CN102176224A - 用于处理恶意软件的方法和装置 - Google Patents

用于处理恶意软件的方法和装置 Download PDF

Info

Publication number
CN102176224A
CN102176224A CN2011100361241A CN201110036124A CN102176224A CN 102176224 A CN102176224 A CN 102176224A CN 2011100361241 A CN2011100361241 A CN 2011100361241A CN 201110036124 A CN201110036124 A CN 201110036124A CN 102176224 A CN102176224 A CN 102176224A
Authority
CN
China
Prior art keywords
computer
described object
malware
objects
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2011100361241A
Other languages
English (en)
Other versions
CN102176224B (zh
Inventor
M·莫里斯
P·斯塔布斯
M·哈特维希
D·哈特
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Webroot Solutions Ltd
Original Assignee
Prevx Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=34856416&utm_source=***_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=CN102176224(A) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Prevx Ltd filed Critical Prevx Ltd
Publication of CN102176224A publication Critical patent/CN102176224A/zh
Application granted granted Critical
Publication of CN102176224B publication Critical patent/CN102176224B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Stored Programmes (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Debugging And Monitoring (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明的一个方面提供一种将计算机对象分类为恶意软件的方法,包括在基计算机处从多个远程计算机中的每一个接收关于计算机对象的数据,该对象或类似对象存储在远程计算机上。在基计算机中,比较从多个计算机接收的关于计算机对象的数据。根据所述比较,将计算机对象分类为恶意软件。在一个实施例中,关于计算机对象的数据包括以下中的一个或多个:包含在对象内或者由所述对象组成的可执行指令;对象的大小;对象的名称;对象在各个远程计算机上的对象逻辑存储位置或路径;对象的销售商;与对象相关联的软件产品和版本;以及当创建、配置对象或对象在各个远程计算机上运行时,由对象发起的事件或涉及对象的事件。

