[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

CN1147795C - 检测和清除已知及未知计算机病毒的方法、系统 - Google Patents

检测和清除已知及未知计算机病毒的方法、系统

Info

Publication number
CN1147795C
CN1147795C CNB011177268A CN01117726A CN1147795C CN 1147795 C CN1147795 C CN 1147795C CN B011177268 A CNB011177268 A CN B011177268A CN 01117726 A CN01117726 A CN 01117726A CN 1147795 C CN1147795 C CN 1147795C
Authority
CN
China
Prior art keywords
virus
simulation
computer
bait
virtual
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
CNB011177268A
Other languages
English (en)
Other versions
CN1314638A (zh
Inventor
唐昭妙
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing net an Technology Limited by Share Ltd
Original Assignee
RUIXING SCIENCE AND TECHNOLOGY Co Ltd BEIJING
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by RUIXING SCIENCE AND TECHNOLOGY Co Ltd BEIJING filed Critical RUIXING SCIENCE AND TECHNOLOGY Co Ltd BEIJING
Priority to CNB011177268A priority Critical patent/CN1147795C/zh
Priority to EP01121848A priority patent/EP1253501A3/en
Priority to US09/963,359 priority patent/US20020162015A1/en
Publication of CN1314638A publication Critical patent/CN1314638A/zh
Priority to JP2001345236A priority patent/JP2002342106A/ja
Application granted granted Critical
Publication of CN1147795C publication Critical patent/CN1147795C/zh
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/565Static detection by checking file integrity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Measuring Or Testing Involving Enzymes Or Micro-Organisms (AREA)
  • Investigating Or Analysing Biological Materials (AREA)

Abstract

检测和清除计算机病毒的方法、系统,包括:计算机模拟步骤,模拟计算机环境;提供多个病毒感染对象,即诱饵;装入待检测对象到模拟计算机环境中并激活,以诱发病毒感染,并生成感染后的标准样本;将感染对象与原始感染对象进行比较分析,判断有无病毒;病毒分析和学习步骤,对标准样本进行分析,并提取关于病毒的信息和知识;病毒清除步骤,清除病毒体并修正病毒修改过的关键信息来清除病毒病毒分析和学习步骤,在有病毒时对生成的标准样本进行分析并提取关于病毒的信息和知识;和病毒清除步骤,根据所述关于病毒的信息和知识和诱饵的改变,进行相应的清除病毒体并修正改病毒修改过的关键信息从而清除病毒。可有效检测杀除已知和未知病毒。

