TWI554907B - Trojan horse detection method and device - Google Patents
Trojan horse detection method and device Download PDFInfo
- Publication number
- TWI554907B TWI554907B TW101146915A TW101146915A TWI554907B TW I554907 B TWI554907 B TW I554907B TW 101146915 A TW101146915 A TW 101146915A TW 101146915 A TW101146915 A TW 101146915A TW I554907 B TWI554907 B TW I554907B
- Authority
- TW
- Taiwan
- Prior art keywords
- trojan
- base address
- memory block
- determining
- memory
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Stored Programmes (AREA)
Description
本申請案係有關通信的技術領域,尤其有關一種木馬檢測方法及裝置。
隨著互聯網技術的不斷普及,網路安全問題日益凸顯,特別是木馬進程的氾濫,直接導致了各種重要資訊的非法竊取和破壞。
在現有技術中,木馬檢測的方法為:將某個進程的特徵碼與木馬特徵庫中所保存的木馬程式特徵碼進行匹配,若匹配成功,則確定該進程為木馬進程。
但是,在上述木馬檢測方法中,對於具有可信任簽名資訊的進程,或者白名單中的可信任進程,一般是不進行木馬檢測的。然而,目前有一種注入型木馬,這種注入型木馬在執行時先啟動一個合法進程,在該合法進程啟動完成之前,該注入型木馬將該合法進程暫停,並將自身的惡意代碼寫入到該合法進程的記憶體映射(IMAGE)中,再恢復該合法進程的啟動,這樣,注入型木馬就可以逃避現有技術中的木馬檢測。
例如,注入型木馬啟動一個記事本進程(notepad.exe),該記事本進程具有可信任簽名資訊,在該記事本進程啟動完成之前,注入型木馬暫停該記事本進程,並將自身的惡意代碼寫入到記事本進程的記憶體
IMAGE中,再恢復啟動該記事本進程。
在記事本進程啟動完成之後,該記事本進程實際上就變成了一個木馬進程,而由於該記事本進程具有可信任簽名資訊,因此現有技術中的木馬檢測方法會直接放過該進程而不做檢測,從而,此時該記事本進程已經成為了注入型木馬的傀儡進程,該木馬進程相當於披上了一層合法的外衣,逃避了現有技術中的木馬檢測,這無疑降低了電腦的安全性。
本申請案之實施例提供一種木馬檢測方法及裝置,用以解決現有技術中電腦的安全性較低的問題。
本申請案之實施例提供的一種木馬檢測方法,包括:監控啟動的進程,在所述進程啟動完成時,確定所述進程的基址所在的記憶體區塊;判斷確定的所述記憶體區塊的類型是否為唯讀類型;以及若是,則確定所述進程不是木馬進程,不對所述進程進行任何操作,否則,確定所述進程是木馬進程,阻斷所述進程。
本申請案之實施例提供的一種木馬檢測裝置,包括:監控模組,用以監控啟動的進程,在所述進程啟動完成時,確定所述進程的基址所在的記憶體區塊;判斷模組,用以判斷確定的所述記憶體區塊的類型是
否為唯讀類型;以及處理模組,用以當所述判斷模組的判斷結果為是時,確定所述進程不是木馬進程,不對所述進程進行任何操作,當所述判斷模組的判斷結果為否時,確定所述進程是木馬進程,阻斷所述進程。
本申請案之實施例提供一種木馬檢測方法及裝置,該方法針對啟動完成的進程,確定該進程的基址所在的記憶體區塊,當該進程的基址所在的記憶體區塊的類型不是唯讀類型時,確定該進程是木馬進程,阻斷該進程。由於合法進程的基址所在的記憶體區塊的類型一般是唯讀類型,而注入型木馬將惡意代碼寫入到合法進程的記憶體映射中時,需要將合法進程的基址所在的記憶體區塊的類型調整為非唯讀類型,因此本申請案之實施例中根據啟動完成的進程的基址所在的記憶體區塊的類型進行木馬檢測,可以準確的檢測出注入型木馬並對其進行阻斷,提高了電腦的安全性。
由於注入型木馬在將自身的惡意代碼寫入到合法進程的記憶體IMAGE中時,需要將該合法進程的基址所在的記憶體區塊的類型調整為非唯讀類型,而合法進程的基址所在的記憶體區塊的類型通常是唯讀類型,因此本申請案之實施例根據進程的基址所在的記憶體區塊的類型,檢測該進程是否是木馬進程,可以準確的檢測出注入型木馬並
對其進行阻斷,提高了電腦的安全性。
下面結合說明書附圖,對本申請案之實施例進行詳細描述。
圖1為本申請案之實施例所提供的木馬檢測過程,具體包括以下步驟:S101:監控啟動的進程,在該進程啟動完成時,確定該進程的基址所在的記憶體區塊。
在本申請案之實施例中,木馬檢測裝置對啟動的進程進行監控,一旦監控到已經啟動完成的進程,就確定該進程的基址所在的記憶體區塊。