Description

用于处理恶意软件的方法和装置
本申请是申请日为2006年6月30日、申请号为“200680023707.8”,发明名称为“用于处理恶意软件的方法和装置”的发明专利申请的分案申请。
技术领域
本发明一般涉及用于处理恶意软件的方法和装置。在一个方面中,本发明涉及一种用于将计算机对象分类为恶意软件的方法和装置。在另一个方面中,本发明涉及一种用于确定远程计算机能够防止恶意软件的方法和装置。在另一个方面中,本发明涉及一种用于将计算机对象分类为恶意软件或安全的方法和装置。在另一个方面中,本发明涉及一种在计算机上安装软件的方法。
背景技术
在此使用的术语“恶意软件”一般指任何可执行的计算机文件或者是恶意代码或包含恶意代码(并且因此包括病毒、特洛伊、蠕虫、间谍软件、广告软件等)的更一般的“对象”。
一种诸如反病毒扫描软件的典型反恶意软件产品扫描对象或应用于对象的算法结果或其部分,从而在已知指示存在病毒的对象中查找签名(signature)。通常地,处理恶意软件的方法:当新型恶意软件例如经由因特网发布时,最终检测这些恶意软件。一旦检测到新的恶意软件条目,那么该领域中的服务提供商生成试图处理这些恶意软件的签名,并且然后将这些签名发布以更新他们的反恶意软件程序。还使用了启发式(Heuristic)方法。
这些***很好地用于防止已知的恶意对象。然而,由于它们依靠生成和/或更新的签名文件,所以在一个新的恶意软件开始存在或发布与生成或更新用于与恶意软件进行战斗的签名并且将其提供给用户之间存在着不可避免的延迟。因此,用户在一个特定时间段内处于来自于新的恶意软件的风险中,该特定时间段可能高达一周甚至更长。而且,为了尽量击败反病毒产品,恶意软件编写者使用混淆(obfuscation)技术从而试图隐藏病毒代码的签名或签名基础数据以防止检测。通常地,混淆包括加密或对病毒代码打包。
WO-A-2004/097602描述了一种***,该***分析由本地计算机接收或生成的计算机文件并且将这些文件与已知文件的数据库进行比较以确定特定文件是否是已知的,并且如果是,确定该特定文件是否在足够长的时间内已知从而可以被看作“安全的”。然而,在实践中,关于它本身,这不太可能提供足够的保护,因为例如,可以仅将病毒或特洛伊的有效载荷进行编程来激活,这可以在特定日期、或者当从本地或远程***或进程接收消息或指令时,或者可以在该进程已经进行了第一次运行或被发布之后的数月或者甚至数年时发生特定事件的时候进行。因此,仅查看文件的时间长短不是确定它是否是适当地安全的并且将继续如此的满意方法。
在WO-A-2004/0083408的***中,通过检查由计算机上运行的特定文件进行的连接尝试来检测文件中的蠕虫。
US-A-6944772、US-A-6772346、EP-A-1549012和EP-A-1280040都公开了“基于群体的”反恶意软件***,其中多个“本地”计算机都经由网络(例如,其可以是LAN或因特网)连接到中央计算机。在遇到它们还不知道的文件时,本地计算机向中央计算机发送对运行文件进行授权的请求。如果在中央计算机处识别了文件,那么中央计算机可以发送对本地计算机的许可,以便当已知文件是安全时运行该文件,或者当已知文件是恶意时发送“拒绝”命令。然而,在这些现有技术方案的每个中,如果该文件在中央计算机处不是已知的,那么整个文件被发送到中央计算机,其中可以分析该文件以确定它是否应该被看作安全的还是恶意的。通常通过对文件进行详细分析(例如,通过模拟或解释)来手工或“半手工”执行此类分析,其可能仍需要花费数天来满足通常要求的人的介入。因此,在将新文件分类为安全或恶意软件之前仍旧存在相当长的时间段。在这些现有技术***的情况中,由本地计算机发送到中央计算机的对运行文件授权的请求可以包括发送校验和或者唯一代表文件的“关键字”或“签名”。
类似的基于群体的反恶意软件***在WO-A-02/33525中公开。在此***中,在本地计算机寻求许可(clearance)运行中央计算机不知道是安全或恶意软件的文件的情况中,在其他本地计算机上的关于文件普及的某些受限审核信息可以被发送给与寻求允许运行该文件的本地计算机相关联的人类***管理员。因此,人类***管理员仍旧可以通过“手工”决定文件是否是运行安全的来更好地获得通知。
在US-A-2004/0073810的***中,包含关于附件或其他传输的文件的数据的元文件发送到中央计算机。对关于该文件的数据进行分析从而确定传输的文件是恶意软件的可能性。给出的特定示例是,如果传输文件已经经由至少一定数目的服务器进行了传输,那么它应该被作为恶意软件。
在US-A-2005/0021994和US-A-2004/0153644中公开的***中,可以由例如与文件相关联的软件销售商验证为安全的预先准许的文件可以在没有进一步检查的情况下总是被允许运行。在US-A-2004/0153644的***的一个实施例中,执行监控,从而如果在中央机构处在一个时间段中从多个本地计算机接收到该文件的大量不正常请求,或者如果在一个时间段内从单个本地计算机接收到该文件的大量不正常请求,则确定文件是恶意的。
在US-A-2004/0006704的***中,将计算机上的软件安装版本与软件版本及其已知弱点的数据库进行比较。因此,可以通知计算机用户特定的风险以及如何通过更新现有软件或安装新软件来最小化这些风险。
在WO-A-03/021402的***中,中央数据库保存了存储在多个本地计算机的每个上的所有文件的虚拟映像。如果识别了一个本地计算机中的威胁,可以向具有类似配置的其他本地计算机通知该风险。
因此,现有技术***或者依靠对新对象的深入分析从而确定对象是否是恶意的,这在分析文件和新的反恶意软件分布期间引入了延迟并因此引入了用户风险,或者执行对特定对象操作的受限分析或向计算机的传输方法,以确定对象是恶意的可能性。
发明内容
根据本发明的第一方面,提供一种将计算机对象分类为恶意软件的方法,该方法包括:
在基(基)计算机处,从多个远程计算机的每一个接收关于计算机对象的数据,该对象或类似对象存储在远程计算机上;
在基计算机中,比较从多个计算机接收的关于计算机对象的数据;以及
根据所述比较,将计算机对象分类为恶意软件。
与仅依靠签名匹配的现有技术相比,该方面允许在对象和/或它们对不同远程计算机的影响之间进行比较,以确定特定对象是否应该被归类为良好还是恶意软件。可以执行复杂的模式分析。这允许在不需要对对象本身进行详细分析的情况下,快速确定对象的本质,同样确定它是否是恶意软件,并且还避免了生成新签名用于签名匹配,如在传统现有技术反病毒软件中的那样。
在优选的实施例中,从多个远程计算机发送到基计算机并且在比较中使用的关于计算机对象的数据包括以下中的一个或多个:包含在对象内或者由所述对象组成的可执行指令;对象的大小;对象的当前名称;对象在盘上的物理和文件夹位置;对象的原始名称;对象的创建和修改日期;销售商、产品、版本以及存储在对象内的任何其他信息;对象头部或由所述远程计算机保持的头部;以及当创建、配置对象或对象在各个远程计算机上运行时,由对象发起的事件或涉及对象的事件。
优选地,该比较识别该对象和另一个对象之间的关系。在示例中,如果该对象或者父对象或其他相关对象为不良(或良好),可以立刻并自动地使用此比较来将子对象标记为不良(或良好)。因此,如果所述对象与其相关的至少一个其他对象被分类为恶意软件,那么该方法可以包括将所述对象分类为恶意软件。所述其他对象包括存储在至少某些远程计算机上的对象或类似对象。所述其他对象可以包括的其他对象是父对象或子对象或与所述对象进程相关的对象。
在最优选的实施例中,以关键字的形式发送数据,该关键字通过关于各个远程计算机上的对象执行的哈希进程获得。使用这样的关键字的主要优势是缩减了需要传输到基计算机的数据量。假设可能存在数千或甚至数百万连接的远程计算机,并且进一步假设每个远程计算机可以发送关于非常多个对象的细节,这可以是非常重要的优势。
关键字优选地具有代表包含在对象之内或由对象组成可执行指令的至少一个部分。此重要的优选特征允许在对象的仅可执行指令的基计算机处进行比较。这意味着例如基本上具有相同可执行指令的命名不同的对象(其经常是指示对象是恶意软件的指示符)可以被认为是出于此目的的“相同”对象。如另一个示例,可以发布程序的新版本,与基计算机已知的先前版本相比,新版本具有微小的改变,并且至少关于可执行指令而言新版本基本上可以被看作与先前版本相同。在该情况中,可以忽略微小差异并且对象被认为是相同的。不仅在恶意软件之间的区分中这是有用的,而且例如对于先前软件的修改版本,它还缩减了数据传输和存储要求,因为基计算机可以通知远程计算机,看起来是新的对象由于此目的与之前已知的对象是相同的,因此避免了使远程计算机向基计算机发送关于对象的全面细节或者对象本身。
关键字优选地具有至少一个代表关于所述对象的数据的部分。关于所述对象的数据包括以下至少一个内容:对象的当前名称;对象在盘上的物理或文件夹位置;对象的原始名称;对象的创建和修改日期;销售商、产品和版本以及存储在对象内的任何其他信息;对象头部或由远程计算机保持的头部;以及当创建、配置对象或对象在各个远程计算机上运行时,由对象发起的事件或涉及对象的事件。
关键字优选地具有至少一个部分,该部分表示对象的物理大小。
在这些部分中的多于一个部分存在于关键字中的情况下,多个部分优选地可分开。
该方法可以包括将对象初始分类为非恶意软件,生成针对所述对象的掩码(mask),该掩码定义对象的可接受行为,并且包括监控至少一个远程计算机上的对象的操作,以及如果实际监控的行为超出了掩码允许的行为,则将对象重新分类为恶意软件。这提供了监控已经被分类或被看作良好的对象行为的有效率并且高效的方式,并且如果该对象的行为证明了它,则允许将该对象快速重新分类为恶意软件。
根据本发明的第二方面,提供了一种用于将计算机对象分类为恶意软件的装置,该装置包括:
基计算机,被构建和安排为从多个远程计算机中的每一个接收关于计算机对象的数据,对象或类似对象存储在远程计算机上;
该基计算机被构建和安排为比较从所述多个远程计算机接收的关于所述计算机对象的数据;以及,
该基计算机被构建和安排为根据比较将所述计算机对象分类为恶意软件。
根据本发明的第三方面,提供一种用于从远程计算机向基计算机提供关于计算机对象的数据以便可以在基计算机处与从其他远程计算机接收的类似数据进行比较的方法,该方法包括:
从远程计算机向基计算机提供关于存储在远程计算机上的计算机对象的数据;
该数据包括以下中的一个或多个:包含在对象之内或由对象组成的可执行指令;对象的大小;对象的当前名称;对象在盘上的物理以及文件夹位置;对象的原始名称;对象的创建和修改日期;销售商、产品和版本以及存储在对象内的任何其他信息;对象头部或由远程计算机保持的头部;以及当创建、配置对象或该对象在各个远程计算机上运行时,由对象发起的事件或涉及对象的事件;
以关键字的形式发送的数据,该关键字通过关于各个远程计算机上的对象执行的哈希进程获得。
可以由运行在远程计算机上的所谓的代理软件执行的方法允许向基计算机有效地发送数据,其最小化了数据传输和存储要求,并且还允许在基计算机处进行快速分析。
关键字优选地具有至少一个部分,该部分表示包含在该对象内或由该对象组成的可执行指令。
关键字优选地具有代表关于所述对象数据的至少一个部分。关于所述对象的所述数据可以包括以下中的至少一个:对象的当前名称;对象在盘上的物理或文件夹位置;对象的原始名称;对象的创建和修改日期;销售商、产品和版本以及存储在对象内的任何其他信息;对象头部或由远程计算机保持的头部;以及当创建、配置对象或对象在各个远程计算机上运行时,由该对象发起的事件或涉及该对象的事件。
关键字优选地具有至少一个部分,该部分表示对象物理大小。
根据本发明的第四方面,提供一种确定远程计算机具有防止恶意软件的保护的方法,该方法包括:
在基计算机处接收所有或选择的安全产品的细节,该安全产品在所述远程计算机上按时间点操作;
从连接到基计算机的其他远程计算机接收类似信息;以及
识别具有安全产品的特定组合的所述其他远程计算机没有识别出来的任何恶意软件进程。
以此方式,基计算机可以用于获取关于例如操作***和各种安全产品的特定、指定组合的信息,包括存在于时间点的设置和签名文件,呈现具有那些易受任何特定恶意软件对象攻击的那些产品和设置的特定计算机。相应地可以建议用户并且例如向用户提供用于补救情况的建议。
因此,该方法包括可以在所述识别的基础上向所述远程计算机的用户提供信息,所述远程计算机可能易受所述恶意软件进程的攻击。
所有或选择的安全产品的细节优选地包括安全产品的名称、版本和装载的签名文件。
根据本发明的第五方面,提供一种用于确定远程计算机具有防止恶意软件的保护措施的装置,该装置包括:
基计算机,被构建和安排为接收所有或选择的安全产品的计算机细节,所述安全产品在所述远程计算机上按时间点操作;
该基计算机被构建和安排为从连接到所述基计算机的其他远程计算机接收类似的信息;以及
该基计算机被构建和安排为识别具有安全产品的特定组合的所述其他远程计算机没有识别出来的任何恶意软件进程。
根据本发明的第六方面,提供一种将计算机对象分类为恶意软件或安全的方法,其中所述计算机对象是第一计算机对象的后代或相关的对象,该方法包括:
将第一计算机对象分类为恶意软件或安全;
在关于所述第一计算机对象的关键字中识别一个部分,该部分唯一地标识所述第一计算机对象、并且被继承或存在于所述第一计算机对象的后代或其他相关计算机对象的关键字中;以及,
根据唯一标识符部分存在于所述计算机对象的关键字中,将所述计算机对象分类为恶意软件或安全。
此方面使用祖先的概念来使对象能够被标记为恶意软件。例如,任何特定进程可以繁殖因此相关的子进程。可以检查关于第一对象的关键字以识别一个部分,该部分唯一地标识第一对象并且被继承的或存在于第一对象的后代或其他相关对象的关键字中。
该方法可以包括监控所述第一计算机对象的活动,并且在将第一计算机对象初始地分类为安全并且随后确定为恶意软件的情况中,将第一计算机对象重新分类为恶意软件,该方法进一步包括将具有其中存在所述唯一标识符部分的关键字的任何计算机对象自动地分类为恶意软件。
根据本发明的第七方面,提供一种用于将计算机对象分类为恶意软件或安全的装置,其中所述计算机对象是第一计算机对象的后代或相关对象,该装置包括:
计算机,被构建和安排为将第一计算机对象分类为恶意软件或安全;
该计算机被构建和安排为在关于所述第一计算机对象的关键字中识别一个部分,该部分唯一地标识所述第一计算机对象、并且被继承或存在于所述第一计算机对象的后代或其他相关计算机对象的关键字中;以及
该计算机被构建和安排为根据唯一标识符部分存在于所述计算机对象的关键字中,将所述计算机对象分类为恶意软件或安全。
根据本发明的第八方面,提供一种在计算机上安装软件的方法,该方法包括:
在计算机上安装软件的开始,在计算机上向用户提供计算机生成的提示,以确定用户是否授权安装;以及,
如果没有接收到用户授权则停止安装,否则:
在计算机处接收用户进行安装的授权;
进行安装;
获取关于安装期间创建或使用的计算机对象的数据;
在本地计算机处存储所述数据。
当用户正在安装新软件并且例如没有连接到具有上述类型的群体数据库的基计算机时,此方法提供安全性。在该情况中,可以在运行在本地计算机上的代理软件中实现的方法允许用户许可进行安装,而同时收集关于安装期间创建的对象(诸如进程、新文件等)的数据。
优选地,在安装期间参考本地存储的数据以确保在安装期间创建或使用的所有对象是安装进程的部分,并且如果发现在安装期间创建或使用的对象不是安装进程的一部分,则进行以下之一或进行以下两者:(i)停止安装,和(ii)在计算机上向用户提供计算机生成的提示。这允许该方法确保仅许可创建或使用安装所要求的那些对象,并且因此避免无意地允许安装恶意软件(假设恶意软件经常创建对象,该对象是新软件的正常安装部分所不期望的)。
在优选的实施例中,该方法包括将计算机连接到群体数据库,该群体数据库可连接到多个计算机,并且将存储的数据上传到群体数据库用于与其他计算机提供的类似数据进行比较。
该方法可以包括将关于受信任安装者的数据下载到计算机,在安装期间参考所述关于受信任安装者的数据,以便关于受信任安装者或由受信任安装者创建的任何对象是自动授权进行的。这便于安装已经受信任的软件。
仅在计算机处接收到用户授权以进行安装之后的预定时间段,参考所述关于受信任安装者的数据。
本发明还包括计算机程序,计算机程序包括用于使计算机执行任何上述方法的程序指令。
尽管参考附图描述的本发明的实施例包括计算机装置中执行的计算机进程以及计算机装置本身,本发明还扩展到适于实现本发明的计算机程序,特别是在载体上或载体中的程序。程序可能是源代码、目标代码、诸如部分编译形式的中间源代码和目标代码、或用于实现根据本发明的进程的任何其他适合的形式。载体可以是能够承载程序的任何实体或设备。例如,载体可以包括诸如ROM的存储介质,例如CD ROM或半导体ROM、或磁记录介质,例如软盘或硬盘。而且,载体可以是可传输载体,诸如电或光信号可以经由电缆或光缆或通过无线或其他方式传递。
附图说明
现在,将通过参考附图的示例描述本发明的实施例,其中:
图1示意性地示出了可以在其中实现本发明的实施例的装置;
图2是示意性地示出了根据本发明实施例的方法的示例操作的流程图;
图3是示意性地示出了根据本发明的实施例的方法的另一个示例操作的流程图;以及,
图4是示意性地示出了信息获取阶段的流程图。
具体实施方式
参考图1,计算机网络通常示出为基于诸如因特网1的分布式网络。然而,本发明可以通过或使用诸如LAN的其他类型的网络来实现。多个本地或“远程”计算机2经由因特网1连接到“中央”或“基”计算机3。每个计算机2都可以是个人计算机、任何类型的服务器、PDA、移动电话、交互电视或能够装载并且操作计算机对象的任何其他设备。此情况中的对象可以是计算机文件、文件或子程序的部分、宏、web页面或由计算机或在计算机上操作的任何其他代码片段,或任何不论是执行、模拟、模仿或解释的事件。在图中示意性地示出了对象4,并且对象4可以例如如线5所示的那样将对象4经由因特网1下载到远程计算机2、或如线6所示的那样直接被应用。
在一个优选的实施例中,基计算机3具有数据库7,当远程计算机2运行对象4以确定对象4是安全的还是不安全的时,远程计算机2可以与数据库7进行交互。随着时间向群体(community)数据库7提供涉及在所有连接的远程计算机2上运行的每个对象的信息组装。如下面将进行的进一步描述,代表每个对象4的数据优选地采用涉及对象及其影响的所谓的签名或关键字的形式。还如以下将进行的进一步描述,数据库7可以进一步包括用于对象4的掩码,其设定了对象的性能和操作的参数。
现在参考图2,在开始点21,计算机对象4(诸如进程)在远程计算机2上运行。在步骤22,通过在远程计算机2上运行的本地“代理”软件的操作,钩住(hook)了进程的操作,从而代理软件可以搜索存储在远程计算机2上的本地数据库以搜索代表该特定进程的、其相关对象和/或事件的签名或关键字。如果存在本地签名,它将指示该进程被认为是不安全的或将指示该进程被认为是安全的。不安全的进程可能是一个已经被发现的恶意软件,或可能是已经被发现来自其运行的不可预知的或已知的不安全或恶意的结果。如果签名指示进程是安全的,那么在步骤23,远程计算机2上的本地代理软件允许该进程或事件运行。如果签名指示进程是不安全的,那么在步骤24,进程或事件停止。
应该理解,可以存在除“安全”或“不安全”以外的多于两个的状态,并且用户可以选择。例如,如果对象在本地被认为是不安全的,则可以向用户呈现选项以允许相关进程仍然运行。也可能向每个远程计算机2呈现不同的状态。该状态可以由中央***改变,以考虑时间帧或远程计算机的位置、状态或所有权。
如果对象是本地未知的,那么对象的细节通过因特网1或其他网络传递到基计算机3以便存储在群体数据库7中,并且优选地用于在基计算机3处进一步分析。在该情况中,则在步骤25搜索群体数据库7中的已经存储在群体数据库7中的对象的签名。群体数据库7提供有表示对象的签名,该对象诸如每个监控的远程计算机2运行的程序或进程。在本领域中典型的实现中,可以存在数千甚至数百万连接到基计算机3或可连接到基计算机3的远程计算机2,并且因此将很快发现在因特网1上新发布的任何对象或在这些远程计算机2的任何一个上发现的任何对象,并且由各个远程计算机2创建签名并且将该签名发送到基计算机3。
当向群体数据库7搜索所关注的远程计算机2先前不知道的对象的签名时,那么如果发现了签名并且该签名指示对象是安全的,则在步骤26将至少一条有关对象是安全的消息或签名的拷贝发送到所关注的远程计算机2的本地数据库,以填充本地数据库。以此方式,远程计算机2立刻具有此信息从而当下次遇到对象4时对其进行处理。分离消息也传递回远程计算机2以允许对象在当前实例中运行。
如果在群体数据库7中发现签名,并且由于一些原因,这指示对象是不安全的,则在步骤27该签名被再次拷贝回本地数据库并且标记为“不安全”,和/或消息被发送到远程计算机2从而对象的运行停止(或不允许其运行)和/或给予用户通知选择是否运行它。
如果在搜索了整个群体数据库7之后,对象仍旧是未知的,那么假设这是本领域中之前从没见过的全新对象。因此,在步骤28创建代表对象的签名,或将由远程计算机2发送的签名用于此目的,并且在步骤29初始地将此签名标记为不良或不安全的群体数据库7。在步骤30,将签名拷贝到第一次运行该对象的远程计算机2的本地数据库。然后,可以将消息传递到远程计算机2以指示远程计算机2不运行该对象,或者可替换地,可以向用户通知关于是否允许对象运行的意见。另外,在步骤31,群体数据库7可以向远程计算机2请求对象本身的拷贝。
如果远程计算机2处的用户选择运行因为其太新所以被认为是不安全的进程,那么该进程可以由远程计算机2和/或群体数据库7可以监控,并且如果例如在n天的时间之后,没有出现或表现出不良效果,那么可以认为它是安全的。可替换地,群体数据库7可以保持由组成网络部分的多个远程计算机2发现的进程的每个实例的日志,并且在记录了特定数量的实例以及可能记录了被允许运行并且安全运行的其他特定数量的实例或进程之后,则可以将群体数据库7中的签名标记为安全而不是不安全。在此概念下可以完成监控安全性的多种其他变形。
对象4的细节优选以唯一标识对象4的签名或“关键字”的形式传递到基计算机3。这主要缩减了数据存储和传输要求。可以通过对远程计算机2处的对象进行哈希函数操作来形成此关键字。
优选实施例中的关键字具体设置为具有至少三个可服务的部分,第一所述部分代表包含在对象内或由该对象组成的可执行指令,第二所述部分代表关于所述对象的数据,并且第三所述部分代表对象的物理大小。第二部分中的关于对象的数据可以是任何或所有其他形式的身份,诸如文件名称、其在盘上的物理以及文件夹位置、其原始文件名称、其创建和修改日期、销售商、产品和版本以及存储在对象内的任何其他信息,其文件头部或由远程计算机2保持的关于其的头部;以及当创建、配置或在各自的远程计算机2上运行对象时,由对象发起或涉及该对象的事件。通常地,关键字中提供的信息可以包括这些元素中的至少一个或者这些元素的任何两个或更多个的任何组合。
在一个优选的实施例中,针对PE类型(微软定义的可移动可执行文件)的所有可执行文件(诸如(但不限于).exe和.dll文件)创建校验和。根据文件的性质生成三种类型的校验和:
类型1:对文件的五个不同部分的求校验和。这些包括引入表、代码段的开始部分和结束部分、以及整个文件的开始部分和结束部分。此类型应用于分析的极大多数文件;
类型2:对于旧的DOS或16比特可执行文件,对整个文件求校验和;
类型3:对于超过一定预定大小的文件,将文件采样为块,然后求校验和。对于小于一定预定大小的文件,对整个文件求校验和。
对于求校验和进程,原则上可能是任何技术。MD5(消息摘要算法5)是广泛使用的密码哈希函数,其可以用于此目的。
这允许仅通过查看校验和的可执行元素并且在共享公共可执行代码的两个可执行元素之间进行比较来生成核心校验和。
对于上述类型1校验和,可以使用三个签名进程。第一个定义了全部文件并且将使用几乎任何改变去改变文件内容。第二个试图仅定义改变更少的进程的处理指令。第三个利用文件的大小,其大量减少了不同大小的对象的潜在冲突。通过跟踪具有独立出现的不同拷贝的所有签名的出现,可以识别已经改变或已经从公共点创建但还没有编辑以执行新的、可能的恶意功能性的进程。
此“元数据”使当前和新近设计的启发式方法能够在群体数据库7中的数据上运行。
存储在群体数据库7中的数据提供对象的创建、配置、执行、行为、身份以及与影响它或被它影响的其他对象的关系的广泛结果。
优选的中央启发式方法使用五个不同的进程以确定对象是安全的、不安全的或可疑的。
