WO2017135249A1 - Icon diagnostic device, icon diagnostic method and program - Google Patents

Icon diagnostic device, icon diagnostic method and program Download PDF

Info

Publication number
WO2017135249A1
WO2017135249A1 PCT/JP2017/003410 JP2017003410W WO2017135249A1 WO 2017135249 A1 WO2017135249 A1 WO 2017135249A1 JP 2017003410 W JP2017003410 W JP 2017003410W WO 2017135249 A1 WO2017135249 A1 WO 2017135249A1
Authority
WO
WIPO (PCT)
Prior art keywords
icon
file
unit
diagnosis
risk
Prior art date
Application number
PCT/JP2017/003410
Other languages
French (fr)
Japanese (ja)
Inventor
法道 内田
Original Assignee
株式会社ラック
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from JP2016020955A external-priority patent/JP5954915B1/en
Priority claimed from JP2016116611A external-priority patent/JP6068711B1/en
Application filed by 株式会社ラック filed Critical 株式会社ラック
Publication of WO2017135249A1 publication Critical patent/WO2017135249A1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/01Input arrangements or combined input and output arrangements for interaction between user and computer
    • G06F3/048Interaction techniques based on graphical user interfaces [GUI]
    • G06F3/0481Interaction techniques based on graphical user interfaces [GUI] based on specific properties of the displayed interaction object or a metaphor-based environment, e.g. interaction with desktop elements like windows or icons, or assisted by a cursor's changing behaviour or appearance
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements

Definitions

  • the present invention relates to an icon diagnosis apparatus, an icon diagnosis method, and a program.
  • This application claims priority based on Japanese Patent Application No. 2016-20955 filed in Japan on February 5, 2016 and Japanese Patent Application No. 2016-116611 filed on Japan on June 10, 2016, and the contents thereof. Is hereby incorporated by reference.
  • malware icon is disguised as a document icon or an archive icon.
  • document icons include Microsoft Office (registered trademark) or Adobe Acrobat (registered trademark).
  • Archive icons include, for example, the zip format or the lzh format.
  • the compressed file is decompressed by the user, a file in which an icon is disguised is created, and the user may be prompted to click the icon.
  • the user may be prompted to click an icon by entering a large amount of space in the name of the file and hiding the extension (a character string that identifies the type of file).
  • the extension a character string that identifies the type of file.
  • an icon is camouflaged, it is possible to determine whether it is malware or not by looking at the extension of the icon.
  • the extension is displayed in the default settings of Windows (registered trademark). In some cases, it was difficult to distinguish. Even if the extension of the icon is set to be displayed, since the icon is more visible than the extension, many people recognize only the icon and recognize the file format or content. There were cases where it was difficult to notice the child.
  • the extension is misidentified, or a control character called RLO (Right-to-Left Override) is used to impersonate the extension of the icon. In many cases, it is difficult to identify malware just by visually checking the extension.
  • RLO Light-to-Left Override
  • the embodiment of the present invention provides an icon diagnosis apparatus, an icon diagnosis method, and a program capable of diagnosing whether or not an icon is a disguised malware.
  • An icon diagnosis apparatus is extracted by an icon extraction unit that extracts an icon of a diagnosis target file, a file format determination unit that determines a format of the diagnosis target file, and the icon extraction unit.
  • the icon is compared with a first reference icon that is a reference icon corresponding to the format determined by the file format determination unit, and the icon extracted by the icon extraction unit and the first reference icon
  • An icon comparison unit that compares a second reference icon other than.
  • the icon comparison unit compares the icon extracted by the icon extraction unit with the first reference icon, and acquires a degree of divergence between the icons. To do.
  • the icon comparison unit compares the icon extracted by the icon extraction unit with the second reference icon, and acquires the similarity between the icons. To do.
  • the icon diagnosis apparatus according to an aspect of the present invention further includes a risk determination unit that performs a risk determination based on a result of comparison by the icon comparison unit.
  • the risk determination unit performs a determination regarding the degree of risk.
  • the degree of the danger is that there is the danger or is two or more stages of the danger.
  • the risk determination unit may determine the risk based on a determination result regarding the signature attached to the diagnosis target file and a comparison result by the icon comparison unit. I do.
  • an icon diagnosis apparatus extracts an icon of a file to be diagnosed, the icon diagnosis apparatus determines a format of the diagnosis object file, and the icon diagnosis apparatus includes: The extracted icon is compared with a first reference icon that is a reference icon corresponding to the determined format, and the extracted icon and a second reference icon other than the first reference icon Compare
  • a program includes a step of extracting an icon of a diagnosis target file, a step of determining a format of the diagnosis target file, the extracted icon, and a criterion corresponding to the determined format
  • a program for causing a computer to compare a first reference icon, which is an icon, and a step of comparing the extracted icon and a second reference icon other than the first reference icon. is there.
  • the icon diagnosis apparatus According to the icon diagnosis apparatus, the icon diagnosis method, and the program according to the embodiment of the present invention described above, it is possible to diagnose whether or not the icon is a disguised malware.
  • FIG. 1 is a diagram illustrating a schematic configuration example of an icon processing apparatus 11 according to an embodiment of the present invention.
  • the icon processing apparatus 11 according to the present embodiment includes an input unit 31, an output unit 32, a storage unit 33, and a control unit 34.
  • the input unit 31 inputs information from outside.
  • the input unit 31 may include an interface for inputting information output from an external recording medium or another device.
  • the input unit 31 may include an operation unit that inputs information corresponding to an operation performed by the user, for example.
  • the output unit 32 outputs information to the outside.
  • the output unit 32 includes, for example, a display unit 71 that displays and outputs information.
  • the display unit 71 is, for example, a display screen.
  • the icon processing device 11 includes the display unit 71
  • the display unit 71 is provided separately from the icon processing device 11, and the icon processing device 11 is provided. May be communicably connected.
  • the output unit 32 may include an interface that outputs information to an external recording medium or another device.
  • the storage unit 33 stores information.
  • the storage unit 33 stores file information 91, for example.
  • the file information 91 includes information on one or more files.
  • the storage unit 33 stores a file format list 92, for example.
  • the file format list 92 includes information on various file formats (file formats).
  • the file format list 92 includes, for example, extension information and characteristic information in the file, and holds correspondence between such information and file formats.
  • the file format list 92 may hold correspondences between various file information and file formats.
  • the file format list 92 may be updated as needed, for example, by the icon processing device 11 or the user.
  • the storage unit 33 stores a reference icon list 93, for example.
  • the reference icon list 93 holds correspondences between various file formats and reference icon (reference icon) information.
  • the reference icon list 93 may be updated as needed by, for example, the icon processing device 11 or the user.
  • the control unit 34 controls various processes in the icon processing apparatus 11.
  • the control unit 34 includes an icon diagnosis unit 111 and a diagnosis result output unit 112.
  • the icon diagnosis unit 111 includes a file format determination unit 131, an icon extraction unit 132, an icon comparison unit 133, and a risk determination unit 134.
  • the diagnosis result output unit 112 includes a display control unit 151.
  • control unit 34 various functions of the control unit 34 are divided into a plurality of parts, but these functions may be provided in other ways.
  • the various functions are combined into one program. Or may be divided into two or more programs in any way.
  • FIG. 2 is a flowchart showing an example of icon diagnosis processing performed by the icon processing apparatus 11 according to an embodiment of the present invention. The process of the flowchart shown in FIG. 2 will be described. This process is a process for determining (diagnosis) a risk related to a file in which an icon is camouflaged. This process is performed by the icon diagnosis unit 111 of the control unit 34 of the icon processing apparatus 11.
  • the icon diagnosis unit 111 acquires information on a diagnosis target file from the file information 91 stored in the storage unit 33.
  • the icon diagnosis unit 111 may set a file specified by an operation performed by the user as a diagnosis target, or search a file corresponding to a predetermined condition according to a predetermined processing procedure as a diagnosis target. It is good.
  • the file format determination unit 131 refers to the contents of the file format list 92 stored in the storage unit 33. Then, the file format determination unit 131 determines the format of the file based on the contents of the file format list 92 and information on the diagnosis target file.
  • the file format determination unit 131 compares the correspondence held in the file format list 92 (correspondence between the file information and the file format) with the information on the diagnosis target file, and corresponds to the information on the file.
  • the file format is specified, and the specified file format is acquired as a determination result.
  • Step S2 the file format determination unit 131 determines whether or not the file includes icon data based on the result of determining the format of the diagnosis target file. As a result of this determination, if it is determined that the file contains icon data (step S2: YES), the process proceeds to steps S3 to S6. On the other hand, as a result of this determination, if it is determined that the file does not contain icon data (step S2: NO), the process proceeds to step S8.
  • Step S3 When it is determined in step S2 that the diagnosis target file includes icon data, the icon extraction unit 132 extracts the icon data.
  • the icon comparison unit 133 refers to the content of the reference icon list 93 stored in the storage unit 33. Then, the icon comparison unit 133 acquires the reference icon data of the diagnosis target file based on the contents of the reference icon list 93 and the file format determined by the file format determination unit 131. For example, the icon comparison unit 133 compares the correspondence held in the reference icon list 93 (correspondence between the file format and the reference icon information) with the format of the diagnosis target file and corresponds to the format of the file. A reference icon is specified and data of the reference icon is acquired. The icon comparison unit 133 compares the icon data extracted by the icon extraction unit 132 with the acquired reference icon data, and calculates the degree of divergence between the icon and the reference icon.
  • the degree of divergence between the icon and the reference icon is calculated using, for example, a predetermined mathematical formula.
  • a value indicating the magnitude of the difference between the icon image and the reference icon image is used.
  • the divergence degree for example, a value based on one or more of a hash value, a color ratio, a contour shape, and the like may be used.
  • a value of 0 [%] or more and 100 [%] or less representing the degree of difference may be used.
  • any one of a value indicating a difference and a value indicating a difference may be used.
  • the degree of divergence is, for example, a value indicating a difference when a value of 0 [%] or more and 100 [%] or less indicating the degree of difference exceeds a predetermined threshold, It may be a value indicating that there is no difference when a value between 0% and 100% is equal to or less than the predetermined threshold value.
  • Step S5 the icon comparison unit 133 acquires data of reference icons other than the reference icon of the diagnosis target file based on the content of the reference icon list 93 and the file format determined by the file format determination unit 131.
  • the icon comparison unit 133 compares the icon data extracted by the icon extraction unit 132 with the acquired reference icon data, and calculates the similarity between the icon and the reference icon.
  • the icon comparison unit 133 calculates the similarity for each acquired reference icon. Note that the order of the process of step S4 and the process of step S5 may be reversed.
  • the similarity between the icon and the reference icon is calculated using, for example, a predetermined mathematical formula.
  • a value representing the size of similarity between the icon image and the reference icon image is used.
  • a value based on one or more of a hash value, a color ratio, a contour shape, and the like may be used.
  • a value of 0 [%] to 100 [%] representing the degree of similarity may be used.
  • any one of a value indicating similarity and a value indicating dissimilarity may be used.
  • the similarity is, for example, a value indicating similarity when a value of 0 [%] or more and 100 [%] or less representing the degree of similarity exceeds a predetermined threshold, while the degree of similarity is It may be a value indicating that the value not less than 0% and not more than 100% is not similar when the value is equal to or less than the predetermined threshold.
  • the mathematical formula for calculating the degree of divergence between the icon and the reference icon may be used for different formulas for the mathematical formula for calculating the degree of divergence between the icon and the reference icon and the mathematical formula for calculating the similarity between the icon and the reference icon.
  • the same formula may be used.
  • the substantially same expression is, for example, an expression in which the degree of divergence and similarity between the icon and the reference icon are added to each other to become a constant value (for example, 100 [%], etc.) It is an expression that has a relationship that becomes a constant value (for example, 1).
  • Step S6 the risk determination unit 134 calculates the risk based on the calculation result of the degree of deviation between the icon of the diagnosis target file and the reference icon and the calculation result of the similarity between the icon of the file and the other reference icon. To do. Then, the risk determination unit 134 determines whether or not the calculated risk exceeds a predetermined threshold value.
  • the predetermined threshold value may be stored in advance in the storage unit 33, or may be designated at an arbitrary timing from an external device or a user.
  • step S6 YES
  • the process proceeds to step S7.
  • step S6: NO the process proceeds to step S8.
  • the risk level of the icon is calculated using, for example, a predetermined mathematical formula.
  • a value based on the degree of deviation between the icon and the reference icon and the degree of similarity between the icon and another reference icon is used as the risk level of the icon.
  • the degree of risk increases when the degree of divergence is large. If is small, the degree of danger is small, and the degree of danger is used.
  • the similarity between the icon of the file to be diagnosed and a reference icon that does not correspond to the format of the file an icon that is not originally expected
  • the greater the similarity, the greater the risk, and the similarity If the degree is small, the degree of danger becomes small, and the degree of danger is used.
  • the similarity for all other reference icons may be used, or the similarity for one other reference icon having the largest similarity. Degrees may be used.
  • Step S7 When it is determined that the degree of risk calculated in the process of step S6 exceeds the threshold, the risk determination unit 134 determines that there is a risk. Then, the process of this flow ends.
  • Step S8 When it is determined that the degree of risk calculated in the process of step S6 does not exceed the threshold, the risk determination unit 134 determines that there is no risk. Then, the process of this flow ends. Even when it is determined in the process of step S2 that the diagnosis target file does not include icon data, the risk determination unit 134 determines that there is no risk. Then, the process of this flow ends.
  • the risk determination unit 134 determines the presence or absence of risk for the file to be diagnosed. As another configuration example, the risk determination unit 134 determines the file to be diagnosed. If there is a risk, a more detailed degree of risk may be determined.
  • the data of each icon may be identified based on predetermined information (hereinafter also referred to as “icon identification information”).
  • the predetermined information may be, for example, an icon size (image size), a name attached to the icon, or a number attached to the icon. Or other information.
  • the size of the icon may be, for example, the amount of data.
  • the file format determination unit 131 for example, if the diagnosis target file includes one or more icon data, the file includes icon data. It is determined that
  • the icon extraction unit 132 extracts data of one or more predetermined icons when the diagnosis target file includes data of two or more icons.
  • the predetermined one or more icon data includes at least icon data used for the comparison performed by the icon comparison unit 133.
  • K is an integer equal to or greater than 1
  • the icon extraction unit 132 extracts at least the K icon data.
  • the icon data used for the comparison performed by the icon comparison unit 133 may be identified by, for example, icon identification information.
  • the icon data used for the comparison performed by the icon comparison unit 133 may be data of K icons from the larger size.
  • the icon extraction unit 132 extracts data of K icons from a larger size from a diagnosis target file including data of K or more icons. In this case, for example, when the diagnosis target file includes data of less than K icons, the icon extraction unit 132 may extract data of all the icons less than K.
  • the icon extraction unit 132 selects (identifies) and extracts icon data used for the comparison performed by the icon comparison unit 133.
  • the icon extraction unit 132 extracts data of all icons included in the diagnosis target file, and the icon comparison unit 133 uses the icon data used for comparison from the extracted data of all icons. May be selected (identified).
  • the icon comparison unit 133 uses part of the data of two or more icons included in the file to be diagnosed for comparison.
  • the icon comparison unit 133 may be configured to use data of all icons included in the diagnosis target file for comparison regardless of the number of icon data included in the diagnosis target file.
  • the icon extraction unit 132 extracts data of all icons included in the diagnosis target file.
  • the icon comparison unit 133 extracts the icon data extracted by the icon extraction unit 132 for each of one or more icon data determined in advance to be used for comparison. And the obtained reference icon data are compared to calculate the degree of divergence between the icon and the reference icon.
  • the icon comparison unit 133 compares the data of two or more icons included in the diagnosis target file, as an example, the comparison result of all the data of the two or more icons is considered.
  • the total value may be adopted as the final divergence.
  • the total value may be, for example, an average value or a total value of divergence degrees calculated for each of the data of these two or more icons, or may be another value.
  • the icon comparison unit 133 compares data of two or more icons included in a diagnosis target file, as another example, the data of one icon of the data of these two or more icons
  • the calculated divergence degree may be adopted as the final divergence degree.
  • the final divergence degree may be, for example, the divergence degree having the largest value among the divergence degrees calculated for each of the data of the two or more icons.
  • the icon comparison unit 133 extracts the icon data extracted by the icon extraction unit 132 for each of one or more icon data that is predetermined for comparison. And the obtained reference icon data are compared to calculate the similarity between the icon and the reference icon.
  • the icon comparison unit 133 compares the data of two or more icons included in the diagnosis target file, as an example, the comparison result of all the data of the two or more icons is considered.
  • the total value may be adopted as the final similarity.
  • the total value may be, for example, an average value or total value of similarities calculated for each of the data of these two or more icons, or may be another value.
  • the icon comparison unit 133 compares data of two or more icons included in a diagnosis target file, as another example, the data of one icon of the data of these two or more icons
  • the calculated similarity may be adopted as the final similarity.
  • the final similarity may be, for example, the similarity having the largest value among the similarities calculated for each of the data of the two or more icons.
  • the degree of divergence calculated by the icon comparison unit 133 with respect to the data of one icon (herein referred to as “icon A1”) among the data of two or more icons included in the diagnosis target file.
  • the icon A1 and the icon A2 are An example that could be different is given.
  • the icon comparison unit 133 calculates both the degree of divergence and the degree of similarity for each of the data of two or more icons included in the diagnosis target file, and finally, based on the calculation results of both.
  • the data of one icon to be adopted as the divergence degree and the final similarity degree may be determined.
  • the data of the one icon may be, for example, icon data that is determined to have the highest degree of risk when the calculated degree of divergence and the calculated degree of similarity are comprehensively determined.
  • the risk level may be calculated by the same calculation method as the risk level calculated by the risk determination unit 134, for example.
  • the reference icon list 93 relates to a file format including data of a plurality of icons, for example, and holds information on the reference icons for each of the plurality of icons.
  • the reference icon corresponding to each icon may be identified using, for example, the same information (for example, icon identification information) as the information for identifying the data of each icon.
  • the icon comparison unit 133 includes, for example, one icon data to be compared and one reference icon data corresponding to the icon data. And the degree of divergence is calculated.
  • the icon comparison unit 133 when the file to be diagnosed includes data of two or more icons, the icon comparison unit 133, for example, other than one icon data to be compared and one reference icon corresponding to the icon data The similarity is calculated by comparing with the data of the reference icon.
  • the reference icon data other than one reference icon corresponding to the icon data includes, for example, reference icon data corresponding to other icon data included in the diagnosis target file (that is, the same file).
  • Other reference icon data in the format may or may not be included (that is, only the reference icon data in other file formats, except for the reference icon data in the same file format). May be included).
  • the icon comparison unit 133 can compare the data of all icons extracted by the icon extraction unit 132 and determine one or both of the divergence degree and the similarity degree as a total value. Is possible. As another example, the icon comparison unit 133 compares the data of all icons extracted by the icon extraction unit 132, and determines one or both of the degree of deviation and the degree of similarity as the highest risk level. It is possible to judge by. As another example, the icon comparison unit 133 may compare the data of one icon having the largest size among the data of all icons extracted by the icon extraction unit 132. In general, it is considered that an icon having a larger size (large image) has a higher accuracy of comparison and can provide an accurate result.
  • FIG. 3 is a flowchart illustrating an example of icon display processing performed by the icon processing apparatus 11 according to an embodiment of the present invention. The process of the flowchart shown in FIG. 3 will be described. This process is a process for displaying the danger associated with the file with the icon impersonated. This process is performed by the diagnosis result output unit 112 of the control unit 34 of the icon processing apparatus 11.
  • This flow shows a case where the risk determination unit 134 of the icon diagnosis unit 111 of the control unit 34 determines the degree of risk for a diagnosis target file.
  • the risk determination unit 134 indicates that the file to be diagnosed has no risk, has a low risk, has a medium risk, or has a high risk. Judge one of them.
  • the danger determination unit 134 compares the degree of danger with two or more different thresholds to determine the degree of danger. As a specific example, the risk determination unit 134 determines that there is no risk when the risk level is equal to or lower than the first threshold value, and the risk level exceeds the first threshold value and is equal to or lower than the second threshold value.
  • the risk level is determined to be moderate.
  • the threshold value of 3 is exceeded, it is determined that the degree of risk is high.
  • the first threshold ⁇ the second threshold ⁇ the third threshold. In this flow, when there is a low degree of danger, the same processing as when there is no danger is performed.
  • Step S21 The display control unit 151 determines whether or not there is no risk for the display target file based on the determination result regarding the risk.
  • the display control unit 151 may display, for example, a file designated by an operation performed by the user, or display a file corresponding to a predetermined condition according to a predetermined processing procedure. It is good.
  • the display control unit 151 displays the reference icon of the file to be displayed based on the content of the reference icon list 93 stored in the storage unit 33 and the format of the file.
  • step S21 if it is determined that the file to be displayed is not dangerous (that is, there is a risk) (step S21: NO), the process proceeds to step S22.
  • information on the result of determination regarding the risk made by the risk determination unit 134 is stored in the storage unit 33.
  • the display control unit 151 refers to the information.
  • Step S22 If it is determined in step S21 that the display target file is not dangerous, the display control unit 151 determines that the display target file has a medium risk (see FIG. 3 is determined as to whether or not it is “hazard (medium)”. As a result of this determination, if it is determined that the file to be displayed has a medium risk (step S22: YES), the process proceeds to step S24. On the other hand, as a result of this determination, if it is determined that the file to be displayed is not a medium risk (step S22: NO), the process proceeds to step S23.
  • Step S23 When it is determined in the process of step S22 that the file to be displayed is not a medium risk, the display control unit 151 determines a high risk (for the display target file) based on the determination result regarding the risk ( It is determined whether or not it is “Danger (High)” in FIG. As a result of this determination, if it is determined that the file to be displayed has a high degree of risk (step S23: YES), the process proceeds to step S25. On the other hand, as a result of this determination, if it is determined that the file to be displayed is not at high risk (step S23: NO), the processing of this flow ends.
  • the display control unit 151 displays the reference icon of the file to be displayed based on the content of the reference icon list 93 stored in the storage unit 33 and the format of the file.
  • this case includes, for example, a case where there is a low degree of danger for the file to be displayed.
  • Step S24 When it is determined in the process of step S22 that the file to be displayed has a medium risk, the display control unit 151 displays the contents of the reference icon list 93 stored in the storage unit 33 and the relevant file for the display target file. Based on the file format, the reference icon of the file is displayed. Further, the display control unit 151 displays a mark indicating a medium danger for the reference icon. In the present embodiment, the display control unit 151 displays the mark so as to overlap the reference icon. Then, the process of this flow ends.
  • Step S25 When it is determined in the process of step S23 that the file to be displayed has a high degree of risk, the display control unit 151 displays the contents of the reference icon list 93 stored in the storage unit 33 and the relevant file for the display target file. Based on the file format, the reference icon of the file is displayed. Further, the display control unit 151 displays a mark indicating a high degree of danger for the reference icon. In the present embodiment, the display control unit 151 displays the mark so as to overlap the reference icon. Then, the process of this flow ends.
  • the display control unit 151 may store a correspondence between a file and information (icon information) for displaying a reference icon and a mark in a memory such as a cache memory. Then, the display control unit 151 may display icon information corresponding to the file to be displayed based on the correspondence stored in the memory.
  • icon information memorize stored in the said memory, only the icon information in which the mark regarding danger is displayed may be sufficient, for example, and all the icon information may be sufficient as it.
  • FIGS. 4 to 8 are diagrams each showing an example of icon display according to an embodiment of the present invention.
  • FIG. 4 is a diagram illustrating an example of icon information (icon information 211) of a file determined to have no risk.
  • the icon information 211 is the same as the information of the reference icon 212 of the file.
  • FIG. 5 is a diagram illustrating an example of icon information (icon information 221) of a file determined to have a medium risk.
  • the icon information 221 is information in which a mark 223 indicating a medium danger is superimposed on the reference icon 222 of the file.
  • FIG. 6 is a diagram illustrating an example of icon information (icon information 231) of a file determined to have a medium risk.
  • the icon information 231 is information in which a mark 233 indicating a medium danger is superimposed on the reference icon 232 of the file.
  • the mark 223 according to the example of FIG. 5 and the mark 233 according to the example of FIG. 6 are different marks.
  • the mark 233 according to the example of FIG. 6 includes character information that calls attention to the user (in the example of FIG. 6, “open attention!”).
  • FIG. 7 is a diagram illustrating an example of icon information (icon information 241) of a file determined to have a high degree of risk.
  • the icon information 241 is information in which a mark 243 indicating a high degree of danger is superimposed on the reference icon 242 of the file.
  • FIG. 8 is a diagram illustrating an example of icon information (icon information 251) of a file determined to have a high degree of risk.
  • the icon information 251 is information in which a mark 253 indicating a high degree of danger is superimposed on the reference icon 252 of the file.
  • the mark 243 according to the example of FIG. 7 and the mark 253 according to the example of FIG. 8 are different marks.
  • the mark 253 according to the example of FIG. 8 includes character information that calls attention to the user (“open danger” in the example of FIG. 8).
  • each of the marks 223, 233, 243, 253 may have any color.
  • the color of the mark may be different depending on the degree of danger.
  • the marks 223 and 233 indicating a medium risk may have a yellow color in a large portion
  • the marks 243 and 253 indicating a high risk may have a red color in a large portion. Good.
  • a configuration in which a mark indicating a low level of danger is not displayed for a file having a low level of risk is shown.
  • a configuration that displays a mark indicating a low degree of danger may be used.
  • 3 to 8 show a configuration in which three levels of risk, low, medium, and high, are determined, and display is performed according to the determination result.
  • a configuration may be used in which a one-stage risk of “no” (presence / absence of danger) is determined and display is performed according to the determination result.
  • a configuration may be used in which a two-stage risk is determined and display is performed according to the determination result.
  • a configuration may be used in which the risk in four or more stages is determined and display is performed according to the determination result.
  • the display control unit 151 is configured to display the marks 223, 233, 243, and 253 so as to overlap the reference icons 222, 232, 242, and 252.
  • Other arrangements may be used as the arrangement to be displayed.
  • a configuration in which the display control unit 151 displays the mark at a position where a part of the reference icon and a part of the mark overlap may be used.
  • the position may be one of up, down, left, right, or diagonal positions with respect to the reference icon.
  • a configuration in which the display control unit 151 displays a mark at a position adjacent to and in contact with the reference icon may be used.
  • the position may be one of up, down, left, right, or diagonal positions with respect to the reference icon.
  • a configuration may be used in which the display control unit 151 displays a mark at a position near a predetermined distance from the reference icon.
  • the position may be one of up, down, left, right, or diagonal positions with respect to the reference icon.
  • a mark indicating danger a mark including various figures or characters may be used. Various colors may be used as marks indicating danger.
  • the configuration in which the diagnosis result output unit 112 of the control unit 34 displays the mark indicating the danger by the display control unit 151 is shown.
  • a configuration may be used in which the diagnosis result output unit 112 of the control unit 34 displays a dialog indicating information such as a warning or a warning regarding danger by the display control unit 151.
  • a configuration in which the diagnosis result output unit 112 of the control unit 34 outputs a sound (including sound) indicating danger may be used.
  • the display control unit 151 may display the mark indicating the danger on the reference icon. That is, for example, any configuration may be used as long as a mark indicating danger is seen when the user visually looks at the icon.
  • the display control unit 151 may display a mark indicating the danger on the reference icon by rewriting (or replacing) the icon data included in the file to be displayed.
  • the display control unit 151 uses a configuration in which a mark indicating a danger is displayed over the reference icon without rewriting (or replacing) the icon data included in the display target file. May be.
  • a configuration is used in which a mark indicating danger is displayed over the reference icon by control performed by the application displaying the icon. May be.
  • the application displaying the icon is configured to have the function of the display control unit 151, and the icon data may be rewritten (or replaced) by the control performed by the application. ) Good.
  • the icon data may be rewritten (or replaced) by the control of the application displaying the icon. Also good.
  • the application that displays the icon may be various applications, such as Explorer (registered trademark).
  • the method for determining whether or not the file includes icon data by the file format determination unit 131 and the method for extracting icon data included in the file by the icon extraction unit 132 are not particularly limited.
  • the file format determining unit 131 can determine whether the file includes icon data based on the structure of the executable file. Further, based on the structure of the execution file, the icon extraction unit 132 can extract icon data included in the file.
  • FIG. 9 is a diagram showing an example of an executable file structure according to an embodiment of the present invention.
  • the example of FIG. 9 is an example of the structure of a general execution file (EXE file).
  • the execution file is, for example, binary information.
  • the execution file includes a calling header structure 311 and a stub program 312, a PE header 313, and section data.
  • Section data includes a section header 314, a text section 315, a data section 316, a resource section 317, and the like.
  • the icon data is considered to be included in, for example, the resource section 317.
  • processing by the file format determination unit 131 and processing by the icon extraction unit 132 are performed based on the contents of the resource section 317. It may be broken.
  • an MZ signature (a character string “MZ”) exists at the top of the executable file, and whether or not the file is an executable file may be determined according to the presence or absence of the MZ signature.
  • the icon extraction unit 132 may extract the icon data included in the file based on the icon image. Good. In this case, for example, the icon extraction unit 132 may perform image recognition processing to extract data corresponding to the icon image.
  • the file holding the icon is only the executable file format, and the Windows (registered trademark) displays the icon associated with the extension of the file of the other format.
  • the embodiment of the present invention may be applied to such a new file format.
  • Arbitrary timings may be used as the timing at which the icon diagnosis unit 111 performs icon diagnosis processing.
  • any timing may be used as the timing for performing the icon display processing by the diagnosis result output unit 112.
  • the icon diagnosis process and the icon display process may be performed at independent timings.
  • an icon display process related to the diagnosis result may be performed at a timing when the icon diagnosis process is completed.
  • timing that can be used as timing for performing icon diagnosis processing or timing for performing icon display processing.
  • one or both of icon diagnosis processing and icon display processing may be performed at a timing when a file is opened by double-clicking or the like by an operation performed by a user in a computer.
  • the danger display may be performed before the file is opened.
  • a target such as a desktop or a folder is opened by an operation performed by a user in a computer
  • one or both of icon diagnosis processing and icon display processing may be performed on a file existing on the target.
  • a display regarding danger may be performed.
  • a file of a program resident in the computer may be used as the file existing in the target.
  • a computer when a check of a file stored in a memory is executed periodically or in a timely manner, one or both of icon diagnosis processing and icon display processing is performed for the file at the execution timing. It may be broken.
  • a file attached by an e-mail when a file attached by an e-mail is received, when a file attached by an e-mail is expanded, when a file is displayed by a web browser, or by a web browser
  • One or both of the icon diagnosis process and the icon display process may be performed for the corresponding file at one or more timings of downloading the file.
  • one or both of icon diagnosis processing and icon display processing may be performed on the identified file at the timing when the file is identified from communication packets transmitted over the network in the computer.
  • the control unit 34 may block transmission of a file that is determined to be dangerous or a file that is determined to have a risk exceeding a predetermined threshold.
  • the computer may be, for example, a personal computer (PC) or a computer such as a router or a switch in a network.
  • PC personal computer
  • a computer such as a router or a switch in a network.
  • the icon diagnosis unit 111 performs diagnosis processing using a signature. For example, the icon diagnosis unit 111 verifies the signature attached to the file to be diagnosed, and determines whether or not the certificate related to the signature is issued by a legitimate organization. If the icon diagnosis unit 111 determines that the certificate is issued by a legitimate organization, the icon diagnosis unit 111 determines that there is no risk of the file with respect to the signature. On the other hand, when the icon diagnosis unit 111 determines that the certificate is not issued from a legitimate organization, the icon diagnosis unit 111 determines that the file has a risk regarding the signature. Note that, for example, information for identifying a legitimate institution may be stored in the storage unit 33 in advance or at any time, and the icon diagnosis unit 111 may make a determination with reference to the information.
  • the icon diagnosis unit 111 may determine the degree of risk when there is a risk of the file to be diagnosed. For example, if the icon diagnosis unit 111 determines that a certificate is not given to the file, the icon diagnosis unit 111 may determine that there is a high degree of risk regarding the signature. For example, when the icon diagnosis unit 111 determines that a self-certificate is given to the file, the icon diagnosis unit 111 may determine that there is a medium risk regarding the signature.
  • the degree of these dangers is an example, and arbitrary degrees of danger may be used.
  • the icon diagnosis unit 111 performs a diagnosis process using a signature together with a diagnosis process using an icon for a diagnosis target file, and based on the result of each diagnosis process, Alternatively, the overall risk level may be determined. Note that, for example, the correspondence between each diagnosis processing result and the overall risk level or the overall risk level is stored in the storage unit 33 in advance or at any time, and the icon diagnosis unit 111 refers to the correspondence. A determination may be made.
  • diagnosis processing using icons is shown, but the icon diagnosis unit 111 may be configured to perform diagnosis processing using a white list.
  • the white list is stored in the storage unit 33.
  • the white list includes information regarding a file to be determined as having no risk.
  • the information related to the file may include, for example, one or more information of the file name, the file size, the file icon, and the like. Even when the icon diagnosis unit 111 determines that the file to be diagnosed is dangerous in the result of the diagnosis process using the icon, if the information on the file is included in the white list, the risk is Judge that there is no.
  • the icon processing apparatus 11 can detect malware in which an icon is camouflaged by performing icon diagnosis processing on a diagnosis target file. Thereby, in the icon processing apparatus 11, for example, it is possible to easily find malware that is difficult for a user to identify as malware. Thus, in the icon processing apparatus 11 according to the present embodiment, it is possible to accurately diagnose whether or not the icon is a disguised malware.
  • the icon processing apparatus 11 there is a danger or a more detailed degree of danger by performing an icon display process using a mark indicating danger on the display target file. Can be shown in the icon.
  • the icon processing apparatus 11 it can be recognized that there is a danger at a glance by the user by the appearance of the icon. For example, even if the user has little knowledge of computers or malware, the user can grasp the presence or absence of the displayed icon file or the more detailed degree of danger, and do not open the dangerous file. Measures such as making it possible are possible.
  • the icon processing apparatus 11 according to the present embodiment it is possible to display that the icon is a camouflaged malware in a manner that is easy for the user to distinguish.
  • a file format determination unit (file format determination unit 131 in the example of FIG. 1) that determines the format of a diagnosis target file
  • an icon extraction unit extracts an icon of the diagnosis target file.
  • the icon extraction unit 132) compares the icon extracted by the icon extraction unit with the reference icon corresponding to the format determined by the file format determination unit, the icon extracted by the icon extraction unit, and the file Based on the result of the comparison by the icon comparison unit (icon comparison unit 133 in the example of FIG. 1) that compares a reference icon other than the reference icon corresponding to the format determined by the format determination unit, and the comparison result by the icon comparison unit.
  • An icon diagnosis device (example in FIG.
  • the icon diagnosis apparatus compares the icon extracted by the icon extraction unit with the reference icon corresponding to the format determined by the file format determination unit, and determines the degree of divergence between the two. get.
  • the icon comparison unit compares the icon extracted by the icon extraction unit with a reference icon other than the reference icon corresponding to the format determined by the file format determination unit. Get the similarity of.
  • the risk determination unit performs determination regarding the degree of risk.
  • the degree of risk is that there is a risk, or the degree of risk is two or more stages.
  • the risk determination unit performs the risk determination based on the determination result regarding the signature attached to the diagnosis target file and the comparison result by the icon comparison unit.
  • the icon diagnosis apparatus determines the format of the diagnosis target file, the icon diagnosis apparatus extracts the icon of the diagnosis target file, and the icon diagnosis apparatus determines the extracted icon and the determined format.
  • the icon diagnosis device compares the extracted icon with a reference icon other than the reference icon corresponding to the determined format, and the icon diagnosis device determines the risk based on the comparison result. Is an icon diagnosis method (in the example of FIG. 1, a method of processing performed by the icon processing device 11).
  • the step of determining the format of the file to be diagnosed the step of extracting the icon of the file to be diagnosed, comparing the extracted icon with a reference icon corresponding to the determined format,
  • a program for causing a computer to execute a step of comparing an extracted icon with a reference icon other than the reference icon corresponding to the determined format, and a step of making a determination regarding danger based on a result of the comparison In the example of FIG. 1, the program is executed by the icon processing device 11.
  • an icon extraction unit that extracts an icon of a diagnosis target file, an icon extracted by the icon extraction unit, and a first reference icon are compared, and an icon extracted by the icon extraction unit;
  • An icon diagnostic apparatus comprising: an icon comparison unit that compares a second reference icon other than the first reference icon.
  • the icon diagnosis apparatus includes a risk determination unit that performs a risk determination based on a result of comparison by the icon comparison unit.
  • the icon diagnosis apparatus includes a file format determination unit that determines the format of a file to be diagnosed, and the icon comparison unit includes an icon extracted by the icon extraction unit and a format determined by the file format determination unit Is compared with the first reference icon corresponding to the icon, and the icon extracted by the icon extraction unit is compared with the second reference icon.
  • the icon diagnosis device extracts an icon of a file to be diagnosed, the icon diagnosis device compares the extracted icon with the first reference icon, and extracts the extracted icon and the first This is an icon diagnosis method for comparing with a second reference icon other than the reference icon.
  • a step of extracting an icon of a file to be diagnosed, comparing the extracted icon and the first reference icon, and extracting the extracted icon and a second other than the first reference icon A program for causing a computer to execute a step of comparing with a reference icon.
  • an icon extraction unit that extracts an icon of a diagnosis target file, a file format determination unit that determines the format of the diagnosis target file, an icon extracted by the icon extraction unit, and a file format determination unit
  • An icon comparison unit that compares a first reference icon that is a reference icon corresponding to the format that has been created, and that compares an icon extracted by the icon extraction unit with a second reference icon other than the first reference icon
  • an icon diagnostic device extracts an icon of a diagnosis target file
  • the icon diagnosis device determines the format of the diagnosis target file
  • the icon diagnosis device determines the extracted icon and the determined format.
  • a step of extracting an icon of a diagnosis target file a step of determining a format of the diagnosis target file, an extracted icon, and a first reference that is a reference icon corresponding to the determined format
  • a program for realizing the function of the device (for example, the icon processing device 11) according to the above-described embodiment is recorded (stored) in a computer-readable recording medium (storage medium).
  • the processing may be performed by causing the computer system to read and execute the program recorded on the recording medium.
  • the “computer system” may include an operating system (OS) or hardware such as a peripheral device.
  • the “computer-readable recording medium” means a flexible disk, a magneto-optical disk, a ROM (Read Only Memory), a writable nonvolatile memory such as a flash memory, a portable medium such as a DVD (Digital Versatile Disk), A storage device such as a hard disk built in a computer system.
  • the “computer-readable recording medium” refers to a volatile memory (for example, DRAM (DRAM)) inside a computer system that becomes a server or a client when a program is transmitted via a network such as the Internet or a communication line such as a telephone line. And a program that holds a program for a certain period of time, such as Dynamic Random Access Memory)).
  • the program may be transmitted from a computer system storing the program in a storage device or the like to another computer system via a transmission medium or by a transmission wave in the transmission medium.
  • the “transmission medium” for transmitting the program refers to a medium having a function of transmitting information, such as a network (communication network) such as the Internet or a communication line (communication line) such as a telephone line.
  • a network such as the Internet
  • a communication line such as a telephone line.
  • the above program may be for realizing a part of the functions described above.
  • the above program may be a so-called difference file (difference program) that can realize the above-described functions in combination with a program already recorded in the computer system.