其中,一個進程的基址是指該進程在執行時的開始記憶體位址。木馬檢測裝置可以針對啟動的進程,記錄該進程的基址,並在確定該進程的基址所在的記憶體區塊時,根據記錄的該進程的基址,在記憶體中確定該進程的基址所在的記憶體區塊。
當然,也可以透過電腦的作業系統對啟動的進程的基址進行記錄,在確定該進程的基址所在的記憶體區塊時,木馬檢測裝置則可以根據作業系統記錄的該進程的基址,確定該進程的基址所在的記憶體區塊。
S102:判斷確定的該記憶體區塊的類型是否為唯讀類型,若是,則執行步驟S103,否則執行步驟S104。
其中,記憶體區塊的類型包括唯讀類型、寫入類型、讀寫類型(既可以讀取又可以寫入)。由於合法進程的基址所在的記憶體區塊的類型一般是唯讀類型,而注入型木
馬將惡意代碼寫入到合法進程的記憶體IMAGE中時,需要將合法進程的基址所在的記憶體區塊的類型自唯讀類型調整為非唯讀類型(寫入類型或讀寫類型),因此,本申請案之實施例中根據進程的基址所在的記憶體區塊的類型,判斷該進程是否為木馬進程。
S103:確定該進程不是木馬進程,不對該進程進行任何操作。
當判斷進程的基址所在的記憶體區塊的類型為唯讀類型時,則確定該進程不是木馬進程,因此放行該進程,不對該進程進行任何操作。
S104:確定該進程是木馬進程,阻斷該進程。
當判斷進程的基址所在的記憶體區塊的類型為非唯讀類型時,則確定該進程是木馬進程,因此阻斷該進程。
一般而言,電腦中的一個進程在啟動時,需要根據保存在磁片中的相應程式產生磁片IMAGE,再將磁片IMAGE映射到記憶體中,從而產生該進程的記憶體IMAGE。在執行時,則從映射到記憶體中的記憶體IMAGE的起始位址開始執行,這個起始位址就是該進程的基址。例如,在windows系統下,尚未開啟動態化位址(ASLR)功能時,一個進程的基址通常固定為0x4000000,在開啟ASLR功能時,進程的基址則並非是固定的。
而注入型木馬在啟動一個合法進程時,在該合法進程的記憶體IMAGE尚未完全產生時,會暫停產生該合法進
程的記憶體IMAGE,並將自身的惡意代碼寫入到記憶體中的任意一個記憶體區塊中,再將該合法進程對應的返回位址(EIP)資訊設定為記憶體中已經寫入惡意代碼的記憶體區塊的起始位址。此時,注入型木馬恢復該合法進程的啟動,該合法進程在啟動時,就會根據其對應的EIP資訊中設定的位址在記憶體中啟動。可見,該合法進程的基址已經被注入型木馬修改成了已經寫入惡意代碼的記憶體區塊的起始位址。如果執行該合法進程,則該合法進程並不會根據其原有的基址執行原有的功能,而是基於已經修改的基址(注入型木馬在該合法程式對應的EIP資訊中設定的位址)執行惡意代碼對應的功能。
因此,如果某個合法進程是被注入型木馬寫入了惡意代碼的進程,則透過圖1所示的步驟S101,可以在該進程啟動完成時,確定出目前該進程的基址所在的記憶體區塊。而由於該基址所在的記憶體區塊是被注入型木馬寫入了惡意代碼的記憶體區塊,因此該記憶體區塊的類型必定不是唯讀類型,從而透過步驟S102和S104則可以檢測出該合法進程實際上是一個木馬進程,並對其進行阻斷,提高了電腦的安全性。
進一步地,由於注入型木馬在暫停合法進程的啟動後,是將自身的惡意代碼寫入到記憶體中的任意一個記憶體區塊中,再將該合法進程對應的EIP資訊設定為記憶體中已經寫入惡意代碼的記憶體區塊的起始位址的,亦即,將該合法進程的基址修改為寫入了惡意代碼的記憶體區塊
的起始位址,因此,本申請案之實施例中針對啟動的進程,記錄該進程的基址的方法具體為:當該進程在啟動的過程中暫停時,將該進程對應的EIP資訊中設定的位址作為該進程的基址記錄。當然,上述記錄進程的基址的方法也可以透過電腦的作業系統來予以實現,當由作業系統採用上述方法記錄進程的基址時,則木馬檢測裝置在確定該進程的基址所在的記憶體區塊時,可以根據作業系統記錄的該進程的基址,確定該進程的基址所在的記憶體區塊,這裏就不再一一贅述。
較佳地,考慮到在實際應用中,有些特殊的合法進程的基址所在的記憶體區塊的類型並不是唯讀類型,而這些特殊的合法進程的記憶體IMAGE中包含的可移植可執行標頭(PE HEADER)代碼也並不是普通進程的記憶體IMAGE中包含的PE HEADER代碼。因此,為了降低如圖1所示的木馬檢測過程中的誤報率,本申請案之實施例中當確定一個進程的基址所在的記憶體區塊的類型不是唯讀類型時,還要確定該進程的記憶體IMAGE中包含的PE HEADER代碼是指定代碼,才確定該進程是木馬進程。其中,該指定代碼具體可以設定為普通進程的記憶體IMAGE中包含的PE FEADER代碼。
透過上述方法,則對於基址所在的記憶體區塊的類型並不是唯讀類型、且記憶體IMAGE中包含的PE HEADER代碼也並不是普通進程的記憶體IMAGE中包含的PE HEADER代碼的特殊的合法進程,則不會將其誤報為木馬
進程並進行阻斷。
另外,本申請案之實施例中當確定一個進程是木馬進程之後,木馬檢測裝置還可以產生指示該進程是木馬進程的警告資訊,用以使用戶獲知該進程是木馬進程。具體上,還可以將所產生的警告資訊保存在檢測日誌中,以備後續查詢。
圖2為本申請案之實施例提供的木馬檢測的詳細過程,具體包括以下步驟:
