RU2014112261A - Системы, способы и носители информации для обнаружения полезных нагрузок возвратно-ориентированного программирования - Google Patents

Системы, способы и носители информации для обнаружения полезных нагрузок возвратно-ориентированного программирования Download PDF

Info

Publication number
RU2014112261A
RU2014112261A RU2014112261/08A RU2014112261A RU2014112261A RU 2014112261 A RU2014112261 A RU 2014112261A RU 2014112261/08 A RU2014112261/08 A RU 2014112261/08A RU 2014112261 A RU2014112261 A RU 2014112261A RU 2014112261 A RU2014112261 A RU 2014112261A
Authority
RU
Russia
Prior art keywords
data
address
indicated
specified
hardware processor
Prior art date
Application number
RU2014112261/08A
Other languages
English (en)
Inventor
Михалис ПОЛИХРОНАКИС
Ангелос КЕРОМИТИС
Original Assignee
Зе Трастис Оф Коламбия Юниверсити Ин Зе Сити Оф Нью-Йорк
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Зе Трастис Оф Коламбия Юниверсити Ин Зе Сити Оф Нью-Йорк filed Critical Зе Трастис Оф Коламбия Юниверсити Ин Зе Сити Оф Нью-Йорк
Publication of RU2014112261A publication Critical patent/RU2014112261A/ru

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/54Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by adding security routines or objects to programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Debugging And Monitoring (AREA)
  • Test And Diagnosis Of Digital Computers (AREA)

Abstract

1. Система для обнаружения присутствия полезной нагрузки возвратно-ориентированного программирования (ROP) в данных, содержащая:аппаратный процессор, который:идентифицирует возможное адресное пространство гаджетов;определяет, соответствует ли адресу указанного возможного адресного пространства гаджетов часть данных; ив ответ на определение того, что адресу указанного возможного адресного пространства гаджетов соответствует указанная часть данных:определяет, указывает ли множество операций, каждая из которых связана с одной из множества команд, начинающихся по указанному адресу, на то, что в указанных данных присутствует полезная нагрузка ROP, иуказывает на то, что в указанных данных присутствует полезная нагрузка ROP, в ответ на выполнение определения того, что множество операций указывает на то, что в указанных данных присутствует полезная нагрузка ROP заданное количество раз.2. Система по п. 1, в которой при определении того, указывает ли множество операций на то, что в указанных данных присутствует полезная нагрузка ROP, аппаратный процессор осуществляет попытку выполнения множества команд, начиная с указанного адреса, используя эмулятор.3. Система по п. 2, в которой аппаратный процессор также определяет, содержат ли попытки выполнения множества команд, начиная с указанного адреса, используя эмулятор, попытку выполнения команды по недействительному исполняемому адресу.4. Система по п. 2, в которой аппаратный процессор также определяет, содержат ли попытки выполнения множества команд, начиняя с указанного адреса, используя эмулятор, попытку выполнения недействительной или привилегированной команды.5. Систем

Claims (30)

1. Система для обнаружения присутствия полезной нагрузки возвратно-ориентированного программирования (ROP) в данных, содержащая:
аппаратный процессор, который:
идентифицирует возможное адресное пространство гаджетов;
определяет, соответствует ли адресу указанного возможного адресного пространства гаджетов часть данных; и
в ответ на определение того, что адресу указанного возможного адресного пространства гаджетов соответствует указанная часть данных:
определяет, указывает ли множество операций, каждая из которых связана с одной из множества команд, начинающихся по указанному адресу, на то, что в указанных данных присутствует полезная нагрузка ROP, и
указывает на то, что в указанных данных присутствует полезная нагрузка ROP, в ответ на выполнение определения того, что множество операций указывает на то, что в указанных данных присутствует полезная нагрузка ROP заданное количество раз.
2. Система по п. 1, в которой при определении того, указывает ли множество операций на то, что в указанных данных присутствует полезная нагрузка ROP, аппаратный процессор осуществляет попытку выполнения множества команд, начиная с указанного адреса, используя эмулятор.
3. Система по п. 2, в которой аппаратный процессор также определяет, содержат ли попытки выполнения множества команд, начиная с указанного адреса, используя эмулятор, попытку выполнения команды по недействительному исполняемому адресу.
4. Система по п. 2, в которой аппаратный процессор также определяет, содержат ли попытки выполнения множества команд, начиняя с указанного адреса, используя эмулятор, попытку выполнения недействительной или привилегированной команды.
5. Система по п. 1, в которой аппаратный процессор также инициализирует виртуальное адресное пространство эмулятора с помощью команд от возможного адресного пространства гаджетов.
6. Система по п. 1, в которой при определении того, указывает ли множество операций на то, что в указанных данных присутствует полезная нагрузка ROP, аппаратный процессор определяет, выполняет ли указанное множество команд команду непрямой передачи управления, которой управляют посредством неизмененной части указанных данных.
7. Система по п. 1, в которой при определении того, указывает ли множество операций на то, что в указанных данных присутствует полезная нагрузка ROP, аппаратный процессор определяет, выполняет ли указанное множество команд команду возврата, которой управляют посредством неизмененной части указанных данных.
8. Система по п. 1, в которой аппаратный процессор дополнительно осуществляет подсчет количества команд в гаджете и сравнивает указанный подсчет количества команд в гаджете с пороговым значением.
9. Система по п. 1, в которой аппаратный процессор дополнительно осуществляет подсчет общего количества выполненных команд и сравнивает подсчет общего количества выполненных команд с пороговым значением.
10. Система по п. 1, в которой аппаратный процессор дополнительно:
выбирает следующую часть указанных данных;
определяет, соответствует ли адресу указанного возможного адресного пространства гаджетов следующая часть данных; и
в ответ на определение того, что адресу указанного возможного адресного пространства гаджетов соответствует следующая часть данных:
определяет, указывает ли множество операций, каждая из которых связана с одной из множества команд, начинающихся по указанному адресу, на то, что в указанных данных присутствует полезная нагрузка ROP, и
указывает на то, что в указанных данных присутствует полезная нагрузка ROP, в ответ на выполнение определения того, что множество операций указывает на то, что в указанных данных присутствует полезная нагрузка ROP заданное количество раз.
11. Способ обнаружения присутствия полезной нагрузки возвратно-ориентированного программирования (ROP) в данных, включающий:
идентификацию возможного адресного пространства гаджетов, используя аппаратный процессор;
определение того, соответствует ли адресу указанного возможного адресного пространства гаджетов часть данных, используя аппаратный процессор; и
в ответ на определение того, что адресу указанного возможного адресного пространства гаджетов соответствует указанная часть данных:
определение того, указывает ли множество операций, каждая из которых связана с одной из множества команд, начинающихся по указанному адресу, на то, что в указанных данных присутствует полезная нагрузка ROP, используя аппаратный процессор, и
указание на то, что в указанных данных присутствует полезная нагрузка ROP, в ответ на выполнение определения того, что множество операций указывает на то, что в указанных данных присутствует полезная нагрузка ROP заданное количество раз, используя аппаратный процессор.
12. Способ по п. 11, в котором определение того, указывает ли множество операций на то, что в указанных данных присутствует полезная нагрузка ROP, включает попытку выполнения множества команд, начиная с указанного адреса, используя эмулятор.
13. Способ по п. 12, дополнительно включающий определение того, содержат ли попытки выполнения множества команд, начиная с указанного адреса, используя эмулятор, попытку выполнения команды по недействительному исполняемому адресу, используя аппаратный процессор.
14. Способ по п. 12, дополнительно включающий определение того, содержат ли попытки выполнения множества команд, начиная с указанного адреса, используя эмулятор, попытку выполнения недействительной или привилегированной команды, используя аппаратный процессор.
15. Способ по п. 11, дополнительно включающий инициализацию виртуальной адресного пространства эмулятора с помощью команд от возможного адресного пространства гаджетов, используя аппаратный процессор.
16. Способ по п. 11, в котором определение того, указывает ли множестве операций на то, что в указанных данных присутствует полезная нагрузка ROP, включает определение того, выполняет ли указанное множество команд команду непрямой передачи управления, которой управляют посредством неизмененной части указанных данных.
17. Способ по п. 11, в котором определение того, указывает ли множество операций на то, что в указанных данных присутствует полезная нагрузка ROP, включает определение того, выполняет ли указанное множество команд команду возврата, которой управляют посредством неизмененной части указанных данных.
18. Способ по п. 11, дополнительно включающий осуществление подсчета количества команд в гаджете и сравнение указанного подсчета количества команд в гаджете с пороговым значением, используя аппаратный процессор.
19. Способ по п. 11, дополнительно включающий осуществление подсчета общего количества выполненных команд и сравнение подсчета общего количества выполненных команд с пороговым значением, используя аппаратный процессор.
20. Способ по п. 11, дополнительно включающий:
выбор следующей части указанных данных, используя аппаратный процессор;
определение того, соответствует ли адресу указанного возможного адресного пространства гаджетов следующая часть данных, используя аппаратный процессор; и
в ответ на определение того, что адресу указанного возможного адресного пространства гаджетов соответствует следующая часть данных:
определение того, указывает ли множество операций, каждая из которых связана с одной из множества команд, начинающихся по указанному адресу, на то, что в указанных данных присутствует полезная нагрузка ROP, используя аппаратный процессор, и
указание на то, что в указанных данных присутствует полезная нагрузка ROP, в ответ на выполнение определения, что множество операций указывает на то, что в указанных данных присутствует полезная нагрузка ROP заданное количество раз, используя аппаратный процессор.
21. Некратковременный читаемый с помощью компьютера носитель информации, содержащий выполняемые с помощью компьютера команды, которые при выполнении их процессором побуждают указанный процессор выполнять способ обнаружения присутствия полезных нагрузок возвратно-ориентированного программирования (ROP) в данных, включающий:
идентификацию возможного адресного пространства гаджетов;
определение того, соответствует ли адресу указанного возможного адресного пространства гаджетов часть данных; и
в ответ на определение, что адресу указанного возможного адресного пространства гаджетов соответствует указанная часть данных:
определение того, указывает ли множество операций, каждая из которых связана с одной из множества команд, начинающихся по указанному адресу, на то, что в указанных данных присутствует полезная нагрузка ROP, и
указание на то, что в указанных данных присутствует полезная нагрузка ROP, в ответ на выполнение определения, что множество операций указывает на то, что в указанных данных присутствует полезная нагрузка ROP заданное количество раз.
22. Некратковременный читаемый с помощью компьютера носитель информации по п. 21, в котором определение того, указывает ли множество операций на то, что в указанных данных присутствует полезная нагрузка ROP, включает попытку выполнения множества команд, начиная с указанного адреса, используя эмулятор.
23. Некратковременный читаемый с помощью компьютера носитель информации по п. 21, в котором указанный способ дополнительно включает определение того, содержат ли попытки выполнения множества команд, начиная с указанного адреса, используя эмулятор, попытку выполнения команды по недействительному исполняемому адресу.
24. Некратковременный читаемый с помощью компьютера носитель информации по п. 21, в котором указанный способ дополнительно включает определение того, содержат ли попытки выполнения множества команд, начиная с указанного адреса, используя эмулятор, попытку выполнения недействительной или привилегированной команды.
25. Некратковременный читаемый с помощью компьютера носитель информации по п. 21, в котором указанный способ дополнительно включает инициализацию виртуального адресного пространства эмулятора с помощью команд от возможного адресного пространства гаджетов.
26. Некратковременный читаемый с помощью компьютера носитель информации по п. 21, в котором определение того, указывает ли множество операций на то, что в указанных данных присутствует полезная нагрузка ROP, включает определение того, выполняет ли указанное множество команд команду непрямой передачи управления, которой управляют посредством неизмененной части указанных данных.
27. Некратковременный читаемый с помощью компьютера носитель информации по п. 21, в котором определение того, указывает ли множество операций на то, что в указанных данных присутствует полезная нагрузка ROP, включает определение того, выполняет ли указанное множество команд команду возврата, которой управляют посредством неизмененной части указанных данных.
28. Некратковременный читаемый с помощью компьютера носитель информации по п. 21, в котором указанный способ дополнительно включает осуществление подсчета количества команд в гаджете и сравнение указанного подсчета количества команд в гаджете с пороговым значением.
29. Некратковременный читаемый с помощью компьютера носитель информации по п. 21, в котором указанный способ дополнительно включает осуществление подсчета общего количества выполненных команд и сравнение подсчета общего количества выполненных команд с пороговым значением.
30. Некратковременный читаемый с помощью компьютера носитель информации по п. 21, в котором указанный способ дополнительно включает:
выбор следующей части указанных данных;
определение того, соответствует ли адресу указанного возможного адресного пространства гаджетов следующая часть данных; и
в ответ на определение того, что адресу указанного возможного адресного пространства гаджетов соответствует следующая часть данных:
определение того, указывает ли множество операций, каждая из которых связана с одной из множества команд, начинающихся по указанному адресу, на то, что в указанных данных присутствует полезная нагрузка ROP, и
указание на то, что в указанных данных присутствует полезная нагрузка ROP, в ответ на выполнение определения, что множество операций указывает на то, что в указанных данных присутствует полезная нагрузка ROP заданное количество раз.
RU2014112261/08A 2011-09-15 2012-09-17 Системы, способы и носители информации для обнаружения полезных нагрузок возвратно-ориентированного программирования RU2014112261A (ru)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201161535288P 2011-09-15 2011-09-15
US61/535,288 2011-09-15
PCT/US2012/055824 WO2013040598A1 (en) 2011-09-15 2012-09-17 Systems, methods, and media for detecting return-oriented programming payloads

Publications (1)

Publication Number Publication Date
RU2014112261A true RU2014112261A (ru) 2015-10-20

Family

ID=47883833

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2014112261/08A RU2014112261A (ru) 2011-09-15 2012-09-17 Системы, способы и носители информации для обнаружения полезных нагрузок возвратно-ориентированного программирования

Country Status (6)

Country Link
US (4) US9495541B2 (ru)
EP (1) EP2756366B1 (ru)
JP (1) JP2014526751A (ru)
HK (1) HK1200551A1 (ru)
RU (1) RU2014112261A (ru)
WO (1) WO2013040598A1 (ru)

Families Citing this family (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8763103B2 (en) 2006-04-21 2014-06-24 The Trustees Of Columbia University In The City Of New York Systems and methods for inhibiting attacks on applications
US9495541B2 (en) * 2011-09-15 2016-11-15 The Trustees Of Columbia University In The City Of New York Detecting return-oriented programming payloads by evaluating data for a gadget address space address and determining whether operations associated with instructions beginning at the address indicate a return-oriented programming payload
WO2014189510A1 (en) * 2013-05-23 2014-11-27 Intel Corporation Techniques for detecting return-oriented programming
US9465936B2 (en) * 2013-11-06 2016-10-11 Bitdefender IPR Management Ltd. Systems and methods for detecting return-oriented programming (ROP) exploits
US9594912B1 (en) * 2014-06-06 2017-03-14 Fireeye, Inc. Return-oriented programming detection
US20160196427A1 (en) * 2014-07-08 2016-07-07 Leviathan, Inc. System and Method for Detecting Branch Oriented Programming Anomalies
US9961102B2 (en) 2014-07-16 2018-05-01 Mcafee, Llc Detection of stack pivoting
US9501637B2 (en) * 2014-09-26 2016-11-22 Intel Corporation Hardware shadow stack support for legacy guests
US9940484B2 (en) * 2014-12-23 2018-04-10 Intel Corporation Techniques for detecting false positive return-oriented programming attacks
US9767292B2 (en) 2015-10-11 2017-09-19 Unexploitable Holdings Llc Systems and methods to identify security exploits by generating a type based self-assembling indirect control flow graph
US10878091B2 (en) * 2016-02-24 2020-12-29 Nippon Telegraph And Telephone Corporation Attack code detection device, attack code detection method, and attack code detection program
CN106372501B (zh) * 2016-08-22 2019-03-26 南京大学 一种针对rop攻击的防御方法
US10395033B2 (en) * 2016-09-30 2019-08-27 Intel Corporation System, apparatus and method for performing on-demand binary analysis for detecting code reuse attacks
EP3506140B1 (en) * 2016-10-06 2021-04-14 Nippon Telegraph and Telephone Corporation Hacking code sensing device, hacking code sensing method, and hacking code sensing program
US10489592B1 (en) * 2017-03-21 2019-11-26 Symantec Corporation Creating an execution safety container for unreliable exploits
US20180285559A1 (en) * 2017-03-28 2018-10-04 Rodrigo Branco Stack pivot detection systems and methods
US10503904B1 (en) 2017-06-29 2019-12-10 Fireeye, Inc. Ransomware detection and mitigation
US10990682B2 (en) * 2017-12-18 2021-04-27 Nuvoton Technology Corporation System and method for coping with fault injection attacks
US20220138311A1 (en) * 2018-01-08 2022-05-05 Digital Immunity Llc Systems and methods for detecting and mitigating code injection attacks
WO2019136428A1 (en) * 2018-01-08 2019-07-11 Digital Immunity Llc Systems and methods for detecting and mitigating code injection attacks
US20210319098A1 (en) * 2018-12-31 2021-10-14 Intel Corporation Securing systems employing artificial intelligence
US12013935B2 (en) * 2019-03-05 2024-06-18 C2A-Sec, Ltd. Return-oriented programming protection
US11256807B2 (en) * 2019-06-26 2022-02-22 Intel Corporation Mitigation of return-oriented programming exploits
US11222554B2 (en) * 2019-08-16 2022-01-11 Informatica Llc Method, apparatus, and computer-readable medium for format preserving encryption of a numerical value
US20210133330A1 (en) * 2019-11-01 2021-05-06 Blackberry Limited Determining a security score in binary software code

Family Cites Families (159)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2277151B (en) 1993-04-05 1997-06-25 Univ Brunel Neural network based machine health monitoring system
US5398196A (en) 1993-07-29 1995-03-14 Chambers; David A. Method and apparatus for detection of computer viruses
ATE183592T1 (de) 1994-06-01 1999-09-15 Quantum Leap Innovations Inc Computervirenfalle
US5694539A (en) 1994-08-10 1997-12-02 Intrinsa Corporation Computer process resource modelling method and apparatus
US6006328A (en) 1995-07-14 1999-12-21 Christopher N. Drake Computer software authentication, protection, and security system
US5889943A (en) 1995-09-26 1999-03-30 Trend Micro Incorporated Apparatus and method for electronic mail virus detection and elimination
US5765030A (en) 1996-07-19 1998-06-09 Symantec Corp Processor emulator module having a variable pre-fetch queue size for program execution
US5696822A (en) 1995-09-28 1997-12-09 Symantec Corporation Polymorphic virus detection module
US5968133A (en) 1997-01-10 1999-10-19 Secure Computing Corporation Enhanced security network time synchronization device and method
GB2321364A (en) 1997-01-21 1998-07-22 Northern Telecom Ltd Retraining neural network
US5964889A (en) 1997-04-16 1999-10-12 Symantec Corporation Method to analyze a program for presence of computer viruses by examining the opcode for faults before emulating instruction in emulator
EP1750384B1 (en) 1997-07-24 2009-09-30 Axway Inc. E-mail firewall
US5978917A (en) 1997-08-14 1999-11-02 Symantec Corporation Detection and elimination of macro viruses
US6357008B1 (en) 1997-09-23 2002-03-12 Symantec Corporation Dynamic heuristic method for detecting computer viruses using decryption exploration and evaluation phases
US6088804A (en) 1998-01-12 2000-07-11 Motorola, Inc. Adaptive system and method for responding to computer network security attacks
US6389532B1 (en) 1998-04-20 2002-05-14 Sun Microsystems, Inc. Method and apparatus for using digital signatures to filter packets in a network
US6658565B1 (en) 1998-06-01 2003-12-02 Sun Microsystems, Inc. Distributed filtering and monitoring system for a computer internetwork
US6347374B1 (en) 1998-06-05 2002-02-12 Intrusion.Com, Inc. Event detection
US6970924B1 (en) 1999-02-23 2005-11-29 Visual Networks, Inc. Methods and apparatus for monitoring end-user experience in a distributed network
US6681331B1 (en) 1999-05-11 2004-01-20 Cylant, Inc. Dynamic software system intrusion detection
US7185367B2 (en) 1999-05-11 2007-02-27 Cylant, Inc. Method and system for establishing normal software system behavior and departures from normal behavior
US7065657B1 (en) 1999-08-30 2006-06-20 Symantec Corporation Extensible intrusion detection system
US6952776B1 (en) 1999-09-22 2005-10-04 International Business Machines Corporation Method and apparatus for increasing virus detection speed using a database
US6701440B1 (en) 2000-01-06 2004-03-02 Networks Associates Technology, Inc. Method and system for protecting a computer using a remote e-mail scanning device
US6785818B1 (en) 2000-01-14 2004-08-31 Symantec Corporation Thwarting malicious registry mapping modifications and map-loaded module masquerade attacks
EP1117035A1 (en) 2000-01-14 2001-07-18 Sun Microsystems, Inc. Runtime environment component services
WO2001056221A2 (en) 2000-01-31 2001-08-02 Vdg Inc. Block encryption method and schemes for data confidentiality and integrity protection
US6775780B1 (en) 2000-03-16 2004-08-10 Networks Associates Technology, Inc. Detecting malicious software by analyzing patterns of system calls generated during emulation
KR100367129B1 (ko) 2000-03-21 2003-01-09 주식회사 하우리 다형성 바이러스 진단시스템 및 그 방법
WO2001077833A2 (en) 2000-04-06 2001-10-18 Granite Technologies, Inc. System and method for real time monitoring and control of networked computers
US6721721B1 (en) 2000-06-15 2004-04-13 International Business Machines Corporation Virus checking and reporting for computer database search results
US6901519B1 (en) 2000-06-22 2005-05-31 Infobahn, Inc. E-mail virus protection system and method
GB0016835D0 (en) 2000-07-07 2000-08-30 Messagelabs Limited Method of, and system for, processing email
US7093239B1 (en) 2000-07-14 2006-08-15 Internet Security Systems, Inc. Computer immune system and method for detecting unwanted code in a computer system
US8341743B2 (en) 2000-07-14 2012-12-25 Ca, Inc. Detection of viral code using emulation of operating system functions
US7069583B2 (en) 2000-07-14 2006-06-27 Computer Associates Think, Inc. Detection of polymorphic virus code using dataflow analysis
US6698016B1 (en) 2000-08-29 2004-02-24 Microsoft Corporation Method for injecting code into another process
US6785732B1 (en) 2000-09-11 2004-08-31 International Business Machines Corporation Web server apparatus and method for virus checking
US7072876B1 (en) 2000-09-19 2006-07-04 Cigital System and method for mining execution traces with finite automata
US7707305B2 (en) 2000-10-17 2010-04-27 Cisco Technology, Inc. Methods and apparatus for protecting against overload conditions on nodes of a distributed network
US7146305B2 (en) 2000-10-24 2006-12-05 Vcis, Inc. Analytical virtual machine
US20020066034A1 (en) 2000-10-24 2002-05-30 Schlossberg Barry J. Distributed network security deception system
US20020078382A1 (en) 2000-11-29 2002-06-20 Ali Sheikh Scalable system for monitoring network system and components and methodology therefore
US20020095607A1 (en) 2001-01-18 2002-07-18 Catherine Lin-Hendel Security protection for computers and computer-networks
US6983380B2 (en) 2001-02-06 2006-01-03 Networks Associates Technology, Inc. Automatically generating valid behavior specifications for intrusion detection
JP2005503047A (ja) 2001-02-06 2005-01-27 エン ガルデ システムズ、インコーポレイテッド 安全なネットワークを供給するための装置と方法
US7089592B2 (en) 2001-03-15 2006-08-08 Brighterion, Inc. Systems and methods for dynamic detection and prevention of electronic fraud
US20020188167A1 (en) 2001-06-06 2002-12-12 Anthony Viole Multilumen catheter for minimizing limb ischemia
JP4566460B2 (ja) 2001-06-07 2010-10-20 パイオニア株式会社 電子メールのウィルスチェックシステム
US20020194490A1 (en) 2001-06-18 2002-12-19 Avner Halperin System and method of virus containment in computer networks
US6873988B2 (en) 2001-07-06 2005-03-29 Check Point Software Technologies, Inc. System and methods providing anti-virus cooperative enforcement
US7487544B2 (en) 2001-07-30 2009-02-03 The Trustees Of Columbia University In The City Of New York System and methods for detection of new malicious executables
US6718469B2 (en) 2001-08-01 2004-04-06 Networks Associates Technology, Inc. System and method for executing computer virus definitions containing general purpose programming language extensions
US7356736B2 (en) 2001-09-25 2008-04-08 Norman Asa Simulated computer system for monitoring of software performance
US7107618B1 (en) 2001-09-25 2006-09-12 Mcafee, Inc. System and method for certifying that data received over a computer network has been checked for viruses
US6907430B2 (en) 2001-10-04 2005-06-14 Booz-Allen Hamilton, Inc. Method and system for assessing attacks on computer networks using Bayesian networks
US7607171B1 (en) 2002-01-17 2009-10-20 Avinti, Inc. Virus detection by executing e-mail code in a virtual machine
US7448084B1 (en) 2002-01-25 2008-11-04 The Trustees Of Columbia University In The City Of New York System and methods for detecting intrusions in a computer system by monitoring operating system registry accesses
US7225343B1 (en) 2002-01-25 2007-05-29 The Trustees Of Columbia University In The City Of New York System and methods for adaptive model generation for detecting intrusions in computer systems
US7222366B2 (en) 2002-01-28 2007-05-22 International Business Machines Corporation Intrusion event filtering
JP2003256234A (ja) 2002-03-05 2003-09-10 Communication Research Laboratory 抗脆弱性サーバ装置及びソフトウェア
US7788699B2 (en) 2002-03-06 2010-08-31 Vir2Us, Inc. Computer and method for safe usage of documents, email attachments and other content that may contain virus, spy-ware, or malicious code
US6715084B2 (en) 2002-03-26 2004-03-30 Bellsouth Intellectual Property Corporation Firewall system and method via feedback from broad-scope monitoring for intrusion detection
US7359962B2 (en) 2002-04-30 2008-04-15 3Com Corporation Network security system integration
US7370360B2 (en) 2002-05-13 2008-05-06 International Business Machines Corporation Computer immune system and method for detecting unwanted code in a P-code or partially compiled native-code program executing within a virtual machine
US7086088B2 (en) 2002-05-15 2006-08-01 Nokia, Inc. Preventing stack buffer overflow attacks
US7409717B1 (en) 2002-05-23 2008-08-05 Symantec Corporation Metamorphic computer virus detection
US7418729B2 (en) 2002-07-19 2008-08-26 Symantec Corporation Heuristic detection of malicious computer code by page tracking
US7380277B2 (en) 2002-07-22 2008-05-27 Symantec Corporation Preventing e-mail propagation of malicious computer code
US7526809B2 (en) 2002-08-08 2009-04-28 Trend Micro Incorporated System and method for computer protection against malicious electronic mails by analyzing, profiling and trapping the same
US7418733B2 (en) 2002-08-26 2008-08-26 International Business Machines Corporation Determining threat level associated with network activity
US7331062B2 (en) 2002-08-30 2008-02-12 Symantec Corporation Method, computer software, and system for providing end to end security protection of an online transaction
US7146640B2 (en) 2002-09-05 2006-12-05 Exobox Technologies Corp. Personal computer internet security system
US7155708B2 (en) 2002-10-31 2006-12-26 Src Computers, Inc. Debugging and performance profiling using control-dataflow graph representations with reconfigurable hardware emulation
KR100456635B1 (ko) 2002-11-14 2004-11-10 한국전자통신연구원 분산 서비스 거부 공격 대응 시스템 및 방법
US7412723B2 (en) 2002-12-31 2008-08-12 International Business Machines Corporation Method and system for morphing honeypot with computer security incident correlation
US7293201B2 (en) 2003-01-17 2007-11-06 Microsoft Corporation System and method for active diagnosis and self healing of software systems
US20040148520A1 (en) 2003-01-29 2004-07-29 Rajesh Talpade Mitigating denial of service attacks
US20040153644A1 (en) 2003-02-05 2004-08-05 Mccorkendale Bruce Preventing execution of potentially malicious software
US7269824B2 (en) 2003-02-13 2007-09-11 Path Reliability, Inc. Software behavior pattern recognition and analysis
DE10313318A1 (de) 2003-03-25 2004-10-21 Giesecke & Devrient Gmbh Kontrollierte Ausführung eines für eine virtuelle Maschine vorgesehenen Programms auf einem tragbaren Datenträger
US7716736B2 (en) 2003-04-17 2010-05-11 Cybersoft, Inc. Apparatus, methods and articles of manufacture for computer virus testing
US20050108562A1 (en) 2003-06-18 2005-05-19 Khazan Roger I. Technique for detecting executable malicious code using a combination of static and dynamic analyses
US7712133B2 (en) 2003-06-20 2010-05-04 Hewlett-Packard Development Company, L.P. Integrated intrusion detection system and method
US7392543B2 (en) 2003-06-30 2008-06-24 Symantec Corporation Signature extraction system and method
US7496896B2 (en) 2003-07-17 2009-02-24 Computer Associates Think, Inc. Accessing return values and exceptions
US7593936B2 (en) 2003-08-11 2009-09-22 Triumfant, Inc. Systems and methods for automated computer support
US7415618B2 (en) 2003-09-25 2008-08-19 Sun Microsystems, Inc. Permutation of opcode values for application program obfuscation
US7644441B2 (en) 2003-09-26 2010-01-05 Cigital, Inc. Methods for identifying malicious software
US7421681B2 (en) * 2003-10-09 2008-09-02 International Business Machines Corporation Method and system for autonomic monitoring of semaphore operation in an application
US7506241B2 (en) 2003-10-16 2009-03-17 International Business Machines Corporation Method and apparatus for a self healing agent
US7318226B2 (en) 2003-10-16 2008-01-08 International Business Machines Corporation Distributed autonomic solutions repository
JP4662944B2 (ja) 2003-11-12 2011-03-30 ザ トラスティーズ オブ コロンビア ユニヴァーシティ イン ザ シティ オブ ニューヨーク 正常データのnグラム分布を用いてペイロード異常を検出するための装置、方法、及び媒体
US7263690B1 (en) * 2003-11-14 2007-08-28 Sun Microsystems, Inc. Mechanism for safe byte code in a tracing framework
US7840968B1 (en) 2003-12-17 2010-11-23 Mcafee, Inc. Method and system for containment of usage of language interfaces
US7334262B2 (en) 2004-01-22 2008-02-19 Symantec Corporation Proactive prevention of polymorphic SMTP worms
US7624449B1 (en) 2004-01-22 2009-11-24 Symantec Corporation Countering polymorphic malicious computer code through code optimization
US7913305B2 (en) 2004-01-30 2011-03-22 Microsoft Corporation System and method for detecting malware in an executable code module according to the code module's exhibited behavior
US7373524B2 (en) 2004-02-24 2008-05-13 Covelight Systems, Inc. Methods, systems and computer program products for monitoring user behavior for a server application
KR100586500B1 (ko) * 2004-03-18 2006-06-07 학교법인고려중앙학원 버퍼 오버플로우 공격들을 감지하고 복구하는 방법 및 그장치
US8528086B1 (en) 2004-04-01 2013-09-03 Fireeye, Inc. System and method of detecting computer worms
US7496898B1 (en) 2004-04-15 2009-02-24 Sun Microsystems, Inc. Error analysis and diagnosis for generic function calls
WO2005116797A1 (en) 2004-05-19 2005-12-08 Computer Associates Think, Inc. Method and system for isolating suspicious email
US7506170B2 (en) 2004-05-28 2009-03-17 Microsoft Corporation Method for secure access to multiple secure networks
US7490268B2 (en) 2004-06-01 2009-02-10 The Trustees Of Columbia University In The City Of New York Methods and systems for repairing applications
US7207065B2 (en) 2004-06-04 2007-04-17 Fortify Software, Inc. Apparatus and method for developing secure software
US7523500B1 (en) 2004-06-08 2009-04-21 Symantec Corporation Filtered antivirus scanning
US7748038B2 (en) 2004-06-16 2010-06-29 Ironport Systems, Inc. Method and apparatus for managing computer virus outbreaks
US7908653B2 (en) 2004-06-29 2011-03-15 Intel Corporation Method of improving computer security through sandboxing
US20060010495A1 (en) 2004-07-06 2006-01-12 Oded Cohen Method for protecting a computer from suspicious objects
US7603715B2 (en) 2004-07-21 2009-10-13 Microsoft Corporation Containment of worms
US7577991B2 (en) 2004-07-22 2009-08-18 International Business Machines Corporation Method to enhance platform firmware security for logical partition data processing systems by dynamic restriction of available external interfaces
US20060080678A1 (en) 2004-09-07 2006-04-13 Bailey Mark W Task distribution method for protecting servers and tasks in a distributed system
US7818781B2 (en) 2004-10-01 2010-10-19 Microsoft Corporation Behavior blocking access control
US20060101516A1 (en) 2004-10-12 2006-05-11 Sushanthan Sudaharan Honeynet farms as an early warning system for production networks
US20070028220A1 (en) 2004-10-15 2007-02-01 Xerox Corporation Fault detection and root cause identification in complex systems
US8108929B2 (en) 2004-10-19 2012-01-31 Reflex Systems, LLC Method and system for detecting intrusive anomalous use of a software system using multiple detection algorithms
ITRM20040517A1 (it) 2004-10-20 2005-01-20 Diego Angelo Tomaselli Metodo e sistema antivirus.
US7831995B2 (en) 2004-10-29 2010-11-09 CORE, SDI, Inc. Establishing and enforcing security and privacy policies in web-based applications
US7493654B2 (en) 2004-11-20 2009-02-17 International Business Machines Corporation Virtualized protective communications system
US20060191008A1 (en) 2004-11-30 2006-08-24 Sensory Networks Inc. Apparatus and method for accelerating intrusion detection and prevention systems using pre-filtering
US7636856B2 (en) 2004-12-06 2009-12-22 Microsoft Corporation Proactive computer malware protection through dynamic translation
US20060143709A1 (en) 2004-12-27 2006-06-29 Raytheon Company Network intrusion prevention
US7979889B2 (en) 2005-01-07 2011-07-12 Cisco Technology, Inc. Methods and apparatus providing security to computer systems and networks
US7735138B2 (en) 2005-01-14 2010-06-08 Trend Micro Incorporated Method and apparatus for performing antivirus tasks in a mobile wireless device
US7751565B2 (en) 2005-01-25 2010-07-06 Pak Kay Yuen Secure encryption system, device and method
US7647589B1 (en) 2005-02-07 2010-01-12 Parallels Software International, Inc. Methods and systems for safe execution of guest code in virtual machine context
US7865908B2 (en) 2005-03-11 2011-01-04 Microsoft Corporation VM network traffic monitoring and filtering on the host
US7770153B2 (en) 2005-05-20 2010-08-03 Microsoft Corporation Heap-based bug identification using anomaly detection
US7490355B2 (en) 2005-06-16 2009-02-10 Chung Shan Institute Of Science And Technology Method of detecting network worms
US7526758B2 (en) 2005-06-30 2009-04-28 Microsoft Corporation Execution failure investigation using static analysis
US7822818B2 (en) 2005-07-01 2010-10-26 Symantec Corporation Methods and systems for detecting and preventing the spread of malware on instant messaging (IM) networks by using automated IM users
WO2007022454A2 (en) 2005-08-18 2007-02-22 The Trustees Of Columbia University In The City Of New York Systems, methods, and media protecting a digital data processing device from attack
US20070074046A1 (en) 2005-09-23 2007-03-29 Czajkowski David R Secure microprocessor and method
US7779472B1 (en) 2005-10-11 2010-08-17 Trend Micro, Inc. Application behavior based malware detection
US7627893B2 (en) 2005-10-20 2009-12-01 International Business Machines Corporation Method and system for dynamic adjustment of computer security based on network activity of users
WO2007050667A2 (en) 2005-10-25 2007-05-03 The Trustees Of Columbia University In The City Of New York Methods, media and systems for detecting anomalous program executions
US7975059B2 (en) 2005-11-15 2011-07-05 Microsoft Corporation Generic application level protocol analyzer
US7490266B2 (en) 2006-02-13 2009-02-10 Freescale Semiconductor, Inc. Integrated circuit and processing system with improved power source monitoring and methods for use therewith
US8763103B2 (en) * 2006-04-21 2014-06-24 The Trustees Of Columbia University In The City Of New York Systems and methods for inhibiting attacks on applications
US7840946B2 (en) 2006-06-02 2010-11-23 International Business Machines Corporation System and method for matching a plurality of ordered sequences with applications to call stack analysis to identify known software problems
WO2008055156A2 (en) 2006-10-30 2008-05-08 The Trustees Of Columbia University In The City Of New York Methods, media, and systems for detecting an anomalous sequence of function calls
KR100922579B1 (ko) * 2006-11-30 2009-10-21 한국전자통신연구원 네트워크 공격 탐지 장치 및 방법
US8190861B2 (en) * 2006-12-04 2012-05-29 Texas Instruments Incorporated Micro-sequence based security model
US8495708B2 (en) * 2007-03-22 2013-07-23 The Invention Science Fund I, Llc Resource authorizations dependent on emulation environment isolation policies
IL183390A0 (en) * 2007-05-24 2007-09-20 Deutsche Telekom Ag Distributed system for the detection
US8145470B2 (en) * 2007-06-27 2012-03-27 Microsoft Corporation Accelerated access device emulator access scheme in a hypervisor environment with child and root partitions
US8141163B2 (en) 2007-07-31 2012-03-20 Vmware, Inc. Malicious code detection
US8010763B2 (en) * 2007-08-02 2011-08-30 International Business Machines Corporation Hypervisor-enforced isolation of entities within a single logical partition's virtual address space
US8515075B1 (en) * 2008-01-31 2013-08-20 Mcafee, Inc. Method of and system for malicious software detection using critical address space protection
US8892916B2 (en) * 2008-08-06 2014-11-18 International Business Machines Corporation Dynamic core pool management
US8214900B1 (en) * 2008-12-18 2012-07-03 Symantec Corporation Method and apparatus for monitoring a computer to detect operating system process manipulation
US10055251B1 (en) * 2009-04-22 2018-08-21 The Trustees Of Columbia University In The City Of New York Methods, systems, and media for injecting code into embedded devices
US8510723B2 (en) * 2009-05-29 2013-08-13 University Of Maryland Binary rewriting without relocation information
EP2262259A1 (en) * 2009-06-08 2010-12-15 Nagravision S.A. Method for monitoring execution of data processing program instructions in a security module
US8689201B2 (en) * 2010-01-27 2014-04-01 Telcordia Technologies, Inc. Automated diversity using return oriented programming
US8997218B2 (en) * 2010-12-22 2015-03-31 F-Secure Corporation Detecting a return-oriented programming exploit
US9058492B1 (en) * 2011-02-14 2015-06-16 Symantec Corporation Techniques for reducing executable code vulnerability
US9495541B2 (en) * 2011-09-15 2016-11-15 The Trustees Of Columbia University In The City Of New York Detecting return-oriented programming payloads by evaluating data for a gadget address space address and determining whether operations associated with instructions beginning at the address indicate a return-oriented programming payload

Also Published As

Publication number Publication date
EP2756366B1 (en) 2020-01-15
EP2756366A4 (en) 2015-05-27
US11599628B2 (en) 2023-03-07
US9495541B2 (en) 2016-11-15
WO2013040598A1 (en) 2013-03-21
HK1200551A1 (en) 2015-08-07
EP2756366A1 (en) 2014-07-23
US20210264022A1 (en) 2021-08-26
US20190370460A1 (en) 2019-12-05
US10192049B2 (en) 2019-01-29
US20170243002A1 (en) 2017-08-24
JP2014526751A (ja) 2014-10-06
US20140344932A1 (en) 2014-11-20

Similar Documents

Publication Publication Date Title
RU2014112261A (ru) Системы, способы и носители информации для обнаружения полезных нагрузок возвратно-ориентированного программирования
JP2014219977A5 (ru)
RU2018104335A (ru) Системы и способы обеспечения компьютерной безопасности, использующие исключения асинхронной интроспекции
RU2017104753A (ru) Системы и способы предоставления текущей команды процессора при выходе из виртуальной машины
US20110271342A1 (en) Defense method and device against intelligent bots using masqueraded virtual machine information
US20140143791A1 (en) System, method, and apparatus for improving application-launch latencies
WO2011084614A3 (en) Obfuscated malware detection
US9858116B2 (en) Functional unit for supporting multithreading, processor comprising the same, and operating method thereof
JP2018520446A5 (ru)
RU2016126976A (ru) Общая последовательность загрузки для управляющей сервисной программы, способной к инициализации во множественных архитектурах
JP2015522196A5 (ru)
RU2014118858A (ru) Команда векторного типа для поиска равнозначного элемента
JP2016526730A5 (ru)
RU2015150173A (ru) Системы и способы проверки адреса возврата процедуры
RU2016127443A (ru) Команда запуска виртуального выполнения для диспетчеризации множественных потоков в компьютере
RU2012148586A (ru) Фильтрация программного прерывания в транзакционном выполнении
JP2013519168A5 (ru)
RU2014136528A (ru) Устройство обработки информации, способ обработки информации и энергонезависимый считываемый компьютером носитель информации
JP2018537800A5 (ru)
JP2013004101A5 (ru)
RU2015110811A (ru) Система и способ оптимизации использования энергии в автономном транспортном средстве
TW201346756A (zh) 具有用於分支錯誤預測之第二跳躍執行單元的處理器
RU2017103951A (ru) Эффективная маршрутизация прерываний для многопоточного процесса
RU2017103676A (ru) Управление выполнением потоков в многопоточном процессоре
GB2582726A (en) Communication model for cognitive systems

Legal Events

Date Code Title Description
FA93 Acknowledgement of application withdrawn (no request for examination)

Effective date: 20150918