JP5963008B2 - コンピュータシステムの分析方法および装置 - Google Patents
コンピュータシステムの分析方法および装置 Download PDFInfo
- Publication number
- JP5963008B2 JP5963008B2 JP2013534222A JP2013534222A JP5963008B2 JP 5963008 B2 JP5963008 B2 JP 5963008B2 JP 2013534222 A JP2013534222 A JP 2013534222A JP 2013534222 A JP2013534222 A JP 2013534222A JP 5963008 B2 JP5963008 B2 JP 5963008B2
- Authority
- JP
- Japan
- Prior art keywords
- computer
- objects
- application
- dependency network
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Computer And Data Communications (AREA)
- Stored Programmes (AREA)
- Debugging And Monitoring (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Description
特定の入力オブジェクトに対して、この入力オブジェクトに依存する他のオブジェクトのすべての検索を行うこと、
入力オブジェクトのパスおよび検索で見つかった他のオブジェクトのすべて、およびそれらのオブジェクト間の関係を結果ファイルに格納すること、
それ以上の依存オブジェクトが見つからなくなるまで、それぞれの他のオブジェクトに対してこれらのステップを再帰的に繰り返すこと、および、
結果ファイル内のオブジェクトパスを正規化すること、
により特定されてもよい。
アプリケーションバイナリ証明書のチェックを行うこと、および
未知のローカルなアプリケーション依存関係ネットワークで特定されたオブジェクトに対してヒューリスティック分析を実行すること
のいずれか、または両方をさらに備えていてもよい。
%INSTALL_DIR% − は、アプリケーションがインストールされている正規化されたパスである。特定のコンピュータ上では、実際のインストールディレクトリ、例えば「c:\Program Files\Mozilla Firefox」に変換することができる。
%INSTALL_DIR%\firefox.exe
%INSTALL_DIR%\xul.dll
%INSTALL_DIR%\AccessibleMarshal.dll
%INSTALL_DIR%\application.ini
%USER_PROFILE%\Application Data\Mozilla\Firefox\
HKEY_CLASSES_ROOT\.htm\OpenWithList\firefox.exe
HKEY_CLASSES_ROOT\.xht
HKEY_CLASSES_ROOT\Applications\firefox.exe\s hell\open\command
(デフォルト値)、REG_SZ、 ”%INSTALL_DIR%\firefox.exe −requestPending −osint −url ”%1”
Claims (15)
- 各々が相互関連オブジェクトのセットを備える複数のアプリケーションがインストールされたコンピュータを分析する方法であって、
前記コンピュータのプロセッサにて、少なくとも1つの前記アプリケーションのローカルなアプリケーション依存関係ネットワークを特定するステップであって、前記ローカルなアプリケーション依存関係ネットワークは少なくとも前記相互関連オブジェクトのオブジェクトパスおよびオブジェクト間の関係のセットを備える、ステップと、
前記コンピュータと通信する中央サーバーのプロセッサにて、前記ローカルなアプリケーション依存関係ネットワークに関連付けられた前記アプリケーションが既知であるかどうかを判断するために、前記ローカルなアプリケーション依存関係ネットワークを既知のアプリケーション依存関係ネットワークのデータベースと比較するステップと、
前記コンピュータの前記プロセッサにて、前記コンピュータ内のマルウェアおよび/またはオーファンオブジェクトを特定するために前記比較の結果を使用するステップと
を備える方法。 - 前記相互関連オブジェクトは、実行可能ファイル、データファイル、レジストリキー、レジストリ値、レジストリデータ、および起動ポイントのうちの1つまたは複数を有する請求項1に記載の方法。
- 前記コンピュータの前記プロセッサにて、ローカルなアプリケーション依存関係ネットワークの前記相互関連オブジェクトのオブジェクトパスを特定するステップと、前記コンピュータの前記プロセッサにて、前記特定されたパスをシステム非依存にするために正規化するステップとを更に備える請求項1または2に記載の方法。
- ローカルなアプリケーション依存関係ネットワークの前記相互関連オブジェクトのオブジェクトパスは、前記コンピュータでアプリケーションのインストールプログラムが起動されたときに、前記コンピュータの前記プロセッサにて、活動を追跡することにより特定される請求項1〜3のいずれか1項に記載の方法。
- ローカルなアプリケーション依存関係ネットワークの前記相互関連オブジェクトのオブジェクトパスは、前記コンピュータで前記アプリケーションのインストール前後にシステムのスナップショットを取得し、前記2つのスナップショット間の違いを前記コンピュータの前記プロセッサにて特定することにより特定される請求項1〜3のいずれか1項に記載の方法。
- ローカルなアプリケーション依存関係ネットワークは、
