인지의 여부를 판별하기 위한, 외부 소스로부터 파일들을 수신할 수 있는 컴퓨터 디바이스상에서 수행되는 방법이 제공된다. 파일을 수신시, 파일이 피상적인 데이터 영역들을 포함하는지의 여부에 대한 판별이 이루어진다. 만일 수신된 파일이 피상적인 데이터 영역을 포함하고 있다면, 수신된 파일의 이들 피상적인 데이터 영역들을 제거한다. 파일 서명은 피상적인 데이터 영역이 아닌 수신된 파일의 나머지 부분들에 기초하여 생성된다. 수신된 파일이 생성된 파일 서명에 기초한 멀웨어인지의 여부에 대한 판별이 이루어진다.
본 발명의 또 다른 양상에 따르면, 외부 소스로부터 파일들을 수신할 수 있는 컴퓨팅 디바이스상에서 실행될 때, 수신된 파일이 멀웨어인지의 여부를 판정하기 위한 방법을 수행하는 컴퓨터 실행가능 명령들을 내장한 컴퓨터 판독가능 매체가 제공된다. 파일을 수신시, 파일이 피상적인 데이터 영역들을 포함하는지의 여부에 대한 판정이 이루어진다. 만일 수신된 파일이 피상적인 데이터 영역들을 포함한다면, 수신된 파일의 이들 피상적인 데이터 영역들은 제거된다. 파일 서명은 피상적인 데이터 영역들이 아닌 수신된 파일의 나머지 부분들에 기초하여 생성된다. 다음으로, 수신된 파일이 생성된 파일 서명에 기초한 멀웨어인지의 여부에 대한 판정이 이루어진다.
본 발명의 양상에 따르면, 전체적인 사용자 변경가능 문서에 기초하여 멀웨어 서명을 생성한다기 보다는, 한 문서의 한 부분만이 서명을 생성하기 위한 기본으로서 사용된다. 보다 구체적으로, 멀웨어 서명은 사용자 변경가능 파일의, 임의 의 보다 영구적인 부분들에 기초하여 생성된다. 보다 영구적이 되는 사용자 변경가능 문서의 부분들에 대한 멀웨어 서명을 바이어싱함으로써, 간단한 표면적인 변경을 통한 검출을 벗어나기 위한 자기-변형 멀웨어 및 멀웨어 생성기들의 능력은 완벽하게 제거되지 않는다고 할지라도, 실질적으로 감소된다.
본 분야의 숙련된 자라면 사용자 변경가능 문서가 수많은 구성요소들을 포함하며, 이들 중 일부는 다른 것보다 영구적이 될 것이라는 것을 알 수 있을 것이다. 일반적으로 본 발명이 서명에 기초한 문서의 보다 영구적인 요소들/부분들이다. 도 2는 예시적인 사용자 변경가능 문서(200)를 도시하고 사용자 변경가능 문서의 다양한 요소들을 논의하기 위한 블럭도이다.
도 2에 나타난 바와 같이, 사용자 변경가능 문서(200)는 마크로(202), 템플레이트(204), 액티브 X 및 COM과 같은 내장된 오브젝트들(206), 적용 스타일(208) 등과 타은 다양한 요소들/부분들을 포함한다. 이들 요소들 각각은 보다 영구적이며, 즉 사용자가 사용자 변경가능 문서들을 편집할 때마다 변경되지 않는다. 부가적으로, 이들은 멀웨어의 "코어(core)"를 포함하는 문서 요소들의 타입들이다. 예를 들면, 멀웨어 생성기들은 마크로 또는 액티브 X 제어의 형태로 악의성있는 설계를 구현한다. 이들은 워드 프로세싱 문서들, 스프레드시트 또는 이미지들과 같은 사용자 변경가능 파일들에 배치된다. 사용자 데이터 영역들(210, 212)과 같은, 사용자 데이터 영역들내의 임의의 정보는 그 자체로 멀웨어에 거의 또는 전혀 영향을 미지치 않지만, 종종 사용자가 의심하지 않는 사용자의 컴퓨터상에 멀웨어를 구동하고 및/또는 배포하도록 유인하는 정보를 포함한다. 따라서, 이미 언급된 바와 같이, 현재의 서명 기초 검출 시스템의 본질로 인해, 멀웨어의 변동은 문서에 대한 표면적인 변경을 통해 쉽게 생성된다.
본 논의는 용어 "사용자 변경가능" 파일을 이용할 수도 있지만, 이는 단지 설명을 위한 것이며, 본 발명에 적용가능한 파일의 한가지 타입만을 나타내고 있다는 것을 이해할 수 있어야 한다. 상술한 바와 같이, 매우 종종 어플리케이션으로서 배포된 멀웨어는 멀웨어의 기능에 영향을 미치지 않는 데이터 영역들의 변경을 포함할 것이다. 이들 데이터 영역들은 이하 피상적인 데이터 영역들로서 참조될 것이다. 사용자 변경가능 파일들은 피상적인 데이터 영역들, 즉 사용자(또는 내장된 멀웨어)가 내장된 멀웨어에 영향을 미치지 않고 변경될 수도 있는 영역들을 포함한다. 따라서, "사용자 변경가능" 파일들 또는 피상적인 데이터 영역들을 갖는 파일들은 변경이 멀웨어의 기능에 영향을 미치는 데이터 영역들(일반적으로 파일의 보다 영구적인 부분들로서 참조됨)과 변경이 멀웨어에 대해 기능적인 영향을 미치지 않는 영역들(일반적으로 사용자 변경가능 데이터 영역들 또는 피상적인 데이터 영역들로서 참조됨)을 포함하는 모든 파일들을 포함한다는 것을 알 수 있을 것이다.
도 3은 예시적인 사용자 변경가능 문서(200)을 도시한 블럭도로서, 문서들의 부분들만이 문서에 대한 서명을 생성하는데 사용되는 것을 또한 도시한 것이다. 상술한 바와 같이, 본 발명에 따르면, 파일 서명을 생성할 때, 마크로(202), 템플레이트(204), 스타일(208) 및 내장된 오브젝트(206)과 같은, 그러나 이에 국한되지 않는 사용자 변경가능 문서의 보다 영구적인 부분들이 식별되고 사용된다. 역으 로, 사용자 데이터 영역들(210, 212)와 같은, 사용자 데이터 부분들은 서명 생성 프로세스 중에 필터링된다.
상술한 바와 같이, 사용자 변경가능 파일의 보다 영구적인 양상에 대한 멀웨어 서명을 바이어싱할 때 조차도, 멀웨어 검출은 타임-제로 보호, 즉 멀웨어 파일이 배포되는 순간의 보호를 항상 제공하지 않는다. 본 발명의 양상들에 따르면, 컴퓨터 또는 네트워크에 대한 타임-제로 보호를 제공하기 위해, 멀웨어가 아니라고 신뢰하는 파일들은 일명 화이트 리스트로 식별된다. 한 파일이 컴퓨터에 도달할 때, 그러나 컴퓨터상에 활용될 수 있기 전에, 그 파일에 대한 서명이 생성되어 신뢰되는 것으로 알려진 파일들의 화이트 리스트에 대해 비교된다. 본 발명의 추가적인 양상에 따르면, 파일의 서명은, 만일 파일이 사용자 변경가능 파일이라면, 상술한 바와 같이, 그 이상의 영구적인 부분들에 기초한다. 이러한 방식으로, 사용자 변경가능 파일은 파일의 배포가 신뢰할만한 가치가 있다고 완벽하게 확신이 있는 컴퓨터들 가운데 편집되고 쉽게 배포될 수 있다. 역으로, 화이트 리스트내의 서명들에 대해 매칭될 수 없는 파일들은 신뢰할만한 가치가 없는 것으로 고려되고, 보안 대책들은 컴퓨터 및/또는 네트워크의 보호를 수행할 수 있다. 이러한 방식으로, 타임-제로 보호가 구현된다.
본 발명에 따르면, 화이트 리스트는 컴퓨터상에 또는 신뢰된 네트워크 위치에 또는 둘다에 국부적으로 저장될 수도 있다. 본 발명은 임의의 한 구성 또는 배치에 국한되지 않는다. 부가적으로, 일 실시예에 따르면, 컴퓨터는 효율 및 리던던시를 포함하는, 다양한 이유에 대한 복수의 화이트 리스트들에 따라 좌우될 수도 있다. 도 4는 복수의 컴퓨터들에 활용가능한 화이트 리스트의 하나의 예시적인 네트워크 구성(400)을 도시한 도면이다. 도 4에 나타난 바와 같이, 예시적인 네트워크 구성(400)은 컴퓨터들(402-406)과 같은 컴퓨터들로부터 요구들을 수신하여 수신된 파일이 화이트 리스트화되었는지의 여부를 식별하는 화이트 리스트 서비스(408)를 포함한다. 화이트 리스트 서비스(408)는 인터넷(412)에 접속된 웹 서버일 수도 있지만, 본 발명은 여기세 제한되지는 않는다.
화이트 리스트 서비스(408)가 엄밀하게 화이트 리스팅 서비스, 즉 화이트 리스트에 대한 파일들에 대해 정보를 제공하는 것일 수도 있지만, 대안적으로, 화이트 리스트 서비스는 화이트 리스트화된 파일들은 물론 블랙 리스트화된 파일들, 즉 공지된 멀웨어 둘다에 대해 정보를 제공할 수도 있다.
화이트 리스트 서비스(408)은 화이트 리스트 데이터 저장 장치(410)에 결합된 것으로서 도시되어 있다. 화이트 리스트 데이터 저장 장치는 신뢰할 가치가 있는 것으로서 식별되는 파일들을 포함한다. 일 실시예에서, 화이트 리스트 서비스(408) 및 화이트 리스트 데이터 저장장치(412)를 별개의 엔티티(entities)로서 식별하고 있지만, 이는 도시 및 설명을 위해 논리적인 분리를 한 것이다. 실제 실시예에서, 화이트 리스트 데이터 저장 장치 및 화이트 리스트 서비스는 단일 엔티티로서 또는 컴퓨터 상에 제공된 서비스로서 결합될 수도 있다.
일 실시예에서, 화이트 리스트 데이터 저장 장치는 화이트 리스트화된 파일들의 서명만을 포함하고 있지만, 본 발명은 여기에 국한되지 않는다. 매우 빈번하게, 다수의 파일들을 갖는 신뢰의 레벨은 파일들간에 변화한다. 예를 들면, 사용 자에 의해 생성되는 공지의 파일은 동일 사용자에 의해 높은 레벨의 신뢰를 즐기려고 할 것이다. 유사하게, 인증기관에서 인증한 디지털 서명이 수반되는, 신뢰하고 있는 파티(party)에 의해 생성된 파일은 가장 높은 레벨의 신뢰를 즐길 수도 있다. 대안적으로, 수 일 동안 일명 "샌드박스(sandbox)"로 보장되며, 멀웨어의 프로세싱 표시를 나타내지 않는 파일은 "신뢰화"될 수도 있지만, 신뢰화된 소스에 의해 디지털적으로 표시된 것보다 더 적은 정도로 신뢰될 수도 있다. 또 다른 대안은 특정 파일이 신뢰될 수 있는 사용자들로부터 포지티브 피드백 수신될 수 있다는 것이다. 그러한 파일은 그 신뢰도에 관련돤 피드백의 볼륨에 기초하여 신뢰도를 수신할 수도 있으며, 특히 스파이웨어 및 애드웨어를 식별하는 것에 관련하여 유용하다. 따라서, 본 발명의 양상에 따르면, 화이트 리스트 데이터 저장 장치는 "신뢰성있는" 파일의 파일 서명들 이상을 포함한다.
본 발명의 앞선 논의는 컴퓨터를 참조하여 이루어졌지만, 본 발명은 프로세서, 통신 접속 및 정보를 저장하기 위한 메모리를 가지고 파일 서명 생성을 수행할 수 있는 컴퓨터들을 포함하지만, 이에 국한되지 않는 대부분의 임의의 컴퓨팅 디바이스들에 대해 수행될 수도 있다는 것을 알 수 있을 것이다. 예를 들면, 적당한 컴퓨팅 디바이스는 개인용 컴퓨터, 노트북 또는 태블릿 컴퓨터, PDA(personal digital assistant), 미니컴퓨터 및 메인프레임 컴퓨터들, 하이브리드 컴퓨팅 디바이스들(예를 들면, 셀 폰/PDA 조합) 등일 수도 있다.
도 5는 화이트 리스트 데이터 저장 장치(410)에 존재할 수도 있는 예시적인 필드를 도시한 블럭도이다. 일 실시예에서, 화이트 리스트 데이터 저장 장치(410) 는 데이터 저장 장치에 파일된 각 화이트 리스트에 대한 기록을 저장할 것이며, 각 기록은 정보 저장을 위한 하나 이상의 필드들을 포함한다. 도 5에 나타난 바와 같이, 화이트 리스트 데이터 저장 장치(410)내의 각 기록은 서명 필드(502)를 포함한다. 서명 필드는 파일 서명을 저장하고, 파일 서명이든 아니든 파일의 더욱 영구적인 부분들에만 기초하여 생성되었다. 상술한 바와 같이, 특정 파일을 즐기는 신뢰도를 식별하는데 종종 유용하다. 따라서, 예시적인 기록들은 또한 신뢰 필드(504)를 포함한다. 도시된 바와 같이, 신뢰 필드는 가장 높은 신뢰를 나타내는 10과 가장 낮은 신뢰를 나타내는 1사이의 수치값을 포함한다. 그러나, 이러한 랭킹은 단지 설명을 위한 것이며, 본 발명을 제한하는 것으로서 유추되지 말아야 한다는 것을 이해할 수 있을 것이다. 또 다른 대안으로서, 신뢰 필드(504)는 또한 멀웨어를 식별하는데 사용될 수 있을 것이다. 예를 들면, 만일 파일에 0의 신뢰 레벨이 할당되었다면, 파일은 멀웨어라고 알려지도록 표시될 수 있다.
화이트 리스트 데이터 저장 장치(410)에 나타난 것 또한 부가적인 데이터 필드(506)이다. 부가적인 데이터 필드(506)는, 그 명칭 제안으로서, 화이트 리스트 파일에 관련하여 사용자에게 유용할 수도 있는 정보를 포함한다. 도 5에 나타난 바와 같이, 부가적인 데이터 필드는 파일 창시자(file originator) 또는 소스, 관찰된 행위, 멀웨어 행위의 부족 등과 같은 파일의 할당된 신뢰도 이면의 이유를 식별할 수 있다. 대부분의 임의의 적당한 정보는 부가적인 데이터 필드(506)에 저장될 수 있다. 유사하게, 대안적인 실시예에서, 임의 개수의 필드들은 화이트 리스트 데이터 저장 장치(410)에 포함될 수 있다.
도 6은 파일이 신뢰도 있는 파일로서 화이트 리스트화되었는지의 여부를 판정하기 위한 예시적인 루틴(600)을 도시한 흐름도이다. 블럭(602)에서 시작하여, 컴퓨터는 파일이 멀웨어인지 또는 화이트 리스트화되었는지의 여부를 컴퓨터가 아직 알지 못한다는 것을 의미하는, 미지/비신뢰 파일을 수신한다. 블럭(604)에서, 수신된 파일에 대해 서명이 생성된다. 파일에 대한 서명을 생성하는 것은 도 7에 관련하여 이하에 기술된다.
도 7은 본 발명의 양상들에 따른 파일 서명을 생성하기 위한 것으로, 도 6의 루틴(600)에 의해 이용하기에 적합한 예시적인 서브루틴(700)을 도시한 흐름도이다. 결정 블럭(702)에서 시작하여, 파일이 사용자 변경가능 파일인지의 여부에 대한 결정이 이루어진다. 만일 파일이 사용자 변경가능한 것이 아니라면, 블럭(704)에서, 예시적인 서브루틴(700)은 전체 파일에 기초하여 파일에 대한 서명을 생성한다. 이후, 블럭(710)에서, 예시적인 서브루틴(700)은 생성된 서명을 리턴시키고 종료한다.
만일 파일이 사용자 변경가능 파일이라면, 블럭(706)에서, 예시적인 서브루틴(700)은 파일의 사용자 변경가능 부분들을 필터링한다. 다음으로, 블럭(708)에서, 서브루틴(700)은 파일의 필터링되지 않은 부분들, 나머지에 기초하여 파일의 서명을 생성한다. 파일의 설명을 생성한 후에, 블럭(710)에서, 예시적인 서브루틴(700)은 생성된 서명을 리턴시키고 종료한다.
도 6을 다시 참조하면, 파일의 서명을 생성한 후, 블럭(606)에서, 예시적인 루틴(600)은 화이트 리스트 서비스(408)과 접속된다. 상술한 바와 같이, 화이트 리스트 서비스는 컴퓨터 상에 또는 LAN(local area network)상에 인스톨되는 로컬 서비스/파일이거나, 대안적으로 도 4에서 식별되는 것과 같은 원격 화이트 리스트 서비스일 수도 있다. 부가적으로(미도시됨), 복수의 화이트 리스트 서비스들이 있을 수도 있다. 예를 들면, 컴퓨터상에 인스톨된 화이트 리스트 서비스는 컴퓨터에 의해 자주 접하게 되는 적은 수의 파일 서명들을 포함할 수도 있다. 만일 로컬 화이트 리스트 서비스내에 서명이 발견되지 않는다면, 컴퓨터는 다수의 서명들을 포함하고 있는 네트워크 화이트 리스트 서비스로 리턴할 수도 있다. 더욱이, 만일 로컬 또는 네트워크 화이트 리스트 서비스슬 어디에서도 서명이 발견되지 않는다면, 도 4의 화이트 리스트 서비스(408)과 같은, 원격/글로벌 화이트 리스트 서비스가 참조될 수도 있다. 물론, 원격 화이트 리스트 서비스(408)는 구동 시스템 제공자로부터 도움(help) 또는 서비스 문서들과 같은 글로벌하게 이용가능한 파일들만을 포함할 것이다. 일 실시예에 따르면, 로컬 화이트 리스트 서비스는 네트워크 화이트 리스트 서비스를 인식하고, 이와 통신하며, 네트워크 화이트 리스트 서비스는 원격 화이트 리스트 서비스를 인식하고, 이와 통신하여, 로컬 화이트 리스트 서비스에 대한 단일 요구는 파일의 서명이 발견되지 않을 경우 다른 것을 연속적으로 체크하도록 되어 있다.
화이트 리스트 서비스와 접속한 후, 블럭(600)에서, 루틴(600)은 서명을 제출하고 파일에 대응하는 신뢰도를 취득한다. 결정 블럭(610)에서, 화이트 리스트 서비스가 또한 멀웨어(본 발명이 이에 국한되지 않는다고 할지라도)를 식별한다고 가정하면, 파일이 멀웨어로서 식별되었는지의 여부를 결정한다. 만일 그렇다면, 블럭(612)에서, 루틴은 설정된 절차에 따라 멀웨어를 처리한다. 멀웨어를 처리하는 것은 본 분야에 잘 알려져 있으며, 파일을 검출하고, 파일을 검역 격리하거나, 파일로부터 멀웨어를 제거하는 것과 같은 액션을 포함한다. 이후, 루틴(600)이 종료된다.
만일 파일이 화이트 리스트 서비스(408)로부터 취득된 신뢰도에 따라 멀웨어로서 식별되지 않는다면, 블럭(614)에서, 루틴(600)은 파일에 대한 신뢰도에 관련한 설정된 대책들에 따라 컴퓨터 시스템에 파일을 허용한다. 예를 들면, 만일 신뢰도가 가장 높다면, 컴퓨터 사용자는 파일이 완벽하게 신뢰가치가 있는 것으로 만족하고, 그 파일을 임의의 목적으로 시스템에 허용할 수 있다. 대안적으로, 만일 신뢰도가 상당히 낮다면, 컴퓨터 시스템은 시주기 동안 파일을 검역 격리시키고, 일명 샌드박스내에서 파일을 실행시키고, 파일을 조작하는 동안 임의의 특성인 네트워크 능력을 디세이블시키는 등과 같지만, 이에 국한되지는 않는 임의의 제약으로 시스템에 파일을 허용하도록 프로그래밍될 수도 있다. 컴퓨터 시스템에 파일을 허용한 후, 예시적인 루틴(600)이 종료된다.
상술한 루틴(600)이 2진법, 즉, 예/아니오를 포함하고 있지만, 파일이 멀웨어인지의 여부에 관련한 결정, 실제 실시예에서, 파일에 관련된 신뢰도에 따라 다수의 결정이 이루어질 수도 있다. 예를 들면, 신뢰도가 8의 값 이상인지에 대한 판정이 이루어져서, 그 레벨 또는 그 이상의 신뢰도를 갖는 임의의 파일이 자동적으로 허용되도록 할 수도 있다. 유사하게, 3 내지 7사이의 신뢰도를 갖는 파일들은 일정 주기동안 일명 샌드박스내에서 실행되도록 요구될 수도 있다. 더욱이, 3 이하의 신뢰도를 갖는 파일들은 컴퓨터 시스템에 허용되기 전에 검역 격리되어야만 한다. 따라서, 예시적인 루틴(600)은 단지 설명을 위한 것이며, 본 발명에 대한 제한으로서 해석되지 말아야 한다.
본 발명은 수신된 파일이 멀웨어가 아닌지를 효과적으로 결정하기 위한 시스템 및 방법을 제공할 수 있는 효과가 있다.
본 발명의 바람직한 실시예를 포함하는 다양한 실시예들이 도시되고 설명되었지만, 다양한 변경은 본 발명의 사상 및 범위로부터 동떨어짐없이 그 내에서 이루어질 수 있다는 것을 알 수 있을 것이다.

Claims (20)

  1. 수신된 파일들 중에서 멀웨어(malware)를 식별하기 위한 컴퓨터 시스템으로서,
    프로세서;
    파일을 수신하기 위한 컴퓨터 접속; 및
    메모리를 포함하며,
    상기 컴퓨터 시스템은,
    파일을 수신하고;
    상기 파일이 사용자 변경가능 파일인지 여부를 판정하고;
    상기 파일이 사용자 변경가능 파일인 경우,
    상기 파일 내의 적어도 하나의 스크립트(script)를 식별하고 - 상기 적어도 하나의 스크립트는 기능적인 부분(functional portion) 및 비기능적인 부분(non-functional portion)을 포함하고, 상기 파일의 피상적인 데이터 영역(superficial data area)은 상기 비기능적인 부분을 포함하고 상기 기능적인 부분을 포함하지 않음 - ;
    상기 파일의 상기 피상적인 데이터 영역을 필터링(filter out)하고;
    상기 파일의 상기 피상적인 데이터 영역을 더 이상 포함하지 않도록 필터링된 파일로부터 제1 파일 서명을 생성하고;
    상기 제1 파일 서명에 기초하여 상기 파일이 멀웨어인지 여부를 확인하고;
    상기 파일이 사용자 변경가능 파일이 아닌 경우,
    상기 파일의 전체로부터 제2 파일 서명을 생성하고; 및
    상기 제2 파일 서명에 기초하여 상기 파일이 멀웨어인지 여부를 확인하는, 멀웨어 식별 컴퓨터 시스템.
  2. 제1항에 있어서, 상기 컴퓨터 시스템은 신뢰 파일들의 기록의 집합(collection of records of trusted files)을 포함하는 화이트 리스트 데이터 저장 장치를 더 포함하고, 상기 집합을 이루는 각각의 기록은 신뢰 파일의 파일 서명을 포함하고, 상기 컴퓨터 시스템은 상기 파일이 멀웨어인지 여부를 상기 제1 파일 서명 또는 상기 제2 파일 서명을 상기 화이트 리스트 데이터 저장 장치 내의 파일 서명들과 비교함으로써 확인하는, 멀웨어 식별 컴퓨터 시스템.
  3. 제2항에 있어서, 상기 화이트 리스트 데이터 저장 장치는 상기 컴퓨터 시스템에 원격(remote)이고, 상기 컴퓨터 시스템은 상기 컴퓨터 접속을 통해 상기 화이트 리스트 데이터 저장 장치에 접속하는, 멀웨어 식별 컴퓨터 시스템.
  4. 제1항에 있어서, 상기 컴퓨터 시스템은, 상기 제1 파일 서명 또는 상기 제2 파일 서명을 공지된 멀웨어의 파일 서명들과 비교함으로써 상기 파일이 멀웨어인지 여부를 확인하는, 멀웨어 식별 컴퓨터 시스템.
  5. 수신된 파일이 멀웨어인지 여부를 판정하기 위한 방법으로서, 상기 방법은 하나 이상의 컴퓨터 판독가능 기록매체에 저장되어 있는 명령어들이 하나 이상의 컴퓨터 프로세서에 의해 실행되는 컴퓨팅 환경에서 실행되고, 상기 방법은,
    수신된 파일이 사용자 변경가능 파일인지 여부를 판정하는 단계와,
    상기 수신된 파일이 사용자 변경가능 파일인 경우,
    상기 수신된 파일 내의 적어도 하나의 스크립트(script)를 식별하는 단계 - 상기 적어도 하나의 스크립트는 기능적인 부분(functional portion) 및 비기능적인 부분(non-functional portion)을 포함하고, 상기 수신된 파일의 피상적인 데이터 영역(superficial data area)은 상기 비기능적인 부분을 포함하고 상기 기능적인 부분을 포함하지 않음 - ;
    상기 수신된 파일의 상기 피상적인 데이터 영역을 필터링(filter out)하는 단계;
    상기 수신된 파일의 상기 피상적인 데이터 영역을 더 이상 포함하지 않도록 필터링된 파일로부터 제1 파일 서명을 생성하는 단계;
    상기 제1 파일 서명에 기초하여 상기 수신된 파일이 멀웨어인지 여부를 확인하는 단계
    를 포함하고,
    상기 수신된 파일이 사용자 변경가능 파일이 아닌 경우,
    상기 수신된 파일의 전체로부터 제2 파일 서명을 생성하는 단계; 및
    상기 제2 파일 서명에 기초하여 상기 수신된 파일이 멀웨어인지 여부를 확인하는 단계
    를 포함하는, 멀웨어 여부 판정 방법.
  6. 제5항에 있어서, 상기 방법은 상기 제1 파일 서명 또는 상기 제2 파일 서명을 화이트 리스트 데이터 저장 장치 내의 파일 서명들과 비교하는 단계를 더 포함하고, 상기 화이트 리스트 데이터 저장 장치는 신뢰 파일들의 기록의 집합(collection of records of trusted files)을 포함하고, 상기 집합을 이루는 각각의 기록은 신뢰 파일의 파일 서명을 포함하는, 멀웨어 여부 판정 방법.
  7. 제6항에 있어서, 상기 화이트 리스트 데이터 저장 장치는 컴퓨팅 장치에 위치하는, 멀웨어 여부 판정 방법.
  8. 제5항에 있어서, 상기 방법은, 상기 제1 파일 서명 또는 상기 제2 파일 서명을 공지된 멀웨어의 파일 서명들과 비교하는 단계를 더 포함하는, 멀웨어 여부 판정 방법.
  9. 컴퓨터 실행가능 명령어들을 저장하는 컴퓨터 판독가능 기록매체로서, 상기 컴퓨터 실행가능 명령어들은 프로세서에 의해 실행되었을 때,
    파일이 사용자 변경가능 파일인지 여부를 판정하고;
    상기 파일이 사용자 변경가능 파일인 경우,
    상기 파일 내의 적어도 하나의 스크립트(script)를 식별하고 - 상기 적어도 하나의 스크립트는 기능적인 부분(functional portion) 및 비기능적인 부분(non-functional portion)을 포함하고, 상기 파일의 피상적인 데이터 영역(superficial data area)은 상기 비기능적인 부분을 포함하고 상기 기능적인 부분을 포함하지 않음 - ;
    상기 파일의 상기 피상적인 데이터 영역을 필터링(filter out)하고;
    상기 파일의 상기 피상적인 데이터 영역을 더 이상 포함하지 않도록 필터링된 파일로부터 제1 파일 서명을 생성하고;
    상기 제1 파일 서명에 기초하여 상기 파일이 멀웨어인지 여부를 확인하고;
    상기 파일이 사용자 변경가능 파일이 아닌 경우,
    상기 파일의 전체로부터 제2 파일 서명을 생성하고; 및
    상기 제2 파일 서명에 기초하여 상기 파일이 멀웨어인지 여부를 확인하는, 컴퓨터 판독가능 기록매체.
  10. 제9항에 있어서, 상기 컴퓨터 실행가능 명령어들은, 상기 제1 파일 서명 또는 상기 제2 파일 서명을 화이트 리스트 데이터 저장 장치 내의 파일 서명들과 비교하기 위한 명령어들을 더 포함하고, 상기 화이트 리스트 데이터 저장 장치는 신뢰 파일들의 기록의 집합(collection of records of trusted files)을 포함하고, 상기 집합을 이루는 각각의 기록은 신뢰 파일의 파일 서명을 포함하는, 컴퓨터 판독가능 기록매체.
  11. 제10항에 있어서, 상기 화이트 리스트 데이터 저장 장치는 컴퓨팅 장치에 위치하는, 컴퓨터 판독가능 기록매체.
  12. 제9항에 있어서, 상기 컴퓨터 실행가능 명령어들은, 상기 제1 파일 서명 또는 상기 제2 파일 서명을 공지된 멀웨어의 파일 서명들과 비교하기 위한 명령어들을 더 포함하는, 컴퓨터 판독가능 기록매체.
  13. 제2항에 있어서, 상기 각각의 기록은 파일과 연관된 신뢰 레벨을 식별하는 신뢰 필드를 더 포함하며, 적어도 부분적으로 상기 신뢰 필드에 기초하여 상기 파일이 멀웨어인지 여부를 판정하는, 멀웨어 식별 컴퓨터 시스템.
  14. 제6항에 있어서, 상기 각각의 기록은 파일과 연관된 신뢰 레벨을 식별하는 신뢰 필드를 더 포함하며, 적어도 부분적으로 상기 신뢰 필드에 기초하여 상기 파일이 멀웨어인지 여부를 판정하는, 멀웨어 여부 판정 방법.
  15. 제10항에 있어서, 상기 각각의 기록은 파일과 연관된 신뢰 레벨을 식별하는 신뢰 필드를 더 포함하며, 적어도 부분적으로 상기 신뢰 필드에 기초하여 상기 파일이 멀웨어인지 여부를 판정하는, 컴퓨터 판독가능 기록매체.
  16. 제13항에 있어서, 상기 파일과 연관된 상기 신뢰 레벨은, 상기 파일의 신뢰도(trustworthiness)에 대하여 하나 이상의 사용자들로부터 획득된 피드백에 기초한 것인, 멀웨어 식별 컴퓨터 시스템.
  17. 제13항에 있어서, 상기 파일은 상기 파일과 연관된 상기 신뢰 레벨에 기초하여 하나 이상의 제한(constraint)을 가지면서 파일 시스템에 허용(admit)되는, 멀웨어 식별 컴퓨터 시스템.
  18. 제17항에 있어서, 상기 하나 이상의 제한은,
    상기 파일 시스템에 상기 파일이 허용되기 전에 상기 파일을 일정 주기 검사하는 것;
    상기 파일 시스템에 상기 파일이 허용되는 동안에 상기 파일과 연관된 특징들을 디스에이블(disable)하는 것; 및
    일정 주기 동안 제한된 환경에서 상기 파일을 실행하는 것 중 적어도 하나를 포함하는, 멀웨어 식별 컴퓨터 시스템.
  19. 제1항에 있어서, 상기 피상적인 데이터 영역은 매크로(macro), 템플레이트(template), 스타일 및 임베딩된 객체(embedded object) 각각을 포함하지 않는, 멀웨어 식별 컴퓨터 시스템.
  20. 제19항에 있어서, 상기 임베딩된 객체는 액티브 엑스(Active X) 객체인, 멀웨어 식별 컴퓨터 시스템.
KR1020050086757A 2004-10-29 2005-09-16 사용자 변경가능 파일들의 효과적인 화이트 리스팅 KR101255359B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/977,484 2004-10-29
US10/977,484 US10043008B2 (en) 2004-10-29 2004-10-29 Efficient white listing of user-modifiable files

Publications (2)

Publication Number Publication Date
KR20060051379A KR20060051379A (ko) 2006-05-19
KR101255359B1 true KR101255359B1 (ko) 2013-04-17

Family

ID=36061498

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050086757A KR101255359B1 (ko) 2004-10-29 2005-09-16 사용자 변경가능 파일들의 효과적인 화이트 리스팅

Country Status (5)

Country Link
US (4) US10043008B2 (ko)
EP (1) EP1657662B1 (ko)
JP (1) JP4851150B2 (ko)
KR (1) KR101255359B1 (ko)
CN (1) CN100585534C (ko)

Families Citing this family (133)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100489728C (zh) * 2004-12-02 2009-05-20 联想(北京)有限公司 一种建立计算机中可信任运行环境的方法
WO2006101549A2 (en) 2004-12-03 2006-09-28 Whitecell Software, Inc. Secure system for allowing the execution of authorized computer program code
JPWO2006090606A1 (ja) * 2005-02-24 2008-07-24 コニカミノルタホールディングス株式会社 ファイル又はディレクトリの名称生成方法及び装置
GB2427048A (en) 2005-06-09 2006-12-13 Avecho Group Ltd Detection of unwanted code or data in electronic mail
US8060747B1 (en) 2005-09-12 2011-11-15 Microsoft Corporation Digital signatures for embedded code
US20080134326A2 (en) * 2005-09-13 2008-06-05 Cloudmark, Inc. Signature for Executable Code
US8190902B2 (en) * 2006-02-27 2012-05-29 Microsoft Corporation Techniques for digital signature formation and verification
US7895657B2 (en) * 2006-05-05 2011-02-22 Broadcom Corporation Switching network employing virus detection
US20070258469A1 (en) * 2006-05-05 2007-11-08 Broadcom Corporation, A California Corporation Switching network employing adware quarantine techniques
US7751397B2 (en) 2006-05-05 2010-07-06 Broadcom Corporation Switching network employing a user challenge mechanism to counter denial of service attacks
US7596137B2 (en) * 2006-05-05 2009-09-29 Broadcom Corporation Packet routing and vectoring based on payload comparison with spatially related templates
US8223965B2 (en) 2006-05-05 2012-07-17 Broadcom Corporation Switching network supporting media rights management
US7948977B2 (en) * 2006-05-05 2011-05-24 Broadcom Corporation Packet routing with payload analysis, encapsulation and service module vectoring
US8615801B2 (en) * 2006-08-31 2013-12-24 Microsoft Corporation Software authorization utilizing software reputation
US8201244B2 (en) 2006-09-19 2012-06-12 Microsoft Corporation Automated malware signature generation
US9729513B2 (en) 2007-11-08 2017-08-08 Glasswall (Ip) Limited Using multiple layers of policy management to manage risk
GB2444514A (en) * 2006-12-04 2008-06-11 Glasswall Electronic file re-generation
US8181245B2 (en) * 2007-06-19 2012-05-15 Microsoft Corporation Proxy-based malware scan
US8584094B2 (en) * 2007-06-29 2013-11-12 Microsoft Corporation Dynamically computing reputation scores for objects
US8181260B2 (en) * 2007-08-15 2012-05-15 International Business Machines Corporation Tracking the origins of data and controlling data transmission
US8131972B2 (en) * 2007-09-19 2012-03-06 International Business Machines Corporation Method and apparatus for improving memory coalescing in a virtualized hardware environment
US8214895B2 (en) 2007-09-26 2012-07-03 Microsoft Corporation Whitelist and blacklist identification data
US9959404B2 (en) * 2007-10-01 2018-05-01 Symantec Corporation Methods and systems for creating and updating approved-file and trusted-domain databases
US8448218B2 (en) * 2008-01-17 2013-05-21 Josep Bori Method and apparatus for a cryptographically assisted computer system designed to deter viruses and malware via enforced accountability
US8146151B2 (en) * 2008-02-27 2012-03-27 Microsoft Corporation Safe file transmission and reputation lookup
US20090235357A1 (en) * 2008-03-14 2009-09-17 Computer Associates Think, Inc. Method and System for Generating a Malware Sequence File
US8141153B1 (en) * 2008-03-25 2012-03-20 Symantec Corporation Method and apparatus for detecting executable software in an alternate data stream
US20130276120A1 (en) * 2008-06-02 2013-10-17 Gregory William Dalcher System, method, and computer program product for determining whether a security status of data is known at a server
US8301904B1 (en) 2008-06-24 2012-10-30 Mcafee, Inc. System, method, and computer program product for automatically identifying potentially unwanted data as unwanted
US8713124B1 (en) 2008-09-03 2014-04-29 Message Protocols LLC Highly specialized application protocol for email and SMS and message notification handling and display
US8196203B2 (en) * 2008-09-25 2012-06-05 Symantec Corporation Method and apparatus for determining software trustworthiness
US8484739B1 (en) * 2008-12-15 2013-07-09 Symantec Corporation Techniques for securely performing reputation based analysis using virtualization
US8205263B1 (en) * 2008-12-16 2012-06-19 Symantec Corporation Systems and methods for identifying an executable file obfuscated by an unknown obfuscator program
US8621625B1 (en) * 2008-12-23 2013-12-31 Symantec Corporation Methods and systems for detecting infected files
US20100198503A1 (en) * 2009-01-30 2010-08-05 Navteq North America, Llc Method and System for Assessing Quality of Location Content
US8271195B2 (en) 2009-01-30 2012-09-18 Navteq B.V. Method for representing linear features in a location content management system
US8554871B2 (en) 2009-01-30 2013-10-08 Navteq B.V. Method and system for exchanging location content data in different data formats
US8775074B2 (en) * 2009-01-30 2014-07-08 Navteq B.V. Method and system for refreshing location code data
KR101031786B1 (ko) * 2009-02-03 2011-04-29 주식회사 안철수연구소 의심스러운 행위의 수준별 분류 및 격리 실행을 통한 악성 코드 사전 대응 장치, 방법 및 그 방법을 실행하기 위한 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체
GB2469323B (en) * 2009-04-09 2014-01-01 F Secure Oyj Providing information to a security application
US7640589B1 (en) * 2009-06-19 2009-12-29 Kaspersky Lab, Zao Detection and minimization of false positives in anti-malware processing
US8800030B2 (en) * 2009-09-15 2014-08-05 Symantec Corporation Individualized time-to-live for reputation scores of computer files
US8448243B1 (en) * 2009-10-14 2013-05-21 Symantec Corporation Systems and methods for detecting unknown malware in an executable file
US20110185353A1 (en) * 2010-01-27 2011-07-28 Jack Matthew Mitigating Problems Arising From Incompatible Software
US8468602B2 (en) 2010-03-08 2013-06-18 Raytheon Company System and method for host-level malware detection
US8863279B2 (en) 2010-03-08 2014-10-14 Raytheon Company System and method for malware detection
US9009820B1 (en) 2010-03-08 2015-04-14 Raytheon Company System and method for malware detection using multiple techniques
KR101122646B1 (ko) 2010-04-28 2012-03-09 한국전자통신연구원 위장 가상 머신 정보를 이용한 인텔리전트 봇 대응 방법 및 장치
US9251282B2 (en) * 2010-06-21 2016-02-02 Rapid7 LLC Systems and methods for determining compliance of references in a website
US8826444B1 (en) * 2010-07-09 2014-09-02 Symantec Corporation Systems and methods for using client reputation data to classify web domains
US8925101B2 (en) * 2010-07-28 2014-12-30 Mcafee, Inc. System and method for local protection against malicious software
CN103501294B (zh) * 2010-08-18 2017-03-08 北京奇虎科技有限公司 判断程序是否恶意的方法
CN101924761B (zh) * 2010-08-18 2013-11-06 北京奇虎科技有限公司 一种依据白名单进行恶意程序检测的方法
CN103475671B (zh) * 2010-08-18 2017-12-29 北京奇虎科技有限公司 恶意程序检测方法
US9235586B2 (en) 2010-09-13 2016-01-12 Microsoft Technology Licensing, Llc Reputation checking obtained files
US8499150B1 (en) * 2010-11-11 2013-07-30 Symantec Corporation Selectively trusting signed files
US20120167218A1 (en) * 2010-12-23 2012-06-28 Rajesh Poornachandran Signature-independent, system behavior-based malware detection
JP2012150658A (ja) * 2011-01-19 2012-08-09 Lac Co Ltd 情報処理装置、システム、通信監視方法およびプログラム
US8789186B2 (en) * 2011-03-03 2014-07-22 Jpmorgan Chase Bank, N.A. System and method for packet profiling
US8839434B2 (en) * 2011-04-15 2014-09-16 Raytheon Company Multi-nodal malware analysis
CN102164138A (zh) * 2011-04-18 2011-08-24 奇智软件(北京)有限公司 一种保证用户网络安全性的方法及客户端
US8931102B2 (en) * 2011-06-01 2015-01-06 International Business Machines Corporation Testing web applications for file upload vulnerabilities
US8635079B2 (en) 2011-06-27 2014-01-21 Raytheon Company System and method for sharing malware analysis results
US9824198B2 (en) 2011-07-14 2017-11-21 Docusign, Inc. System and method for identity and reputation score based on transaction history
US20130031632A1 (en) * 2011-07-28 2013-01-31 Dell Products, Lp System and Method for Detecting Malicious Content
US8584235B2 (en) * 2011-11-02 2013-11-12 Bitdefender IPR Management Ltd. Fuzzy whitelisting anti-malware systems and methods
CN102663321B (zh) * 2012-04-24 2016-01-13 百度在线网络技术(北京)有限公司 用于软件的安全性增强系统及方法
CN102930207B (zh) * 2012-04-27 2015-11-04 北京金山安全软件有限公司 一种api日志监控方法及装置
US9241009B1 (en) 2012-06-07 2016-01-19 Proofpoint, Inc. Malicious message detection and processing
US8843535B2 (en) * 2012-06-25 2014-09-23 Oracle International Corporation Framework for applying metadata for multiple files managed using a content management system
US8904550B2 (en) 2012-06-27 2014-12-02 Blackberry Limited Selection of sandbox for initiating application
US9262208B2 (en) 2012-08-20 2016-02-16 International Business Machines Corporation Automated, controlled distribution and execution of commands and scripts
US9292688B2 (en) * 2012-09-26 2016-03-22 Northrop Grumman Systems Corporation System and method for automated machine-learning, zero-day malware detection
US11126720B2 (en) 2012-09-26 2021-09-21 Bluvector, Inc. System and method for automated machine-learning, zero-day malware detection
CN103824018B (zh) * 2012-11-19 2017-11-14 腾讯科技(深圳)有限公司 一种可执行文件处理方法以及可执行文件监控方法
US8925076B2 (en) * 2012-12-11 2014-12-30 Kaspersky Lab Zao Application-specific re-adjustment of computer security settings
CN103150506B (zh) * 2013-02-17 2016-03-30 北京奇虎科技有限公司 一种恶意程序检测的方法和装置
US8990942B2 (en) 2013-02-18 2015-03-24 Wipro Limited Methods and systems for API-level intrusion detection
US9239922B1 (en) * 2013-03-11 2016-01-19 Trend Micro Inc. Document exploit detection using baseline comparison
US9727848B2 (en) * 2013-04-29 2017-08-08 Alex Bligh Field programmable hierarchical cloud billing system
US9323925B2 (en) * 2013-05-30 2016-04-26 Trusteer, Ltd. Method and system for prevention of windowless screen capture
CN103473063A (zh) * 2013-09-18 2013-12-25 北京网秦天下科技有限公司 采用白名单来报警的设备和方法
GB2518880A (en) 2013-10-04 2015-04-08 Glasswall Ip Ltd Anti-Malware mobile content data management apparatus and method
CN103581185B (zh) 2013-11-01 2016-12-07 北京奇虎科技有限公司 对抗免杀测试的云查杀方法、装置及系统
EP3108395B1 (en) * 2014-02-18 2018-10-24 Proofpoint, Inc. Targeted attack protection using predictive sandboxing
US9824356B2 (en) 2014-08-12 2017-11-21 Bank Of America Corporation Tool for creating a system hardware signature for payment authentication
US8943598B1 (en) * 2014-08-12 2015-01-27 Bank Of America Corporation Automatic compromise detection for hardware signature for payment authentication
US9323930B1 (en) * 2014-08-19 2016-04-26 Symantec Corporation Systems and methods for reporting security vulnerabilities
US9509715B2 (en) * 2014-08-21 2016-11-29 Salesforce.Com, Inc. Phishing and threat detection and prevention
WO2016081346A1 (en) 2014-11-21 2016-05-26 Northrup Grumman Systems Corporation System and method for network data characterization
US9330264B1 (en) 2014-11-26 2016-05-03 Glasswall (Ip) Limited Statistical analytic method for the determination of the risk posed by file based content
WO2016127233A1 (en) * 2015-02-10 2016-08-18 Gas Informatica Ltda Assistive technology for anti-malware software
US9438612B1 (en) 2015-03-23 2016-09-06 Fortinet, Inc. Calculating consecutive matches using parallel computing
US9935972B2 (en) * 2015-06-29 2018-04-03 Fortinet, Inc. Emulator-based malware learning and detection
US10187403B2 (en) 2015-12-02 2019-01-22 Salesforce.Com, Inc. False positive detection reduction system for network-based attacks
JP6977724B2 (ja) * 2016-07-27 2021-12-08 日本電気株式会社 シグネチャ作成装置、シグネチャ作成方法、シグネチャ作成プログラム、及び、ソフトウェア判定システム
US11082491B2 (en) 2016-10-07 2021-08-03 Microsoft Technology Licensing, Llc Propagating origin information for applications during application installation
US9756061B1 (en) 2016-11-18 2017-09-05 Extrahop Networks, Inc. Detecting attacks using passive network monitoring
US10476673B2 (en) 2017-03-22 2019-11-12 Extrahop Networks, Inc. Managing session secrets for continuous packet capture systems
GB2561862A (en) * 2017-04-25 2018-10-31 Avecto Ltd Computer device and method for handling files
US9967292B1 (en) 2017-10-25 2018-05-08 Extrahop Networks, Inc. Inline secret sharing
US10389574B1 (en) 2018-02-07 2019-08-20 Extrahop Networks, Inc. Ranking alerts based on network monitoring
US10038611B1 (en) 2018-02-08 2018-07-31 Extrahop Networks, Inc. Personalization of alerts based on network monitoring
US10270794B1 (en) 2018-02-09 2019-04-23 Extrahop Networks, Inc. Detection of denial of service attacks
US11184379B1 (en) * 2018-03-16 2021-11-23 United Services Automobile Association (Usaa) File scanner to detect malicious electronic files
US11188657B2 (en) 2018-05-12 2021-11-30 Netgovern Inc. Method and system for managing electronic documents based on sensitivity of information
US11163948B2 (en) 2018-07-10 2021-11-02 Beijing Didi Infinity Technology And Development Co., Ltd. File fingerprint generation
US10411978B1 (en) 2018-08-09 2019-09-10 Extrahop Networks, Inc. Correlating causes and effects associated with network activity
US10594718B1 (en) 2018-08-21 2020-03-17 Extrahop Networks, Inc. Managing incident response operations based on monitored network activity
US11188622B2 (en) * 2018-09-28 2021-11-30 Daniel Chien Systems and methods for computer security
US10848489B2 (en) 2018-12-14 2020-11-24 Daniel Chien Timestamp-based authentication with redirection
US10826912B2 (en) 2018-12-14 2020-11-03 Daniel Chien Timestamp-based authentication
US10642977B1 (en) * 2018-12-17 2020-05-05 Didi Research America, Llc Benign file list generation
CN109800577B (zh) * 2018-12-29 2020-10-16 360企业安全技术(珠海)有限公司 一种识别逃逸安全监控行为的方法及装置
US11609992B2 (en) * 2019-03-29 2023-03-21 Acronis International Gmbh Systems and methods for anti-malware scanning using automatically-created white lists
US10965702B2 (en) 2019-05-28 2021-03-30 Extrahop Networks, Inc. Detecting injection attacks using passive network monitoring
CN110309647B (zh) * 2019-06-28 2022-02-25 北京乐蜜科技有限责任公司 针对应用程序的处理方法、装置、电子设备及存储介质
US11165814B2 (en) 2019-07-29 2021-11-02 Extrahop Networks, Inc. Modifying triage information based on network monitoring
US11388072B2 (en) 2019-08-05 2022-07-12 Extrahop Networks, Inc. Correlating network traffic that crosses opaque endpoints
US10742530B1 (en) 2019-08-05 2020-08-11 Extrahop Networks, Inc. Correlating network traffic that crosses opaque endpoints
US10742677B1 (en) 2019-09-04 2020-08-11 Extrahop Networks, Inc. Automatic determination of user roles and asset types based on network monitoring
US11677754B2 (en) 2019-12-09 2023-06-13 Daniel Chien Access control systems and methods
US11165823B2 (en) 2019-12-17 2021-11-02 Extrahop Networks, Inc. Automated preemptive polymorphic deception
US11509463B2 (en) 2020-05-31 2022-11-22 Daniel Chien Timestamp-based shared key generation
US11438145B2 (en) 2020-05-31 2022-09-06 Daniel Chien Shared key generation based on dual clocks
WO2022066910A1 (en) 2020-09-23 2022-03-31 Extrahop Networks, Inc. Monitoring encrypted network traffic
US11463466B2 (en) 2020-09-23 2022-10-04 Extrahop Networks, Inc. Monitoring encrypted network traffic
US11349861B1 (en) 2021-06-18 2022-05-31 Extrahop Networks, Inc. Identifying network entities based on beaconing activity
CN113934625B (zh) * 2021-09-18 2024-09-13 深圳市富匙科技有限公司 软件检测方法、设备及存储介质
US11296967B1 (en) 2021-09-23 2022-04-05 Extrahop Networks, Inc. Combining passive network analysis and active probing
TWI802040B (zh) * 2021-10-08 2023-05-11 精品科技股份有限公司 基於檔案屬性特徵之應用程式控管方法
US11843606B2 (en) 2022-03-30 2023-12-12 Extrahop Networks, Inc. Detecting abnormal data access based on data similarity
CN114818012B (zh) * 2022-06-29 2022-10-21 麒麟软件有限公司 基于白名单列表的Linux文件完整性度量方法