Description

检测和清除已知及未知计算机病毒的方法、系统
技术领域
本发明涉及一种检测和清除(即查杀)计算机病毒的技术,特别是一种能检测和杀除未知病毒的方法,以及采用这种方法的计算机系统。
背景技术
长期以来,计算机病毒成为困扰使用计算机的人们的一个重大问题。由于病毒的感染性、自我复制性和破坏性,计算机病毒已经威胁到了人们对计算机的正常使用,如造成数据丢失、篡改、文件损坏、软件破坏等。人们经常使用各种各样的杀毒软件来检测和杀除这些病毒。
目前使用的杀病毒软件大都只能检测和杀除已知类型的病毒,也就是,对于已知的各种类型的病毒,已知其特征码,通过对可能带毒的文件进行检测,寻找病毒特征码,如找到相应病毒的特征码,则判断有病毒,进而进行杀毒。这种方法,不能检测到未知类型的病毒。只有在新的病毒被发现并被病毒分析员分析后,才能取得该新病毒的特征码。将这种新的病毒特征码加入到现有的杀毒软件中,才能识别和检测出新的病毒。
自从计算机病毒出现以来,查病毒主要是通过特征值扫描法,即在捕捉到一个病毒后,反病毒人员从病毒的程序体中提取一串或多串特征码,作为该病毒的特征值,查毒软件根据文件中是否含有病毒的特征值,来判断该文件是否带病毒。虽然十几年来,查毒技术有了一定的改进,但特征值扫描法作为查毒软件的基础并未动摇。特征值扫描法(即查毒软件)的最大缺陷是:只有先捕捉到一个病毒并被病毒分析员分析提出病毒特征码加入病毒特征库,然后查毒软件才能查出该病毒,即查毒软件总是落后于病毒,病毒一定要让病毒分析员分析。
目前已知的能够检测未知病毒的杀毒技术例如有广谱查毒、启发式查毒等等,它们是用足够多的经典的病毒特征码,有的还用虚拟机运行待查毒对象的部分代码,运用经验值来判断该待查毒对象可能有毒或判断该待查毒对象里有可疑代码。例如,国内外一些反病毒公司推出了查未知病毒的方法,这些方法都是基于一种思想,总结一些病毒攻击计算机常用的方法,比如写盘,写文件等,然后从查毒对象中查找这些特征,实际这就是行为特征描述。这种方法有的称为诱导式查毒方法,有的称为启发式查毒方法。这种方法可以发现一些未知的病毒,起到警报的作用,但是效果很差,误报率和漏报率都非常高。这有两方面的原因,一是病毒攻击的方法多种多样,很难一一列举,二是病毒采用的攻击方法对于系统来说都是合法的,有很多工具性软件也有同样的行为,很难鉴别。使用这种方法查毒对于用户来说,能查到一些未知病毒,并提醒用户注意,但由于误报率比较高,也给用户带来不必要的恐慌,而且最为重要的一点,它无法杀毒,如果真的被病毒攻击,也只能停机等待杀毒软件的升级。而且这种方法不能确定待查毒对象是否有毒只能说可能有毒。到目前为止,世界上还没有能杀未知病毒的反病毒产品也没有不用病毒特征库(数据库或代码库)能杀已知病毒的反病毒产品。
发明内容
针对上述现有的杀毒软件技术中的问题,本发明的目的在于提供一种能有效检测和清除出已知及未知病毒的方法、系统,它利用病毒的基本特性:感染性,来检测出病毒的存在,从而能从根本上解决检测未知病毒的问题,它能检测出绝大多数已知和未知病毒的存在,进而加以杀除。从根本上改变十几年来每种病毒都必须由人工分析后才能查杀的事实。有了该发明,就使未知病毒能被及时的发现并清除,大大的减轻了病毒对信息及数据破坏的可能性;绝大多数已知和未知病毒的查杀不再需要人工分析,从而节省大量人力和财力。
本发明提供一种检测和清除计算机病毒的方法,包括以下步骤:计算机模拟步骤,在一台计算机上模拟一个计算机病毒赖以生存的虚拟计算机环境;提供多个计算机病毒可能感染的感染对象,即诱饵,用于诱发病毒感染;装入待检测对象到所述模拟的计算机环境中;在所述模拟的计算机环境中激活该待检测对象,以诱发附在所述待测对象上的病毒对所述多个感染对象进行感染,并生成感染后的标准样本;将运行后的所述多个感染对象与原始提供的多个感染对象进行比较分析,判断有无改变,如有改变,判断所述待检测对象带有病毒;如无改变,判断其没有病毒;病毒分析和学习步骤,用于在所述病毒判断步骤判断有病毒时,对生成的标准样本进行分析,并从标准样本中提取关于病毒的信息和知识;病毒清除步骤,用于根据所述关于病毒的信息和知识,根据病毒对所述感染对象即诱饵的改变,对所述带病毒的待检测对象进行相应的清除病毒体和修正改病毒修改过的关键信息从而清除病毒。
本发明还提供一种检测和清除计算机病毒的计算机系统,包括一普通的计算机,该系统包括:计算机模拟单元,在一台计算机上模拟一个计算机病毒赖以生存的虚拟计算机环境;多个计算机病毒可能感染的感染对象,即诱饵,用于诱发病毒感染;控制单元,用于装入待检测对象到所述模拟的计算机环境中;病毒感染诱发单元,用于在所述模拟的计算机环境中激活该待检测对象,以诱发附在所述待测对象上的病毒对所述多个感染对象进行感染,并生成感染后的标准样本;病毒判断单元,用于将运行后的所述多个感染对象与原始提供的多个感染对象进行比较分析,判断有无改变,如有改变,判断所述待检测对象带有病毒;如无改变,判断其没有病毒;病毒分析和学习机,用于在所述病毒判断步骤判断有病毒时,对生成的标准样本进行分析,并从标准样本中提取关于病毒的信息和知识;病毒清除单元,用于根据所述关于病毒的信息和知识,根据病毒对所述感染对象即诱饵的改变,对所述带病毒的待检测对象进行相应的清除病毒体和修正改病毒修改过的关键信息从而清除病毒。
本发明还提供一种检测计算机病毒的方法,包括以下步骤:计算机模拟步骤,在一台计算机上模拟一个计算机病毒赖以生存的虚拟计算机环境;提供多个计算机病毒可能感染的感染对象,即诱饵,用于诱发病毒感染;装入待检测对象到所述模拟的计算机环境中;在所述模拟的计算机环境中激活该待检测对象,以诱发附在所述待测对象上的病毒对所述多个感染对象进行感染,并生成感染后的标准样本;将运行后的所述多个感染对象与原始提供的多个感染对象进行比较分析,判断有无改变,如有改变,判断所述待检测对象带有病毒;如无改变,判断其没有病毒。
本发明还提供一种检测计算机病毒的计算机系统,包括一普通的计算机,该系统包括:计算机模拟单元,在一台计算机上模拟一个计算机病毒赖以生存的虚拟计算机环境;多个计算机病毒可能感染的感染对象,即诱饵,用于诱发病毒感染;控制单元,用于装入待检测对象到所述模拟的计算机环境中;病毒感染诱发单元,用于在所述模拟的计算机环境中激活该待检测对象,以诱发附在所述待测对象上的病毒对所述多个感染对象进行感染,并生成感染后的标准样本;病毒判断单元,用于将运行后的所述多个感染对象与原始提供的多个感染对象进行比较分析,判断有无改变,如有改变,判断所述待检测对象带有病毒;如无改变,判断其没有病毒。
附图说明
图1示出了本发明的检测和清除计算机病毒的计算机系统的结构框图。
图2A-2C示出了本发明的检测和清除计算机病毒的方法的工作流程图。
具体实施方式计算机病毒之所以被称为病毒,主要是它具有感染性,因此感染性是病毒最本质的特征。如果一个程序具有感染性,就可断定其带有病毒。通过识别一个程序是否具有感染性判断该程序是否被病毒感染,是识别病毒最有效方法。但是,由于病毒具有感染性,要验证它具有感染性,就意味着它要感染某个对象,如果是在真实的环境下进行,这意味着查毒同时,病毒一直在传播,显然不能在真实的环境下进行。验证待查对象是否具有感染性,只能在虚拟环境中进行。
本发明就是利用上述病毒的感染性,把可能带毒的对象放入一个病毒赖以生存繁殖的虚拟的计算机环境里并激活可能带毒的对象,用诱饵来诱发其感染。并且,由于各种病毒可能会有一定的感染条件,如有的病毒会对目标对象的尺寸、内容等等有一定的要求,因此,本发明提供各种各样的“诱饵”,包括各种各样的不同大小不同内容的诱饵对象,如用format.com、sort.com等文件诱发DOS com型病毒;用debug.exelable.exe等文件诱发DOS exe型病毒;用模拟的软盘引导扇、硬盘一引导扇区、硬盘主引导扇区诱发DOS boot型病毒;用not epad.exe、word.exe等文件诱发WINDOWS pe型病毒;等等。以不同的诱饵对象尽量满足病毒对目标对象的要求。
本发明是指虚拟环境的病毒繁殖—查杀病毒新技术,该技术归属于行为结果查杀毒范畴。本发明用虚拟环境模仿一个真实计算机环境,实现病毒的生存繁殖及传播的全部过程。同时监控病毒的生存繁殖及传播这一过程,并学习病毒的感染方法,进一步推导出病毒感染的逆过程即杀毒方法。具体步骤是如下:第一步,建立一个病毒赖以生存繁殖的虚拟环境,把待查毒的对象也放到该环境里;第二步激活可能带毒的对象,如果待查毒的对象真带毒的话,该虚拟计算机环境也成了带毒环境。对虚拟环境里的诱饵进行各种操作,尽最大努力让病毒感染诱饵。也就是在虚拟环境里做病毒感染繁殖试验,如果诱饵被病毒感染了,说明待查毒的对象真的带毒,被病毒感染的诱饵便成了一个标准样本;第三步,如果上一步感染繁殖试验成功,就用程序来分析标准样本(而不是病毒分析员),并从标准样本中提出查杀该病毒所需的尽可能多的信息。第四步,把程序分析标准样本得到的信息应用到带毒对象上,进一步把病毒给清除。
图1具体示出了按照本发明的优选实施例的检测未知病毒的计算机系统的构成方框图。如图1所示,在一个普通的计算机系统1中,装有一个可由该计算机执行的本发明的查杀毒单元2。该计算机1中可以带有通常的CPU、内存、操作系统(OS)、外部存储设备(硬盘、软盘等)(图中未示出)。该查杀毒单元2的整个程序由计算机1的CPU中执行。该计算机系统中还包括一待查毒对象19,它可以是计算机2的硬盘、软盘中的文件,硬盘、软盘的引导扇区,以及从互联网下载和传输的文件或数据等可能带毒的对象。
如图1所示,所述查杀毒单元2包括一查毒控制单元3,用于输入待查毒对象19到模拟的计算机环境中,并控制查毒处理各单元的整个过程;一计算机模拟单元4,又称虚拟计算机,用于生成一个完整的模拟计算机系统,作为病毒赖以生存繁殖传播的虚拟环境,该生成的模拟计算机系统可以包括虚拟的CPU5、虚拟内存6、虚拟的操作系统(OS)7、虚拟的外部存储设备8(硬盘、软盘等)及其它病毒生存繁殖传播所需的系统资源的部分9,如系统时间等;一个或多个标准诱饵11(即计算机病毒可能感染的感染对象),用于诱发病毒感染;一病毒感染诱发单元10,用于将所述待查毒对象19装入到所述虚拟计算机4中进行运行,并用所述标准诱饵11来诱发待查毒对象19可能带有的病毒对这些标准诱饵11以及诱发病毒对所述模拟计算机环境本身中的模拟硬盘、模拟软盘的引导扇区等部分的感染,并生成感染后的标准样本13;一病毒比较判断单元12,用于检查在诱发病毒前后所述模拟计算机环境本身中的模拟硬盘、模拟软盘的引导扇区等部分有无改变,以及将所述感染后的标准样本13与感染前的标准诱饵11进行比较,检查有无改变,如有改变,则判断为该待查毒对象19带病毒,如无改变,则认为无病毒18。
所述查杀毒单元2的杀毒部分包括一杀毒控制单元17,用于控制杀毒毒处理各单元的整个过程;一病毒分析学习单元14,用于根据所述标准诱饵11和感染病毒后生成的标准样本13来分析病毒感染所造成的改变,并学习关于该病毒的知识;一病毒清除单元15,用于根据所述病毒分析学习单元14生成的关于病毒的知识,有针对性地杀除病毒,并产生清除病毒后的对象16。该清除病毒后的对象16可以由所述杀毒控制单元17覆盖到输入的待杀毒对象19上,以消除病毒的存在。
按照本发明的一个实施例,上述查毒控制单元2和杀毒控制单元17可以合并为一个控制单元,以控制上述查毒和杀毒的整个过程。
所述计算机模拟单元4生成的虚拟计算机环境包括虚拟机(虚拟的CPU)5、虚拟的操作系统7、虚拟的计算机外部存储设备8、虚拟的物理内存6等,总之病毒生存所需的一切计算机资源都被模拟出来;可能带毒的对象是指理论上说可能被病毒感染的对象。在适当的条件下把可能带毒的对象放到病毒赖以生存的虚拟环境里并在此环境虚拟激活。
所述虚拟CPU5又称softcpu()(软件实施或模拟的CPU)。softcpu()就是一个真实CPU指令解释器。softcpu()对程序是解释执行的,就象是一个真正的CPU,能读懂每一句程序代码并正确解释执行。理论上讲,只要真实CPU能执行的代码softcpu()就能执行,只要真实CPU能执行的程序,softcpu()也能解释执行下去;只要真实CPU认识的指令,softcpu()也将认识,softcpu()按照真实CPU处在这种状态会怎么做,那softcpu()也照样去做。不过真实CPU操作的所有对象(例如:BIOS芯片、磁盘)是真实的对象,而softcpu()操作的所有对象(例如:BIOS芯片、磁盘)都是虚拟的对象。
另外,softcpu()只是解释真实CPU指令的一个函数而已,可以用汇编语言、C语言或其它语言写。为了可移植性及可维护性,按照本发明的一个实施例,采用C语言编写。
如果要查感染Intel计算机上的病毒,softcpu()模拟的是Intel的CPU;如果要查感染MAC计算机上的病毒,softcpu()模拟的是MAC的CPU;等等。
任何程序总是运行在特定操作系统下,病毒也不例外。虚拟的操作系统7就是要模拟病毒所运行的操作系统。该模拟操作系统7可以包括病毒运行所需的多个操作系统,如DOS的虚拟操作系统、WINDOWS 95的虚拟操作系统、UNIX的虚拟操作系统等。为了提高效率,按照本发明的一个实施例,该模拟的操作系统7仅模拟病毒所运行的操作系统最小内核。如果要查杀DOS病毒,该模拟的操作系统选为DOS的虚拟操作系统;如果要查杀WINDOWS 95病毒,该模拟的操作系统选为WINDOWS 95的虚拟操作系统,等等。
本发明的计算机模拟单元4产生虚拟的计算机外部存储设备8,包括硬盘、软盘等。在该虚拟计算机环境中,待查毒对象的程序中所有对计算机外部存储设备的读写均是对虚拟外部存储设备的读写,即在程序虚拟运行时,对磁盘文件的感染和破坏数据,都是对虚拟磁盘中的文件感染和破坏虚拟磁盘中的数据。
按照本发明的一个实施例,所述虚拟的计算机外部存储设备8包括一可由所述计算机模拟单元4调用的虚拟计算机外部存储设备函数或程序单元8,其可生成一虚拟硬盘。该虚拟计算机外部存储设备单元8完成的主要功能是在内存中开辟一块所需大小的内存空间,然后根据具体要求使内存空间的虚拟硬盘具有跟正常硬盘一样的结构,如有扇区号、磁道号、柱面号的三维空间概念,主引导扇区和对应的0道中的空闲扇区,紧接着有引导区,文件分配表,根目录区,还有所需的系统文件(对于DOS系统有IO.SYS MSDOS.SYS COMMAND.COM),以及用来测试的诱饵文件(对于DOS文件型病毒来说应有例如:DOSEXE.EXE DOSCOM.COM等文件)。虚拟盘上的对本发明的查杀毒系统有用的数据也不过占几十K到几百K的字节空间,而通常的硬盘有几M到几G的字节空间,在本系统中其绝大多数空间是没用上的,所以按照本发明的一个实施例,可以只在内存中开辟几十K到几百K的字节空间来虚拟一个几M到几G的字节空间的硬盘。虚拟一个大的硬盘只需小量内存空间,所以在普通的微机上就可以实现本系统所需要的虚拟硬盘。并且,由于在查杀毒期间不用访问实际的硬盘,所访问的虚拟硬盘实际是在内存的一个小区域中,所以处理速度快,节省了时间。而且,由于该虚拟磁盘仅仅是一块内存空间,既不会对真实的磁盘造成感染和破坏,也不会破坏内存的物理特性,所以对用户的系统是无害的。
按照本发明的进一步的实施例,在用此单元8虚拟硬盘的时候,可以提供一预定的全局结构hard_disk_struct来控制生成硬盘的具体规格,诸如,虚拟一空盘,一引导盘,一张包含系统文件及诱饵文件的硬盘。
