TWI463405B - 用於間碟軟體偵測機制之系統、方法與電腦儲存裝置 - Google Patents

用於間碟軟體偵測機制之系統、方法與電腦儲存裝置 Download PDF

Info

Publication number
TWI463405B
TWI463405B TW097105062A TW97105062A TWI463405B TW I463405 B TWI463405 B TW I463405B TW 097105062 A TW097105062 A TW 097105062A TW 97105062 A TW97105062 A TW 97105062A TW I463405 B TWI463405 B TW I463405B
Authority
TW
Taiwan
Prior art keywords
list
program
modules
programs
component
Prior art date
Application number
TW097105062A
Other languages
English (en)
Other versions
TW200842716A (en
Inventor
Cormac E Herley
Brian W Keogh
Aaron Michael Hulett
Adrian M Marinescu
Jeffrey Steven Williams
Stanislav Nurilov
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of TW200842716A publication Critical patent/TW200842716A/zh
Application granted granted Critical
Publication of TWI463405B publication Critical patent/TWI463405B/zh

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/565Static detection by checking file integrity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/568Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Stored Programmes (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Description

用於間諜軟體偵測機制之系統、方法與電腦儲存裝置
本發明係關於間諜軟體偵測機制。
被稱為“間諜軟體”之程式竊聽或監視個人活動,且將此等活動報告給啟動及/或具現該間諜軟體之實體,此種情景變得日益普遍。通常,間諜軟體未經個人允許即收集其相關個人資訊(例如,密碼、個人識別碼(Personal Identification Number,PIN)、社會保障資訊、銀行帳號、信用卡及其他輔助經濟詳情,等)的電腦軟體。在某種意義上,間諜軟體係符合以下條件之軟體:其在沒有提請一使用者之適當注意、同意或控制的情況下,經由一可執行程式,監視該使用者之行為,或者收集有關該使用者之資訊,可以包括個人識別資訊或其他保密資訊。或者,間諜軟體可以被看作一種潛在的非期望技術,其在未取得使用者之適當許可情況下進行部署及/或實施以達成以下目的:削弱使用者對於例如影響其經歷、隱私權或系統安全性等的資料修改的控制;使用其系統資源,包括安裝在其電腦上之程式;及/或收集、使用及散佈其個人資訊或其他保密資訊。
此外,廣告軟體也已經成為現代電腦相關經歷之一普遍特徵。廣告軟體係一種程式,其導致潛在地傳送及顯示使用者不希望或不需要的廣告內容。除了導致顯示不想要 的廣告內容之外,許多廣告軟體應用程式還包括跟蹤功能,其類似於間諜軟體中常見之此等功能。
本段發明內容給出本發明之一簡單摘要,以提供對所揭示標的物之某些態樣的基本理解。此摘要不是一種全面概述,其無意於確定關鍵/重要元件,或者描述其範圍。本發明內容之唯一目的係以簡化形式給出一些概念,作為對後文詳盡說明書之前文。
在一態樣中,被主張標的物係關於一種由機器實施之系統,其偵測該機器上用一般方式不能看到的秘密及/或隱藏惡意軟體。該系統包括一偵測組件,其可以產生被負載至該機器上之全部模組的清單,然後可以從所產生清單中識別一模組子集,該等模組由超出一臨限數值程序之所共用。如果該系統已經識別出一模組子集(該等模組存在於超出一臨限數值程序之中),則該系統可以利用該模組子集,藉由去除包含於驗證清單中之模組,進一步精簡所產生之清單,該等驗證清單係由應用程式軟體開發人員提供,以及/或者由經驗證之第三方軟體驗證人員提供。隨後,可以根據例如一特定模組在該清單中之出現次數而對該經篩選之清單排定優先順序,之後,該經篩選且排定優先順序的清單可以被轉遞給一分析人員,由其進一步留意且進行研究。
在另一態樣中,該被主張標的物可以量測在一機器上 是否正在使用任意版本之DLL注入,其可以藉由量測例如所有(所有已經接受一特定事件(例如一鍵之敲擊事件)之)之間的非白名單DLL之交集,且藉由量測是否有任何模組最終被注入到一公共之蜜罐版本,(該蜜罐版本例如為一種,其被實施成看起來比其本身實際上還易受攻擊性,且能記錄其發生之所有事件)。此外,該被主張標的物可以量測是否有任意非白名單始終在連續事件(例如,重複鍵之敲擊)之間佔用資源。對該等量測之回應可以與其他量測一起被用作一優先順序組件之輸入,該優先順序組件在大量可疑惡意軟體取樣中確定哪一個最需要提請分析人員注意。
在該被主張標的物之再一態樣中,對於許多懷疑自己機器上被安裝了惡意軟體之不同使用者,可以對其個人電腦進行量測,其中該等量測可以被報告給一優先順序組件,該組件聚合資訊,然後排定發佈給一分析人員之優先順序。
在被主張標的物之另一態樣,可疑惡意軟體可以被放置在一受控制環境中(例如,一模擬器、一虛擬機器,等等)進行研究,針對可疑惡意軟體取樣執行各種測試以獲得量測結果,將結果傳送至一優先順序組件,該組件可以將排定優先順序之可疑惡意軟體清單傳送至一分析員工作站,以進一步研究。
為了完成上述及相關結果,在本文結合以下說明及隨附圖式對所揭示及被主張標的物之特定闡釋性態樣進行說 明。但是,此等態樣僅指示可實施本文所揭示原則之眾多方式之一少部分,且其意欲包括全部此類態樣及其等價內容。當結合該等圖式進行考量時,由以下詳細說明可以明瞭其他好處及新穎特徵。
現在參考該等圖式描述被主張之標的物,其中類似元件符號始終被用於指代類似的元件。在以下說明中,出於解釋目的,列出許多特定細節,以提供對其之透徹理解。但是應當明瞭,沒有此等特定細節也可以實施被主張之標的物。在其他實例中,以方塊圖之形式示出習知結構和裝置,以促進其一說明。
為便於說明、簡化解釋且易於理解,針對鍵之敲擊記錄及/或事件記錄對該被主張標的物進行說明。然而,被主張之標的物並非受限於此,且可應用在許多其他惡意軟體偵測機制及應用程式中。相應地,任意及全部此等適用性及其衍生物被認為屬於該被主張標的物之範圍內。
惡意軟體(例如,間諜軟體、廣告軟體、犯罪軟體、欺騙軟體、病毒、蠕蟲,及類似軟體)通常嘗試隱藏其自己。通常,惡意軟體編寫者做出很大努力來隱藏其惡意軟體之存在,具體而言,是隱藏此代碼正在被執行之事實。然而,根據該使用者之熟練程度,具有多種屬性可以揭示該惡意軟體駐存及活躍於一機器上之事實。舉例而言,一使用者可以具現一系統公用程式(例如,工作管理員、程 序管理員、工作階段管理器,等等)以研究活動中程序、執行緒、應用程式及程式。此類研究可以揭示該使用者先前沒有識別之程序,且因此提供一指示,表示此等程序可能是惡意軟體。
如上所述,許多甚至全部惡意軟體編寫者做出相當大之努力來確保其惡意軟體之版本被隱藏,且大體上使無經驗人員不能偵測出來。例如,惡意軟體通常不會公開地作為"eventlogger.exe"、"malware.exe"、"spyware.exe"、"adware.exe"及/或"crimeware.exe"本身來執行。因此,除非惡意軟體編寫者疏忽,在偶然查看系統公共程式時,很難發現正在運行的惡意軟體。
通常由惡意程序及/或軟體之編寫者用於避免偵測及/或隱藏一機器上之惡意軟體活動的技術係一種被稱為動態連結程式庫(Dynamic Link Library,DLL)注入的技術,其中一程序或執行緒被插入一合法程序之記憶體空間,且於其中執行。例如,一稱為“keylogger.exe”之惡意程序可以啟動一執行緒,但不是與“keylogger.exe”相關聯之執行緒,該執行緒偽裝成屬於合法程序“legitimate.exe”。惡意程序“keylogger.exe”一旦完成啟動其執行緒之目標之後,就可以消失了,但由“keylogger.exe”初始化之執行緒仍然保持作用中,但卻被隱藏,因為它處於另一可能合法之程序中--有效地窺探該使用者關於其他合法執行之程序及應用程式的活動。因此,在查詢一系統公共程式時,所有可以被看到正在執 行的程序都是吾人預期其應為作用中之此等程序。然而,合法程序“legitimate.exe”現在擁有一個與其相關聯之外來寄生執行緒,該使用者很少或者不能偵測該執行緒。例如,合法程序“legitimate.exe”在執行時通常具有20至30個執行緒,一般使用者不太可能偵測到存在一附加執行緒。
存在許多種完成DLL注入之方法,其中一主要DLL注入方法係附接至所有負載特定模組之程序。通常,當程序開始執行時,它們能夠負載許多完全不同之DLL。許多被負載之DLL係系統及使用者介面(例如,圖形用戶介面)檔案,例如,kernel32、user32,及類似檔案。惡意程序及/或軟體之編寫者可以利用此事實將惡意程序及/或軟體與此等通常被負載之DLL關聯在一起,因此,每當一程序呼叫此等通常被負載DLL之一時,該寄生程序之一執行個體也被負載。因此,當一合法程序自願負載一通常被負載之DLL時,其不明智地導致該惡意程序(或該惡意程序之重複執行個體)在系統未被要求及未被詢問之情況下被引入該系統。
另一用於完成DLL注入之技術係使該惡意程序附接在特定一般事件上(例如,鍵之敲擊、滑鼠按一下、按一下滑鼠右鍵、按一下滑鼠左鍵,等等)。例如,當一合法程序接受一鍵之敲擊,該程序具有一被打開之視窗,其接受該鍵之敲擊事件,則該程序將關聯該惡意程序DLL之一執行個體。存在一些機制,惡意處理序可以用來將一DLL插 入一正在執行之程序,當該插入過程發生,或者取決於惡意程序及/或軟體之編寫者如何實施該插入點,該惡意程序可以在特定事件發生時被啟動。本領域之一般技術者易於認識到存在多種與一典型作業系統環境相關之事件處理程式(例如,監聽特定外部事件、使用者動作及/或使用者無動作,等等)。結果,當一特定事件發生時(例如,當一鍵被按下、當鍵組合被按下、一滑鼠被移動、一滑鼠按鈕被按一下、一滑鼠按鈕被按兩下,等等),在每次該事件發生時,程式碼被執行。
另一用於完成惡意程序插入之方法針對特定程序,其中惡意軟體及/或程序之編寫者創建在一特定合法程序中執行之執行緒。此係一種目的性及選擇性非常強之方法,其中,該惡意程序執行緒通常僅運行於其所針對之特定程序中。對於該惡意軟體及/或程序編寫者之好處在於該惡意程序碼具有非常低之記憶體足印,更能避免偵測且具有隱秘性。因此,在此情況中,該編寫者針對一般通常不會被責難且非常可能被連續地及/或周期地執行之程序及/或應用程式。在已經識別了此種應用程式及/或程序之後,該編寫者將單一執行緒插入該被識別之應用程式及/或程序。
第1圖說明一惡意軟體偵測系統100,其連續、動態及自動地(個別地及/或整體地)監督一第一處理器1101 、一第二處理器1102 ,直到一第N處理器110N ,N係大於或等於1之整數。第一處理器1101 、第二處理器1102 ,直到第N處理器110N 可以被統稱為處理器110。處理器110可 以處於活動中,經由通信媒體120與偵測組件130進行持續通信。處理器110可以包括任意具有內嵌、附屬、相關及/或被封裝處理器之工業、商業及/或消費者機器,例如工業自動化裝置、計算裝置(例如,膝上型電腦、筆記型電腦、個人數位助理(perscnal Digital Assistant,PDA)...)、行動電話、電話設備及/或裝置、家用及/或商業裝備,等等。處理器110可以包括執行特定軟體或參與特定網路之使用者。此外,處理器110可具有相關儲存、記憶體、等等。另外,通信媒體120可以包括乙太網路、無線乙太網路、Wi-Fi、衛星式技術,及類似媒體。