第一所述进程使用从已经看到对象的所有远程计算机2捕获的和相关的名称、位置、销售商、产品和版本信息的单个或多个。通过针对单个对象考虑多个这种信息,可以确定可以用作对象的真实性和/或可信性度量的分数。大部分安全对象不倾向于使用大量多个识别信息或位置。可以建立规则以考虑这种关于对象类型以及其位置的信息。例如,临时文件经常使用多个***生成的文件名,该文件名在针对相同对象的每个远程计算机上可以是不同的。在几乎没有多个对象时,则提供参考点以在对先前使用的、识别信息的其他对象的已知行为的比较中考虑它的行为。例如,与已知为notepad.exe的一个或多个对象的行为相比,表示notepad.exe的一个版本的新对象可以具有其行为。此比较可以针对使用相同或类似识别信息的单个其他对象或多个其他对象。以此方式,可以针对新对象识别新的行为模式。而且,允许优选的实施例随着时间管理对象的行为以识别新的行为模式,该新的行为模式可以使得先前被认为是安全的对象的状态被重新考虑。可替换地,基于身份的分数可以连同其他对象的分数一起被考虑,或者连同组合考虑有此对象上的其他进程创建的分数一起被考虑。
第二所述进程使用其他对象影响该对象或其他对象由该对象影响的关系。例如,可以分析哪个对象创建了此对象,哪些对象是此对象创建的,哪些对象创建了注册关键字以运行或配置此对象,哪些对象由此对象创建的注册关键字所配置或具有由此对象创建的注册关键字,等等。在这点上,基于一个对象在另一个对象上执行的事件,或基于另一个对象在该对象上执行的事件,考虑该对象具有的关系。此简单的1对1关系链提供了一系列复杂的相关点,允许针对任何对象及其按事件的前辈(predecessor)或其按事件的后代(issue)(即子进程以及sub子进程)来考虑遗传(ancestral)关系。这允许评定分数来描述其与已知的、未知的、已知安全的或已知不良对象或其组合的关联和关系。具有特定关系、多个关系或一类或另一类关系混合的对象可以因此被判断为安全或不安全。可替换地,可以连同其他分数一起考虑基于关系的分数,从而确定安全还是不安全。此数据还可以用于直接或经由其他对象及其行为推导出相关的对象的多个因素。例如可能推导出一个对象的行为可以被其到另一个对象的关联或链接来影响或改变。例如,考虑由微软利用Windows系列操作***提供的notepad.exe。其具有有限范围的功能,并且因此将不期望它执行多种事件,诸如向另一个计算机传输数据或运行其他程序等。然而,notepad.exe的行为可以通过诸如经由动态链接库注入(DLL注入)而向它注入新代码而修改。在此情况中,notepad.exe现在将具有通过代码注入或到另一个对象的链接所推导出的新功能。使用定义对象之间关系的数据,可以推导出程序的新行为可以被分配到与另一个对象的关联。如果该新行为是恶意的,那么可以适当地将一个或所有进程标记为不安全。
捕获行为的组合提供了基础以确定对象是安全的还是不安全的。恶意软件通常表现出特定行为和特征。例如,恶意软件经常需要自我持续。这表明当***重启或发生特定事件时,其本身需要自动重启。在特定位置创建对象以自动重启或触发执行是恶意软件的典型特征。替换Windows***环境的核心对象是恶意软件典型特征的另一个示例。通过提供行为模式,可以自动确定对象是不安全的还是安全的。群体数据库7中的群体数据集中化提供了快速同化(assimilate)对象行为的能力,允许对恶意软件的快速识别和确定。对象还可以在其本身上执行事件,这可以在推导分数中考虑。
第三所述进程包括时间和空间。相关数据包括何时第一次看到对象,何时最后看到对象,已经看到其多少次,在给定的时间间隔中已经看到其多少次,以及其被看到的加速度的提高或降低。此信息与确定远程计算机的群体中的对象普遍性高度相关。基于这些度量来评分,该分数可以用于确定对象是安全的、不安全的,还是过于普遍的使得在没有非常全面的检查时不能允许其执行或传播。在此情况中,可以临时保持对象,或者可以阻止对象执行未决的关于其行为或关系的其他信息。此分数还可以与来自于其他进程的分数组合使用。时间也和包括但不限于行为和身份的其他信息组合高度相关。例如,在多态或随机命名对象的情况中,时间是有力的限定符。(每次多态病毒从一个计算机复制到另一个计算机时,该多态病毒改变其加密算法以及相应的加密关键字,并且因此传统测量方法难以对其进行检测)。基于其随着时间的活动,可以经常将创建其他程序的程序认为是正常的或不正常的。
第四所述程序考虑对象的行为。这允许基于对象执行的事件类型或由对象本身或其他对象对该对象执行的事件类型评定分数。群体数据库7的集中式***允许无限数量的事件类型,并且可以考虑执行事件的对象或者是具有在其上执行事件的对象,或者以上两者。某些事件类型还涉及除对象之外的外部信息,例如,执行事件以与因特网聊天中继站点连接的程序、或修改诸如Windows主文件的非可执行文件的程序。对象的行为事件,无论是任何事件的“参与者(actor)”(即,该对象对另一个对象做了某些事)或“承受者(victim)”(即,另一个对象对该对象做了某些事)可以以诸如组合方式、序列方式、空间方式、出现或未出现方式、或其的任何组合的多种方式来考虑。优选的实施例中的行为事件可能由远程计算机2提供或者来自于其他外部源。进程可以孤立地考虑这些或将这些组合起来考虑。而且,以下是优选的实施例的特征,当该对象影响其他对象或者其他对象影响该对象时可以将行为事件与其他对象的状态组合考虑。例如,如果创建的程序是安全的、不安全的、新的、未知的或可疑的,则创建程序可以具有不同的分数。类似地,由已知的不良程序创建的程序将很可能由于根据创建其的对象的状态而具有分配给其创建事件的不同分数。
第五所述进程考虑web页面或脚本的行为。在此方面中,为web页面和url的组合分配唯一的身份,该身份允许跟踪其行为,就像其是类似于任何其他可执行文件的对象。在此示例中,web页面可以执行事件,所述事件将正常地视为由web浏览器(例如IExplore.exe或Firefox.exe)执行的事件。优选的实施例用web浏览器的识别细节和签名代替与浏览器内显示或执行的web页面相关的“伪”对象身份。在此方面中,可以以与其他对象相同的方式将涉及的web页面和/或web站点的状态确定为安全、不安全、未知或可疑的。web页面的“伪”对象身份还允许优选的实施例阻止、***或限制web页面或web站点的功能性,用于防止某些或所有其潜在的不安全行为,或者用于向远程用户提供资格信息以向他们指导关于web站点、web页面或它们的内容的安全性。
在其他类型中,捕获的元数据的类型可能是:
“事件”:这些定义对象的动作或行为,该对象影响另一个对象或某些其他实体。该事件具有三个主要部分:执行动作的对象(“参与者”)的关键字,执行的动作(“事件类型”),以及该对象的关键字或在其上执行动作的其他实体的身份(“承受者”)。虽然简单,但是此结构允许定义无限的一系列行为和关系。事件的三个部分示例可能是:
Figure BSA00000432633300181
“身份”:定义了对象的属性。它们包括诸如以下的项目:文件名称,盘上或存储器中的其物理位置,文件***内的盘上的其逻辑位置(其路径),文件头部细节(包括何时创建文件、何时最后一次访问它、何时最后一次修改它),存储为销售商、部分产品和文件的版本号及其内容、其原始文件名称和其文件大小的信息。
“起始参与者(genesisactor)”:是对象的关键字,该对象不是事件的直接参与者,但其是所执行事件的最终父母。例如在软件安装的情况中,这将是用户或***首先执行的并且发起软件安装进程(例如Setup.exe)的对象的关键字。
“辅助数据”:很多事件可能需要辅助数据,例如诸如用于记录注册运行关键字的创建的事件。在此情况中,“事件”将标识创建注册运行关键字的参与者对象、事件类型本身(例如,“regrunkey”)、以及承受者或注册运行关键字的主题。此情况中的辅助数据将定义运行关键字条目本身;Hive、关键字名称和值。
“事件校验和”:因为事件数据可以非常大地扩展到单个事件的几百个字节的信息、参与者和承受者的身份以及任何辅助数据,***允许通过事件校验和来总结该数据本身。利用各种算法,诸如CRC和Adler使用两个事件校验和。校验和是事件的核心数据。这允许远程计算机2将数据的校验和发送到中央计算机3,中央计算机3可能已经具有与那些存储的校验和相关的数据。在此情况中,不需要来自于远程计算机2的其他信息。仅当中央计算机3从来没有接收到校验和时,它将向远程计算机2请求相关联的数据。这为远程和中央计算机2、3两者在性能上提供了相当的完善,允许更有效的标定(scaling)。
因此,来自于远程计算机2的元数据可以在群体数据库7处使用,以定义跨越群体的进程的行为。如上所述,数据可以包括至少一个上述元素(文件大小、位置等)或两个、三个、四个、五个、六个或所有七个(或这里没有具体提到的更多元素)。因而,这可以用于建模、测试以及创建新的自动规则,用于在群体数据库7中使用,并且用作可以添加到远程计算机2的本地数据库中使用的和保存的那些规则的规则,从而识别和确定远程计算机2对新的或未知进程和进程活动的反应。
而且,可能对进程连同象同类实体那样的任何可选子进程一起监控,然后比较遍及群体的顶级进程的活动,并且推导出仅当也载入一个或多个特定子进程时发生的某潜在恶意实现。这允许对程序(诸如因特网浏览器或其他浏览器)的有效监控(不需要阻止),可以通过用户从因特网获取的可下载的可选代码容易地改变该程序的功能性,这是如今恶意代码主要来源的过程。
潜在的大量活动用户给出了他们中的至少一个被新的恶意软件感染的高可能性。可以检测并且记录传播速度,以便可以检测到恶意软件的传播并且在传播速度、可选地在上述其他因素(诸如文件大小、位置和名称)的组合的基础上将恶意软件指定为不良。简单的感染量也可以用作触发器。在其他实施例中,结合加速首次尝试在群体内执行代码的相同代码段的命名差异允许模式匹配,所述模式匹配将示出完全相同签名的代码段为不良。
此特征允许某些实施例中的陈述“在没有锁定的情况下,在我们的群体中,没有什么将比X传播的更快”,从而如果任何进程或事件在给定的持续时间上传播地更快,则将其标记为不良。这是出于安全原因,因为如果例如对象被足够快地传播,那么在可以分析它以确定它是否是恶意软件之前,它可能感染计算机。
可以通过群体中的传播向量的标识(即,传播类型的源)、群体数据库中保留的时间戳数据和具有这些不良属性的代码的标记使此进程自动化。通过比较,相信所有其他反恶意软件提供商依靠简化的已知不良模型并且因此主要依靠终端上实际发生的以及被报告的恶意软件感染。
因此,群体数据库7可以用于早期诊断,或者简单地用于预防测量,并且因此在其生命周期中的极早期就停止潜在地快速传播的蠕虫以及其他恶意软件。假设可能创建可以在几分钟内感染连接到因特网的每台计算机的蠕虫,则上述特征是非常令人期望的。
甚至通过将定义新软件传播速度的数据与由代理软件从远程计算机2收集的元数据结合起来并且反馈给群体数据库7,可以进行更快的确定。这包括监控尝试通过随机地改变远程计算机2上的名称和/或位置来对用户隐藏自己的进程。它还包括进程在计算机上创建具有不同名称的相同拷贝(即具有相同代码内容)的尝试。这是典型的蠕虫的属性。
对象的签名可以包括掩码或与掩码相关,可以使用该对象建立该掩码并且其指示了该对象期望的特定类型的行为。如果允许对象在远程计算机2上运行,则即使初始签名搜索22指示对象是安全的,那么可以在掩码的参数内监控该对象的操作。掩码可以例如指示期望的对象行为;该对象合理地必须进行的、或调用呼叫远程计算机2进行的因特网连接或任何外部请求,包括可能请求开放以允许此类通信的任何端口或接口的细节;可以期望由该对象查询的任何数据库,不论是本地数据库还是局域网、广域网或因特网上的数据库;等等。因此掩码可以给出该对象的期望的“正常”行为的整体描述。
实际上,因此,在一个实施例中,在远程计算机2处持续监控对象的行为,并且将涉及该对象的信息持续发送到群体数据库7并且从群体数据库7发送以确定对象是否运行在其期望的掩码中。标识超出掩码的任何行为并且可以将超出掩码的任何行为用于持续评估对象是否继续是安全的。因此,如果例如对象在规则的基础上(假设每月或每年)开放新端口以更新自己或获取规则数据,那么标记此信息。如果发现对象已经在其他远程计算机上完成了此行为并且没有恶意的影响,或者其他对象已知此行为并且已知此行为是安全的,那么可能认为此行为是安全行为然后修改掩码以允许此行为。如果先前已经发现此新行为事实上引起了不安全或恶意结果,那么可以将该对象标记为不安全的,即使先前认为它是安全的。类似地,如果对象尝试连接到已知不安全的站点、数据库或者采取通常已知仅由不安全程序采取的行动的行动,那么可以再次认为该对象是不安全的。
这在图3中示意性示出。图3还示出了可以由例如受信任的伙伴,(诸如主要的软件公司、验证机构、政府部门等)对任何对象预授权的概念。预授权使之前没有发布的新对象的供应商能够得到该对象的预授权,并且预授权可选地包括由供应商供应详述该对象期望的和可允许的行为的掩码。
参考图3,例如,当进程运行时,如之前那样在步骤31搜索本地和/或群体数据库。如果进程不是一个预授权的进程,那么可以采用图2的步骤并且可以允许或不允许进程在步骤32运行。如果进程是预授权的,如步骤33确定的,那么立刻允许在步骤34运行。这可以终止方法的操作。然而,在优选的变形中,在进程运行的同时对该进程进行监控,并且在监控状态步骤35中,监控其在未来的每一次运行以确定其行为是否落入其预授权的掩码36内。如果行为落入预授权的行为内,那么允许进程继续运行。如果行为超出了允许的掩码,诸如通过试图发起未被授权的其他进程或连接,那么在警告步骤37标记此行为。在此阶段可以采取各种动作。可以简单地不允许进程运行。可替换地,可以联系起初支持预授权的受信任机构,其可以确认此行为是可接受的还是不可接受的。如果是可接受的,则可以相应地修改掩码。如果不可接受,则可能将进程标记为不安全。当通知此类警告状态时可以采取多种其他动作。
如果在步骤33发现进程没有预授权而仍然允许进程运行,那么在步骤38监控进程从而生成代表该进程的正常行为的掩码39。当其他计算机运行该进程时,代表此掩码的数据可能发送到群体数据库7用于扫描。通过当进程每次运行时或者在进程运行期间对该进程进行监控,可以注意到不同于进程的先前行为的任何行为,并且可以修改掩码,或者此行为可以用于确定曾经被认为是安全的进程现在应该被认为是不安全的。
在另一个实施例中,计算机2可以使周期性或按需安装的代理软件向群体数据库7提供信息,该信息代表装载在计算机2上或计算机2可用的软件产品中的所有或选择的一个软件产品。特别地,这可以是关于以下一个或多个的信息:所有本地装载的安全产品(诸如反恶意软件***,包括反病毒软件、反间谍软件、反广告软件等)、防火墙产品、特定设置以及当前装载的签名文件的细节、操作***的版本细节和其他软件,并且这还可以是诸如以下的信息:正在操作的文件、特定版本和任何时间的软件设置。(应该理解以下内容:对更多这些准则的匹配的审核和测试提高了计算机被非常类似地设置的可能性,并且因此在匹配搜索期间降低了主动/被动错误率)。
关于这些软件产品等的信息可以单独地提供给群体数据库。然而优选地,再次出于存储和传输数据量的原因,将信息提供为代表信息的签名或关键字(例如,通过在计算机2处的压缩函数或哈希)。图4示意性地示出了如何将所有本地安全产品、版本、签名文件、防火墙设置等40用于创建关键字41的细节。关键字被传输到群体数据库7。由于从可能达数百万的很多用户计算机2向群体数据库7提供了此类数据,很可能为具有相同或类似安全产品配置等的其他计算机2保留了相应信息。因此,在步骤42,可以针对具有包括相同设置、装载的签名文件等的相同或类似安全产品组合的其他计算机2搜索群体数据库7。
代理软件也向此实施例中的群体数据库7提供由每个计算机2运行的进程的细节,并且因此知道每个计算机2是否已经检测到了进程。
以此方式,群体数据库7可以用于获取关于例如操作***和各种安全产品的特定、指定组合的信息,包括一个时间点上存在的设置和签名文件,使具有那些产品和设置的特定计算机2易于或容易受到任何特定恶意软件对象的攻击。
在简单示例中,如果例如数据库知道计算机过去具有带有下载的签名更新C的反病毒产品B的版本A,并且还具有带有特定设置E的防火墙D,并且可能有具有带有签名更新G的反间谍软件F,但是在那个时间点该程序组合没有检测到特定恶意软件进程P,那么可以向已知具有该安全程序/设置组合的计算机2提供此信息,并且此信息可以用于指示计算机2在短期内易受该特定软件进程的攻击。可以通过在计算机2的屏幕显示器上显示窗口43或通过将用户引导到更详细地解释位置的特定网站,来向用户呈现此信息。例如,可以向用户通知他们的特定安全产品等的组合使他们的计算机暴露在受Sobig病毒感染的危险中,因为他们的计算机不能检测到该病毒。可以向用户提供特定建议(例如,更新具有特定签名文件的特定反病毒程序)或软件进行下载和安装以消除该危险。
因此,当向群体数据库7提供涉及特定时间特定计算机上的所有安全产品等的信息时,针对出现在具有安全产品的该特定组合的计算机上并且没有在本地检测到的标记为“不良”的进程的事件搜索群体数据库7。然后,可以将此信息反馈给特定计算机的用户,例如直接地反馈或通过将用户引导到网站而反馈。可以基本上实时地提供此信息,允许新用户或新计算机的用户能够非常快速地提高计算机的有效安全性。
优选的方法还跟踪涉哪些对象彼此相关并且使用祖先的概念使对象能够被标记为恶意软件。例如,任何特定进程可以繁殖子进程,该子进程因此是相关的。可以查看关于第一对象的关键字以识别一个部分,该部分唯一地标识第一对象并且在第一对象的其他相关对象或后代的关键字中存在或被继承。此部分在这里称作“基因”。可以以多种方式使用此通常的技术:
a)向已知的和受信任的父进程赋予创建子进程的能力,该子进程可以自动被标记为安全以在本地计算机上运行。此“继承的”性质还可能向下传递到孙子(grand children)进程等。此安全状态传递到父母的子进程,并且可能通过他们,其他子进程(这里称作“后代”)、后代的此类签名都可以在本地数据库中自动地记录为良好。这允许后代进程被快速标记为良好,即使到群体数据库7的连接不可用。
b)通过监控父进程的活动,如果稍后发现父进程是恶意软件,那么可以将所有后代进程在本地数据库中全部自动记录为不良。
c)类似地,通过监控后代进程的活动,如果稍后发现后代进程中的一个是恶意软件,那么可以在本地数据库中将一个或多个父进程以及所有其他后代进程(即此上下文中的所有相关进程)自动记录为不良。
d)针对一个或多个孩子的签名的父母创建包括根据父母的行为和确定自动将这些孩子标记为良好或是不良的能力。注意,在某些实施例中,产品可以“观察”或监控子进程的产生并且在到达时自动创建签名。这提供了监控另一个不良程序创建不良程序的能力。因此,可能监控程序的祖先,从而如果例如祖父创建了程序(父亲)并且其接着创建了不良程序(儿子),则可能自动将父亲确定为不良程序。
e)可以包括一种特征,该特征允许自动没收孩子的继承能力以当任何进一步的出生时触发签名的自动创建,因为象父母一样,孩子已经制造了不良后代。优选地,规则是如果文件具有一个不良后代,那么可以自动移除遗传的能力。
f)一种能力,即,观察对象的克隆或同样的孪生(例如运行在群体中的其他***上的相同进程)来比较他们后代的模式并且做出关于是否将任何特定进程作为恶意软件对待的决定。
这些特征a)到f)的一个或多个可以用于提供制造安全产品问题的解决方案,该安全产品在不能100%可靠地永久连接到因特网的情况下可以有效地使用,100%的连接经常是不切实际的。这样的示例是Windows更新以及销售商越来越多地使用其他进程,销售商希望能够跨越万维网自动进行产品更新。
传统软件的上述这些类型的特征的可能益处如下。反病毒软件倾向于具有已知不良签名的高速缓存。问题一直持续到现在。考虑某人购买新计算机的简单示例。计算机提供预装载在签名高速缓存中反病毒产品。制造PC、将其运到商店和用户购买的时间之间将过去数天或数周。用户启动PC,并且PC暴露在PC被建立之后创建的任何新的病毒或恶意软件下。全面保护要求用户连接到因特网并且下载更新。不能保证这在因特网上发生在用户进行其他活动之前(几乎实际不可能保证)。由于在本发明的实施例中,随着已知良好进程的本地高速缓存,可能运输预装有签名的预生成高速缓存的计算机/终端,其中该签名针对计算机制造商预装的所有良好(干净)软件。在此情况中,用户可以连接到智能因特网,任何新的或更新的程序将被立刻检测并验证。而且,任何自动更新软件可以强迫针对其孩子以及更远后代(即,孙子、重孙子等)自动建立签名。
现在参考微软公司的Adrian Stepan在“Virtus Bulletin ConferenceOctober 2005”上发表的“Defeating Polymorphism:Beyond Emulation”以及2006年4月5日提交的US 60/789156,其全部内容在此通过参考并入。在该论文以及专利申请中,公开了解密文件的方法,以允许对文件进行分析从而确定文件实际上是否是恶意软件。尤其是在US 60/789156中,公开了使用主计算机对可执行计算机文件进行解包/解密的方法,该方法包括:将可执行计算机文件分割为多个基本代码块;将至少某些基本代码块翻译为可以由主计算机执行的已翻译的代码基本块;链接主计算机的存储器中的至少某些已翻译的代码基本块;并且,在主计算机上执行至少某些已翻译的代码基本块,从而使得可执行计算机文件能够被解包或解密,其中可以分析已解包或解密的可执行计算机文件以确定可执行计算机文件是否是恶意软件或是否应该被分类为恶意软件。在US 60/789156中还公开了一种对可执行计算机文件进行解包/解密的方法,该方法包括:将可执行计算机文件分割为多个代码基本块;为至少某些基本块创建至少一个高速缓存器读取页面,该高速缓存器读取页面存储与各个基本块的高速缓存读取虚拟存储器地址相对应的高速缓存读取物理地址,并且针对至少某些基本块创建至少一个高速缓存器写页面,该高速缓存器写页面存储与各个基本块的高速缓存写虚拟存储器地址相对应的高速缓存写物理地址;并且,通过执行至少某些代码基本块来模拟可执行文件,从而使得能够对可执行计算机文件进行解包或解密,其中可以分析已解包或解密的可执行计算机文件,以确定可执行计算机文件是否是恶意软件或是否应该被分类为恶意软件;其中在基本块执行期间,针对与所述基本块访问的虚拟地址相对应的缓存的物理地址检查高速缓存器的读取页面和写页面中的至少一个。
这些文档中公开的技术可以在希望详细分析文件时,用在这里的上下文中。然而,更一般地,这些文章中公开的技术并且尤其是US60/789156中公开的增强技术可以用于当运行在计算机上时提供关于文件活动的信息,因为这些文章中公开的技术模拟了文件的运行并且因此允许对文件的活动进行解释。
当用户希望在离线时安装软件时,出现其他情况。在优选的实施例中,当用户尝试在离线时安装新软件时,运行在用户计算机2上的代理软件提示用户授权以允许进行安装进程,从而安装的执行自身可以是由用户“授权的”。将此用户的授权看作“创始(Genesis)”事件并且之后将如此使用该术语。然而,在软件安装中存在通常使用的某些进程,这些进程与安装机器上的其他已有程序(例如微软的MSIEXEC)进行通信,。
创始方法包括生成签名的进程,该签名作为用户计算机2上的用户授权的结果。将那些签名存储在用户计算机2上的本地数据库中。在一个实施例中,根据代理软件在安装进程期间的需要涉及那些本地存储的签名,以便可以进行安装。可替换地,代理软件进行的安全检查可以在安装进程期间关闭。关闭仅持续有限的时间,诸如应该足够允许安装大多数软件的若干分钟,关闭时间可选地是用户可配置的。
在任何事件中,一旦完成了安装并且用户计算机2连接到群体数据库7,则用户计算机2上的代理软件可以从用户本地数据库向群体数据库7上传关于安装的签名。利用来自其他用户计算机2的相应数据,群体数据库7可以用于快速确定此特定软件的安装开始是良性的。
作为该实施例的变形,当用户计算机2在某些时间点上在线时,用户计算机2上的代理软件可以下载所谓的“受信任安装者”或“许可的安装者”的签名。这允许了方法的操作,以便当创始事件是“当前的”时,例如在用户授权之后的几分钟时间段内,允许执行“许可的安装者”以及许可的安装者的任何子进程。优选地,当向群体数据库7添加时,总是当在线期间将许可的安装者的签名下载到远程计算机2上。
对此方法存在进一步的细化,诸如如果在创始事件流传期间出现介质的改变,则防止许可的安装者执行。然而,仍旧可以检测并且阻止可能是恶意软件的任何未知进程。少量许可的安装者有助于下载所要求的最少数据,特别是与下载病毒签名文件相比。如另一个示例,可以使用超级受信任安装者,诸如例如“Windows更新”,从而由超级受信任安装者创建的所有新进程立刻被标记为是安全的。
在当远程计算机2连接到群体数据库7时出现安装的情况中,另一个选项是如果将要安装的软件对于群体数据库7是未知的,那么***将阻止该安装或警告用户。例如,可以在用户计算机2上显示消息,以产生“将要安装某些软件。此软件对于[群体]未知。确定希望继续?”这样的结果。
已经具体参考示出的示例描述了本发明的实施例。然而,应该理解在本发明的范围内可以对描述的示例进行变形和修改。