1)前記コンピュータの前記プロセッサにて、特定の入力オブジェクトに対して、前記入力オブジェクトに依存する他のすべてのオブジェクトの検索を行うステップと、
2)前記入力オブジェクトのパスおよび前記検索で見つかった他のすべてのオブジェクトのパス、並びにそれらのオブジェクト間の関係を前記コンピュータ内の結果ファイルに格納するステップと、
3)さらなる依存オブジェクトが見つからなくなるまで、それぞれの他のオブジェクトに対して再帰的に前記ステップ1)および前記ステップ2)を繰り返すステップと、
4)前記結果ファイル内の前記入力オブジェクトおよび前記検索で見つかった他のオブジェクトのパスを前記コンピュータの前記プロセッサにて正規化するステップと
により特定される請求項1〜5のいずれか1項に記載の方法。 - 前記既知のアプリケーション依存関係ネットワークの前記データベースは、1以上のコンピュータでの既知のアプリケーションのインストールを前記中央サーバーの前記プロセッサで監視して、これらの既知のアプリーションに対応するアプリケーション依存関係ネットワークをキャプチャすることにより設定される請求項1〜6のいずれか1項に記載の方法。
- 前記既知のアプリケーション依存関係ネットワークの前記データベースは、分散クライアントベースのローカルシステムからアプリケーション依存関係ネットワークを前記中央サーバーの前記プロセッサで収集することにより設定される請求項1〜6のいずれか1項に記載の方法。
- 前記比較するステップで判明した未知のアプリケーションに対応する未知のローカルなアプリケーション依存関係ネットワークに対して、前記コンピュータの前記プロセッサにて、前記未知のローカルなアプリケーション依存関係ネットワークに属するオブジェクトのさらなるマルウェアのスキャンを行うステップを更に含む請求項1〜8のいずれか1項に記載の方法。
- 前記さらなるマルウェアのスキャンは、
前記コンピュータの前記プロセッサにて、アプリケーションバイナリ証明書のチェックを行うステップ、および
前記コンピュータの前記プロセッサにて、前記未知のローカルなアプリケーション依存関係ネットワークで特定されたオブジェクトに対してヒューリスティック分析を実行するステップ
のいずれかまたは両方のステップと、
前記アプリケーションが悪意のあることが判明した場合、前記コンピュータの前記プロセッサにて、前記未知のローカルなアプリケーション依存関係ネットワークで特定された前記オブジェクトを前記コンピュータから除去するか、別な方法で安全にするステップと
を含む請求項9に記載の方法。 - 前記さらなるマルウェアのスキャンの後に正規品であることが判明した未知のローカルなアプリケーションの前記ローカルなアプリケーション依存関係ネットワークは、前記中央サーバーの前記プロセッサにて、前記既知のアプリケーション依存関係ネットワークの前記データベースに入力される請求項9または10に記載の方法。
- 前記さらなるマルウェアのスキャンは、
前記コンピュータの前記プロセッサにて、アプリケーションバイナリ証明書のチェックを行うステップ、および
前記コンピュータの前記プロセッサにて、前記未知のローカルなアプリケーション依存関係ネットワークで特定されたオブジェクトに対してヒューリスティック分析を実行するステップ
のいずれかまたは両方のステップと、
前記アプリケーションが悪意のあることが判明した場合、前記コンピュータの前記プロセッサにて、他の既知のアプリケーション依存関係ネットワークと共有されたオブジェクトを除いて、前記未知のローカルなアプリケーション依存関係ネットワークで特定された前記オブジェクトを前記コンピュータから除去するか、別な方法で安全にするステップと
を備える請求項9に記載の方法。 - 各々が相互関連オブジェクトのセットを備える複数のアプリケーションがインストールされたコンピュータに記憶可能であって、前記コンピュータを、
前記コンピュータにインストールされた少なくとも1つのアプリケーションについてのローカルなアプリケーション依存関係ネットワークを特定するための手段であって、前記ローカルなアプリケーション依存関係ネットワークは少なくとも前記相互関連オブジェクトのオブジェクトパスおよびオブジェクト間の関係のセットを備える、特定するための手段と、
前記ローカルなアプリケーション依存関係ネットワークを既知のアプリケーション依存関係ネットワークのデータベースと比較した結果である、前記ローカルなアプリケーション依存関係ネットワークに関連付けられた前記アプリケーションが既知であるかどうかを示す結果を、前記コンピュータと通信する中央サーバーから得るための手段と、
前記コンピュータ内のマルウェアおよび/またはオーファンオブジェクトを特定するために前記比較の結果を使用するための手段と
して機能させるためのコンピュータプログラム。 - 各々が相互関連オブジェクトのセットを備える複数のアプリケーションがインストールされたクライアントコンピュータであって、
前記クライアントコンピュータにインストールされた少なくとも1つのアプリケーションについてのローカルなアプリケーション依存関係ネットワークを特定するためのシステムスキャナであって、前記ローカルなアプリケーション依存関係ネットワークは少なくとも相互関連オブジェクトのオブジェクトパスおよびオブジェクト間の関係のセットを備える、システムスキャナと、
前記ローカルなアプリケーション依存関係ネットワークに関連付けられた前記アプリケーションが既知であるかどうかを判断するために、前記ローカルなアプリケーション依存関係ネットワークを既知のアプリケーション依存関係ネットワークのデータベースと比較した結果を得るための結果ハンドラと、
前記クライアントコンピュータ内のマルウェアおよび/またはオーファンオブジェクトを特定するために前記比較の前記結果を使用するためのポリシングユニットと