偵測組件130持續監視處理器110,以偵測惡意程序(例如,間諜軟體、廣告軟體、犯罪軟體、欺騙軟體、病毒,等等)之存在。偵測組件130在偵測到惡意程序之證據時,其可以分析產生該警報之執行個體,以便肯定地判斷該執行個體是否構成惡意軟體,如果構成,則其可以向進一步研究該問題之分析人員顯示一通知。作為補充及/或替代,偵測組件130可以聚合及/或分類被偵測惡意軟體之執行個體,且向分析人員提供一優先順序報告(例如,標示及排序此等被偵測惡意軟體之項目,其為該機器之平穩運行帶來極大風險),以便進一步研究及/或獲得補救措施。此外,偵測組件130必要時也可以產生及創建傳播給處理器110之補救簽章檔案,以縮減惡意軟體對處理器110之持續操作。
第2圖提供偵測組件130之一更詳盡描述200。如圖 所示,偵測組件130可以包括接收資料之介面210,該資料係關於由處理器110所負載及執行之程序、應用程式、執行緒及DLL。介面210可更向分析人員工作站發佈通知,藉由實例之方式,其可以是排定優先順序之報告、用顏色編碼之清單,等等,供人類中介進一步研究。作為替代及/或補充,介面210可以觸發一或多個自動回應及/或程式碼執行。例如,如果特定惡意程序在過去即已被偵測到,介面組件210可以發出一組命令及/或呈現一對話方塊,以進一步偵測相同或類似惡意程序。
在接收到與處理器110所負載及執行之程序、應用程式、執行緒及DLL相關之資料後,介面210向分析組件220傳送此等資料,該分析組件仔細研究在與處理器110相關之記憶體空間內執行的全部被負載模組,且識別可能值得進一步注意之模組。一旦分析組件220已經確定了可能值得進一步留意之模組,分析組件220可在儲存裝置240中持久保存與被識別模組相關聯之程式碼的複本。作為替代及/或補充,分析組件220可以將與該識別相關之資訊傳送給通知組件230。通知組件230在從分析組件220接收到該資訊之後,可以自動且立即產生一報告(例如,通知),該報告可以被立即轉遞到分析人員工作站,以由人類中介進一步分析。作為替代及/或補充,通知組件230可以周期性產生該報告(例如,每月一次、每周一次、每天一次、每日兩次、每四小時一次,等等),其中,應當理解,在此態樣中,通知組件230擷取由分析組件220先前及/或同時 在儲存裝置240中儲存的資訊,之後產生必要之通知報告。
第3圖提供根據被主張標的物一態樣之一偵測組件220之一更詳盡描述300。分析組件220可包括列清單組件310、清除組件320及優先順序組件330。監聽組件310從處理器110(未示出)獲得一清單,其中包括所有符合以下條件之作用中DLL:加載該等DLL之程序數超出一臨限數值(該臨限數值係由人類中介先前或同時提供,或者藉由使用人工智慧動態確定)。熟習此項技術應當理解,程序及應用程式通常在執行特定程序及/或應用程式過程中出於許多目的負載DLL。因此,例如,當一應用程式被負載時,該應用程式可以負載許多DLL,其可以被例如應用程式供應商/製造商、作業系統供應商及專門提供合法第三方增益集之各方等編寫。一般來說,程序及應用程式將具有一些該程序及應用程式特有之被負載DLL(例如,由特定應用程式開發人員專門編寫),還具有一些由許多應用程式及處理器所共有之DLL(例如,由作業系統提供,用於執行由許多程序及應用程式所採用的公共系統任務)。
相應地,在一態樣中之監聽組件310產生所有符合以下條件之DLL的清單:負載該等DLL之程序數目超過一臨限數目。例如,且參考第5圖,如果三個來自不同應用程式供應商之應用程式(例如,A、I及Q)被負載至一特定處理器記憶體及/或應用程式空間,監聽組件310能夠從被負載DLL之總清單中確定正在被所有三個執行應用程式所採用之公共DLL集合(例如,如第5圖所示之Z)。
換言之,監聽組件310識別公共DLL之清單,該等DLL駐存於被指派給每一應用程式之各別記憶體空間之每一者的交集。因此,專屬於應用程式A之模組將不會出現於該交集清單中,類似地,專屬於應用程式1及Q之模組也不會出現在該交集清單。只有全部三個闡釋性應用程式公共的模組才會被監聽組件310確定為值得進一步檢查及分析。
一旦監聽組件310已經確定由全部作用中應用程式及程序執行的公共模組清單,則該清單被提供至清除組件320,該組件結合一或多個白名單(例如其真實性已得到認可之應用程式供應商及/或其他核實或驗證主體所提供之模組的清單),將該等已知為良好之模組從清單中清除(例如,根據該等模組出現在一或多個白名單之事實清除該模組)。清除組件320例如藉由將該檔案之密碼編譯雜湊(例如,MD5或SHA-1)與該白名單中已知為良好之檔案的雜湊進行對比,可以確定該公共模組清單中之模組符合由該白名單所提供之項目。作為補充及/或替代,也可以使用其他可唯一識別軟體之方法。因此,一旦清除組件320已經從清單中清除了已知良好之模組,剩餘模組可以被看作潛在地不希望之模組,根據至少部分先前定義之命令集,作為進一步研究及/或立即動作之候選模組。
應當注意,僅因為一模組已經被識別為未經驗證或來自可疑出處,並不意味著該模組一定是壞的,而是指示該模組之意圖及/或目的尚未被驗證,因此需要進一步考量。
相應地,一旦清除組件320已經將該公共模組清單削減為一包含可疑來源模組之清單,此經過削減之清單可以被提供至優先順序組件330。優先順序組件330在接收到該經削減清單之後,可以提供一排序(例如,根據來自該模組之被察覺威脅可能如何有害,根據一特定模組在該清單中出現之次數),供通知組件230使用(參見第2圖)。優先順序組件330另外可以從許多其他資料源340接受輸入及量測。例如,除了DLL注入之外,軟體所使用之其他系統資源的量測可能對於優先順序組件330很有價值。量測可以包括例如由軟體寫、讀及/或修改之登錄機碼、被存取及/或修改之檔案,等等。對於已經安裝了可疑惡意軟體之不同使用者,可以在其個人電腦上進行量測,且將報告傳送至中央優先順序組件。作為替代及/或補充,可以在實驗環境內進行量測。此外,優先順序組件330可以向每一被處理之可疑惡意軟體取樣附加中繼資料或報告。例如,DLL注入之存在可能對於分析人員很有用,分析人員將研究該取樣並可能編譯防毒簽章,作為對偵測到的DLL注入之回應。
第4圖說明一系統400,其採用智慧來促進惡意軟體之偵測。該系統400可包括分析組件220及通知組件230,其可以大體類似於在上述圖式中描述之個別組件、服務、網路服務、介面及介面組件。系統400更包括一智慧組件410。該智慧組件410可被分析組件220及通知組件230兩者使用,以促進準確偵測、識別及分類惡意軟體,且更 向分析人員提供適當通知。舉例而言,該智慧組件410可根據先前儲存之簽章推斷及分類惡意軟體,作為有益於或不利於或有害於處理器110之平衡及安全執行,等等。此外,智慧組件410可以採用與先前被分類惡意軟體相關之已保存行為,以精簡及/或改變執行各種合法軟體(例如,應用程式及/或作業系統軟體)的確定標準,且至少部分根據該等精簡及/或變化,偵測此等合法軟體中之不正常操作。
應當理解,該智慧組件410可以從經由事件所擷取之觀測集合及/或資料提供有關該系統、環境及或使用者之推理或推斷。可以採用推理來識別一特定上下文或動作,或者例如可以產生有關狀態之一概率分佈。該推理可以是概率性的,即根據對資料及事件之考量,計算所感興趣之狀態概率分佈。推理也可以是指被用於由一組事件及/或資料組成高位準事件之技術。此等推理導致由一組被觀測事件及/或被儲存事件資料構建新的事件或動作,不論該等事件是否具有緊密的時間鄰近相關性,以及不論該等事件及資料是否來自一或多個事件及資料源。各種分類(顯式及/或憶式訓練)機制及/或系統(例如,支撐向量機器、神經網路、專家系統、貝斯信任網路、模糊邏輯、資料融合引擎...)可被採用,結合執行與被主張標的物相關之自動及/或推斷動作。
一分類器係一函數,其將一輸入屬性向量x=(x1,x2,x3,x4,xn)對映至一信任,該輸入屬於一個類別,即f(x)= confidence(class)。此分類過程可以採用一概率及/或統計式分析(例如,分解至分析公用程式及成本),以推斷一使用者希望被自動執行的動作。一支援向量機器(support vector machine,SVM)係一可被採用之分類器實例。該SVM藉由在可能輸入空間中找到一超曲面來操作,該超曲面嘗試將該觸發準則與非觸發事件分離開。直觀地,這樣使該分類對於測試接近但不等同於訓練資料之資料成為正確的。其他直接及非直接模型分類方法包括例如單純貝斯、貝斯網路、決策樹、神經網路、模糊邏輯模型,可以採用提供不同獨立樣式之概率分類模型。本文所使用之分類也包括統計回歸,其被用於確定優先順序模型。
考量到上文所示及所述之示範性系統,參考第6圖至第10圖之流程圖可以更好地理解可以根據被主張標的物實施之方法。儘管為了簡化解釋,該等方法被示出及描述為一系列方塊,但應理解及瞭解被主張標的物並不受限於該等方塊之順序,一些方塊可以採用不同順序執行,及/或與本文所述的其他方塊同時執行。此外,為了實施下文所述之方法,並不需要全部所示方塊。相應地,應進一步理解,在下文及本說明書所揭示之方法能夠被儲存在一物品上,以促進將此等方法傳輸及傳遞至電腦。
在由一或多個組件執行之電腦可執行指令(例如程式模組)之一般概念中,可以描述被主張之標的物。一般來說,程式模組可包括常式、程式、物件、資料結構,等等,其執行特定任務或實施特定抽象資料類型。典型地,該等 程式模組之功能可根據需要為組合式及/或分散式的。
第6圖說明用於偵測在一機器上執行之惡意軟體的方法600。方法600在602開始,各種各樣的處理器初始化任務及幕後活動在此方塊內被執行,在該點,方法前進至604。在方塊604,該方法列出所有已經被負載至一特定處理器應用程式及/或記憶體空間內之模組。在方塊606,該方法藉由篩選出單一應用程式或程序所特有之模組而精簡該等清單。在方塊608,該方法清除了出現在白名單中之模組,該等白名單由應用程式製造商及/或可靠的獨立認證機構提供。在方塊610,該清單中之剩餘項目被排定優先順序及/或與先前已經產生之其他清單合併,以提供其來源存在問題之模組的報告。在方塊610,該方法前進至方塊612,其中該經排定優先順序、被分類及/或被合併之清單被發佈至分析人員工作站,以由分析人員進一步進行研究。
第7圖說明根據被主張標的物之一態樣之另一方法700,用於偵測在一機器上執行之惡意軟體。方法700在方塊702開始,其中起始化及幕後活動被執行。在方塊704,該方法產生所有已經被負載至一特定處理器應用程式及/或記憶體空間內之模組的清單。在方塊706,藉由從初始產生之清單中清除一特定應用程式特有之模組(例如,該等未被超出一臨限數目之程序採用的模組)來整理該清單。在方塊708,該方法更藉由清除被包含於白名單中之模組而整理該清單,該等白名單(或驗證清單)自軟體供應商、應用程式軟體提供商、受信任之第三方驗證機構及 類似各方獲得。在方塊710,該經整理清單中之剩餘項目被分類、排序優先順序及/或與先前已經產生之其他清單合併,以提供其來源存在問題之模組的報告。該等有問題之模組來源可以至少部分基於起始待負載模組之軟體程式碼(例如,習知應用程式、作業系統組件、其名譽已知、未知或已知為差之網站,等等)。在方塊710,該方法前進至方塊712,其中該經排定優先順序、被分類及/或被合併之清單被發佈至分析人員工作站,以由分析人員進一步進行研究。在方塊714,利用來自人工智慧引擎及/或分析人員之輸入,該方法可以動態且自動產生一簽章檔案(例如,用於偵測後續惡意軟體及/或其變化版本),以用於惡意軟體之對抗實例中,該實例被實施於一特定機器及/或處理器上。
第8圖說明根據被主張標的物之另一態樣之另一方法800,用於偵測在一機器上執行之惡意軟體。在方塊802,執行多個幕後起始化及活動,方法800前進至方塊804,在該方塊內,產生所有駐存於應用程式記憶體空間中之模組的清單。在方塊806,藉由關注由超出一臨限數目之程序所共用之模組以及已經關聯一程序(其已經剛剛接受至少一事件)之模組,來精簡在方塊804所產生之起始清單(該臨限數目例如係結合一人工智慧屬性動態且自動確定,及/或由人類中介提供)。例如,如果吾人希望確定特徵按鍵記錄程式,則剛剛已經接受鍵之敲擊之發現模組必須敏感且有效地偵測此惡意軟體實例,且隨後進行清除。 在方塊808,結合從一或多個外部來源(例如,應用程式開發人員、獨立第三方驗證方對來源進行之事先分析、來自驗證應用程式源供應商之周期更新,等等)獲得及/或提供之驗證清單,及/或由一人工智慧組件動態產生之驗證清單,該方法確定與該等被獲得及/或提供之驗證清單一致的模組。在方塊810中,仍然剩餘之模組(例如需要進一步審查之模組)被排定優先順序。排定優先順序之過程可採用以下方式之一或多者。被確定之模組可以關聯一有序清單(例如,至少根據該模組之一實例在一固定及任意時間段內被偵測之次數、從多個機器聚合該模組之一實例的次數,等等)、顏色編碼清單(例如,紅色、琥珀色、黃色、藍色、綠色及/或其變體)、標記有一危險程度旗標(例如,重要、嚴重、大體、中等、低,等等)及類似內容。在方塊812,該經過排定順序之結果清單將被發佈給分析人員工作站,以供人類中介及/或人工智慧組件進一步進行檢查及提供可能的解決方案。
第9圖說明根據被主張標的物之一態樣之再一方法900,用於偵測在一機器上執行之惡意軟體。在方塊902,發生起始化程序,之後,方法900前進至方塊904。在方塊904,起始一“蜜罐”程序(例如,該程序模仿另一程序,惡意軟體可能附接至該另一程序)。例如,如果確定惡意軟體可能希望創建與Internet Explorer相關聯之一遠端程序,則一“蜜罐”程序可以被創建且具體化為一Internet Explorer實例,其中該“密罐”程序模仿與Internet Explorer相關聯之部分功能。應注意,“蜜罐”程序僅模仿Internet Explorer之功能,但不必提供通常與Internet Explorer相關聯之全套功能。因此,作為一“蜜罐”程序,起始該“蜜罐”程序之分析人員知道與該“蜜罐”程序相關聯之模組的有限數目(例如,該分析員知道應當被負載之模組的總數等於10)。結果,當“蜜罐”程序被負載且研究表明11個模組被負載時,則該分析員可以推斷出該第11個模組可能與惡意軟體有關,因此可能是需要關注之原因,因為該“蜜罐”程序本身可能沒有負載全套擴充性及外掛程式模組。相應地,在方塊906,該方法監視該清單以及與“蜜罐”程序共存之程序數目。在方塊908,將出現在經驗證名單(例如白名單)中之模組及/或程序從被監視模組清單中刪除。在方塊910,採用上述方式對剩餘模組及/或程序之結果清單排定優先順序。在方塊912,該方法將該經過排定順序之清單發佈給分析人員,以供人類中介及/或人工智慧組件進一步進行檢查及提供可能的解決方案。
第10圖說明根據被主張標的物之另一態樣之一方法1000,用於偵測在一機器上執行之惡意軟體。可以認識到,惡意軟體在向系統及機器中注入惡意軟體時有時不採用DLL注入。在此情況下,惡意軟體可藉由為正在執行的惡意軟體程式碼命名一無害名稱(例如,plugin_helper.exe,等等),以隱藏該惡意軟體程式碼之真實本質,從而避免被懷疑,以在任務清單中公開地執行惡意軟體程式碼。相應 地,例如,一事件記錄程式(例如key-logger)可以在事件發生時秘密地記錄該等事件。因此,在一事件每次發生時,程式碼被產生及執行(例如,可以實施程式碼以向緩衝區中添加正在發生之事件,以便未來使用,等等)。但是,因為記錄和儲存事件需利用資源,儘管很少,但很難完全隱藏此態樣之惡意軟體。此外,一程序長期、持續地利用資源是極為少見的(例如,一程序在一事件之每一實例之後總使一活動與其關聯,即是不正常的)。因此,利用此等觀測,方法1000可以藉由在方塊1002執行幕後及起始化程序,然後在方塊1004及1006周期性地及/或持續地監視一處理器的資源消耗,且維護一處理器清單,該等處理器在離散時間段時持續佔用資源(例如,在所有後續事件之後均佔用資源,而不論目前關注之應用程式),從而可以偵測活動於一機器上之惡意軟體。在方塊1008,可以清除那些沒有在第一臨限數目個事件(例如,1、2、3、4,等等)之間佔用資源之程序。在方塊1010,在一第二臨限值(或一設定點)之後仍然未被從清單中刪除的程序,是那些連續佔用資源且從而需要進一步研究之程序。因此,在方塊1010,該清單被排定順序且提交給一分析人員工作站,以供人類中介及/或人工智慧組件進一步進行檢查及提供可能的解決方案。
可以藉由物件導向程式設計技術實施該被主張標的物。例如,該系統之每一組件可以是軟體常式中之一物件或一物件中之一組件。物件導向程式設計將軟體開發之重 點從功能分解轉移到識別被稱為“物件”之軟體單元,其對資料與功能均進行封裝。物體導向編程設計(Object Orient Programming,OOP)物件係包含資料結構及對資料之操作的軟體實體。該等元件結合起來,使物件能夠在各個方面大體模擬任意真實世界的實體,包括該等實體的特徵(由其資料元件表示)及由其資料操作功能表示之行為。採用這一方式,物件可以模擬諸如人或電腦等具體事物,它們可以模擬諸如數字或幾何概念等抽象概念。
物件技術之好處源於三個基本原理:封裝、多形及繼承。物件隱藏或封裝了其資料的內部結構以及其功能藉以發揮效能之演算法。物件沒有公開此等實施細節,而是呈現介面,其完整地表示其抽象內容,沒有額外資訊。多形採用另一封裝步驟--其概念係多個外形、一個介面。軟體組件可以在沒有確切瞭解另一組件之情況下對該組件發出請求。接收該請求之組件剖析該請求,且根據其變數及資料指出如何執行該請求。第三原理係繼承,其使開發人員能夠重新使用事先存在之設計及代碼。此功能使開發人員能夠避免從頭開始創建軟體。更確切的說,藉由繼承,開發人員衍生繼承行為之子類別,開發人員隨後可以對該等行為進行自訂以滿足特定需要。
具體而言,一物件包括(且其特徵在於)一組資料集(例如,屬性)及一組操作(例如,方法),其可以對該資料執行該等操作。一般來說,一物件之資料在理想情況下僅能經由該物件之方法的操作而被修改。可以藉由向一物 件傳遞一訊息(例如訊息傳遞)來呼叫該物件之方法。該訊息指定一方法名稱及一引數清單。當該物件接收到該訊息時,使用被綁定至該引數清單中之相應取值的該方法正式參數來執行與該被命名方法相關之程式碼。物件導向程式設計中之方法及訊息傳遞類似於程序導向軟體環境中之程序及程序呼叫。
但是,當程序操作以修改且送回被傳遞之參數時,方法操作以修改相關物件之內部狀態(藉由修改物件內所包含的資料)。資料及方法在物件中之組合被稱為“封裝”。封裝規定一物件之狀態僅由與該物件相關聯之定義明確之方法修改。當一物件之行為被限制在此等定義明確之位置及介面時,該物件之修改(例如,程式碼修改)對系統內之其他物件及元件具有最低影響。
每一物件具有某一類別之一實例。一類別包括一組資料屬性加上一組允許對該等資料屬性所執行之操作(例如方法)。上文提到,物件導向程式設計支援繼承--一個類別(稱為子類別)可以衍生自另一類別(被稱為基礎類別、父類別等),其中該子類別繼承該基礎類別之資料屬性及方法。該子類別可以藉由添加程式碼(其覆寫該基礎類別之資料及/或方法或者添加新資料屬性及方法)來具體化該基礎類別。因此,繼承表示一種機制,利用該機制,在為更高位準之具體化而創建子類別時,可以使抽象變得更加具體。
當使用於此應用程式中時,“組件”及“系統”等詞 意指一電腦相關實體、或者為硬體,或者為硬體與軟體之組合、或者為軟體、或者為執行中之軟體。舉例而言,一組件可以(但不限於)被實施為執行於一處理器上之程序、一處理器、一硬碟機、多個儲存驅動器(光學及/或磁儲存媒體)、一物件、一可執行應用程式、一執行緒、一程式及/或一電腦。藉由說明之方式,運行於一伺服器上之應用程式及該伺服器均可以為一組件。一或多個組件可存在於一過程及/或執行緒中,一組件可位於一電腦及/或分散於兩個或多個電腦中。
根據下文所述被主張標的物之一或多個態樣,可以結合執行推斷及/或概率性判斷及/或統計式判斷,採用人工智慧式系統(例如,顯式及/或隱式訓練的分類器)。如本文中所使用的“推斷”或其同義詞通常是指如下程序:由一組經由事件及/或資料獲得之觀察,推斷或推理系統、環境及/或使用者之狀態。可以採用推理來識別一特定上下文或動作,或者例如可以產生有關狀態之一概率分佈。該推理可以是概率性的,即根據對資料及事件之考量,計算所感興趣之狀態概率分佈。推理也可以是指被用於由一組事件及/或資料組成高位準事件之技術。此等推理導致由一組被觀測事件及/或被儲存事件資料構建新的事件或動作,不論該等事件是否具有緊密的時間鄰近相關性,亦不論該等事件及資料是否來自一或多個事件及資料源。各種分類機制及/或系統(例如,支撐向量機器、神經網路、專家系統、貝斯信任網路、模糊邏輯、資料融合引擎...)可被採用, 結合執行與被主張標的物相關之自動及/或推斷動作。
此外,可以使用標準程式設計及/或工程技術將全部或部分被主張標的物實施為一系統、方法、裝置或製品,以產生軟體、韌體、硬體或其任意組合,以控制一電腦來實施被揭示標的物。本文中所使用之“製品”一詞希望包含可自任意電腦可讀裝置或媒體存取之電腦程式。例如,電腦可讀媒體可以包括但不限於磁儲存裝置(例如,硬碟、軟磁碟、磁帶...)、光學碟(例如,光碟片(CD)、多樣化數位光碟(DVD)...)、智慧卡及快閃記憶體裝置(例如,卡、棒、隨身碟...)。此外,應理解,一載波可以被用於承載電腦可讀電子資料,例如用於傳送及接收電子郵件或存取一網路,例如該網際網路或區域網路(loca area network,LAN)。當然,熟習此項技術者將會認識到可以在不背離被主張標的物之範圍或精神的情況下,對此組態進行許多修改。
已經依據演算法及/或對電腦記憶體內之資料位元操作的象徵性表示介紹了該詳盡說明書之一部分。此等演算法說明及/或表示係被熟習此項技術者所採用之方式,以用於更有效地向其他同樣熟習此項技術者傳送其工作之實質。在本文中,演算法一般被認為是一系列自我一致的操作,其將導致一期望結果。該等操作係需要物理量之實體操作的操作。通常,儘管並非一定如此,但此等物理量採用電及/或磁訊號之形式,能夠被儲存、傳遞、合併、對比及/或進行其他操作。
已經證明,在某些情況下,主要是出於公共應用之原因,將此等訊號稱為位元、值、元素、符號、字元、術語(terms)、數字或類似術語是非常方便的。但是應當記住,所有此等及類似術語應關聯適當之物理量,它們只是應用於此等物理量之便利標記。除非特別指出,否則從上述討論中可以看出,應當理解,在整個被揭示標的物內,利用諸如處理、計算、判斷及/或顯示等詞語所做之討論是指電腦系統及/或類似消費者及/或工業電子裝置及/或機器之操作及處理,其管理資料(該等資料被表示為該電腦及/或機器之暫存器及記憶體中的物理(電氣及/或電子)量),及/或將該等資料轉換為其他資料(該等資料被類似地表示為在該機器及/或電腦系統記憶體或暫存器或其他此等資訊儲存、傳輸及/或顯示裝置中之物理量)。
現在參考第11圖,其說明一可操作執行被揭示惡意軟體偵測系統之電腦的方塊圖。為了提供其各個態樣之附加上下文,第11圖及以下討論希望提供一適當計算環境1100之簡要、整體說明,在該計算環境內,可以實施被主張標的物之各個態樣。儘管上述說明係電腦可執行指令(其可以執行於一或多個電腦)之一般環境,但熟習此項技術者將會認識到被主張標的物也可以被結合其他程式模組及/或硬體及軟體之組合實施。
一般來說,程式模組包括常式、程式、組件、資料結構,等等,其執行特定任務或實施特定抽象資料類型。此外,熟習此項技術者應當理解,本發明性方法可以用其他 電腦系統組態來實踐,包括單一處理器及多處理器電腦系統、微電腦、主機電腦以及個人電腦、手持式計算裝置、微處理器式或可程式消費電子裝置及類似裝置,其中每一者可以被操作性地耦接至一或多個相關裝置。
被主張標的物之所示態樣也可以被實施於分散式計算環境,其中藉由經一通信網路連結之遠端處理裝置來執行特定任務。在一分散式計算環境中,程式模組可位於本機及遠端記憶體儲存裝置中。
一電腦通常包括各種電腦可讀媒體。電腦可讀媒體可以是任意可用媒體,其可由電腦存取,且包括揮發性及/或非揮發性媒體、可抽換及不可抽換媒體。以實例之方式而非限制方式說明之,電腦可讀媒體可包括電腦儲存媒體及通信媒體。電腦儲存媒體包含揮發性和非揮發性、可抽換式和不可抽換式媒體,其實現於任意方法或技術中,用於儲存諸如電腦可讀指令、資料結構、程式模型或其他資料之資訊。電腦儲存媒體包含但不限於隨機存取記憶體、唯讀記憶體、電可抹除可程式化唯讀記憶體、快閃記憶體或其他記憶體技術、CD-ROM、數位視訊光碟(DVD)或其他光學儲存、磁卡、磁片儲存或其他磁儲存裝置,或者可用於儲存所期望資訊及可由一電腦存取之任意其他媒體。
再次參考第11圖,用於實施各種態樣之示範性環境1100包括一電腦1102,該電腦1102包括一處理單元1104、一系統記憶體1106及一系統匯流排1108。該系統 匯流排1108將系統組件(包括但不限於系統記憶體1106)耦接至處理單元1104。該處理單元1104可以是各種商業可用處理器之任一者。雙微處理器及其他多處理器架構也可以被用作處理單元1104。
系統匯流排1108可係若干匯流排結構類型之任一結構,該結構更使用各種商業可用匯流排架構之任一者互連至一記憶體匯流排(具有或不具有一記憶體控制器)、一周邊匯流排及一本機匯流排。系統記憶體1106包括唯讀記憶體(ROM)1110及隨機存取記憶體(RAM)1112。一基本輸入/輸出系統(BIOS)被儲存於一非揮發性記憶體1110,例如ROM、EPROM、EEPROM,該BIOS包含基本常式,用於例如在啟動期間,幫助在該電腦1102內之元件間傳送資訊,。RAM 1112也可以包括一高速RAM,例如一靜態RAM,用於快取資料。
該電腦1102更包括一內部硬碟機(hard disk drive,HDD)1114(例如,EIDE、SATA),此內部硬碟機1114也可以被配置用於一適當底盤(未示出)之外部;一磁軟碟機(floppy disk drive,,FDD)1116(例如,讀取或寫入一可抽換碟片1118)及一光碟機1120(例如,讀取一光碟片1122或者讀取或寫入其他高容易光學媒體,例如DVD)。該硬碟機1114、磁碟機1116及光碟機1120被各別藉由硬碟機介面1124、磁碟機介面1126及光碟機介面1128連接至該系統匯流排1108。用於外部驅動器實施之介面1124包括通用串列匯流排(USB)及IEEE 1394介面技術中之 至少一者或兩者。其他外部驅動器連接技術也包含於被主張標的物之內。
該等驅動器及其相關電腦可讀媒體提供資料、資料結構、電腦可執行指令等之非揮發性儲存。對於電腦1102,該等驅動器及媒體適於以一合適數位格式儲存任何資料。儘管以上電腦可讀媒體之描述引用一HDD、一可抽換磁碟、及一可抽換光學媒體,例如一CD或DVD,但熟習此項技術者應當理解,其他可由一電腦讀取之媒體類型(例如,zip驅動器、磁碟、快閃記憶體卡、卡匣及類似媒體)也被用於示範性操作環境中,此外,任意此等媒體可包括電腦可執行指令,用於執行被揭示及被主張標的物之方法。
許多程式模組可以被儲存於驅動器及RAM 1112,包括一作業系統1130,一或多個應用程式1132、其他程式模組1134及程式資料1136。全部或部分作業系統、應用程式、模組及/或資料也可被快取於RAM 1112中。應當理解,可以使用各種商業可用作業系統或作業系統之組合來實施被主張標的物。
一使用者可經由一或多個有線/無線輸入裝置(例如鍵盤1138)及一指標裝置(例如一滑鼠1140)向該電腦1102內輸入命令及資訊。其他輸入裝置(未示出)可包括麥克風、IR遠端控制、遊戲操縱桿、遊戲台、手寫筆、觸控式螢幕,或類似裝置。此等及其他輸入裝置經常被經由連接至系統匯流排1108之輸入裝置介面1142連接至處理單元1104,但也可以被其他介面連接,例如一平行埠、一IEEE 1394串列埠、一遊戲埠、一USB埠、一IR介面,等等。
監視器1144或其他類型之顯示裝置也可被經由一介面(例如,一視訊配接器1146)連接至該系統匯流排1108。除了監視器1144之外,一電腦通常包括其他周邊輸入裝置(未示出),例如一揚聲器、印表機,等等。
電腦1102可以經由有線及/或無線通信之邏輯連接工作於網路環境中,該等邏輯連接被連接至一或多個遠端電腦,例如遠端電腦1148。該(等)遠端電腦1148可以是一工作站、一伺服器電腦、一路由器、一個人電腦、攜帶型電腦、微處理器式娛樂裝置、點對點裝置或其他公共網路節點,且通常包括許多或全部上文結合電腦1102所描述之元件,儘管為了簡化,只示出了一個記憶體/儲存裝置1150。所描述之邏輯連接包括到一區域網路(LAN)1152及/或更大網路(例如,一廣域網路(WAN)1154)之有線/無線連接性。此等LAN及WAN網路環境在辦公室及公司內很常見,且促進企業範圍內之電腦網路,例如企業內部網路,所有這些都可以連接至一全球通信網路,例如網際網路。
當被用於一區域網路聯網環境中時,電腦1102被經由一有線及/或無線通信網路介面或配接器1156連接至區域網路1152。該配接器1156可促進有線或無線通信至LAN 1152,其可以包括佈置於其中之無線接取點,用於與無線配接器1156進行通信。
當用於一WAN網路環境中內,電腦1102可以包括一 數據機1158,或者被連接至該WAN 1154上之一通信伺服器,或者具有其他用於經由WAN 1154建立通信之構件,例如,藉由網際網絡之形式。該數據機1158(可以是內部或外部的,可是以有線或無線裝置)被經由該串列埠介面1142連接至系統匯流排1108。在該網路環境中,針對該電腦1102所描述之程式模組或者其一部分可以被儲存於一遠端記憶體儲存裝置1150中。應瞭解,所示網路連接為示範性,其他用於在該等電腦之間建立通信鏈路之構件也可以被使用。
電腦1102可用於與任意無線裝置或無線通信中所涉及之實體進行通信,例如,印表機、掃描器、桌上型及/或攜帶型電腦、攜帶型資料助理、通信衛星、任意與一無線可偵測標記相關聯之設備或位置(例如,資訊亭、報攤、休息室)及電話。其包括至少Wi-Fi及BluetoothTM 無線技術。因此,該通信可以是一種預先定義之結構,例如一習知網路,或者只是至少兩個裝置之間的專用通信。
Wi-Fi或Wireless Fidelity允許從家中的睡椅上、賓館的床上或者工作中的會議室中以無線方式連接到網際網路。Wi-Fi是一種無線技術,其類似於行動電話中所使用的技術,使此等裝置(例如電腦)能夠在一基地台範圍之內的任意室內外位置發送及接收資料。Wi-Fi網路可以例如使用被稱為IEEE 802.11x(a、b、g,等等)之無線電技術,以提供安全、可靠、快速無線連接。其他可被採用之無線電技術包括藍芽、無線電射頻及類似技術。Wi-Fi網 路可被用於使電腦相互連接、連接到網際網路,及連接到有線網路(其使用IEEE 802.3或乙太網路)。
Wi-Fi網路可以工作於無須授權之2.4及5 GHz無線電頻帶。IEEE 802.11一般適用於無線LAN,且在2.4 GHz頻帶中提供1或2 Mbps傳輸,或者採用跳頻擴展頻譜(frequency hopping spread spectrum,FHSS)或者直接序列擴展頻譜(direct sequence spread spectrum,DSSS)。IEEE 802.11a是IEEE 802.11之一擴展,其應用於無線LAN,且在5GHz頻帶中提供高達54Mpbs傳輸。IEEE 802.11a使用正交分頻多工(orthogonal frequency division multiplexing,OFDM)編碼機制,而不是FHSS或DSSS。IEEE 802.11b(也稱為802.11高速DSSS或Wi-Fi)係802.11之擴展,其應用於無線LAN,且在2.4 GHz頻帶中提供11Mbps傳輸(可以降低到5.5、2及1 Mbps)。IEEE 802.11g應用於無線LAN,且在2.4GHz頻帶中提供高於20Mbps之傳輸。產品可以包括多於一個頻帶(例如,雙頻帶),所以該等網路可以提供實際效能,其類似於在許多辦公室所使用之基本10BaseT或100BaseT有線乙太網路。
參考第12圖,其說明根據另一態樣之一示範計算環境1200的示意方塊圖,用於處理該惡意軟體偵測偵測架構。該系統1200包括一或多個用戶端1202。該(等)用戶端1202可以是硬體及/或軟體(例如,執行緒、程序、計算裝置)。該(等)用戶端1202可以容納網路餅乾及/或相關上下文資訊,例如,藉由採用被主張標的物。
該系統1200也包括一或多個伺服器1204。該(等)伺服器1204也可以是硬體及/或軟體(例如,執行緒、程序、計算裝置)。該等伺服器1204可以容納執行緒,以藉由例如採用被主張之標的物來執行傳輸。一用戶端1202及一伺服器1204之間的可能通信可以採用一資料封包之方式,該資料封包被調整用於在兩或多個電腦執行緒之間傳輸。該資料封包可以包括例如一網路餅乾及/或相關上下文資訊。該系統1200包括一通信框架1206(例如,諸如網際網路之全球通信網路),其被用於促進在用戶端1202及伺服器1204之間的通信。
可以經由一有線(包括光纖)及/或無線技術促進通信。該(等)用戶端1202可以被可操作性地連接到一或多個用戶端資料儲存1208,其可以被用於將資訊本機儲存於該(等)用戶端1202(例如,網路餅乾及/或相關上下文資訊)。類似的,該(等)伺服器1204可以被操作性地連接至一或多個伺服器資料儲存1210,其可被用於將資訊本機儲存於該伺服器1204上。
上文已經描述之內容包括所揭示及被主張標的物之實例。當然,不可能描述組件及/或方法的所有可能組合,但本領域之一般技術者可以認識到許多其他組合及變換都是可能的。相應地,所主張之發明意欲包括所有屬於隨附申請專利範圍之更改、修改及變體。此外,當用於實施方式或申請專利範圍部分時,“包含”一詞希望是包含性的,其方式類似於在申請專利範圍部分將“包括”一詞用作過 渡性辭彙的含義。
100‧‧‧惡意軟體偵測系統
110‧‧‧處理器
120‧‧‧通信媒體
130‧‧‧偵測組件
200‧‧‧偵測組件130之一更詳盡描述
210‧‧‧介面
220‧‧‧分析組件
230‧‧‧通知組件
240‧‧‧儲存裝置
300‧‧‧偵測組件220之一更詳盡描述
310‧‧‧列清單組件
320‧‧‧清除組件
330‧‧‧優先順序組件
340‧‧‧資料源
400‧‧‧採用智慧來促進惡意軟體偵測之系統
410‧‧‧智慧組件
1100‧‧‧計算環境
1102‧‧‧電腦
1104‧‧‧處理單元
1106‧‧‧系統記憶體
1108‧‧‧系統匯流排
1110‧‧‧唯讀記憶體
1112‧‧‧隨機存取記憶體
1114‧‧‧硬碟機
1116‧‧‧磁軟碟機
1118‧‧‧可抽換碟片
1120‧‧‧光碟機
1122‧‧‧光碟片
1124‧‧‧介面
1126‧‧‧磁碟機介面
1128‧‧‧光碟機介面
1130‧‧‧作業系統
1132‧‧‧應用程式
1134‧‧‧程式模組
1136‧‧‧程式資料
1138‧‧‧鍵盤
1140‧‧‧滑鼠
1142‧‧‧輸入裝置介面
1144‧‧‧監視器
1146‧‧‧視訊配接器
1148‧‧‧遠端電腦
1150‧‧‧記憶體/儲存裝置
1152‧‧‧區域網路
1154‧‧‧廣域網路
1156‧‧‧有線及/或無線通信網路介面或配接器
1200‧‧‧示範計算環境
1202‧‧‧用戶端
1204‧‧‧伺服器
1206‧‧‧通信框架
1208‧‧‧用戶端資料儲存
1210‧‧‧伺服器資料儲存
第1圖說明一根據被主張標的物之惡意軟體偵測系統。
第2圖更詳盡地描述根據被主張標的物一態樣之一偵測組件。
第3圖提供根據被揭示標的物之分析組件之一更詳盡說明。
第4圖說明一根據被揭示標的物態樣之系統,其採用智慧以促進惡意軟體之偵測。
第5圖提供根據被主張標的物之一態樣的應用程式及/或被指派給應用程式及程序之記憶體空間的說明性視圖。
第6圖說明根據被主張標的物之一態樣之方法的流程圖,該方法偵測在一機器上執行之惡意軟體。
第7圖說明根據被主張標的物之一態樣之另一方法,用於偵測在一機器上執行之惡意軟體。
第8圖說明根據被主張標的物之另一態樣之另一方法,用於偵測在一機器上執行之惡意軟體。
第9圖說明根據被主張標的物之一態樣之再一方法,用於偵測在一機器上執行之惡意軟體。
第10圖說明根據被主張標的物之另一態樣之一方法,用於偵測在一機器上執行之惡意軟體。
第11圖說明一電腦之方塊圖,該電腦能夠執行該間諜 軟體偵測架構。
第12圖說明根據另一態樣之一示範計算環境的示意方塊圖,用於處理該間諜偵測架構。
100‧‧‧惡意軟體偵測系統
110‧‧‧處理器
120‧‧‧通信媒體
130‧‧‧偵測組件

Claims (19)

  1. 一種實施於一機器上之系統,用於發現在該機器上所安裝之間諜軟體,該系統包括:一處理器;以及一偵測組件,經配置以藉由該處理器操作以:產生所有被負載模組之一清單,從該所有被負載模組清單中識別一模組集,該模組集中之每一模組係由多於一臨限數目之程序所負載,該臨限數目係藉由一操作者所供應或藉由一人工智慧組件所決定,從該模組集中清除包含於一驗證清單中之模組,以產生一結果清單,至少部分與從外部來源所接收之量測結合之該結果清單係用以排定一可疑間諜軟體取樣清單之優先順序,且將該經排定順序之結果清單發送到分析人員工作站。
  2. 如申請專利範圍第1項所述之系統,其中該程序之臨限數目係大於或等於1之整數。
  3. 如申請專利範圍第1項所述之系統,其中該驗證清單係藉由一第三方經驗證應用程式軟體開發人員產生。
  4. 如申請專利範圍第1項所述之系統,其中該驗證清單包 括由一應用程式軟體供應商所產生之經驗證簽章檔案,或者由一使用者所信任之未驗證可信任第三方產生的簽章檔案。
  5. 如申請專利範圍第1項所述之系統,其中該偵測組件更包括一智慧組件,該智慧組件至少基於該結果清單及先前保存之結果清單產生修正簽章。
  6. 如申請專利範圍第1項所述之系統,其中該經排定優先順序之結果清單包括與一顏色編碼相關之模組,該顏色編碼表示由該偵測組件所確定之嚴重程度。
  7. 如申請專利範圍第1項所述之系統,其中該經排定順序之結果清單包括模組,該等模組係關聯由該偵測組件確定之嚴重性標記、基於聲譽之標記或者與評級而非與一風險位準相關之標記。
  8. 如申請專利範圍第1項所述之系統,其中該等模組中至少一者係關聯於接受事件資訊之程序。
  9. 如申請專利範圍第8項所述之系統,其中該事件資訊包括一按鍵事件、一N次按滑鼠事件(其中N係大於零之整數)、按一下滑鼠右鍵事件或者按一下滑鼠左鍵事件。
  10. 一種由機器實施之方法,以揭示被秘密隱藏於該機器上的惡意軟體,該方法包括以下步驟:具現一程序,該程序模仿一應用程式之一基本複本;監視在該基本複本被啟動時所啟動之程序的一清單,該監視步驟包括計算使用資源超過一第一臨限值之程序之步驟,該第一臨限值係藉由一操作者供應或藉由一人工智慧組件決定;清除符合與一驗證清單相關聯之簽章檔案之程序,以產生一有序結果模組清單,至少部分與從外部來源所接收之量測結合之該有序結果清單係用以排定一接受到的可疑間諜軟體取樣清單之優先順序;以及將該可疑間諜軟體清單發佈至一分析人員工作站。
  11. 如申請專利範圍第10項所述之方法,其中該監視步驟包括將與該基本複本相關聯之一已知數目程序與當啟動該基本複本時所產生之一實際數目程序作對比之步驟。
  12. 如申請專利範圍第11項所述之方法,其中該已知數目程序與該實際數目程序之差係表示一寄生程序。
  13. 如申請專利範圍第10項所述之方法,其中該第一臨限值大於或等於1。
  14. 如申請專利範圍第10項所述之方法,其中該監視步驟 更包括以下步驟:追蹤事件發生之一次數,且在事件發生之該次數超出一第二臨限值時減少該監視步驟。
  15. 如申請專利範圍第14項所述之方法,其中該等事件發生包括按鍵、按一下滑鼠、視窗打開、視窗關閉、視窗定位或視窗捲動。
  16. 如申請專利範圍第14項所述之方法,其中該第二臨限值大於或等於1。
  17. 如申請專利範圍第10項所述之方法,其中該可疑間諜軟體清單係基於一感知到之嚴重性而顏色編碼。
  18. 如申請專利範圍第10項所述之方法,更包括利用人工智慧來產生一或多個輔助篩選用的簽章檔案(curative signature files)之步驟。
  19. 一種包含複數個可執行指令之電腦儲存裝置,該等複數個可執行指令儲存於該儲存裝置上,並經配置以程式化一計算裝置以實行以下操作:維護一程序清單藉由該清單上之程序中之一些,監視該系統上資源佔用;從該程序清單中清除一段時間沒有佔用資源之一程 序,該段時間之資源佔用係指示惡意活動;以及將該清單分佈至用於進一步分析之構件。
TW097105062A 2007-02-28 2008-02-13 用於間碟軟體偵測機制之系統、方法與電腦儲存裝置 TWI463405B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US11/680,136 US9021590B2 (en) 2007-02-28 2007-02-28 Spyware detection mechanism