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Human Computer Interaction (AREA)
  • User Interface Of Digital Computer (AREA)

Abstract

This icon diagnostic device is provided with: an icon extraction unit which extracts the icon of a file to be diagnosed; a file format determination unit which determines the format of the file to be diagnosed; and an icon comparison unit which compares the icon extracted by the icon extraction unit and a first reference icon, which is a reference icon corresponding to the format determined by the file format determination unit, and compares the aforementioned icon extracted by the icon extraction unit and a second reference icon other than the aforementioned first reference icon.

Description

アイコン診断装置、アイコン診断方法およびプログラムIcon diagnosis apparatus, icon diagnosis method and program
 本発明は、アイコン診断装置、アイコン診断方法およびプログラムに関する。
 本願は、2016年2月5日に日本に出願された特願2016-20955号および2016年6月10日に日本に出願された特願2016-116611号に基づき優先権を主張し、その内容をここに援用する。 The present invention relates to an icon diagnosis apparatus, an icon diagnosis method, and a program.
This application claims priority based on Japanese Patent Application No. 2016-20955 filed in Japan on February 5, 2016 and Japanese Patent Application No. 2016-116611 filed on Japan on June 10, 2016, and the contents thereof. Is hereby incorporated by reference.
 近年、マルウェアは、ユーザにクリックさせるための様々な仕掛けが施されている。その仕掛けの一つに、アイコンの偽装がある。具体的には、実行ファイルであるマルウェアのアイコンをユーザにクリックさせようと誘導するために、当該マルウェアのアイコンをドキュメント系のアイコンあるいはアーカイブ系のアイコンに偽装することが行われている。ドキュメント系のアイコンとしては、例えば、MicrosoftOffice(登録商標)、あるいは、AdobeAcrobat(登録商標)などがあり、また、アーカイブ系のアイコンとしては、例えば、zip形式、あるいは、lzh形式などがある。 In recent years, various devices have been implemented for malware to make users click. One of the devices is impersonation of icons. Specifically, in order to guide the user to click an icon of malware that is an executable file, the malware icon is disguised as a document icon or an archive icon. Examples of document icons include Microsoft Office (registered trademark) or Adobe Acrobat (registered trademark). Archive icons include, for example, the zip format or the lzh format.
 また、ユーザにより圧縮ファイルが解凍されると、アイコンが偽装されたファイルが作成されて、そのアイコンをユーザにクリックさせようと誘導する場合がある。
 他の例として、ファイルの名称に大量のスペースを入力して拡張子(ファイルの種別を識別する文字列)を見せなくすることで、アイコンをユーザにクリックさせようと誘導する場合がある。他の例として、アラビア文字のように右から左に記述する言語を利用して拡張子を判別しにくくすることで、アイコンをユーザにクリックさせようと誘導する場合がある。 Further, when the compressed file is decompressed by the user, a file in which an icon is disguised is created, and the user may be prompted to click the icon.
As another example, the user may be prompted to click an icon by entering a large amount of space in the name of the file and hiding the extension (a character string that identifies the type of file). As another example, there is a case where the user is prompted to click an icon by making it difficult to distinguish an extension using a language described from right to left such as Arabic characters.
 なお、アイコンが偽装されていても、当該アイコンの拡張子を見ればマルウェアであるか否かを判別することが可能であるが、例えば、Windows(登録商標)のデフォルト設定では拡張子が表示されず、判別が難しい場合があった。また、アイコンの拡張子が表示される設定であったとしても、アイコンの方が拡張子よりも視認性が高いことから、アイコンのみを見てファイルの形式あるいは内容を認識する人が多く、拡張子に気付きにくい場合があった。さらに、アイコンの拡張子の前に多数の空白文字を入れることで当該拡張子を誤認させる場合、あるいは、RLO(Right-to-Left Override)と呼ばれる制御文字を使用してアイコンの拡張子を偽装する場合があり、拡張子を目視で確認するだけではマルウェアを判別することが難しいときも多い。 Even if an icon is camouflaged, it is possible to determine whether it is malware or not by looking at the extension of the icon. For example, the extension is displayed in the default settings of Windows (registered trademark). In some cases, it was difficult to distinguish. Even if the extension of the icon is set to be displayed, since the icon is more visible than the extension, many people recognize only the icon and recognize the file format or content. There were cases where it was difficult to notice the child. In addition, when a lot of white space characters are inserted before the extension of the icon, the extension is misidentified, or a control character called RLO (Right-to-Left Override) is used to impersonate the extension of the icon. In many cases, it is difficult to identify malware just by visually checking the extension.
特開2010-198565号公報JP 2010-198565 A
 従来では、マルウェアのアイコンが偽装されたときに、マルウェアであることを診断することが難しい場合があった。
 なお、特許文献1に記載された不正プログラム検知方法等では、対象のファイルが実行ファイルであるか否かを判定し、実行ファイルであると判定したファイルについて、偽装したアイコンを持つ不正プログラムであるか否かを診断することが行われるが、許可プログラムリストおよびアイコンブラックリストが必ず必要であり、他の診断手法が望まれていた。 Conventionally, when a malware icon is disguised, it may be difficult to diagnose that it is malware.
Note that in the malicious program detection method described in Patent Document 1, it is determined whether or not the target file is an executable file, and the file that is determined to be an executable file is a malicious program having a camouflaged icon. However, the permitted program list and the icon black list are always necessary, and other diagnostic methods have been desired.
 本発明の実施形態は、このような事情に鑑み、アイコンが偽装されたマルウェアであるか否かを診断することができるアイコン診断装置、アイコン診断方法およびプログラムを提供する。 In view of such circumstances, the embodiment of the present invention provides an icon diagnosis apparatus, an icon diagnosis method, and a program capable of diagnosing whether or not an icon is a disguised malware.
 本発明の実施形態に係るアイコン診断装置は、診断対象のファイルのアイコンを抽出するアイコン抽出部と、前記診断対象のファイルの形式を判定するファイル形式判定部と、前記アイコン抽出部により抽出された前記アイコンと、前記ファイル形式判定部により判定された形式に対応する基準アイコンである第1の基準アイコンとを比較するとともに、前記アイコン抽出部により抽出された前記アイコンと、前記第1の基準アイコン以外の第2の基準アイコンとを比較するアイコン比較部と、を備える。
 また、本発明の一態様に係るアイコン診断装置において、前記アイコン比較部は、前記アイコン抽出部により抽出された前記アイコンと、前記第1の基準アイコンとを比較して、両者の乖離度を取得する。
 また、本発明の一態様に係るアイコン診断装置において、前記アイコン比較部は、前記アイコン抽出部により抽出された前記アイコンと、前記第2の基準アイコンとを比較して、両者の類似度を取得する。
 また、本発明の一態様に係るアイコン診断装置において、前記アイコン比較部による比較の結果に基づいて、危険に関する判定を行う危険判定部を備える。
 また、本発明の一態様に係るアイコン診断装置において、前記危険判定部は、危険性の程度に関する判定を行う。
 また、本発明の一態様に係るアイコン診断装置において、前記危険性の程度は、前記危険性があること、または、前記危険性の2段階以上の程度である。
 また、本発明の一態様に係るアイコン診断装置において、前記危険判定部は、前記診断対象のファイルに付与された署名に関する判定の結果および前記アイコン比較部による比較の結果に基づいて、危険に関する判定を行う。 An icon diagnosis apparatus according to an embodiment of the present invention is extracted by an icon extraction unit that extracts an icon of a diagnosis target file, a file format determination unit that determines a format of the diagnosis target file, and the icon extraction unit. The icon is compared with a first reference icon that is a reference icon corresponding to the format determined by the file format determination unit, and the icon extracted by the icon extraction unit and the first reference icon An icon comparison unit that compares a second reference icon other than.
In the icon diagnosis apparatus according to one aspect of the present invention, the icon comparison unit compares the icon extracted by the icon extraction unit with the first reference icon, and acquires a degree of divergence between the icons. To do.
Further, in the icon diagnosis apparatus according to one aspect of the present invention, the icon comparison unit compares the icon extracted by the icon extraction unit with the second reference icon, and acquires the similarity between the icons. To do.
The icon diagnosis apparatus according to an aspect of the present invention further includes a risk determination unit that performs a risk determination based on a result of comparison by the icon comparison unit.
In the icon diagnosis apparatus according to one aspect of the present invention, the risk determination unit performs a determination regarding the degree of risk.
In the icon diagnostic apparatus according to one aspect of the present invention, the degree of the danger is that there is the danger or is two or more stages of the danger.
In the icon diagnosis apparatus according to one aspect of the present invention, the risk determination unit may determine the risk based on a determination result regarding the signature attached to the diagnosis target file and a comparison result by the icon comparison unit. I do.
 本発明の実施形態に係るアイコン診断方法は、アイコン診断装置が、診断対象のファイルのアイコンを抽出し、前記アイコン診断装置が、前記診断対象のファイルの形式を判定し、前記アイコン診断装置が、抽出された前記アイコンと、判定された形式に対応する基準アイコンである第1の基準アイコンとを比較するとともに、抽出された前記アイコンと、前記第1の基準アイコン以外の第2の基準アイコンとを比較する。 In an icon diagnosis method according to an embodiment of the present invention, an icon diagnosis apparatus extracts an icon of a file to be diagnosed, the icon diagnosis apparatus determines a format of the diagnosis object file, and the icon diagnosis apparatus includes: The extracted icon is compared with a first reference icon that is a reference icon corresponding to the determined format, and the extracted icon and a second reference icon other than the first reference icon Compare
 本発明の実施形態に係るプログラムは、診断対象のファイルのアイコンを抽出するステップと、前記診断対象のファイルの形式を判定するステップと、抽出された前記アイコンと、判定された形式に対応する基準アイコンである第1の基準アイコンとを比較するとともに、抽出された前記アイコンと、前記第1の基準アイコン以外の第2の基準アイコンとを比較するステップと、をコンピュータに実行させるためのプログラムである。 A program according to an embodiment of the present invention includes a step of extracting an icon of a diagnosis target file, a step of determining a format of the diagnosis target file, the extracted icon, and a criterion corresponding to the determined format A program for causing a computer to compare a first reference icon, which is an icon, and a step of comparing the extracted icon and a second reference icon other than the first reference icon. is there.
 上記した本発明の実施形態に係るアイコン診断装置、アイコン診断方法およびプログラムによれば、アイコンが偽装されたマルウェアであるか否かを診断することができる。 According to the icon diagnosis apparatus, the icon diagnosis method, and the program according to the embodiment of the present invention described above, it is possible to diagnose whether or not the icon is a disguised malware.
本発明の一実施形態に係るアイコン処理装置の概略的な構成例を示す図である。It is a figure which shows the schematic structural example of the icon processing apparatus which concerns on one Embodiment of this invention. 本発明の一実施形態に係るアイコン処理装置により行われるアイコン診断処理の一例を示すフローチャートである。It is a flowchart which shows an example of the icon diagnostic process performed by the icon processing apparatus which concerns on one Embodiment of this invention. 本発明の一実施形態に係るアイコン処理装置により行われるアイコン表示処理の一例を示すフローチャートである。It is a flowchart which shows an example of the icon display process performed by the icon processing apparatus which concerns on one Embodiment of this invention. 本発明の一実施形態に係るアイコン表示の一例を示す図である。It is a figure which shows an example of the icon display which concerns on one Embodiment of this invention. 本発明の一実施形態に係るアイコン表示の一例を示す図である。It is a figure which shows an example of the icon display which concerns on one Embodiment of this invention. 本発明の一実施形態に係るアイコン表示の一例を示す図である。It is a figure which shows an example of the icon display which concerns on one Embodiment of this invention. 本発明の一実施形態に係るアイコン表示の一例を示す図である。It is a figure which shows an example of the icon display which concerns on one Embodiment of this invention. 本発明の一実施形態に係るアイコン表示の一例を示す図である。It is a figure which shows an example of the icon display which concerns on one Embodiment of this invention. 本発明の一実施形態に係る実行ファイルの構造の一例を示す図である。It is a figure which shows an example of the structure of the execution file which concerns on one Embodiment of this invention.
 本発明の実施形態について図面を参照して詳細に説明する。 Embodiments of the present invention will be described in detail with reference to the drawings.
 [アイコン処理装置の説明]
 図1は、本発明の一実施形態に係るアイコン処理装置11の概略的な構成例を示す図である。
 本実施形態に係るアイコン処理装置11は、入力部31と、出力部32と、記憶部33と、制御部34を備える。 [Description of icon processing device]
FIG. 1 is a diagram illustrating a schematic configuration example of an icon processing apparatus 11 according to an embodiment of the present invention.
The icon processing apparatus 11 according to the present embodiment includes an input unit 31, an output unit 32, a storage unit 33, and a control unit 34.
 入力部31は、外部から情報を入力する。
 入力部31は、例えば、外部の記録媒体または他の装置から出力される情報を入力するインタフェースを有してもよい。
 入力部31は、例えば、ユーザにより行われた操作に対応する情報を入力する操作部を有してもよい。 The input unit 31 inputs information from outside.
For example, the input unit 31 may include an interface for inputting information output from an external recording medium or another device.
The input unit 31 may include an operation unit that inputs information corresponding to an operation performed by the user, for example.
 出力部32は、外部へ情報を出力する。
 出力部32は、例えば、情報を表示出力する表示部71を有する。表示部71は、例えば、ディスプレイの画面である。本実施形態では、アイコン処理装置11が表示部71を内蔵する構成例を示すが、他の構成例として、表示部71が、アイコン処理装置11と別体で備えられて、当該アイコン処理装置11と通信可能に接続されてもよい。
 出力部32は、例えば、外部の記録媒体または他の装置に情報を出力するインタフェースを有してもよい。 The output unit 32 outputs information to the outside.
The output unit 32 includes, for example, a display unit 71 that displays and outputs information. The display unit 71 is, for example, a display screen. In the present embodiment, a configuration example in which the icon processing device 11 includes the display unit 71 is shown. As another configuration example, the display unit 71 is provided separately from the icon processing device 11, and the icon processing device 11 is provided. May be communicably connected.
For example, the output unit 32 may include an interface that outputs information to an external recording medium or another device.
 記憶部33は、情報を記憶する。
 記憶部33は、例えば、ファイル情報91を記憶する。ファイル情報91は、1または複数のファイルの情報を含む。 The storage unit 33 stores information.
The storage unit 33 stores file information 91, for example. The file information 91 includes information on one or more files.
 記憶部33は、例えば、ファイル形式リスト92を記憶する。ファイル形式リスト92は、各種のファイルの形式(ファイル形式)の情報を含む。ファイル形式リスト92は、例えば、拡張子の情報、および当該ファイル内の特徴的な情報などを含んでおり、このような情報とファイル形式との対応を保持する。なお、ファイル形式リスト92は、ファイルの様々な情報とファイル形式との対応を保持してもよい。ファイル形式リスト92は、例えば、アイコン処理装置11またはユーザなどによって、随時更新されてもよい。 The storage unit 33 stores a file format list 92, for example. The file format list 92 includes information on various file formats (file formats). The file format list 92 includes, for example, extension information and characteristic information in the file, and holds correspondence between such information and file formats. The file format list 92 may hold correspondences between various file information and file formats. The file format list 92 may be updated as needed, for example, by the icon processing device 11 or the user.
 記憶部33は、例えば、基準アイコンリスト93を記憶する。基準アイコンリスト93は、様々なファイル形式と、基準となるアイコン(基準アイコン)の情報との対応を保持する。基準アイコンリスト93は、例えば、アイコン処理装置11またはユーザなどによって、随時更新されてもよい。 The storage unit 33 stores a reference icon list 93, for example. The reference icon list 93 holds correspondences between various file formats and reference icon (reference icon) information. The reference icon list 93 may be updated as needed by, for example, the icon processing device 11 or the user.
 制御部34は、アイコン処理装置11における各種の処理を制御する。
 制御部34は、アイコン診断部111と、診断結果出力部112を備える。
 アイコン診断部111は、ファイル形式判定部131と、アイコン抽出部132と、アイコン比較部133と、危険判定部134を備える。
 診断結果出力部112は、表示制御部151を備える。 The control unit 34 controls various processes in the icon processing apparatus 11.
The control unit 34 includes an icon diagnosis unit 111 and a diagnosis result output unit 112.
The icon diagnosis unit 111 includes a file format determination unit 131, an icon extraction unit 132, an icon comparison unit 133, and a risk determination unit 134.
The diagnosis result output unit 112 includes a display control unit 151.
 ここで、本実施形態では、説明の便宜上、制御部34が有する各種の機能を複数に分けて示すが、これらの機能は他の分け方で備えられてもよい。例えば、制御部34をプロセッサを用いて構成し、当該プロセッサが記憶部33に記憶された制御用のプログラムを実行することで各種の機能を実現する場合、各種の機能は、1つのプログラムにまとめられてもよく、または、任意の分け方で、2つ以上のプログラムに分けられてもよい。 Here, in this embodiment, for convenience of explanation, various functions of the control unit 34 are divided into a plurality of parts, but these functions may be provided in other ways. For example, when the control unit 34 is configured by using a processor and the processor realizes various functions by executing a control program stored in the storage unit 33, the various functions are combined into one program. Or may be divided into two or more programs in any way.
 [アイコン診断処理の説明]
 図2は、本発明の一実施形態に係るアイコン処理装置11により行われるアイコン診断処理の一例を示すフローチャートである。
 図2に示されるフローチャートの処理を説明する。当該処理は、アイコンが偽装されたファイルに関する危険性を判断(診断)する処理である。当該処理は、アイコン処理装置11の制御部34のアイコン診断部111により行われる。 [Description of icon diagnosis processing]
FIG. 2 is a flowchart showing an example of icon diagnosis processing performed by the icon processing apparatus 11 according to an embodiment of the present invention.
The process of the flowchart shown in FIG. 2 will be described. This process is a process for determining (diagnosis) a risk related to a file in which an icon is camouflaged. This process is performed by the icon diagnosis unit 111 of the control unit 34 of the icon processing apparatus 11.
 (ステップS1)
 まず、アイコン診断部111は、記憶部33に記憶されたファイル情報91から、診断対象のファイルの情報を取得する。ここで、アイコン診断部111は、例えば、ユーザにより行われた操作によって指定されたファイルを診断対象としてもよく、または、あらかじめ定められた処理の手順にしたがって所定の条件に該当するファイルを診断対象としてもよい。
 ファイル形式判定部131は、記憶部33に記憶されたファイル形式リスト92の内容を参照する。そして、ファイル形式判定部131は、ファイル形式リスト92の内容および診断対象のファイルの情報に基づいて、当該ファイルの形式を判定する。例えば、ファイル形式判定部131は、ファイル形式リスト92に保持された対応(ファイルの情報とファイル形式との対応)と、診断対象のファイルの情報とを比較して、当該ファイルの情報に対応するファイル形式を特定して、特定したファイル形式を判定結果として取得する。 (Step S1)
First, the icon diagnosis unit 111 acquires information on a diagnosis target file from the file information 91 stored in the storage unit 33. Here, for example, the icon diagnosis unit 111 may set a file specified by an operation performed by the user as a diagnosis target, or search a file corresponding to a predetermined condition according to a predetermined processing procedure as a diagnosis target. It is good.
The file format determination unit 131 refers to the contents of the file format list 92 stored in the storage unit 33. Then, the file format determination unit 131 determines the format of the file based on the contents of the file format list 92 and information on the diagnosis target file. For example, the file format determination unit 131 compares the correspondence held in the file format list 92 (correspondence between the file information and the file format) with the information on the diagnosis target file, and corresponds to the information on the file. The file format is specified, and the specified file format is acquired as a determination result.
 (ステップS2)
 次に、ファイル形式判定部131は、診断対象のファイルの形式を判定した結果に基づいて、当該ファイルがアイコンのデータを含んでいるか否かを判定する。
 この判定の結果、当該ファイルがアイコンのデータを含んでいると判定された場合には(ステップS2:YES)、ステップS3~ステップS6の処理へ移行する。一方、この判定の結果、当該ファイルがアイコンのデータを含んでいないと判定された場合には(ステップS2:NO)、ステップS8の処理へ移行する。 (Step S2)
Next, the file format determination unit 131 determines whether or not the file includes icon data based on the result of determining the format of the diagnosis target file.
As a result of this determination, if it is determined that the file contains icon data (step S2: YES), the process proceeds to steps S3 to S6. On the other hand, as a result of this determination, if it is determined that the file does not contain icon data (step S2: NO), the process proceeds to step S8.
 (ステップS3)
 ステップS2の処理において診断対象のファイルがアイコンのデータを含んでいると判定された場合、アイコン抽出部132は、当該アイコンのデータを抽出する。 (Step S3)
When it is determined in step S2 that the diagnosis target file includes icon data, the icon extraction unit 132 extracts the icon data.
 (ステップS4)
 次に、アイコン比較部133は、記憶部33に記憶された基準アイコンリスト93の内容を参照する。そして、アイコン比較部133は、基準アイコンリスト93の内容およびファイル形式判定部131により判定されたファイルの形式に基づいて、診断対象のファイルの基準アイコンのデータを取得する。例えば、アイコン比較部133は、基準アイコンリスト93に保持された対応(ファイル形式と基準アイコンの情報との対応)と、診断対象のファイルの形式とを比較して、当該ファイルの形式に対応する基準アイコンを特定して、当該基準アイコンのデータを取得する。
 アイコン比較部133は、アイコン抽出部132により抽出されたアイコンのデータと、取得した基準アイコンのデータとを比較して、当該アイコンと当該基準アイコンとの乖離度を計算する。 (Step S4)
Next, the icon comparison unit 133 refers to the content of the reference icon list 93 stored in the storage unit 33. Then, the icon comparison unit 133 acquires the reference icon data of the diagnosis target file based on the contents of the reference icon list 93 and the file format determined by the file format determination unit 131. For example, the icon comparison unit 133 compares the correspondence held in the reference icon list 93 (correspondence between the file format and the reference icon information) with the format of the diagnosis target file and corresponds to the format of the file. A reference icon is specified and data of the reference icon is acquired.
The icon comparison unit 133 compares the icon data extracted by the icon extraction unit 132 with the acquired reference icon data, and calculates the degree of divergence between the icon and the reference icon.
 ここで、アイコンと基準アイコンとの乖離度は、例えば、あらかじめ定められた数式を用いて計算される。当該乖離度としては、例えば、当該アイコンの画像と当該基準アイコンの画像との違いの大小を表す値が用いられる。当該乖離度としては、例えば、ハッシュ値、色の割合、輪郭の形状などのうちの1以上に基づく値が用いられてもよい。
 当該乖離度としては、例えば、相違の程度を表す0[%]以上100[%]以下の値が用いられてもよい。
 または、当該乖離度としては、例えば、相違することを表す値と、相違しないことを表す値とのうちのいずれかの値が用いられてもよい。この場合、当該乖離度としては、例えば、相違の程度を表す0[%]以上100[%]以下の値が所定の閾値を超える場合に相違することを表す値となり、一方、相違の程度を表す0[%]以上100[%]以下の値が当該所定の閾値以下である場合に相違しないことを表す値となってもよい。 Here, the degree of divergence between the icon and the reference icon is calculated using, for example, a predetermined mathematical formula. As the degree of divergence, for example, a value indicating the magnitude of the difference between the icon image and the reference icon image is used. As the divergence degree, for example, a value based on one or more of a hash value, a color ratio, a contour shape, and the like may be used.
As the degree of divergence, for example, a value of 0 [%] or more and 100 [%] or less representing the degree of difference may be used.
Alternatively, as the degree of divergence, for example, any one of a value indicating a difference and a value indicating a difference may be used. In this case, the degree of divergence is, for example, a value indicating a difference when a value of 0 [%] or more and 100 [%] or less indicating the degree of difference exceeds a predetermined threshold, It may be a value indicating that there is no difference when a value between 0% and 100% is equal to or less than the predetermined threshold value.
 (ステップS5)
 また、アイコン比較部133は、基準アイコンリスト93の内容およびファイル形式判定部131により判定されたファイルの形式に基づいて、診断対象のファイルの基準アイコン以外の基準アイコンのデータを取得する。そして、アイコン比較部133は、アイコン抽出部132により抽出されたアイコンのデータと、取得した基準アイコンのデータとを比較して、当該アイコンと当該基準アイコンとの類似度を計算する。ここで、アイコン比較部133は、2以上の基準アイコンを取得した場合には、取得したそれぞれの基準アイコンについて、類似度を計算する。
 なお、ステップS4の処理と、ステップS5の処理とは、順序が逆であってもよい。 (Step S5)