所述虚拟计算机外部存储设备单元8也可模拟软盘,完成的主要功能是在内存中开辟一块所需大小的内存空间,然后根据具体要求使内存空间的虚拟软盘具有跟正常软盘一样的结构,如有引导区,文件分配表,根目录区,还有所需的系统文件(对于DOS系统有IO.SYS,MSDOS.SYS,COMMAND.COM),以及用来测试的诱饵文件(如DOSEXE.EXE,DOSCOM.COM等),其所需的数据仅仅只占几十K。按照本发明的一个实施例,可以设定一全局结构floppy_disk_s truct来控制生成软盘的具体规格,诸如,虚拟一空盘,一引导盘,一张包含系统文件及诱饵文件的软盘,具体为可以根据该全局变量生成360K,720K,1.2M,1.44M的软盘。
同样,可以模拟任何一种操作系统的硬盘和软盘。上述的灵活实现可以节省装入的系统时间开销,在实际调用过程中,该虚拟计算机外部存储设备单元8把所需数据正确的加载到指定的内存空间。
上述的虚拟CPU5、虚拟内存6、虚拟OS 7等的程序单元都是用本领域技术人员已知的编程语言来实现的,其包含模拟CPU的各种指令、内存的各种管理和存取操作、OS的各种数据结构和功能服务的实现代码,这些都是目前的编程技术所能够实现的。因此,这里不再赘述。
激活待查毒对象就是要让附在待查毒对象上的病毒活动起来并表现出病毒的行为。例如:如果待查毒对象是可执行二进制文件(DOS exe文件、DOS com文件、DOS bat文件、Windows NE或PE文件),那么激活就是执行的意思;如果待查毒对象是WORD等带可执行宏的文档文件,那么激活就是打开该文档并是能让其中的宏执行的方式打开。
上述标准诱饵还可设置虚拟的系统时间,包括各种日期和时间,用于诱发对时间敏感的病毒,如类似CIH病毒(在4月26日发作)、和“黑色星期五”病毒等。如图1所示,本发明的查杀毒程序2的查毒部分提供一个标准诱饵的集合,包括多个标准诱饵11,或诱饵集。所谓诱饵,是指可能被病毒感染的已知对象。按照本发明的一个实施例,如果要查杀DOS病毒,诱饵是DOS程序;如果要查杀WINDOWS 95病毒,诱饵是WINDOWS 95程序;如果要查杀WORD病毒,诱饵是WORD文档;等等。无论待查杀毒对象是一个什么类型的可执行体,诱饵都是一个与待查杀毒对象同类型的可执行体。不过诱饵是无毒的,其尺寸、内容、结构及它的行为功能都是已知,而待查杀毒对象是否带毒是未知的(在查之前),如果真带毒的话,那么其真实尺寸、内容、结构及它的行为功能都是未知的。
另外,上述诱饵11不是随便的一个可执行体,而是经过大量的已知病毒实验,使其能被大量的已知病毒感染所得到的可执行体。诱饵的尺寸、内容都很合病毒“胃口”即可感染性极强。如果诱饵被病毒感染了,能够从诱饵中提取出病毒信息。总之,诱饵就是一个很容易被病毒感染的已知可执行体,诱饵集就是多个很容易被病毒感染的各种类型已知可执行体的集合。
具体讲,按照本发明的一个实施例,上述标准诱饵11的设置包括,例如,DOS com型诱饵集,包含构成诱饵集的多个诱饵文件,其尺寸分布在1K至60K之间大小不等的多个文件(1K、2.5K、12K、20K、30K、40K等);诱饵集中文件的第一条指令应分别为Jmp、call、mov、xor等指令;诱饵集中文件的时间日期和属性也应分别不同,用于诱发不同类型的对时间或属性敏感的病毒。
上述标准诱饵的设置还可以包括DOS exe型诱饵集,包括构成诱饵集的多个诱饵文件,其文件头尺寸分别为0x20、0x200、0x400、0x600、0x800等几种,文件尺寸分别为4K、10K、20K、40K、80K等几种,文件最后一页大小分别为为0x00、0x03、0x80、0x87、0x100、0x198等几种;其重定位项数分别为0x00、0x01、0x02、0x04、0x10等几种但不占满重定位项表;其CS、IP的值也设为各种各样的值;程序的堆栈空间分别设有堆栈空间在程序体前部、堆栈空间在程序体中部、堆栈空间在程序体后部、堆栈空间在程序体末端(不属于程序体)等几种。
上述标准诱饵的设置还可以包括引导型诱饵集,其包括:MSDOS、PCDOS、DRDOS、WIN9X等系统的不同版本的引导扇区及主引导扇区的集合。它实际上是在上述计算机模拟单元4生成虚拟硬盘、软盘时,按照上述引导型诱饵集生成包含各种如MSDOS、PCDOS、DRDOS、WIN9X等系统的不同版本的引导扇区及主引导扇区的虚拟硬盘和软盘,用来诱发引导型病毒。
同样,上述标准诱饵的设置还可以包括宏病毒诱饵集,包括各种尺寸、各种类型的WORD文件,用于诱发宏病毒感染。
如图1所示,所述病毒感染诱发单元10又称病毒样本生成机,利用上述提供的各种诱饵集,进行病毒感染诱发处理,即运行所述待查毒文件及其中可能带有的病毒,尽最大努力让标准宿主文件即上述各种诱饵感染上病毒的一个功能单元。染毒判断单元12判断是否有任何诱饵在病毒样本生成机10中被感染上病毒。具体讲,染毒判断单元12将病毒感染诱发单元10中将待查毒对象运行后得到的各个诱饵与运行前的各自诱饵进行比较,检查有无改变。如果有任何诱饵在病毒诱发运行前后发生了改变,则认定该待查毒对象带毒。同时该改变后的诱饵文件即为病毒样本。也就是说,如果病毒样本生成机10没有生成样本13,说明目标文件无毒;若样本生成机生成了样本13,说明目标文件有毒并且标准宿主文件(诱饵)成了标准样本,其体内有所有的杀毒信息。按照本发明的一个实例,假设在上述虚拟DOS环境中已有DOS内存病毒驻留上述虚拟内存,病毒样本生成机对DOS exe、DOS com诱饵进行执行、打开、读、关闭、查找等等操作,尽最大努力让内存病毒感染上上述诱饵。被病毒改写、即感染后的待查毒对象即为标准样本13。
对于文件型病毒,感染上病毒的诱饵文件本身就成为上述标准样本。对于引导区型病毒,所述样本生成机10根据在上述虚拟硬盘或软盘中的被病毒改变后的引导区信息,生成上述标准样本13。
所述标准样本13是指一个被病毒感染的标准诱饵或指一个被病毒感染的标准宿主。标准宿主是病毒分析员对其大小、内容及体系结构都很清楚的可执行体,其上面很适合附带病毒,如感染条件合适的话。
如图1所示,按照本发明的一个实施例,本发明的杀毒部分的病毒学习机14,又称标准样本分析机,它把上述标准诱饵11与生成的标准样本13进行比较,分析样本,并从标准样本中提取出全部的病毒信息或杀毒所必需的信息。此过程叫病毒学习机的学习过程。病毒学习机的学习过程是一种仿人工杀毒的过程,其不用特征码,与特征码杀毒有本质区别。病毒学习机从标准样本中提取的信息或学习的知识包括:病毒的尺寸大小、病毒在文件宿主中的位置、病毒是否加密变型、病毒是否对宿主进行了加密运算、或病毒已经破坏了宿主程序没法清除(可以删除)、病毒是否对宿主进行了重定位、病毒是否把宿主进行了节对齐、宿主对象的关键信息(例如宿主程序的入口)的值或位置等等。
例如:对于普通DOS com型病毒,该病毒学习机14提取出两点知识:1.病毒的尺寸大小;2.宿主对象原有功能是否完整或病毒是否已经破坏了宿主程序的原有功能。其中,采用的得到病毒的尺寸大小的算法之一是用标准样本的尺寸大小减去标准诱饵(或标准宿主)的尺寸大小;采用的判断宿主对象原始功能是否完整的算法是在上述计算机模拟单元4中虚拟计算机环境里运行标准样本直到结束或虚拟计算机当机,在此过程中如果产生了标准诱饵(或标准宿主)的原始功能,那么宿主对象原始功能完整,否则宿主对象原始功能不完整。
传统的特征码杀毒方法是用事先由病毒分析员填好的已知病毒特征库里的信息(数据或代码)来清除病毒的。本发明的病毒清除单元15是一种仿人工的杀毒单元,它不用病毒分析员填好的已知病毒特征库来杀毒,而是用病毒学习机14实时学习得到的病毒知识来把病毒清除。该模仿人工查杀毒的病毒清除单元15根据上述病毒学习机14提取的关于病毒的信息和知识,把病毒学习机14实时学习得到的病毒知识运用到待杀毒对象上并清除病毒。该清毒单元的原则是“解铃还需系铃人”,病毒样本生产机10和病毒学习机14向病毒学习病毒的感染过程并分析感染的结果(标准样本)得到病毒的数据及属性;病毒的本质在于感染和传播并有一的隐蔽性,也就是说绝大多数病毒不会破坏宿主的原始功能,清毒单元15虚拟执行病毒,病毒就会还原宿主对象,清毒单元把病毒还原的宿主对象存盘便可(对于那些在内存与在磁盘的存在形式不一样的对象,要进行相应转换)。至于病毒什么时候还原宿主对象就的用病毒学习机学到的病毒属性来判断。例如,按照本发明的一个实施例,采用病毒自还原法就是清毒单元15根据感染过程推理出感染的逆过程即解毒过程的方法之一。如果病毒学习机学到的病毒属性或数据足够多的话,就用这些这种属性或数据计算出原始宿主的关键信息(被病毒改过的信息)从而解毒。用软件实时学习并实时运用的杀毒处理在该清毒单元15得到实现,而这是目前所有查杀毒软件产品所没有的。
作为一个示例,本发明的清毒单元15清除普通DOS com型病毒的过程如下:1.如果标准样本的原始功能不完整,那么删除待杀毒文件,否则进行下一步;2.把待杀毒的DOS com文件装入虚拟的计算机环境执行至到虚拟CPU程序段寄存器Cs值为程序段前缀段地址并且寄存器IP值为0x0100时为止;3.计算待杀毒文件清毒后应有尺寸大小,干净的DOS com文件尺寸大小等于待杀毒DOS com文件尺寸大小减去病毒尺寸大小;4.生成干净的目标DOS com型文件,即把虚拟内存CS:IP开始到CS:IP+干净的DOS com文件尺寸大小的内容存为文件。
如果上述病毒学习机14无法学习病毒知识或病毒清除单元16判断病毒宿主的原始功能已经被破坏,则删除所述待查杀对象。
图2A、2B、2C示出了本发明的查杀病毒的方法的一个实施例的处理流程图。该流程的各个步骤分别在上述图1中的各个处理单元中执行,以构成完整的查毒和杀毒处理。如图2A所示,首先,从硬盘、软盘或互联网输入的数据等中待查杀的目标对象19的来源中读取待查杀的目标对象19(步骤S101),然后判断该目标对象是否为可能带毒的对象(S102)。可能带毒的对象,顾名思义就是从理论上说该对象有被病毒感染的可能性,但不一定带毒。可能带毒对象一定是一个可执行体,例如:*.exe、*.com、*.bat、.doc、PE和NE文件、磁盘引导扇区及主引导扇区,等等。一个不可执行体不可能是一个可能带毒对象,例如:*.txt。
如果在步骤S102中,判断所述目标对象是可能带毒对象,则进至步骤S103,进行查杀毒处理;如判断该对象不可能带毒,如为不可执行体,例如*.txt,则判断该目标对象无毒;如目标对象未知,则报告目标对象为未知对象。
在步骤S103中,由所述计算机模拟单元4生成生成一个模拟的计算机环境,包括生成虚拟CPU,虚拟OS,虚拟外部存储设备(硬盘,软盘),虚拟内存、虚拟系统时间等,以便在其中虚拟运行所述可能带毒对象。在步骤S104,提供多个计算机病毒可能感染的感染对象,即图1中的标准诱饵11,包括上述的文件型诱饵集和所述虚拟硬盘、软盘等的引导扇区诱饵集等。在步骤S105,装入所述待查杀对象19到所述生成的虚拟计算机环境中。在步骤S106,在所述模拟的计算机环境中激活附在所述待查毒对象上的病毒,即用上述设置的各种诱饵去诱发可能的病毒对上述虚拟计算机环境及各种诱饵文件的感染。在一方面,在步骤S107中,判断是否有诱饵被感染,另一方面,在步骤S108中判断该虚拟的计算机环境是否带毒,即判断所述虚拟的内存中是否带毒,所述虚拟的各种硬盘的引导扇区是否带毒,和所述虚拟的软盘的引导扇区中是否带毒。在步骤S107中,如判断有诱饵被感染,则进至图2B中的步骤S111;否则,报告目标对象无毒。在步骤S108中,如判断该虚拟环境带毒,则进至图2B中的步骤S110,对虚拟计算机环境里的诱饵进行尽可能多的操作,以尽量诱发带毒对各种诱饵的感染,然后进到步骤S107,再判断是否有诱饵被感染。
如图2B所示,步骤S111报告所示待查毒对象有毒,产生标准样本,并分析病毒类型,如该病毒是DOS病毒、宏病毒、引导扇区病毒等等。之后进至步骤S112,提示用户是否需要杀毒。如用户不需要杀毒,则给出目标对象带毒的报告,然后在步骤S109,查毒结束。如用户需要杀毒,进至步骤S113。
在步骤S113中,提取出在虚拟计算机环境中生成的所有标准样本,然后在步骤S114中,利用所述病毒学习机14来分析生成的标准样本,其中主要是判断标准样本的原始功能(即标准诱饵的功能)是否完整。在步骤S115,判断标准宿主的原始功能(感染前的功能)是否完整,如判断不完整,则进至步骤S116;如判断为完整的,则进至图2C中的步骤S120。
在步骤S116中,确定病毒宿主的原始功能已经被病毒破坏无法清除只有删除。在步骤S117,询问用户是否删除该带毒文件,若是则删除该待查毒文件(步骤S118),若否,杀毒结束(步骤S119)。
如图2C所示,在步骤S120中,所述病毒学习机14从标准样本中学习所有有关病毒的知识,尽最大努力学到清毒所需的病毒关键数据或属性至到学够了为止。例如:一个DOS com型病毒学到以下知识序列便够1.病毒不加密不变形不变长;2.病毒的尺寸virus_size;3.病毒只改了宿主的头三个字节;4.病毒存放宿主的头三个字节的位置data_offset_in_virus(相对病毒体)。
然后在步骤S121中,病毒清除单元15利用病毒学习机14所学到的病毒关键数据或属性在待杀毒对象(宿主对象)中的病毒体内查找或计算原始宿主中被病毒修改过的关键数据或属性。例如:一个有下列属性的DOS com病毒1.病毒不加密不变形不变长;2.病毒的尺寸virus_size;3.病毒只改了宿主的头三个字节;4.病毒存放宿主的头三个字节的位置data_offset_in_virus(相对病毒体)。清除上序病毒步骤如下:1.计算病毒体在文件中的位置virus_offset_in_file等于待杀毒文件的尺寸fils_size减去病毒的尺寸virus_size;2.计算宿主的头三个字节的位置data_offset_in_file(相对宿主文件)等于virus_offset_in_file+data_offset_in_virus;3.用data_offset_in_fiile处的三字节修复宿主文件的头三字节;4.把待杀毒文件从尾部砍掉virus_size字节。
在步骤S122中,判断病毒修改过的宿主信息的原始值是否计算成功。如否,则杀毒失败(步骤S125);如是,则进至步骤S123。
在步骤S123中,修复待杀毒对象(宿主对象)的被病毒修改过的数据或属性,例如:文件尺寸、文件头数据等,这样,就清除了病毒。
在步骤S124,报告杀毒成功。然后,进至步骤S119,杀毒结束。
本发明的上述查杀毒的方法及其各个查杀毒单元都可以通过用普通的计算机编程语言(如C语言等)编制相应的软件来实现,该软件可以装在计算机中运行;可以包含在软盘中进行销售和运行使用;也可以通过网络及互联网的形式进行传输和下载,并加以运行。
在本发明的用软件实现的所述查杀病毒的计算机系统和方法中,能够利用计算机病毒的根本特性:感染性,来查出病毒,并实时学习和实时运用有关病毒的知识,这是目前所有查杀毒软件产品所没有的。本发明判定病毒的方法是根据“结果”,而不是根据行为,可以称其为行为结果判定技术。当然,本发明的方法也知道病毒的行为,而且知道病毒的每一种行为和行为的结果,根据这些行为和结果,可以安全地把病毒清除,但是不对单独的行为(如写盘)进行判断,所以可以节省很多时间,速度较快。并且,本发明在实际内存中用一小区域提供了病毒生存繁殖的模拟环境,使得处理速度足够快,从而使尽量诱发病毒感染能够实际实现。
采用本发明的查杀病毒的计算机系统和方法,绝大多数已知和未知病毒不再需要人工分析,不需病毒特征库就能将其查杀;能及时发现新出现的病毒;能查杀的病毒数量不再受限制,有多少查杀多少;并且,采用本发明的反病毒软件不再落后于病毒,能够可靠地发现和杀除未知的病毒。
虽然本发明已以前述优选实施例说明,然其并非用于限制本发明,任何本领域的普通技术人员,在不脱离本发明的精神和范围的情况下,可作各种的更动与修改。因此本发明的保护范围以后附的权利要求为准。

Claims (20)

1.一种检测和清除计算机病毒的方法,其特征在于,包括以下步骤:
计算机模拟步骤,在一台计算机上模拟一个计算机病毒赖以生存的虚拟计算机环境;
提供多个计算机病毒可能感染的感染对象,即诱饵,用于诱发病毒感染;
装入待检测对象到所述模拟的计算机环境中;
在所述模拟的计算机环境中激活该待检测对象,以诱发附在所述待测对象上的病毒对所述多个感染对象进行感染,并生成感染后的标准样本;
将运行后的所述多个感染对象与原始提供的多个感染对象进行比较分析,判断有无改变,如有改变,判断所述待检测对象带有病毒;如无改变,判断其没有病毒;
病毒分析和学习步骤,用于在所述病毒判断步骤判断有病毒时,对生成的标准样本进行分析,并从标准样本中提取关于病毒的信息和知识;和
病毒清除步骤,用于根据所述关于病毒的信息和知识,根据病毒对所述感染对象即诱饵的改变,对所述带病毒的待检测对象进行相应的清除病毒体并修正改病毒修改过的关键信息从而清除病毒。
2、如权利要求1所述的方法,其中所述计算机模拟步骤包括提供功能函数来调用和执行以下步骤:
中央处理器(CPU)模拟步骤,用于模拟CPU的指令;
操作系统(OS)模拟步骤,用于模拟OS提供的各种服务和各种数据结构;
外部存储设备模拟步骤,包括模拟硬盘、软盘等设备的存储空间及结构;和内存模拟步骤,用于生成、分配和管理一模拟的内存空间。
3.如权利要求2所述的方法,其中所述提供的感染对象包括不同大小不同内容的各种类型的诱饵集,用于诱发不同类型不同感染条件的病毒,包括DOS文件型诱饵,用于DOS com型文件诱发DOS com型病毒;用模拟的DOS引导扇区,用于诱发DOS引导扇区型病毒;WORD文件型诱饵,用于诱发宏病毒等等。
4、如权利要求3所述的方法,其中对同一种类的病毒提供不同大小不同内容的多种诱饵,尽最大可能的满足待查毒对象里的病毒的感染条件。
5、如权利要求4所述的方法,其中还包括系统时间模拟步骤,生成虚拟的系统时间,用于诱发对时间敏感的病毒。
6、如权利要5所述的方法,其中所述模拟OS包括模拟DOS,WINDOWS,UNIX等多种操作系统之一。
7、如权利要求1所述的方法,在所述病毒清除步骤中,虚拟执行病毒,使被感染的宿主对象即被判断为带有病毒的所述待检测对象还原,从而清除病毒。
8、如权利要求2所述的方法,其中在所述外部存储设备模拟步骤中,在内存中开辟一块小的内存空间来模拟硬盘,使内存空间的虚拟硬盘具有跟正常硬盘一样的结构,包括扇区号、磁道号、柱面号的三维空间概念,主引导扇区和对应的0道中的空闲扇区,紧接着有引导区,文件分配表,根目录区,还有所需的系统文件,以及所述用来诱发病毒的诱饵文件等。
9、如权利要求2所述的方法,其中在所述外部存储设备模拟步骤中,在内存中开辟一块小的内存空间来模拟软盘,使内存空间的虚拟软硬盘具有跟正常软盘一样的结构,包括引导区,文件分配表,根目录区,还有所需的系统文件,以及所述用来诱发病毒的诱饵文件等。
10、一种检测和清除计算机病毒的计算机系统,包括一普通的计算机,其特征在于,该系统包括:
计算机模拟单元,在一台计算机上模拟一个计算机病毒赖以生存的虚拟计算机环境;
多个计算机病毒可能感染的感染对象,即诱饵,用于诱发病毒感染;
控制单元,用于装入待检测对象到所述模拟的计算机环境中;
病毒感染诱发单元,用于在所述模拟的计算机环境中激活该待检测对象,以诱发附在所述待测对象上的病毒对所述多个感染对象进行感染,并生成感染后的标准样本;
病毒判断单元,用于将运行后的所述多个感染对象与原始提供的多个感染对象进行比较分析,判断有无改变,如有改变,判断所述待检测对象带有病毒;如无改变,判断其没有病毒;病毒分析和学习机,用于在所述病毒判断步骤判断有病毒时,对生成的标准样本进行分析,并从标准样本中提取关于病毒的信息和知识;和
病毒清除单元,用于根据所述关于病毒的信息和知识,根据病毒对所述感染对象即诱饵的改变,对所述带病毒的待检测对象进行相应的清除病毒体和修正改病毒修改过的关键信息从而清除病毒。
11、如权利要求10所述的系统,其中所述计算机模拟单元包括:
中央处理器(CPU)模拟单元,用于模拟CPU的指令;
操作系统(OS)模拟单元,用于模拟OS提供的各种服务和各种数据结构;
外部存储设备模拟单元,包括模拟硬盘、软盘等设备的存储空间及结构;和
内存模拟单元,用于生成、分配和管理一模拟的内存空间,
所述的各个单元都是一些可调用的功能函数和分配的内存空间,不依赖于具体的CPU、OS及外部存储设备。
12.如权利要求11所述的系统,其中所述提供的感染对象包括不同大小不同内容的各种类型的诱饵集,用于诱发不同类型不同感染条件的病毒,包括DOS文件型诱饵,用于DOS com型文件诱发DOS com型病毒;用模拟的DOS引导扇区,用于诱发DOS引导扇区型病毒;WORD文件型诱饵,用于诱发宏病毒等等。
13、如权利要求12所述的系统,其中对同一种类的病毒提供不同大小不同内容的多种诱饵,尽最大可能的满足待查毒对象里的病毒的感染条件。
14、如权利要求13所述的系统,其中还包括系统时间模拟单元,用于生成虚拟的系统时间,以诱发对时间敏感的病毒。
15、如权利要求14所述的系统,其中所述模拟OS包括模拟DOS,WINDOWS,UNIX等多种操作系统之一。
16、如权利要求10所述的系统,所述病毒清除单元虚拟执行病毒,使被感染的宿主对象即被判断为带有病毒的所述待检测对象还原,从而清除病毒。
17、如权利要求11所述的系统,其中所述外部存储设备模拟单元在内存中开辟一块小的内存空间来模拟硬盘,使内存空间的虚拟硬盘具有跟正常硬盘一样的结构,包括扇区号、磁道号、柱面号的三维空间概念,主引导扇区和对应的0道中的空闲扇区,紧接着有引导区,文件分配表,根目录区,还有所需的系统文件,以及所述用来诱发病毒的诱饵文件等。
18、如权利要求11所述的系统,其中所述外部存储设备模拟单元在内存中开辟一块小的内存空间来模拟软盘,使内存空间的虚拟软硬盘具有跟正常软盘一样的结构,包括引导区,文件分配表,根目录区,还有所需的系统文件,以及所述用来诱发病毒的诱饵文件等。
19.一种检测计算机病毒的方法,其特征在于,包括以下步骤:
计算机模拟步骤,在一台计算机上模拟一个计算机病毒赖以生存的虚拟计算机环境;
提供多个计算机病毒可能感染的感染对象,即诱饵,用于诱发病毒感染;
装入待检测对象到所述模拟的计算机环境中;
在所述模拟的计算机环境中激活该待检测对象,以诱发附在所述待测对象上的病毒对所述多个感染对象进行感染,并生成感染后的标准样本;
将运行后的所述多个感染对象与原始提供的多个感染对象进行比较分析,判断有无改变,如有改变,判断所述待检测对象带有病毒;如无改变,判断其没有病毒。
20.一种检测计算机病毒的计算机系统,包括一普通的计算机,其特征在于,该系统包括:
计算机模拟单元,在一台计算机上模拟一个计算机病毒赖以生存的虚拟计算机环境;
多个计算机病毒可能感染的感染对象,即诱饵,用于诱发病毒感染;
控制单元,用于装入待检测对象到所述模拟的计算机环境中;
病毒感染诱发单元,用于在所述模拟的计算机环境中激活该待检测对象,以诱发附在所述待测对象上的病毒对所述多个感染对象进行感染,并生成感染后的标准样本;病毒判断单元,用于将运行后的所述多个感染对象与原始提供的多个感染对象进行比较分析,判断有无改变,如有改变,判断所述待检测对象带有病毒;如无改变,判断其没有病毒。
CNB011177268A 2001-04-29 2001-04-29 检测和清除已知及未知计算机病毒的方法、系统 Expired - Lifetime CN1147795C (zh)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CNB011177268A CN1147795C (zh) 2001-04-29 2001-04-29 检测和清除已知及未知计算机病毒的方法、系统
EP01121848A EP1253501A3 (en) 2001-04-29 2001-09-11 Method and system for scanning and cleaning known and unknown computer viruses, recording medium and transmission medium therefor
US09/963,359 US20020162015A1 (en) 2001-04-29 2001-09-25 Method and system for scanning and cleaning known and unknown computer viruses, recording medium and transmission medium therefor
JP2001345236A JP2002342106A (ja) 2001-04-29 2001-11-09 既知や未知のコンピュータウィルスの検索・駆除方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CNB011177268A CN1147795C (zh) 2001-04-29 2001-04-29 检测和清除已知及未知计算机病毒的方法、系统

Publications (2)

Publication Number Publication Date
CN1314638A CN1314638A (zh) 2001-09-26
CN1147795C true CN1147795C (zh) 2004-04-28

Family

ID=4662848

Family Applications (1)

Application Number Title Priority Date Filing Date
CNB011177268A Expired - Lifetime CN1147795C (zh) 2001-04-29 2001-04-29 检测和清除已知及未知计算机病毒的方法、系统

Country Status (4)

Country Link
US (1) US20020162015A1 (zh)
EP (1) EP1253501A3 (zh)
JP (1) JP2002342106A (zh)
CN (1) CN1147795C (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100437614C (zh) * 2005-11-16 2008-11-26 白杰 未知病毒程序的识别及清除方法

Families Citing this family (291)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7089591B1 (en) 1999-07-30 2006-08-08 Symantec Corporation Generic detection and elimination of marco viruses
WO2002093334A2 (en) 2001-04-06 2002-11-21 Symantec Corporation Temporal access control for computer virus outbreaks
US7657935B2 (en) 2001-08-16 2010-02-02 The Trustees Of Columbia University In The City Of New York System and methods for detecting malicious email transmission
US7356736B2 (en) * 2001-09-25 2008-04-08 Norman Asa Simulated computer system for monitoring of software performance
US7506374B2 (en) * 2001-10-31 2009-03-17 Computer Associates Think, Inc. Memory scanning system and method
US9306966B2 (en) 2001-12-14 2016-04-05 The Trustees Of Columbia University In The City Of New York Methods of unsupervised anomaly detection using a geometric framework
US9652613B1 (en) 2002-01-17 2017-05-16 Trustwave Holdings, Inc. Virus detection by executing electronic message code in a virtual machine
US7225343B1 (en) 2002-01-25 2007-05-29 The Trustees Of Columbia University In The City Of New York System and methods for adaptive model generation for detecting intrusions in computer systems
US7370360B2 (en) * 2002-05-13 2008-05-06 International Business Machines Corporation Computer immune system and method for detecting unwanted code in a P-code or partially compiled native-code program executing within a virtual machine
US7155742B1 (en) 2002-05-16 2006-12-26 Symantec Corporation Countering infections to communications modules
US7367056B1 (en) 2002-06-04 2008-04-29 Symantec Corporation Countering malicious code infections to computer files that have been infected more than once
US7398465B2 (en) * 2002-06-20 2008-07-08 The Boeing Company System and method for identifying, classifying, extracting and resolving hidden entities
US7418729B2 (en) * 2002-07-19 2008-08-26 Symantec Corporation Heuristic detection of malicious computer code by page tracking
US7380277B2 (en) 2002-07-22 2008-05-27 Symantec Corporation Preventing e-mail propagation of malicious computer code
US7487543B2 (en) * 2002-07-23 2009-02-03 International Business Machines Corporation Method and apparatus for the automatic determination of potentially worm-like behavior of a program
US7478431B1 (en) * 2002-08-02 2009-01-13 Symantec Corporation Heuristic detection of computer viruses
US7526809B2 (en) * 2002-08-08 2009-04-28 Trend Micro Incorporated System and method for computer protection against malicious electronic mails by analyzing, profiling and trapping the same
US7832011B2 (en) * 2002-08-30 2010-11-09 Symantec Corporation Method and apparatus for detecting malicious code in an information handling system
US7331062B2 (en) 2002-08-30 2008-02-12 Symantec Corporation Method, computer software, and system for providing end to end security protection of an online transaction
US7188369B2 (en) * 2002-10-03 2007-03-06 Trend Micro, Inc. System and method having an antivirus virtual scanning processor with plug-in functionalities
US7469419B2 (en) * 2002-10-07 2008-12-23 Symantec Corporation Detection of malicious computer code
KR20040035572A (ko) * 2002-10-22 2004-04-29 최운호 정보 인프라에서의 종합 침해사고 대응시스템 및 그운영방법
US7159149B2 (en) * 2002-10-24 2007-01-02 Symantec Corporation Heuristic detection and termination of fast spreading network worm attacks
US7991827B1 (en) * 2002-11-13 2011-08-02 Mcafee, Inc. Network analysis system and method utilizing collected metadata
US7249187B2 (en) * 2002-11-27 2007-07-24 Symantec Corporation Enforcement of compliance with network security policies
US7631353B2 (en) * 2002-12-17 2009-12-08 Symantec Corporation Blocking replication of e-mail worms
US7296293B2 (en) * 2002-12-31 2007-11-13 Symantec Corporation Using a benevolent worm to assess and correct computer security vulnerabilities
US7203959B2 (en) 2003-03-14 2007-04-10 Symantec Corporation Stream scanning through network proxy servers
US8271774B1 (en) 2003-08-11 2012-09-18 Symantec Corporation Circumstantial blocking of incoming network traffic containing code
US7337327B1 (en) 2004-03-30 2008-02-26 Symantec Corporation Using mobility tokens to observe malicious mobile code
US8204984B1 (en) 2004-04-01 2012-06-19 Fireeye, Inc. Systems and methods for detecting encrypted bot command and control communication channels
US8549638B2 (en) * 2004-06-14 2013-10-01 Fireeye, Inc. System and method of containing computer worms
US8171553B2 (en) 2004-04-01 2012-05-01 Fireeye, Inc. Heuristic based capture with replay to virtual machine
US8881282B1 (en) 2004-04-01 2014-11-04 Fireeye, Inc. Systems and methods for malware attack detection and identification
US7587537B1 (en) 2007-11-30 2009-09-08 Altera Corporation Serializer-deserializer circuits formed from input-output circuit registers
US8561177B1 (en) 2004-04-01 2013-10-15 Fireeye, Inc. Systems and methods for detecting communication channels of bots
US8006305B2 (en) * 2004-06-14 2011-08-23 Fireeye, Inc. Computer worm defense system and method
US8375444B2 (en) 2006-04-20 2013-02-12 Fireeye, Inc. Dynamic signature creation and enforcement
US9106694B2 (en) 2004-04-01 2015-08-11 Fireeye, Inc. Electronic message analysis for malware detection
US8539582B1 (en) * 2004-04-01 2013-09-17 Fireeye, Inc. Malware containment and security analysis on connection
US8566946B1 (en) * 2006-04-20 2013-10-22 Fireeye, Inc. Malware containment on connection
US8584239B2 (en) 2004-04-01 2013-11-12 Fireeye, Inc. Virtual machine with dynamic data flow analysis
US9027135B1 (en) 2004-04-01 2015-05-05 Fireeye, Inc. Prospective client identification using malware attack detection
US8898788B1 (en) 2004-04-01 2014-11-25 Fireeye, Inc. Systems and methods for malware attack prevention
US8528086B1 (en) 2004-04-01 2013-09-03 Fireeye, Inc. System and method of detecting computer worms
US8793787B2 (en) 2004-04-01 2014-07-29 Fireeye, Inc. Detecting malicious network content using virtual environment components
US7370233B1 (en) 2004-05-21 2008-05-06 Symantec Corporation Verification of desired end-state using a virtual machine environment
US7441042B1 (en) 2004-08-25 2008-10-21 Symanetc Corporation System and method for correlating network traffic and corresponding file input/output traffic
US7509680B1 (en) * 2004-09-01 2009-03-24 Symantec Corporation Detecting computer worms as they arrive at local computers through open network shares
US7690034B1 (en) 2004-09-10 2010-03-30 Symantec Corporation Using behavior blocking mobility tokens to facilitate distributed worm detection
US7533131B2 (en) * 2004-10-01 2009-05-12 Webroot Software, Inc. System and method for pestware detection and removal
JP4327698B2 (ja) * 2004-10-19 2009-09-09 富士通株式会社 ネットワーク型ウィルス活動検出プログラム、処理方法およびシステム
US7565686B1 (en) 2004-11-08 2009-07-21 Symantec Corporation Preventing unauthorized loading of late binding code into a process
US8104086B1 (en) 2005-03-03 2012-01-24 Symantec Corporation Heuristically detecting spyware/adware registry activity
US8452744B2 (en) * 2005-06-06 2013-05-28 Webroot Inc. System and method for analyzing locked files
US20060277183A1 (en) * 2005-06-06 2006-12-07 Tony Nichols System and method for neutralizing locked pestware files
US20070006311A1 (en) * 2005-06-29 2007-01-04 Barton Kevin T System and method for managing pestware
US20090144826A2 (en) * 2005-06-30 2009-06-04 Webroot Software, Inc. Systems and Methods for Identifying Malware Distribution
US20070016951A1 (en) * 2005-07-13 2007-01-18 Piccard Paul L Systems and methods for identifying sources of malware
KR100830434B1 (ko) 2005-11-08 2008-05-20 한국정보보호진흥원 악성코드 수집 시스템 및 방법
CN100465978C (zh) * 2005-11-16 2009-03-04 白杰 被病毒程序破坏的数据恢复方法、装置及病毒清除方法
CN100373287C (zh) * 2005-11-16 2008-03-05 白杰 检测程序操作行为的方法及病毒程序检测、清除方法
US7721333B2 (en) * 2006-01-18 2010-05-18 Webroot Software, Inc. Method and system for detecting a keylogger on a computer
US20070203884A1 (en) * 2006-02-28 2007-08-30 Tony Nichols System and method for obtaining file information and data locations
US8079032B2 (en) * 2006-03-22 2011-12-13 Webroot Software, Inc. Method and system for rendering harmless a locked pestware executable object
US20070226800A1 (en) * 2006-03-22 2007-09-27 Tony Nichols Method and system for denying pestware direct drive access
US20070250818A1 (en) * 2006-04-20 2007-10-25 Boney Matthew L Backwards researching existing pestware
US20070261117A1 (en) * 2006-04-20 2007-11-08 Boney Matthew L Method and system for detecting a compressed pestware executable object
US8201243B2 (en) * 2006-04-20 2012-06-12 Webroot Inc. Backwards researching activity indicative of pestware
US8181244B2 (en) * 2006-04-20 2012-05-15 Webroot Inc. Backward researching time stamped events to find an origin of pestware
US20070294396A1 (en) * 2006-06-15 2007-12-20 Krzaczynski Eryk W Method and system for researching pestware spread through electronic messages
US20080010326A1 (en) * 2006-06-15 2008-01-10 Carpenter Troy A Method and system for securely deleting files from a computer storage device
US20070294767A1 (en) * 2006-06-20 2007-12-20 Paul Piccard Method and system for accurate detection and removal of pestware
US8009566B2 (en) 2006-06-26 2011-08-30 Palo Alto Networks, Inc. Packet classification in a network security device
US20080010538A1 (en) * 2006-06-27 2008-01-10 Symantec Corporation Detecting suspicious embedded malicious content in benign file formats
US8239915B1 (en) 2006-06-30 2012-08-07 Symantec Corporation Endpoint management using trust rating data
US7996903B2 (en) 2006-07-07 2011-08-09 Webroot Software, Inc. Method and system for detecting and removing hidden pestware files
US20080028462A1 (en) * 2006-07-26 2008-01-31 Michael Burtscher System and method for loading and analyzing files
US8578495B2 (en) * 2006-07-26 2013-11-05 Webroot Inc. System and method for analyzing packed files
US20080028466A1 (en) * 2006-07-26 2008-01-31 Michael Burtscher System and method for retrieving information from a storage medium
KR100833958B1 (ko) * 2006-07-28 2008-05-30 고려대학교 산학협력단 악성 프로그램을 탐지하는 프로그램이 저장된 기록 매체 및악성 프로그램 탐지 방법
US7590707B2 (en) * 2006-08-07 2009-09-15 Webroot Software, Inc. Method and system for identifying network addresses associated with suspect network destinations
US8065664B2 (en) * 2006-08-07 2011-11-22 Webroot Software, Inc. System and method for defining and detecting pestware
US8190868B2 (en) 2006-08-07 2012-05-29 Webroot Inc. Malware management through kernel detection
US8171550B2 (en) * 2006-08-07 2012-05-01 Webroot Inc. System and method for defining and detecting pestware with function parameters
US20080127352A1 (en) * 2006-08-18 2008-05-29 Min Wang System and method for protecting a registry of a computer
US7769992B2 (en) * 2006-08-18 2010-08-03 Webroot Software, Inc. File manipulation during early boot time
US8898276B1 (en) * 2007-01-11 2014-11-25 Crimson Corporation Systems and methods for monitoring network ports to redirect computing devices to a protected network
US8938773B2 (en) 2007-02-02 2015-01-20 Websense, Inc. System and method for adding context to prevent data leakage over a computer network
US20080209544A1 (en) * 2007-02-27 2008-08-28 Battelle Memorial Institute Device security method using device specific authentication
US20080270104A1 (en) * 2007-04-24 2008-10-30 Stratton Robert J System and Method for Creating an Assurance System in a Mixed Environment
WO2008131458A1 (en) * 2007-04-24 2008-10-30 Stacksafe, Inc. System and method for creating an assurance system in a mixed environment
US8321936B1 (en) 2007-05-30 2012-11-27 M86 Security, Inc. System and method for malicious software detection in multiple protocols
CN101441687B (zh) * 2007-11-21 2010-07-14 珠海金山软件股份有限公司 一种提取病毒文件的病毒特征的方法及其装置
KR20090065977A (ko) * 2007-12-18 2009-06-23 삼성에스디에스 주식회사 파일의 바이러스 감염여부 판정방법
US9130986B2 (en) 2008-03-19 2015-09-08 Websense, Inc. Method and system for protection against information stealing software
CN101978376A (zh) * 2008-03-19 2011-02-16 网圣公司 用于抵御信息窃取软件的方法及系统
US8370948B2 (en) 2008-03-19 2013-02-05 Websense, Inc. System and method for analysis of electronic information dissemination events
US8407784B2 (en) 2008-03-19 2013-03-26 Websense, Inc. Method and system for protection against information stealing software
US9015842B2 (en) 2008-03-19 2015-04-21 Websense, Inc. Method and system for protection against information stealing software
US8484736B2 (en) * 2008-06-06 2013-07-09 Sandisk Il Ltd. Storage device having an anti-malware protection
US8776038B2 (en) 2008-08-07 2014-07-08 Code Systems Corporation Method and system for configuration of virtualized software applications
US8434093B2 (en) * 2008-08-07 2013-04-30 Code Systems Corporation Method and system for virtualization of software applications
CN101645119B (zh) * 2008-08-07 2012-05-23 中国科学院软件研究所 一种基于虚拟硬件环境的恶意代码自动分析方法及系统
JP5446167B2 (ja) * 2008-08-13 2014-03-19 富士通株式会社 ウイルス対策方法、コンピュータ、及びプログラム
CN101727348B (zh) * 2008-10-10 2013-02-13 华为数字技术(成都)有限公司 一种可疑代码分析方法及装置
US8997219B2 (en) 2008-11-03 2015-03-31 Fireeye, Inc. Systems and methods for detecting malicious PDF network content
US8850571B2 (en) 2008-11-03 2014-09-30 Fireeye, Inc. Systems and methods for detecting malicious network content
US8873556B1 (en) 2008-12-24 2014-10-28 Palo Alto Networks, Inc. Application based packet forwarding
US11489857B2 (en) 2009-04-21 2022-11-01 Webroot Inc. System and method for developing a risk profile for an internet resource
US9130972B2 (en) 2009-05-26 2015-09-08 Websense, Inc. Systems and methods for efficient detection of fingerprinted data and information
US8832829B2 (en) 2009-09-30 2014-09-09 Fireeye, Inc. Network-based binary file extraction and analysis for malware detection
US8347382B2 (en) * 2009-12-17 2013-01-01 International Business Machines Corporation Malicious software prevention using shared information
US8954958B2 (en) 2010-01-11 2015-02-10 Code Systems Corporation Method of configuring a virtual application
US8959183B2 (en) * 2010-01-27 2015-02-17 Code Systems Corporation System for downloading and executing a virtual application
US9104517B2 (en) 2010-01-27 2015-08-11 Code Systems Corporation System for downloading and executing a virtual application
US9229748B2 (en) 2010-01-29 2016-01-05 Code Systems Corporation Method and system for improving startup performance and interoperability of a virtual application
US20120072988A1 (en) * 2010-03-26 2012-03-22 Telcordia Technologies, Inc. Detection of global metamorphic malware variants using control and data flow analysis
US9213838B2 (en) * 2011-05-13 2015-12-15 Mcafee Ireland Holdings Limited Systems and methods of processing data associated with detection and/or handling of malware
US8763009B2 (en) 2010-04-17 2014-06-24 Code Systems Corporation Method of hosting a first application in a second application
KR101122650B1 (ko) * 2010-04-28 2012-03-09 한국전자통신연구원 정상 프로세스에 위장 삽입된 악성코드 탐지 장치, 시스템 및 방법
US9098333B1 (en) 2010-05-07 2015-08-04 Ziften Technologies, Inc. Monitoring computer process resource usage
US8782106B2 (en) 2010-07-02 2014-07-15 Code Systems Corporation Method and system for managing execution of virtual applications
CN101930517B (zh) * 2010-10-13 2012-11-28 四川通信科研规划设计有限责任公司 一种僵尸程序的检测方法
US9021015B2 (en) 2010-10-18 2015-04-28 Code Systems Corporation Method and system for publishing virtual applications to a web server
US9209976B2 (en) 2010-10-29 2015-12-08 Code Systems Corporation Method and system for restricting execution of virtual applications to a managed process environment
US8695096B1 (en) 2011-05-24 2014-04-08 Palo Alto Networks, Inc. Automatic signature generation for malicious PDF files
US9047441B2 (en) * 2011-05-24 2015-06-02 Palo Alto Networks, Inc. Malware analysis system
CN102339371B (zh) 2011-09-14 2013-12-25 奇智软件(北京)有限公司 一种检测恶意程序的方法、装置及虚拟机
RU2586016C2 (ru) 2011-11-15 2016-06-10 Японское Агентство По Науке И Технике Система предоставления услуги анализа/верификации программ, способ управления такой системой, машиночитаемая среда хранения, устройство для анализа/верификации программ, устройство для управления средством анализа/верификации программ
US9519782B2 (en) 2012-02-24 2016-12-13 Fireeye, Inc. Detecting malicious network content
US9384349B2 (en) * 2012-05-21 2016-07-05 Mcafee, Inc. Negative light-weight rules
CN102841999B (zh) * 2012-07-16 2016-12-21 北京奇虎科技有限公司 一种文件宏病毒的检测方法和装置
US9241259B2 (en) 2012-11-30 2016-01-19 Websense, Inc. Method and apparatus for managing the transfer of sensitive information to mobile devices
CN102999726B (zh) * 2012-12-14 2015-07-01 北京奇虎科技有限公司 文件宏病毒免疫方法和装置
US10572665B2 (en) 2012-12-28 2020-02-25 Fireeye, Inc. System and method to create a number of breakpoints in a virtual machine via virtual machine trapping events
US9332028B2 (en) 2013-01-25 2016-05-03 REMTCS Inc. System, method, and apparatus for providing network security
US9525700B1 (en) 2013-01-25 2016-12-20 REMTCS Inc. System and method for detecting malicious activity and harmful hardware/software modifications to a vehicle
US9009823B1 (en) 2013-02-23 2015-04-14 Fireeye, Inc. Framework for efficient security coverage of mobile software applications installed on mobile devices
US9195829B1 (en) 2013-02-23 2015-11-24 Fireeye, Inc. User interface with real-time visual playback along with synchronous textual analysis log display and event/time index for anomalous behavior detection in applications
US9159035B1 (en) 2013-02-23 2015-10-13 Fireeye, Inc. Framework for computer application analysis of sensitive information tracking
US9367681B1 (en) 2013-02-23 2016-06-14 Fireeye, Inc. Framework for efficient security coverage of mobile software applications using symbolic execution to reach regions of interest within an application
US9009822B1 (en) 2013-02-23 2015-04-14 Fireeye, Inc. Framework for multi-phase analysis of mobile applications
US8990944B1 (en) 2013-02-23 2015-03-24 Fireeye, Inc. Systems and methods for automatically detecting backdoors
US9824209B1 (en) 2013-02-23 2017-11-21 Fireeye, Inc. Framework for efficient security coverage of mobile software applications that is usable to harden in the field code
US9176843B1 (en) 2013-02-23 2015-11-03 Fireeye, Inc. Framework for efficient security coverage of mobile software applications
CN104022998B (zh) * 2013-03-01 2016-12-28 北京瑞星信息技术股份有限公司 网络传输数据病毒检测处理方法
US9355247B1 (en) 2013-03-13 2016-05-31 Fireeye, Inc. File extraction from memory dump for malicious content analysis
US9565202B1 (en) 2013-03-13 2017-02-07 Fireeye, Inc. System and method for detecting exfiltration content
US9626509B1 (en) 2013-03-13 2017-04-18 Fireeye, Inc. Malicious content analysis with multi-version application support within single operating environment
US9104867B1 (en) 2013-03-13 2015-08-11 Fireeye, Inc. Malicious content analysis using simulated user interaction without user involvement
US9430646B1 (en) 2013-03-14 2016-08-30 Fireeye, Inc. Distributed systems and methods for automatically detecting unknown bots and botnets
US9311479B1 (en) 2013-03-14 2016-04-12 Fireeye, Inc. Correlation and consolidation of analytic data for holistic view of a malware attack
WO2014145805A1 (en) 2013-03-15 2014-09-18 Mandiant, Llc System and method employing structured intelligence to verify and contain threats at endpoints
US10713358B2 (en) 2013-03-15 2020-07-14 Fireeye, Inc. System and method to extract and utilize disassembly features to classify software intent
US9251343B1 (en) 2013-03-15 2016-02-02 Fireeye, Inc. Detecting bootkits resident on compromised computers
US9495180B2 (en) 2013-05-10 2016-11-15 Fireeye, Inc. Optimized resource allocation for virtual machines within a malware content detection system
US9635039B1 (en) 2013-05-13 2017-04-25 Fireeye, Inc. Classifying sets of malicious indicators for detecting command and control communications associated with malware
US9536091B2 (en) 2013-06-24 2017-01-03 Fireeye, Inc. System and method for detecting time-bomb malware
US10133863B2 (en) 2013-06-24 2018-11-20 Fireeye, Inc. Zero-day discovery system
US9888016B1 (en) 2013-06-28 2018-02-06 Fireeye, Inc. System and method for detecting phishing using password prediction
US9300686B2 (en) 2013-06-28 2016-03-29 Fireeye, Inc. System and method for detecting malicious links in electronic messages
CN103428212A (zh) * 2013-08-08 2013-12-04 电子科技大学 一种恶意代码检测及防御的方法
US9171160B2 (en) 2013-09-30 2015-10-27 Fireeye, Inc. Dynamically adaptive framework and method for classifying malware using intelligent static, emulation, and dynamic analyses
US10515214B1 (en) 2013-09-30 2019-12-24 Fireeye, Inc. System and method for classifying malware within content created during analysis of a specimen
US10089461B1 (en) 2013-09-30 2018-10-02 Fireeye, Inc. Page replacement code injection
US10192052B1 (en) 2013-09-30 2019-01-29 Fireeye, Inc. System, apparatus and method for classifying a file as malicious using static scanning
US9294501B2 (en) 2013-09-30 2016-03-22 Fireeye, Inc. Fuzzy hash of behavioral results
US9628507B2 (en) 2013-09-30 2017-04-18 Fireeye, Inc. Advanced persistent threat (APT) detection center
US9690936B1 (en) 2013-09-30 2017-06-27 Fireeye, Inc. Multistage system and method for analyzing obfuscated content for malware
US9736179B2 (en) 2013-09-30 2017-08-15 Fireeye, Inc. System, apparatus and method for using malware analysis results to drive adaptive instrumentation of virtual machines to improve exploit detection
US10075460B2 (en) 2013-10-16 2018-09-11 REMTCS Inc. Power grid universal detection and countermeasure overlay intelligence ultra-low latency hypervisor
US9921978B1 (en) 2013-11-08 2018-03-20 Fireeye, Inc. System and method for enhanced security of storage devices
US9189627B1 (en) 2013-11-21 2015-11-17 Fireeye, Inc. System, apparatus and method for conducting on-the-fly decryption of encrypted objects for malware detection
KR101512454B1 (ko) * 2013-12-24 2015-04-16 한국인터넷진흥원 시분할 방식의 배양기반 악성코드 분석시스템
US9756074B2 (en) 2013-12-26 2017-09-05 Fireeye, Inc. System and method for IPS and VM-based detection of suspicious objects
US9747446B1 (en) 2013-12-26 2017-08-29 Fireeye, Inc. System and method for run-time object classification
US9292686B2 (en) 2014-01-16 2016-03-22 Fireeye, Inc. Micro-virtualization architecture for threat-aware microvisor deployment in a node of a network environment
US9262635B2 (en) 2014-02-05 2016-02-16 Fireeye, Inc. Detection efficacy of virtual machine-based analysis with application specific events
US9241010B1 (en) 2014-03-20 2016-01-19 Fireeye, Inc. System and method for network behavior detection
US10242185B1 (en) 2014-03-21 2019-03-26 Fireeye, Inc. Dynamic guest image creation and rollback
US9591015B1 (en) 2014-03-28 2017-03-07 Fireeye, Inc. System and method for offloading packet processing and static analysis operations
US9432389B1 (en) 2014-03-31 2016-08-30 Fireeye, Inc. System, apparatus and method for detecting a malicious attack based on static analysis of a multi-flow object
US9223972B1 (en) 2014-03-31 2015-12-29 Fireeye, Inc. Dynamically remote tuning of a malware content detection system
KR101593163B1 (ko) * 2014-05-12 2016-02-15 한국전자통신연구원 실 환경 악성코드 분석 장치 및 방법
US9973531B1 (en) 2014-06-06 2018-05-15 Fireeye, Inc. Shellcode detection
US9594912B1 (en) 2014-06-06 2017-03-14 Fireeye, Inc. Return-oriented programming detection
US9438623B1 (en) 2014-06-06 2016-09-06 Fireeye, Inc. Computer exploit detection using heap spray pattern matching
US10084813B2 (en) 2014-06-24 2018-09-25 Fireeye, Inc. Intrusion prevention and remedy system
US10805340B1 (en) 2014-06-26 2020-10-13 Fireeye, Inc. Infection vector and malware tracking with an interactive user display
US9398028B1 (en) 2014-06-26 2016-07-19 Fireeye, Inc. System, device and method for detecting a malicious attack based on communcations between remotely hosted virtual machines and malicious web servers
US10002252B2 (en) 2014-07-01 2018-06-19 Fireeye, Inc. Verification of trusted threat-aware microvisor
US9363280B1 (en) 2014-08-22 2016-06-07 Fireeye, Inc. System and method of detecting delivery of malware using cross-customer data
US10671726B1 (en) 2014-09-22 2020-06-02 Fireeye Inc. System and method for malware analysis using thread-level event monitoring
US10027689B1 (en) 2014-09-29 2018-07-17 Fireeye, Inc. Interactive infection visualization for improved exploit detection and signature generation for malware and malware families
US9773112B1 (en) 2014-09-29 2017-09-26 Fireeye, Inc. Exploit detection of malware and malware families
CN104484605A (zh) * 2014-12-10 2015-04-01 央视国际网络无锡有限公司 云存储环境病毒源检测方法
US9690933B1 (en) 2014-12-22 2017-06-27 Fireeye, Inc. Framework for classifying an object as malicious with machine learning for deploying updated predictive models
US10075455B2 (en) 2014-12-26 2018-09-11 Fireeye, Inc. Zero-day rotating guest image profile
US9934376B1 (en) 2014-12-29 2018-04-03 Fireeye, Inc. Malware detection appliance architecture
US9838417B1 (en) 2014-12-30 2017-12-05 Fireeye, Inc. Intelligent context aware user interaction for malware detection
CN104766006B (zh) * 2015-03-18 2019-03-12 百度在线网络技术(北京)有限公司 一种确定危险文件所对应的行为信息的方法和装置
US10148693B2 (en) 2015-03-25 2018-12-04 Fireeye, Inc. Exploit detection system
US9690606B1 (en) 2015-03-25 2017-06-27 Fireeye, Inc. Selective system call monitoring
US9438613B1 (en) 2015-03-30 2016-09-06 Fireeye, Inc. Dynamic content activation for automated analysis of embedded objects
US10474813B1 (en) 2015-03-31 2019-11-12 Fireeye, Inc. Code injection technique for remediation at an endpoint of a network
US10417031B2 (en) 2015-03-31 2019-09-17 Fireeye, Inc. Selective virtualization for security threat detection
US10346623B1 (en) * 2015-03-31 2019-07-09 Amazon Technologies, Inc. Service defense techniques
US9483644B1 (en) 2015-03-31 2016-11-01 Fireeye, Inc. Methods for detecting file altering malware in VM based analysis
US9654485B1 (en) 2015-04-13 2017-05-16 Fireeye, Inc. Analytics-based security monitoring system and method
US9594904B1 (en) 2015-04-23 2017-03-14 Fireeye, Inc. Detecting malware based on reflection
US10726127B1 (en) 2015-06-30 2020-07-28 Fireeye, Inc. System and method for protecting a software component running in a virtual machine through virtual interrupts by the virtualization layer
US10642753B1 (en) 2015-06-30 2020-05-05 Fireeye, Inc. System and method for protecting a software component running in virtual machine using a virtualization layer
US11113086B1 (en) 2015-06-30 2021-09-07 Fireeye, Inc. Virtual system and method for securing external network connectivity
US10454950B1 (en) 2015-06-30 2019-10-22 Fireeye, Inc. Centralized aggregation technique for detecting lateral movement of stealthy cyber-attacks
US10715542B1 (en) 2015-08-14 2020-07-14 Fireeye, Inc. Mobile application risk analysis
US10176321B2 (en) 2015-09-22 2019-01-08 Fireeye, Inc. Leveraging behavior-based rules for malware family classification
US10033747B1 (en) 2015-09-29 2018-07-24 Fireeye, Inc. System and method for detecting interpreter-based exploit attacks
US10706149B1 (en) 2015-09-30 2020-07-07 Fireeye, Inc. Detecting delayed activation malware using a primary controller and plural time controllers
US9825976B1 (en) 2015-09-30 2017-11-21 Fireeye, Inc. Detection and classification of exploit kits
US9825989B1 (en) 2015-09-30 2017-11-21 Fireeye, Inc. Cyber attack early warning system
CN105099834B (zh) * 2015-09-30 2018-11-13 北京华青融天技术有限责任公司 一种自定义特征码的方法和装置
US10817606B1 (en) 2015-09-30 2020-10-27 Fireeye, Inc. Detecting delayed activation malware using a run-time monitoring agent and time-dilation logic
US10210329B1 (en) 2015-09-30 2019-02-19 Fireeye, Inc. Method to detect application execution hijacking using memory protection
US10601865B1 (en) 2015-09-30 2020-03-24 Fireeye, Inc. Detection of credential spearphishing attacks using email analysis
US10284575B2 (en) 2015-11-10 2019-05-07 Fireeye, Inc. Launcher for setting analysis environment variations for malware detection
US10846117B1 (en) 2015-12-10 2020-11-24 Fireeye, Inc. Technique for establishing secure communication between host and guest processes of a virtualization architecture
US10447728B1 (en) 2015-12-10 2019-10-15 Fireeye, Inc. Technique for protecting guest processes using a layered virtualization architecture
US10108446B1 (en) 2015-12-11 2018-10-23 Fireeye, Inc. Late load technique for deploying a virtualization layer underneath a running operating system
US10210331B2 (en) * 2015-12-24 2019-02-19 Mcafee, Llc Executing full logical paths for malware detection
US10621338B1 (en) 2015-12-30 2020-04-14 Fireeye, Inc. Method to detect forgery and exploits using last branch recording registers
US10050998B1 (en) 2015-12-30 2018-08-14 Fireeye, Inc. Malicious message analysis system
US10133866B1 (en) * 2015-12-30 2018-11-20 Fireeye, Inc. System and method for triggering analysis of an object for malware in response to modification of that object
US10565378B1 (en) 2015-12-30 2020-02-18 Fireeye, Inc. Exploit of privilege detection framework
US11552986B1 (en) 2015-12-31 2023-01-10 Fireeye Security Holdings Us Llc Cyber-security framework for application of virtual features
US10581874B1 (en) 2015-12-31 2020-03-03 Fireeye, Inc. Malware detection system with contextual analysis
US9824216B1 (en) 2015-12-31 2017-11-21 Fireeye, Inc. Susceptible environment detection system
US10671721B1 (en) 2016-03-25 2020-06-02 Fireeye, Inc. Timeout management services
US10785255B1 (en) 2016-03-25 2020-09-22 Fireeye, Inc. Cluster configuration within a scalable malware detection system
US10476906B1 (en) 2016-03-25 2019-11-12 Fireeye, Inc. System and method for managing formation and modification of a cluster within a malware detection system
US10601863B1 (en) 2016-03-25 2020-03-24 Fireeye, Inc. System and method for managing sensor enrollment
US10893059B1 (en) 2016-03-31 2021-01-12 Fireeye, Inc. Verification and enhancement using detection systems located at the network periphery and endpoint devices
US10826933B1 (en) 2016-03-31 2020-11-03 Fireeye, Inc. Technique for verifying exploit/malware at malware detection appliance through correlation with endpoints
US10169585B1 (en) 2016-06-22 2019-01-01 Fireeye, Inc. System and methods for advanced malware detection through placement of transition events
US10462173B1 (en) 2016-06-30 2019-10-29 Fireeye, Inc. Malware detection verification and enhancement by coordinating endpoint and malware detection systems
US10592678B1 (en) 2016-09-09 2020-03-17 Fireeye, Inc. Secure communications between peers using a verified virtual trusted platform module
US10491627B1 (en) 2016-09-29 2019-11-26 Fireeye, Inc. Advanced malware detection using similarity analysis
US10795991B1 (en) 2016-11-08 2020-10-06 Fireeye, Inc. Enterprise search
US10587647B1 (en) 2016-11-22 2020-03-10 Fireeye, Inc. Technique for malware detection capability comparison of network security devices
US10552610B1 (en) 2016-12-22 2020-02-04 Fireeye, Inc. Adaptive virtual machine snapshot update framework for malware behavioral analysis
US10581879B1 (en) 2016-12-22 2020-03-03 Fireeye, Inc. Enhanced malware detection for generated objects
US10523609B1 (en) 2016-12-27 2019-12-31 Fireeye, Inc. Multi-vector malware detection and analysis
US10904286B1 (en) 2017-03-24 2021-01-26 Fireeye, Inc. Detection of phishing attacks using similarity analysis
US10902119B1 (en) 2017-03-30 2021-01-26 Fireeye, Inc. Data extraction system for malware analysis
US10791138B1 (en) 2017-03-30 2020-09-29 Fireeye, Inc. Subscription-based malware detection
US10848397B1 (en) 2017-03-30 2020-11-24 Fireeye, Inc. System and method for enforcing compliance with subscription requirements for cyber-attack detection service
US10798112B2 (en) 2017-03-30 2020-10-06 Fireeye, Inc. Attribute-controlled malware detection
CN107231360A (zh) * 2017-06-08 2017-10-03 上海斐讯数据通信技术有限公司 基于云网络的网络病毒防护方法、安全无线路由器和系统
CN109145599B (zh) * 2017-06-27 2022-01-07 关隆股份有限公司 恶意病毒的防护方法
US10503904B1 (en) 2017-06-29 2019-12-10 Fireeye, Inc. Ransomware detection and mitigation
US10855700B1 (en) 2017-06-29 2020-12-01 Fireeye, Inc. Post-intrusion detection of cyber-attacks during lateral movement within networks
US10601848B1 (en) 2017-06-29 2020-03-24 Fireeye, Inc. Cyber-security system and method for weak indicator detection and correlation to generate strong indicators
US10893068B1 (en) 2017-06-30 2021-01-12 Fireeye, Inc. Ransomware file modification prevention technique
CN107423641B (zh) * 2017-09-19 2023-10-03 中国南方电网有限责任公司超高压输电公司南宁监控中心 一种用于移动存储介质的防毒方法及防毒装置
US10747872B1 (en) 2017-09-27 2020-08-18 Fireeye, Inc. System and method for preventing malware evasion
US10805346B2 (en) 2017-10-01 2020-10-13 Fireeye, Inc. Phishing attack detection
US11108809B2 (en) 2017-10-27 2021-08-31 Fireeye, Inc. System and method for analyzing binary code for malware classification using artificial neural network techniques
US11271955B2 (en) 2017-12-28 2022-03-08 Fireeye Security Holdings Us Llc Platform and method for retroactive reclassification employing a cybersecurity-based global data store
US11240275B1 (en) 2017-12-28 2022-02-01 Fireeye Security Holdings Us Llc Platform and method for performing cybersecurity analyses employing an intelligence hub with a modular architecture
US11005860B1 (en) 2017-12-28 2021-05-11 Fireeye, Inc. Method and system for efficient cybersecurity analysis of endpoint events
US10826931B1 (en) 2018-03-29 2020-11-03 Fireeye, Inc. System and method for predicting and mitigating cybersecurity system misconfigurations
US11558401B1 (en) 2018-03-30 2023-01-17 Fireeye Security Holdings Us Llc Multi-vector malware detection data sharing system for improved detection
US11003773B1 (en) 2018-03-30 2021-05-11 Fireeye, Inc. System and method for automatically generating malware detection rule recommendations
US10956477B1 (en) 2018-03-30 2021-03-23 Fireeye, Inc. System and method for detecting malicious scripts through natural language processing modeling
US11075930B1 (en) 2018-06-27 2021-07-27 Fireeye, Inc. System and method for detecting repetitive cybersecurity attacks constituting an email campaign
US11314859B1 (en) 2018-06-27 2022-04-26 FireEye Security Holdings, Inc. Cyber-security system and method for detecting escalation of privileges within an access token
US11228491B1 (en) 2018-06-28 2022-01-18 Fireeye Security Holdings Us Llc System and method for distributed cluster configuration monitoring and management
US11316900B1 (en) 2018-06-29 2022-04-26 FireEye Security Holdings Inc. System and method for automatically prioritizing rules for cyber-threat detection and mitigation
US11182473B1 (en) 2018-09-13 2021-11-23 Fireeye Security Holdings Us Llc System and method for mitigating cyberattacks against processor operability by a guest process
US11763004B1 (en) 2018-09-27 2023-09-19 Fireeye Security Holdings Us Llc System and method for bootkit detection
US11368475B1 (en) 2018-12-21 2022-06-21 Fireeye Security Holdings Us Llc System and method for scanning remote services to locate stored objects with malware
US12074887B1 (en) 2018-12-21 2024-08-27 Musarubra Us Llc System and method for selectively processing content after identification and removal of malicious content
US11258806B1 (en) 2019-06-24 2022-02-22 Mandiant, Inc. System and method for automatically associating cybersecurity intelligence to cyberthreat actors
US11556640B1 (en) 2019-06-27 2023-01-17 Mandiant, Inc. Systems and methods for automated cybersecurity analysis of extracted binary string sets
US11392700B1 (en) 2019-06-28 2022-07-19 Fireeye Security Holdings Us Llc System and method for supporting cross-platform data verification
US11886585B1 (en) 2019-09-27 2024-01-30 Musarubra Us Llc System and method for identifying and mitigating cyberattacks through malicious position-independent code execution
US11637862B1 (en) 2019-09-30 2023-04-25 Mandiant, Inc. System and method for surfacing cyber-security threats with a self-learning recommendation engine
CN113051562A (zh) * 2019-12-28 2021-06-29 深信服科技股份有限公司 一种病毒查杀方法、装置、设备及可读存储介质
CN112560040A (zh) * 2020-12-25 2021-03-26 安芯网盾(北京)科技有限公司 一种计算机感染型病毒的通用检测的方法及装置
CN113836534B (zh) * 2021-09-28 2024-04-12 深信服科技股份有限公司 一种病毒家族识别方法、系统、设备及计算机存储介质
CN116881918B (zh) * 2023-09-08 2023-11-10 北京安天网络安全技术有限公司 进程安全检测防护方法、装置、电子设备及介质