Claims (42)

1.一种将计算机对象分类为恶意软件的方法,所述方法包括:
在基计算机处,从多个远程计算机中的每一个接收关于计算机对象的数据,所述对象或类似对象存储在远程计算机上,其中所述数据包括关于当创建、配置所述对象或所述对象在各个远程计算机上运行时,由所述对象发起的事件或涉及所述对象的事件的信息,所述信息至少包括发起所述事件的对象的身份、事件类型、以及所述对象的身份或在其上执行所述事件的其他实体的身份;
在所述基计算机处存储从多个远程计算机接收的所述数据;
在所述基计算机中,比较从所述多个计算机接收的关于所述计算机对象的数据以识别所述对象和其他对象或实体之间的关系;以及
根据所述比较,将所述计算机对象分类为恶意软件。
2.根据权利要求1所述的方法,其中所述关系是直接相关的对象之间的关系或经由其他对象相关的对象之间的关系。
3.根据权利要求1或2所述的方法,其中当发现对象和其他对象具有关系时,监控作为同类实体的那些相关的对象。
4.根据权利要求1或2所述的方法,包括基于相关的对象的行为将对象推导为恶意软件。
5.根据权利要求1或2所述的方法,其中如果所述对象相关的至少一个其他对象被分类为恶意软件,则将所述对象分类为恶意软件。
6.根据权利要求1或2所述的方法,其中所述其他对象包括存储在至少一些远程计算机上的对象或类似对象。
7.根据权利要求1到6的任意一项所述的方法,其中所述其他对象包括作为父对象、或子对象、或与所述对象在进程上相关的对象的其他对象。
8.根据权利要求1到7的任意一项所述的方法,其中关于从所述多个远程计算机发送到所述基计算机并且在比较中使用的所述计算机对象的所述数据包括以下中的一个或多个:
包含在所述对象内或者由所述对象组成的可执行指令;所述对象的大小;所述对象的当前名称;所述对象在盘上的物理和文件夹位置;所述对象的原始名称;所述对象的创建和修改日期;销售商、产品、版本以及存储在所述对象内的任何其他信息;以及对象头部或由所述远程计算机保持的头部。
9.根据权利要求1到8的任意一项所述的方法,其中以关键字的形式发送所述数据,所述关键字通过关于所述各个远程计算机上的对象执行的哈希进程获得。
10.根据权利要求9所述的方法,其中所述关键字具有至少一个部分,所述部分表示包含在所述对象内或由所述对象组成的可执行指令。
11.根据权利要求9或10所述的方法,其中所述关键字具有至少一个部分,所述部分表示关于所述对象的数据。
12.根据权利要求11所述的方法,其中关于所述对象的所述数据包括以下中的至少一个:所述对象的当前名称;所述对象在盘上的物理和文件夹位置;所述对象的原始名称;所述对象的创建和修改日期;销售商、产品、版本以及存储在所述对象内的任何其他信息;对象头部或由所述远程计算机保持的头部;以及当创建、配置所述对象或所述对象在各个远程计算机上运行时,由所述对象发起的事件或涉及所述对象的事件。
13.根据权利要求9到12的任意一项所述的方法,其中所述关键字具有至少一个部分,所述部分表示所述对象的物理大小。
14.根据权利要求1到13的任意一项所述的方法,包括初始将对象分类为非恶意软件,生成所述对象的掩码,所述掩码定义所述对象的可接受行为,并且包括监控至少一个所述远程计算机上的对象的操作,以及如果所述实际监控的行为超出了所述掩码允许的行为,则将所述对象重新分类为恶意软件。
15.一种将计算机对象分类为恶意软件的装置,所述装置包括:
基计算机,被构建和安排为从多个远程计算机中的每一个接收关于计算机对象的数据,所述对象或类似对象存储在远程计算机上,其中所述数据包括关于当创建、配置所述对象或所述对象在各个远程计算机上运行时,由所述对象发起的事件或涉及所述对象的事件的信息,所述信息至少包括发起所述事件的对象的身份、事件类型、以及所述对象的身份或在其上执行所述事件的其他实体的身份;
所述基计算机被构建和安排为比较从所述多个计算机接收的关于所述计算机对象的数据以识别所述对象和其他对象或实体之间的关系;以及
所述基计算机被构建和安排为根据所述比较,将所述计算机对象分类为恶意软件。
16.根据权利要求15所述的设备,其中所述基计算机被构建和安排为以便识别直接相关的对象之间的关系或经由其他对象相关的对象之间的关系。
17.根据权利要求15或16所述的设备,其中所述基计算机被构建和安排为当发现对象和其他对象具有关系时,监控作为同类实体的那些相关的对象。
18.根据权利要求15或16所述的设备,其中所述基计算机被构建和安排为以便基于相关的对象的行为将对象推导为恶意软件。
19.根据权利要求15或16所述的设备,其中所述基计算机被构建和安排为以便如果所述对象相关的至少一个其他对象被分类为恶意软件,则将所述对象分类为恶意软件。
20.根据权利要求15或16所述的设备,其中所述基计算机被构建和安排为以便所述其他对象包括存储在至少一些所述远程计算机上的对象或类似对象。
21.根据权利要求15到20的任意一项所述的设备,其中所述基计算机被构建和安排为以便所述其他对象包括作为父对象、或子对象、或与所述对象在进程上相关的对象的其他对象。
22.根据权利要求15到21的任意一项所述的设备,其中所述基计算机被构建和安排为以便比较所述数据,其中所述数据包括以下中的一个或多个:
包含在所述对象内或者由所述对象组成的可执行指令;所述对象的大小;所述对象的当前名称;所述对象在盘上的物理和文件夹位置;所述对象的原始名称;所述对象的创建和修改日期;销售商、产品、版本以及存储在所述对象内的任何其他信息;以及对象头部或由所述远程计算机保持的头部。
23.根据权利要求15到22的任意一项所述的设备,其中所述基计算机被构建和安排为以便能够处理以关键字的形式发送的所述数据,所述关键字通过关于所述各个远程计算机上的对象执行的哈希进程获得。
24.根据权利要求23所述的设备,其中所述关键字具有至少一个部分,所述部分表示包含在所述对象内或由所述对象组成的可执行指令。
25.根据权利要求23或24所述的设备,其中所述关键字具有至少一个部分,所述部分表示关于所述对象的数据。
26.根据权利要求25所述的设备,其中关于所述对象的所述数据包括以下中的至少一个:所述对象的当前名称;所述对象在盘上的物理和文件夹位置;所述对象的原始名称;所述对象的创建和修改日期;销售商、产品、版本以及存储在所述对象内的任何其他信息;对象头部或由所述远程计算机保持的头部;以及当创建、配置所述对象或所述对象在各个远程计算机上运行时,由所述对象发起的事件或涉及所述对象的事件。
27.根据权利要求23到26的任意一项所述的设备,其中所述关键字具有至少一个部分,所述部分表示所述对象的物理大小。
28.根据权利要求15到27的任意一项所述的设备,其中所述基计算机被构建和安排为包括生成初始被分类为非恶意软件的对象的掩码,所述掩码定义所述对象的可接受行为,并且所述基计算机被构建和安排为监控至少一个所述远程计算机上的对象的操作,以及如果所述实际监控的行为超出了所述掩码允许的行为,则将所述对象重新分类为恶意软件。
29.一种将计算机对象分类为恶意软件的设备,所述设备包括:
用于在基计算机处,从多个远程计算机中的每一个接收关于计算机对象的数据的装置,所述对象或类似对象存储在远程计算机上,其中所述数据包括关于当创建、配置所述对象或所述对象在各个远程计算机上运行时,由所述对象发起的事件或涉及所述对象的事件的信息,所述信息至少包括发起所述事件的对象的身份、事件类型、以及所述对象的身份或在其上执行所述事件的其他实体的身份;
用于在所述基计算机处存储从多个远程计算机接收的所述数据的装置;
用于在所述基计算机中,比较从所述多个计算机接收的关于所述计算机对象的数据以识别所述对象和其他对象或实体之间的关系的装置;以及
用于根据所述比较,将所述计算机对象分类为恶意软件的装置。
30.根据权利要求29所述的设备,其中所述关系是直接相关的对象之间的关系或经由其他对象相关的对象之间的关系。
31.根据权利要求29或30所述的设备,其中当发现对象和其他对象具有关系时,监控作为同类实体的那些相关的对象。
32.根据权利要求29或30所述的设备,包括用于基于相关的对象的行为将对象推导为恶意软件的装置。
33.根据权利要求29或30所述的设备,其中包括用于如果所述对象相关的至少一个其他对象被分类为恶意软件,则将所述对象分类为恶意软件的装置。
34.根据权利要求29或30所述的设备,其中所述其他对象包括存储在至少一些远程计算机上的对象或类似对象。
35.根据权利要求29到34的任意一项所述的设备,其中所述其他对象包括作为父对象、或子对象、或与所述对象在进程上相关的对象的其他对象。
36.根据权利要求29到35的任意一项所述的设备,其中关于从所述多个远程计算机发送到所述基计算机并且在比较中使用的所述计算机对象的所述数据包括以下中的一个或多个:
包含在所述对象内或者由所述对象组成的可执行指令;所述对象的大小;所述对象的当前名称;所述对象在盘上的物理和文件夹位置;所述对象的原始名称;所述对象的创建和修改日期;销售商、产品、版本以及存储在所述对象内的任何其他信息;以及对象头部或由所述远程计算机保持的头部。
37.根据权利要求29到36的任意一项所述的设备,其中包括用于以关键字的形式发送所述数据的装置,所述关键字通过关于所述各个远程计算机上的对象执行的哈希进程获得。
38.根据权利要求37所述的设备,其中所述关键字具有至少一个部分,所述部分表示包含在所述对象内或由所述对象组成的可执行指令。
39.根据权利要求37或38所述的设备,其中所述关键字具有至少一个部分,所述部分表示关于所述对象的数据。
40.根据权利要求39所述的设备,其中关于所述对象的所述数据包括以下中的至少一个:所述对象的当前名称;所述对象在盘上的物理和文件夹位置;所述对象的原始名称;所述对象的创建和修改日期;销售商、产品、版本以及存储在所述对象内的任何其他信息;对象头部或由所述远程计算机保持的头部;以及当创建、配置所述对象或所述对象在各个远程计算机上运行时,由所述对象发起的事件或涉及所述对象的事件。
41.根据权利要求37到40的任意一项所述的设备,其中所述关键字具有至少一个部分,所述部分表示所述对象的物理大小。
42.根据权利要求29到41的任意一项所述的设备,包括用于初始将对象分类为非恶意软件和生成所述对象的掩码的装置,所述掩码定义所述对象的可接受行为,并且包括用于监控至少一个所述远程计算机上的对象的操作,以及如果所述实际监控的行为超出了所述掩码允许的行为,则将所述对象重新分类为恶意软件的装置。
CN201110036124.1A 2005-06-30 2006-06-30 用于处理恶意软件的方法和装置 Active CN102176224B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
GBGB0513375.6A GB0513375D0 (en) 2005-06-30 2005-06-30 Computer security
GB0513375.6 2005-06-30

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
CN2006800237078A Division CN101213555B (zh) 2005-06-30 2006-06-30 用于处理恶意软件的方法和装置

Publications (2)

Publication Number Publication Date
CN102176224A true CN102176224A (zh) 2011-09-07
CN102176224B CN102176224B (zh) 2014-08-20

Family

ID=34856416

Family Applications (3)

Application Number Title Priority Date Filing Date
CN201110036121.8A Active CN102096784B (zh) 2005-06-30 2006-06-30 用于处理恶意软件的方法和装置
CN2006800237078A Active CN101213555B (zh) 2005-06-30 2006-06-30 用于处理恶意软件的方法和装置
CN201110036124.1A Active CN102176224B (zh) 2005-06-30 2006-06-30 用于处理恶意软件的方法和装置

Family Applications Before (2)

Application Number Title Priority Date Filing Date
CN201110036121.8A Active CN102096784B (zh) 2005-06-30 2006-06-30 用于处理恶意软件的方法和装置
CN2006800237078A Active CN101213555B (zh) 2005-06-30 2006-06-30 用于处理恶意软件的方法和装置

Country Status (6)

Country Link
US (6) US8418250B2 (zh)
EP (3) EP2629232A3 (zh)
JP (1) JP4936294B2 (zh)
CN (3) CN102096784B (zh)
GB (1) GB0513375D0 (zh)
WO (1) WO2007003916A2 (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102737203A (zh) * 2012-07-13 2012-10-17 珠海市君天电子科技有限公司 一种基于程序父子基因关系的病毒防御方法及***
CN112569605A (zh) * 2020-12-28 2021-03-30 福建省天奕网络科技有限公司 一种检测android运行于修改器环境下的方法及其***