Further, the icon comparison unit 133 acquires data of reference icons other than the reference icon of the diagnosis target file based on the content of the reference icon list 93 and the file format determined by the file format determination unit 131. The icon comparison unit 133 compares the icon data extracted by the icon extraction unit 132 with the acquired reference icon data, and calculates the similarity between the icon and the reference icon. Here, when two or more reference icons are acquired, the icon comparison unit 133 calculates the similarity for each acquired reference icon.
Note that the order of the process of step S4 and the process of step S5 may be reversed.
 ここで、アイコンと基準アイコンとの類似度は、例えば、あらかじめ定められた数式を用いて計算される。当該類似度としては、例えば、当該アイコンの画像と当該基準アイコンの画像との類似の大小を表す値が用いられる。当該類似度としては、例えば、ハッシュ値、色の割合、輪郭の形状などのうちの1以上に基づく値が用いられてもよい。
 当該類似度としては、例えば、類似の程度を表す0[%]以上100[%]以下の値が用いられてもよい。
 または、当該類似度としては、例えば、類似することを表す値と、類似しないことを表す値とのうちのいずれかの値が用いられてもよい。この場合、当該類似度としては、例えば、類似の程度を表す0[%]以上100[%]以下の値が所定の閾値を超える場合に類似することを表す値となり、一方、類似の程度を表す0[%]以上100[%]以下の値が当該所定の閾値以下である場合に類似しないことを表す値となってもよい。 Here, the similarity between the icon and the reference icon is calculated using, for example, a predetermined mathematical formula. As the similarity, for example, a value representing the size of similarity between the icon image and the reference icon image is used. As the similarity, for example, a value based on one or more of a hash value, a color ratio, a contour shape, and the like may be used.
As the similarity, for example, a value of 0 [%] to 100 [%] representing the degree of similarity may be used.
Alternatively, as the similarity, for example, any one of a value indicating similarity and a value indicating dissimilarity may be used. In this case, the similarity is, for example, a value indicating similarity when a value of 0 [%] or more and 100 [%] or less representing the degree of similarity exceeds a predetermined threshold, while the degree of similarity is It may be a value indicating that the value not less than 0% and not more than 100% is not similar when the value is equal to or less than the predetermined threshold.
 本実施形態では、アイコンと基準アイコンとの乖離度を求める数式と、当該アイコンと当該基準アイコンとの類似度を求める数式とは、例えば、異なる式が用いられてもよく、または、実質的に同じ式が用いられてもよい。ここで、実質的に同じ式とは、例えば、アイコンと基準アイコンとの乖離度と類似度とが、互いに加算すると一定値(例えば、100[%]など)になる式、または、互いに乗算すると一定値(例えば、1など)になる関係がある式のことである。 In the present embodiment, for example, different formulas may be used for the mathematical formula for calculating the degree of divergence between the icon and the reference icon and the mathematical formula for calculating the similarity between the icon and the reference icon. The same formula may be used. Here, the substantially same expression is, for example, an expression in which the degree of divergence and similarity between the icon and the reference icon are added to each other to become a constant value (for example, 100 [%], etc.) It is an expression that has a relationship that becomes a constant value (for example, 1).
 (ステップS6)
 次に、危険判定部134は、診断対象のファイルのアイコンと基準アイコンとの乖離度の計算結果および当該ファイルのアイコンと他の基準アイコンとの類似度の計算結果に基づいて、危険度を計算する。そして、危険判定部134は、計算した危険度が所定の閾値を超えているか否かを判定する。当該所定の閾値は、例えば、記憶部33にあらかじめ記憶されていてもよく、または、外部の装置またはユーザなどから任意のタイミングで指定されてもよい。
 この判定の結果、計算された危険度が閾値を超えていると判定された場合には(ステップS6:YES)、ステップS7の処理へ移行する。一方、この判定の結果、計算された危険度が当該閾値を超えていないと判定された場合には(ステップS6:NO)、ステップS8の処理へ移行する。 (Step S6)
Next, the risk determination unit 134 calculates the risk based on the calculation result of the degree of deviation between the icon of the diagnosis target file and the reference icon and the calculation result of the similarity between the icon of the file and the other reference icon. To do. Then, the risk determination unit 134 determines whether or not the calculated risk exceeds a predetermined threshold value. The predetermined threshold value may be stored in advance in the storage unit 33, or may be designated at an arbitrary timing from an external device or a user.
As a result of this determination, when it is determined that the calculated degree of risk exceeds the threshold (step S6: YES), the process proceeds to step S7. On the other hand, as a result of this determination, if it is determined that the calculated risk does not exceed the threshold (step S6: NO), the process proceeds to step S8.
 ここで、アイコンの危険度は、例えば、あらかじめ定められた数式を用いて計算される。本実施形態では、アイコンの危険度としては、当該アイコンと基準アイコンとの乖離度および当該アイコンと他の基準アイコンとの類似度に基づく値が用いられる。
 本実施形態では、診断対象のファイルのアイコンと、当該ファイルの形式に対応する基準アイコン(本来期待されるアイコン)との乖離度に関し、当該乖離度が大きいと危険度が大きくなり、当該乖離度が小さいと危険度が小さくなる、危険度が用いられる。また、本実施形態では、診断対象のファイルのアイコンと、当該ファイルの形式に対応しない基準アイコン(本来期待されないアイコン)との類似度に関し、当該類似度が大きいと危険度が大きくなり、当該類似度が小さいと危険度が小さくなる、危険度が用いられる。この際、他の基準アイコンが2以上ある場合には、例えば、すべての他の基準アイコンについての類似度が用いられてもよく、または、最も類似度が大きい1つの他の基準アイコンについての類似度が用いられてもよい。 Here, the risk level of the icon is calculated using, for example, a predetermined mathematical formula. In the present embodiment, a value based on the degree of deviation between the icon and the reference icon and the degree of similarity between the icon and another reference icon is used as the risk level of the icon.
In this embodiment, regarding the degree of divergence between the icon of the file to be diagnosed and the reference icon (originally expected icon) corresponding to the format of the file, the degree of risk increases when the degree of divergence is large. If is small, the degree of danger is small, and the degree of danger is used. In the present embodiment, regarding the similarity between the icon of the file to be diagnosed and a reference icon that does not correspond to the format of the file (an icon that is not originally expected), the greater the similarity, the greater the risk, and the similarity If the degree is small, the degree of danger becomes small, and the degree of danger is used. At this time, when there are two or more other reference icons, for example, the similarity for all other reference icons may be used, or the similarity for one other reference icon having the largest similarity. Degrees may be used.
 (ステップS7)
 ステップS6の処理において計算された危険度が閾値を超えていると判定された場合、危険判定部134は、危険性があると判定する。そして、本フローの処理が終了する。 (Step S7)
When it is determined that the degree of risk calculated in the process of step S6 exceeds the threshold, the risk determination unit 134 determines that there is a risk. Then, the process of this flow ends.
 (ステップS8)
 ステップS6の処理において計算された危険度が閾値を超えていないと判定された場合、危険判定部134は、危険性が無いと判定する。そして、本フローの処理が終了する。
 また、ステップS2の処理において診断対象のファイルがアイコンのデータを含んでいないと判定された場合においても、危険判定部134は、危険性が無いと判定する。そして、本フローの処理が終了する。 (Step S8)
When it is determined that the degree of risk calculated in the process of step S6 does not exceed the threshold, the risk determination unit 134 determines that there is no risk. Then, the process of this flow ends.
Even when it is determined in the process of step S2 that the diagnosis target file does not include icon data, the risk determination unit 134 determines that there is no risk. Then, the process of this flow ends.
 ここで、図2に示されるフローチャートの例では、危険判定部134は、診断対象のファイルについて危険性の有無を判定したが、他の構成例として、危険判定部134は、診断対象のファイルについて、危険性がある場合に、より詳細な危険性の程度を判定してもよい。 Here, in the example of the flowchart shown in FIG. 2, the risk determination unit 134 determines the presence or absence of risk for the file to be diagnosed. As another configuration example, the risk determination unit 134 determines the file to be diagnosed. If there is a risk, a more detailed degree of risk may be determined.
 <1つのファイルに複数のアイコンのデータが含まれる場合の説明>
 本実施形態では、1つのファイルに1つのみのアイコンのデータが含まれる場合があってもよく、また、1つのファイルに複数のアイコンのデータが含まれる場合があってもよい。
 1つのファイルに複数のアイコンのデータが含まれる場合、それぞれのアイコンのデータは、所定の情報(以下で、「アイコン識別情報」とも呼ぶ。)に基づいて識別されてもよい。当該所定の情報は、例えば、アイコンのサイズ(画像の大きさ)であってもよく、または、アイコンに付された名称であってもよく、または、アイコンに付された番号であってもよく、または、他の情報であってもよい。アイコンのサイズは、例えば、データの量であってもよい。 <Explanation when data of multiple icons is included in one file>
In the present embodiment, there may be a case where only one icon data is included in one file, or a plurality of icon data may be included in one file.
When data of a plurality of icons is included in one file, the data of each icon may be identified based on predetermined information (hereinafter also referred to as “icon identification information”). The predetermined information may be, for example, an icon size (image size), a name attached to the icon, or a number attached to the icon. Or other information. The size of the icon may be, for example, the amount of data.
 図2に示される(ステップS2)の処理において、ファイル形式判定部131は、例えば、診断対象のファイルが1つ以上のアイコンのデータを含んでいる場合には、当該ファイルがアイコンのデータを含んでいると判定する。 In the process of (step S2) shown in FIG. 2, the file format determination unit 131, for example, if the diagnosis target file includes one or more icon data, the file includes icon data. It is determined that
 図2に示される(ステップS3)の処理において、アイコン抽出部132は、診断対象のファイルが2つ以上のアイコンのデータを含んでいる場合、あらかじめ定められた1つ以上のアイコンのデータを抽出する。ここで、あらかじめ定められた1つ以上のアイコンのデータは、少なくとも、アイコン比較部133により行われる比較に用いられるアイコンのデータを含む。例えば、アイコン比較部133がK(Kは1以上の整数)個のアイコンのデータを比較に用いる場合、アイコン抽出部132は少なくとも当該K個のアイコンのデータを抽出する。 In the process of (Step S3) shown in FIG. 2, the icon extraction unit 132 extracts data of one or more predetermined icons when the diagnosis target file includes data of two or more icons. To do. Here, the predetermined one or more icon data includes at least icon data used for the comparison performed by the icon comparison unit 133. For example, when the icon comparison unit 133 uses K (K is an integer equal to or greater than 1) icon data for comparison, the icon extraction unit 132 extracts at least the K icon data.
 アイコン比較部133により行われる比較に用いられるアイコンのデータは、例えば、アイコン識別情報によって識別されてもよい。
 具体例として、アイコン比較部133により行われる比較に用いられるアイコンのデータは、サイズが大きい方からK個のアイコンのデータであってもよい。この場合、アイコン抽出部132は、例えば、K個以上のアイコンのデータを含む診断対象のファイルから、サイズが大きい方からK個のアイコンのデータを抽出する。また、この場合、アイコン抽出部132は、例えば、診断対象のファイルがK個未満のアイコンのデータを含むときには、これらK個未満のすべてのアイコンのデータを抽出してもよい。 The icon data used for the comparison performed by the icon comparison unit 133 may be identified by, for example, icon identification information.
As a specific example, the icon data used for the comparison performed by the icon comparison unit 133 may be data of K icons from the larger size. In this case, for example, the icon extraction unit 132 extracts data of K icons from a larger size from a diagnosis target file including data of K or more icons. In this case, for example, when the diagnosis target file includes data of less than K icons, the icon extraction unit 132 may extract data of all the icons less than K.
 ここでは、アイコン抽出部132が、アイコン比較部133により行われる比較に用いられるアイコンのデータを選択(識別)して抽出する例を示した。他の例として、アイコン抽出部132が診断対象のファイルに含まれるすべてのアイコンのデータを抽出し、アイコン比較部133が、抽出されたすべてのアイコンのデータのなかから、比較に用いるアイコンのデータを選択(識別)してもよい。 Here, an example is shown in which the icon extraction unit 132 selects (identifies) and extracts icon data used for the comparison performed by the icon comparison unit 133. As another example, the icon extraction unit 132 extracts data of all icons included in the diagnosis target file, and the icon comparison unit 133 uses the icon data used for comparison from the extracted data of all icons. May be selected (identified).
 また、ここでは、診断対象のファイルに含まれる2つ以上のアイコンのデータのうちの一部のアイコンのデータがアイコン比較部133により比較に用いられる例を示した。他の例として、アイコン比較部133は、診断対象のファイルに含まれるアイコンのデータの数にかかわらず、診断対象のファイルに含まれるすべてのアイコンのデータを比較に用いる構成でもよい。この構成では、アイコン抽出部132は、診断対象のファイルに含まれるすべてのアイコンのデータを抽出する。 Also, here, an example is shown in which the icon comparison unit 133 uses part of the data of two or more icons included in the file to be diagnosed for comparison. As another example, the icon comparison unit 133 may be configured to use data of all icons included in the diagnosis target file for comparison regardless of the number of icon data included in the diagnosis target file. In this configuration, the icon extraction unit 132 extracts data of all icons included in the diagnosis target file.
 図2に示される(ステップS4)の処理において、アイコン比較部133は、比較に用いることがあらかじめ定められた1つ以上のアイコンのデータのそれぞれについて、アイコン抽出部132により抽出されたアイコンのデータと、取得した基準アイコンのデータとを比較して、当該アイコンと当該基準アイコンとの乖離度を計算する。 In the process of (step S4) shown in FIG. 2, the icon comparison unit 133 extracts the icon data extracted by the icon extraction unit 132 for each of one or more icon data determined in advance to be used for comparison. And the obtained reference icon data are compared to calculate the degree of divergence between the icon and the reference icon.
 ここで、アイコン比較部133が、診断対象のファイルに含まれる2つ以上のアイコンのデータについて比較を行う場合、一例として、これら2つ以上のアイコンのデータのすべてについての比較の結果を考慮した総合値を、最終的な乖離度として採用してもよい。当該総合値は、例えば、これら2つ以上のアイコンのデータのそれぞれについて計算された乖離度の平均値または総和値などであってもよく、または、他の値であってもよい。
 また、アイコン比較部133が、診断対象のファイルに含まれる2つ以上のアイコンのデータについて比較を行う場合、他の例として、これら2つ以上のアイコンのデータのうちの1つのアイコンのデータについて計算された乖離度を、最終的な乖離度として採用してもよい。当該最終的な乖離度は、例えば、これら2つ以上のアイコンのデータのそれぞれについて計算された乖離度のなかで最も大きい値の乖離度であってもよい。 Here, when the icon comparison unit 133 compares the data of two or more icons included in the diagnosis target file, as an example, the comparison result of all the data of the two or more icons is considered. The total value may be adopted as the final divergence. The total value may be, for example, an average value or a total value of divergence degrees calculated for each of the data of these two or more icons, or may be another value.
In addition, when the icon comparison unit 133 compares data of two or more icons included in a diagnosis target file, as another example, the data of one icon of the data of these two or more icons The calculated divergence degree may be adopted as the final divergence degree. The final divergence degree may be, for example, the divergence degree having the largest value among the divergence degrees calculated for each of the data of the two or more icons.
 図2に示される(ステップS5)の処理において、アイコン比較部133は、比較に用いることがあらかじめ定められた1つ以上のアイコンのデータのそれぞれについて、アイコン抽出部132により抽出されたアイコンのデータと、取得した基準アイコンのデータとを比較して、当該アイコンと当該基準アイコンとの類似度を計算する。 In the process of (step S5) shown in FIG. 2, the icon comparison unit 133 extracts the icon data extracted by the icon extraction unit 132 for each of one or more icon data that is predetermined for comparison. And the obtained reference icon data are compared to calculate the similarity between the icon and the reference icon.
 ここで、アイコン比較部133が、診断対象のファイルに含まれる2つ以上のアイコンのデータについて比較を行う場合、一例として、これら2つ以上のアイコンのデータのすべてについての比較の結果を考慮した総合値を、最終的な類似度として採用してもよい。当該総合値は、例えば、これら2つ以上のアイコンのデータのそれぞれについて計算された類似度の平均値または総和値などであってもよく、または、他の値であってもよい。
 また、アイコン比較部133が、診断対象のファイルに含まれる2つ以上のアイコンのデータについて比較を行う場合、他の例として、これら2つ以上のアイコンのデータのうちの1つのアイコンのデータについて計算された類似度を、最終的な類似度として採用してもよい。当該最終的な類似度は、例えば、これら2つ以上のアイコンのデータのそれぞれについて計算された類似度のなかで最も大きい値の類似度であってもよい。 Here, when the icon comparison unit 133 compares the data of two or more icons included in the diagnosis target file, as an example, the comparison result of all the data of the two or more icons is considered. The total value may be adopted as the final similarity. The total value may be, for example, an average value or total value of similarities calculated for each of the data of these two or more icons, or may be another value.
In addition, when the icon comparison unit 133 compares data of two or more icons included in a diagnosis target file, as another example, the data of one icon of the data of these two or more icons The calculated similarity may be adopted as the final similarity. The final similarity may be, for example, the similarity having the largest value among the similarities calculated for each of the data of the two or more icons.
 ここでは、アイコン比較部133が、診断対象のファイルに含まれる2つ以上のアイコンのデータのうち、1つのアイコン(ここで、「アイコンA1」と呼ぶ。)のデータについて計算される乖離度を最終的な乖離度とし、1つのアイコン(ここで、「アイコンA2」と呼ぶ。)のデータについて計算される類似度を最終的な類似度とする場合に、当該アイコンA1と当該アイコンA2とが異なり得る例を示した。
 他の例として、アイコン比較部133は、診断対象のファイルに含まれる2つ以上のアイコンのデータのそれぞれについて乖離度と類似度の両方を計算し、これら両方の計算結果に基づいて、最終的な乖離度および最終的な類似度として採用する1つのアイコンのデータを決定してもよい。当該1つのアイコンのデータは、例えば、計算された乖離度および計算された類似度を総合的に判定した場合に、最も危険度が高いと判定されるアイコンのデータであってもよい。当該危険度は、例えば、危険判定部134により計算される危険度と同じ計算方法によって計算されてもよい。 Here, the degree of divergence calculated by the icon comparison unit 133 with respect to the data of one icon (herein referred to as “icon A1”) among the data of two or more icons included in the diagnosis target file. When the final degree of divergence is assumed and the similarity calculated for the data of one icon (herein referred to as “icon A2”) is the final similarity, the icon A1 and the icon A2 are An example that could be different is given.
As another example, the icon comparison unit 133 calculates both the degree of divergence and the degree of similarity for each of the data of two or more icons included in the diagnosis target file, and finally, based on the calculation results of both. The data of one icon to be adopted as the divergence degree and the final similarity degree may be determined. The data of the one icon may be, for example, icon data that is determined to have the highest degree of risk when the calculated degree of divergence and the calculated degree of similarity are comprehensively determined. The risk level may be calculated by the same calculation method as the risk level calculated by the risk determination unit 134, for example.
 ここで、基準アイコンリスト93は、例えば、複数のアイコンのデータを含むファイル形式に関し、これら複数のアイコンのそれぞれについて、基準アイコンの情報を保持する。それぞれのアイコンに対応する基準アイコンは、例えば、それぞれのアイコンのデータを識別する情報と同様な情報(例えば、アイコン識別情報)を用いて識別されてもよい。
 アイコン比較部133は、診断対象のファイルに2つ以上のアイコンのデータが含まれる場合、例えば、比較対象となる1つのアイコンのデータと、当該アイコンのデータに対応する1つの基準アイコンのデータとを比較して、乖離度を計算する。 Here, the reference icon list 93 relates to a file format including data of a plurality of icons, for example, and holds information on the reference icons for each of the plurality of icons. The reference icon corresponding to each icon may be identified using, for example, the same information (for example, icon identification information) as the information for identifying the data of each icon.
When the file to be diagnosed includes two or more icon data, for example, the icon comparison unit 133 includes, for example, one icon data to be compared and one reference icon data corresponding to the icon data. And the degree of divergence is calculated.
 また、アイコン比較部133は、診断対象のファイルに2つ以上のアイコンのデータが含まれる場合、例えば、比較対象となる1つのアイコンのデータと、当該アイコンのデータに対応する1つの基準アイコン以外の基準アイコンのデータとを比較して、類似度を計算する。この場合、当該アイコンのデータに対応する1つの基準アイコン以外の基準アイコンのデータには、例えば、当該診断対象のファイルに含まれる他のアイコンのデータに対応する基準アイコンのデータ(つまり、同じファイル形式における他の基準アイコンのデータ)が含まれてもよく、または、含まれなくてもよい(つまり、同じファイル形式における基準アイコンのデータは除いて、他のファイル形式における基準アイコンのデータのみが含まれてもよい)。 Further, when the file to be diagnosed includes data of two or more icons, the icon comparison unit 133, for example, other than one icon data to be compared and one reference icon corresponding to the icon data The similarity is calculated by comparing with the data of the reference icon. In this case, the reference icon data other than one reference icon corresponding to the icon data includes, for example, reference icon data corresponding to other icon data included in the diagnosis target file (that is, the same file). Other reference icon data in the format) may or may not be included (that is, only the reference icon data in other file formats, except for the reference icon data in the same file format). May be included).
 このような構成により、一例として、アイコン比較部133は、アイコン抽出部132により抽出されたすべてのアイコンのデータについて比較を行い、乖離度および類似度の一方または両方を総合値で判断することが可能である。
 他の例として、アイコン比較部133は、アイコン抽出部132により抽出されたすべてのアイコンのデータについて比較を行い、乖離度および類似度の一方または両方を、最も危険度が高いと判定された値で判断することが可能である。
 他の例として、アイコン比較部133は、アイコン抽出部132により抽出されたすべてのアイコンのデータのなかから、サイズが最も大きい1つのアイコンのデータについて比較を行ってもよい。一般に、サイズが大きい(画像が大きい)アイコンの方が、比較の精度が高くて正確な結果が得られると考えられる。 With this configuration, as an example, the icon comparison unit 133 can compare the data of all icons extracted by the icon extraction unit 132 and determine one or both of the divergence degree and the similarity degree as a total value. Is possible.
As another example, the icon comparison unit 133 compares the data of all icons extracted by the icon extraction unit 132, and determines one or both of the degree of deviation and the degree of similarity as the highest risk level. It is possible to judge by.
As another example, the icon comparison unit 133 may compare the data of one icon having the largest size among the data of all icons extracted by the icon extraction unit 132. In general, it is considered that an icon having a larger size (large image) has a higher accuracy of comparison and can provide an accurate result.
 [アイコン表示処理の説明]
 図3は、本発明の一実施形態に係るアイコン処理装置11により行われるアイコン表示処理の一例を示すフローチャートである。
 図3に示されるフローチャートの処理を説明する。当該処理は、アイコンが偽装されたファイルに関する危険性を表示する処理である。当該処理は、アイコン処理装置11の制御部34の診断結果出力部112により行われる。 [Explanation of icon display processing]
FIG. 3 is a flowchart illustrating an example of icon display processing performed by the icon processing apparatus 11 according to an embodiment of the present invention.
The process of the flowchart shown in FIG. 3 will be described. This process is a process for displaying the danger associated with the file with the icon impersonated. This process is performed by the diagnosis result output unit 112 of the control unit 34 of the icon processing apparatus 11.
 本フローでは、制御部34のアイコン診断部111の危険判定部134が、診断対象のファイルについて、危険性の程度を判定する場合を示す。危険判定部134は、診断対象のファイルについて、危険性が無いこと、または、低い危険性があること、または、中程度の危険性があること、または、高い程度の危険性があること、のうちのいずれかを判定する。危険判定部134は、例えば、危険度と2以上の異なる閾値とを比較して、危険性の程度を判定する。
 具体例として、危険判定部134は、危険度が第1の閾値以下である場合には危険性が無いと判定し、危険度が当該第1の閾値を超えて第2の閾値以下である場合には低い程度の危険度であると判定し、危険度が当該第2の閾値を超えて第3の閾値以下である場合には中程度の危険度であると判定し、危険度が当該第3の閾値を超える場合には高い程度の危険度であると判定する。ここで、第1の閾値<第2の閾値<第3の閾値である。
 なお、本フローでは、低い程度の危険性がある場合には、危険性が無い場合と同じ処理が行われる。 This flow shows a case where the risk determination unit 134 of the icon diagnosis unit 111 of the control unit 34 determines the degree of risk for a diagnosis target file. The risk determination unit 134 indicates that the file to be diagnosed has no risk, has a low risk, has a medium risk, or has a high risk. Judge one of them. For example, the danger determination unit 134 compares the degree of danger with two or more different thresholds to determine the degree of danger.
As a specific example, the risk determination unit 134 determines that there is no risk when the risk level is equal to or lower than the first threshold value, and the risk level exceeds the first threshold value and is equal to or lower than the second threshold value. Is determined to be a low risk level, and if the risk level is greater than the second threshold value and less than or equal to the third threshold value, the risk level is determined to be moderate. When the threshold value of 3 is exceeded, it is determined that the degree of risk is high. Here, the first threshold <the second threshold <the third threshold.
