[go: up one dir, main page]

JP2013168141A - マルウェアの検出方法 - Google Patents

マルウェアの検出方法 Download PDF

Info

Publication number
JP2013168141A
JP2013168141A JP2013015153A JP2013015153A JP2013168141A JP 2013168141 A JP2013168141 A JP 2013168141A JP 2013015153 A JP2013015153 A JP 2013015153A JP 2013015153 A JP2013015153 A JP 2013015153A JP 2013168141 A JP2013168141 A JP 2013168141A
Authority
JP
Japan
Prior art keywords
code
malware
call
site
security application
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2013015153A
Other languages
English (en)
Other versions
JP6176622B2 (ja
Inventor
Klein Amit
アミット、クライン
Ben-Haim Eldan
エルダン、ベン‐ハイム
Frishman Gal
ガル、フリシュマン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Trusteer Ltd
Original Assignee
Trusteer Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Trusteer Ltd filed Critical Trusteer Ltd
Publication of JP2013168141A publication Critical patent/JP2013168141A/ja
Application granted granted Critical
Publication of JP6176622B2 publication Critical patent/JP6176622B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/561Virus type analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Stored Programmes (AREA)
  • Storage Device Security (AREA)

Abstract

【課題】マルウェアと関連付けられた挙動を検出し、マルウェアのインストールを防止できるようにする。
【解決手段】検査対象プロセスコードがシステムコールを行う度にそれを検出し、コールサイトをさらに検出する。サイトの周囲の領域内の、かつ/またはサイトに関連した分岐内のコードの部分が解析され、検査対象プロセスコードが定義済みのソフトウェア・コード・パターンのうちの1つに対応するかどうか判定するために、コードの解析対象部分のプロパティが定義済みのソフトウェア・コード・パターンと比較される。次いで、検査対象プロセスコードが比較結果に従って分類される。
【選択図】図1

Description

本発明はインターネットセキュリティの分野に関する。より詳細には、本発明は、より安全なブラウジングを提供するとともに、オンラインの機密情報の盗用を防止するための方法に関する。
ウェブブラウザがパーソナルコンピュータ上で最も頻繁に使用されるアプリケーションになり、銀行取引や買物取引など、より多くのユーザ機密データがウェブブラウザを介して入力されるようになるにつれて、悪質な攻撃がウェブブラウザにますます集中するようになってきている。悪質なコードをインストールできる悪質なセキュリティー上の弱点(exploit)の数がますます増加しており、悪質なブラウザ拡張機能が標的コンピュータシステム上で存続し続ける。悪質なブラウザ拡張機能がコンピュータシステム上で存続するために、典型的には、悪質な拡張機能がディスク上で存続するための悪質なファイルが作成され、ブラウザ拡張機能がオペレーティングシステムに登録されていることをウェブブラウザに通知するために、悪質なブラウザ拡張機能と関連付けられたレジストリエントリが作成される。
したがって、例えば、ユーザがユーザ機密データをウェブページのフォームフィールドに入力し、悪質なブラウザ拡張機能がウェブブラウザ上に存在している場合、悪質なブラウザ拡張機能がイベントを受け取るときに、悪質なブラウザ拡張機能は潜在的にそのイベントの内容にアクセスし、それを変更することができる。例えば、悪質なブラウザは、イベントの予定日超過(post data)パラメータにおける銀行口座の銀行進展コードといったユーザ機密データを複写または変更することができ、結果としてユーザ機密データが危険にさらされることになる。
消費者およびサービス提供者を保護するために、多くのソフトウェアおよびハードウェア解決策が提案され、あるいは、開発されている。これらの方法はおおむねオンライン認証を強化するが、オンラインアクティビティのための最も普及しているツールであるウェブブラウザが安全であることを暗黙的に前提としている。また、これらの解決策は、マルウェアのインストールプロセスに対する保護の提供を対象とするものではない。
既存の解決策の別の問題は、*.exeファイルを有害または無害として分類するために、保護ツールがそのファイルの内容をスキャンする必要があり得ることである。往々にしてこのプロセスは、悪質なファイルがそのファイル自身をインストールするのに必要とする時間より長い時間を要する場合がある。この限界は感染したシステムに不可避の損傷をもたらし得る。
この問題に対処し、ウェブをブラウズしている間の悪用からユーザを保護するためには、ブラウザ感染検出ツールが必要である。
したがって、本発明の目的は、マルウェアと関連付けられた挙動を検出することができるシステムを提供することである。
本発明の別の目的は、マルウェアの完全なインストールを防止することができるシステムを提供することである。
本発明の他の目的および利点は説明が進むにつれて明らかになるであろう。
本発明は、セキュリティアプリケーションにより、検査対象ソフトウェアコードがマルウェアであるか否か判定するためのシステムおよび方法を対象とする。この方法に従って、システムは、検査対象プロセスコードが呼び出し(システムコールなど)を行う度に、検出し、呼び出し(call)サイト(検査対象プロセスコード内のサイトであって、呼び出しが当該サイトから起動された)をさらに検出する。サイトの周囲の領域内の、および/または、サイトに関連する分岐内のコードの1つまたは2以上の部分が解析され、検査対象プロセスコードが定義済みのソフトウェア・コード・パターンのうちの1つに対応するかどうか判定するために、コードの解析対象部分のプロパティの少なくとも一部が定義済みのソフトウェア・コード・パターンと比較される。次いで、検査対象プロセスコードが比較結果に従って分類される。
検査対象プロセスコードは、有害または無害として分類され、実行ファイルから、またはDLLからロードされ得る。
検査対象プロセスコードは、関数呼び出しツリーの一部分とすることも、特定のサブルーチンとすることも、数コード命令ずつ相互に間隔を置いた特定のコードラインの組み合わせとすることもできる。
セキュリティアプリケーションまたはその少なくとも一部分は、クライアント装置上にあってよい。
マルウェアをインストールしようとする試みの検出はオフラインで、または、リアルタイムで行われ得る。検出され次第、マルウェアはそのインストールの完了を妨げられる。
一態様では、セキュリティアプリケーションは、アプリケーション、または、オペレーティングシステムから呼び出されることができ、ソフトウェアコードの各解析対象部分を公知のマルウェアパターンの「ブラックリスト」と比較する。
本発明の方法を大まかに説明するフローチャート。 本発明の実施形態を大まかに説明するフローチャート。
図面および以下の説明は単なる例としての本発明の実施形態に関するものである。以下の考察を読めば、本明細書で開示される構造および方法の代替の実施形態が、特許請求される発明の原理から逸脱しない限り、用いられ得る実行可能な選択肢として容易に認められるであろうことに留意すべきである。
次に、その例が添付の図に示されている(1つまたは複数の)本発明のいくつかの実施形態を参照する。使用できる場合にはどこでも、同様の、または類似の参照番号が各図において使用され、同様の、または類似の機能を指示し得る。各図には、本発明の実施形態が例示としてのみ示されている。以下の説明を読めば、当業者は、本明細書で例示される構造および方法の代替の実施形態が、本明細書で説明される本発明の原理を逸脱することなく用いられ得ることを容易に理解するであろう。
特に指示しない限り、ここで説明される機能は、コンピュータ可読媒体に記憶され、1つまたは複数のプロセッサベースのシステム上で走る実行可能コードおよび命令によって行われてよい。しかし、状態機械および/または配線による電子回路も利用することができる。さらに、ここで説明されるプロセスの例に関して、すべてのプロセス状態に到達される必要があるとは限らず、各状態が例示の順に行われる必要もない。さらに、順次に行われるものとして例示されるいくつかのプロセス状態を並列に行うこともできる。
同様に、いくつかの例ではパーソナルコンピュータ(PC)システムに言及する場合もあるが、MAC、他のコンピュータまたは電子システム、例えば、それだけに限定されないが、ネットワーク対応の携帯情報端末(PDA)、スマートフォン、タブレットなども使用することができる。
本発明は、(例えばウェブブラウザをマルウェアに感染させるために)コンピュータシステムにマルウェアをインストールしようとする試みをリアルタイムに検出するための方法に関するものである。本発明の一実施形態によれば、以下で例示するように、マルウェア(または他の疑わしいソフトウェアコード)が当該マルウェアのインストールを完了するのを防止するための方法が提供される。
ここでは、「マルウェア」という用語は、権限が付与されたユーザが知ることなく、および/または、権限が付与されたユーザの同意なしに、コンピュータシステム環境に入る任意のコンピュータプログラム、モジュール、モジュールのセット、またはコードとして定義される悪質なコードを指す。ブラウザイベント内のユーザ私用データにアクセスすることのできる、悪質なBHOといった悪質なブラウザ拡張機能が、悪質なコードの一例である。さらにここでは、悪質なアクティビティとは、悪質なコードを実行した結果として生じる任意のアクティビティである。
本実施形態では、ウェブブラウザは、マイクロソフト・インターネット・エクスプローラやファイアフォックスといった数ある従来のウェブ・ブラウザ・アプリケーションのうちのいずれか1つである。
本発明による実施形態は、マルウェアをインストールしようとする試みを検出および防止し得る。一実施形態では、ホストコンピュータのOSからの呼び出しを検出するように登録されているセキュリティアプリケーションが、ホスト・コンピュータ・システム上にインストールされる。そのような呼び出しは、(OSがマイクロソフトウィンドウズである場合には)ホストコンピュータのウィンドウズレジストリ、または、ファイルシステム操作とやりとりをする関数呼び出しとすることができる。
呼び出しが検出されると、プログラムコードであって、その呼び出しが当該プログラムコードから起動されたプログラムコードのプロパティが、マルウェアを表すかどうかの判定が行われる。一実施形態では、呼び出しが疑わしいイベントであると判定されない場合、そのイベントをさらに処理する(例えばインストールプロセスを完了する)ことができる。一方、呼び出しがマルウェアであると判定される場合、当該ソフトウェアコードのインストールプロセスが打ち切られる。
次に図1を参照すると、本発明の一実施形態によるコンピュータシステムの図が示されており、このコンピュータシステムは、ホスト・コンピュータ・システム上にマルウェアをインストールし、実行しようとする試みを検出するためのセキュリティアプリケーションを含む。ホスト・コンピュータ・システムは、ユーザ装置ともいい、典型的には、中央処理装置(CPU)、入力出力(I/O)インターフェース、およびメモリを含み、メモリはオペレーティングシステムおよびウェブブラウザを含む。一実施形態では、オペレーティングシステムが、呼び出しイベントがそこから受け取られるサイトを提供する呼び出しイベント順序リストを維持する。
一実施形態では、メモリはセキュリティアプリケーションを含み、セキュリティアプリケーションは2つの主要なコンポーネント、すなわち、a)オペレーティングシステム(OS)の設定レジストリパスをリッスンすることによって、OSのレジストリの呼び出しを監視するように構成されている検出エンジンと、b)様々なマルウェアのソフトウェアコードの選択部分の挙動を表す定義済みのパラメータが事前ロードされたデータベースとを備える。
本発明の一実施形態によれば、セキュリティアプリケーションは以下のタスクを実行する。まず、セキュリティアプリケーションは、ソフトウェアコードが呼び出しアクティビティ(システムコールなど)を行う度に検出する。次のステップで、セキュリティアプリケーションは、サイトであって、呼び出しが当該サイトから起動された呼び出し側コード内のサイトを検出する。これがなされるのは、当該サイトの周囲の領域内、および/または、呼び出しの起動に関与する当該サイトに関連した分岐内における(実行可能ファイルまたはDLLに属し得る)コードの1つまたは複数の部分を解析するためである。例えば、解析されるべきコードの部分は、特定のサブルーチンや、数コード命令ずつ相互に間隔を置いた特定のコードラインの組み合わせといった、(プログラム内の関数呼び出しの階層を示す)関数呼び出しツリーの部分と関連付けられていてもよい。この結果として、一意のパターンとしての形式でプロパティのサブセットがもたらされ、次いでそれを、マルウェアの存在、さらには、マルウェアの種類とさえも関連付けることができる。
次のステップで、セキュリティアプリケーションは、コードの解析対象部分(またはその少なくとも一部)のプロパティが、データベースに記憶された定義済みのソフトウェア・コード・パラメータまたはパターンと一致するかどうか検査する。コードの解析対象部分のプロパティと定義済みのソフトウェアコードとが一致することは、そのソフトウェアが、マルウェア、または、検出される必要のある他の種類のソフトウェアコードであることを示す。このことは、コードの解析対象部分のプロパティと定義済みのソフトウェア・コード・パターンとを比較し、検査対象プロセスコードが定義済みのソフトウェア・コード・パターンのうちの1つに対応するかどうかを判定することによってなされ得る。次いで、検査対象プロセスコードが比較結果に従って分類される。
例えば、SpyEyeといった数種類のマルウェアの公知の挙動は、まず、(ユーザがログインするときに)ウィンドウズのスタートアップシーケンスにおいて、そのマルウェア自体をロードするために、HKCU\Software\Microsoft\Windows\CurrentVersion\Run Windows\Registy keyにエントリを追加するものである。
典型的には、OSは、呼び出しを受け取ると、様々な階層を介してシステム要求を転送する。前述のように、ウィンドウズレジストリのレジストリキーへ値を追加することにより、マルウェアコードがマルウェア自体を永続的にインストールしようと試みたとしても、セキュリティアプリケーションは、この試みを監視し、サイトであって、上記呼び出しが当該サイトから起動されたサイト、および、このサイトの周囲の領域内のコードの部分を検出する。
一態様では、セキュリティアプリケーションは、ソフトウェアコードの各解析対象部分を、公知のマルウェアパターンの「ブラック」リストと比較する。コードの1つまたは複数の部分が「ブラック」リスト内のエントリと一致する場合、自身をインストールしようと試みる関連ソフトウェアコードは終了または阻止され、それ以外の場合、ソフトウェアコードはインストールを完了することができる。
次に図2を参照すると、本発明の一実施形態による、マルウェアインストールの試みの初期段階でのOSのレジストリパスにおける、通知順序リストの図が示されている。
ここでは、コンピュータメモリは、揮発性メモリ、不揮発性メモリ、またはこれら2つの組み合わせを指す。セキュリティアプリケーションはアプリケーションと呼ばれているが、これは例示にすぎない。セキュリティアプリケーションは、アプリケーションまたはオペレーティングシステムから呼び出すことができるはずである。一実施形態では、アプリケーションは一般に任意の実行可能コードであると定義される。さらに、「アプリケーションまたはオペレーションがある動作を行う」という場合、その動作は、プロセッサが1つまたは複数の命令を実行した結果であることを当業者は理解するであろう。
図1に示すように、セキュリティアプリケーションはOSレベルの呼び出し時に通知されるため、この媒体またはその少なくとも一部分がコンピュータシステム自体(クライアント装置)に置かれ、残りの部分がホストコンピュータと異なる場所に物理的に位置するメモリに記憶されてもよい。これはクライアント・サーバシステムにおいて実現することもでき、あるいは、モデムおよびアナログ回線を介した別のコンピュータへの接続、または、ディジタルインターフェースおよびディジタル回線を介した別のコンピュータへの接続によって実現することもできるはずである。
本開示を考慮すると、本発明の実施形態によるセキュリティアプリケーションの機能は、多種多様なコンピュータシステム構成において実施することができる。加えて、セキュリティアプリケーションの機能は、様々な装置のメモリに様々なモジュールとして記憶することもできるはずである。例えば、まず、セキュリティアプリケーションをコンピュータシステムに記憶し、次いで、必要に応じて、セキュリティアプリケーションの一部分をホスト・コンピュータ・システムへ転送し、ホスト・コンピュータ・システム上で実行することもできるはずである。したがって、セキュリティアプリケーションの機能の一部はサーバ・コンピュータ・システムのプロセッサ上で実行され、別の一部はホスト・コンピュータ・システムのプロセッサ上で実行されることになるはずである。
本開示を考慮すると、当業者は、ユーザにとって関心のあるオペレーティングシステムおよびコンピュータプログラミング言語を使用して、多種多様な物理ハードウェア構成において本発明の様々な実施形態を実施することができる。さらに別の実施形態では、セキュリティアプリケーションは、サーバ・コンピュータ・システムのメモリに記憶される。セキュリティアプリケーションは、ネットワーク上でホスト・コンピュータ・システムのメモリへ転送される。
以上、本発明のいくつかの実施形態を例として説明したが、本発明は、多くの改変、変形および適応と共に、当業者の範囲内の多数の均等物または代替の解決用を使用して、本発明の趣旨を逸脱せず、特許請求の範囲も超えずに実行することができることは明らかであろう。

Claims (10)

  1. セキュリティアプリケーションにより、検査対象ソフトウェアコードがマルウェアであるか否かを判定するための方法であって、
    a.前記検査対象プロセスコードが呼び出しを行う度に、検出するステップと、
    b.前記検査対象プロセスコード内のサイトである呼び出しサイトを検出するステップであって、前記呼び出しが当該サイトから起動されたものである、ステップと、
    c.前記サイトの周囲の領域内、および/または、前記サイトに関連する分岐内のコードの1つまたは2以上の部分を解析するステップと、
    d.コードの解析対象部分のプロパティの少なくとも一部と、定義済みのソフトウェア・コード・パターンと、を比較し、前記検査対象プロセスコードが前記定義済みのソフトウェア・コード・パターンのうちの1つに対応するか否か判定するステップと、
    e.比較結果に従って前記検査対象プロセスコードを分類するステップと、
    を含む方法。
  2. 前記プロセスコードは、有害または無害として分類される、請求項1に記載の方法。
  3. 前記検査対象プロセスコードは、実行ファイル、または、DLLからロードされる、請求項1に記載の方法。
  4. 前記検査対象プロセスコードは、関数呼び出しツリーの一部分、特定のサブルーチン、または、複数のコード命令によって相互に間隔を置いた特定のコードラインの組み合わせである、請求項1に記載の方法。
  5. 前記セキュリティアプリケーション、または、その少なくとも一部分がクライアント装置にある、請求項1に記載の方法。
  6. マルウェアをインストールしようとする試みの検出がリアルタイムで行われる、請求項1に記載の方法。
  7. 検出されると、前記マルウェアが、そのインストール完了を妨げられる、請求項6に記載の方法。
  8. 前記呼び出しアクティビティがシステムコールである、請求項1に記載の方法。
  9. 前記セキュリティアプリケーションは、ソフトウェアコードの各解析対象部分を公知のマルウェアパターンの「ブラックリスト」と比較する、請求項1に記載の方法。
  10. アプリケーション、または、オペレーティングシステムから、前記セキュリティアプリケーションを呼び出すことができる、請求項1に記載の方法。
JP2013015153A 2012-01-31 2013-01-30 マルウェアの検出方法 Active JP6176622B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US13/362,963 US9659173B2 (en) 2012-01-31 2012-01-31 Method for detecting a malware
US13/362,963 2012-01-31

Publications (2)

Publication Number Publication Date
JP2013168141A true JP2013168141A (ja) 2013-08-29
JP6176622B2 JP6176622B2 (ja) 2017-08-09

Family

ID=47740798

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013015153A Active JP6176622B2 (ja) 2012-01-31 2013-01-30 マルウェアの検出方法

Country Status (3)

Country Link
US (1) US9659173B2 (ja)
EP (1) EP2624163A1 (ja)
JP (1) JP6176622B2 (ja)

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017514205A (ja) * 2014-03-11 2017-06-01 シマンテック コーポレーションSymantec Corporation インストール前にモバイルデバイス上でマルウェアを検出するためのシステム及び方法
JP2017538376A (ja) * 2014-10-31 2017-12-21 サイバー クルシブル インコーポレイテッド.Cyber Crucible Inc. オフライン・ネットワーク・トラフィックに基づいてカバート・チャネルのネットワーク侵入を検出するためのシステムおよび方法
US10325094B2 (en) 2014-08-28 2019-06-18 Mitsubishi Electric Corporation Process analysis apparatus, process analysis method, and process analysis for determining input/output relation of a block of execution trace to detect potential malware
JP2022533715A (ja) * 2019-05-20 2022-07-25 センチネル ラブス イスラエル リミテッド 実行可能コード検出、自動特徴抽出及び位置独立コード検出のためのシステム及び方法
US12235962B2 (en) 2014-08-11 2025-02-25 Sentinel Labs Israel Ltd. Method of remediating operations performed by a program and system thereof
US12244626B2 (en) 2017-08-08 2025-03-04 Sentinel Labs Israel Ltd. Methods, systems, and devices for dynamically modeling and grouping endpoints for edge networking
US12259967B2 (en) 2021-07-13 2025-03-25 SentinelOne, Inc. Preserving DLL hooks
US12418565B2 (en) 2016-12-19 2025-09-16 SentinelOne, Inc. Deceiving attackers accessing network data
US12452273B2 (en) 2022-03-30 2025-10-21 SentinelOne, Inc Systems, methods, and devices for preventing credential passing attacks
US12450351B2 (en) 2014-08-11 2025-10-21 Sentinel Labs Israel Ltd. Method of malware detection and system thereof
US12468810B2 (en) 2023-01-13 2025-11-11 SentinelOne, Inc. Classifying cybersecurity threats using machine learning on non-euclidean data

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11126720B2 (en) * 2012-09-26 2021-09-21 Bluvector, Inc. System and method for automated machine-learning, zero-day malware detection
CN105874463A (zh) * 2013-12-30 2016-08-17 诺基亚技术有限公司 用于恶意软件检测的方法和装置
US10078752B2 (en) 2014-03-27 2018-09-18 Barkly Protects, Inc. Continuous malicious software identification through responsive machine learning
US9977895B2 (en) 2014-03-27 2018-05-22 Barkly Protects, Inc. Malicious software identification integrating behavioral analytics and hardware events
US10089095B2 (en) * 2015-05-06 2018-10-02 Mcafee, Llc Alerting the presence of bundled software during an installation
CN111897559B (zh) * 2020-08-06 2022-08-26 厦门美图之家科技有限公司 热更新代码检测方法、装置、电子设备及存储介质
US11989294B2 (en) 2021-01-07 2024-05-21 Bank Of America Corporation Detecting and preventing installation and execution of malicious browser extensions
US20240160735A1 (en) * 2022-11-16 2024-05-16 Pc Matic Inc Malware Detection and Registry Repair Scripting
US12287866B2 (en) * 2023-03-30 2025-04-29 Acronis International Gmbh System and method for threat detection based on stack trace and user-mode sensors

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006268687A (ja) * 2005-03-25 2006-10-05 Mitsubishi Electric Corp コンピュータウィルス監視プログラム及びこれを用いたコンピュータ端末装置
US7340777B1 (en) * 2003-03-31 2008-03-04 Symantec Corporation In memory heuristic system and method for detecting viruses
JP2009037642A (ja) * 2008-10-14 2009-02-19 Secure Ware:Kk データ処理方法、データ処理装置、コンピュータプログラム、及び記録媒体
JP2009238153A (ja) * 2008-03-28 2009-10-15 Nec Corp マルウェア対処システム、方法及びプログラム
JP2010262609A (ja) * 2009-04-28 2010-11-18 Fourteenforty Research Institute Inc 効率的なマルウェアの動的解析手法
JP2011501279A (ja) * 2007-10-15 2011-01-06 ベイジン ライジング インフォメーション テクノロジー カンパニー、リミテッド コンピュータプログラムの悪意ある行為を見つける方法及び装置
JP2011145945A (ja) * 2010-01-15 2011-07-28 Panasonic Corp マルウェア検出装置及びマルウェア検出方法

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050108562A1 (en) * 2003-06-18 2005-05-19 Khazan Roger I. Technique for detecting executable malicious code using a combination of static and dynamic analyses
US20060075494A1 (en) * 2004-10-01 2006-04-06 Bertman Justin R Method and system for analyzing data for potential malware
US7607173B1 (en) * 2005-10-31 2009-10-20 Symantec Corporation Method and apparatus for preventing rootkit installation
US8171550B2 (en) * 2006-08-07 2012-05-01 Webroot Inc. System and method for defining and detecting pestware with function parameters
US8065664B2 (en) * 2006-08-07 2011-11-22 Webroot Software, Inc. System and method for defining and detecting pestware
US8230499B1 (en) * 2008-05-29 2012-07-24 Symantec Corporation Detecting and blocking unauthorized downloads
US20100107257A1 (en) 2008-10-29 2010-04-29 International Business Machines Corporation System, method and program product for detecting presence of malicious software running on a computer system
US20100192222A1 (en) * 2009-01-23 2010-07-29 Microsoft Corporation Malware detection using multiple classifiers
IL197477A0 (en) * 2009-03-08 2009-12-24 Univ Ben Gurion System and method for detecting new malicious executables, based on discovering and monitoring of characteristic system call sequences

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7340777B1 (en) * 2003-03-31 2008-03-04 Symantec Corporation In memory heuristic system and method for detecting viruses
JP2006268687A (ja) * 2005-03-25 2006-10-05 Mitsubishi Electric Corp コンピュータウィルス監視プログラム及びこれを用いたコンピュータ端末装置
JP2011501279A (ja) * 2007-10-15 2011-01-06 ベイジン ライジング インフォメーション テクノロジー カンパニー、リミテッド コンピュータプログラムの悪意ある行為を見つける方法及び装置
JP2009238153A (ja) * 2008-03-28 2009-10-15 Nec Corp マルウェア対処システム、方法及びプログラム
JP2009037642A (ja) * 2008-10-14 2009-02-19 Secure Ware:Kk データ処理方法、データ処理装置、コンピュータプログラム、及び記録媒体
JP2010262609A (ja) * 2009-04-28 2010-11-18 Fourteenforty Research Institute Inc 効率的なマルウェアの動的解析手法
JP2011145945A (ja) * 2010-01-15 2011-07-28 Panasonic Corp マルウェア検出装置及びマルウェア検出方法

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017514205A (ja) * 2014-03-11 2017-06-01 シマンテック コーポレーションSymantec Corporation インストール前にモバイルデバイス上でマルウェアを検出するためのシステム及び方法
US12450351B2 (en) 2014-08-11 2025-10-21 Sentinel Labs Israel Ltd. Method of malware detection and system thereof
US12235962B2 (en) 2014-08-11 2025-02-25 Sentinel Labs Israel Ltd. Method of remediating operations performed by a program and system thereof
US10325094B2 (en) 2014-08-28 2019-06-18 Mitsubishi Electric Corporation Process analysis apparatus, process analysis method, and process analysis for determining input/output relation of a block of execution trace to detect potential malware
JP2017538376A (ja) * 2014-10-31 2017-12-21 サイバー クルシブル インコーポレイテッド.Cyber Crucible Inc. オフライン・ネットワーク・トラフィックに基づいてカバート・チャネルのネットワーク侵入を検出するためのシステムおよび方法
US12418565B2 (en) 2016-12-19 2025-09-16 SentinelOne, Inc. Deceiving attackers accessing network data
US12432253B2 (en) 2016-12-19 2025-09-30 SentinelOne, Inc. Deceiving attackers accessing network data
US12244626B2 (en) 2017-08-08 2025-03-04 Sentinel Labs Israel Ltd. Methods, systems, and devices for dynamically modeling and grouping endpoints for edge networking
US12363151B2 (en) 2017-08-08 2025-07-15 Sentinel Labs Israel Ltd. Methods, systems, and devices for dynamically modeling and grouping endpoints for edge networking
JP7278423B2 (ja) 2019-05-20 2023-05-19 センチネル ラブス イスラエル リミテッド 実行可能コード検出、自動特徴抽出及び位置独立コード検出のためのシステム及び方法
JP2022533715A (ja) * 2019-05-20 2022-07-25 センチネル ラブス イスラエル リミテッド 実行可能コード検出、自動特徴抽出及び位置独立コード検出のためのシステム及び方法
US12259967B2 (en) 2021-07-13 2025-03-25 SentinelOne, Inc. Preserving DLL hooks
US12452273B2 (en) 2022-03-30 2025-10-21 SentinelOne, Inc Systems, methods, and devices for preventing credential passing attacks
US12468810B2 (en) 2023-01-13 2025-11-11 SentinelOne, Inc. Classifying cybersecurity threats using machine learning on non-euclidean data

Also Published As

Publication number Publication date
US9659173B2 (en) 2017-05-23
EP2624163A1 (en) 2013-08-07
JP6176622B2 (ja) 2017-08-09
US20130198842A1 (en) 2013-08-01

Similar Documents

Publication Publication Date Title
JP6176622B2 (ja) マルウェアの検出方法
KR101122650B1 (ko) 정상 프로세스에 위장 삽입된 악성코드 탐지 장치, 시스템 및 방법
EP3039608B1 (en) Hardware and software execution profiling
EP2946330B1 (en) Method and system for protecting computerized systems from malicious code
JP5265061B1 (ja) 悪意のあるファイル検査装置及び方法
RU2571723C2 (ru) Система и способ для снижения нагрузки на операционную систему при работе антивирусного приложения
JP5326062B1 (ja) 非実行ファイル検査装置及び方法
JP6482489B2 (ja) 脆弱なアプリケーションによるファイルのオープンを制御するシステム及び方法。
US9183377B1 (en) Unauthorized account monitoring system and method
US8621608B2 (en) System, method, and computer program product for dynamically adjusting a level of security applied to a system
US20140053267A1 (en) Method for identifying malicious executables
US20130239214A1 (en) Method for detecting and removing malware
US7665139B1 (en) Method and apparatus to detect and prevent malicious changes to tokens
JP6909770B2 (ja) ウィルス対策レコードを作成するシステムと方法
US9754105B1 (en) Preventing the successful exploitation of software application vulnerability for malicious purposes
CN101593259A (zh) 软件完整性验证方法及系统
US20160180090A1 (en) Execution profiling detection of malicious objects
US9910983B2 (en) Malware detection
US20120222116A1 (en) System and method for detecting web browser attacks
US20130276119A1 (en) System, method, and computer program product for reacting to a detection of an attempt by a process that is unknown to control a process that is known
US10880316B2 (en) Method and system for determining initial execution of an attack
JP6714112B2 (ja) グラフィカルユーザインターフェース要素に関連した悪意のある行為の軽減
CN112395603B (zh) 基于指令执行序列特征的漏洞攻击识别方法、装置及计算机设备
WO2014048751A1 (en) Method and apparatus for detecting a malicious website
RU2757408C1 (ru) Система и способ формирования правила проверки файла на вредоносность

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160114

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20161122

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20161130

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20161122

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20161228

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20170106

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20170106

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170306

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20170306

RD12 Notification of acceptance of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7432

Effective date: 20170306

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20170307

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170613

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20170614

RD14 Notification of resignation of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7434

Effective date: 20170614

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170704

R150 Certificate of patent or registration of utility model

Ref document number: 6176622

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150