Families Citing this family (187)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB0513375D0 (en) 2005-06-30 2005-08-03 Retento Ltd Computer security
US8510596B1 (en) * 2006-02-09 2013-08-13 Virsec Systems, Inc. System and methods for run time detection and correction of memory corruption
US9077715B1 (en) 2006-03-31 2015-07-07 Symantec Corporation Social trust based security model
US8009566B2 (en) 2006-06-26 2011-08-30 Palo Alto Networks, Inc. Packet classification in a network security device
US8365286B2 (en) 2006-06-30 2013-01-29 Sophos Plc Method and system for classification of software using characteristics and combinations of such characteristics
US8261344B2 (en) * 2006-06-30 2012-09-04 Sophos Plc Method and system for classification of software using characteristics and combinations of such characteristics
US7971257B2 (en) * 2006-08-03 2011-06-28 Symantec Corporation Obtaining network origins of potential software threats
US8201244B2 (en) * 2006-09-19 2012-06-12 Microsoft Corporation Automated malware signature generation
US7523502B1 (en) * 2006-09-21 2009-04-21 Symantec Corporation Distributed anti-malware
US20080115219A1 (en) * 2006-11-13 2008-05-15 Electronics And Telecommunications Research Apparatus and method of detecting file having embedded malicious code
US8250657B1 (en) 2006-12-29 2012-08-21 Symantec Corporation Web site hygiene-based computer security
US8312536B2 (en) 2006-12-29 2012-11-13 Symantec Corporation Hygiene-based computer security
US7854002B2 (en) * 2007-04-30 2010-12-14 Microsoft Corporation Pattern matching for spyware detection
US8959639B2 (en) * 2007-06-18 2015-02-17 Symantec Corporation Method of detecting and blocking malicious activity
US8468977B2 (en) * 2007-08-07 2013-06-25 The Kong Company, Llc Pet toy with noise making instrument
CN101350052B (zh) * 2007-10-15 2010-11-03 北京瑞星信息技术有限公司 发现计算机程序的恶意行为的方法和装置
US20090100519A1 (en) * 2007-10-16 2009-04-16 Mcafee, Inc. Installer detection and warning system and method
US8590039B1 (en) 2007-11-28 2013-11-19 Mcafee, Inc. System, method and computer program product for sending information extracted from a potentially unwanted data sample to generate a signature
US10318730B2 (en) * 2007-12-20 2019-06-11 Bank Of America Corporation Detection and prevention of malicious code execution using risk scoring
US20100031353A1 (en) * 2008-02-04 2010-02-04 Microsoft Corporation Malware Detection Using Code Analysis and Behavior Monitoring
US20090210944A1 (en) * 2008-02-14 2009-08-20 Commtouch Software Ltd. Anti-maleware data center aggregate
US8255902B1 (en) 2008-03-17 2012-08-28 Symantec Corporation Systems and methods for determining and quantifying the impact of an application on the health of a system
US9306796B1 (en) 2008-03-18 2016-04-05 Mcafee, Inc. System, method, and computer program product for dynamically configuring a virtual environment for identifying unwanted data
US8650648B2 (en) 2008-03-26 2014-02-11 Sophos Limited Method and system for detecting restricted content associated with retrieved content
US8499063B1 (en) 2008-03-31 2013-07-30 Symantec Corporation Uninstall and system performance based software application reputation
US8219983B1 (en) 2008-03-31 2012-07-10 Symantec Corporation Systems and methods for providing guidance on the potential impact of application and operating-system changes on a computing system
US8769702B2 (en) * 2008-04-16 2014-07-01 Micosoft Corporation Application reputation service
US7472420B1 (en) * 2008-04-23 2008-12-30 Kaspersky Lab, Zao Method and system for detection of previously unknown malware components
US20130276120A1 (en) * 2008-06-02 2013-10-17 Gregory William Dalcher System, method, and computer program product for determining whether a security status of data is known at a server
US9077748B1 (en) * 2008-06-17 2015-07-07 Symantec Corporation Embedded object binding and validation
US8255993B2 (en) * 2008-06-23 2012-08-28 Symantec Corporation Methods and systems for determining file classifications
US8301904B1 (en) 2008-06-24 2012-10-30 Mcafee, Inc. System, method, and computer program product for automatically identifying potentially unwanted data as unwanted
US8595282B2 (en) 2008-06-30 2013-11-26 Symantec Corporation Simplified communication of a reputation score for an entity
US20100058474A1 (en) * 2008-08-29 2010-03-04 Avg Technologies Cz, S.R.O. System and method for the detection of malware
US8413251B1 (en) 2008-09-30 2013-04-02 Symantec Corporation Using disposable data misuse to determine reputation
US8984628B2 (en) 2008-10-21 2015-03-17 Lookout, Inc. System and method for adverse mobile application identification
US9043919B2 (en) 2008-10-21 2015-05-26 Lookout, Inc. Crawling multiple markets and correlating
US8533844B2 (en) 2008-10-21 2013-09-10 Lookout, Inc. System and method for security data collection and analysis
US8347386B2 (en) 2008-10-21 2013-01-01 Lookout, Inc. System and method for server-coupled malware prevention
US9235704B2 (en) 2008-10-21 2016-01-12 Lookout, Inc. System and method for a scanning API
US8087067B2 (en) 2008-10-21 2011-12-27 Lookout, Inc. Secure mobile platform system
US8108933B2 (en) * 2008-10-21 2012-01-31 Lookout, Inc. System and method for attack and malware prevention
US9781148B2 (en) 2008-10-21 2017-10-03 Lookout, Inc. Methods and systems for sharing risk responses between collections of mobile communications devices
US9367680B2 (en) 2008-10-21 2016-06-14 Lookout, Inc. System and method for mobile communication device application advisement
US8099472B2 (en) 2008-10-21 2012-01-17 Lookout, Inc. System and method for a mobile cross-platform software system
US8060936B2 (en) 2008-10-21 2011-11-15 Lookout, Inc. Security status and information display system
US8051480B2 (en) 2008-10-21 2011-11-01 Lookout, Inc. System and method for monitoring and analyzing multiple interfaces and multiple protocols
US8171547B2 (en) * 2008-12-03 2012-05-01 Trend Micro Incorporated Method and system for real time classification of events in computer integrity system
US8181251B2 (en) * 2008-12-18 2012-05-15 Symantec Corporation Methods and systems for detecting malware
US8813222B1 (en) * 2009-01-21 2014-08-19 Bitdefender IPR Management Ltd. Collaborative malware scanning
US8538815B2 (en) 2009-02-17 2013-09-17 Lookout, Inc. System and method for mobile device replacement
US8467768B2 (en) 2009-02-17 2013-06-18 Lookout, Inc. System and method for remotely securing or recovering a mobile device
US9955352B2 (en) 2009-02-17 2018-04-24 Lookout, Inc. Methods and systems for addressing mobile communications devices that are lost or stolen but not yet reported as such
US9042876B2 (en) 2009-02-17 2015-05-26 Lookout, Inc. System and method for uploading location information based on device movement
US8855601B2 (en) 2009-02-17 2014-10-07 Lookout, Inc. System and method for remotely-initiated audio communication
US8627461B2 (en) 2009-03-04 2014-01-07 Mcafee, Inc. System, method, and computer program product for verifying an identification of program information as unwanted
US8763127B2 (en) 2009-03-13 2014-06-24 Rutgers, The State University Of New Jersey Systems and method for malware detection
US8904520B1 (en) 2009-03-19 2014-12-02 Symantec Corporation Communication-based reputation system
US8225406B1 (en) * 2009-03-31 2012-07-17 Symantec Corporation Systems and methods for using reputation data to detect shared-object-based security threats
US8381289B1 (en) 2009-03-31 2013-02-19 Symantec Corporation Communication-based host reputation system
JP2012525626A (ja) * 2009-04-30 2012-10-22 テレフオンアクチーボラゲット エル エム エリクソン(パブル) ユーザ端末の逸脱する挙動
US8732296B1 (en) * 2009-05-06 2014-05-20 Mcafee, Inc. System, method, and computer program product for redirecting IRC traffic identified utilizing a port-independent algorithm and controlling IRC based malware
US7640589B1 (en) * 2009-06-19 2009-12-29 Kaspersky Lab, Zao Detection and minimization of false positives in anti-malware processing
CN101604364B (zh) * 2009-07-10 2012-08-15 珠海金山软件有限公司 基于文件指令序列的计算机恶意程序分类***和分类方法
US8336100B1 (en) * 2009-08-21 2012-12-18 Symantec Corporation Systems and methods for using reputation data to detect packed malware
EP2306356B1 (en) * 2009-10-01 2019-02-27 Kaspersky Lab, ZAO Asynchronous processing of events for malware detection
US8566943B2 (en) * 2009-10-01 2013-10-22 Kaspersky Lab, Zao Asynchronous processing of events for malware detection
US8572740B2 (en) * 2009-10-01 2013-10-29 Kaspersky Lab, Zao Method and system for detection of previously unknown malware
US8863282B2 (en) * 2009-10-15 2014-10-14 Mcafee Inc. Detecting and responding to malware using link files
US8397301B2 (en) * 2009-11-18 2013-03-12 Lookout, Inc. System and method for identifying and assessing vulnerabilities on a mobile communication device
US8479286B2 (en) 2009-12-15 2013-07-02 Mcafee, Inc. Systems and methods for behavioral sandboxing
US8719939B2 (en) * 2009-12-31 2014-05-06 Mcafee, Inc. Malware detection via reputation system
US8407790B2 (en) * 2010-02-09 2013-03-26 Webroot, Inc. Low-latency detection of scripting-language-based exploits
US8499283B2 (en) * 2010-02-09 2013-07-30 Webroot Inc. Detection of scripting-language-based exploits using parse tree transformation
US8341745B1 (en) 2010-02-22 2012-12-25 Symantec Corporation Inferring file and website reputations by belief propagation leveraging machine reputation
US9390263B2 (en) 2010-03-31 2016-07-12 Sophos Limited Use of an application controller to monitor and control software file and application environments
CN101808102B (zh) * 2010-04-23 2012-12-12 潘燕辉 一种基于云计算的操作记录追踪***和方法
US8510836B1 (en) * 2010-07-06 2013-08-13 Symantec Corporation Lineage-based reputation system
US8402545B1 (en) * 2010-10-12 2013-03-19 Symantec Corporation Systems and methods for identifying unique malware variants
US20120102569A1 (en) * 2010-10-21 2012-04-26 F-Secure Corporation Computer system analysis method and apparatus
US7962959B1 (en) * 2010-12-01 2011-06-14 Kaspersky Lab Zao Computer resource optimization during malware detection using antivirus cache
US9311482B2 (en) * 2010-11-01 2016-04-12 CounterTack, Inc. Inoculator and antibody for computer security
US8424093B2 (en) * 2010-11-01 2013-04-16 Kaspersky Lab Zao System and method for updating antivirus cache
TWI442260B (zh) 2010-11-19 2014-06-21 Inst Information Industry 伺服器、使用者裝置及其惡意程式偵測方法
AU2011336466C1 (en) * 2010-12-01 2017-01-19 Cisco Technology, Inc. Detecting malicious software through contextual convictions, generic signatures and machine learning techniques
US9088601B2 (en) 2010-12-01 2015-07-21 Cisco Technology, Inc. Method and apparatus for detecting malicious software through contextual convictions, generic signatures and machine learning techniques
US9218461B2 (en) 2010-12-01 2015-12-22 Cisco Technology, Inc. Method and apparatus for detecting malicious software through contextual convictions
US9009819B1 (en) * 2011-01-20 2015-04-14 Symantec Corporation Method and system for detecting rogue security software that displays frequent misleading warnings
US8726387B2 (en) * 2011-02-11 2014-05-13 F-Secure Corporation Detecting a trojan horse
US9413721B2 (en) 2011-02-15 2016-08-09 Webroot Inc. Methods and apparatus for dealing with malware
US8042186B1 (en) * 2011-04-28 2011-10-18 Kaspersky Lab Zao System and method for detection of complex malware
US8695096B1 (en) * 2011-05-24 2014-04-08 Palo Alto Networks, Inc. Automatic signature generation for malicious PDF files
US9047441B2 (en) 2011-05-24 2015-06-02 Palo Alto Networks, Inc. Malware analysis system
CN102831049B (zh) * 2011-06-13 2015-05-20 腾讯科技(深圳)有限公司 检测软件的方法及***
US8738765B2 (en) 2011-06-14 2014-05-27 Lookout, Inc. Mobile device DNS optimization
US8799190B2 (en) 2011-06-17 2014-08-05 Microsoft Corporation Graph-based malware classification based on file relationships
US8788881B2 (en) 2011-08-17 2014-07-22 Lookout, Inc. System and method for mobile device push communications
US8600727B2 (en) * 2011-10-11 2013-12-03 Unisys Corporation Streamlined execution of emulated code using block-based translation mode
US9832221B1 (en) 2011-11-08 2017-11-28 Symantec Corporation Systems and methods for monitoring the activity of devices within an organization by leveraging data generated by an existing security solution deployed within the organization
US8769693B2 (en) * 2012-01-16 2014-07-01 Microsoft Corporation Trusted installation of a software application
US8806643B2 (en) * 2012-01-25 2014-08-12 Symantec Corporation Identifying trojanized applications for mobile environments
RU2510074C2 (ru) 2012-02-24 2014-03-20 Закрытое акционерное общество "Лаборатория Касперского" Система и способ проверки исполняемого кода перед его выполнением
US8627469B1 (en) 2012-03-14 2014-01-07 Symantec Corporation Systems and methods for using acquisitional contexts to prevent false-positive malware classifications
US9589129B2 (en) 2012-06-05 2017-03-07 Lookout, Inc. Determining source of side-loaded software
US9407443B2 (en) 2012-06-05 2016-08-02 Lookout, Inc. Component analysis of software applications on computing devices
US9124472B1 (en) 2012-07-25 2015-09-01 Symantec Corporation Providing file information to a client responsive to a file download stability prediction
US8655307B1 (en) 2012-10-26 2014-02-18 Lookout, Inc. System and method for developing, updating, and using user device behavioral context models to modify user, device, and application state, settings and behavior for enhanced user security
CN102970294A (zh) * 2012-11-21 2013-03-13 网神信息技术(北京)股份有限公司 安全网关的病毒检测方法及装置
US9208215B2 (en) 2012-12-27 2015-12-08 Lookout, Inc. User classification based on data gathered from a computing device
US9374369B2 (en) 2012-12-28 2016-06-21 Lookout, Inc. Multi-factor authentication and comprehensive login system for client-server networks
US8855599B2 (en) 2012-12-31 2014-10-07 Lookout, Inc. Method and apparatus for auxiliary communications with mobile communications device
US9424409B2 (en) 2013-01-10 2016-08-23 Lookout, Inc. Method and system for protecting privacy and enhancing security on an electronic device
US9165142B1 (en) * 2013-01-30 2015-10-20 Palo Alto Networks, Inc. Malware family identification using profile signatures
US9043922B1 (en) * 2013-04-19 2015-05-26 Symantec Corporation Systems and methods for determining malicious-attack exposure levels based on field-data analysis
US9058504B1 (en) * 2013-05-21 2015-06-16 Malwarebytes Corporation Anti-malware digital-signature verification
US9686304B1 (en) * 2013-06-25 2017-06-20 Symantec Corporation Systems and methods for healing infected document files
US10079841B2 (en) 2013-09-12 2018-09-18 Virsec Systems, Inc. Automated runtime detection of malware
US9642008B2 (en) 2013-10-25 2017-05-02 Lookout, Inc. System and method for creating and assigning a policy for a mobile communications device based on personal data
RU2645265C2 (ru) * 2013-12-05 2018-02-19 Закрытое акционерное общество "Лаборатория Касперского" Система и способ блокировки элементов интерфейса приложения
US9753796B2 (en) 2013-12-06 2017-09-05 Lookout, Inc. Distributed monitoring, evaluation, and response for multiple devices
US10122747B2 (en) 2013-12-06 2018-11-06 Lookout, Inc. Response generation after distributed monitoring and evaluation of multiple devices
US9262635B2 (en) * 2014-02-05 2016-02-16 Fireeye, Inc. Detection efficacy of virtual machine-based analysis with application specific events
US9917851B2 (en) 2014-04-28 2018-03-13 Sophos Limited Intrusion detection using a heartbeat
US10122753B2 (en) 2014-04-28 2018-11-06 Sophos Limited Using reputation to avoid false malware detections
CN104077526B (zh) * 2014-06-20 2018-03-06 珠海市君天电子科技有限公司 多态病毒的分析方法和分析装置及病毒处理方法和处理装置
CN107077412B (zh) 2014-06-24 2022-04-08 弗塞克***公司 单层或n层应用的自动化根本原因分析
US10354074B2 (en) 2014-06-24 2019-07-16 Virsec Systems, Inc. System and methods for automated detection of input and output validation and resource management vulnerability
US11507663B2 (en) 2014-08-11 2022-11-22 Sentinel Labs Israel Ltd. Method of remediating operations performed by a program and system thereof
US9710648B2 (en) 2014-08-11 2017-07-18 Sentinel Labs Israel Ltd. Method of malware detection and system thereof
KR101547999B1 (ko) * 2014-09-02 2015-08-27 한국전자통신연구원 악성링크 자동 탐지 장치 및 방법
KR102337990B1 (ko) * 2014-09-18 2021-12-13 삼성전자주식회사 권한 설정 토큰을 이용하는 전자 장치
US9876806B2 (en) * 2014-09-25 2018-01-23 Mcafee, Llc Behavioral detection of malware agents
GB2532199B (en) * 2014-11-05 2018-10-03 F Secure Corp Determining malware status of file
IN2014MU04068A (zh) 2014-12-18 2015-06-05 Cyberoam Technologies Pvt Ltd
WO2016107753A1 (en) 2014-12-30 2016-07-07 British Telecommunications Public Limited Company Malware detection in migrated virtual machines
US11586733B2 (en) 2014-12-30 2023-02-21 British Telecommunications Public Limited Company Malware detection
US9996682B2 (en) 2015-04-24 2018-06-12 Microsoft Technology Licensing, Llc Detecting and preventing illicit use of device
EP3289510B1 (en) 2015-05-01 2020-06-17 Lookout Inc. Determining source of side-loaded software
WO2016203759A1 (ja) * 2015-06-16 2016-12-22 日本電気株式会社 分析システム、分析方法、分析装置及び、コンピュータ・プログラムが記憶された記録媒体
US9935972B2 (en) * 2015-06-29 2018-04-03 Fortinet, Inc. Emulator-based malware learning and detection
RU2618947C2 (ru) * 2015-06-30 2017-05-11 Закрытое акционерное общество "Лаборатория Касперского" Способ предотвращения работы программ, содержащих нежелательный для пользователя функционал
US10887371B2 (en) 2015-09-14 2021-01-05 Google Llc Systems and methods for content storage and retrieval
US11201876B2 (en) 2015-12-24 2021-12-14 British Telecommunications Public Limited Company Malicious software identification
US10733296B2 (en) 2015-12-24 2020-08-04 British Telecommunications Public Limited Company Software security
WO2017109128A1 (en) 2015-12-24 2017-06-29 British Telecommunications Public Limited Company Detecting malicious software
US11194901B2 (en) 2016-03-30 2021-12-07 British Telecommunications Public Limited Company Detecting computer security threats using communication characteristics of communication protocols
WO2017167545A1 (en) 2016-03-30 2017-10-05 British Telecommunications Public Limited Company Network traffic threat identification
US9928366B2 (en) 2016-04-15 2018-03-27 Sophos Limited Endpoint malware detection using an event graph
JP6774881B2 (ja) * 2016-05-18 2020-10-28 株式会社日立製作所 業務処理システム監視装置および監視方法
US12021831B2 (en) 2016-06-10 2024-06-25 Sophos Limited Network security
CA3027728A1 (en) 2016-06-16 2017-12-21 Virsec Systems, Inc. Systems and methods for remediating memory corruption in a computer application
GB2566657B8 (en) 2016-06-30 2022-04-13 Sophos Ltd Proactive network security using a health heartbeat
GB2555517B (en) 2016-08-03 2022-05-11 Sophos Ltd Mitigation of return-oriented programming attacks
WO2018033350A1 (en) 2016-08-16 2018-02-22 British Telecommunications Public Limited Company Reconfigured virtual machine to mitigate attack
US11423144B2 (en) 2016-08-16 2022-08-23 British Telecommunications Public Limited Company Mitigating security attacks in virtualized computing environments
CN107817227B (zh) 2016-09-12 2020-08-28 台达电子国际(新加坡)私人有限公司 荧光检测装置
KR101883713B1 (ko) * 2016-09-22 2018-07-31 주식회사 위드네트웍스 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치 및 차단 방법
US10430591B1 (en) * 2016-10-04 2019-10-01 Bromium, Inc. Using threat model to monitor host execution in a virtualized environment
US10534097B2 (en) * 2016-10-14 2020-01-14 Shanghai United Imaging Healthcare Co., Ltd. Detector structure in a PET system
US11695800B2 (en) 2016-12-19 2023-07-04 SentinelOne, Inc. Deceiving attackers accessing network data
US11616812B2 (en) 2016-12-19 2023-03-28 Attivo Networks Inc. Deceiving attackers accessing active directory data
US10581879B1 (en) * 2016-12-22 2020-03-03 Fireeye, Inc. Enhanced malware detection for generated objects
US10331889B2 (en) 2017-01-05 2019-06-25 Votiro Cybersec Ltd. Providing a fastlane for disarming malicious content in received input content
US10218697B2 (en) 2017-06-09 2019-02-26 Lookout, Inc. Use of device risk evaluation to manage access to services
JP2020530922A (ja) 2017-08-08 2020-10-29 センチネル ラボ, インコーポレイテッドSentinel Labs, Inc. エッジネットワーキングのエンドポイントを動的にモデリングおよびグループ化する方法、システム、およびデバイス
US20200216097A1 (en) * 2017-08-10 2020-07-09 Argus Cyber Security Ltd System and method for detecting exploitation of a component connected to an in-vehicle network
US10885211B2 (en) 2017-09-12 2021-01-05 Sophos Limited Securing interprocess communications
US10176320B1 (en) * 2017-12-04 2019-01-08 Honeywell International Inc. Using machine learning in an industrial control network to improve cybersecurity operations
US10841333B2 (en) 2018-01-08 2020-11-17 Sophos Limited Malware detection using machine learning
US11159538B2 (en) 2018-01-31 2021-10-26 Palo Alto Networks, Inc. Context for malware forensics and detection
US10764309B2 (en) 2018-01-31 2020-09-01 Palo Alto Networks, Inc. Context profiling for malware detection
US11470115B2 (en) 2018-02-09 2022-10-11 Attivo Networks, Inc. Implementing decoys in a network environment
US11616758B2 (en) 2018-04-04 2023-03-28 Sophos Limited Network device for securing endpoints in a heterogeneous enterprise network
US11288385B2 (en) 2018-04-13 2022-03-29 Sophos Limited Chain of custody for enterprise documents
US11297073B2 (en) 2018-08-31 2022-04-05 Sophos Limited Forensic query of local event streams in an enterprise network
US11550900B1 (en) 2018-11-16 2023-01-10 Sophos Limited Malware mitigation based on runtime memory allocation
WO2020106512A1 (en) 2018-11-19 2020-05-28 Sophos Limited Deferred malware scanning
US11106800B1 (en) 2018-11-30 2021-08-31 Capsule8, Inc. Detecting kernel exploits
US11714905B2 (en) 2019-05-10 2023-08-01 Sophos Limited Attribute relevance tagging in malware recognition
EP3973427A4 (en) 2019-05-20 2023-06-21 Sentinel Labs Israel Ltd. SYSTEMS AND METHODS FOR EXECUTABLE CODE DETECTION, AUTOMATIC FEATURE EXTRACTION, AND POSITION-INDEPENDENT CODE DETECTION
US11245669B1 (en) * 2019-09-16 2022-02-08 Juniper Networks, Inc. Firewall filter comprising one or more objects
US20210397738A1 (en) 2020-06-22 2021-12-23 Sophos Limited Filtered data lake for enterprise security
US11775639B2 (en) 2020-10-23 2023-10-03 Sophos Limited File integrity monitoring
US11579857B2 (en) 2020-12-16 2023-02-14 Sentinel Labs Israel Ltd. Systems, methods and devices for device fingerprinting and automatic deployment of software in a computing network using a peer-to-peer approach
US11956212B2 (en) 2021-03-31 2024-04-09 Palo Alto Networks, Inc. IoT device application workload capture
US11929992B2 (en) 2021-03-31 2024-03-12 Sophos Limited Encrypted cache protection
US11899782B1 (en) 2021-07-13 2024-02-13 SentinelOne, Inc. Preserving DLL hooks

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1315066A1 (en) * 2001-11-21 2003-05-28 BRITISH TELECOMMUNICATIONS public limited company Computer security system
US20030177394A1 (en) * 2001-12-26 2003-09-18 Dmitri Dozortsev System and method of enforcing executable code identity verification over the network
US20040039921A1 (en) * 2000-10-17 2004-02-26 Shyne-Song Chuang Method and system for detecting rogue software
US20040153644A1 (en) * 2003-02-05 2004-08-05 Mccorkendale Bruce Preventing execution of potentially malicious software
US20050021994A1 (en) * 2003-07-21 2005-01-27 Barton Christopher Andrew Pre-approval of computer files during a malware detection
US20050086500A1 (en) * 2003-10-15 2005-04-21 International Business Machines Corporation Secure initialization of intrusion detection system
EP1549012A1 (en) * 2003-12-24 2005-06-29 DataCenterTechnologies N.V. Method and system for identifying the content of files in a network

Family Cites Families (206)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US1057463A (en) 1912-08-10 1913-04-01 Abraham G Shideed Twisting-machine.
JPS58199640A (ja) 1982-05-14 1983-11-21 Wako Kigata Seisakusho:Goushi 鋳造用模型
US5011885A (en) 1989-10-27 1991-04-30 The Mead Corporation Methods for the production of microcapsules using functionalized isocyanate
JPH03233629A (ja) * 1990-02-09 1991-10-17 Nec Corp 実行形式ファイルの被破壊チェック方式
GB9003890D0 (en) * 1990-02-21 1990-04-18 Rodime Plc Method and apparatus for controlling access to and corruption of information in computer systems
US6850252B1 (en) * 1999-10-05 2005-02-01 Steven M. Hoffberg Intelligent electronic appliance system and method
JPH06110718A (ja) * 1992-09-30 1994-04-22 Toshiba Corp ウィルス防御方式
GB2283341A (en) 1993-10-29 1995-05-03 Sophos Plc Central virus checker for computer network.
JPH0844677A (ja) 1994-07-29 1996-02-16 Toshiba Corp 分散処理システム
WO1996005674A1 (en) * 1994-08-12 1996-02-22 Frank Thomson Leighton Failsafe key escrow system
JPH08263438A (ja) * 1994-11-23 1996-10-11 Xerox Corp ディジタルワークの配給及び使用制御システム並びにディジタルワークへのアクセス制御方法
US5751982A (en) 1995-03-31 1998-05-12 Apple Computer, Inc. Software emulation system with dynamic translation of emulated instructions for increased processing speed
US7337315B2 (en) * 1995-10-02 2008-02-26 Corestreet, Ltd. Efficient certificate revocation
US5953532A (en) 1997-01-03 1999-09-14 Ncr Corporation Installation and deinstallation of application programs
GB2321362A (en) * 1997-01-21 1998-07-22 Northern Telecom Ltd Generic processing capability
US6357008B1 (en) 1997-09-23 2002-03-12 Symantec Corporation Dynamic heuristic method for detecting computer viruses using decryption exploration and evaluation phases
US6175869B1 (en) 1998-04-08 2001-01-16 Lucent Technologies Inc. Client-side techniques for web server allocation
US6748451B2 (en) * 1998-05-26 2004-06-08 Dow Global Technologies Inc. Distributed computing environment using real-time scheduling logic and time deterministic architecture
US6219786B1 (en) 1998-09-09 2001-04-17 Surfcontrol, Inc. Method and system for monitoring and controlling network access
US6338141B1 (en) * 1998-09-30 2002-01-08 Cybersoft, Inc. Method and apparatus for computer virus detection, analysis, and removal in real time
US7051365B1 (en) 1999-06-30 2006-05-23 At&T Corp. Method and apparatus for a distributed firewall
US6772346B1 (en) 1999-07-16 2004-08-03 International Business Machines Corporation System and method for managing files in a distributed system using filtering
US7296274B2 (en) 1999-11-15 2007-11-13 Sandia National Laboratories Method and apparatus providing deception and/or altered execution of logic in an information system
US6941470B1 (en) * 2000-04-07 2005-09-06 Everdream Corporation Protected execution environments within a computer system
AU2001257400A1 (en) 2000-04-28 2001-11-12 Internet Security Systems, Inc. System and method for managing security events on a network
US7089303B2 (en) * 2000-05-31 2006-08-08 Invicta Networks, Inc. Systems and methods for distributed network protection
US7093239B1 (en) * 2000-07-14 2006-08-15 Internet Security Systems, Inc. Computer immune system and method for detecting unwanted code in a computer system
US7350204B2 (en) * 2000-07-24 2008-03-25 Microsoft Corporation Policies for secure software execution
US6799197B1 (en) * 2000-08-29 2004-09-28 Networks Associates Technology, Inc. Secure method and system for using a public network or email to administer to software on a plurality of client computers
GB2368233B (en) * 2000-08-31 2002-10-16 F Secure Oyj Maintaining virus detection software
US6842878B1 (en) 2000-09-29 2005-01-11 International Business Machines Corporation Method to document relations between objects using a graphical interface tree component
US7036146B1 (en) * 2000-10-03 2006-04-25 Sandia Corporation System and method for secure group transactions
AU2002220172A1 (en) 2000-11-15 2002-05-27 David M. Holbrook Apparatus and method for organizing and/or presenting data
US6957230B2 (en) 2000-11-30 2005-10-18 Microsoft Corporation Dynamically generating multiple hierarchies of inter-object relationships based on object attribute values
US7231440B1 (en) 2000-12-18 2007-06-12 Mcafee, Inc. System and method for distributing portable computer virus definition records with binary file conversion
US20020087734A1 (en) 2000-12-29 2002-07-04 Marshall Donald Brent System and method for managing dependencies in a component-based system
US7260845B2 (en) * 2001-01-09 2007-08-21 Gabriel Kedma Sensor for detecting and eliminating inter-process memory breaches in multitasking operating systems
US7284274B1 (en) * 2001-01-18 2007-10-16 Cigital, Inc. System and method for identifying and eliminating vulnerabilities in computer software applications
EP1225513A1 (en) 2001-01-19 2002-07-24 Eyal Dotan Method for protecting computer programs and data from hostile code
US7168093B2 (en) * 2001-01-25 2007-01-23 Solutionary, Inc. Method and apparatus for verifying the integrity and security of computer networks and implementation of counter measures
GB2377784B (en) * 2001-02-12 2003-11-05 Altio Ltd A presentation server which enables a client device to run a network based application
US7478243B2 (en) * 2001-03-21 2009-01-13 Microsoft Corporation On-disk file format for serverless distributed file system with signed manifest of file modifications
JP2002287991A (ja) * 2001-03-26 2002-10-04 Fujitsu Ltd コンピュータウィルス感染情報提供方法及びコンピュータウィルス感染情報提供システム
US20030093678A1 (en) * 2001-04-23 2003-05-15 Bowe John J. Server-side digital signature system
US7210041B1 (en) * 2001-04-30 2007-04-24 Mcafee, Inc. System and method for identifying a macro virus family using a macro virus definitions database
US20040103315A1 (en) 2001-06-07 2004-05-27 Geoffrey Cooper Assessment tool
WO2002103960A2 (en) * 2001-06-14 2002-12-27 Okena, Inc. Stateful distributed event processing and adaptive security
US20020194490A1 (en) * 2001-06-18 2002-12-19 Avner Halperin System and method of virus containment in computer networks
JP3863739B2 (ja) * 2001-07-16 2006-12-27 矢崎総業株式会社 防水式低挿入力コネクタ
US7310817B2 (en) 2001-07-26 2007-12-18 Mcafee, Inc. Centrally managed malware scanning
US6980992B1 (en) * 2001-07-26 2005-12-27 Mcafee, Inc. Tree pattern system and method for multiple virus signature recognition
US20030023857A1 (en) * 2001-07-26 2003-01-30 Hinchliffe Alexander James Malware infection suppression
US6993660B1 (en) * 2001-08-03 2006-01-31 Mcafee, Inc. System and method for performing efficient computer virus scanning of transient messages using checksums in a distributed computing environment
US7296284B1 (en) * 2001-08-31 2007-11-13 Keen Personal Media, Inc. Client terminal for displaying ranked program listings based upon a selected rating source
GB0121497D0 (en) 2001-09-05 2001-10-24 Cryptic Software Ltd Network security
US7356736B2 (en) * 2001-09-25 2008-04-08 Norman Asa Simulated computer system for monitoring of software performance
US20030070088A1 (en) 2001-10-05 2003-04-10 Dmitry Gryaznov Computer virus names cross-reference and information method and system
US7107617B2 (en) * 2001-10-15 2006-09-12 Mcafee, Inc. Malware scanning of compressed computer files
US20030084323A1 (en) * 2001-10-31 2003-05-01 Gales George S. Network intrusion detection system and method
JP2003150594A (ja) 2001-11-12 2003-05-23 Hitachi Ltd データウェアハウスシステム
US20030101381A1 (en) * 2001-11-29 2003-05-29 Nikolay Mateev System and method for virus checking software
US6789201B2 (en) * 2001-12-20 2004-09-07 Networks Associates Technology, Inc. Anti-virus toolbar system and method for use with a network browser
US7415726B2 (en) * 2001-12-28 2008-08-19 Mcafee, Inc. Controlling access to suspicious files
US7269851B2 (en) * 2002-01-07 2007-09-11 Mcafee, Inc. Managing malware protection upon a computer network
US7152105B2 (en) 2002-01-15 2006-12-19 Mcafee, Inc. System and method for network vulnerability detection and reporting
US20030188194A1 (en) 2002-03-29 2003-10-02 David Currie Method and apparatus for real-time security verification of on-line services
WO2003090426A1 (en) * 2002-04-17 2003-10-30 Computer Associates Think, Inc. Detecting and countering malicious code in enterprise networks
US7370360B2 (en) * 2002-05-13 2008-05-06 International Business Machines Corporation Computer immune system and method for detecting unwanted code in a P-code or partially compiled native-code program executing within a virtual machine
US7409717B1 (en) * 2002-05-23 2008-08-05 Symantec Corporation Metamorphic computer virus detection
US20060041760A1 (en) * 2002-06-26 2006-02-23 Zezhen Huang Trusted computer activity monitoring and recording system and method
US20040006704A1 (en) 2002-07-02 2004-01-08 Dahlstrom Dale A. System and method for determining security vulnerabilities
KR100940202B1 (ko) * 2002-08-29 2010-02-10 삼성전자주식회사 일방향 함수를 사용하여 계층적으로 암호화하는 장치 및방법
US7509679B2 (en) 2002-08-30 2009-03-24 Symantec Corporation Method, system and computer program product for security in a global computer network transaction
US7263585B2 (en) * 2002-09-19 2007-08-28 Ip-First, Llc Store-induced instruction coherency mechanism
US7188173B2 (en) 2002-09-30 2007-03-06 Intel Corporation Method and apparatus to enable efficient processing and transmission of network communications
US8180051B1 (en) * 2002-10-07 2012-05-15 Cisco Technology, Inc Methods and apparatus for securing communications of a user operated device
US7437760B2 (en) * 2002-10-10 2008-10-14 International Business Machines Corporation Antiviral network system
US8046835B2 (en) * 2002-10-23 2011-10-25 Frederick S. M. Herz Distributed computer network security activity model SDI-SCAM
US7159149B2 (en) * 2002-10-24 2007-01-02 Symantec Corporation Heuristic detection and termination of fast spreading network worm attacks
US6907781B2 (en) 2002-11-05 2005-06-21 Snap-On Incorporated Wheel balancing system with integrated wheel lift, loaded mode testing, and wheel imaging system
US7343626B1 (en) 2002-11-12 2008-03-11 Microsoft Corporation Automated detection of cross site scripting vulnerabilities
US20040098419A1 (en) 2002-11-18 2004-05-20 International Business Machines Corporation Method and apparatus for a migration assistant
US7219239B1 (en) 2002-12-02 2007-05-15 Arcsight, Inc. Method for batching events for transmission by software agent
US7353533B2 (en) * 2002-12-18 2008-04-01 Novell, Inc. Administration of protection of data accessible by a mobile device
US8327442B2 (en) * 2002-12-24 2012-12-04 Herz Frederick S M System and method for a distributed application and network security system (SDI-SCAM)
US7013483B2 (en) * 2003-01-03 2006-03-14 Aladdin Knowledge Systems Ltd. Method for emulating an executable code in order to detect maliciousness
KR100509650B1 (ko) * 2003-03-14 2005-08-23 주식회사 안철수연구소 코드 삽입 기법을 이용한 악성 스크립트 감지 방법
US7529754B2 (en) * 2003-03-14 2009-05-05 Websense, Inc. System and method of monitoring and controlling application files
US20040193656A1 (en) * 2003-03-28 2004-09-30 Pizzo Michael J. Systems and methods for caching and invalidating database results and derived objects
GB2400933B (en) * 2003-04-25 2006-11-22 Messagelabs Ltd A method of, and system for, heuristically detecting viruses in executable code by detecting files which have been maliciously altered
GB2400932B (en) 2003-04-25 2005-12-14 Messagelabs Ltd A method of,and system for,heuristically determining that an unknown file is harmless by using traffic heuristics
US8201249B2 (en) 2003-05-14 2012-06-12 Northrop Grumman Systems Corporation Steady state computer intrusion and misuse detection
US8065725B2 (en) 2003-05-30 2011-11-22 Yuliang Zheng Systems and methods for enhanced network security
US8127356B2 (en) 2003-08-27 2012-02-28 International Business Machines Corporation System, method and program product for detecting unknown computer attacks
WO2005036339A2 (en) 2003-10-03 2005-04-21 Enterasys Networks, Inc. System and method for dynamic distribution of intrusion signatures
KR100845018B1 (ko) * 2003-10-28 2008-07-10 자이단호진 세이산기쥬츠켄큐쇼레이카이 인증 시스템 및 원격분산 보존 시스템
US7328456B1 (en) * 2003-11-19 2008-02-05 Symantec Corporation Method and system to detect dangerous file name extensions
US7069389B2 (en) 2003-11-26 2006-06-27 Microsoft Corporation Lazy flushing of translation lookaside buffers
CN1300982C (zh) * 2003-12-05 2007-02-14 中国科学技术大学 一种分层协同的网络病毒和恶意代码识别方法
US7461088B2 (en) 2003-12-15 2008-12-02 Apple Inc. Superset file browser
WO2005059720A1 (en) * 2003-12-17 2005-06-30 Telecom Italia S.P.A. Method and apparatus for monitoring operation of processing systems, related network and computer program product therefor
US7797733B1 (en) * 2004-01-08 2010-09-14 Symantec Corporation Monitoring and controlling services
US7555777B2 (en) * 2004-01-13 2009-06-30 International Business Machines Corporation Preventing attacks in a data processing system
US7506371B1 (en) * 2004-01-22 2009-03-17 Guardium, Inc. System and methods for adaptive behavior based access control
US7707634B2 (en) 2004-01-30 2010-04-27 Microsoft Corporation System and method for detecting malware in executable scripts according to its functionality
US7624119B2 (en) 2004-02-11 2009-11-24 International Business Machines Corporation Low-overhead built-in timestamp column for relational database systems
US7376970B2 (en) 2004-02-20 2008-05-20 Microsoft Corporation System and method for proactive computer virus protection
WO2005103895A1 (ja) * 2004-04-26 2005-11-03 Incorporated National University Iwate University コンピュータウィルス固有情報抽出装置、コンピュータウィルス固有情報抽出方法及びコンピュータウィルス固有情報抽出プログラム
US20060090073A1 (en) 2004-04-27 2006-04-27 Shira Steinberg System and method of using human friendly representations of mathematical values and activity analysis to confirm authenticity
US7814056B2 (en) 2004-05-21 2010-10-12 Computer Associates Think, Inc. Method and apparatus for data backup using data blocks
WO2005117336A1 (ja) * 2004-05-28 2005-12-08 Matsushita Electric Industrial Co., Ltd. 親子カード認証システム
US7694150B1 (en) * 2004-06-22 2010-04-06 Cisco Technology, Inc System and methods for integration of behavioral and signature based security
US7343624B1 (en) * 2004-07-13 2008-03-11 Sonicwall, Inc. Managing infectious messages as identified by an attachment
US7957372B2 (en) * 2004-07-22 2011-06-07 International Business Machines Corporation Automatically detecting distributed port scans in computer networks
US20060048224A1 (en) * 2004-08-30 2006-03-02 Encryptx Corporation Method and apparatus for automatically detecting sensitive information, applying policies based on a structured taxonomy and dynamically enforcing and reporting on the protection of sensitive data through a software permission wrapper
US20060080637A1 (en) 2004-10-12 2006-04-13 Microsoft Corporation System and method for providing malware information for programmatic access
JP4327698B2 (ja) * 2004-10-19 2009-09-09 富士通株式会社 ネットワーク型ウィルス活動検出プログラム、処理方法およびシステム
US7461339B2 (en) 2004-10-21 2008-12-02 Trend Micro, Inc. Controlling hostile electronic mail content
US7793338B1 (en) * 2004-10-21 2010-09-07 Mcafee, Inc. System and method of network endpoint security
US7831995B2 (en) 2004-10-29 2010-11-09 CORE, SDI, Inc. Establishing and enforcing security and privacy policies in web-based applications
US20060106761A1 (en) * 2004-10-29 2006-05-18 Parthasarathy Sarangam Remote detection of a fault condition of a management application using a networked device
US7540025B2 (en) * 2004-11-18 2009-05-26 Cisco Technology, Inc. Mitigating network attacks using automatic signature generation
US7509493B2 (en) 2004-11-19 2009-03-24 Microsoft Corporation Method and system for distributing security policies
US20060117055A1 (en) 2004-11-29 2006-06-01 John Doyle Client-based web server application verification and testing system
US7698744B2 (en) 2004-12-03 2010-04-13 Whitecell Software Inc. Secure system for allowing the execution of authorized computer program code
US7979889B2 (en) * 2005-01-07 2011-07-12 Cisco Technology, Inc. Methods and apparatus providing security to computer systems and networks
US7926029B1 (en) * 2005-01-13 2011-04-12 21St Century Systems, Inc. System and method of progressive domain specialization product solutions
EP1684151A1 (en) 2005-01-20 2006-07-26 Grant Rothwell William Computer protection against malware affection
US20060161856A1 (en) 2005-01-20 2006-07-20 International Business Machines Corporation Data collection tool for a computer
US20060190997A1 (en) * 2005-02-22 2006-08-24 Mahajani Amol V Method and system for transparent in-line protection of an electronic communications network
US8646080B2 (en) * 2005-09-16 2014-02-04 Avg Technologies Cy Limited Method and apparatus for removing harmful software
US8418226B2 (en) 2005-03-18 2013-04-09 Absolute Software Corporation Persistent servicing agent
US8171544B2 (en) * 2005-04-20 2012-05-01 Cisco Technology, Inc. Method and system for preventing, auditing and trending unauthorized traffic in network systems
US8438499B2 (en) 2005-05-03 2013-05-07 Mcafee, Inc. Indicating website reputations during user interactions
US7665143B2 (en) * 2005-05-16 2010-02-16 Microsoft Corporation Creating secure process objects
US20060265759A1 (en) * 2005-05-19 2006-11-23 Microsoft Corporation Systems and methods for identifying principals to control access to computing resources
US7660797B2 (en) * 2005-05-27 2010-02-09 Microsoft Corporation Scanning data in an access restricted file for malware
US20060272019A1 (en) * 2005-05-27 2006-11-30 Addepalli Srinivasa R Intelligent database selection for intrusion detection & prevention systems
US20060294588A1 (en) * 2005-06-24 2006-12-28 International Business Machines Corporation System, method and program for identifying and preventing malicious intrusions
US7877803B2 (en) * 2005-06-27 2011-01-25 Hewlett-Packard Development Company, L.P. Automated immune response for a computer
GB0513375D0 (en) 2005-06-30 2005-08-03 Retento Ltd Computer security
US8201253B1 (en) * 2005-07-15 2012-06-12 Microsoft Corporation Performing security functions when a process is created
US8272058B2 (en) 2005-07-29 2012-09-18 Bit 9, Inc. Centralized timed analysis in a network security system
US20070067842A1 (en) * 2005-08-08 2007-03-22 Greene Michael P Systems and methods for collecting files related to malware
US7712132B1 (en) * 2005-10-06 2010-05-04 Ogilvie John W Detecting surreptitious spyware
US7836500B2 (en) * 2005-12-16 2010-11-16 Eacceleration Corporation Computer virus and malware cleaner
US20090271867A1 (en) * 2005-12-30 2009-10-29 Peng Zhang Virtual machine to detect malicious code
US20070174429A1 (en) 2006-01-24 2007-07-26 Citrix Systems, Inc. Methods and servers for establishing a connection between a client system and a virtual machine hosting a requested computing environment
JP2007242002A (ja) 2006-02-10 2007-09-20 Mitsubishi Electric Corp ネットワーク管理装置及びネットワーク管理方法及びプログラム
US8448242B2 (en) 2006-02-28 2013-05-21 The Trustees Of Columbia University In The City Of New York Systems, methods, and media for outputting data based upon anomaly detection
US8347376B2 (en) 2006-03-06 2013-01-01 Cisco Technology, Inc. Techniques for distributing a new communication key within a virtual private network
US7926111B2 (en) 2006-03-17 2011-04-12 Symantec Corporation Determination of related entities
US8479174B2 (en) 2006-04-05 2013-07-02 Prevx Limited Method, computer program and computer for analyzing an executable computer file
WO2007117585A2 (en) * 2006-04-06 2007-10-18 Smobile Systems Inc. System and method for managing malware protection on mobile devices
US20070289019A1 (en) * 2006-04-21 2007-12-13 David Lowrey Methodology, system and computer readable medium for detecting and managing malware threats
US8528087B2 (en) * 2006-04-27 2013-09-03 Robot Genius, Inc. Methods for combating malicious software
US7921063B1 (en) 2006-05-17 2011-04-05 Daniel Quinlan Evaluating electronic mail messages based on probabilistic analysis
US7761912B2 (en) 2006-06-06 2010-07-20 Microsoft Corporation Reputation driven firewall
US8307444B1 (en) 2006-06-12 2012-11-06 Redseal Networks, Inc. Methods and apparatus for determining network risk based upon incomplete network configuration data
CN101512969B (zh) 2006-09-06 2011-10-05 网络通保安有限公司 推式更新***
US8042184B1 (en) 2006-10-18 2011-10-18 Kaspersky Lab, Zao Rapid analysis of data stream for malware presence
US7877795B2 (en) 2006-10-30 2011-01-25 At&T Intellectual Property I, Lp Methods, systems, and computer program products for automatically configuring firewalls
US7954143B2 (en) 2006-11-13 2011-05-31 At&T Intellectual Property I, Lp Methods, network services, and computer program products for dynamically assigning users to firewall policy groups
US8959568B2 (en) 2007-03-14 2015-02-17 Microsoft Corporation Enterprise security assessment sharing
US7840501B1 (en) 2007-07-12 2010-11-23 Mcafee, Inc. Behavioral analysis apparatus and associated method that utilizes a system selected based on a level of data
US7559086B2 (en) 2007-10-02 2009-07-07 Kaspersky Lab, Zao System and method for detecting multi-component malware
CN101350053A (zh) 2007-10-15 2009-01-21 北京瑞星国际软件有限公司 防止网页浏览器被漏洞利用的方法和装置
US7991726B2 (en) 2007-11-30 2011-08-02 Bank Of America Corporation Intrusion detection system alerts mechanism
CN100504904C (zh) 2007-12-25 2009-06-24 北京大学 一种Windows隐蔽性恶意软件检测方法
US20090178131A1 (en) 2008-01-08 2009-07-09 Microsoft Corporation Globally distributed infrastructure for secure content management
US9405555B2 (en) 2008-05-23 2016-08-02 Microsoft Technology Licensing, Llc Automated code splitting and pre-fetching for improving responsiveness of browser-based applications
US8272059B2 (en) 2008-05-28 2012-09-18 International Business Machines Corporation System and method for identification and blocking of malicious code for web browser script engines
US8234709B2 (en) 2008-06-20 2012-07-31 Symantec Operating Corporation Streaming malware definition updates
US8301904B1 (en) 2008-06-24 2012-10-30 Mcafee, Inc. System, method, and computer program product for automatically identifying potentially unwanted data as unwanted
CN101329711B (zh) 2008-07-24 2011-04-06 成都市华为赛门铁克科技有限公司 一种计算机文件检测的方法及装置
US8504504B2 (en) 2008-09-26 2013-08-06 Oracle America, Inc. System and method for distributed denial of service identification and prevention
US8347386B2 (en) 2008-10-21 2013-01-01 Lookout, Inc. System and method for server-coupled malware prevention
US9235704B2 (en) 2008-10-21 2016-01-12 Lookout, Inc. System and method for a scanning API
US9367680B2 (en) 2008-10-21 2016-06-14 Lookout, Inc. System and method for mobile communication device application advisement
IL195340A (en) 2008-11-17 2013-06-27 Shlomo Dolev Builds and detects malware signatures for executable codes on your computer
US20100169972A1 (en) 2008-12-31 2010-07-01 Microsoft Corporation Shared repository of malware data
US8850591B2 (en) 2009-01-13 2014-09-30 Mcafee, Inc. System and method for concept building
GB0909695D0 (en) 2009-06-05 2009-07-22 Maxymiser Ltd On page console
US8578175B2 (en) * 2011-02-23 2013-11-05 International Business Machines Corporation Secure object having protected region, integrity tree, and unprotected region
WO2011002818A1 (en) 2009-06-29 2011-01-06 Cyberdefender Corporation Systems and methods for operating an anti-malware network on a cloud computing platform
US8276202B1 (en) 2009-06-30 2012-09-25 Aleksandr Dubrovsky Cloud-based gateway security scanning
US8116732B2 (en) 2009-08-05 2012-02-14 Oto Technologies, Llc Routing mobile users to secure locations based on transaction type
US8443447B1 (en) 2009-08-06 2013-05-14 Trend Micro Incorporated Apparatus and method for detecting malware-infected electronic mail
US8336100B1 (en) 2009-08-21 2012-12-18 Symantec Corporation Systems and methods for using reputation data to detect packed malware
US8332946B1 (en) 2009-09-15 2012-12-11 AVG Netherlands B.V. Method and system for protecting endpoints
US8214903B2 (en) 2009-10-02 2012-07-03 International Business Machines Corporation Analysis of scripts
US8448243B1 (en) 2009-10-14 2013-05-21 Symantec Corporation Systems and methods for detecting unknown malware in an executable file
US8161060B2 (en) 2009-10-19 2012-04-17 The Frayman Group, Inc. Methods and systems for identifying, assessing and clearing conflicts of interest
US8640104B2 (en) 2009-12-08 2014-01-28 International Business Machines Corporation Computer method and apparatus for debugging in a dynamic computer language
US9002972B2 (en) 2010-01-29 2015-04-07 Symantec Corporation Systems and methods for sharing the results of computing operations among related computing systems
US8825601B2 (en) 2010-02-01 2014-09-02 Microsoft Corporation Logical data backup and rollback using incremental capture in a distributed database
US8407790B2 (en) 2010-02-09 2013-03-26 Webroot, Inc. Low-latency detection of scripting-language-based exploits
US8499283B2 (en) 2010-02-09 2013-07-30 Webroot Inc. Detection of scripting-language-based exploits using parse tree transformation
US8307435B1 (en) 2010-02-18 2012-11-06 Symantec Corporation Software object corruption detection
US8407795B2 (en) * 2010-05-18 2013-03-26 Ca, Inc. Systems and methods to secure backup images from viruses
US8352484B1 (en) 2010-07-02 2013-01-08 Symantec Corporation Systems and methods for hashing executable files
US20120017200A1 (en) 2010-07-16 2012-01-19 Fujitsu Limited Solving Hybrid Constraints to Validate a Security Software Module for Detecting Injection Attacks
TWI442260B (zh) 2010-11-19 2014-06-21 Inst Information Industry 伺服器、使用者裝置及其惡意程式偵測方法
WO2012071533A1 (en) 2010-11-24 2012-05-31 LogRhythm Inc. Advanced intelligence engine
US9413721B2 (en) 2011-02-15 2016-08-09 Webroot Inc. Methods and apparatus for dealing with malware
US9065826B2 (en) * 2011-08-08 2015-06-23 Microsoft Technology Licensing, Llc Identifying application reputation based on resource accesses

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040039921A1 (en) * 2000-10-17 2004-02-26 Shyne-Song Chuang Method and system for detecting rogue software
EP1315066A1 (en) * 2001-11-21 2003-05-28 BRITISH TELECOMMUNICATIONS public limited company Computer security system
US20030177394A1 (en) * 2001-12-26 2003-09-18 Dmitri Dozortsev System and method of enforcing executable code identity verification over the network
US20040153644A1 (en) * 2003-02-05 2004-08-05 Mccorkendale Bruce Preventing execution of potentially malicious software
US20050021994A1 (en) * 2003-07-21 2005-01-27 Barton Christopher Andrew Pre-approval of computer files during a malware detection
US20050086500A1 (en) * 2003-10-15 2005-04-21 International Business Machines Corporation Secure initialization of intrusion detection system
EP1549012A1 (en) * 2003-12-24 2005-06-29 DataCenterTechnologies N.V. Method and system for identifying the content of files in a network

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102737203A (zh) * 2012-07-13 2012-10-17 珠海市君天电子科技有限公司 一种基于程序父子基因关系的病毒防御方法及***
CN102737203B (zh) * 2012-07-13 2015-10-21 珠海市君天电子科技有限公司 一种基于程序父子基因关系的病毒防御方法及***
CN112569605A (zh) * 2020-12-28 2021-03-30 福建省天奕网络科技有限公司 一种检测android运行于修改器环境下的方法及其***

Also Published As

Publication number Publication date
EP2629232A3 (en) 2013-10-02
US20120278891A1 (en) 2012-11-01
US20150007327A1 (en) 2015-01-01
CN102176224B (zh) 2014-08-20
CN102096784A (zh) 2011-06-15
US20070016953A1 (en) 2007-01-18
GB0513375D0 (en) 2005-08-03
EP2629231A3 (en) 2013-09-04
US8418250B2 (en) 2013-04-09
WO2007003916A3 (en) 2007-05-24
EP2629232A2 (en) 2013-08-21
US20120278895A1 (en) 2012-11-01
US20220284094A1 (en) 2022-09-08
JP4936294B2 (ja) 2012-05-23
US11379582B2 (en) 2022-07-05
EP1899884A2 (en) 2008-03-19
EP2629231A2 (en) 2013-08-21
US8726389B2 (en) 2014-05-13
WO2007003916A2 (en) 2007-01-11
CN102096784B (zh) 2016-09-14
CN101213555B (zh) 2011-03-30
US8763123B2 (en) 2014-06-24
US20200401694A1 (en) 2020-12-24
JP2009500706A (ja) 2009-01-08
US10803170B2 (en) 2020-10-13
CN101213555A (zh) 2008-07-02

Similar Documents

Publication Publication Date Title
CN101213555B (zh) 用于处理恶意软件的方法和装置
CN109074452B (zh) 用于生成绊网文件的***和方法
CN103620613B (zh) 用于基于虚拟机监视器的反恶意软件安全的***和方法
CN101569129B (zh) 网络安全***和方法
CN101373502B (zh) 基于Win32平台下病毒行为的自动化分析***
CN103984891A (zh) 网络安全***和方法
KR101137128B1 (ko) 웜 봉쇄 방법
CN101901314A (zh) 反恶意软件处理中误报的检测和最小化
CN104517054A (zh) 一种检测恶意apk的方法、装置、客户端和服务器
Jarvis et al. Inside a targeted point-of-sale data breach
JP6095839B1 (ja) セキュリティ対策プログラム、ファイル追跡方法、情報処理装置、配信装置、及び管理装置
Hovmark et al. Towards Extending Probabilistic Attack Graphs with Forensic Evidence: An investigation of property list files in macOS
Irolla Formalization of Neural Network Applications to Secure 3D Mobile Applications
Siadati et al. DevPhish: Exploring Social Engineering in Software Supply Chain Attacks on Developers
Wang et al. Union under duress: understanding hazards of duplicate resource mismediation in android software supply chain
Squillero et al. Heuristics and Evolutionary Algorithms for Android Malware Signature Optimization
FAHIM A Critique of Android Malware Classification Systems
Xu Android ransomware trends and case studies: A reverse engineering approach
Barrera Securing decentralized software installation and updates
Halderman Investigating security failures and their causes: An analytic approach to computer security
Shahzad Utilizing Structural & In-execution PCB Information Analysis for Malware Detection on Linux based Smartphones & Computers
Namanya A Heuristic Featured Based Quantification Framework for Efficient Malware Detection. Measuring the Malicious intent of a file using anomaly probabilistic scoring and evidence combinational theory with fuzzy hashing for malware detection in Portable Executable files
Han Novel Techniques of Using Diversity in Software Security and Information Hiding
Slade Application Security
Burguera Hidalgo Behavior-based malware detection system for the Android platform

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
C56 Change in the name or address of the patentee

Owner name: WEIBULUTE SOLUTIONS CO., LTD.

Free format text: FORMER NAME: PREVX LTD.

CP01 Change in the name or title of a patent holder

Address after: Derby, England

Patentee after: Webroot solutions Ltd.

Address before: Derby, England

Patentee before: Prevx Ltd.

C41 Transfer of patent application or patent right or utility model
TR01 Transfer of patent right

Effective date of registration: 20160510

Address after: American Colorado

Patentee after: PREVX LTD.

Address before: Derby, England

Patentee before: Webroot solutions Ltd.