In this flow, when there is a low degree of danger, the same processing as when there is no danger is performed.
 (ステップS21)
 表示制御部151は、表示対象のファイルについて、危険性に関する判定結果に基づいて、危険性が無しであるか否かを判定する。ここで、表示制御部151は、例えば、ユーザにより行われた操作によって指定されたファイルを表示対象としてもよく、または、あらかじめ定められた処理の手順にしたがって所定の条件に該当するファイルを表示対象としてもよい。
 この判定の結果、表示対象のファイルについて危険性が無しであると判定された場合には(ステップS21:YES)、本フローの処理が終了する。この場合、表示制御部151は、表示対象のファイルについて、記憶部33に記憶された基準アイコンリスト93の内容および当該ファイルの形式に基づいて、当該ファイルの基準アイコンを表示する。
 一方、この判定の結果、表示対象のファイルについて危険性が無しではない(つまり、危険性がある)と判定された場合には(ステップS21:NO)、ステップS22の処理へ移行する。
 なお、本実施形態では、危険判定部134により行われた危険性に関する判定の結果の情報が、記憶部33に記憶されている。表示制御部151は、当該情報を参照する。 (Step S21)
The display control unit 151 determines whether or not there is no risk for the display target file based on the determination result regarding the risk. Here, the display control unit 151 may display, for example, a file designated by an operation performed by the user, or display a file corresponding to a predetermined condition according to a predetermined processing procedure. It is good.
As a result of this determination, if it is determined that there is no risk for the file to be displayed (step S21: YES), the processing of this flow ends. In this case, the display control unit 151 displays the reference icon of the file to be displayed based on the content of the reference icon list 93 stored in the storage unit 33 and the format of the file.
On the other hand, as a result of this determination, if it is determined that the file to be displayed is not dangerous (that is, there is a risk) (step S21: NO), the process proceeds to step S22.
In the present embodiment, information on the result of determination regarding the risk made by the risk determination unit 134 is stored in the storage unit 33. The display control unit 151 refers to the information.
 (ステップS22)
 ステップS21の処理において表示対象のファイルについて危険性が無しではないと判定された場合、表示制御部151は、表示対象のファイルについて、危険性に関する判定結果に基づいて、中程度の危険性(図3における「危険性(中)」)であるか否かを判定する。
 この判定の結果、表示対象のファイルについて中程度の危険性であると判定された場合には(ステップS22:YES)、ステップS24の処理へ移行する。一方、この判定の結果、表示対象のファイルについて中程度の危険性ではないと判定された場合には(ステップS22:NO)、ステップS23の処理へ移行する。 (Step S22)
If it is determined in step S21 that the display target file is not dangerous, the display control unit 151 determines that the display target file has a medium risk (see FIG. 3 is determined as to whether or not it is “hazard (medium)”.
As a result of this determination, if it is determined that the file to be displayed has a medium risk (step S22: YES), the process proceeds to step S24. On the other hand, as a result of this determination, if it is determined that the file to be displayed is not a medium risk (step S22: NO), the process proceeds to step S23.
 (ステップS23)
 ステップS22の処理において表示対象のファイルについて中程度の危険性ではないと判定された場合、表示制御部151は、表示対象のファイルについて、危険性に関する判定結果に基づいて、高い程度の危険性(図3における「危険性(高)」)であるか否かを判定する。
 この判定の結果、表示対象のファイルについて高い程度の危険性であると判定された場合には(ステップS23:YES)、ステップS25の処理へ移行する。
 一方、この判定の結果、表示対象のファイルについて高い程度の危険性ではないと判定された場合には(ステップS23:NO)、本フローの処理が終了する。この場合、表示制御部151は、表示対象のファイルについて、記憶部33に記憶された基準アイコンリスト93の内容および当該ファイルの形式に基づいて、当該ファイルの基準アイコンを表示する。本実施形態では、この場合には、例えば、表示対象のファイルについて、低い程度の危険性がある場合が含まれる。 (Step S23)
When it is determined in the process of step S22 that the file to be displayed is not a medium risk, the display control unit 151 determines a high risk (for the display target file) based on the determination result regarding the risk ( It is determined whether or not it is “Danger (High)” in FIG.
As a result of this determination, if it is determined that the file to be displayed has a high degree of risk (step S23: YES), the process proceeds to step S25.
On the other hand, as a result of this determination, if it is determined that the file to be displayed is not at high risk (step S23: NO), the processing of this flow ends. In this case, the display control unit 151 displays the reference icon of the file to be displayed based on the content of the reference icon list 93 stored in the storage unit 33 and the format of the file. In the present embodiment, this case includes, for example, a case where there is a low degree of danger for the file to be displayed.
 (ステップS24)
 ステップS22の処理において表示対象のファイルについて中程度の危険性であると判定された場合、表示制御部151は、表示対象のファイルについて、記憶部33に記憶された基準アイコンリスト93の内容および当該ファイルの形式に基づいて、当該ファイルの基準アイコンを表示する。さらに、表示制御部151は、当該基準アイコンに対して、中程度の危険性を示すマークを表示する。本実施形態では、表示制御部151は、当該基準アイコンの上に重ねて、当該マークを表示する。そして、本フローの処理が終了する。 (Step S24)
When it is determined in the process of step S22 that the file to be displayed has a medium risk, the display control unit 151 displays the contents of the reference icon list 93 stored in the storage unit 33 and the relevant file for the display target file. Based on the file format, the reference icon of the file is displayed. Further, the display control unit 151 displays a mark indicating a medium danger for the reference icon. In the present embodiment, the display control unit 151 displays the mark so as to overlap the reference icon. Then, the process of this flow ends.
 (ステップS25)
 ステップS23の処理において表示対象のファイルについて高い程度の危険性であると判定された場合、表示制御部151は、表示対象のファイルについて、記憶部33に記憶された基準アイコンリスト93の内容および当該ファイルの形式に基づいて、当該ファイルの基準アイコンを表示する。さらに、表示制御部151は、当該基準アイコンに対して、高い程度の危険性を示すマークを表示する。本実施形態では、表示制御部151は、当該基準アイコンの上に重ねて、当該マークを表示する。そして、本フローの処理が終了する。 (Step S25)
When it is determined in the process of step S23 that the file to be displayed has a high degree of risk, the display control unit 151 displays the contents of the reference icon list 93 stored in the storage unit 33 and the relevant file for the display target file. Based on the file format, the reference icon of the file is displayed. Further, the display control unit 151 displays a mark indicating a high degree of danger for the reference icon. In the present embodiment, the display control unit 151 displays the mark so as to overlap the reference icon. Then, the process of this flow ends.
 ここで、表示制御部151は、例えば、ファイルと、基準アイコンおよびマークを表示する情報(アイコン情報)との対応をキャッシュメモリなどのメモリに記憶してもよい。そして、表示制御部151は、当該メモリに記憶された当該対応に基づいて、表示対象のファイルに対応するアイコン情報を表示してもよい。なお、当該メモリに記憶されるアイコン情報としては、例えば、危険性に関するマークが表示されるアイコン情報のみであってもよく、または、すべてのアイコン情報であってもよい。 Here, for example, the display control unit 151 may store a correspondence between a file and information (icon information) for displaying a reference icon and a mark in a memory such as a cache memory. Then, the display control unit 151 may display icon information corresponding to the file to be displayed based on the correspondence stored in the memory. In addition, as icon information memorize | stored in the said memory, only the icon information in which the mark regarding danger is displayed may be sufficient, for example, and all the icon information may be sufficient as it.
 [アイコン表示の説明]
 図4~図8を参照して、アイコン表示の例を示す。
 図4~図8は、それぞれ、本発明の一実施形態に係るアイコン表示の一例を示す図である。
 図4は、危険性が無いと判定されたファイルのアイコンの情報(アイコン情報211)の一例を示す図である。当該アイコン情報211は、当該ファイルの基準アイコン212の情報と同じである。 [Explanation of icon display]
An example of icon display is shown with reference to FIGS.
4 to 8 are diagrams each showing an example of icon display according to an embodiment of the present invention.
FIG. 4 is a diagram illustrating an example of icon information (icon information 211) of a file determined to have no risk. The icon information 211 is the same as the information of the reference icon 212 of the file.
 図5は、中程度の危険性であると判定されたファイルのアイコンの情報(アイコン情報221)の一例を示す図である。当該アイコン情報221は、当該ファイルの基準アイコン222に、中程度の危険性を示すマーク223を重ねた情報である。
 図6は、中程度の危険性であると判定されたファイルのアイコンの情報(アイコン情報231)の一例を示す図である。当該アイコン情報231は、当該ファイルの基準アイコン232に、中程度の危険性を示すマーク233を重ねた情報である。
 ここで、図5の例に係るマーク223と、図6の例に係るマーク233とは、異なるマークである。図6の例に係るマーク233は、ユーザに対して注意を喚起する文字情報(図6の例では、「ひらくな注意!」)を含む。 FIG. 5 is a diagram illustrating an example of icon information (icon information 221) of a file determined to have a medium risk. The icon information 221 is information in which a mark 223 indicating a medium danger is superimposed on the reference icon 222 of the file.
FIG. 6 is a diagram illustrating an example of icon information (icon information 231) of a file determined to have a medium risk. The icon information 231 is information in which a mark 233 indicating a medium danger is superimposed on the reference icon 232 of the file.
Here, the mark 223 according to the example of FIG. 5 and the mark 233 according to the example of FIG. 6 are different marks. The mark 233 according to the example of FIG. 6 includes character information that calls attention to the user (in the example of FIG. 6, “open attention!”).
 図7は、高い程度の危険性であると判定されたファイルのアイコンの情報(アイコン情報241)の一例を示す図である。当該アイコン情報241は、当該ファイルの基準アイコン242に、高い程度の危険性を示すマーク243を重ねた情報である。
 図8は、高い程度の危険性であると判定されたファイルのアイコンの情報(アイコン情報251)の一例を示す図である。当該アイコン情報251は、当該ファイルの基準アイコン252に、高い程度の危険性を示すマーク253を重ねた情報である。
 ここで、図7の例に係るマーク243と、図8の例に係るマーク253とは、異なるマークである。図8の例に係るマーク253は、ユーザに対して注意を喚起する文字情報(図8の例では、「ひらくな危険」)を含む。 FIG. 7 is a diagram illustrating an example of icon information (icon information 241) of a file determined to have a high degree of risk. The icon information 241 is information in which a mark 243 indicating a high degree of danger is superimposed on the reference icon 242 of the file.
FIG. 8 is a diagram illustrating an example of icon information (icon information 251) of a file determined to have a high degree of risk. The icon information 251 is information in which a mark 253 indicating a high degree of danger is superimposed on the reference icon 252 of the file.
Here, the mark 243 according to the example of FIG. 7 and the mark 253 according to the example of FIG. 8 are different marks. The mark 253 according to the example of FIG. 8 includes character information that calls attention to the user (“open danger” in the example of FIG. 8).
 本実施形態では、それぞれのマーク223、233、243、253は、任意の色を有してもよい。例えば、危険性の程度に応じて、マークの色が異なってもよい。具体例として、中程度の危険性を示すマーク223、233は大きな部分で黄色を有してもよく、また、高い程度の危険性を示すマーク243、253は大きな部分で赤色を有してもよい。 In the present embodiment, each of the marks 223, 233, 243, 253 may have any color. For example, the color of the mark may be different depending on the degree of danger. As a specific example, the marks 223 and 233 indicating a medium risk may have a yellow color in a large portion, and the marks 243 and 253 indicating a high risk may have a red color in a large portion. Good.
 ここで、本実施形態では、低い程度の危険性であるファイルについては、低い程度の危険性を示すマークを表示しない構成を示したが、他の構成例として、低い程度の危険性であるファイルについて、当該ファイルの基準アイコンに対して、低い程度の危険性を示すマークを表示する構成が用いられてもよい。
 また、図3~図8では、低、中、高の3段階の危険性を判定して、判定結果に応じた表示を行う構成を示したが、他の構成例として、危険性があるか否か(危険の有無)という1段階の危険性を判定して、判定結果に応じた表示を行う構成が用いられてもよい。他の構成例として、2段階の危険性を判定して、判定結果に応じた表示を行う構成が用いられてもよい。他の構成例として、4以上の段階の危険性を判定して、判定結果に応じた表示を行う構成が用いられてもよい。 Here, in the present embodiment, a configuration in which a mark indicating a low level of danger is not displayed for a file having a low level of risk, but as another configuration example, a file having a low level of risk is shown. For the reference icon of the file, a configuration that displays a mark indicating a low degree of danger may be used.
3 to 8 show a configuration in which three levels of risk, low, medium, and high, are determined, and display is performed according to the determination result. However, as another configuration example, is there a risk? A configuration may be used in which a one-stage risk of “no” (presence / absence of danger) is determined and display is performed according to the determination result. As another configuration example, a configuration may be used in which a two-stage risk is determined and display is performed according to the determination result. As another configuration example, a configuration may be used in which the risk in four or more stages is determined and display is performed according to the determination result.
 また、本実施形態では、表示制御部151が、基準アイコン222、232、242、252に重ねて、マーク223、233、243、253を表示する構成を示したが、基準アイコンに対してマークを表示する配置としては、他の配置が用いられてもよい。
 例えば、表示制御部151が、基準アイコンの一部とマークの一部とが重なる位置に当該マークを表示する構成が用いられてもよい。当該位置は、当該基準アイコンに対して、上下左右または斜めのいずれかの位置であってもよい。
 例えば、表示制御部151が、基準アイコンに隣接して接する位置にマークを表示する構成が用いられてもよい。当該位置は、当該基準アイコンに対して、上下左右または斜めのいずれかの位置であってもよい。
 例えば、表示制御部151が、基準アイコンから離れているが所定の近くの位置にマークを表示する構成が用いられてもよい。当該位置は、当該基準アイコンに対して、上下左右または斜めのいずれかの位置であってもよい。
 また、危険性を示すマークとしては、様々な図形あるいは文字などを含むマークが用いられてもよい。また、危険性を示すマークとしては、様々な色が用いられてもよい。 In the present embodiment, the display control unit 151 is configured to display the marks 223, 233, 243, and 253 so as to overlap the reference icons 222, 232, 242, and 252. Other arrangements may be used as the arrangement to be displayed.
For example, a configuration in which the display control unit 151 displays the mark at a position where a part of the reference icon and a part of the mark overlap may be used. The position may be one of up, down, left, right, or diagonal positions with respect to the reference icon.
For example, a configuration in which the display control unit 151 displays a mark at a position adjacent to and in contact with the reference icon may be used. The position may be one of up, down, left, right, or diagonal positions with respect to the reference icon.
For example, a configuration may be used in which the display control unit 151 displays a mark at a position near a predetermined distance from the reference icon. The position may be one of up, down, left, right, or diagonal positions with respect to the reference icon.
In addition, as a mark indicating danger, a mark including various figures or characters may be used. Various colors may be used as marks indicating danger.
 また、本実施形態では、制御部34の診断結果出力部112が、表示制御部151によって、危険性を示すマークを表示する構成を示した。他の構成例として、制御部34の診断結果出力部112が、表示制御部151によって、危険性に関する警告あるいは注意喚起などの情報を示すダイアログを表示する構成が用いられてもよい。他の構成例として、制御部34の診断結果出力部112が、危険性を示す音(音声を含む。)を出力する構成が用いられてもよい。 Further, in the present embodiment, the configuration in which the diagnosis result output unit 112 of the control unit 34 displays the mark indicating the danger by the display control unit 151 is shown. As another configuration example, a configuration may be used in which the diagnosis result output unit 112 of the control unit 34 displays a dialog indicating information such as a warning or a warning regarding danger by the display control unit 151. As another configuration example, a configuration in which the diagnosis result output unit 112 of the control unit 34 outputs a sound (including sound) indicating danger may be used.
 [危険性を示すマークを表示する手法の説明]
 表示制御部151が、基準アイコンに重ねて、危険性を示すマークを表示する手法としては、様々な手法が用いられてもよい。つまり、例えば、ユーザがアイコンを視覚的に見るときに、危険性を示すマークが見られる構成であればよい。
 一例として、表示制御部151は、表示対象のファイルに含まれるアイコンのデータを書き換える(または、置き換える)ことによって、基準アイコンに重ねて、危険性を示すマークを表示してもよい。 [Explanation of the technique to display the danger mark]
Various methods may be used as a method for the display control unit 151 to display the mark indicating the danger on the reference icon. That is, for example, any configuration may be used as long as a mark indicating danger is seen when the user visually looks at the icon.
As an example, the display control unit 151 may display a mark indicating the danger on the reference icon by rewriting (or replacing) the icon data included in the file to be displayed.
 他の例として、表示制御部151は、表示対象のファイルに含まれるアイコンのデータを書き換えず(または、置き換えず)に、基準アイコンに重ねて、危険性を示すマークを表示する、構成が用いられてもよい。
 具体例として、ファイル自体のアイコンのデータを書き換える(または、置き換える)代わりに、当該アイコンを表示するアプリケーションにより行われる制御によって、基準アイコンに重ねて、危険性を示すマークを表示する、構成が用いられてもよい。この場合、一例として、当該アイコンを表示するアプリケーションとは別に備えられた表示制御部151が、当該アプリケーションを制御して、当該アプリケーションにより行われる制御によって、当該アイコンのデータを書き換えても(または、置き換えても)よい。また、この場合、他の例として、当該アイコンを表示するアプリケーションに表示制御部151の機能を備える構成とし、当該アプリケーションにより行われる制御によって、当該アイコンのデータを書き換えても(または、置き換えても)よい。 As another example, the display control unit 151 uses a configuration in which a mark indicating a danger is displayed over the reference icon without rewriting (or replacing) the icon data included in the display target file. May be.
As a specific example, instead of rewriting (or replacing) the icon data of the file itself, a configuration is used in which a mark indicating danger is displayed over the reference icon by control performed by the application displaying the icon. May be. In this case, as an example, even if the display control unit 151 provided separately from the application that displays the icon controls the application and rewrites the data of the icon by the control performed by the application (or It may be replaced). In this case, as another example, the application displaying the icon is configured to have the function of the display control unit 151, and the icon data may be rewritten (or replaced) by the control performed by the application. ) Good.
 このように、本実施形態では、ファイル自体のアイコンのデータを書き換える(または、置き換える)代わりに、当該アイコンを表示するアプリケーションの側の制御によって、当該アイコンのデータを書き換えても(または、置き換えても)よい。なお、アイコンを表示するアプリケーションは、様々なアプリケーションであってもよく、例えば、エクスプローラー(登録商標)などであってもよい。 As described above, in this embodiment, instead of rewriting (or replacing) the icon data of the file itself, the icon data may be rewritten (or replaced) by the control of the application displaying the icon. Also good. Note that the application that displays the icon may be various applications, such as Explorer (registered trademark).
 [アイコンデータに関する判定および抽出の説明]
 ここで、ファイル形式判定部131によってファイルがアイコンのデータを含んでいるか否かを判定する手法、およびアイコン抽出部132によってファイルに含まれるアイコンのデータを抽出する手法としては、特に限定されない。
 一例として、対象のファイルが実行ファイルである場合には、実行ファイルの構造に基づいて、ファイル形式判定部131によって当該ファイルがアイコンのデータを含んでいるか否かを判定することが可能であり、また、実行ファイルの構造に基づいて、アイコン抽出部132によって当該ファイルに含まれるアイコンのデータを抽出することが可能である。 [Description of determination and extraction for icon data]
Here, the method for determining whether or not the file includes icon data by the file format determination unit 131 and the method for extracting icon data included in the file by the icon extraction unit 132 are not particularly limited.
As an example, when the target file is an executable file, the file format determining unit 131 can determine whether the file includes icon data based on the structure of the executable file. Further, based on the structure of the execution file, the icon extraction unit 132 can extract icon data included in the file.
 図9は、本発明の一実施形態に係る実行ファイルの構造の一例を示す図である。図9の例は、一般的な実行ファイル(EXEファイル)の構造の例である。実行ファイルは、例えば、バイナリの情報である。
 図9の例では、実行ファイルには、呼び出し用のヘッダ構造体311およびスタブプログラム312が含まれ、また、PEヘッダ313が含まれ、また、セクションデータが含まれる。セクションデータには、セクションヘッダ314、テキストセクション315、データセクション316、リソースセクション317などが含まれる。ここで、アイコンのデータは、例えば、リソースセクション317に含まれていると考えられ、この場合、リソースセクション317の内容に基づいて、ファイル形式判定部131による処理およびアイコン抽出部132による処理が行われてもよい。
 なお、実行ファイルの先頭にはMZシグネチャ(「MZ」という文字列)が存在しており、MZシグネチャの有無に応じて実行ファイルであるか否かが判定されてもよい。 FIG. 9 is a diagram showing an example of an executable file structure according to an embodiment of the present invention. The example of FIG. 9 is an example of the structure of a general execution file (EXE file). The execution file is, for example, binary information.
In the example of FIG. 9, the execution file includes a calling header structure 311 and a stub program 312, a PE header 313, and section data. Section data includes a section header 314, a text section 315, a data section 316, a resource section 317, and the like. Here, the icon data is considered to be included in, for example, the resource section 317. In this case, processing by the file format determination unit 131 and processing by the icon extraction unit 132 are performed based on the contents of the resource section 317. It may be broken.
Note that an MZ signature (a character string “MZ”) exists at the top of the executable file, and whether or not the file is an executable file may be determined according to the presence or absence of the MZ signature.
 他の例として、対象のファイルのアイコンが画像として表示される場合に、当該アイコンの画像に基づいて、アイコン抽出部132によって当該ファイルに含まれる当該アイコンのデータを抽出する構成が用いられてもよい。この場合、例えば、アイコン抽出部132によって、画像認識の処理を行って、当該アイコンの画像に対応するデータを抽出してもよい。 As another example, when the icon of the target file is displayed as an image, the icon extraction unit 132 may extract the icon data included in the file based on the icon image. Good. In this case, for example, the icon extraction unit 132 may perform image recognition processing to extract data corresponding to the icon image.
 なお、現状では、アイコンを保持しているファイルは実行ファイル形式のみであり、他の形式のファイルは拡張子に紐付いたアイコンをWindows(登録商標)が表示している。しかしながら将来的に、アイコンを保持するファイル形式が新たに登場する可能性があり、そのような新たなファイル形式に本発明の実施形態が適用されてもよい。 At present, the file holding the icon is only the executable file format, and the Windows (registered trademark) displays the icon associated with the extension of the file of the other format. However, in the future, there may be a new file format that holds icons, and the embodiment of the present invention may be applied to such a new file format.
 [診断および表示のタイミングの説明]
 アイコン診断部111によりアイコン診断処理を行うタイミングとしては、任意のタイミングが用いられてもよい。
 また、診断結果出力部112によりアイコン表示処理を行うタイミングとしては、任意のタイミングが用いられてもよい。
 一例として、アイコン診断処理とアイコン表示処理とは、それぞれ独立したタイミングで行われてもよい。
 他の例として、アイコン診断処理が行われて終了したタイミングで、その診断結果に関するアイコン表示処理が行われてもよい。 [Explanation of diagnosis and display timing]
Arbitrary timings may be used as the timing at which the icon diagnosis unit 111 performs icon diagnosis processing.
In addition, any timing may be used as the timing for performing the icon display processing by the diagnosis result output unit 112.
As an example, the icon diagnosis process and the icon display process may be performed at independent timings.
As another example, an icon display process related to the diagnosis result may be performed at a timing when the icon diagnosis process is completed.
 ここで、アイコン診断処理を行うタイミングまたはアイコン表示処理を行うタイミングとして使用することが可能なタイミングの例を示す。
 例えば、コンピュータにおいて、ユーザにより行われる操作によってファイルがダブルクリック等されて開かれるタイミングで、アイコン診断処理またはアイコン表示処理のうちの一方または両方が行われてもよい。この場合、例えば、当該ファイルが開かれる前に、危険性に関する表示が行われてもよい。
 例えば、コンピュータにおいて、ユーザにより行われる操作によってデスクトップあるいはフォルダなどの対象が開かれるタイミングで、当該対象に存在するファイルについて、アイコン診断処理またはアイコン表示処理のうちの一方または両方が行われてもよい。
この場合、例えば、当該対象が開かれる前に、危険性に関する表示が行われてもよい。当該対象に存在するファイルとしては、例えば、当該コンピュータに常駐するプログラムのファイルが用いられてもよい。 Here, an example of timing that can be used as timing for performing icon diagnosis processing or timing for performing icon display processing is shown.
For example, one or both of icon diagnosis processing and icon display processing may be performed at a timing when a file is opened by double-clicking or the like by an operation performed by a user in a computer. In this case, for example, the danger display may be performed before the file is opened.
For example, at a timing when a target such as a desktop or a folder is opened by an operation performed by a user in a computer, one or both of icon diagnosis processing and icon display processing may be performed on a file existing on the target. .
In this case, for example, before the target is opened, a display regarding danger may be performed. For example, a file of a program resident in the computer may be used as the file existing in the target.
 例えば、コンピュータにおいて、メモリに保存されているファイルのチェックが定期的または適時に実行される場合、その実行のタイミングで、当該ファイルについて、アイコン診断処理またはアイコン表示処理のうちの一方または両方が行われてもよい。
 例えば、コンピュータにおいて、電子メールによって添付されたファイルが受信されたタイミング、または、電子メールによって添付されたファイルが展開されるタイミング、または、Webブラウザによってファイルが表示されるタイミング、または、Webブラウザによってファイルがダウンロードされるタイミングのうちの1以上のタイミングで、該当するファイルについて、アイコン診断処理またはアイコン表示処理のうちの一方または両方が行われてもよい。 For example, in a computer, when a check of a file stored in a memory is executed periodically or in a timely manner, one or both of icon diagnosis processing and icon display processing is performed for the file at the execution timing. It may be broken.
For example, in a computer, when a file attached by an e-mail is received, when a file attached by an e-mail is expanded, when a file is displayed by a web browser, or by a web browser One or both of the icon diagnosis process and the icon display process may be performed for the corresponding file at one or more timings of downloading the file.
 例えば、コンピュータにおいて、ネットワークを伝送する通信パケットのなかからファイルが識別されたタイミングで、識別されたファイルについて、アイコン診断処理またはアイコン表示処理のうちの一方または両方が行われてもよい。この場合、制御部34は、例えば、危険性があると判定されたファイル、または、危険性が所定の閾値を超えると判定されたファイルについて、当該ファイルの伝送を遮断してもよい。 For example, one or both of icon diagnosis processing and icon display processing may be performed on the identified file at the timing when the file is identified from communication packets transmitted over the network in the computer. In this case, for example, the control unit 34 may block transmission of a file that is determined to be dangerous or a file that is determined to have a risk exceeding a predetermined threshold.
 ここで、本実施形態では、アイコン処理装置11がコンピュータを用いて構成された場合を示した。当該コンピュータとしては、例えば、パーソナルコンピュータ(PC)であってもよく、あるいは、ネットワークにおけるルータまたはスイッチなどのコンピュータであってもよい。 Here, in the present embodiment, the case where the icon processing apparatus 11 is configured using a computer is shown. The computer may be, for example, a personal computer (PC) or a computer such as a router or a switch in a network.
 [署名を用いた診断処理の説明]
 図2および図3に示されるフローチャートの例では、アイコンを用いた診断処理を示したが、さらに、アイコン診断部111は、署名を用いた診断処理を行う、構成が用いられてもよい。
 例えば、アイコン診断部111は、診断対象のファイルに付与された署名を検証し、当該署名に係る証明書が正規な機関から発行されたものであるか否かを判定する。そして、アイコン診断部111は、当該証明書が正規な機関から発行されたものであると判定した場合には、署名に関して当該ファイルの危険性が無いと判定する。一方、アイコン診断部111は、当該証明書が正規な機関から発行されたものではないと判定した場合には、署名に関して当該ファイルの危険性があると判定する。なお、例えば、正規な機関を識別する情報があらかじめまたは随時に記憶部33に記憶され、アイコン診断部111が当該情報を参照して判定を行ってもよい。 [Description of diagnostic process using signature]
In the example of the flowchart shown in FIG. 2 and FIG. 3, diagnosis processing using an icon is shown, but a configuration in which the icon diagnosis unit 111 performs diagnosis processing using a signature may be used.
For example, the icon diagnosis unit 111 verifies the signature attached to the file to be diagnosed, and determines whether or not the certificate related to the signature is issued by a legitimate organization. If the icon diagnosis unit 111 determines that the certificate is issued by a legitimate organization, the icon diagnosis unit 111 determines that there is no risk of the file with respect to the signature. On the other hand, when the icon diagnosis unit 111 determines that the certificate is not issued from a legitimate organization, the icon diagnosis unit 111 determines that the file has a risk regarding the signature. Note that, for example, information for identifying a legitimate institution may be stored in the storage unit 33 in advance or at any time, and the icon diagnosis unit 111 may make a determination with reference to the information.
 さらに、アイコン診断部111は、診断対象のファイルの危険性がある場合に、危険性の程度を判定してもよい。例えば、アイコン診断部111は、当該ファイルに証明書が付与されていないと判定した場合には、署名に関して高い程度の危険性であると判定してもよい。また、例えば、アイコン診断部111は、当該ファイルに自己証明書が付与されていると判定した場合には、署名に関して中程度の危険性であると判定してもよい。なお、これらの危険性の程度は一例であり、任意の危険性の程度が用いられてもよい。 Further, the icon diagnosis unit 111 may determine the degree of risk when there is a risk of the file to be diagnosed. For example, if the icon diagnosis unit 111 determines that a certificate is not given to the file, the icon diagnosis unit 111 may determine that there is a high degree of risk regarding the signature. For example, when the icon diagnosis unit 111 determines that a self-certificate is given to the file, the icon diagnosis unit 111 may determine that there is a medium risk regarding the signature. In addition, the degree of these dangers is an example, and arbitrary degrees of danger may be used.
 本実施形態では、アイコン診断部111は、診断対象のファイルについて、アイコンを用いた診断処理とともに、署名を用いた診断処理を行い、それぞれの診断処理の結果に基づいて、総合的な危険度、あるいは総合的な危険性の程度を判定してもよい。なお、例えば、それぞれの診断処理の結果と総合的な危険度あるいは総合的な危険性の程度との対応があらかじめまたは随時に記憶部33に記憶され、アイコン診断部111が当該対応を参照して判定を行ってもよい。 In the present embodiment, the icon diagnosis unit 111 performs a diagnosis process using a signature together with a diagnosis process using an icon for a diagnosis target file, and based on the result of each diagnosis process, Alternatively, the overall risk level may be determined. Note that, for example, the correspondence between each diagnosis processing result and the overall risk level or the overall risk level is stored in the storage unit 33 in advance or at any time, and the icon diagnosis unit 111 refers to the correspondence. A determination may be made.
 [ホワイトリストを用いた診断処理の説明]
 図2および図3に示されるフローチャートの例では、アイコンを用いた診断処理を示したが、さらに、アイコン診断部111は、ホワイトリストを用いた診断処理を行う、構成が用いられてもよい。
 ホワイトリストは、記憶部33に記憶される。当該ホワイトリストは、危険性が無いと判定する対象とするファイルに関する情報を含む。当該ファイルに関する情報には、例えば、ファイルの名称、ファイルのサイズ、ファイルのアイコンなどのうちの1以上の情報が含まれてもよい。
 アイコン診断部111は、診断対象のファイルについて、アイコンを用いた診断処理の結果において危険性があると判定した場合においても、当該ファイルに関する情報が当該ホワイトリストに含まれる場合には、危険性が無いと判定する。 [Description of diagnostic processing using whitelist]
In the example of the flowchart shown in FIG. 2 and FIG. 3, diagnosis processing using icons is shown, but the icon diagnosis unit 111 may be configured to perform diagnosis processing using a white list.
The white list is stored in the storage unit 33. The white list includes information regarding a file to be determined as having no risk. The information related to the file may include, for example, one or more information of the file name, the file size, the file icon, and the like.
Even when the icon diagnosis unit 111 determines that the file to be diagnosed is dangerous in the result of the diagnosis process using the icon, if the information on the file is included in the white list, the risk is Judge that there is no.
 [以上の実施形態のまとめ]
 以上のように、本実施形態に係るアイコン処理装置11では、診断対象のファイルについて、アイコン診断処理を行うことによって、アイコンが偽装されたマルウェアを検出することができる。これにより、アイコン処理装置11では、例えば、ユーザが一見してマルウェアであるとは判別しにくいマルウェアを発見しやすくすることができる。
 このように、本実施形態に係るアイコン処理装置11では、精度よく、アイコンが偽装されたマルウェアであるか否かを診断することができる。 [Summary of the above embodiments]
As described above, the icon processing apparatus 11 according to the present embodiment can detect malware in which an icon is camouflaged by performing icon diagnosis processing on a diagnosis target file. Thereby, in the icon processing apparatus 11, for example, it is possible to easily find malware that is difficult for a user to identify as malware.
Thus, in the icon processing apparatus 11 according to the present embodiment, it is possible to accurately diagnose whether or not the icon is a disguised malware.
 また、本実施形態に係るアイコン処理装置11では、表示対象のファイルについて、危険性を示すマークを用いたアイコン表示処理を行うことによって、危険性があること、あるいは、より詳細な危険性の程度をアイコンにおいて示すことができる。これにより、アイコン処理装置11では、アイコンの見た目によって、ユーザが一見して危険性があることを認識可能にすることができる。ユーザは、例えば、コンピュータあるいはマルウェアの知識が少なくても、表示されたアイコンのファイルの危険性の有無あるいはより詳細な危険性の程度を把握することができ、危険性があるファイルを開かないようにするなどの措置が可能である。
 このように、本実施形態に係るアイコン処理装置11では、ユーザにとって判別しやすい態様で、アイコンが偽装されたマルウェアであることを表示することができる。 Further, in the icon processing apparatus 11 according to the present embodiment, there is a danger or a more detailed degree of danger by performing an icon display process using a mark indicating danger on the display target file. Can be shown in the icon. Thereby, in the icon processing apparatus 11, it can be recognized that there is a danger at a glance by the user by the appearance of the icon. For example, even if the user has little knowledge of computers or malware, the user can grasp the presence or absence of the displayed icon file or the more detailed degree of danger, and do not open the dangerous file. Measures such as making it possible are possible.
Thus, in the icon processing apparatus 11 according to the present embodiment, it is possible to display that the icon is a camouflaged malware in a manner that is easy for the user to distinguish.
 一構成例として、診断対象のファイルの形式を判定するファイル形式判定部(図1の例では、ファイル形式判定部131)と、診断対象のファイルのアイコンを抽出するアイコン抽出部(図1の例では、アイコン抽出部132)と、アイコン抽出部により抽出されたアイコンと、ファイル形式判定部により判定された形式に対応する基準アイコンとを比較するとともに、アイコン抽出部により抽出されたアイコンと、ファイル形式判定部により判定された形式に対応する基準アイコン以外の基準アイコンとを比較するアイコン比較部(図1の例では、アイコン比較部133)と、アイコン比較部による比較の結果に基づいて、危険に関する判定を行う危険判定部(図1の例では、危険判定部134)と、を備えるアイコン診断装置(図1の例では、アイコン処理装置11)である。
 一構成例として、アイコン診断装置において、アイコン比較部は、アイコン抽出部により抽出されたアイコンと、ファイル形式判定部により判定された形式に対応する基準アイコンとを比較して、両者の乖離度を取得する。
 一構成例として、アイコン診断装置において、アイコン比較部は、アイコン抽出部により抽出されたアイコンと、ファイル形式判定部により判定された形式に対応する基準アイコン以外の基準アイコンとを比較して、両者の類似度を取得する。
 一構成例として、アイコン診断装置において、危険判定部は、危険性の程度に関する判定を行う。
 一構成例として、アイコン診断装置において、危険性の程度は、危険性があること、または、危険性の2段階以上の程度である。
 一構成例として、アイコン診断装置において、危険判定部は、診断対象のファイルに付与された署名に関する判定の結果およびアイコン比較部による比較の結果に基づいて、危険に関する判定を行う。 As one configuration example, a file format determination unit (file format determination unit 131 in the example of FIG. 1) that determines the format of a diagnosis target file, and an icon extraction unit (example of FIG. 1) that extracts an icon of the diagnosis target file. Then, the icon extraction unit 132) compares the icon extracted by the icon extraction unit with the reference icon corresponding to the format determined by the file format determination unit, the icon extracted by the icon extraction unit, and the file Based on the result of the comparison by the icon comparison unit (icon comparison unit 133 in the example of FIG. 1) that compares a reference icon other than the reference icon corresponding to the format determined by the format determination unit, and the comparison result by the icon comparison unit. An icon diagnosis device (example in FIG. 1), and a risk determination unit (in the example in FIG. 1, risk determination unit 134) Is an icon processor 11).
As an example of the configuration, in the icon diagnosis apparatus, the icon comparison unit compares the icon extracted by the icon extraction unit with the reference icon corresponding to the format determined by the file format determination unit, and determines the degree of divergence between the two. get.
As an example of the configuration, in the icon diagnosis apparatus, the icon comparison unit compares the icon extracted by the icon extraction unit with a reference icon other than the reference icon corresponding to the format determined by the file format determination unit. Get the similarity of.
As an example of the configuration, in the icon diagnosis apparatus, the risk determination unit performs determination regarding the degree of risk.
As an example of the configuration, in the icon diagnosis apparatus, the degree of risk is that there is a risk, or the degree of risk is two or more stages.
As an example of the configuration, in the icon diagnosis apparatus, the risk determination unit performs the risk determination based on the determination result regarding the signature attached to the diagnosis target file and the comparison result by the icon comparison unit.
 一構成例として、アイコン診断装置が、診断対象のファイルの形式を判定し、アイコン診断装置が、診断対象のファイルのアイコンを抽出し、アイコン診断装置が、抽出されたアイコンと、判定された形式に対応する基準アイコンとを比較するとともに、抽出されたアイコンと、判定された形式に対応する基準アイコン以外の基準アイコンとを比較し、アイコン診断装置が、比較の結果に基づいて、危険に関する判定を行う、アイコン診断方法(図1の例では、アイコン処理装置11により行われる処理の方法)である。
 一構成例として、診断対象のファイルの形式を判定するステップと、診断対象のファイルのアイコンを抽出するステップと、抽出されたアイコンと、判定された形式に対応する基準アイコンとを比較するとともに、抽出されたアイコンと、判定された形式に対応する基準アイコン以外の基準アイコンとを比較するステップと、比較の結果に基づいて、危険に関する判定を行うステップと、をコンピュータに実行させるためのプログラム(図1の例では、アイコン処理装置11により実行されるプログラム)である。
 一構成例として、診断対象のファイルのアイコンを抽出するアイコン抽出部と、アイコン抽出部により抽出されたアイコンと、第1の基準アイコンとを比較するとともに、アイコン抽出部により抽出されたアイコンと、第1の基準アイコン以外の第2の基準アイコンとを比較するアイコン比較部と、を備えるアイコン診断装置である。
 一構成例として、アイコン診断装置において、アイコン比較部による比較の結果に基づいて、危険に関する判定を行う危険判定部を備える。
 一構成例として、アイコン診断装置において、診断対象のファイルの形式を判定するファイル形式判定部を備え、アイコン比較部は、アイコン抽出部により抽出されたアイコンと、ファイル形式判定部により判定された形式に対応する基準アイコンである第1の基準アイコンとを比較するとともに、アイコン抽出部により抽出されたアイコンと、第2の基準アイコンとを比較する。
 一構成例として、アイコン診断装置が、診断対象のファイルのアイコンを抽出し、アイコン診断装置が、抽出されたアイコンと、第1の基準アイコンとを比較するとともに、抽出されたアイコンと、第1の基準アイコン以外の第2の基準アイコンとを比較する、アイコン診断方法である。
 一構成例として、診断対象のファイルのアイコンを抽出するステップと、抽出されたアイコンと、第1の基準アイコンとを比較するとともに、抽出されたアイコンと、第1の基準アイコン以外の第2の基準アイコンとを比較するステップと、をコンピュータに実行させるためのプログラムである。 As one configuration example, the icon diagnosis apparatus determines the format of the diagnosis target file, the icon diagnosis apparatus extracts the icon of the diagnosis target file, and the icon diagnosis apparatus determines the extracted icon and the determined format. The icon diagnosis device compares the extracted icon with a reference icon other than the reference icon corresponding to the determined format, and the icon diagnosis device determines the risk based on the comparison result. Is an icon diagnosis method (in the example of FIG. 1, a method of processing performed by the icon processing device 11).
As one configuration example, the step of determining the format of the file to be diagnosed, the step of extracting the icon of the file to be diagnosed, comparing the extracted icon with a reference icon corresponding to the determined format, A program for causing a computer to execute a step of comparing an extracted icon with a reference icon other than the reference icon corresponding to the determined format, and a step of making a determination regarding danger based on a result of the comparison ( In the example of FIG. 1, the program is executed by the icon processing device 11.
As one configuration example, an icon extraction unit that extracts an icon of a diagnosis target file, an icon extracted by the icon extraction unit, and a first reference icon are compared, and an icon extracted by the icon extraction unit; An icon diagnostic apparatus comprising: an icon comparison unit that compares a second reference icon other than the first reference icon.
As an example of the configuration, the icon diagnosis apparatus includes a risk determination unit that performs a risk determination based on a result of comparison by the icon comparison unit.
As an example of the configuration, the icon diagnosis apparatus includes a file format determination unit that determines the format of a file to be diagnosed, and the icon comparison unit includes an icon extracted by the icon extraction unit and a format determined by the file format determination unit Is compared with the first reference icon corresponding to the icon, and the icon extracted by the icon extraction unit is compared with the second reference icon.
As an example of the configuration, the icon diagnosis device extracts an icon of a file to be diagnosed, the icon diagnosis device compares the extracted icon with the first reference icon, and extracts the extracted icon and the first This is an icon diagnosis method for comparing with a second reference icon other than the reference icon.
As one configuration example, a step of extracting an icon of a file to be diagnosed, comparing the extracted icon and the first reference icon, and extracting the extracted icon and a second other than the first reference icon A program for causing a computer to execute a step of comparing with a reference icon.
 一構成例として、診断対象のファイルのアイコンを抽出するアイコン抽出部と、診断対象のファイルの形式を判定するファイル形式判定部と、アイコン抽出部により抽出されたアイコンと、ファイル形式判定部により判定された形式に対応する基準アイコンである第1の基準アイコンとを比較するとともに、アイコン抽出部により抽出されたアイコンと、第1の基準アイコン以外の第2の基準アイコンとを比較するアイコン比較部と、を備えるアイコン診断装置である。
 一構成例として、アイコン診断装置が、診断対象のファイルのアイコンを抽出し、アイコン診断装置が、診断対象のファイルの形式を判定し、アイコン診断装置が、抽出されたアイコンと、判定された形式に対応する基準アイコンである第1の基準アイコンとを比較するとともに、抽出されたアイコンと、第1の基準アイコン以外の第2の基準アイコンとを比較する、アイコン診断方法である。
 一構成例として、診断対象のファイルのアイコンを抽出するステップと、診断対象のファイルの形式を判定するステップと、抽出されたアイコンと、判定された形式に対応する基準アイコンである第1の基準アイコンとを比較するとともに、抽出されたアイコンと、第1の基準アイコン以外の第2の基準アイコンとを比較するステップと、をコンピュータに実行させるためのプログラムである。 As one configuration example, an icon extraction unit that extracts an icon of a diagnosis target file, a file format determination unit that determines the format of the diagnosis target file, an icon extracted by the icon extraction unit, and a file format determination unit An icon comparison unit that compares a first reference icon that is a reference icon corresponding to the format that has been created, and that compares an icon extracted by the icon extraction unit with a second reference icon other than the first reference icon And an icon diagnostic device.
As one configuration example, the icon diagnosis device extracts an icon of a diagnosis target file, the icon diagnosis device determines the format of the diagnosis target file, and the icon diagnosis device determines the extracted icon and the determined format. Is compared with the first reference icon corresponding to the icon, and the extracted icon is compared with a second reference icon other than the first reference icon.
As one configuration example, a step of extracting an icon of a diagnosis target file, a step of determining a format of the diagnosis target file, an extracted icon, and a first reference that is a reference icon corresponding to the determined format A program for causing a computer to execute a step of comparing an icon and comparing an extracted icon with a second reference icon other than the first reference icon.
 本実施形態のように、以上に示した実施形態に係る装置(例えば、アイコン処理装置11)の機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体(記憶媒体)に記録(記憶)して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することにより、処理を行ってもよい。
 なお、ここでいう「コンピュータシステム」とは、オペレーティング・システム(OS:Operating System)あるいは周辺機器等のハードウェアを含むものであってもよい。
 また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM(Read Only Memory)、フラッシュメモリ等の書き込み可能な不揮発性メモリ、DVD(Digital Versatile Disk)等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
 さらに、「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークあるいは電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(例えばDRAM(Dynamic Random Access Memory))のように、一定時間プログラムを保持しているものも含む。
 また、上記のプログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)あるいは電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
 また、上記のプログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、上記のプログラムは、前述した機能をコンピュータシステムに既に記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。 As in this embodiment, a program for realizing the function of the device (for example, the icon processing device 11) according to the above-described embodiment is recorded (stored) in a computer-readable recording medium (storage medium). The processing may be performed by causing the computer system to read and execute the program recorded on the recording medium.
Here, the “computer system” may include an operating system (OS) or hardware such as a peripheral device.
The “computer-readable recording medium” means a flexible disk, a magneto-optical disk, a ROM (Read Only Memory), a writable nonvolatile memory such as a flash memory, a portable medium such as a DVD (Digital Versatile Disk), A storage device such as a hard disk built in a computer system.
Further, the “computer-readable recording medium” refers to a volatile memory (for example, DRAM (DRAM)) inside a computer system that becomes a server or a client when a program is transmitted via a network such as the Internet or a communication line such as a telephone line. And a program that holds a program for a certain period of time, such as Dynamic Random Access Memory)).
The program may be transmitted from a computer system storing the program in a storage device or the like to another computer system via a transmission medium or by a transmission wave in the transmission medium. Here, the “transmission medium” for transmitting the program refers to a medium having a function of transmitting information, such as a network (communication network) such as the Internet or a communication line (communication line) such as a telephone line.
Further, the above program may be for realizing a part of the functions described above. Further, the above program may be a so-called difference file (difference program) that can realize the above-described functions in combination with a program already recorded in the computer system.
 なお、本発明を実施の形態を用いて説明したが、本発明の技術的範囲は上記実施の形態には限定されない。本発明の精神及び範囲から逸脱することなく様々に変更したり代替態様を採用したりすることが可能なことは、当業者に明らかである。 Although the present invention has been described using the embodiment, the technical scope of the present invention is not limited to the above embodiment. It will be apparent to those skilled in the art that various modifications and alternative embodiments can be made without departing from the spirit and scope of the invention.
11…アイコン処理装置
31…入力部
32…出力部
33…記憶部
34…制御部
71…表示部
91…ファイル情報
92…ファイル形式リスト
93…基準アイコンリスト
111…アイコン診断部
112…診断結果出力部
131…ファイル形式判定部
132…アイコン抽出部
133…アイコン比較部
134…危険判定部
151…表示制御部
211、221、231、241、251…アイコン情報
212、222、232、242、252…基準アイコン
223、233、243、253…マーク DESCRIPTION OF SYMBOLS 11 ... Icon processing apparatus 31 ... Input part 32 ... Output part 33 ... Storage part 34 ... Control part 71 ... Display part 91 ... File information 92 ... File format list 93 ... Standard icon list 111 ... Icon diagnosis part 112 ... Diagnosis result output part 131 ... File format determination unit 132 ... Icon extraction unit 133 ... Icon comparison unit 134 ... Risk determination unit 151 ... Display control unit 211, 221, 231, 241, 251 ... Icon information 212, 222, 232, 242, 252 ... Reference icon 223, 233, 243, 253 ... mark

Claims (9)

  1.  診断対象のファイルのアイコンを抽出するアイコン抽出部と、
     前記診断対象のファイルの形式を判定するファイル形式判定部と、
     前記アイコン抽出部により抽出された前記アイコンと、前記ファイル形式判定部により判定された形式に対応する基準アイコンである第1の基準アイコンとを比較するとともに、前記アイコン抽出部により抽出された前記アイコンと、前記第1の基準アイコン以外の第2の基準アイコンとを比較するアイコン比較部と、
     を備えるアイコン診断装置。     An icon extractor for extracting an icon of a file to be diagnosed;
    A file format determination unit for determining the format of the diagnosis target file;
    The icon extracted by the icon extraction unit is compared with the first reference icon which is a reference icon corresponding to the format determined by the file format determination unit, and the icon extracted by the icon extraction unit And an icon comparison unit that compares a second reference icon other than the first reference icon;
    An icon diagnostic apparatus comprising:
  2.  前記アイコン比較部は、前記アイコン抽出部により抽出された前記アイコンと、前記第1の基準アイコンとを比較して、両者の乖離度を取得する、
     請求項1に記載のアイコン診断装置。     The icon comparison unit compares the icon extracted by the icon extraction unit with the first reference icon and acquires a degree of divergence between the icons.
    The icon diagnosis apparatus according to claim 1.
  3.  前記アイコン比較部は、前記アイコン抽出部により抽出された前記アイコンと、前記第2の基準アイコンとを比較して、両者の類似度を取得する、
     請求項1または請求項2のいずれか1項に記載のアイコン診断装置。     The icon comparison unit compares the icon extracted by the icon extraction unit with the second reference icon, and obtains a similarity between them.
    The icon diagnostic apparatus of any one of Claim 1 or Claim 2.
  4.  前記アイコン比較部による比較の結果に基づいて、危険に関する判定を行う危険判定部を備える、
       請求項1から請求項3のいずれか1項に記載のアイコン診断装置。     Based on the result of comparison by the icon comparison unit, a risk determination unit that performs a risk determination is provided.
    The icon diagnostic apparatus of any one of Claims 1-3.
  5.  前記危険判定部は、危険性の程度に関する判定を行う、
     請求項4に記載のアイコン診断装置。     The risk determination unit performs a determination regarding the degree of risk,
    The icon diagnosis apparatus according to claim 4.
  6.  前記危険性の程度は、前記危険性があること、または、前記危険性の2段階以上の程度である、
     請求項5に記載のアイコン診断装置。     The degree of the danger is that there is the danger, or is a degree of two or more stages of the danger,
    The icon diagnosis apparatus according to claim 5.
  7.  前記危険判定部は、前記診断対象のファイルに付与された署名に関する判定の結果および前記アイコン比較部による比較の結果に基づいて、危険に関する判定を行う、
     請求項4から請求項6のいずれか1項に記載のアイコン診断装置。     The risk determination unit performs a risk determination based on a determination result regarding a signature given to the diagnosis target file and a comparison result by the icon comparison unit.
    The icon diagnostic apparatus of any one of Claims 4-6.
  8.  アイコン診断装置が、診断対象のファイルのアイコンを抽出し、
     前記アイコン診断装置が、前記診断対象のファイルの形式を判定し、
     前記アイコン診断装置が、抽出された前記アイコンと、判定された形式に対応する基準アイコンである第1の基準アイコンとを比較するとともに、抽出された前記アイコンと、前記第1の基準アイコン以外の第2の基準アイコンとを比較する、
     アイコン診断方法。     The icon diagnostic device extracts the icon of the file to be diagnosed,
    The icon diagnostic device determines the format of the file to be diagnosed,
    The icon diagnostic device compares the extracted icon with a first reference icon that is a reference icon corresponding to the determined format, and the extracted icon and the other than the first reference icon Compare with the second reference icon,
    Icon diagnostic method.
  9.  診断対象のファイルのアイコンを抽出するステップと、
     前記診断対象のファイルの形式を判定するステップと、
     抽出された前記アイコンと、判定された形式に対応する基準アイコンである第1の基準アイコンとを比較するとともに、抽出された前記アイコンと、前記第1の基準アイコン以外の第2の基準アイコンとを比較するステップと、
     をコンピュータに実行させるためのプログラム。     Extracting a file icon to be diagnosed;
    Determining the format of the file to be diagnosed;
    The extracted icon is compared with a first reference icon that is a reference icon corresponding to the determined format, and the extracted icon and a second reference icon other than the first reference icon A step of comparing
    A program that causes a computer to execute.
PCT/JP2017/003410 2016-02-05 2017-01-31 Icon diagnostic device, icon diagnostic method and program WO2017135249A1 (en)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2016-020955 2016-02-05
JP2016020955A JP5954915B1 (en) 2016-02-05 2016-02-05 Icon diagnosis apparatus, icon diagnosis method and program
JP2016116611A JP6068711B1 (en) 2016-06-10 2016-06-10 Icon diagnosis apparatus, icon diagnosis method and program
JP2016-116611 2016-06-10

Publications (1)

Publication Number Publication Date
WO2017135249A1 true WO2017135249A1 (en) 2017-08-10

Family

ID=59499640

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2017/003410 WO2017135249A1 (en) 2016-02-05 2017-01-31 Icon diagnostic device, icon diagnostic method and program

Country Status (2)

Country Link
TW (1) TWI622932B (en)
WO (1) WO2017135249A1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102017120209A1 (en) 2017-09-01 2019-03-07 SCi Kontor GmbH Apparatus for shredding food and its use

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010198565A (en) * 2009-02-27 2010-09-09 Hitachi Ltd Method of detecting illegal program, program for detecting illegal program, and information processing apparatus
US8256000B1 (en) * 2009-11-04 2012-08-28 Symantec Corporation Method and system for identifying icons
JP2015191458A (en) * 2014-03-28 2015-11-02 エヌ・ティ・ティ・ソフトウェア株式会社 File risk determination device, file risk determination method, and program

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070056035A1 (en) * 2005-08-16 2007-03-08 Drew Copley Methods and systems for detection of forged computer files
JP4733509B2 (en) * 2005-11-28 2011-07-27 株式会社野村総合研究所 Information processing apparatus, information processing method, and program
CN103078864B (en) * 2010-08-18 2015-11-25 北京奇虎科技有限公司 A kind of Initiative Defense Ile repair method based on cloud security
CN102395128B (en) * 2011-06-30 2015-12-09 北京邮电大学 A kind of fallacious message of mobile intelligent terminal sends defence method and system thereof
US8869274B2 (en) * 2012-09-28 2014-10-21 International Business Machines Corporation Identifying whether an application is malicious
TWI461952B (en) * 2012-12-26 2014-11-21 Univ Nat Taiwan Science Tech Method and system for detecting malware applications
CN103077353B (en) * 2013-01-24 2015-12-02 北京奇虎科技有限公司 The method and apparatus of Initiative Defense rogue program
CN103729593B (en) * 2013-12-31 2017-04-12 安一恒通(北京)科技有限公司 File security identification method and system
CN104504335B (en) * 2014-12-24 2017-12-05 中国科学院深圳先进技术研究院 Fishing APP detection methods and system based on page feature and URL features

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010198565A (en) * 2009-02-27 2010-09-09 Hitachi Ltd Method of detecting illegal program, program for detecting illegal program, and information processing apparatus
US8256000B1 (en) * 2009-11-04 2012-08-28 Symantec Corporation Method and system for identifying icons
JP2015191458A (en) * 2014-03-28 2015-11-02 エヌ・ティ・ティ・ソフトウェア株式会社 File risk determination device, file risk determination method, and program

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102017120209A1 (en) 2017-09-01 2019-03-07 SCi Kontor GmbH Apparatus for shredding food and its use

Also Published As

Publication number Publication date
TW201734774A (en) 2017-10-01
TWI622932B (en) 2018-05-01

Similar Documents

Publication Publication Date Title
US11188650B2 (en) Detection of malware using feature hashing
US8732587B2 (en) Systems and methods for displaying trustworthiness classifications for files as visually overlaid icons
JP6526608B2 (en) Dictionary update device and program
WO2015165412A1 (en) Method for modifying webpage and apparatus for modifying webpage
US20120110459A1 (en) Automated adjustment of input configuration
US20130145466A1 (en) System And Method For Detecting Malware In Documents
US20110271118A1 (en) Password generation methods and systems
US11797668B2 (en) Sample data generation apparatus, sample data generation method, and computer readable medium
EP3105677B1 (en) Systems and methods for informing users about applications available for download
EP3079091B1 (en) Method and device for virus identification, nonvolatile storage medium, and device
US10691791B2 (en) Automatic unpacking of executables
JP2015191458A (en) File risk determination device, file risk determination method, and program
Choi et al. All‐in‐One Framework for Detection, Unpacking, and Verification for Malware Analysis
JP2012088803A (en) Malignant web code determination system, malignant web code determination method, and program for malignant web code determination
JP5441043B2 (en) Program, information processing apparatus, and information processing method
US10896252B2 (en) Composite challenge task generation and deployment
JP6069685B1 (en) Icon display device, icon display method and program
WO2017135249A1 (en) Icon diagnostic device, icon diagnostic method and program
JP6068711B1 (en) Icon diagnosis apparatus, icon diagnosis method and program
JP5954915B1 (en) Icon diagnosis apparatus, icon diagnosis method and program
JP6976194B2 (en) Vulnerability judgment system, vulnerability judgment method and computer program
KR101544010B1 (en) Method for normalizing dynamic behavior of process and detecting malicious code
US11100237B2 (en) Identify and protect sensitive text in graphics data
EP2750066B1 (en) System and method for detecting malware that interferes with a user interface
WO2020194449A1 (en) Warning device, control method, and program

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 17747405

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 17747405

Country of ref document: EP

Kind code of ref document: A1