Publications (2)

Publication Number Publication Date
TW200842716A TW200842716A (en) 2008-11-01
TWI463405B true TWI463405B (zh) 2014-12-01

Family

ID=39717490

Family Applications (1)

Application Number Title Priority Date Filing Date
TW097105062A TWI463405B (zh) 2007-02-28 2008-02-13 用於間碟軟體偵測機制之系統、方法與電腦儲存裝置

Country Status (3)

Country Link
US (1) US9021590B2 (zh)
TW (1) TWI463405B (zh)
WO (1) WO2008106296A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI802040B (zh) * 2021-10-08 2023-05-11 精品科技股份有限公司 基於檔案屬性特徵之應用程式控管方法

Families Citing this family (211)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8171553B2 (en) 2004-04-01 2012-05-01 Fireeye, Inc. Heuristic based capture with replay to virtual machine
US8566946B1 (en) 2006-04-20 2013-10-22 Fireeye, Inc. Malware containment on connection
US9106694B2 (en) 2004-04-01 2015-08-11 Fireeye, Inc. Electronic message analysis for malware detection
US7587537B1 (en) 2007-11-30 2009-09-08 Altera Corporation Serializer-deserializer circuits formed from input-output circuit registers
US8793787B2 (en) 2004-04-01 2014-07-29 Fireeye, Inc. Detecting malicious network content using virtual environment components
US8584239B2 (en) 2004-04-01 2013-11-12 Fireeye, Inc. Virtual machine with dynamic data flow analysis
US8528086B1 (en) 2004-04-01 2013-09-03 Fireeye, Inc. System and method of detecting computer worms
US8549638B2 (en) 2004-06-14 2013-10-01 Fireeye, Inc. System and method of containing computer worms
US8881282B1 (en) 2004-04-01 2014-11-04 Fireeye, Inc. Systems and methods for malware attack detection and identification
US8898788B1 (en) 2004-04-01 2014-11-25 Fireeye, Inc. Systems and methods for malware attack prevention
US8009566B2 (en) 2006-06-26 2011-08-30 Palo Alto Networks, Inc. Packet classification in a network security device
US8549624B2 (en) * 2008-04-14 2013-10-01 Mcafee, Inc. Probabilistic shellcode detection
US8775333B1 (en) * 2008-08-20 2014-07-08 Symantec Corporation Systems and methods for generating a threat classifier to determine a malicious process
US8108933B2 (en) 2008-10-21 2012-01-31 Lookout, Inc. System and method for attack and malware prevention
US8087067B2 (en) 2008-10-21 2011-12-27 Lookout, Inc. Secure mobile platform system
US8347386B2 (en) 2008-10-21 2013-01-01 Lookout, Inc. System and method for server-coupled malware prevention
US9043919B2 (en) 2008-10-21 2015-05-26 Lookout, Inc. Crawling multiple markets and correlating
US8984628B2 (en) 2008-10-21 2015-03-17 Lookout, Inc. System and method for adverse mobile application identification
US9781148B2 (en) 2008-10-21 2017-10-03 Lookout, Inc. Methods and systems for sharing risk responses between collections of mobile communications devices
US9367680B2 (en) * 2008-10-21 2016-06-14 Lookout, Inc. System and method for mobile communication device application advisement
US9235704B2 (en) 2008-10-21 2016-01-12 Lookout, Inc. System and method for a scanning API
US8099472B2 (en) 2008-10-21 2012-01-17 Lookout, Inc. System and method for a mobile cross-platform software system
US8051480B2 (en) 2008-10-21 2011-11-01 Lookout, Inc. System and method for monitoring and analyzing multiple interfaces and multiple protocols
US8060936B2 (en) 2008-10-21 2011-11-15 Lookout, Inc. Security status and information display system
US8533844B2 (en) 2008-10-21 2013-09-10 Lookout, Inc. System and method for security data collection and analysis
US8997219B2 (en) 2008-11-03 2015-03-31 Fireeye, Inc. Systems and methods for detecting malicious PDF network content
US8850571B2 (en) * 2008-11-03 2014-09-30 Fireeye, Inc. Systems and methods for detecting malicious network content
US8484739B1 (en) * 2008-12-15 2013-07-09 Symantec Corporation Techniques for securely performing reputation based analysis using virtualization
US9955352B2 (en) 2009-02-17 2018-04-24 Lookout, Inc. Methods and systems for addressing mobile communications devices that are lost or stolen but not yet reported as such
US8467768B2 (en) 2009-02-17 2013-06-18 Lookout, Inc. System and method for remotely securing or recovering a mobile device
US8538815B2 (en) 2009-02-17 2013-09-17 Lookout, Inc. System and method for mobile device replacement
US9042876B2 (en) 2009-02-17 2015-05-26 Lookout, Inc. System and method for uploading location information based on device movement
US8855601B2 (en) 2009-02-17 2014-10-07 Lookout, Inc. System and method for remotely-initiated audio communication
US8763127B2 (en) 2009-03-13 2014-06-24 Rutgers, The State University Of New Jersey Systems and method for malware detection
US8627305B1 (en) * 2009-03-24 2014-01-07 Mcafee, Inc. System, method, and computer program product for hooking code inserted into an address space of a new process
US8621626B2 (en) * 2009-05-01 2013-12-31 Mcafee, Inc. Detection of code execution exploits
TWI396994B (zh) * 2009-05-05 2013-05-21 Phison Electronics Corp 防電腦病毒擴散的控制器及其儲存系統與方法
TWI396995B (zh) * 2009-07-23 2013-05-21 Inst Information Industry 惡意軟體清除方法、系統及電腦程式產品與儲存媒體
US20110035802A1 (en) * 2009-08-07 2011-02-10 Microsoft Corporation Representing virtual object priority based on relationships
US8832829B2 (en) 2009-09-30 2014-09-09 Fireeye, Inc. Network-based binary file extraction and analysis for malware detection
US8397301B2 (en) 2009-11-18 2013-03-12 Lookout, Inc. System and method for identifying and assessing vulnerabilities on a mobile communication device
US8955131B2 (en) * 2010-01-27 2015-02-10 Mcafee Inc. Method and system for proactive detection of malicious shared libraries via a remote reputation system
US8819826B2 (en) 2010-01-27 2014-08-26 Mcafee, Inc. Method and system for detection of malware that connect to network destinations through cloud scanning and web reputation
US8719942B2 (en) * 2010-02-11 2014-05-06 Microsoft Corporation System and method for prioritizing computers based on anti-malware events
KR101122650B1 (ko) * 2010-04-28 2012-03-09 한국전자통신연구원 정상 프로세스에 위장 삽입된 악성코드 탐지 장치, 시스템 및 방법
EP2400387B1 (de) 2010-06-25 2013-03-13 AVG Netherlands B.V. Verfahren zur Performanceverbesserung von Computern
US9536089B2 (en) 2010-09-02 2017-01-03 Mcafee, Inc. Atomic detection and repair of kernel memory
US9047441B2 (en) 2011-05-24 2015-06-02 Palo Alto Networks, Inc. Malware analysis system
US8695096B1 (en) 2011-05-24 2014-04-08 Palo Alto Networks, Inc. Automatic signature generation for malicious PDF files
US8738765B2 (en) 2011-06-14 2014-05-27 Lookout, Inc. Mobile device DNS optimization
US8788881B2 (en) 2011-08-17 2014-07-22 Lookout, Inc. System and method for mobile device push communications
US8584235B2 (en) 2011-11-02 2013-11-12 Bitdefender IPR Management Ltd. Fuzzy whitelisting anti-malware systems and methods
US9589129B2 (en) 2012-06-05 2017-03-07 Lookout, Inc. Determining source of side-loaded software
US9407443B2 (en) 2012-06-05 2016-08-02 Lookout, Inc. Component analysis of software applications on computing devices
GB2517094B (en) * 2012-07-24 2020-07-15 Hewlett Packard Development Co Receiving an update module by accessing a network site
US9392003B2 (en) 2012-08-23 2016-07-12 Raytheon Foreground Security, Inc. Internet security cyber threat reporting system and method
TWI475483B (zh) * 2012-10-19 2015-03-01 Taibotics Co Ltd 自動裝置的程式開發方法
US8655307B1 (en) 2012-10-26 2014-02-18 Lookout, Inc. System and method for developing, updating, and using user device behavioral context models to modify user, device, and application state, settings and behavior for enhanced user security
US20140137247A1 (en) * 2012-11-09 2014-05-15 International Business Machines Corporation Limiting Information Leakage and Piracy due to Virtual Machine Cloning
US9208215B2 (en) 2012-12-27 2015-12-08 Lookout, Inc. User classification based on data gathered from a computing device
US9374369B2 (en) 2012-12-28 2016-06-21 Lookout, Inc. Multi-factor authentication and comprehensive login system for client-server networks
US10572665B2 (en) 2012-12-28 2020-02-25 Fireeye, Inc. System and method to create a number of breakpoints in a virtual machine via virtual machine trapping events
US8855599B2 (en) 2012-12-31 2014-10-07 Lookout, Inc. Method and apparatus for auxiliary communications with mobile communications device
US9424409B2 (en) 2013-01-10 2016-08-23 Lookout, Inc. Method and system for protecting privacy and enhancing security on an electronic device
US9165142B1 (en) * 2013-01-30 2015-10-20 Palo Alto Networks, Inc. Malware family identification using profile signatures
US9009823B1 (en) 2013-02-23 2015-04-14 Fireeye, Inc. Framework for efficient security coverage of mobile software applications installed on mobile devices
US9195829B1 (en) 2013-02-23 2015-11-24 Fireeye, Inc. User interface with real-time visual playback along with synchronous textual analysis log display and event/time index for anomalous behavior detection in applications
US9176843B1 (en) 2013-02-23 2015-11-03 Fireeye, Inc. Framework for efficient security coverage of mobile software applications
US9367681B1 (en) 2013-02-23 2016-06-14 Fireeye, Inc. Framework for efficient security coverage of mobile software applications using symbolic execution to reach regions of interest within an application
US8990944B1 (en) 2013-02-23 2015-03-24 Fireeye, Inc. Systems and methods for automatically detecting backdoors
US9626509B1 (en) 2013-03-13 2017-04-18 Fireeye, Inc. Malicious content analysis with multi-version application support within single operating environment
US9104867B1 (en) 2013-03-13 2015-08-11 Fireeye, Inc. Malicious content analysis using simulated user interaction without user involvement
US9355247B1 (en) 2013-03-13 2016-05-31 Fireeye, Inc. File extraction from memory dump for malicious content analysis
US9311479B1 (en) 2013-03-14 2016-04-12 Fireeye, Inc. Correlation and consolidation of analytic data for holistic view of a malware attack
US9430646B1 (en) 2013-03-14 2016-08-30 Fireeye, Inc. Distributed systems and methods for automatically detecting unknown bots and botnets
US9413781B2 (en) 2013-03-15 2016-08-09 Fireeye, Inc. System and method employing structured intelligence to verify and contain threats at endpoints
US10713358B2 (en) 2013-03-15 2020-07-14 Fireeye, Inc. System and method to extract and utilize disassembly features to classify software intent
US9495180B2 (en) 2013-05-10 2016-11-15 Fireeye, Inc. Optimized resource allocation for virtual machines within a malware content detection system
US9635039B1 (en) 2013-05-13 2017-04-25 Fireeye, Inc. Classifying sets of malicious indicators for detecting command and control communications associated with malware
US10133863B2 (en) 2013-06-24 2018-11-20 Fireeye, Inc. Zero-day discovery system
US9491193B2 (en) * 2013-06-27 2016-11-08 Secureage Technology, Inc. System and method for antivirus protection
US9300686B2 (en) 2013-06-28 2016-03-29 Fireeye, Inc. System and method for detecting malicious links in electronic messages
US9294501B2 (en) 2013-09-30 2016-03-22 Fireeye, Inc. Fuzzy hash of behavioral results
US9736179B2 (en) 2013-09-30 2017-08-15 Fireeye, Inc. System, apparatus and method for using malware analysis results to drive adaptive instrumentation of virtual machines to improve exploit detection
US9171160B2 (en) 2013-09-30 2015-10-27 Fireeye, Inc. Dynamically adaptive framework and method for classifying malware using intelligent static, emulation, and dynamic analyses
US9628507B2 (en) 2013-09-30 2017-04-18 Fireeye, Inc. Advanced persistent threat (APT) detection center
US9690936B1 (en) 2013-09-30 2017-06-27 Fireeye, Inc. Multistage system and method for analyzing obfuscated content for malware
US10515214B1 (en) 2013-09-30 2019-12-24 Fireeye, Inc. System and method for classifying malware within content created during analysis of a specimen
US9642008B2 (en) 2013-10-25 2017-05-02 Lookout, Inc. System and method for creating and assigning a policy for a mobile communications device based on personal data
US9921978B1 (en) 2013-11-08 2018-03-20 Fireeye, Inc. System and method for enhanced security of storage devices
US10122747B2 (en) 2013-12-06 2018-11-06 Lookout, Inc. Response generation after distributed monitoring and evaluation of multiple devices
US9753796B2 (en) 2013-12-06 2017-09-05 Lookout, Inc. Distributed monitoring, evaluation, and response for multiple devices
US9756074B2 (en) 2013-12-26 2017-09-05 Fireeye, Inc. System and method for IPS and VM-based detection of suspicious objects
US9747446B1 (en) 2013-12-26 2017-08-29 Fireeye, Inc. System and method for run-time object classification
US9292686B2 (en) 2014-01-16 2016-03-22 Fireeye, Inc. Micro-virtualization architecture for threat-aware microvisor deployment in a node of a network environment
US9262635B2 (en) 2014-02-05 2016-02-16 Fireeye, Inc. Detection efficacy of virtual machine-based analysis with application specific events
US9241010B1 (en) 2014-03-20 2016-01-19 Fireeye, Inc. System and method for network behavior detection
US10242185B1 (en) 2014-03-21 2019-03-26 Fireeye, Inc. Dynamic guest image creation and rollback
US9591015B1 (en) 2014-03-28 2017-03-07 Fireeye, Inc. System and method for offloading packet processing and static analysis operations
US9432389B1 (en) 2014-03-31 2016-08-30 Fireeye, Inc. System, apparatus and method for detecting a malicious attack based on static analysis of a multi-flow object
US9223972B1 (en) 2014-03-31 2015-12-29 Fireeye, Inc. Dynamically remote tuning of a malware content detection system
US9438623B1 (en) 2014-06-06 2016-09-06 Fireeye, Inc. Computer exploit detection using heap spray pattern matching
US9973531B1 (en) 2014-06-06 2018-05-15 Fireeye, Inc. Shellcode detection
US9594912B1 (en) 2014-06-06 2017-03-14 Fireeye, Inc. Return-oriented programming detection
US10084813B2 (en) 2014-06-24 2018-09-25 Fireeye, Inc. Intrusion prevention and remedy system
US10805340B1 (en) 2014-06-26 2020-10-13 Fireeye, Inc. Infection vector and malware tracking with an interactive user display
US9398028B1 (en) 2014-06-26 2016-07-19 Fireeye, Inc. System, device and method for detecting a malicious attack based on communcations between remotely hosted virtual machines and malicious web servers
US10002252B2 (en) 2014-07-01 2018-06-19 Fireeye, Inc. Verification of trusted threat-aware microvisor
US10158664B2 (en) 2014-07-22 2018-12-18 Verisign, Inc. Malicious code detection
US9363280B1 (en) 2014-08-22 2016-06-07 Fireeye, Inc. System and method of detecting delivery of malware using cross-customer data
US10671726B1 (en) 2014-09-22 2020-06-02 Fireeye Inc. System and method for malware analysis using thread-level event monitoring
KR101711092B1 (ko) * 2014-09-25 2017-03-02 주식회사 안랩 실행파일 복원 장치 및 방법
US9773112B1 (en) 2014-09-29 2017-09-26 Fireeye, Inc. Exploit detection of malware and malware families
US10027689B1 (en) 2014-09-29 2018-07-17 Fireeye, Inc. Interactive infection visualization for improved exploit detection and signature generation for malware and malware families
US9690933B1 (en) 2014-12-22 2017-06-27 Fireeye, Inc. Framework for classifying an object as malicious with machine learning for deploying updated predictive models
US10075455B2 (en) 2014-12-26 2018-09-11 Fireeye, Inc. Zero-day rotating guest image profile
US9934376B1 (en) 2014-12-29 2018-04-03 Fireeye, Inc. Malware detection appliance architecture
US9838417B1 (en) 2014-12-30 2017-12-05 Fireeye, Inc. Intelligent context aware user interaction for malware detection
US9690606B1 (en) 2015-03-25 2017-06-27 Fireeye, Inc. Selective system call monitoring
US10148693B2 (en) 2015-03-25 2018-12-04 Fireeye, Inc. Exploit detection system
US9438613B1 (en) 2015-03-30 2016-09-06 Fireeye, Inc. Dynamic content activation for automated analysis of embedded objects
US9483644B1 (en) 2015-03-31 2016-11-01 Fireeye, Inc. Methods for detecting file altering malware in VM based analysis
US10075453B2 (en) * 2015-03-31 2018-09-11 Juniper Networks, Inc. Detecting suspicious files resident on a network
US10417031B2 (en) 2015-03-31 2019-09-17 Fireeye, Inc. Selective virtualization for security threat detection
US10474813B1 (en) 2015-03-31 2019-11-12 Fireeye, Inc. Code injection technique for remediation at an endpoint of a network
US9654485B1 (en) 2015-04-13 2017-05-16 Fireeye, Inc. Analytics-based security monitoring system and method
US9594904B1 (en) 2015-04-23 2017-03-14 Fireeye, Inc. Detecting malware based on reflection
US9996682B2 (en) 2015-04-24 2018-06-12 Microsoft Technology Licensing, Llc Detecting and preventing illicit use of device
AU2016258533B2 (en) 2015-05-01 2017-11-30 Lookout, Inc. Determining source of side-loaded software
US11113086B1 (en) 2015-06-30 2021-09-07 Fireeye, Inc. Virtual system and method for securing external network connectivity
US10642753B1 (en) 2015-06-30 2020-05-05 Fireeye, Inc. System and method for protecting a software component running in virtual machine using a virtualization layer
US10726127B1 (en) 2015-06-30 2020-07-28 Fireeye, Inc. System and method for protecting a software component running in a virtual machine through virtual interrupts by the virtualization layer
US10454950B1 (en) 2015-06-30 2019-10-22 Fireeye, Inc. Centralized aggregation technique for detecting lateral movement of stealthy cyber-attacks
US10715542B1 (en) 2015-08-14 2020-07-14 Fireeye, Inc. Mobile application risk analysis
US10176321B2 (en) 2015-09-22 2019-01-08 Fireeye, Inc. Leveraging behavior-based rules for malware family classification
US10033747B1 (en) 2015-09-29 2018-07-24 Fireeye, Inc. System and method for detecting interpreter-based exploit attacks
US9825976B1 (en) 2015-09-30 2017-11-21 Fireeye, Inc. Detection and classification of exploit kits
US10210329B1 (en) 2015-09-30 2019-02-19 Fireeye, Inc. Method to detect application execution hijacking using memory protection
US10817606B1 (en) 2015-09-30 2020-10-27 Fireeye, Inc. Detecting delayed activation malware using a run-time monitoring agent and time-dilation logic
US10706149B1 (en) 2015-09-30 2020-07-07 Fireeye, Inc. Detecting delayed activation malware using a primary controller and plural time controllers
US10601865B1 (en) 2015-09-30 2020-03-24 Fireeye, Inc. Detection of credential spearphishing attacks using email analysis
US9825989B1 (en) 2015-09-30 2017-11-21 Fireeye, Inc. Cyber attack early warning system
KR101689299B1 (ko) * 2015-10-19 2016-12-23 한국과학기술정보연구원 보안이벤트 자동 검증 방법 및 장치
US10284575B2 (en) 2015-11-10 2019-05-07 Fireeye, Inc. Launcher for setting analysis environment variations for malware detection
US10846117B1 (en) 2015-12-10 2020-11-24 Fireeye, Inc. Technique for establishing secure communication between host and guest processes of a virtualization architecture
US10447728B1 (en) 2015-12-10 2019-10-15 Fireeye, Inc. Technique for protecting guest processes using a layered virtualization architecture
US10108446B1 (en) 2015-12-11 2018-10-23 Fireeye, Inc. Late load technique for deploying a virtualization layer underneath a running operating system
US10565378B1 (en) 2015-12-30 2020-02-18 Fireeye, Inc. Exploit of privilege detection framework
US10621338B1 (en) 2015-12-30 2020-04-14 Fireeye, Inc. Method to detect forgery and exploits using last branch recording registers
US10133866B1 (en) 2015-12-30 2018-11-20 Fireeye, Inc. System and method for triggering analysis of an object for malware in response to modification of that object
US10050998B1 (en) 2015-12-30 2018-08-14 Fireeye, Inc. Malicious message analysis system
US9824216B1 (en) 2015-12-31 2017-11-21 Fireeye, Inc. Susceptible environment detection system
US10581874B1 (en) 2015-12-31 2020-03-03 Fireeye, Inc. Malware detection system with contextual analysis
US11552986B1 (en) 2015-12-31 2023-01-10 Fireeye Security Holdings Us Llc Cyber-security framework for application of virtual features
US10489581B2 (en) * 2016-03-08 2019-11-26 Palo Alto Networks, Inc. Cookies watermarking in malware analysis
US10547627B2 (en) 2016-03-08 2020-01-28 Palo Alto Networks, Inc. Malicious HTTP cookies detection and clustering
US10601863B1 (en) 2016-03-25 2020-03-24 Fireeye, Inc. System and method for managing sensor enrollment
US10785255B1 (en) 2016-03-25 2020-09-22 Fireeye, Inc. Cluster configuration within a scalable malware detection system
US10671721B1 (en) 2016-03-25 2020-06-02 Fireeye, Inc. Timeout management services
US10476906B1 (en) 2016-03-25 2019-11-12 Fireeye, Inc. System and method for managing formation and modification of a cluster within a malware detection system
US10826933B1 (en) 2016-03-31 2020-11-03 Fireeye, Inc. Technique for verifying exploit/malware at malware detection appliance through correlation with endpoints
US10893059B1 (en) 2016-03-31 2021-01-12 Fireeye, Inc. Verification and enhancement using detection systems located at the network periphery and endpoint devices
US10169585B1 (en) 2016-06-22 2019-01-01 Fireeye, Inc. System and methods for advanced malware detection through placement of transition events
US10462173B1 (en) 2016-06-30 2019-10-29 Fireeye, Inc. Malware detection verification and enhancement by coordinating endpoint and malware detection systems
EP3291501A1 (en) * 2016-08-31 2018-03-07 Siemens Aktiengesellschaft System and method for using a virtual honeypot in an industrial automation system and cloud connector
US10592678B1 (en) 2016-09-09 2020-03-17 Fireeye, Inc. Secure communications between peers using a verified virtual trusted platform module
US10491627B1 (en) 2016-09-29 2019-11-26 Fireeye, Inc. Advanced malware detection using similarity analysis
US10395033B2 (en) * 2016-09-30 2019-08-27 Intel Corporation System, apparatus and method for performing on-demand binary analysis for detecting code reuse attacks
US10795991B1 (en) 2016-11-08 2020-10-06 Fireeye, Inc. Enterprise search
US10587647B1 (en) 2016-11-22 2020-03-10 Fireeye, Inc. Technique for malware detection capability comparison of network security devices
US10581879B1 (en) 2016-12-22 2020-03-03 Fireeye, Inc. Enhanced malware detection for generated objects
US10552610B1 (en) 2016-12-22 2020-02-04 Fireeye, Inc. Adaptive virtual machine snapshot update framework for malware behavioral analysis
US10523609B1 (en) 2016-12-27 2019-12-31 Fireeye, Inc. Multi-vector malware detection and analysis
US10904286B1 (en) 2017-03-24 2021-01-26 Fireeye, Inc. Detection of phishing attacks using similarity analysis
US10848397B1 (en) 2017-03-30 2020-11-24 Fireeye, Inc. System and method for enforcing compliance with subscription requirements for cyber-attack detection service
US10791138B1 (en) 2017-03-30 2020-09-29 Fireeye, Inc. Subscription-based malware detection
US10798112B2 (en) 2017-03-30 2020-10-06 Fireeye, Inc. Attribute-controlled malware detection
US10902119B1 (en) * 2017-03-30 2021-01-26 Fireeye, Inc. Data extraction system for malware analysis
US10218697B2 (en) 2017-06-09 2019-02-26 Lookout, Inc. Use of device risk evaluation to manage access to services
US10855700B1 (en) 2017-06-29 2020-12-01 Fireeye, Inc. Post-intrusion detection of cyber-attacks during lateral movement within networks
US10503904B1 (en) 2017-06-29 2019-12-10 Fireeye, Inc. Ransomware detection and mitigation
US10601848B1 (en) 2017-06-29 2020-03-24 Fireeye, Inc. Cyber-security system and method for weak indicator detection and correlation to generate strong indicators
US10893068B1 (en) 2017-06-30 2021-01-12 Fireeye, Inc. Ransomware file modification prevention technique
US10747872B1 (en) 2017-09-27 2020-08-18 Fireeye, Inc. System and method for preventing malware evasion
US10805346B2 (en) 2017-10-01 2020-10-13 Fireeye, Inc. Phishing attack detection
US11108809B2 (en) 2017-10-27 2021-08-31 Fireeye, Inc. System and method for analyzing binary code for malware classification using artificial neural network techniques
US20190156024A1 (en) * 2017-11-20 2019-05-23 Somansa Co., Ltd. Method and apparatus for automatically classifying malignant code on basis of malignant behavior information
US11271955B2 (en) 2017-12-28 2022-03-08 Fireeye Security Holdings Us Llc Platform and method for retroactive reclassification employing a cybersecurity-based global data store
US11240275B1 (en) 2017-12-28 2022-02-01 Fireeye Security Holdings Us Llc Platform and method for performing cybersecurity analyses employing an intelligence hub with a modular architecture
US11005860B1 (en) 2017-12-28 2021-05-11 Fireeye, Inc. Method and system for efficient cybersecurity analysis of endpoint events
US11580219B2 (en) * 2018-01-25 2023-02-14 Mcafee, Llc System and method for malware signature generation
US11159538B2 (en) 2018-01-31 2021-10-26 Palo Alto Networks, Inc. Context for malware forensics and detection
US10764309B2 (en) 2018-01-31 2020-09-01 Palo Alto Networks, Inc. Context profiling for malware detection
US10826931B1 (en) 2018-03-29 2020-11-03 Fireeye, Inc. System and method for predicting and mitigating cybersecurity system misconfigurations
US10956477B1 (en) 2018-03-30 2021-03-23 Fireeye, Inc. System and method for detecting malicious scripts through natural language processing modeling
US11003773B1 (en) 2018-03-30 2021-05-11 Fireeye, Inc. System and method for automatically generating malware detection rule recommendations
US11558401B1 (en) 2018-03-30 2023-01-17 Fireeye Security Holdings Us Llc Multi-vector malware detection data sharing system for improved detection
US11314859B1 (en) 2018-06-27 2022-04-26 FireEye Security Holdings, Inc. Cyber-security system and method for detecting escalation of privileges within an access token
US11075930B1 (en) 2018-06-27 2021-07-27 Fireeye, Inc. System and method for detecting repetitive cybersecurity attacks constituting an email campaign
US11228491B1 (en) 2018-06-28 2022-01-18 Fireeye Security Holdings Us Llc System and method for distributed cluster configuration monitoring and management
US11316900B1 (en) 2018-06-29 2022-04-26 FireEye Security Holdings Inc. System and method for automatically prioritizing rules for cyber-threat detection and mitigation
US11182473B1 (en) 2018-09-13 2021-11-23 Fireeye Security Holdings Us Llc System and method for mitigating cyberattacks against processor operability by a guest process
US11763004B1 (en) 2018-09-27 2023-09-19 Fireeye Security Holdings Us Llc System and method for bootkit detection
US11368475B1 (en) 2018-12-21 2022-06-21 Fireeye Security Holdings Us Llc System and method for scanning remote services to locate stored objects with malware
US11258806B1 (en) 2019-06-24 2022-02-22 Mandiant, Inc. System and method for automatically associating cybersecurity intelligence to cyberthreat actors
US11556640B1 (en) 2019-06-27 2023-01-17 Mandiant, Inc. Systems and methods for automated cybersecurity analysis of extracted binary string sets
US11392700B1 (en) 2019-06-28 2022-07-19 Fireeye Security Holdings Us Llc System and method for supporting cross-platform data verification
TWI703467B (zh) * 2019-08-29 2020-09-01 國立成功大學 具有高互動組合工控誘捕系統及其方法
US11886585B1 (en) 2019-09-27 2024-01-30 Musarubra Us Llc System and method for identifying and mitigating cyberattacks through malicious position-independent code execution
US11637862B1 (en) 2019-09-30 2023-04-25 Mandiant, Inc. System and method for surfacing cyber-security threats with a self-learning recommendation engine
US11956212B2 (en) 2021-03-31 2024-04-09 Palo Alto Networks, Inc. IoT device application workload capture

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6061722A (en) * 1996-12-23 2000-05-09 T E Network, Inc. Assessing network performance without interference with normal network operations
TW200417216A (en) * 2002-11-18 2004-09-01 Advanced Risc Mach Ltd Control of access to a memory by a device
US20050021994A1 (en) * 2003-07-21 2005-01-27 Barton Christopher Andrew Pre-approval of computer files during a malware detection
US7010698B2 (en) * 2001-02-14 2006-03-07 Invicta Networks, Inc. Systems and methods for creating a code inspection system

Family Cites Families (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5936622A (en) * 1997-01-16 1999-08-10 International Business Machines Corporation Method and computer program product for displaying visual threshold setting indicators and threshold activation indicators
IL123512A0 (en) * 1998-03-02 1999-03-12 Security 7 Software Ltd Method and agent for the protection against hostile resource use access
US6886099B1 (en) * 2000-09-12 2005-04-26 Networks Associates Technology, Inc. Computer virus detection
US7647402B2 (en) * 2001-03-08 2010-01-12 International Business Machines Corporation Protecting contents of computer data files from suspected intruders by renaming and hiding data files subjected to intrusion
US7243373B2 (en) * 2001-07-25 2007-07-10 Mcafee, Inc. On-access malware scanning
US7487544B2 (en) * 2001-07-30 2009-02-03 The Trustees Of Columbia University In The City Of New York System and methods for detection of new malicious executables
US7107619B2 (en) * 2001-08-31 2006-09-12 International Business Machines Corporation System and method for the detection of and reaction to denial of service attacks
US7340777B1 (en) * 2003-03-31 2008-03-04 Symantec Corporation In memory heuristic system and method for detecting viruses
US7512977B2 (en) * 2003-06-11 2009-03-31 Symantec Corporation Intrustion protection system utilizing layers
GB2404382B (en) * 2003-07-28 2008-01-30 Oxitec Ltd Pest control
US20050229250A1 (en) * 2004-02-26 2005-10-13 Ring Sandra E Methodology, system, computer readable medium, and product providing a security software suite for handling operating system exploitations
US20050268112A1 (en) 2004-05-28 2005-12-01 Microsoft Corporation Managing spyware and unwanted software through auto-start extensibility points
US7627898B2 (en) * 2004-07-23 2009-12-01 Microsoft Corporation Method and system for detecting infection of an operating system
US7627758B1 (en) * 2004-08-13 2009-12-01 Juniper Networks, Inc. Method and system for performing a security check
US7441273B2 (en) * 2004-09-27 2008-10-21 Mcafee, Inc. Virus scanner system and method with integrated spyware detection capabilities
US7533131B2 (en) * 2004-10-01 2009-05-12 Webroot Software, Inc. System and method for pestware detection and removal
US20060101277A1 (en) * 2004-11-10 2006-05-11 Meenan Patrick A Detecting and remedying unauthorized computer programs
US7802301B1 (en) * 2004-12-10 2010-09-21 Trend Micro, Inc. Spyware scanning and cleaning methods and system
US20060156397A1 (en) * 2005-01-13 2006-07-13 Steven Dai A New Anti-spy method without using scan
US7676217B2 (en) * 2005-01-31 2010-03-09 Theta Networks, Inc. Method for malicious traffic recognition in IP networks with subscriber identification and notification
TW200634514A (en) * 2005-03-24 2006-10-01 Farstone Tech Inc Security detection system and methods regarding the same
TW200638236A (en) 2005-04-22 2006-11-01 Farstone Tech Inc Protection System and method of computer security
US8402012B1 (en) * 2005-11-14 2013-03-19 Nvidia Corporation System and method for determining risk of search engine results
US8839418B2 (en) * 2006-01-18 2014-09-16 Microsoft Corporation Finding phishing sites
US20070234424A1 (en) * 2006-03-31 2007-10-04 Lucent Technologies, Inc. Design and evaluation of a fast and robust worm detection algorithm
US20070244877A1 (en) * 2006-04-12 2007-10-18 Battelle Memorial Institute Tracking methods for computer-readable files
US8528087B2 (en) * 2006-04-27 2013-09-03 Robot Genius, Inc. Methods for combating malicious software
US20080016339A1 (en) * 2006-06-29 2008-01-17 Jayant Shukla Application Sandbox to Detect, Remove, and Prevent Malware
US9654495B2 (en) * 2006-12-01 2017-05-16 Websense, Llc System and method of analyzing web addresses

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6061722A (en) * 1996-12-23 2000-05-09 T E Network, Inc. Assessing network performance without interference with normal network operations
US7010698B2 (en) * 2001-02-14 2006-03-07 Invicta Networks, Inc. Systems and methods for creating a code inspection system
TW200417216A (en) * 2002-11-18 2004-09-01 Advanced Risc Mach Ltd Control of access to a memory by a device
US20050021994A1 (en) * 2003-07-21 2005-01-27 Barton Christopher Andrew Pre-approval of computer files during a malware detection

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI802040B (zh) * 2021-10-08 2023-05-11 精品科技股份有限公司 基於檔案屬性特徵之應用程式控管方法

Also Published As

Publication number Publication date
WO2008106296A1 (en) 2008-09-04
US20080209557A1 (en) 2008-08-28
US9021590B2 (en) 2015-04-28
TW200842716A (en) 2008-11-01

Similar Documents

Publication Publication Date Title
TWI463405B (zh) 用於間碟軟體偵測機制之系統、方法與電腦儲存裝置
US10516531B2 (en) Key management for compromised enterprise endpoints
US10778725B2 (en) Using indications of compromise for reputation based network security
US20220131836A1 (en) Firewall techniques for colored objects on endpoints
US10673902B2 (en) Labeling computing objects for improved threat detection
US10558800B2 (en) Labeling objects on an endpoint for encryption management
US20210216650A1 (en) Managing untyped network traffic flows
US10841339B2 (en) Normalized indications of compromise
US10382459B2 (en) Threat detection using a time-based cache of reputation information on an enterprise endpoint
US10924517B2 (en) Processing network traffic based on assessed security weaknesses
US10965711B2 (en) Data behavioral tracking
GB2563340B (en) Labeling computing objects for improved threat detection
US11861006B2 (en) High-confidence malware severity classification of reference file set
Hallman et al. Risk metrics for android (trademark) devices
Ali et al. Efficient, scalable and privacy preserving application attestation in a multi stakeholder scenario
Lightweight Institute for Software Research

Legal Events

Date Code Title Description
MM4A Annulment or lapse of patent due to non-payment of fees