Family Cites Families (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5301304A (en) * 1988-05-20 1994-04-05 International Business Machines Corporation Emulating records in one record format in another record format
US5371885A (en) * 1989-08-29 1994-12-06 Microsoft Corporation High performance file system
JP2888958B2 (ja) * 1990-10-20 1999-05-10 富士通株式会社 部分書き換え可能な記憶媒体におけるファイル管理方式
US5408642A (en) * 1991-05-24 1995-04-18 Symantec Corporation Method for recovery of a computer program infected by a computer virus
US5454098A (en) * 1992-09-28 1995-09-26 Conner Peripherals, Inc. Method of emulating access to a sequential access data storage device while actually using a random access storage device
JP2501771B2 (ja) * 1993-01-19 1996-05-29 インターナショナル・ビジネス・マシーンズ・コーポレイション 不所望のソフトウェア・エンティティの複数の有効なシグネチャを得る方法及び装置
US5440723A (en) * 1993-01-19 1995-08-08 International Business Machines Corporation Automatic immune system for computers and computer networks
US5398196A (en) * 1993-07-29 1995-03-14 Chambers; David A. Method and apparatus for detection of computer viruses
US5473765A (en) * 1994-01-24 1995-12-05 3Com Corporation Apparatus for using flash memory as a floppy disk emulator in a computer system
DE69511556D1 (de) * 1994-06-01 1999-09-23 Quantum Leap Innovations Inc Computervirenfalle
US5634096A (en) * 1994-10-31 1997-05-27 International Business Machines Corporation Using virtual disks for disk system checkpointing
US5485575A (en) * 1994-11-21 1996-01-16 International Business Machines Corporation Automatic analysis of a computer virus structure and means of attachment to its hosts
US5613002A (en) * 1994-11-21 1997-03-18 International Business Machines Corporation Generic disinfection of programs infected with a computer virus
US5675769A (en) * 1995-02-23 1997-10-07 Powerquest Corporation Method for manipulating disk partitions
US5706472A (en) * 1995-02-23 1998-01-06 Powerquest Corporation Method for manipulating disk partitions
US5765030A (en) * 1996-07-19 1998-06-09 Symantec Corp Processor emulator module having a variable pre-fetch queue size for program execution
US6067410A (en) * 1996-02-09 2000-05-23 Symantec Corporation Emulation repair system
US5826013A (en) * 1995-09-28 1998-10-20 Symantec Corporation Polymorphic virus detection module
US5696822A (en) * 1995-09-28 1997-12-09 Symantec Corporation Polymorphic virus detection module
US5822517A (en) * 1996-04-15 1998-10-13 Dotan; Eyal Method for detecting infection of software programs by memory resident software viruses
US5951698A (en) * 1996-10-02 1999-09-14 Trend Micro, Incorporated System, apparatus and method for the detection and removal of viruses in macros
US6560701B1 (en) * 1997-02-10 2003-05-06 International Business Machines Corporation Alternate boot record
US5887164A (en) * 1997-06-06 1999-03-23 National Instruments Corporation System and method for enabling a target computer to use storage resources of a host computer
US6067618A (en) * 1998-03-26 2000-05-23 Innova Patent Trust Multiple operating system and disparate user mass storage resource separation for a computer system
US6795966B1 (en) * 1998-05-15 2004-09-21 Vmware, Inc. Mechanism for restoring, porting, replicating and checkpointing computer systems using state extraction
US6397242B1 (en) * 1998-05-15 2002-05-28 Vmware, Inc. Virtualization system including a virtual machine monitor for a computer with a segmented architecture
US6338141B1 (en) * 1998-09-30 2002-01-08 Cybersoft, Inc. Method and apparatus for computer virus detection, analysis, and removal in real time
US6711583B2 (en) * 1998-09-30 2004-03-23 International Business Machines Corporation System and method for detecting and repairing document-infecting viruses using dynamic heuristics
US6356915B1 (en) * 1999-02-22 2002-03-12 Starbase Corp. Installable file system having virtual file system drive, virtual device driver, and virtual disks
US6192456B1 (en) * 1999-03-30 2001-02-20 Adaptec, Inc. Method and apparatus for creating formatted fat partitions with a hard drive having a BIOS-less controller
US6477624B1 (en) * 1999-11-08 2002-11-05 Ondotek, Inc. Data image management via emulation of non-volatile storage device
EP1360585A4 (en) * 2001-02-14 2008-04-30 Invicta Networks Inc SYSTEMS AND METHOD FOR GENERATING A CODE EXAMINATION SYSTEM
US7089589B2 (en) * 2001-04-10 2006-08-08 Lenovo (Singapore) Pte. Ltd. Method and apparatus for the detection, notification, and elimination of certain computer viruses on a network using a promiscuous system as bait

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100437614C (zh) * 2005-11-16 2008-11-26 白杰 未知病毒程序的识别及清除方法

Also Published As

Publication number Publication date
JP2002342106A (ja) 2002-11-29
US20020162015A1 (en) 2002-10-31
EP1253501A2 (en) 2002-10-30
CN1314638A (zh) 2001-09-26
EP1253501A3 (en) 2004-02-11

Similar Documents

Publication Publication Date Title
CN1147795C (zh) 检测和清除已知及未知计算机病毒的方法、系统
Christodorescu et al. Malware normalization
Moser et al. Exploring multiple execution paths for malware analysis
Konstantinou et al. Metamorphic virus: Analysis and detection
JP4950902B2 (ja) ダイナミックトランスレーションによる先取りコンピュータマルウェアの保護
Comparetti et al. Identifying dormant functionality in malware programs
US20070094734A1 (en) Malware mutation detector
US20020078368A1 (en) Detection of polymorphic virus code using dataflow analysis
Blackthorne et al. {AVLeak}: fingerprinting antivirus emulators through {Black-Box} testing
RU2427890C2 (ru) Система и способ сравнения файлов на основе шаблонов функциональности
Ming et al. Memoized semantics-based binary diffing with application to malware lineage inference
Kephart et al. An immune system for cyberspace
Pandey et al. Performance of malware detection tools: A comparison
Eskandari et al. To incorporate sequential dynamic features in malware detection engines
Costa et al. Vigilante: End-to-end containment of internet worm epidemics
Bai et al. A malware and variant detection method using function call graph isomorphism
Naidu et al. A syntactic approach for detecting viral polymorphic malware variants
Mahmoud et al. APTHunter: Detecting advanced persistent threats in early stages
Yin et al. Automatic malware analysis: an emulator based approach
Nadim et al. Kernel-level rootkit detection, prevention and behavior profiling: a taxonomy and survey
Anju et al. Malware detection using assembly code and control flow graph optimization
Zhang Computer virus and anti-virus technology
Brumley et al. Sting: An end-to-end self-healing system for defending against internet worms
Ask Automatic malware signature generation
Muthumanickam et al. Optimizing detection of malware attacks through graph-based approach

Legal Events

Date Code Title Description
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C06 Publication
PB01 Publication
C14 Grant of patent or utility model
GR01 Patent grant
ASS Succession or assignment of patent right

Owner name: BEIJING RISING INTERNATIONAL SOFTWARE CO., LTD.

Free format text: FORMER OWNER: BEIJING RUIXING SCIENCE CO., LTD.

Effective date: 20080104

C41 Transfer of patent application or patent right or utility model
TR01 Transfer of patent right

Effective date of registration: 20080104

Address after: Room A408, Zhongke building, 22 Zhongguancun street, Haidian District, Beijing

Patentee after: Beijing Rising International Software Co., Ltd.

Address before: Room 1305, Zhongke building, 22 Zhongguancun street, Haidian District, Beijing

Patentee before: Ruixing Science and Technology Co., Ltd., Beijing

ASS Succession or assignment of patent right

Owner name: BEIJING RISING INFORMATION TECHNOLOGY CO., LTD.

Free format text: FORMER OWNER: BEIJING RISING INTERNATIONAL SOFTWARE CO., LTD.

Effective date: 20101214

C41 Transfer of patent application or patent right or utility model
COR Change of bibliographic data

Free format text: CORRECT: ADDRESS; FROM: 100080 ROOM A408, ZHONGKE BUILDING, NO.22, ZHONGGUANCUN STREET, HAIDIAN DISTRICT, BEIJING TO: 100190 ROOM 1301, ZHONGKE BUILDING, NO.22, ZHONGGUANCUN STREET, HAIDIAN DISTRICT, BEIJING

TR01 Transfer of patent right

Effective date of registration: 20101214

Address after: 100190 Beijing City, Haidian District Zhongguancun Street Branch No. 22 building, room 1301

Patentee after: Beijing Rising Information Technology Co., Ltd.

Address before: 100080, A408 building, Zhongke building, 22 Zhongguancun street, Haidian District, Beijing

Patentee before: Beijing Rising International Software Co., Ltd.

C56 Change in the name or address of the patentee
CP01 Change in the name or title of a patent holder

Address after: 100190 Beijing City, Haidian District Zhongguancun Street Branch No. 22 building, room 1301

Patentee after: Beijing Rising Information Technology Co., Ltd

Address before: 100190 Beijing City, Haidian District Zhongguancun Street Branch No. 22 building, room 1301

Patentee before: Beijing Rising Information Technology Co., Ltd.

CP03 Change of name, title or address

Address after: 100190 Zhongguancun street, Haidian District, Beijing, No. 22, A1305, 13

Patentee after: Beijing net an Technology Limited by Share Ltd

Address before: 100190 Beijing City, Haidian District Zhongguancun Street Branch No. 22 building, room 1301

Patentee before: Beijing Rising Information Technology Co., Ltd

CP03 Change of name, title or address
CX01 Expiry of patent term

Granted publication date: 20040428

CX01 Expiry of patent term