S201:監控啟動的進程,在該進程啟動完成時,確定該進程的基址所在的記憶體區塊。
S202:判斷確定的該記憶體區塊的類型是否為唯讀類型,若是,則執行步驟S205,否則執行步驟S203。
S203:判斷該進程的記憶體IMAGE中包含的PE HEADER代碼是否為指定代碼,若是,則執行步驟S204,否則執行步驟S205。
S204:確定該進程是木馬進程,阻斷該進程,產生指示該進程是木馬進程的警告資訊。
S205:確定該進程不是木馬進程,不對該進程進行任何操作。
圖3為本申請案之實施例提供的木馬檢測裝置結構示意圖,具體包括:監控模組301,用以監控啟動的進程,在所述進程啟動完成時,確定所述進程的基址所在的記憶體區塊;判斷模組302,用以判斷確定的所述記憶體區塊的類
型是否為唯讀類型;處理模組303,用以當所述判斷模組302的判斷結果為是時,確定所述進程不是木馬進程,不對所述進程進行任何操作,當所述判斷模組302的判斷結果為否時,確定所述進程是木馬進程,阻斷所述進程。
所述監控模組301還用以,針對啟動的進程,記錄所述進程的基址;並在確定所述進程的基址所在的記憶體區塊時,根據記錄的所述進程的基址,確定所述進程的基址所在的記憶體區塊。
所述監控模組301具體用以,當所述進程在啟動的過程中暫停時,將所述進程對應的返回位址EIP資訊中設定的位址作為所述進程的基址記錄。
所述處理模組303還用以,確定所述進程是木馬進程之前,確定所述進程的記憶體映射IMAGE中包含的可移植可執行標頭PE HEADER代碼為指定代碼。
所述處理模組303還用以,確定所述進程是木馬進程之後,產生指示所述進程是木馬進程的警告資訊。
本申請案之實施例提供一種木馬檢測方法及裝置,該方法針對啟動完成的進程,確定該進程的基址所在的記憶體區塊,當該進程的基址所在的記憶體區塊的類型不是唯讀類型時,確定該進程是木馬進程,阻斷該進程。由於合法進程的基址所在的記憶體區塊的類型一般是唯讀類型,而注入型木馬將惡意代碼寫入到合法進程的記憶體映射中時,需要將合法進程的基址所在的記憶體區塊的類型調整
為非唯讀類型,因此本申請案之實施例中根據啟動完成的進程的基址所在的記憶體區塊的類型進行木馬檢測,可以準確地檢測出注入型木馬並對其進行阻斷,提高了電腦的安全性。
顯然,本領域的技術人員可以對本申請案進行各種修改和變型而不脫離本申請案的精神和範圍。這樣,倘若本申請案的這些修改和變型屬於本申請案之申請專利範圍及其等同技術的範疇之內,則本申請案也意圖包含這些修改和變型在內。本領域內的技術人員應明白,本申請案的實施例可被提供為方法、系統、或電腦程式產品。因此,本申請案可採用完全硬體實施例、完全軟體實施例、或結合軟體和硬體方面的實施例的形式。而且,本申請案可採用在一個或多個其中包含有電腦可用程式碼的電腦可用儲存媒體(包括但不限於磁碟記憶體、CD-ROM、光學記憶體等)上實施的電腦程式產品的形式。
301‧‧‧監控模組
302‧‧‧判斷模組
303‧‧‧處理模組
圖1為本申請案之實施例所提供的木馬檢測過程;圖2為本申請案之實施例所提供的木馬檢測的詳細過程;圖3為本申請案之實施例所提供的木馬檢測裝置結構示意圖。
Claims (10)
- 一種木馬檢測方法,其特徵在於,該方法包括:監控進程的啟動;在該進程啟動完成時並且在允許該進程進行任何操作之前,先確定該進程的基址,其中,該進程的基址與指令要被讀取及執行之所在的記憶體區塊相關聯;判斷與該基址相關聯之該記憶體區塊的合法性,其中,該記憶體區塊的合法性與讀取和寫入的至少其中一者是否在該記憶體區塊中為合法的相關聯;根據該記憶體區塊的合法性的該判斷,判斷該進程是否有可能與木馬進程相關聯;判斷合法的該記憶體區塊的類型是否為唯讀類型;以及若是,則確定該進程不是木馬進程,允許該進程進行任何操作,否則,確定該進程是木馬進程,阻斷該進程進行任何操作。
- 如申請專利範圍第1項所述的方法,其中,該方法還包括:針對啟動的進程,記錄該進程的基址;確定該進程的基址所在的記憶體區塊,具體包括:根據記錄的該進程的基址,確定該進程的基址所在的記憶體區塊。
- 如申請專利範圍第2項所述的方法,其中,記錄該進程的基址,具體包括:當該進程在啟動的過程中暫停時,將該進程對應的返回位址EIP資訊中設定的位址作為該進程的基址記錄。
- 如申請專利範圍第1項所述的方法,其中,確定該進程是木馬進程之前,該方法還包括:確定該進程的記憶體映射IMAGE中包含的可移植可執行標頭PE HEADER代碼為指定代碼。
- 如申請專利範圍第1項所述的方法,其中,確定該進程是木馬進程之後,該方法還包括:產生指示該進程是木馬進程的警告資訊。
- 一種木馬檢測裝置,其特徵在於,該裝置包括:監控模組,用以監控進程的啟動,在該進程啟動完成時並且在允許該進程進行任何操作之前,先判定該進程的基址,其中,該進程的基址與指令要被讀取及執行之所在的記憶體區塊相關聯;判斷模組,用以判斷與該基址相關聯之該記憶體區塊的合法性,其中,該記憶體區塊的合法性與讀取和寫入的至少其中一者是否在該記憶體區塊中為合法的相關聯,並且根據該記憶體區塊的合法性的該判斷來判斷該進程是否有可能與木馬進程相關聯,以判斷合法的該記憶體區塊的類型是否為唯讀類型;以及處理模組,用以當該判斷模組的判斷結果為是時,確 定該進程不是木馬進程,允許該進程進行任何操作,當該判斷模組的判斷結果為否時,確定該進程是木馬進程,阻斷該進程進行任何操作。
- 如申請專利範圍第6項所述的裝置,其中,該監控模組還用以,針對啟動的進程,記錄該進程的基址;並在確定該進程的基址所在的記憶體區塊時,根據記錄的該進程的基址,確定該進程的基址所在的記憶體區塊。
- 如申請專利範圍第7項所述的裝置,其中,該監控模組具體用以,當該進程在啟動的過程中暫停時,將該進程對應的返回位址EIP資訊中設定的位址作為該進程的基址記錄。
- 如申請專利範圍第6項所述的裝置,其中,該處理模組還用以,確定該進程是木馬進程之前,確定該進程的記憶體映射IMAGE中包含的可移植可執行標頭PE HEADER代碼為指定代碼。
- 如申請專利範圍第6項所述的裝置,其中,該處理模組還用以,確定該進程是木馬進程之後,產生指示該進程是木馬進程的警告資訊。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210310462.4A CN103632088A (zh) | 2012-08-28 | 2012-08-28 | 一种木马检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201409272A TW201409272A (zh) | 2014-03-01 |
| TWI554907B true TWI554907B (zh) | 2016-10-21 |
Family
ID=50189431
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW101146915A TWI554907B (zh) | 2012-08-28 | 2012-12-12 | Trojan horse detection method and device |
Country Status (6)
| Country | Link |
|---|---|
| US (2) | US9152788B2 (zh) |
| EP (2) | EP2891104B1 (zh) |
| JP (2) | JP5882542B2 (zh) |
| CN (1) | CN103632088A (zh) |
| TW (1) | TWI554907B (zh) |
| WO (1) | WO2014035857A1 (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10223530B2 (en) | 2013-11-13 | 2019-03-05 | Proofpoint, Inc. | System and method of protecting client computers |
| US9378367B2 (en) * | 2014-03-31 | 2016-06-28 | Symantec Corporation | Systems and methods for identifying a source of a suspect event |
| CN106295328B (zh) | 2015-05-20 | 2019-06-18 | 阿里巴巴集团控股有限公司 | 文件检测方法、装置及系统 |
| WO2016186902A1 (en) * | 2015-05-20 | 2016-11-24 | Alibaba Group Holding Limited | Detecting malicious files |
| US10083296B2 (en) * | 2015-06-27 | 2018-09-25 | Mcafee, Llc | Detection of malicious thread suspension |
| CN105608377A (zh) * | 2015-12-24 | 2016-05-25 | 国家电网公司 | 一种信息系统进程安全管理系统及管理方法 |
| US10049214B2 (en) * | 2016-09-13 | 2018-08-14 | Symantec Corporation | Systems and methods for detecting malicious processes on computing devices |
| CN110414230B (zh) * | 2019-06-21 | 2022-04-08 | 腾讯科技(深圳)有限公司 | 病毒查杀方法、装置、计算机设备和存储介质 |
| CN111552962B (zh) * | 2020-03-25 | 2024-03-01 | 三六零数字安全科技集团有限公司 | 一种基于Windows操作系统的U盘PE格式文件病毒的拦截方法 |
| US11874920B2 (en) * | 2020-12-30 | 2024-01-16 | Acronis International Gmbh | Systems and methods for preventing injections of malicious processes in software |
| CN112948863B (zh) * | 2021-03-15 | 2022-07-29 | 清华大学 | 敏感数据的读取方法、装置、电子设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100043072A1 (en) * | 2005-01-20 | 2010-02-18 | William Grant Rothwell | Computer protection against malware affection |
| CN101128832B (zh) * | 2005-02-25 | 2010-05-19 | 松下电器产业株式会社 | 处理装置 |
| TWI352289B (en) * | 2005-03-31 | 2011-11-11 | Intel Corp | Apparatus of providing extended memory protection |
| US20120079596A1 (en) * | 2010-08-26 | 2012-03-29 | Verisign, Inc. | Method and system for automatic detection and analysis of malware |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5812848A (en) * | 1995-08-23 | 1998-09-22 | Symantec Corporation | Subclassing system for computer that operates with portable-executable (PE) modules |
| US7493498B1 (en) * | 2002-03-27 | 2009-02-17 | Advanced Micro Devices, Inc. | Input/output permission bitmaps for compartmentalized security |
| KR100843701B1 (ko) * | 2006-11-07 | 2008-07-04 | 소프트캠프(주) | 콜 스택에 기록된 정보를 이용한 에이피아이 확인방법 |
| US7917725B2 (en) * | 2007-09-11 | 2011-03-29 | QNX Software Systems GmbH & Co., KG | Processing system implementing variable page size memory organization using a multiple page per entry translation lookaside buffer |
| US8578483B2 (en) * | 2008-07-31 | 2013-11-05 | Carnegie Mellon University | Systems and methods for preventing unauthorized modification of an operating system |
| PT2460076T (pt) * | 2009-07-29 | 2018-05-09 | Reversinglabs Corp | Análise de arquivo executável portátil |
| US8572740B2 (en) | 2009-10-01 | 2013-10-29 | Kaspersky Lab, Zao | Method and system for detection of previously unknown malware |
| TW201137660A (en) * | 2009-12-23 | 2011-11-01 | Ibm | Method and system for protecting an operating system against unauthorized modification |
| CN101826139B (zh) * | 2009-12-30 | 2012-05-30 | 厦门市美亚柏科信息股份有限公司 | 一种非可执行文件挂马检测方法及其装置 |
| US8468602B2 (en) | 2010-03-08 | 2013-06-18 | Raytheon Company | System and method for host-level malware detection |
| US20120036569A1 (en) * | 2010-04-05 | 2012-02-09 | Andrew Cottrell | Securing portable executable modules |
| KR101122650B1 (ko) * | 2010-04-28 | 2012-03-09 | 한국전자통신연구원 | 정상 프로세스에 위장 삽입된 악성코드 탐지 장치, 시스템 및 방법 |
| TW201220186A (en) * | 2010-11-04 | 2012-05-16 | Inventec Corp | Data protection method for damaged memory cells |
| US8955132B2 (en) | 2011-04-14 | 2015-02-10 | F-Secure Corporation | Emulation for malware detection |
| RU2487405C1 (ru) * | 2011-11-24 | 2013-07-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ для исправления антивирусных записей |
| US9614865B2 (en) * | 2013-03-15 | 2017-04-04 | Mcafee, Inc. | Server-assisted anti-malware client |
| EP2784716A1 (en) * | 2013-03-25 | 2014-10-01 | British Telecommunications public limited company | Suspicious program detection |
-
2012
- 2012-08-28 CN CN201210310462.4A patent/CN103632088A/zh active Pending
- 2012-12-12 TW TW101146915A patent/TWI554907B/zh not_active IP Right Cessation
-
2013
- 2013-08-22 US US13/973,229 patent/US9152788B2/en active Active
- 2013-08-26 WO PCT/US2013/056562 patent/WO2014035857A1/en active Application Filing
- 2013-08-26 JP JP2015525646A patent/JP5882542B2/ja not_active Expired - Fee Related
- 2013-08-26 EP EP13759086.5A patent/EP2891104B1/en active Active
- 2013-08-26 EP EP18190007.7A patent/EP3422238B1/en active Active
-
2015
- 2015-09-01 US US14/842,648 patent/US9516056B2/en active Active
-
2016
- 2016-02-03 JP JP2016018519A patent/JP6165900B2/ja active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100043072A1 (en) * | 2005-01-20 | 2010-02-18 | William Grant Rothwell | Computer protection against malware affection |
| CN101128832B (zh) * | 2005-02-25 | 2010-05-19 | 松下电器产业株式会社 | 处理装置 |
| TWI352289B (en) * | 2005-03-31 | 2011-11-11 | Intel Corp | Apparatus of providing extended memory protection |
| US20120079596A1 (en) * | 2010-08-26 | 2012-03-29 | Verisign, Inc. | Method and system for automatic detection and analysis of malware |
Also Published As
| Publication number | Publication date |
|---|---|
| US9152788B2 (en) | 2015-10-06 |
| EP2891104B1 (en) | 2018-10-10 |
| WO2014035857A1 (en) | 2014-03-06 |
| TW201409272A (zh) | 2014-03-01 |
| US20160087998A1 (en) | 2016-03-24 |
| US20140068774A1 (en) | 2014-03-06 |
| EP2891104A1 (en) | 2015-07-08 |
| CN103632088A (zh) | 2014-03-12 |
| JP2015523668A (ja) | 2015-08-13 |
| JP2016105310A (ja) | 2016-06-09 |
| EP3422238A1 (en) | 2019-01-02 |
| JP5882542B2 (ja) | 2016-03-09 |
| US9516056B2 (en) | 2016-12-06 |
| EP3422238B1 (en) | 2020-03-11 |
| JP6165900B2 (ja) | 2017-07-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI554907B (zh) | Trojan horse detection method and device | |
| KR101662616B1 (ko) | 저전력 상태시 메모리 영역 보호 방법 및 장치 | |
| TWI544332B (zh) | 用於以經加密塊為基礎之快速資料加密策略順從的方法與電腦儲存媒體 | |
| US11675905B2 (en) | System and method for validating in-memory integrity of executable files to identify malicious activity | |
| US20090172814A1 (en) | Dynamic generation of integrity manifest for run-time verification of software program | |
| JP2012508931A (ja) | モバイル装置とコンピュータを組み合わせ、安全な個人ごとの環境を生成する装置および方法 | |
| US20110283358A1 (en) | Method and system to detect malware that removes anti-virus file system filter driver from a device stack | |
| US20100241875A1 (en) | External storage device and method of controlling the same | |
| WO2015196982A1 (zh) | 一种Android恶意程序检测和处理方法、装置及设备 | |
| JP2007034875A (ja) | ペリフェラルの使用管理方法、電子システム及びその構成装置 | |
| JP2010182019A (ja) | 異常検知装置およびプログラム | |
| JPWO2010113282A1 (ja) | 構成変更の検証機能を有した情報処理装置及びその制御方法 | |
| CN108229162B (zh) | 一种云平台虚拟机完整性校验的实现方法 | |
| CN107766734A (zh) | 安全启动raid卡方法、装置、设备及计算机可读存储介质 | |
| KR102149711B1 (ko) | 위장 프로세스를 이용한 랜섬웨어 행위 탐지 및 방지 장치, 이를 위한 방법 및 이 방법을 수행하는 프로그램이 기록된 컴퓨터 판독 가능한 기록매체 | |
| JP2011243073A (ja) | 認証プログラム、プログラムセット、認証方法及び認証装置並びにソフトウェア有効期限変更装置 | |
| CN103605922A (zh) | 一种下载保护的方法和装置 | |
| WO2022170966A1 (zh) | 在目标平台上启动应用程序的方法及装置 | |
| JP2011138514A (ja) | コンピュータファイルがコピーされたかを検出するための方法及び装置、並びに、この検出を可能にするための方法及び装置 | |
| US9940458B2 (en) | Flag based threat detection | |
| US9280666B2 (en) | Method and electronic device for protecting data | |
| JP2009169868A (ja) | 記憶領域アクセス装置及び記憶領域のアクセス方法 | |
| JP5392494B2 (ja) | ファイルチェック装置、ファイルチェックプログラムおよびファイルチェック方法 | |
| RU85249U1 (ru) | Аппаратный антивирус | |
| CN114254331A (zh) | 终端设备的安全防护方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MM4A | Annulment or lapse of patent due to non-payment of fees |