を備えるクライアントコンピュータ。 - 多数のクライアントコンピュータにサービスを提供するためのサーバー・コンピュータ・システムであって、
既知のアプリケーション依存関係ネットワークのデータベースであって、各アプリケーション依存関係ネットワークが相互関連オブジェクトのオブジェクトパスおよびオブジェクト間の関係を含む、データベースと、
前記クライアントコンピュータの1つまたは複数からローカルなアプリケーション依存関係ネットワークを受信するための受信機と、
前記ローカルなアプリケーションが既知であるかどうかを判断するために、前記データベース内の前記既知のアプリケーション依存関係ネットワークに対して、前記受信したローカルなアプリケーション依存関係ネットワークを比較するための依存関係ネットワークコンパレータと、
前記クライアントコンピュータそれぞれに前記比較の結果を送信するための送信機と
を備えるサーバー・コンピュータ・システム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US12/925,482 US20120102569A1 (en) | 2010-10-21 | 2010-10-21 | Computer system analysis method and apparatus |
US12/925,482 | 2010-10-21 | ||
PCT/EP2011/065479 WO2012052221A1 (en) | 2010-10-21 | 2011-09-07 | Computer system analysis method and apparatus |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2013543624A JP2013543624A (ja) | 2013-12-05 |
JP5963008B2 true JP5963008B2 (ja) | 2016-08-03 |
Family
ID=44583060
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013534222A Active JP5963008B2 (ja) | 2010-10-21 | 2011-09-07 | コンピュータシステムの分析方法および装置 |
Country Status (7)
Country | Link |
---|---|
US (1) | US20120102569A1 (ja) |
EP (1) | EP2630604A1 (ja) |
JP (1) | JP5963008B2 (ja) |
CN (1) | CN103180863B (ja) |
AU (1) | AU2011317734B2 (ja) |
BR (1) | BR112013009440A2 (ja) |
WO (1) | WO2012052221A1 (ja) |
Families Citing this family (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8776235B2 (en) * | 2012-01-10 | 2014-07-08 | International Business Machines Corporation | Storage device with internalized anti-virus protection |
US9043914B2 (en) | 2012-08-22 | 2015-05-26 | International Business Machines Corporation | File scanning |
US9135140B2 (en) * | 2012-11-30 | 2015-09-15 | Lenovo Enterprise Solutions (Singapore) Pte. Ltd. | Identifying software responsible for a change in system stability |
WO2014143012A1 (en) | 2013-03-15 | 2014-09-18 | Mcafee, Inc. | Remote malware remediation |
US9311480B2 (en) | 2013-03-15 | 2016-04-12 | Mcafee, Inc. | Server-assisted anti-malware client |
WO2014142986A1 (en) * | 2013-03-15 | 2014-09-18 | Mcafee, Inc. | Server-assisted anti-malware client |
US20150222508A1 (en) * | 2013-09-23 | 2015-08-06 | Empire Technology Development, Llc | Ubiquitous computing (ubicomp) service detection by network tomography |
CN103902902A (zh) * | 2013-10-24 | 2014-07-02 | 哈尔滨安天科技股份有限公司 | 一种基于嵌入式***的Rootkit检测方法及*** |
US9256738B2 (en) * | 2014-03-11 | 2016-02-09 | Symantec Corporation | Systems and methods for pre-installation detection of malware on mobile devices |
US20170249229A1 (en) * | 2014-11-20 | 2017-08-31 | Hewlett Packard Enterprise Development Lp | Query a hardware component for an analysis rule |
RU2606883C2 (ru) * | 2015-03-31 | 2017-01-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ открытия файлов, созданных уязвимыми приложениями |
US9767291B2 (en) * | 2015-10-06 | 2017-09-19 | Netflix, Inc. | Systems and methods for security and risk assessment and testing of applications |
US10769113B2 (en) * | 2016-03-25 | 2020-09-08 | Microsoft Technology Licensing, Llc | Attribute-based dependency identification for operation ordering |
JP2018109910A (ja) | 2017-01-05 | 2018-07-12 | 富士通株式会社 | 類似度判定プログラム、類似度判定方法および情報処理装置 |
JP6866645B2 (ja) | 2017-01-05 | 2021-04-28 | 富士通株式会社 | 類似度判定プログラム、類似度判定方法および情報処理装置 |
KR101804139B1 (ko) * | 2017-02-15 | 2017-12-05 | 김진원 | 키워드 기반 데이터 관리 시스템 및 방법 |
US10365910B2 (en) * | 2017-07-06 | 2019-07-30 | Citrix Systems, Inc. | Systems and methods for uninstalling or upgrading software if package cache is removed or corrupted |
US11449605B2 (en) * | 2020-04-13 | 2022-09-20 | Capital One Services, Llc | Systems and methods for detecting a prior compromise of a security status of a computer system |
CN112527543A (zh) * | 2020-10-27 | 2021-03-19 | 百果园技术(新加坡)有限公司 | 客户端启动异常处理方法、装置、电子设备和存储介质 |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8458805B2 (en) * | 2003-06-23 | 2013-06-04 | Architecture Technology Corporation | Digital forensic analysis using empirical privilege profiling (EPP) for filtering collected data |
US7478237B2 (en) * | 2004-11-08 | 2009-01-13 | Microsoft Corporation | System and method of allowing user mode applications with access to file data |
GB0513375D0 (en) * | 2005-06-30 | 2005-08-03 | Retento Ltd | Computer security |
US8307355B2 (en) * | 2005-07-22 | 2012-11-06 | International Business Machines Corporation | Method and apparatus for populating a software catalogue with software knowledge gathering |
US20080201705A1 (en) * | 2007-02-15 | 2008-08-21 | Sun Microsystems, Inc. | Apparatus and method for generating a software dependency map |
US8255993B2 (en) * | 2008-06-23 | 2012-08-28 | Symantec Corporation | Methods and systems for determining file classifications |
US8931086B2 (en) * | 2008-09-26 | 2015-01-06 | Symantec Corporation | Method and apparatus for reducing false positive detection of malware |
US8347386B2 (en) * | 2008-10-21 | 2013-01-01 | Lookout, Inc. | System and method for server-coupled malware prevention |
US8572740B2 (en) * | 2009-10-01 | 2013-10-29 | Kaspersky Lab, Zao | Method and system for detection of previously unknown malware |
-
2010
- 2010-10-21 US US12/925,482 patent/US20120102569A1/en not_active Abandoned
-
2011
- 2011-09-07 WO PCT/EP2011/065479 patent/WO2012052221A1/en active Application Filing
- 2011-09-07 AU AU2011317734A patent/AU2011317734B2/en not_active Ceased
- 2011-09-07 BR BR112013009440A patent/BR112013009440A2/pt not_active Application Discontinuation
- 2011-09-07 EP EP11752552.7A patent/EP2630604A1/en not_active Ceased
- 2011-09-07 JP JP2013534222A patent/JP5963008B2/ja active Active
- 2011-09-07 CN CN201180050706.3A patent/CN103180863B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
EP2630604A1 (en) | 2013-08-28 |
WO2012052221A1 (en) | 2012-04-26 |
BR112013009440A2 (pt) | 2017-03-07 |
CN103180863A (zh) | 2013-06-26 |
AU2011317734B2 (en) | 2014-09-25 |
JP2013543624A (ja) | 2013-12-05 |
AU2011317734A1 (en) | 2013-04-04 |
US20120102569A1 (en) | 2012-04-26 |
CN103180863B (zh) | 2016-10-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5963008B2 (ja) | コンピュータシステムの分析方法および装置 | |
EP3814961B1 (en) | Analysis of malware | |
CN109583193B (zh) | 目标攻击的云检测、调查以及消除的***和方法 | |
CN109684832B (zh) | 检测恶意文件的***和方法 | |
EP3420489B1 (en) | Cybersecurity systems and techniques | |
RU2551820C2 (ru) | Способ и устройство для проверки файловой системы на наличие вирусов | |
US8590045B2 (en) | Malware detection by application monitoring | |
US9715589B2 (en) | Operating system consistency and malware protection | |
JP6644001B2 (ja) | ウイルス処理方法、装置、システム、機器及びコンピュータ記憶媒体 | |
JP5976020B2 (ja) | アンチマルウェアメタデータのルックアップを行うためのシステム及び方法 | |
US9111094B2 (en) | Malware detection | |
CN103390130B (zh) | 基于云安全的恶意程序查杀的方法、装置和服务器 | |
WO2012107255A1 (en) | Detecting a trojan horse | |
US8656494B2 (en) | System and method for optimization of antivirus processing of disk files | |
US8925085B2 (en) | Dynamic selection and loading of anti-malware signatures | |
US8448243B1 (en) | Systems and methods for detecting unknown malware in an executable file | |
US8726377B2 (en) | Malware determination | |
US11188644B2 (en) | Application behaviour control | |
WO2012143594A1 (en) | Anti-virus scanning |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140821 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150724 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150804 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20151030 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160115 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160517 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160615 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5963008 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |