TWI401582B - 用於一硬體之監控裝置、監控方法及其電腦程式產品 - Google Patents

用於一硬體之監控裝置、監控方法及其電腦程式產品 Download PDF

Info

Publication number
TWI401582B
TWI401582B TW097144331A TW97144331A TWI401582B TW I401582 B TWI401582 B TW I401582B TW 097144331 A TW097144331 A TW 097144331A TW 97144331 A TW97144331 A TW 97144331A TW I401582 B TWI401582 B TW I401582B
Authority
TW
Taiwan
Prior art keywords
program
instruction
address value
system call
hardware
Prior art date
Application number
TW097144331A
Other languages
English (en)
Other versions
TW201020845A (en
Inventor
Shih Yao Dai
Chih Hung Lin
Yen Nun Huang
Chia Hsiang Chang
Sy Yen Kuo
Original Assignee
Inst Information Industry
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Inst Information Industry filed Critical Inst Information Industry
Priority to TW097144331A priority Critical patent/TWI401582B/zh
Priority to US12/419,048 priority patent/US20100125909A1/en
Priority to GB0905966A priority patent/GB2465240B8/en
Priority to KR1020090038538A priority patent/KR101051722B1/ko
Publication of TW201020845A publication Critical patent/TW201020845A/zh
Application granted granted Critical
Publication of TWI401582B publication Critical patent/TWI401582B/zh

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/567Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/30Arrangements for executing machine instructions, e.g. instruction decode
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements

Description

用於一硬體之監控裝置、監控方法及其電腦程式產品
本發明係關於一種用於一硬體之監控裝置、監控方法及其電腦程式產品;特別是一種能避免硬體被一惡意程序(malicious process)攻擊之監控裝置、監控方法及其電腦程式產品。
隨著資訊工業的發展,電腦與網路已在日常生活中佔有不可或缺之地位。舉例而言,以電腦處理各種資料或是以網路搜尋各種資訊、購物以及資料交換等等,皆是人類已習以為常的生活方式。更進一步地說,網路信用卡結帳、網路購物下單以及網路提款機(web ATM)等,更是許多人經常使用之網路服務。
然,在電腦與網路受到使用者如此倚重的前提之下,一些惡意軟體(malware)便有機會侵害使用者之電腦。舉例而言,某些惡意軟體將會透過網路、USB隨身碟、紅外線或是藍芽來竊取使用者存放於電腦中的重要資料、破壞電腦內部資訊、甚至於控制使用者的電腦系統以限制使用者之使用權限。另外,有些惡意軟體更會在使用者的電腦上安裝廣告軟體或是垃圾軟體,進而造成使用者之困擾,同時浪費網路寶貴的資源。據此,電腦與網路的安全性即為相當重要之課題。
為了防止惡意軟體透過前段所述之各種方式破壞使用者的電腦,以往通常係以防毒程式來阻止惡意軟體對使用者的電腦進行存取或破壞。防毒程式則是根據惡意軟體分析工具所建立之惡意軟體特徵來偵測並阻止惡意軟體的破壞。更詳細地說,CWSandbox (惡意軟體分析工具)藉由分析不同惡意軟體將建立不同種類之惡意軟體特徵,而Kaspersky(防毒程式)即可藉由這些惡意軟體特徵偵測並阻止惡意軟體的破壞。
然而,不論是何種防毒程式或惡意軟體分析工具,皆是安裝於電腦之作業系統中,其運作亦與惡意軟體相同,皆是透過作業系統來進行操作的。詳細地說,防毒程式或惡意軟體分析工具,係與惡意軟體於同一個環境(及同一作業系統)之下執行的。換言之,當某些惡意軟體偵測到其本身係處於一個防毒程式或惡意軟體分析工具正在執行的環境之下時,惡意軟體將可以進一步破壞防毒程式或惡意軟體分析工具之正常運作。或者,惡意軟體可以執行一些其它種類之正常程式的各種指令,導致掃毒程式或惡意軟體分析工具蒐集到錯誤的資料。由此可知,若要藉由存在於作業系統中的防毒程式來偵測同樣存在於作業系統中的惡意軟體之執行時,防毒程式的偵測能力係受到相當的限制。
據此,在惡意軟體日益氾濫的情況之下,要如何設計一種並非於作業系統中執行且無法被惡意軟體反向偵測到的監控方法,係為業界亟需解決之問題。
本發明之一目的在於提供一種用於一硬體之監控裝置。該硬體包含一中央處理器以及一儲存模組。該監控裝置包含一擷取模組以及一分析模組。該擷取模組於一程序(process)執行前,自該儲存模組擷取該程序之一進入點(entry point)資訊,該程序則包含至少一指令(instruction)。該分析模組則根據該進入點資訊, 自該中央處理器取得與該程序相應之一位址值,其中該位址值對應至一儲存該至少一指令之記憶體區塊。當該中央處理器執行該程序之至少一指令時,該硬體之儲存模組根據該位址值紀錄該程序之至少一指令。
本發明之又一目的在於提供一種監控方法。該監控方法包含以下步驟:於一程序執行前,擷取該程序之一進入點資訊,其中該程序包含至少一指令;根據該進入點資訊,取得與該程序相應之一位址值,其中該位址值對應至一儲存該至少一指令之記憶體區塊;執行該程序之至少一指令;以及根據該位址值紀錄該程序之至少一指令。其中,一硬體擷取該進入點資訊並根據該位址值紀錄該程序之至少一指令。
本發明之再一目的在於提供一種電腦程式產品,內儲一種監控方法之程式,該程式被載入一微處理器後可執行並完成前段所述之監控方法。
綜上所述,本發明所揭露之用於一硬體之監控裝置、監控方法及其電腦程式產品可以監控該硬體中所有被執行之程序。對於該硬體來說,電腦在執行這些程序所包含的指令時,這些指令將根據其所對應之位址值被記錄並分析。據此,本發明不需作業系統支援即能直接根據程序之指令所對應之位址值來偵測惡意軟體,進而改進習知技術之缺點。同時,藉由前述之方式偵測惡意軟體,本發明亦可保護電腦的各種重要區段(critical section),例如記憶體等重要區段,以避免惡意軟體的破壞導致重要區段中執行的程序產生無法預期的結果(如跳過驗證程序、Control hijacking 等...)。
在參閱圖式及隨後描述之實施方式後,具有本發明所屬技術領域之通常知識者便可瞭解本發明之其它目的、優點以及本發明之技術手段及實施態樣。
本發明係關於一種用於一硬體之監控裝置、監控方法及其電腦程式產品。本發明之優點在於可避免被惡意程序偵測監控裝置之存在,並且可於該硬體中分析較為高階之程式語言的資訊。需注意者,程式(program)係定義為可被載入執行之檔案,程序係定義為正在執行的程式。然而,為簡單起見,本發明對即將執行之程式亦以程序命名之。以下之實施例係用以舉例說明本發明內容,並非用以限制本發明。以下實施例及圖式中,與本發明無關之元件已省略而未繪示。
如第1圖所示,本發明之第一實施例係為一種用於一硬體11之監控裝置13。硬體11具有一中央處理器111以及一記憶體113,使用者則藉由一作業系統15控制硬體11之各部元件。作業系統15可以是市面上發售之各種作業系統,例如微軟視窗(Windows)作業系統、蘋果電腦麥金塔作業系統、Linux作業系統或是Unix作業系統等,於第一實施例中,作業系統15係為微軟視窗作業系統。而硬體11則可以是個人電腦(Personal Computer;PC)或是蘋果電腦公司販售之麥金塔電腦(Macintosh;MAC),於第一實施例中,硬體11則為個人電腦(Personal Computer;PC)。需注意者,本發明並不限制作業系統15以及硬體11的種類,所屬技 術領域的通常知識者亦可使用其它種類的作業系統、硬體以及其搭配來完成本發明,故在此不再贅述。
監控裝置13包含一擷取模組131、一分析模組133、一判斷模組137以及一攔截模組139。當作業系統15準備執行一程序150時,作業系統15將分配一位址值給程序150,例如一CR3值110給程序150,並將其紀錄於中央處理器111之暫存器之中,以便作業系統15以及硬體11藉由CR3值110執行相應於程序150的指令或是系統呼叫。在作業系統15分配一位址值給程序150的同時,將產生一進入點資訊112,例如一旗標(flag)或是一訊號或是一記憶體位址,以標示程序150即將開始執行。
當監控裝置13之擷取模組131取得進入點資訊112後,分析模組133將根據進入點資訊112取得存在於中央處理器111中,與即將執行的程序150相應之CR3值110。而程序150則是由複數個指令,例如指令150a、150b以及150c,組合而成,以達成某一特定目的,例如燒錄檔案或是編輯文件等等。而這些指令150a、150b以及150c皆具有與程序150相同之CR3值110。程序150所包含的這些指令150a、150b以及150c則儲存在硬體11之記憶體113中。而程序150除了藉由複數個指令150a、150b以及150c來達成特定目的之外,中央處理器111亦可藉由執行儲存於作業系統15中之各種不同的系統呼叫152以輔助指令150a、150b以及150c來達成程序150的特定目的。
以本實施例而言,程序150係為一可移植執行檔(portable executable file;PE file)。可移植執行檔為作業系統15所使用之 標準可執行檔格式,例如:微軟系統中的可執行檔(executable file:exe file)或是動態連結程式庫檔(dynamic link library file;DLL file)等。而系統呼叫152則可以是微軟32系統呼叫(win32 system call)或是原始系統呼叫(native system call)。同樣地,系統呼叫152亦具有與程序150相同之CR3值110。所屬技術領域具有通常知識者可藉由既有的技術文件以及其本身知識理解程序150的組成,故在此不再贅述。
當程序150開始被執行之後,中央處理器111將自記憶體113中取得指令150a、150b以及150c進行處理,由於這些指令150a、150b以及150c皆具有與程序150相同之CR3值110。當指令150a、150b以及150c被處理之時,監控裝置13將會根據其CR3值110將指令150a、150b以及150c紀錄至硬體之11之記憶體113中。另一方面,當中央處理器111自作業系統15中取得相應於程序150之系統呼叫152進行處理之時,監控裝置13亦會根據其CR3值110將系統呼叫152紀錄至硬體之11之記憶體113中。
當程序150執行時或執行完成之後,監控裝置13之判斷模組137將自記憶體113取得程序150執行過的所有指令150a、150b以及150c與系統呼叫152,並將這些執行過的指令150a、150b以及150c與系統呼叫152來與一惡意程序行為模型(圖未繪示)比較,以判斷程序150是否為惡意程序。
當程序150於執行時或是執行完成之後因符合惡意程序行為模型而被判斷為惡意程序之後,監控裝置13之攔截模組139將可直接發送關閉訊號130至中央處理器111,以關閉已被判斷為惡意程 序之程序150。更詳細地說,倘若程序150之指令其中之一(如指令150b)或是其系統呼叫152,係透過中央處理器111的執行來存取硬體11之一關鍵區塊115時,監控裝置13之攔截模組139將發送一關閉訊號130至中央處理器111,以關閉已被判斷為惡意程序之程序150,進而避免程序150存取硬體11之關鍵區塊115。
本實施例主要利用監控裝置13藉由紀錄並蒐集程序150執行時,中央處理器111處理之指令以及系統呼叫,並藉此歸納出程序150之行為模型。隨後,監控裝置13利用程序150之行為模型與惡意程序之行為模型進行比較,倘若兩者間非常相似,即表示該程序150係為惡意程序的機會相當高。監控裝置13可對被判斷為惡意程序之程序150進行攔截,以保護資料硬體中各部元件所儲存的資料。
本發明並不限定硬體11之關鍵區塊115的範圍,關鍵區塊115可以是硬體中,與程式執行順序相關之程式指標(program counter;PC、與虛擬位址碼轉換相關之轉換對應表緩衝器(translation lookaside buffer;TLB)或是其它若被修改或破壞後將造成硬體11運作不正常之區塊。所屬技術領域具有通常知識者可自行定義硬體11之關鍵區塊115,故在此不再贅述。
本發明之第二實施例如第2圖所示,係為一種監控方法。其適可用於一監控裝置,例如第一實施例所述之監控裝置13。更具體而言,第二實施例所描述之監控方法可由一電腦程式產品執行,當一微處理器載入該電腦程式產品並執行該電腦程式產品所包含之複數個指令後,即可完成第二實施例所述之監控方法。前述之 電腦程式產品可儲存於電腦可讀取記錄媒體中,例如唯讀記憶體(read only memory;ROM)、快閃記憶體、軟碟、硬碟、光碟、隨身碟、磁帶、可由網路存取之資料庫或熟習此項技藝者所習知且具有相同功能之任何其它儲存媒體中。
第二實施例所述之監控方法包含下列步驟:首先,執行步驟301,於一程序執行前,擷取該程序之一進入點資訊,其中該程序包含至少一指令。接著,執行步驟303,分配一位址值至該程序。再執行步驟305,根據該進入點資訊,取得與該程序相應之一位址值。執行步驟307,執行相應於該程序之至少一指令。接著執行步驟309,根據該位址值記錄相應於該程序之至少一指令。
執行步驟311,執行相應於該程序之至少一系統呼叫。接著執行步驟313,根據該位址值記錄相應於該程序之至少一系統呼叫。再執行步驟315,根據被紀錄之至少一指令以及至少一系統呼叫,判斷該程序是否為一惡意程序。若是,則執行步驟317,針對該程序進行回應。若該程序並非為惡意程序,則重複執行步驟301至步驟315,接著判斷其它程序是否為惡意程序。
綜上所述,本發明係直接於一硬體中監控中央處理器處理之程序的指令,對於該硬體來說,使用者在執行這些程序所包含的指令或是系統呼叫時,這些指令以及系統呼叫將根據其所對應之位址值被記錄並分析。據此,本發明不需作業系統支援即能直接根據程序之指令所對應之位址值來偵測惡意軟體,進而改進習知技術需藉由作業系統的輔助才能偵測惡意軟體的缺點。
上述之實施例僅用來例舉本發明之實施態樣,以及闡釋本發明 之技術特徵,並非用來限制本發明之保護範疇。任何熟悉此技術者可輕易完成之改變或均等性之安排均屬於本發明所主張之範圍,本發明之權利保護範圍應以申請專利範圍為準。
11‧‧‧硬體
13‧‧‧監控裝置
15‧‧‧作業系統
110‧‧‧CR3值
111‧‧‧中央處理器
112‧‧‧進入點資訊
113‧‧‧記憶體
115‧‧‧關鍵區塊
130‧‧‧關閉訊號
131‧‧‧擷取模組
133‧‧‧分析模組
137‧‧‧判斷模組
139‧‧‧攔截模組
150‧‧‧程序
150a、150b、150c‧‧‧指令
152‧‧‧系統呼叫
第1圖係為本發明第一實施例之示意圖;以及第2圖係為本發明第二實施例之流程圖。
11‧‧‧硬體
13‧‧‧監控裝置
15‧‧‧作業系統
110‧‧‧CR3值
111‧‧‧中央處理器
112‧‧‧進入點資訊
113‧‧‧記憶體
115‧‧‧關鍵區塊
130‧‧‧關閉訊號
131‧‧‧擷取模組
133‧‧‧分析模組
137‧‧‧判斷模組
139‧‧‧攔截模組
150‧‧‧程序
150a、150b、150c‧‧‧指令
152‧‧‧系統呼叫

Claims (18)

  1. 一種監控方法,包含下列步驟:於一程序(process)執行前,擷取該程序之一進入點(entry point)資訊,其中該程序包含至少一指令(instruction);根據該進入點資訊,取得與該程序相應之一位址值,其中該位址值對應至一儲存該至少一指令之記憶體區塊;執行該程序之至少一指令;以及根據該位址值紀錄該程序之至少一指令;其中,一硬體擷取該進入點資訊並根據該位址值紀錄該程序之至少一指令。
  2. 如請求項1所述之監控方法,更包含下列步驟:分配該位址值至該程序。
  3. 如請求項1所述之監控方法,其中該進入點資訊係為一處理器旗標(flag)。
  4. 如請求項1所述之監控方法,更包含下列步驟:執行相應於該程序之至少一系統呼叫(system call);以及根據該位址值紀錄該至少一系統呼叫。
  5. 如請求項4所述之監控方法,其中該系統呼叫係為一微軟32系統呼叫(win32 system call)以及一原始系統呼叫(native system call)其中之一。
  6. 如請求項1所述之監控方法,更包含下列步驟:根據該被紀錄之程序之至少一指令,判斷該程序係為一 惡意程序;以及針對該程序進行回應。
  7. 一種電腦程式產品,內儲一種監控方法之程式,該程式被載入一微處理器後執行:第1程式指令,於一程序執行前,使該微處理器擷取該程序之一進入點資訊,其中該程序包含至少一指令;第2程式指令,使該微處理器根據該進入點資訊,取得與該程序相應之一位址值,其中該位址值對應至一儲存該至少一指令之記憶體區塊;第3程式指令,使該微處理器執行該程序之至少一指令;以及第4程式指令,使該微處理器根據該位址值紀錄該程序之至少一指令。
  8. 如請求項7所述之電腦程式產品,其中該程式更執行:第5程式指令,使該微處理器分配該位址值至該程序。
  9. 如請求項7所述之電腦程式產品,其中該進入點資訊係為一處理器旗標。
  10. 如請求項7所述之電腦程式產品,其中該程式更執行:第5程式指令,使該微處理器執行相應於該程序之至少一系統呼叫;以及第6程式指令,使該微處理器根據該位址值紀錄該至少一系統呼叫。
  11. 如請求項10所述之電腦程式產品,其中該系統呼叫係為一微 軟32系統呼叫以及一原始系統呼叫其中之一。
  12. 如請求項7所述之電腦程式產品,其中該程式更執行:第5程式指令,使該微處理器根據該被紀錄之程序之至少一指令,判斷該程序係為一惡意程序;以及第6程式指令,使該微處理器針對該程序進行回應。
  13. 一種用於一硬體之監控裝置,該硬體包含一中央處理器、一儲存模組以及一關鍵區塊,該監控裝置包含:一擷取模組,於一程序執行前,自該儲存模組擷取該程序之一進入點資訊,其中該程序包含至少一指令;一分析模組,用以根據該進入點資訊,自該中央處理器取得與該程序相應之一位址值,其中該位址值對應至一儲存該至少一指令之記憶體區塊;以及其中,當該中央處理器執行該程序之至少一指令時,該硬體之儲存模組根據該位址值紀錄該程序之至少一指令。
  14. 如請求項13所述之監控裝置,其中,一作業系統分配該位址值至該程序。
  15. 如請求項13所述之監控裝置,其中,該進入點資訊係為一處理器旗標。
  16. 如請求項13所述之監控裝置,其中,當該中央處理器執行相應於該程序之至少一系統呼叫時,該硬體之儲存模組根據該位址值紀錄該至少一系統呼叫。
  17. 如請求項16所述之監控裝置,其中,該系統呼叫係為一微軟32系統呼叫以及一原始系統呼叫其中之一。
  18. 如請求項13所述之監控裝置,更包含:一判斷模組,根據該硬體之儲存模組紀錄之該程序之至少一指令,判斷該程序係為一惡意程序;以及一攔截模組,針對該程序進行回應。
TW097144331A 2008-11-17 2008-11-17 用於一硬體之監控裝置、監控方法及其電腦程式產品 TWI401582B (zh)

Priority Applications (4)

Application Number Priority Date Filing Date Title
TW097144331A TWI401582B (zh) 2008-11-17 2008-11-17 用於一硬體之監控裝置、監控方法及其電腦程式產品
US12/419,048 US20100125909A1 (en) 2008-11-17 2009-04-06 Monitor device, monitoring method and computer program product thereof for hardware
GB0905966A GB2465240B8 (en) 2008-11-17 2009-04-06 Monitor device, monitoring method and computer program product thereof for hardware for monitoring aprocess to detect malware
KR1020090038538A KR101051722B1 (ko) 2008-11-17 2009-04-30 모니터 장치, 모니터링 방법 및 그에 관한 하드웨어용 컴퓨터 프로그램 산출물

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW097144331A TWI401582B (zh) 2008-11-17 2008-11-17 用於一硬體之監控裝置、監控方法及其電腦程式產品

Publications (2)

Publication Number Publication Date
TW201020845A TW201020845A (en) 2010-06-01
TWI401582B true TWI401582B (zh) 2013-07-11

Family

ID=40750201

Family Applications (1)

Application Number Title Priority Date Filing Date
TW097144331A TWI401582B (zh) 2008-11-17 2008-11-17 用於一硬體之監控裝置、監控方法及其電腦程式產品

Country Status (4)

Country Link
US (1) US20100125909A1 (zh)
KR (1) KR101051722B1 (zh)
GB (1) GB2465240B8 (zh)
TW (1) TWI401582B (zh)

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9317690B2 (en) 2011-03-28 2016-04-19 Mcafee, Inc. System and method for firmware based anti-malware security
US20120254994A1 (en) * 2011-03-28 2012-10-04 Mcafee, Inc. System and method for microcode based anti-malware security
US9087199B2 (en) 2011-03-31 2015-07-21 Mcafee, Inc. System and method for providing a secured operating system execution environment
US8966624B2 (en) 2011-03-31 2015-02-24 Mcafee, Inc. System and method for securing an input/output path of an application against malware with a below-operating system security agent
US8925089B2 (en) 2011-03-29 2014-12-30 Mcafee, Inc. System and method for below-operating system modification of malicious code on an electronic device
US9038176B2 (en) 2011-03-31 2015-05-19 Mcafee, Inc. System and method for below-operating system trapping and securing loading of code into memory
US8959638B2 (en) 2011-03-29 2015-02-17 Mcafee, Inc. System and method for below-operating system trapping and securing of interdriver communication
US8863283B2 (en) 2011-03-31 2014-10-14 Mcafee, Inc. System and method for securing access to system calls
US8813227B2 (en) 2011-03-29 2014-08-19 Mcafee, Inc. System and method for below-operating system regulation and control of self-modifying code
US9262246B2 (en) 2011-03-31 2016-02-16 Mcafee, Inc. System and method for securing memory and storage of an electronic device with a below-operating system security agent
US8966629B2 (en) 2011-03-31 2015-02-24 Mcafee, Inc. System and method for below-operating system trapping of driver loading and unloading
US9032525B2 (en) 2011-03-29 2015-05-12 Mcafee, Inc. System and method for below-operating system trapping of driver filter attachment
CN102289616A (zh) * 2011-06-30 2011-12-21 北京邮电大学 移动智能终端中系统资源恶意侵占的防范方法和系统
JP6146100B2 (ja) * 2012-06-21 2017-06-14 Jsr株式会社 液晶配向剤、液晶配向膜、位相差フィルム、液晶表示素子及び位相差フィルムの製造方法
KR101305249B1 (ko) 2012-07-12 2013-09-06 씨제이씨지브이 주식회사 다면 상영 시스템
EP2996034B1 (en) 2014-09-11 2018-08-15 Nxp B.V. Execution flow protection in microcontrollers
US9773110B2 (en) 2014-09-26 2017-09-26 Intel Corporation Cluster anomaly detection using function interposition
US9967267B2 (en) 2016-04-15 2018-05-08 Sophos Limited Forensic analysis of computing activity
US9928366B2 (en) 2016-04-15 2018-03-27 Sophos Limited Endpoint malware detection using an event graph
CN114556338A (zh) * 2019-10-25 2022-05-27 惠普发展公司,有限责任合伙企业 恶意软件标识

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI252976B (en) * 2004-12-27 2006-04-11 Ind Tech Res Inst Detecting method and architecture thereof for malicious codes
US20070094496A1 (en) * 2005-10-25 2007-04-26 Michael Burtscher System and method for kernel-level pestware management
WO2007056933A1 (fr) * 2005-11-16 2007-05-24 Jie Bai Procede pour identifier des virus inconnus et les supprimer
US20080046977A1 (en) * 2006-08-03 2008-02-21 Seung Bae Park Direct process access

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7146305B2 (en) * 2000-10-24 2006-12-05 Vcis, Inc. Analytical virtual machine
US7657419B2 (en) * 2001-06-19 2010-02-02 International Business Machines Corporation Analytical virtual machine
US8516583B2 (en) * 2005-03-31 2013-08-20 Microsoft Corporation Aggregating the knowledge base of computer systems to proactively protect a computer from malware
US7349931B2 (en) * 2005-04-14 2008-03-25 Webroot Software, Inc. System and method for scanning obfuscated files for pestware
US7603712B2 (en) * 2005-04-21 2009-10-13 Microsoft Corporation Protecting a computer that provides a Web service from malware
US20070074289A1 (en) * 2005-09-28 2007-03-29 Phil Maddaloni Client side exploit tracking
US20080034350A1 (en) * 2006-04-05 2008-02-07 Conti Gregory R System and Method for Checking the Integrity of Computer Program Code
US20080141376A1 (en) * 2006-10-24 2008-06-12 Pc Tools Technology Pty Ltd. Determining maliciousness of software

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI252976B (en) * 2004-12-27 2006-04-11 Ind Tech Res Inst Detecting method and architecture thereof for malicious codes
US20070094496A1 (en) * 2005-10-25 2007-04-26 Michael Burtscher System and method for kernel-level pestware management
WO2007056933A1 (fr) * 2005-11-16 2007-05-24 Jie Bai Procede pour identifier des virus inconnus et les supprimer
US20080046977A1 (en) * 2006-08-03 2008-02-21 Seung Bae Park Direct process access

Also Published As

Publication number Publication date
KR101051722B1 (ko) 2011-07-25
US20100125909A1 (en) 2010-05-20
GB2465240B (en) 2011-04-13
GB0905966D0 (en) 2009-05-20
KR20100055314A (ko) 2010-05-26
TW201020845A (en) 2010-06-01
GB2465240B8 (en) 2011-06-29
GB2465240A (en) 2010-05-19

Similar Documents

Publication Publication Date Title
TWI401582B (zh) 用於一硬體之監控裝置、監控方法及其電腦程式產品
JP5265061B1 (ja) 悪意のあるファイル検査装置及び方法
Martignoni et al. Omniunpack: Fast, generic, and safe unpacking of malware
CN100481101C (zh) 计算机安全启动的方法
US10121004B2 (en) Apparatus and method for monitoring virtual machine based on hypervisor
US20090313699A1 (en) Apparatus and method for preventing anomaly of application program
US9804948B2 (en) System, method, and computer program product for simulating at least one of a virtual environment and a debugging environment to prevent unwanted code from executing
KR101816751B1 (ko) 하이퍼바이저 기반의 가상머신 모니터링 장치 및 방법
US10262139B2 (en) System and method for detection and prevention of data breach and ransomware attacks
US11176247B2 (en) System and method for container assessment using sandboxing
Han et al. Malware classification methods using API sequence characteristics
JP2010262609A (ja) 効率的なマルウェアの動的解析手法
CN109409089B (zh) 一种基于虚拟机自省的Windows加密型勒索软件检测方法
US9959406B2 (en) System and method for zero-day privilege escalation malware detection
US9202053B1 (en) MBR infection detection using emulation
Aslan Performance comparison of static malware analysis tools versus antivirus scanners to detect malware
Shree et al. Memory forensic: Acquisition and analysis mechanism for operating systems
Seo et al. A study on memory dump analysis based on digital forensic tools
US20180341770A1 (en) Anomaly detection method and anomaly detection apparatus
US10880316B2 (en) Method and system for determining initial execution of an attack
Gilboy Fighting evasive malware with DVasion
CN101739519B (zh) 用于一硬件的监控装置及监控方法
JP6258189B2 (ja) 特定装置、特定方法および特定プログラム
Chen et al. SLAM: A smart analog module layout generator for mixed analog-digital VLSI design
Zhao et al. Vrfps: A novel virtual machine-based real-time file protection system

Legal Events

Date Code Title Description
MM4A Annulment or lapse of patent due to non-payment of fees