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6230288B1 (en) * 1998-10-29 2001-05-08 Network Associates, Inc. Method of treating whitespace during virus detection
US20020144140A1 (en) * 2001-03-30 2002-10-03 Ellison Carl M. File checking using remote signing authority via a network
US20030074573A1 (en) * 2001-10-15 2003-04-17 Hursey Nell John Malware scanning of compressed computer files
US6577920B1 (en) * 1998-10-02 2003-06-10 Data Fellows Oyj Computer virus screening
JP2003196111A (ja) * 2001-12-26 2003-07-11 Hitachi Ltd 電子署名を用いたウィルスチェック方法
US20030177394A1 (en) * 2001-12-26 2003-09-18 Dmitri Dozortsev System and method of enforcing executable code identity verification over the network
WO2004088483A2 (en) * 2003-04-03 2004-10-14 Messagelabs Limited System for and method of detecting malware in macros and executable scripts

Family Cites Families (45)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6684261B1 (en) * 1993-07-19 2004-01-27 Object Technology Licensing Corporation Object-oriented operating system
AU1206097A (en) * 1995-12-28 1997-07-28 Eyal Dotan Method for protecting executable software programs against infection by software viruses
US6427063B1 (en) * 1997-05-22 2002-07-30 Finali Corporation Agent based instruction system and method
US5951698A (en) 1996-10-02 1999-09-14 Trend Micro, Incorporated System, apparatus and method for the detection and removal of viruses in macros
US5956481A (en) * 1997-02-06 1999-09-21 Microsoft Corporation Method and apparatus for protecting data files on a computer from virus infection
US6094731A (en) 1997-11-24 2000-07-25 Symantec Corporation Antivirus accelerator for computer networks
US7243236B1 (en) * 1999-07-29 2007-07-10 Intertrust Technologies Corp. Systems and methods for using cryptography to protect secure and insecure computing environments
US6715124B1 (en) * 2000-02-14 2004-03-30 Paradyne Corporation Trellis interleaver and feedback precoder
US6728716B1 (en) * 2000-05-16 2004-04-27 International Business Machines Corporation Client-server filter computing system supporting relational database records and linked external files operable for distributed file system
AU2001274406A1 (en) 2000-05-17 2001-11-26 Finjan Software, Ltd. Malicious mobile code runtime monitoring system and methods
AU2001263377B2 (en) 2000-05-19 2005-03-17 Vir2Us, Inc. A computer with switchable components
US6721721B1 (en) * 2000-06-15 2004-04-13 International Business Machines Corporation Virus checking and reporting for computer database search results
GB0016835D0 (en) 2000-07-07 2000-08-30 Messagelabs Limited Method of, and system for, processing email
US20020069198A1 (en) 2000-08-31 2002-06-06 Infoseer, Inc. System and method for positive identification of electronic files
US7398553B1 (en) * 2000-10-30 2008-07-08 Tread Micro, Inc. Scripting virus scan engine
EP1225513A1 (en) * 2001-01-19 2002-07-24 Eyal Dotan Method for protecting computer programs and data from hostile code
US7603356B2 (en) * 2001-01-26 2009-10-13 Ascentive Llc System and method for network administration and local administration of privacy protection criteria
US6766314B2 (en) * 2001-04-05 2004-07-20 International Business Machines Corporation Method for attachment and recognition of external authorization policy on file system resources
US20020199116A1 (en) 2001-06-25 2002-12-26 Keith Hoene System and method for computer network virus exclusion
US7096368B2 (en) * 2001-08-01 2006-08-22 Mcafee, Inc. Platform abstraction layer for a wireless malware scanning engine
US6993660B1 (en) * 2001-08-03 2006-01-31 Mcafee, Inc. System and method for performing efficient computer virus scanning of transient messages using checksums in a distributed computing environment
US7114185B2 (en) * 2001-12-26 2006-09-26 Mcafee, Inc. Identifying malware containing computer files using embedded text
US7694128B2 (en) * 2002-03-08 2010-04-06 Mcafee, Inc. Systems and methods for secure communication delivery
US7367045B2 (en) * 2002-03-16 2008-04-29 Trustedflow Systems, Inc. Trusted communications system
JP2003281391A (ja) 2002-03-19 2003-10-03 Sony Corp 通信方法、コンピュータおよびプログラム
US7380277B2 (en) * 2002-07-22 2008-05-27 Symantec Corporation Preventing e-mail propagation of malicious computer code
US7337471B2 (en) 2002-10-07 2008-02-26 Symantec Corporation Selective detection of malicious computer code
US7165076B2 (en) * 2002-11-15 2007-01-16 Check Point Software Technologies, Inc. Security system with methodology for computing unique security signature for executable file employed across different machines
US7373664B2 (en) * 2002-12-16 2008-05-13 Symantec Corporation Proactive protection against e-mail worms and spam
US7318163B2 (en) 2003-01-07 2008-01-08 International Business Machines Corporation System and method for real-time detection of computer system files intrusion
GB2398134A (en) * 2003-01-27 2004-08-11 Hewlett Packard Co Applying a data handing policy to predetermined system calls
JP2004259060A (ja) 2003-02-26 2004-09-16 Canon Inc データ受信方法及び画像形成装置
GB2404537B (en) * 2003-07-31 2007-03-14 Hewlett Packard Development Co Controlling access to data
GB2404536B (en) * 2003-07-31 2007-02-28 Hewlett Packard Development Co Protection of data
US20050071432A1 (en) 2003-09-29 2005-03-31 Royston Clifton W. Probabilistic email intrusion identification methods and systems
WO2005043360A1 (en) * 2003-10-21 2005-05-12 Green Border Technologies Systems and methods for secure client applications
US20040172551A1 (en) 2003-12-09 2004-09-02 Michael Connor First response computer virus blocking.
US7555777B2 (en) * 2004-01-13 2009-06-30 International Business Machines Corporation Preventing attacks in a data processing system
US7984304B1 (en) * 2004-03-02 2011-07-19 Vmware, Inc. Dynamic verification of validity of executable code
US7698275B2 (en) 2004-05-21 2010-04-13 Computer Associates Think, Inc. System and method for providing remediation management
WO2006039208A2 (en) * 2004-09-22 2006-04-13 Cyberdefender Corporation Threat protection network
US8056128B1 (en) * 2004-09-30 2011-11-08 Google Inc. Systems and methods for detecting potential communications fraud
US7287279B2 (en) * 2004-10-01 2007-10-23 Webroot Software, Inc. System and method for locating malware
US8495145B2 (en) * 2004-10-14 2013-07-23 Intel Corporation Controlling receipt of undesired electronic mail
US7779472B1 (en) * 2005-10-11 2010-08-17 Trend Micro, Inc. Application behavior based malware detection

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6577920B1 (en) * 1998-10-02 2003-06-10 Data Fellows Oyj Computer virus screening
US6230288B1 (en) * 1998-10-29 2001-05-08 Network Associates, Inc. Method of treating whitespace during virus detection
US20020144140A1 (en) * 2001-03-30 2002-10-03 Ellison Carl M. File checking using remote signing authority via a network
US20030074573A1 (en) * 2001-10-15 2003-04-17 Hursey Nell John Malware scanning of compressed computer files
JP2003196111A (ja) * 2001-12-26 2003-07-11 Hitachi Ltd 電子署名を用いたウィルスチェック方法
US20030177394A1 (en) * 2001-12-26 2003-09-18 Dmitri Dozortsev System and method of enforcing executable code identity verification over the network
WO2004088483A2 (en) * 2003-04-03 2004-10-14 Messagelabs Limited System for and method of detecting malware in macros and executable scripts

Also Published As

Publication number Publication date
US10043008B2 (en) 2018-08-07
CN1766778A (zh) 2006-05-03
EP1657662A3 (en) 2008-03-26
US20060095971A1 (en) 2006-05-04
JP2006127497A (ja) 2006-05-18
US20180307836A1 (en) 2018-10-25
KR20060051379A (ko) 2006-05-19
JP4851150B2 (ja) 2012-01-11
US20130347115A1 (en) 2013-12-26
CN100585534C (zh) 2010-01-27
EP1657662A2 (en) 2006-05-17
EP1657662B1 (en) 2017-03-22
US10699011B2 (en) 2020-06-30
US20060230452A1 (en) 2006-10-12
US8544086B2 (en) 2013-09-24

Similar Documents

Publication Publication Date Title
US10699011B2 (en) Efficient white listing of user-modifiable files
CN109684832B (zh) 检测恶意文件的系统和方法
CN109583193B (zh) 目标攻击的云检测、调查以及消除的系统和方法
US10437997B2 (en) Method and apparatus for retroactively detecting malicious or otherwise undesirable software as well as clean software through intelligent rescanning
US10193906B2 (en) Method and system for detecting and remediating polymorphic attacks across an enterprise
US8261344B2 (en) Method and system for classification of software using characteristics and combinations of such characteristics
US8316446B1 (en) Methods and apparatus for blocking unwanted software downloads
US9104872B2 (en) Memory whitelisting
US7934261B1 (en) On-demand cleanup system
US10009370B1 (en) Detection and remediation of potentially malicious files
US20080201722A1 (en) Method and System For Unsafe Content Tracking
US20180211043A1 (en) Blockchain Based Security for End Points
CN110119619B (zh) 创建防病毒记录的系统和方法
US11275836B2 (en) System and method of determining a trust level of a file
El Emary et al. Machine Learning Classifier Algorithms for Ransomware Lockbit Prediction
EP3758330B1 (en) System and method of determining a trust level of a file
CN116663005B (zh) 复合型勒索病毒的防御方法、装置、设备及存储介质
Yadav et al. A complete study on malware types and detecting ransomware using API calls
Venmaa Devi et al. R4 Model for Malware Detection And Prevention Using Case Based Reasoning
Sharma Safeguarding Digital Environments: Harnessing the Power of Blockchain for Enhanced Malware Detection and IoT Security
Anand et al. An In-Depth Investigation of Cyber-Attack and Cyber Security: Emerging Trends and Current Events
Guzy Spyware and Viruses

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160318

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170317

Year of fee payment: 5