[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP4627266B2 - Information leakage prevention system due to unknown malware - Google Patents

Information leakage prevention system due to unknown malware Download PDF

Info

Publication number
JP4627266B2
JP4627266B2 JP2006038901A JP2006038901A JP4627266B2 JP 4627266 B2 JP4627266 B2 JP 4627266B2 JP 2006038901 A JP2006038901 A JP 2006038901A JP 2006038901 A JP2006038901 A JP 2006038901A JP 4627266 B2 JP4627266 B2 JP 4627266B2
Authority
JP
Japan
Prior art keywords
file
virtual disk
web browser
software
virtualization module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006038901A
Other languages
Japanese (ja)
Other versions
JP2007219786A (en
Inventor
慶光 青柳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Solutions Ltd
Original Assignee
Hitachi Solutions Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Solutions Ltd filed Critical Hitachi Solutions Ltd
Priority to JP2006038901A priority Critical patent/JP4627266B2/en
Publication of JP2007219786A publication Critical patent/JP2007219786A/en
Application granted granted Critical
Publication of JP4627266B2 publication Critical patent/JP4627266B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Description

本発明は、未知のウィルスやスパイウェアなどのマルウェアによる情報漏洩を防止するシステムに関する。   The present invention relates to a system that prevents information leakage by malware such as unknown viruses and spyware.

従来、未知のウィルスやスパイウェアなどのマルウェア対策として、例えば下記特許文献1及び特許文献2に記載のものが知られている。
下記特許文献1に記載のものは、過去に発見されたウィルスのユニークな一連の文字および数値をシグネチャとして登録し、実行可能ファイルのコードと比較する方法で、コンピュータウィルスか否かを検知するものである。
また、下記特許文献2に記載のものは、新たなコンピュータウィルス等の悪性ソフトウェアであっても検知できるようなコンピュータウィルス等の悪性ソフトウェアの検知法などを提供するため、実行形式ファイルの実行が異常なものか否かを判定する機能と、予め登録済みのレジストリ値、プログラムファイル、システムファイルへの不正な書き込みを監視する機能を持ち、万一、不正な動作が発生した場合は、悪性ソフトウェアによる異常な動作と見なし、実行を中止するものである。 Conventionally, as a countermeasure against malware such as unknown viruses and spyware, for example, those described in Patent Document 1 and Patent Document 2 below are known.
The one described in Patent Document 1 below detects whether a computer virus is detected by registering a unique series of characters and numerical values of a virus found in the past as a signature and comparing it with the code of an executable file. It is.
Also, the one described in Patent Document 2 below provides a detection method for malicious software such as computer viruses that can be detected even with new malicious software such as computer viruses. It has a function to determine whether or not it is correct, and a function to monitor unauthorized writing to pre-registered registry values, program files, and system files. It is regarded as an abnormal operation and execution is stopped.

特願2003−216445号Japanese Patent Application No. 2003-216445 特願2003−381129号Japanese Patent Application No. 2003-38129

しかしながら、上記特許文献1に記載の技術は、過去に発見されたウィルスのシグネチャを元にウィルスか否かを判断するため、未知のコンピュータウィルスを検出することができない。
また、上記特許文献2に記載の技術は、悪性ソフトウェアが行う異常な動作を元にコンピュータウィルスを検知するため、既知の攻撃方法や脆弱性を突く未知のコンピュータウィルスは検知できる。ただし、コンピュータウィルスが実行する不正な動作が想定外であった場合には、上記特許文献1と同様にコンピュータウィルスを検知できない。
すなわち、上記特許文献1や特許文献2に示される従来技術では、未知のコンピュータウィルスを検知できないケースがある。この結果、コンピュータウィルスが、PC内の重要なデータを全く関係ない第三者に漏洩するような不正な動作を確実に防止することはできない。 However, since the technique described in Patent Document 1 determines whether or not the virus is based on a virus signature discovered in the past, an unknown computer virus cannot be detected.
Moreover, since the technique described in Patent Document 2 detects a computer virus based on an abnormal operation performed by malicious software, it can detect an unknown computer virus that exploits a known attack method or vulnerability. However, if an illegal operation executed by the computer virus is unexpected, the computer virus cannot be detected as in the above-mentioned Patent Document 1.
That is, there are cases where unknown computer viruses cannot be detected by the conventional techniques disclosed in Patent Document 1 and Patent Document 2. As a result, it is impossible to reliably prevent an illegal operation in which a computer virus leaks important data in the PC to an unrelated third party.

本発明は、未知のマルウェアによる情報漏洩を確実に防止することができる情報漏洩防止システムを提供することを目的とする。   An object of this invention is to provide the information leakage prevention system which can prevent reliably the information leakage by unknown malware.

上記目的を達成するために、本発明に係る未知のマルウェアによる情報漏洩防止システムは、記憶装置に格納されたアプリケーションにそれぞれ対応した仮想ディスクを作成し、異なるアプリケーションに対応付けられた仮想ディスクや物理的なハードディスクへのアクセスを禁止する手段と、ユーザの設定に応じて、任意のアプリケーションに対応付けられた仮想ディスクから異なるアプリケーションに対応付けられた仮想ディスクにデータを転送する手段と、オペレーティングシステムの終了時に全ての仮想ディスクを消去する手段とを備えることを特徴とする。   In order to achieve the above object, an information leakage prevention system for unknown malware according to the present invention creates virtual disks respectively corresponding to applications stored in a storage device, and creates virtual disks and physical disks associated with different applications. A means for prohibiting access to a typical hard disk, a means for transferring data from a virtual disk associated with an arbitrary application to a virtual disk associated with a different application, according to user settings, and an operating system Means for erasing all virtual disks upon completion.

本発明によれば、アプリケーションにそれぞれ対応した仮想ディスクが作成されるため、例えばWebブラウザに感染した未知のマルウェアは、Webブラウザ以外のアプリケーションのファイル、例えば、文書ファイル、電子メールが格納されている仮想ディスクに一切アクセスできないため、Webブラウザに感染した未知のマルウェアによって文書ファイル、電子メールの内容が漏洩するのを確実に防止することができる。
また、ユーザからの設定に応じて、あるアプリケーションに対応づけられた仮想ディスクから別のアプリケーションに対応付けられた仮想ディスクにデータ転送する手段を用意していることにより、例えば、WebブラウザでダウンロードしたPDFファイルを、PDF閲覧ソフトで参照することができ、利便性を失なうことなく未知のマルウェアによる情報漏洩を防止することができる。 According to the present invention, a virtual disk corresponding to each application is created. For example, unknown malware infected with a Web browser stores files of applications other than the Web browser, such as document files and e-mails. Since the virtual disk cannot be accessed at all, it is possible to reliably prevent the leakage of document files and e-mail contents due to unknown malware that has infected the Web browser.
In addition, depending on the settings from the user, a means for transferring data from a virtual disk associated with one application to a virtual disk associated with another application is provided, for example, downloaded by a web browser PDF files can be referenced with PDF browsing software, and information leakage by unknown malware can be prevented without losing convenience.

以下、本発明を実施する場合の一形態を図面を参照して具体的に説明する。
図1は、本発明の一実施の形態を示すシステム構成図である。
ユーザが利用するパーソナルコンピュータ(以下、PC)1の内部の記憶装置内には、Webブラウザ101、文書ソフト102、データ転送プログラム103が格納されている。
データ転送プログラム103は、あるアプリケーションに対応付けられた仮想ディスクから別のアプリケーションに対応付けられた仮想ディスクにデータを転送するための本発明固有のプログラムである。
コールゲート104は、アプリケーションとオペレーティングシステム105の特権レベルの境界を表す。特権レベルとは、CPU121がメモリ122や外部記憶装置123(外部記憶装置にはファイル131やレジストリ132が保存されている)といったハードウェア106への不正なアクセスを保護するために設けたアクセス区分である。 Hereinafter, an embodiment for carrying out the present invention will be specifically described with reference to the drawings.
FIG. 1 is a system configuration diagram showing an embodiment of the present invention.
A web browser 101, document software 102, and data transfer program 103 are stored in a storage device inside a personal computer (hereinafter, PC) 1 used by a user.
The data transfer program 103 is a program unique to the present invention for transferring data from a virtual disk associated with a certain application to a virtual disk associated with another application.
The call gate 104 represents the boundary between the application and the operating system 105 privilege level. The privilege level is an access classification provided by the CPU 121 to protect unauthorized access to the hardware 106 such as the memory 122 and the external storage device 123 (the file 131 and the registry 132 are stored in the external storage device). is there.

通常、Webブラウザ101や文書ソフト102のアプリケーションはハードウェア106に直接アクセスすることは出来ない。これらのアプリケーションがハードウェア106にアクセスする場合はCPU121のソフトウェア割込み命令を実行する。
ソフトウェア割込みとは、オペレーティングシステム105に実装されたソフトウェア割込みルーチン111の呼び出しをCPU121に依頼するための命令である。
CPU121はソフトウェア割込みの実行時に、アプリケーションの実行処理を停止し、オペレーティングシステム105に制御を移す。オペレーティングシステム105のソフトウェア割込みルーチンの先頭アドレスは割込み記述テーブル(IDT)113に定義されている。
割込み記述テーブル113は、オペレーティングシステム105の起動時に設定される。 Normally, the application of the Web browser 101 or the document software 102 cannot directly access the hardware 106. When these applications access the hardware 106, a software interrupt instruction of the CPU 121 is executed.
The software interrupt is an instruction for requesting the CPU 121 to call the software interrupt routine 111 implemented in the operating system 105.
When executing the software interrupt, the CPU 121 stops the application execution process and transfers control to the operating system 105. The start address of the software interrupt routine of the operating system 105 is defined in the interrupt description table (IDT) 113.
The interrupt description table 113 is set when the operating system 105 is started.

仮想化モジュール112はハードディスクやメモリのアクセスを監視し、アプリケーション毎に個別の仮想ディスクを対応させるための本発明固有のモジュールである。なお、仮想化モジュール112はオペレーティングシステム105の一部として組み込むため、アプリケーションとは特権レベルが異なっている。このため、仮想化モジュール112は、アプリケーションに感染した未知のマルウェアによる改竄からは保護されている。また、仮想化モジュール112は、マルウェアが共有メモリを利用して他のアプリケーションに感染する攻撃を防止するため、ページテーブル114を監視する。
ページテーブル114には仮想アドレスと物理メモリのアドレスの対応関係が記述されている。ページテーブル114を利用すれば、アプリケーションがアクセスするメモリ領域が共有メモリか否かを検知できる。 The virtualization module 112 is a module unique to the present invention for monitoring access to a hard disk and a memory and making each virtual disk correspond to each application. Since the virtualization module 112 is incorporated as part of the operating system 105, the privilege level is different from that of the application. For this reason, the virtualization module 112 is protected from tampering by unknown malware that has infected the application. In addition, the virtualization module 112 monitors the page table 114 to prevent an attack in which malware uses other shared memory to infect other applications.
The page table 114 describes the correspondence between virtual addresses and physical memory addresses. By using the page table 114, it is possible to detect whether the memory area accessed by the application is a shared memory.

図2は本発明に係わるマルウェアに感染したWebブラウザ101がファイルを破壊する動作例を示す説明図である。
マルウェアに感染したWebブラウザ101から外部記憶装置に保存されているファイルを削除、破壊するためのソフトウェア割込みが発生すると(S1)、CPU121は割込み記述テーブル113に登録されているソフトウェア割込みルーチンを実行し(S2)、外部記憶装置123に保存されているファイルにアクセスし(S3)、削除または破壊する。その後、ソフトウェア割込みルーチンはCPU121にソフトウェア割込みの終了を通知し、Webブラウザ101に制御を戻す(S4)。
CPU121はWebブラウザ101のソフトウェア割込みの次のステップの処理を実行する(S5)。
以上のようにして、Webブラウザ101に感染したマルウェアは、Webブラウザ101を実行しているユーザがアクセス権を持っている全てのファイルを削除または破壊することになる。 FIG. 2 is an explanatory diagram showing an operation example in which the Web browser 101 infected with malware according to the present invention destroys a file.
When a software interrupt for deleting or destroying a file stored in the external storage device is generated from the Web browser 101 infected with malware (S1), the CPU 121 executes a software interrupt routine registered in the interrupt description table 113. (S2), the file stored in the external storage device 123 is accessed (S3), and deleted or destroyed. Thereafter, the software interrupt routine notifies the CPU 121 of the end of the software interrupt, and returns control to the Web browser 101 (S4).
The CPU 121 executes processing of the next step after the software interruption of the Web browser 101 (S5).
As described above, the malware that has infected the Web browser 101 deletes or destroys all the files that the user executing the Web browser 101 has access rights to.

図3は本発明に係わる仮想化モジュール112がマルウェアによるファイル破壊をブロックする動作例を示す説明図である。
仮想化モジュール112はオペレーティングシステム105の起動時に割込み記述テーブル113の登録内容を変更し、ソフトウェア割込みルーチンではなく、仮想化モジュール112内のルーチンがソフトウェア割込みを処理できるようにする(S1)。
一方、Webブラウザ101や文書ソフト102等のアプリケーション起動時に、アプリケーション固有のディスクイメージ303,304を仮想ディスク301,302にコピーする(S2)。例えば、Webブラウザ用のディスクイメージ303をWebブラウザ101がアクセスする仮想ディスク301にコピーする。Webブラウザ101がアクセスする仮想ディスク301にはHTMLファイル311やレジストリ312が保存されている。
同様に、文書ソフト102用のディスクイメージ304を文書ソフト102がアクセスする仮想ディスク302にコピーする。文書ソフト102がアクセスする仮想ディスク302には、文書データ321やレジストリ322が保存されている。 FIG. 3 is an explanatory diagram showing an operation example in which the virtualization module 112 according to the present invention blocks file destruction by malware.
The virtualization module 112 changes the registered contents of the interrupt description table 113 when the operating system 105 is started, so that the routine in the virtualization module 112 can process the software interrupt instead of the software interrupt routine (S1).
On the other hand, when an application such as the Web browser 101 or the document software 102 is started, the disk images 303 and 304 unique to the application are copied to the virtual disks 301 and 302 (S2). For example, the web browser disk image 303 is copied to the virtual disk 301 accessed by the web browser 101. An HTML file 311 and a registry 312 are stored in the virtual disk 301 accessed by the Web browser 101.
Similarly, the disk image 304 for the document software 102 is copied to the virtual disk 302 accessed by the document software 102. Document data 321 and a registry 322 are stored in the virtual disk 302 accessed by the document software 102.

Webブラウザ101の利用中にマルウェアに感染したことを仮定する。この場合、マルウェアはデータを破壊するため、ファイルの削除を要求するソフトウェア割込みを発生させる(S3)。CPU121はページテーブル114に登録されている仮想化モジュール112のルーチンを実行するS4)。
仮想化モジュール112のルーチンはWebブラウザ101がアクセスする仮想ディスク301上のファイル311にアクセスし、ファイルを削除する(S5)。その後、仮想化モジュール112はCPU121にソフトウェア割込みルーチンの終了を通知する(S6)。すると、CPU121はWebブラウザ101に制御を移し、Webブラウザの実行が再開される(S7)。 Assume that the user is infected with malware while using the Web browser 101. In this case, in order to destroy the data, the malware generates a software interrupt requesting file deletion (S3). The CPU 121 executes the routine of the virtualization module 112 registered in the page table 114 (S4).
The routine of the virtualization module 112 accesses the file 311 on the virtual disk 301 accessed by the Web browser 101 and deletes the file (S5). Thereafter, the virtualization module 112 notifies the CPU 121 of the end of the software interrupt routine (S6). Then, the CPU 121 transfers control to the web browser 101, and execution of the web browser is resumed (S7).

上記の機能を実現するため、仮想化モジュール112にはソフトウェア割込みがどのアプリケーションからの要求かを正しく認証する機能を備えていることを前提とする。
アプリケーションの認証方法としては、実行プログラムファイルのハッシュを採る方法、アプリケーションの実行プログラムのファイルパスを確認する方法、オペレーティングシステム105が保持しているプロセスの構成情報を確認する方法、もしくはこれらの方法の組み合わせがある。 In order to realize the above function, it is assumed that the virtualization module 112 has a function of correctly authenticating from which application the software interrupt is requested.
As an application authentication method, a method of taking a hash of an execution program file, a method of checking a file path of an execution program of an application, a method of checking configuration information of a process held by the operating system 105, or a method of these methods There are combinations.

本発明の仮想化モジュール112の実現方法として、アプリケーションを認証する全ての方法が対象になる。Webブラウザ101に感染したマルウェアはWebブラウザ101がアクセスする仮想ディスク301上のHTMLファイル311を漏洩・破壊することができる。しかしながら、文書ソフト102がアクセスする仮想ディスク302や外部記憶装置123のファイルを漏洩や破壊から保護できるため、マルウェアの影響が他のアプリケーションやシステム全体に波及しない効果がある。
また、Webブラウザ101を再起動するたびに、Webブラウザ101用のディスクイメージ303を仮想ディスク301にコピーする為、マルウェアによって破壊されたHTMLファイル311を復元できる効果もある。 As a method for realizing the virtualization module 112 of the present invention, all methods for authenticating an application are targeted. Malware infected with the Web browser 101 can leak and destroy the HTML file 311 on the virtual disk 301 accessed by the Web browser 101. However, since the files on the virtual disk 302 and the external storage device 123 accessed by the document software 102 can be protected from leakage or destruction, there is an effect that the influence of malware does not spread to other applications or the entire system.
Further, since the disk image 303 for the Web browser 101 is copied to the virtual disk 301 every time the Web browser 101 is restarted, there is an effect that the HTML file 311 destroyed by malware can be restored.

図4は、本発明に係わる割込み記述テーブル113の構成を示す図である。
割込み記述テーブル113は“割込みベクター”、“属性”、“割込みルーチンアドレス”で構成されている。
“割込みベクター”は割込みの番号を表している。アプリケーションがオペレーティングシステム105にファイル操作を要求するためのシステムコールを実行する場合、通常は割込み番号(”002E”)のソフトウェア割込みが用いられる。
“属性”は割込みの種類を表している。属性値として、割込みゲート、タスクゲート、トラップゲート等がある。
“割込みルーチンアドレス”は、個々の割込みに対応する処理ルーチンの先頭アドレスを記述している。
オペレーティングシステム105は起動時にソフトウェア割込みルーチンのアドレスを割込み記述テーブル113に設定する。
本発明の仮想化モジュール112は、割込み記述テーブル113に設定されている“割込みルーチンアドレス”を独自のソフトウェア割込みルーチンの先頭アドレスに再設定する。この結果、アプリケーションからのハードディスクやメモリのアクセスを全て監視できる。 FIG. 4 is a diagram showing the configuration of the interrupt description table 113 according to the present invention.
The interrupt description table 113 includes “interrupt vector”, “attribute”, and “interrupt routine address”.
“Interrupt vector” represents an interrupt number. When an application executes a system call for requesting a file operation from the operating system 105, a software interrupt with an interrupt number (“002E”) is usually used.
“Attribute” represents the type of interrupt. As attribute values, there are an interrupt gate, a task gate, a trap gate, and the like.
“Interrupt routine address” describes the start address of the processing routine corresponding to each interrupt.
The operating system 105 sets the address of the software interrupt routine in the interrupt description table 113 at startup.
The virtualization module 112 of the present invention resets the “interrupt routine address” set in the interrupt description table 113 to the head address of its own software interrupt routine. As a result, all hard disk and memory accesses from applications can be monitored.

図5は、本発明に係わるWebブラウザ101でPDFファイル501の閲覧が失敗する動作例を示す説明図である。
Webブラウザ101でPDFファイル501を閲覧する場合、Webブラウザ101はPDFファイル501をダウンロードし、PDFファイル501をキャッシュの格納領域に一時的に保存する。この時、Webブラウザ101はPDFファイル501の保存を要求するソフトウェア割込みを発生させる(S1)。
CPU121はページテーブル114に登録されている仮想化モジュール112のルーチンを実行する(S2)。 FIG. 5 is an explanatory diagram showing an operation example in which browsing of the PDF file 501 fails in the Web browser 101 according to the present invention.
When browsing the PDF file 501 with the Web browser 101, the Web browser 101 downloads the PDF file 501 and temporarily saves the PDF file 501 in the storage area of the cache. At this time, the web browser 101 generates a software interrupt requesting to save the PDF file 501 (S1).
The CPU 121 executes the routine of the virtualization module 112 registered in the page table 114 (S2).

仮想化モジュール112のルーチンはWebブラウザ101がアクセスする仮想ディスク301上にPDFファイル501を保存する(S3)。
次にWebブラウザ101はPDF閲覧ソフト501を起動し、PDFファイル502の場所を通知する(S4)。
PDF閲覧ソフト501は、Webブラウザ101から受信したPDFファイル502の場所を参照するためのソフトウェア割込みを発生させる(S5)。
CPU121はページテーブル114に登録されている仮想化モジュール112のルーチンを実行する(S6)。
仮想化モジュール112のルーチンはPDF閲覧ソフト501がアクセスする仮想ディスク302上のPDFファイルを参照しようとするが、該当するPDFファイルはWebブラウザ101がアクセスする仮想ディスク301上には存在するが、PDF閲覧ソフト501がアクセスする仮想ディスク302には存在しないため、ファイルの参照は失敗する。 The routine of the virtualization module 112 saves the PDF file 501 on the virtual disk 301 accessed by the Web browser 101 (S3).
Next, the Web browser 101 activates the PDF browsing software 501 and notifies the location of the PDF file 502 (S4).
The PDF browsing software 501 generates a software interrupt for referring to the location of the PDF file 502 received from the Web browser 101 (S5).
The CPU 121 executes the routine of the virtualization module 112 registered in the page table 114 (S6).
The routine of the virtualization module 112 tries to refer to the PDF file on the virtual disk 302 accessed by the PDF browsing software 501, but the corresponding PDF file exists on the virtual disk 301 accessed by the Web browser 101, but the PDF Since it does not exist in the virtual disk 302 accessed by the browsing software 501, the file reference fails.

図6は、本発明に係わるデータ転送プログラム103を利用し、Webブラウザ10でPDFファイル502を閲覧する動作例を示す説明図である。
前述の図5においてPDF閲覧ソフト501がPDFファイル502の参照に失敗した後で、ユーザは本発明のデータ転送プログラム103を起動する(S8)。
データ転送プログラム103の起動は仮想化モジュール112がPDFファイル502の参照の失敗時に実行することも可能である。
データ転送プログラム103は、図8に示す設定画面801を表示し、ユーザにWebブラウザ101がアクセスする仮想ディスク301上のPDFファイル502をPDF閲覧ソフト501がアクセスする仮想ディスク302にコピーするか否かを指定させる。指定の仕方については図8で説明する。 FIG. 6 is an explanatory diagram showing an operation example of browsing the PDF file 502 by the Web browser 10 using the data transfer program 103 according to the present invention.
In FIG. 5, after the PDF browsing software 501 fails to refer to the PDF file 502, the user starts the data transfer program 103 of the present invention (S8).
The data transfer program 103 can be activated when the virtualization module 112 fails to refer to the PDF file 502.
Whether the data transfer program 103 displays the setting screen 801 shown in FIG. 8 and copies the PDF file 502 on the virtual disk 301 accessed by the Web browser 101 to the virtual disk 302 accessed by the PDF browsing software 501 is determined. Is specified. The method of designation will be described with reference to FIG.

PDFファイル501をコピーする場合、データ転送プログラム103はファイルのコピーを要求するソフトウェア割込みを発生させる(S9)。
CPU121はページテーブル114に登録されている仮想化モジュール112のルーチンを実行する(S10)。
仮想化モジュール112はWebブラウザ101がアクセスする仮想ディスク301上のPDFファイル502をPDF閲覧ソフト501がアクセスする仮想ディスク302上のPDFファイル601にコピーする(S11)。
PDF閲覧ソフト501はPDFファイル601を閲覧するソフトウェア割込みを発生させる(S12)。
CPU121はページテーブル114に登録されている仮想化モジュール112のルーチンを実行する(S13)。
仮想化モジュール112のルーチンはPDF閲覧ソフト501がアクセスする仮想ディスク302上のPDFファイル601の参照に成功する(S14)。 When copying the PDF file 501, the data transfer program 103 generates a software interrupt requesting the file copy (S9).
The CPU 121 executes the routine of the virtualization module 112 registered in the page table 114 (S10).
The virtualization module 112 copies the PDF file 502 on the virtual disk 301 accessed by the Web browser 101 to the PDF file 601 on the virtual disk 302 accessed by the PDF browsing software 501 (S11).
The PDF browsing software 501 generates a software interrupt for browsing the PDF file 601 (S12).
The CPU 121 executes the routine of the virtualization module 112 registered in the page table 114 (S13).
The routine of the virtualization module 112 succeeds in referring to the PDF file 601 on the virtual disk 302 accessed by the PDF browsing software 501 (S14).

図3の説明で述べた通り、仮想化モジュール112は、ソフトウェア割込みがどのアプリケーションからの要求かを正しく認証する機能を備えている。このため、仮想化モジュール112は、データ転送プログラム103からのデータ転送要求だけ許可し、他のアプリケーションからの不正なデータ転送要求は全てブロックできる。   As described in the explanation of FIG. 3, the virtualization module 112 has a function of correctly authenticating from which application the software interrupt is requested. For this reason, the virtualization module 112 permits only data transfer requests from the data transfer program 103 and can block all illegal data transfer requests from other applications.

図7は、本発明に係わるデータ転送プログラム103がシステム終了時に必要なデータをコピーする動作例を示す説明図である。
データ転送プログラム103は、仮想ディスクの変更をディスクイメージに反映するため、オペレーティングシステム105の終了時に図8に示す設定画面801を表示し、変更データをディスクイメージにコピーするか否かをユーザに指定させる(S1)。指定の仕方については図8で説明する。
指定されたならば、データ転送プログラム103は仮想ディスクからディスクイメージへのデータのコピーを要求するソフトウェア割込みを発生させる(S2)。
CPU121はページテーブル114に登録されている仮想化モジュール112のルーチンを実行する(S3)。
仮想化モジュール112はユーザが指定した仮想ディスク上のファイルをディスクイメージにコピーする(S4)。
例えば、Webブラウザ101がアクセスする仮想ディスク301上のHTMLファイル311をWebブラウザ用のディスクイメージ303上のHTMLファイル701、文書ソフト102がアクセスする仮想ディスク302上の文書ファイル321を文書ソフト用102のディスクイメージ304上の文書ファイル702にコピーする。 FIG. 7 is an explanatory diagram showing an operation example in which the data transfer program 103 according to the present invention copies necessary data when the system is terminated.
The data transfer program 103 displays the setting screen 801 shown in FIG. 8 when the operating system 105 is terminated to reflect the change of the virtual disk in the disk image, and specifies to the user whether or not to copy the changed data to the disk image. (S1). The method of designation will be described with reference to FIG.
If specified, the data transfer program 103 generates a software interrupt requesting data copy from the virtual disk to the disk image (S2).
The CPU 121 executes the routine of the virtualization module 112 registered in the page table 114 (S3).
The virtualization module 112 copies the file on the virtual disk specified by the user to the disk image (S4).
For example, the HTML file 311 on the virtual disk 301 accessed by the Web browser 101 is the HTML file 701 on the disk image 303 for the Web browser, and the document file 321 on the virtual disk 302 accessed by the document software 102 is the document software 102. Copy to the document file 702 on the disk image 304.

一方、仮想ディスク301、302上のレジストリ312、322はシステムの設定情報などを保存するデータベースであり、マルウェアによって設定内容が改変されるなど悪用される可能性が高いため、本発明では、レジストリはディスクイメージにはコピーしない。   On the other hand, the registries 312 and 322 on the virtual disks 301 and 302 are databases for storing system setting information and the like, and since there is a high possibility that the setting contents are altered by malware, in the present invention, the registry is Do not copy to disk image.

図8は、本発明に係わるデータ転送プログラム103の設定画面例を示す図である。
データ転送プログラム103は表示項目として、”選択”、 ”ファイル名”、 ”仮想ディスク”、”アプリケーション”がある。”選択”はファイルを操作対象に含めるか否かのチェックボタンである。”ファイル名”は仮想ディスク上の変更されたファイルのパス名である。”仮想ディスク”はファイルを保存している仮想ディスクを表す。”アプリケーション”はファイルの転送先の仮想ディスクを表す。
データ転送プログラム103の操作として、”全て選択”、 ”イメージ”、”転送”、”キャンセル”がある。”全て選択”はリストに含まれている全ての”選択”をチェックするボタンである。
”イメージ”はリストに含まれている全ての”アプリケーション”を”ディスクイメージ”に変更するボタンである。
”転送”はリストの設定内容の通りにデータ転送することを仮想化モジュールに要求するボタンである。
”キャンセル”はデータ転送をキャンセルするボタンである。 FIG. 8 is a diagram showing a setting screen example of the data transfer program 103 according to the present invention.
The data transfer program 103 includes “Selection”, “File Name”, “Virtual Disk”, and “Application” as display items. “Select” is a check button for determining whether or not to include a file as an operation target. “File name” is the path name of the changed file on the virtual disk. “Virtual disk” represents a virtual disk storing a file. “Application” represents a virtual disk of a file transfer destination.
The operation of the data transfer program 103 includes “select all”, “image”, “transfer”, and “cancel”. “Select All” is a button for checking all “Select” included in the list.
“Image” is a button for changing all “applications” included in the list to “disk images”.
“Transfer” is a button that requests the virtualization module to transfer data according to the setting contents of the list.
“Cancel” is a button for canceling data transfer.

本実施例の811は”D:\WEB\文書1.pdf”というファイルをPDF閲覧ソフト501がアクセスする仮想ディスクからPDF閲覧ソフト用のディスクイメージにコピーすることを示す。
同様に、812は”D:\WEB\文書2.pdf”というファイルをWebブラウザ101がアクセスする仮想ディスクからPDF閲覧ソフト501がアクセスする仮想ディスクにコピーすること、813は何も処理しないこと、814は”D:\WEB\ページ2.HTML”というファイルをWebブラウザ101がアクセスする仮想ディスクからWebブラウザ101用のディスクイメージにコピーすることを示す。 In the present example, 811 indicates that the file “D: \ WEB \ document 1.pdf” is copied from the virtual disk accessed by the PDF browsing software 501 to the disk image for the PDF browsing software.
Similarly, 812 copies the file “D: \ WEB \ document 2.pdf” from the virtual disk accessed by the Web browser 101 to the virtual disk accessed by the PDF browsing software 501, and 813 does nothing. Reference numeral 814 denotes copying a file “D: \ WEB \ page 2.HTML” from the virtual disk accessed by the Web browser 101 to the disk image for the Web browser 101.

図9は本発明に係わる仮想化モジュール112が共有メモリを破壊から保護する動作例を示す説明である。
通常、Webブラウザ101はクッキー情報等の一時的な格納領域として共有メモリ901を利用する。共有メモリ901にアクセスする場合、Webブラウザ101は共有メモリ901にアクセスするソフトウェア割込みを発生させる(S1)。
CPU121はページテーブル114に登録されている仮想化モジュール112のルーチンを実行する(S2)。
仮想化モジュール112はページテーブル114の登録内容を参照し、他のプロセスが共有メモリ901にアクセスしていないか確認する(S3)。この段階ではまだ共有メモリはアクセスされていないため、仮想化モジュール112は共有メモリ901のデータの参照を許可する(S4)。
次に、文書ソフト102が上記の共有メモリ901にアクセスする場合を考える。文書ソフト102は共有メモリ901にアクセスするソフトウェア割込みを発生させる(S5)。
CPU121はページテーブル114に登録されている仮想化モジュール112のルーチンを実行する(S6)。 FIG. 9 is a diagram illustrating an operation example in which the virtualization module 112 according to the present invention protects the shared memory from destruction.
Normally, the Web browser 101 uses the shared memory 901 as a temporary storage area for cookie information and the like. When accessing the shared memory 901, the Web browser 101 generates a software interrupt for accessing the shared memory 901 (S1).
The CPU 121 executes the routine of the virtualization module 112 registered in the page table 114 (S2).
The virtualization module 112 refers to the registered contents of the page table 114 and checks whether another process is accessing the shared memory 901 (S3). At this stage, since the shared memory has not been accessed yet, the virtualization module 112 permits reference to data in the shared memory 901 (S4).
Next, consider a case where the document software 102 accesses the shared memory 901 described above. The document software 102 generates a software interrupt for accessing the shared memory 901 (S5).
The CPU 121 executes the routine of the virtualization module 112 registered in the page table 114 (S6).

仮想化モジュール112はページテーブル114の登録内容を参照し、他のプロセスが共有メモリ901にアクセスしていないか確認する(S7)。この時点で既にWebブラウザ101が共有メモリ901にアクセスしているため、仮想化モジュール112は共有メモリ901のアクセスを失敗させる(S8)。
本例では二つのアプリケーションの例を示したが、アプリケーションの数が増えた場合も同様である。 The virtualization module 112 refers to the registered contents of the page table 114 and checks whether another process is accessing the shared memory 901 (S7). Since the Web browser 101 has already accessed the shared memory 901 at this time, the virtualization module 112 fails to access the shared memory 901 (S8).
In this example, two application examples are shown, but the same applies when the number of applications increases.

図10は本発明に係わるページテーブル114の構成例を示す図である。
ページテーブル114は”物理アドレス”、”属性”、”仮想アドレス”で構成されている。
”物理アドレス”はメモリ上の物理的なアドレスを表す。”属性”はメモリの属性値を表し、メモリページの存在、アクセス済みか否か、読み書き可能か否かを表すフラグが設定可能である。
”仮想アドレス”はアプリケーションから見える仮想的なアドレス空間のアドレス値を表す。仮想化モジュール112は、ページテーブル114の共有メモリ901に対応しているエントリの”属性”の値を参照し、共有メモリ901のアクセスを許可するか否かを決定する。 FIG. 10 is a diagram showing a configuration example of the page table 114 according to the present invention.
The page table 114 includes “physical address”, “attribute”, and “virtual address”.
“Physical address” represents a physical address on the memory. “Attribute” represents an attribute value of the memory, and a flag indicating whether a memory page exists, whether it has been accessed, and whether read / write is possible can be set.
The “virtual address” represents an address value in a virtual address space that can be seen from the application. The virtualization module 112 refers to the value of the “attribute” of the entry corresponding to the shared memory 901 in the page table 114 and determines whether to permit access to the shared memory 901.

次に仮想化モジュール112について説明する。
図11は、本発明に係る仮想化モジュール112の処理を示すフローチャートである。
仮想化モジュール112は、オペレーティングシステム105の起動時に自動的に起動し(ステップ1101)、割込み記述テーブル113の設定内容を変更し、アプリケーションからのソフトウェア割込みの監視を開始する(ステップ1102)。
仮想化モジュール112は監視処理として、ソフトウェア割込みのイベントの受信を待ち(ステップ1103)、ソフトウェア割込みのイベントを受信すると(ステップ1104)、受信したイベントの種類がデータ転送プログラム103からのデータのコピーイベントかチェックする(ステップ1105)。 Next, the virtualization module 112 will be described.
FIG. 11 is a flowchart showing processing of the virtualization module 112 according to the present invention.
The virtualization module 112 is automatically started when the operating system 105 is started (step 1101), changes the setting contents of the interrupt description table 113, and starts monitoring software interrupts from the application (step 1102).
As a monitoring process, the virtualization module 112 waits for reception of a software interrupt event (step 1103). When the virtualization module 112 receives a software interrupt event (step 1104), the received event type is a data copy event from the data transfer program 103. Is checked (step 1105).

データのコピーイベントの場合、仮想ディスク上のデータを別の仮想ディスク、またはディスクイメージにコピーする処理を実行し(ステップ1106)、ステップ1103から繰り返す。
ステップ1105でデータのコピーイベント以外の場合、仮想化モジュール112はアプリケーションの起動イベントかチェックする(ステップ1107)。
アプリケーションの起動イベントの場合、図3に示した方法でアプリケーション用のディスクイメージを仮想ディスクにコピーし(ステップ1108)、ステップ1103から繰り返す。
ステップ1107でアプリケーションの起動イベント以外の場合、仮想化モジュール112はファイル操作のシステムコールイベントかチェックする(ステップ1109)。ファイル操作のシステムコールイベントの場合、そのアプリケーションに固有の仮想ディスクにアクセスし(ステップ1110)、ステップ1103から繰り返す。 In the case of a data copy event, a process of copying data on the virtual disk to another virtual disk or disk image is executed (step 1106), and the process is repeated from step 1103.
If the event is not a data copy event in step 1105, the virtualization module 112 checks whether it is an application activation event (step 1107).
In the case of an application activation event, the disk image for the application is copied to the virtual disk by the method shown in FIG. 3 (step 1108), and the process is repeated from step 1103.
In step 1107, if the event is not an application activation event, the virtualization module 112 checks whether it is a file operation system call event (step 1109). In the case of a file operation system call event, a virtual disk unique to the application is accessed (step 1110), and the process is repeated from step 1103.

ステップ1109でファイル操作のシステムコールイベント以外の場合、共有メモリ操作のシステムコールイベントかチェックする(ステップ1112)。共有メモリ操作のシステムコールイベントの場合、その共有メモリはアクセス済みか否かをチェックする(ステップ1113)。共有メモリはアクセス済みの場合、仮想化モジュールは共有メモリのアクセスを失敗させ(ステップ1114)、ステップ1103から繰り返す。
ステップ1113で共有メモリはアクセス済みでない場合、共有メモリのアクセスを許可し(ステップ1115)、ステップ1103から繰り返す。 If it is determined in step 1109 that the event is not a file operation system call event, it is checked whether the system call event is a shared memory operation (step 1112). In the case of a system call event of a shared memory operation, it is checked whether or not the shared memory has been accessed (step 1113). If the shared memory has been accessed, the virtualization module fails to access the shared memory (step 1114) and repeats from step 1103.
If the shared memory has not been accessed in step 1113, access to the shared memory is permitted (step 1115), and the processing from step 1103 is repeated.

ステップ1112で共有メモリ操作のシステムコールイベント以外の場合、オペレーティングシステム105の終了処理が済んでいるかチェックする(ステップ1116)。
オペレーティングシステム105の終了処理とは、仮想化モジュール112が仮想ディスク上の変更データをディスクイメージに反映する処理のことである。
ステップ1116でオペレーティングシステム105の終了処理が済んでいない場合、データ転送プログラム103を起動し(ステップ1117)、ステップ1103から繰り返す。
ステップ1116でオペレーティングシステム105の終了処理が済んでいる場合、全ての仮想ディスクを消去し(ステップ1118)、終了する。 If it is not a shared memory operation system call event in step 1112, it is checked whether the termination processing of the operating system 105 has been completed (step 1116).
The termination process of the operating system 105 is a process in which the virtualization module 112 reflects the changed data on the virtual disk in the disk image.
If it is determined in step 1116 that the operating system 105 has not been terminated, the data transfer program 103 is started (step 1117), and the process is repeated from step 1103.
When the termination processing of the operating system 105 has been completed in step 1116, all virtual disks are erased (step 1118) and the processing is terminated.

次にデータ転送プログラム103について説明する。
図12は本発明に係るデータ転送プログラム103の処理を示すフローチャートである。
データ転送プログラム103はユーザや仮想化モジュール112によって起動されると(ステップ1201)、仮想ディスクから別の仮想ディスク、もしくは仮想ディスクからディスクイメージへのデータのコピーの設定情報をユーザから受信し(ステップ1202)、仮想化モジュール112にデータのコピーイベントを送信する(ステップ1203)。 Next, the data transfer program 103 will be described.
FIG. 12 is a flowchart showing the processing of the data transfer program 103 according to the present invention.
When the data transfer program 103 is activated by the user or the virtualization module 112 (step 1201), it receives setting information for copying data from the virtual disk to another virtual disk or from the virtual disk to the disk image (step 1201). 1202), a data copy event is transmitted to the virtualization module 112 (step 1203).

本発明の一実施の形態を示すシステム構成図である。1 is a system configuration diagram showing an embodiment of the present invention. 本発明に係わるマルウェアに感染したWebブラウザがファイルを破壊する動作例を示す説明図である。It is explanatory drawing which shows the operation example which the web browser infected with the malware concerning this invention destroys a file. 本発明に係わる仮想化モジュールがマルウェアによるファイル破壊をブロックする動作例を示す説明図である。It is explanatory drawing which shows the operation example in which the virtualization module concerning this invention blocks the file destruction by malware. 本発明に係わる割込み記述テーブルの構成例を示す図である。It is a figure which shows the structural example of the interrupt description table concerning this invention. 本発明に係わるWebブラウザでPDFファイルの閲覧が失敗する動作例を示す説明図である。It is explanatory drawing which shows the operation example in which browsing of a PDF file fails with the Web browser concerning this invention. 本発明に係わるデータ転送プログラムを利用し、WebブラウザでPDFファイルを閲覧する動作例を示す説明図である。It is explanatory drawing which shows the operation example which browses a PDF file with a web browser using the data transfer program concerning this invention. 本発明に係わるデータ転送プログラムがシステム終了時に必要なデータをコピーする動作例を示す説明図である。It is explanatory drawing which shows the operation example in which the data transfer program concerning this invention copies required data at the time of a system end. 本発明に係わるデータ転送プログラムの画面例を示す図である。It is a figure which shows the example of a screen of the data transfer program concerning this invention. 本発明に係わる仮想化モジュールが共有メモリを破壊から保護する動作例を示す説明図である。It is explanatory drawing which shows the operation example in which the virtualization module concerning this invention protects a shared memory from destruction. 本発明に係わるページテーブルの構成を示す図である。It is a figure which shows the structure of the page table concerning this invention. 本発明に記載の仮想化モジュールの処理を示すフローチャートである。It is a flowchart which shows the process of the virtualization module as described in this invention. 本発明に記載のデータ転送プログラムの処理を示すフローチャートである。It is a flowchart which shows the process of the data transfer program as described in this invention.

符号の説明Explanation of symbols

1…PC、101…Webブラウザ、102…文書ソフト、103…データ転送プログラム、104…コールゲート、105…オペレーティングシステム、106…ハードウェア、111…ソフトウェア割込みルーチン、112…仮想化モジュール、113…割込み記述テーブル、114…ページテーブル、121…CPU、122…メモリ、123…外部記憶装置、131…ファイル、132…レジストリ。   DESCRIPTION OF SYMBOLS 1 ... PC, 101 ... Web browser, 102 ... Document software, 103 ... Data transfer program, 104 ... Call gate, 105 ... Operating system, 106 ... Hardware, 111 ... Software interruption routine, 112 ... Virtualization module, 113 ... Interrupt Description table, 114 ... page table, 121 ... CPU, 122 ... memory, 123 ... external storage device, 131 ... file, 132 ... registry.

Claims (1)

記憶装置に格納されたアプリケーションにそれぞれ対応した仮想ディスクを作成し、異なるアプリケーションに対応付けられた仮想ディスクや物理的なハードディスクへのアクセスを禁止する手段と、
ユーザの設定に応じて、任意のアプリケーションに対応付けられた仮想ディスクから異なるアプリケーションに対応付けられた仮想ディスクにデータを転送する手段と、
オペレーティングシステムの終了時に全ての仮想ディスクを消去する手段と、
を備えることを特徴とする未知のマルウェアによる情報漏洩防止システム。 Means for creating a virtual disk corresponding to each application stored in the storage device and prohibiting access to a virtual disk or a physical hard disk associated with a different application;
Means for transferring data from a virtual disk associated with an arbitrary application to a virtual disk associated with a different application according to user settings;
A means to erase all virtual disks when the operating system exits;
An information leakage prevention system by unknown malware, characterized by comprising:
JP2006038901A 2006-02-16 2006-02-16 Information leakage prevention system due to unknown malware Expired - Fee Related JP4627266B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006038901A JP4627266B2 (en) 2006-02-16 2006-02-16 Information leakage prevention system due to unknown malware

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006038901A JP4627266B2 (en) 2006-02-16 2006-02-16 Information leakage prevention system due to unknown malware

Publications (2)

Publication Number Publication Date
JP2007219786A JP2007219786A (en) 2007-08-30
JP4627266B2 true JP4627266B2 (en) 2011-02-09

Family

ID=38497031

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006038901A Expired - Fee Related JP4627266B2 (en) 2006-02-16 2006-02-16 Information leakage prevention system due to unknown malware

Country Status (1)

Country Link
JP (1) JP4627266B2 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4712023B2 (en) * 2007-11-30 2011-06-29 Sky株式会社 Document distribution system and document distribution program
KR101624868B1 (en) 2008-08-06 2016-06-07 삼성전자주식회사 Method for controlling of virtualization apparatus and virtualization apparatus
CN116414424B (en) * 2023-06-09 2023-09-12 建信金融科技有限责任公司 Thermal updating method, device, equipment and storage medium

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002244755A (en) * 2001-02-16 2002-08-30 Sony Corp Data processing method, semiconductor circuit, and program
JP2002535772A (en) * 1999-01-22 2002-10-22 サン・マイクロシステムズ・インコーポレーテッド Techniques for granting access across contextual barriers using runtime environment privileges on small area devices
JP2003518279A (en) * 1999-01-22 2003-06-03 サン・マイクロシステムズ・インコーポレイテッド Techniques to allow access across contextual barriers using global data structures on small area devices
JP2003522986A (en) * 1999-01-22 2003-07-29 サン・マイクロシステムズ・インコーポレイテッド Technology for security using context barrier in small area equipment
JP2003522987A (en) * 1999-01-22 2003-07-29 サン・マイクロシステムズ・インコーポレイテッド Technology to allow access across context barriers using input point objects in small area devices
JP2004272595A (en) * 2003-03-07 2004-09-30 Ntt Docomo Inc Communication system, server, mobile apparatus, program, and recording medium
JP2007183968A (en) * 2006-01-09 2007-07-19 Sun Microsyst Inc Data transfer method and device between separated execution context

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002535772A (en) * 1999-01-22 2002-10-22 サン・マイクロシステムズ・インコーポレーテッド Techniques for granting access across contextual barriers using runtime environment privileges on small area devices
JP2003518279A (en) * 1999-01-22 2003-06-03 サン・マイクロシステムズ・インコーポレイテッド Techniques to allow access across contextual barriers using global data structures on small area devices
JP2003522986A (en) * 1999-01-22 2003-07-29 サン・マイクロシステムズ・インコーポレイテッド Technology for security using context barrier in small area equipment
JP2003522987A (en) * 1999-01-22 2003-07-29 サン・マイクロシステムズ・インコーポレイテッド Technology to allow access across context barriers using input point objects in small area devices
JP2002244755A (en) * 2001-02-16 2002-08-30 Sony Corp Data processing method, semiconductor circuit, and program
JP2004272595A (en) * 2003-03-07 2004-09-30 Ntt Docomo Inc Communication system, server, mobile apparatus, program, and recording medium
JP2007183968A (en) * 2006-01-09 2007-07-19 Sun Microsyst Inc Data transfer method and device between separated execution context

Also Published As

Publication number Publication date
JP2007219786A (en) 2007-08-30

Similar Documents

Publication Publication Date Title
JP6352332B2 (en) System and method for restoring changed data
JP6370747B2 (en) System and method for virtual machine monitor based anti-malware security
US7836504B2 (en) On-access scan of memory for malware
US8484483B2 (en) Method for protecting computer programs and data from hostile code
US6986006B2 (en) Page granular curtained memory via mapping control
JP4828199B2 (en) System and method for integrating knowledge base of anti-virus software applications
US8522015B2 (en) Authentication of binaries in memory with proxy code execution
US8453243B2 (en) Real time lockdown
AU2006235058B2 (en) System and method for foreign code detection
US7251735B2 (en) Buffer overflow protection and prevention
JP2007304954A (en) Computer system having memory protecting function
US20070050848A1 (en) Preventing malware from accessing operating system services
JP7146812B2 (en) Auxiliary storage device with independent restoration area and equipment to which this is applied
JP2005316599A (en) Interrupt controller
US20240152610A1 (en) Methods and systems for detecting and blocking malicious actions in operating system
US20160217289A1 (en) System and method for controlling hard drive data change
KR100704721B1 (en) method for computer protection with real-time monitoring and thereby computer and thereby system
JP4627266B2 (en) Information leakage prevention system due to unknown malware
WO2011095484A1 (en) Method of countermeasure against the installation-by-tearing of viruses onto a secure portable mass storage device
JP2008077413A (en) Thin client, thin client system, and program
JP5081280B2 (en) Portable storage media
EP1225512A1 (en) Method for protecting computer programs and data from hostile code
JPH0844556A (en) Software structure and mechanism for security and system protection in electronic computer
KR20060083365A (en) Interrrupt management method for preventing hacking and computer-readable recording medium

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080708

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20101104

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20101104

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131119

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees