CN1766778A - 用户可修改文件的有效白名单 - Google Patents

用户可修改文件的有效白名单 Download PDF

Info

Publication number
CN1766778A
CN1766778A CNA2005101088843A CN200510108884A CN1766778A CN 1766778 A CN1766778 A CN 1766778A CN A2005101088843 A CNA2005101088843 A CN A2005101088843A CN 200510108884 A CN200510108884 A CN 200510108884A CN 1766778 A CN1766778 A CN 1766778A
Authority
CN
China
Prior art keywords
file
malware
signature
received
generated
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CNA2005101088843A
Other languages
English (en)
Other versions
CN100585534C (zh
Inventor
D·乌兰格拉特查甘
M·科斯蒂亚
S·A·费尔德
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Technology Licensing LLC
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of CN1766778A publication Critical patent/CN1766778A/zh
Application granted granted Critical
Publication of CN100585534C publication Critical patent/CN100585534C/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

提供一种用于有效地确定所接收的文件不是恶意软件的系统和方法。在运行中,当在计算设备上接收到一文件,作出关于该文件是否包含用户可修改或表面数据区,即固有地一般不带有或嵌入恶意软件的文件区域的评估。如果该文件包含表面数据区,则那些表面数据区被滤出,且文件签名是基于所接收文件的剩余部分生成的。该文件而后与一已知恶意软件列表进行比较,以确定该文件是否是恶意软件。或者,该文件能够同一已知的可信文件列表进行比较,以确定该文件是否可信。

Description

用户可修改文件的有效白名单
技术领域
本发明涉及计算机软件和计算机安全,更具体地,本发明涉及计算机上接收到的用户可修改文件的有效、安全白名单。
背景技术
操作计算机,尤其是操作一台连接至网络的计算机的一个不幸的事实是,计算机经常受到攻击。这些攻击以多种形式出现,包括,但不限于,计算机病毒、蠕虫、计算机恶意利用(即,滥用或误用合法的计算机服务)、广告软件或间谍软件等等。尽管这些多种计算机攻击的每一个的操作机制相当不同,然而,大体上,它们都被设计成在计算机上执行某些未被授权的、通常不受欢迎的、经常具有攻击性的活动。对于本发明的目的,这些攻击在下文中可以一般地被称为是恶意软件。
因为恶意软件对计算机一般而言是现实情况,尤其是对网络计算机,因此发明和使用了多种工具来防止恶意软件在计算机上实现其恶意的意图。这些工具包括,防火墙、代理和在易受攻击应用程序上的安全设置。然而,大多数常用的用于保护计算机不受恶意软件攻击的工具是反病毒软件。
本领域的技术人员可以理解,大多数反病毒软件作为模式识别服务来操作。具体地,当一个文件由计算机接收时,不论该文件是可执行文件、文字处理文档、图像或其它类型的,保护该计算机的反病毒软件“分析”该文件以确定它是否被认为是恶意软件。反病毒软件通过为该文件生成一散列值,称为签名,来“分析”该文件。生成签名,以使另一文件极不可能也拥有相同的签名,从而该签名被认为是对该文件唯一的。一旦签名生成,该签名而后与一所谓的签名文件中的已知恶意软件的其它签名进行比较。这样,如果文件的所生成的签名与在该签名文件中已知恶意软件的签名相匹配,则反病毒软件就发现该文件是恶意软件,并采取合适的措施。
不幸的是,签名识别要求该恶意软件是先前已知的(且被识别),以便保护计算机免受该恶意软件的攻击。这样,反病毒软件不是时间零点(time-zero)保护,即,一旦恶意软件被发布到网络上,即时间零点,就保护计算机免受其害。而是,存在一个易受攻击性窗口,在此期问发布一个新的、未知的恶意软件,而反病毒软件能够保护计算机免受该新的恶意软件的攻击的时间在该窗口之后。
图1是示出与当前的反病毒软件签名识别相关联的易受攻击性窗口的示例性的时间线100的框图。如图1所示,在某些时间点,如由事件102所指出的,恶意的一方将一新的、未知的恶意软件发布到诸如因特网等网络上。显然,一旦该新的、未知的恶意软件被发布,连接至网络的计算机处于危险中,或是易受攻击的。因此,易受攻击性窗口被打开了。
尽管检测网络上新的恶意软件的实际时间取决于众多因素,包括该恶意软件的恶性,然而根据可用的统计数字,一般反病毒软件团体,即反病毒软件的提供者,需要4小时到3天来检测或知道该新的恶意软件。一旦被检测到,如事件104所指出的,该反病毒团体能够开始标识该恶意软件。除了为新的恶意软件生成签名外,标识该恶意软件通常也涉及研究/确定该恶意软件的最终后果、确定其攻击模式、标识被该攻击所暴露的系统的弱点、以及设计从受感染的计算机中去除该恶意软件的计划。
当一般花费大约4小时(至少用于签名标识)标识了该恶意软件之后,反病毒软件提供者会在其下载服务中张贴一更新的签名文件,如事件106所指出的。不幸的是,计算机(不论自动地或在计算机用户的命令下)不会立即更新其签名文件。大多数计算机通常花费4小时到一周来更新其签名文件,如事件108所指出的。当然,仅在更新的签名文件被下载至计算机之后,反病毒软件才能够防护计算机免受该新的恶意软件的攻击,从而关闭易受攻击性窗口110。确实,取决于个别情况,诸如当计算机的拥有者在度假时,用最新的签名文件更新计算机可以花费比一个星期长得多的时间。
正如可见的那样,新的、未知的恶意软件无论在何处都有从几小时到几周的时间以在网络团体上进行恶意的破坏而不被任何反病毒软件检查到。反病毒软件不是时间零点保护。好消息是,大多数计算机在恶意软件试图攻击任何一台计算机之前被保护了。不幸的是,某些还是在易受攻击性窗口内被暴露了,且被恶意软件感染。对于大多数人,尤其是那些非常依赖于其计算机的人,该易受攻击性窗口是完全不能接受的。
本领域的技术人员可以容易地认识到,重要的是为文件生成一个签名,使得该签名唯一地标识该文件。计算上生成肯定地标识文件且同时不会标识任何其它文件的签名,涉及复杂的算法和数学。不幸的是,为了生成那样唯一的签名,使用的算法对于文件是非常敏感的。对文件的任何修改会导致签名生成算法生成与原始文件不同的签名。换言之,对已知恶意软件的一个简单的、掩饰性的修改会导致签名生成算法返回一完全不同的签名。这样,对已知恶意软件(即,由其在签名文件中的签名标识的)的一个掩饰性的修改足以使得至少在被修改的恶意软件被识别且其签名被生成和存储在签名文件中之前,该修改过的恶意软件能够逃脱检测。
恶意软件的问题通常由于恶意软件经常嵌入在用户可修改文件中的事实而增加。例如,恶意软件可以被掩饰在嵌入在文字处理文档内的可执行脚本中,并作为该可执行脚本来发布。在这些情况下,恶意软件部分(即,嵌入的脚本)是与文档的可编辑部分是完全无关的。这样,尽管对嵌入的恶意脚本没有影响,对文字处理文档数据区的不论小的或大的修改,会导致整个恶意软件产生与其原始签名不同的签名。这些用户可修改文件包括,但不限于,文字处理文档、电子表格、图像、HTML文档等。此外,恶意软件创建者为了领先于反病毒软件检测,已经开始创建自修改恶意软件:为仍然能不被反病毒软件检测到而随机地修改文件中的某些部分的文档。因此,显然,在许多情况下,领先于所发布的恶意软件是非常困难的,尤其是当为了阻止恶意软件,该恶意软件必须已知时。
鉴于上述问题,所需要的是这样一种系统和方法,它允许(即列出白名单)那些已知是非恶意软件(即可信的)文件能够自由通过反病毒软件或其它安全措施,而同时不信任所有其它文件,从而使得计算机能关闭通常与反病毒软件相关联的易受攻击性窗口。还需要基于签名信息而不是整个文件来标识列为白名单的用户可修改文件的能力。本发明解决了现有技术中遇到的这些和其它问题。
发明内容
根据本发明的各方面,提供了一种用于标识所接收到的文件是否为恶意软件的计算机系统。该计算机系统包括处理器、通信连接和存储器。该计算机系统被这样配置,使得一旦在通信连接上接收到文件,作出关于该接收到的文件是否为用户可修改文件的判断。如果是,则选择用户可修改文件中更持久的部分。基于所接收文件中更持久的所选择部分生成文件签名。随后基于生成的文件签名,作出关于所接收的文件是否为恶意软件的判断。
根据本发明的其它方面,提供了一种在能够从外部来源接收文件的计算设备上实现的方法,用于确定所接收的文件是否为恶意软件。一旦接收了一个文件,作出关于该文件受否包含表面数据区的判断。如果接收到的文件包含表面数据区,则过滤出接收到的文件的那些表面数据区。基于所接收文件剩余的非表面数据区的部分生成文件签名。而后基于生成的文件签名作出所接收到的文件是否为恶意软件的判断。
根据本发明的另外方面,提供了一种具有计算机可执行指令的计算机可读介质,当该指令在能够从外部来源接收文件的计算设备上执行时,实现用于确定接收到的文件是否为恶意软件的方法。一旦接收到一文件,作出关于该文件是否包含表面数据区的判断。如果接收到的文件含有表面数据区,则过滤出所接收文件的那些表面数据区。基于所接收的文件剩余的非表面数据区的部分生成文件签名。而后基于生成的文件签名作出所接收到的文件是否为恶意软件的判断。
附图说明
当结合附图参考以下详细描述,能够更容易明白和更好地理解本发明前述的方面和众多附带优点,附图中:
图1是示出与反病毒软件,尤其是签名识别方法相关联的易受攻击性窗口的示例性时间线的框图;
图2是示出一示例性用户可修改文档的框图。
图3是示出图2的示例性用户可修改文档的框图,还示出为文件开发签名仅需文件的某些片段。
图4是示出适用于实现本发明的各方面的示例性网络环境的示意图。
图5是示出适于在本发明中使用的示例性白名单数据存储的框图。
图6是示出适用于根据本发明的各方面,确定一个文件是否作为可信文件被列入白名单的示例性程序的框图。
图7是示出根据本发明的各方面适用的示例性生成签名例程的框图。
具体实施方式
根据本发明的各方面,仅使用文档的一部分作为用于生成恶意软件签名的基础,而不是基于整个用户可修改文档生成恶意软件签名。更具体地,恶意软件签名是基于用户可修改文件的特定的、更持久的部分而生成的。通过将恶意软件签名基于用户可修改文档中趋于更持久的那些部分,基本上降低了(如果没有完全消除)恶意软件创建者和自修改恶意软件通过简单的、掩饰性的改造来逃脱检测的能力。
本领域的技术人员可以理解,用户可修改文档包括众多元素,其中的某些趋向于比其它更持久。本发明一般将文档的这些更持久元素/部分作为签名的基础。图2是示出示例性用户可修改文档200,以及用于讨论用户可修改文档的多个元素的框图。
如图2所示,用户可修改文档200包括各种元素/部分,诸如,宏202、模板204、诸如Active X和COM objects等嵌入对象206和应用样式208等。这些元素中的每一个趋于更持久,即,不是在每次用户编辑该用户可修改文档时被修改。另外,这些是含有恶意软件“核心”的文档元素类型。例如,恶意软件创建者以宏或Active X控件的形式实现他们的恶意设计。而后这些被置于用户可修改文件中,诸如文字处理文档、电子表格或图像。在诸如用户数据区210和212等用户数据区中的任何信息,对恶意软件本质上一般很少影响或没有影响,但是通常包括引诱用户将恶意软件激活和/或发布到不受怀疑的用户计算机上的信息。这样,正如已经提到的那样,由于现有的基于签名的检测系统的特性,通过对文档修饰性地修改可以容易地制造恶意软件的变种。
应该理解,尽管本发明使用术语“用户可修改”文件,但这只是为了描述的目的,并且只表示了适用于本发明的一种文件类型。如上所述,分布为应用程序的恶意软件相当经常可以包括对其修改不影响恶意软件功能的数据区。这些数据区在后文中被称为表面数据区。用户可修改文件包括表面数据区,即,用户(或嵌入的恶意软件)可以修改而不会影响嵌入的恶意软件的区域。从而,应该理解,“用户可修改”文件或带有表面数据区的文件包括,所有含有对其修改影响恶意软件功能的数据区(一般称为文件更持久部分),和对其修改对恶意软件无功能性影响的区域(一般称为用户可修改数据区或表面数据区)的文件。
图3是示出示例性用户可修改文档200的框图,还示出了仅使用了文档的一部分用于为该文档生成签名。如上所述,根据本发明,当生成一文件签名时,标识和使用了用户可修改文档的更持久部分,诸如,但不限于,宏202、模板204、样式208和嵌入对象206。相反,用户数据部分,诸如用户数据区210和212,被过滤出签名生成过程之外。
如上所述,即使当将恶意软件签名基于用户可修改文件更持久部分,恶意软件检测仍旧不总能提供时间零点保护,即恶意软件发布时刻的保护。根据本发明的各方面,为了向计算机或网络提供时间零点保护,被信任不是恶意软件的文件被标识在所谓的白名单上。一旦文件到达计算机,但在它能够在计算机上使用之前,生成该文件的签名,并将该签名与已知为可信任的文件的白名单进行比较。根据本发明的其它方面,如上所述,如果该文件是用户可修改文件,则文件的签名基于其更持久的部分。以这种方式,用户可修改文件能够用有对文件的分发是可信任的完全的置信度来编辑并在计算机之间容易地分发。相反,那些不能够与白名单中的签名相匹配的文件被认为是不可信任的,且能够执行安全策略以保护计算机和/或网络。以这种方式,实现了时间零点保护。
根据本发明,白名单可以本地存储在计算机上、存储在可信网络位置、或同时储存在这两个地方。本发明不限于任何一种配置或安排。另外,根据一实施例,计算机可以为包括效率和冗余度的各种理由,依赖于多个白名单。图4是示出可用于多个计算机的白名单的一个示例性网络配置400的示意图。如图4所示,示例性网络配置400包括,接收来自诸如计算机402-406等计算机的请求的白名单服务408,用于标识接收到的文件是否列出在白名单上。白名单服务408可以是连接至因特网412的Web服务器,但本发明不如此限制。
尽管白名单服务407可以严格地是列出白名单的服务,即,提供关于白名单上的文件的信息的服务,然而可替换地,白名单服务可以提供白名单列出的文件和黑名单列出的文件(即恶意软件)的信息。
白名单服务408被示出为耦合至白名单数据存储410。该白名单数据存储包括被标识为可信文件的那些文件。在一个实施例中,白名单数据存储410是白名单列出的文件的数据库。尽管本发明将白名单服务408和白名单数据存储412标识为独立的实体,然而白名单数据存储和白名单服务可以被结合成单个实体,或作为计算机上提供的服务。
尽管在一实施例中,白名单数据存储仅包括白名单列出的文件的签名,但是本发明并不如此限制。通常,多个文件拥有的信任等级在文件之间互不相同。例如,已知为由用户创建的文件可以享有与该用户同样高的信任等级。类似地,附带证明其真实性的数字签名的、由可信的一方创建的文件,可以享有最高的信任等级。或者,在所谓的“沙箱”中隔离了多天的文件,且没有展现任何带有恶意软件的迹象,可以是“可信的”,但是可能比由可信来源数字地签署的文件的等级低。又或者,特定的文件可以接收来自用户的关于它能够被信任的肯定的反馈。这样的文件可以接收基于关于其可信性的反馈量的信任等级,并且对于标识间谍软件和广告软件尤其有用。这样,根据本发明的各方面,白名单数据存储不仅仅包括“可信”文件的文件签名。
尽管本发明的前述讨论是参考计算机的,然而应该理解,本发明可以在几乎任何计算设备上实现,包括但不限于,拥有处理器、通信连接、用于存储信息的存储器的,且能够执行文件签名生成的计算机。例如,合适的计算设备可以是个人计算机、笔记本或图形输入板计算机、个人数字助理(PDA)、小型机或大型计算机、混合计算设备(诸如蜂窝电话/PDA的组合)等。
图5是示出可在白名单数据存储410中存在的示例性字段的框图。在一实施例中,白名单数据存储410会为每一白名单列出的文件在数据存储中存储一个记录,且每一记录包括用于存储信息的一个或多个字段。如图5所示,白名单数据存储410中的每一记录包括签名字段502。该签名字段存储文件签名,不论该文件签名是否是仅基于文件的更持久部分而生成的。如上所述,它对标识一特定文件享有的信任等级经常是有用的。这样,该示例性记录还包括信任字段504。如所示,信任字段包括从1到10的数值,10表示最高信任而1是最低信任。然而,应该理解,这个等级只是说明性的,且不应被解释为对本发明的限制。又或者,信任字段504也可以用于标识恶意软件。例如,如果一个文件被分配信任等级0,则这可以是该文件被认为是恶意软件的指示。
在白名单数据存储410中还示出了附加数据字段506。如其名称所暗示的,附加数据字段506包括对用户可能有用的、关于白名单列出的文件的信息。如图5所示,该附加数据字段可以标识在文件所分配的信任等级背后的依据,诸如文件创作者或来源、观察到的行为、没有恶意软件的行为等等。几乎任何有关的信息都可以存储在附加数据字段506中。类似地,在另一实施例中,任何数量的字段可以包括在白名单数据存储410中。
图6是示出用于确定一个文件是否作为可信任的文件在白名单中列出的示例性例程600的流程图。在块602处开始,计算机接收到一未知/不可信文件,这意味着计算机还不知道该文件是否是恶意软件,或者它是否被白名单列出。在块604处,为该接收到的文件生成一签名。为文件生成签名在下面关于图7的说明中描述。
图7是示出根据本发明的各方面,用于生成文件签名且适用于图6中的例程600的示例性子例程700的流程图。在判定块702处开始,作出关于该文件是否是用户可修改文件的判断。如果该文件不是用户可修改文件,则在块704处,示例性子例程700为该文件生成基于整个文件的签名。其后,在块710处,示例性子例程700返回所生成的签名并终止。
如果该文件是用户可修改文件,则在块706处,示例性子例程700过滤出文件的用户可修改部分。而后在块708处,子例程700基于文件剩余的、未被滤出的部分生成文件的签名。在生成了文件的签名之后,示例性子例程700在710返回生成的签名并终止。
再次参考图6,在生成文件的签名后,在块606处,示例性例程600与白名单服务408连接。如上所述,白名单服务可以是安装在计算机或局域网上的本地服务/文件,或者是诸如在图4中所标识的远程白名单服务。另外(未示出),可以存在多个白名单服务。例如,安装在计算机上的白名单服务可以含有少量计算机经常遇到的文件签名。如果一个签名未在本地白名单服务中找到,则计算机可以转向含有大量签名的网络白名单服务。更进一步地,如果一个签名在本地或网络白名单服务中都没有找到,则可以参考远程/全球白名单服务,诸如图4所示的白名单服务408。当然,远程白名单服务408可能仅包括那些全球可用的文件,诸如来自于操作系统提供者的帮助或服务文档。根据一实施例,本地白名单服务知道网络白名单服务并与之通信,且网络白名单服务知道远程白名单服务并与之通信,使得如果文件的签名没有找到,则对本地白名单服务的单个请求相继地检查另一个服务。
当与白名单服务连接后,在块608处,例程600提交签名且获取对应于该文件的信任等级。在判定块610处,假定白名单服务也标识恶意软件(尽管本发明不如此限制),作出关于该文件是否被标识为恶意软件的确定。如何处理恶意软件在本领域中是公知的,且包括诸如删除文件、隔离文件或从文件中清除恶意软件的措施。其后,程序600终止。
如果该文件根据从白名单服务408中获取的信任等级没有被标识为恶意软件,那么在块614处,例程600根据所建立的与该文件信任等级相关的政策允许该文件进入计算机系统。例如,如果该信任等级是最高的,则计算机用户很可能确保该文件是完全值得信任的,且能够允许该文件为任何目的进入系统。或者,如果信任等级相当的低,则计算机系统可以被设计为允许该文件以某些约束进入系统,诸如,但不限于,隔离该文件一段时间、在所谓的沙箱中执行该文件、在该文件操作时禁用某些特征网络能力等。在允许文件进入计算机系统之后,示例性例程600终止。
尽管上述例程600包括一关于文件是否是恶意软件的二元的,即,是/否判断,然而在一实际实施例中,可以根据与文件相关联的信任等级作出众多判断。例如,可以作出关于信任等级是否比值8大的判断,这样自动允许任何拥有该信任等级或更高等级的文件进入。类似地,可以要求信任等级在3到7之间的文件在所谓的沙箱内执行一段时间。更进一步地,信任等级低于3的文件必须在准入计算机系统之前被隔离。因此,示例性例程600应该被视作仅是说明性的,且不应该被解释为对本发明的限制。
尽管示出和描述了本发明的诸多实施例,包括最优实施例,然而可以理解,在其中可以进行诸多修改而不背离本发明的精神和范围。

Claims (18)

1.一种用于标识接收到的文件中的恶意软件的计算机系统,所述计算机系统包括:
处理器;
用于接收文件的通信连接;以及
存储器;
其中,配置所述计算机系统,使得一旦在所述通信连接处接收到一文件:
确定所接收到的文件是否是用户可修改文件,如果是:
选择所接收到的文件中那些更持久的部分;
基于所接收文件的那些更持久的被选择部分生成文件签名;以及
基于所生成的文件签名,确定所接收到的文件是否是恶意软件。
2.如权利要求1所述的计算机系统,其特征在于,所述计算机系统通过将所生成的文件签名与含有可信文件记录集合的白名单数据存储中的文件签名进行比较,基于所生成的文件签名确定所接收到的文件是否是恶意软件,其中,每一记录包括一可信文件的文件签名。
3.如权利要求2所述的计算机系统,其特征在于,还包括一白名单数据存储。
4.如权利要求2所述的计算机系统,其特征在于,所述的白名单数据存储对于所述计算机系统是远程的,且其中,所述计算机系统通过所述通信连接访问所述白名单数据存储。
5.如权利要求2所述的计算机系统,其特征在于,所述计算机系统还通过将所生成的文件签名与已知恶意软件的文件签名进行比较,基于所生成的文件签名来确定所接收的文件是否是恶意软件。
6.如权利要求1所述的计算机系统,其特征在于,所述计算机系统通过将所生成的文件签名与已知恶意软件的文件签名进行比较,基于所生成的文件签名来确定所接收的文件是否是恶意软件。
7.一种响应于接收文件在计算机设备上执行的用于确定所接收的文件是否是恶意软件的方法,所述方法包括:
确定所接收的文件是否包含表面数据区,如果是:
过滤出所接收的文件中那些是表面数据区的部分;
基于所接收文件中未被过滤出的剩余部分,生成文件签名;以及
基于所生成的文件签名,确定所接收的文件是否是恶意软件。
8.如权利要求7所述的方法,其特征在于,基于所生成的文件签名确定所接收的文件是否是恶意软件包括,将所生成的文件签名与白名单数据存储中的文件签名进行比较,所述白名单数据存储包括可信文件记录的集合,且其中,每一记录包含可信文件的文件签名。
9.如权利要求8所述的方法,其特征在于,所述白名单数据存储驻留在所述计算设备上。
10.如权利要求8所述的方法,其特征在于,所述白名单数据存储对所述计算设备是远程的。
11.如权利要求8所述的方法,其特征在于,基于所生成的文件签名确定所接收的文件是否是恶意软件还包括,将所生成的文件签名与已知恶意软件的文件签名进行比较。
12.如权利要求7所述的方法,其特征在于,基于所生成的文件签名确定所接收的文件是否是恶意软件包括,将所生成的文件签名与已知恶意软件的文件签名进行比较。
13.一种带有计算机可执行指令的计算机可读介质,当在有能力从外部来源接收文件的计算设备上执行所述计算机可执行指令时,实现一种用于确定所接收的文件是否是恶意软件的方法,所述方法包括:
确定所接收的文件是否包含表面数据区,如果是:
过滤出所接收的文件中那些是表面数据区的部分;
基于所接收的文件中未被过滤出的剩余部分,生成文件签名;以及
基于所生成的文件签名,确定所接收的文件是否是恶意软件。
14.如权利要求13所述的方法,其特征在于,基于所生成的文件签名确定所接收的文件是否是恶意软件包括,将所生成的文件签名与白名单数据存储中的文件签名进行比较,所述白名单数据存储包括可信文件记录的集合,且其中,每一记录包含可信文件的文件签名。
15.如权利要求14所述的方法,其特征在于,所述白名单数据存储驻留在所述计算设备上。
16.如权利要求14所述的方法,其特征在于,所述白名单数据存储对所述计算设备是远程的。
17.如权利要求14所述的方法,其特征在于,基于所生成的文件签名确定所接收的文件是否是恶意软件还包括,将所生成的文件签名与已知恶意软件的文件签名进行比较。
18.如权利要求13所述的方法,其特征在于,基于所生成的文件签名确定所接收的文件是否是恶意软件包括,将所生成的文件签名与已知恶意软件的文件签名进行比较。
CN200510108884A 2004-10-29 2005-09-29 用于确定文件是否是恶意软件的计算机系统和方法 Expired - Fee Related CN100585534C (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/977,484 2004-10-29
US10/977,484 US10043008B2 (en) 2004-10-29 2004-10-29 Efficient white listing of user-modifiable files

Publications (2)

Publication Number Publication Date
CN1766778A true CN1766778A (zh) 2006-05-03
CN100585534C CN100585534C (zh) 2010-01-27

Family

ID=36061498

Family Applications (1)

Application Number Title Priority Date Filing Date
CN200510108884A Expired - Fee Related CN100585534C (zh) 2004-10-29 2005-09-29 用于确定文件是否是恶意软件的计算机系统和方法

Country Status (5)

Country Link
US (4) US10043008B2 (zh)
EP (1) EP1657662B1 (zh)
JP (1) JP4851150B2 (zh)
KR (1) KR101255359B1 (zh)
CN (1) CN100585534C (zh)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101901314A (zh) * 2009-06-19 2010-12-01 卡巴斯基实验室封闭式股份公司 反恶意软件处理中误报的检测和最小化
CN101960460A (zh) * 2008-02-27 2011-01-26 微软公司 安全文件传输及名声查找
CN102306256A (zh) * 2010-09-13 2012-01-04 微软公司 对获取的文件进行信誉检查
CN102930207A (zh) * 2012-04-27 2013-02-13 北京金山安全软件有限公司 一种api日志监控方法及装置
CN103150506A (zh) * 2013-02-17 2013-06-12 北京奇虎科技有限公司 一种恶意程序检测的方法和装置
US8615801B2 (en) 2006-08-31 2013-12-24 Microsoft Corporation Software authorization utilizing software reputation
CN103473063A (zh) * 2013-09-18 2013-12-25 北京网秦天下科技有限公司 采用白名单来报警的设备和方法
CN103475671A (zh) * 2010-08-18 2013-12-25 北京奇虎科技有限公司 恶意程序检测方法
CN109564613A (zh) * 2016-07-27 2019-04-02 日本电气株式会社 签名创建设备、签名创建方法、记录签名创建程序的记录介质、以及软件确定系统

Families Citing this family (123)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100489728C (zh) * 2004-12-02 2009-05-20 联想(北京)有限公司 一种建立计算机中可信任运行环境的方法
WO2006101549A2 (en) 2004-12-03 2006-09-28 Whitecell Software, Inc. Secure system for allowing the execution of authorized computer program code
US20090013005A1 (en) * 2005-02-24 2009-01-08 Konica Minolta Holdings, Inc. File or directory name generation method and device thereof
GB2427048A (en) 2005-06-09 2006-12-13 Avecho Group Ltd Detection of unwanted code or data in electronic mail
US8060747B1 (en) 2005-09-12 2011-11-15 Microsoft Corporation Digital signatures for embedded code
US20080134326A2 (en) * 2005-09-13 2008-06-05 Cloudmark, Inc. Signature for Executable Code
US8190902B2 (en) * 2006-02-27 2012-05-29 Microsoft Corporation Techniques for digital signature formation and verification
US20070258469A1 (en) * 2006-05-05 2007-11-08 Broadcom Corporation, A California Corporation Switching network employing adware quarantine techniques
US7751397B2 (en) 2006-05-05 2010-07-06 Broadcom Corporation Switching network employing a user challenge mechanism to counter denial of service attacks
US7948977B2 (en) * 2006-05-05 2011-05-24 Broadcom Corporation Packet routing with payload analysis, encapsulation and service module vectoring
US7596137B2 (en) * 2006-05-05 2009-09-29 Broadcom Corporation Packet routing and vectoring based on payload comparison with spatially related templates
US8223965B2 (en) 2006-05-05 2012-07-17 Broadcom Corporation Switching network supporting media rights management
US7895657B2 (en) * 2006-05-05 2011-02-22 Broadcom Corporation Switching network employing virus detection
US8201244B2 (en) * 2006-09-19 2012-06-12 Microsoft Corporation Automated malware signature generation
US9729513B2 (en) * 2007-11-08 2017-08-08 Glasswall (Ip) Limited Using multiple layers of policy management to manage risk
GB2444514A (en) * 2006-12-04 2008-06-11 Glasswall Electronic file re-generation
US8181245B2 (en) * 2007-06-19 2012-05-15 Microsoft Corporation Proxy-based malware scan
US8584094B2 (en) * 2007-06-29 2013-11-12 Microsoft Corporation Dynamically computing reputation scores for objects
US8181260B2 (en) * 2007-08-15 2012-05-15 International Business Machines Corporation Tracking the origins of data and controlling data transmission
US8131972B2 (en) * 2007-09-19 2012-03-06 International Business Machines Corporation Method and apparatus for improving memory coalescing in a virtualized hardware environment
US8214895B2 (en) * 2007-09-26 2012-07-03 Microsoft Corporation Whitelist and blacklist identification data
US9959404B2 (en) * 2007-10-01 2018-05-01 Symantec Corporation Methods and systems for creating and updating approved-file and trusted-domain databases
US8448218B2 (en) * 2008-01-17 2013-05-21 Josep Bori Method and apparatus for a cryptographically assisted computer system designed to deter viruses and malware via enforced accountability
US20090235357A1 (en) * 2008-03-14 2009-09-17 Computer Associates Think, Inc. Method and System for Generating a Malware Sequence File
US8141153B1 (en) * 2008-03-25 2012-03-20 Symantec Corporation Method and apparatus for detecting executable software in an alternate data stream
US20130276120A1 (en) * 2008-06-02 2013-10-17 Gregory William Dalcher System, method, and computer program product for determining whether a security status of data is known at a server
US8301904B1 (en) 2008-06-24 2012-10-30 Mcafee, Inc. System, method, and computer program product for automatically identifying potentially unwanted data as unwanted
US8713124B1 (en) 2008-09-03 2014-04-29 Message Protocols LLC Highly specialized application protocol for email and SMS and message notification handling and display
US8196203B2 (en) * 2008-09-25 2012-06-05 Symantec Corporation Method and apparatus for determining software trustworthiness
US8484739B1 (en) * 2008-12-15 2013-07-09 Symantec Corporation Techniques for securely performing reputation based analysis using virtualization
US8205263B1 (en) * 2008-12-16 2012-06-19 Symantec Corporation Systems and methods for identifying an executable file obfuscated by an unknown obfuscator program
US8621625B1 (en) * 2008-12-23 2013-12-31 Symantec Corporation Methods and systems for detecting infected files
US8554871B2 (en) * 2009-01-30 2013-10-08 Navteq B.V. Method and system for exchanging location content data in different data formats
US8271195B2 (en) 2009-01-30 2012-09-18 Navteq B.V. Method for representing linear features in a location content management system
US20100198503A1 (en) * 2009-01-30 2010-08-05 Navteq North America, Llc Method and System for Assessing Quality of Location Content
US8775074B2 (en) * 2009-01-30 2014-07-08 Navteq B.V. Method and system for refreshing location code data
KR101031786B1 (ko) * 2009-02-03 2011-04-29 주식회사 안철수연구소 의심스러운 행위의 수준별 분류 및 격리 실행을 통한 악성 코드 사전 대응 장치, 방법 및 그 방법을 실행하기 위한 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체
GB2469323B (en) * 2009-04-09 2014-01-01 F Secure Oyj Providing information to a security application
US8800030B2 (en) * 2009-09-15 2014-08-05 Symantec Corporation Individualized time-to-live for reputation scores of computer files
US8448243B1 (en) * 2009-10-14 2013-05-21 Symantec Corporation Systems and methods for detecting unknown malware in an executable file
US20110185353A1 (en) * 2010-01-27 2011-07-28 Jack Matthew Mitigating Problems Arising From Incompatible Software
US8468602B2 (en) * 2010-03-08 2013-06-18 Raytheon Company System and method for host-level malware detection
US9009820B1 (en) 2010-03-08 2015-04-14 Raytheon Company System and method for malware detection using multiple techniques
US8863279B2 (en) 2010-03-08 2014-10-14 Raytheon Company System and method for malware detection
KR101122646B1 (ko) * 2010-04-28 2012-03-09 한국전자통신연구원 위장 가상 머신 정보를 이용한 인텔리전트 봇 대응 방법 및 장치
US9251282B2 (en) * 2010-06-21 2016-02-02 Rapid7 LLC Systems and methods for determining compliance of references in a website
US8826444B1 (en) * 2010-07-09 2014-09-02 Symantec Corporation Systems and methods for using client reputation data to classify web domains
US8925101B2 (en) * 2010-07-28 2014-12-30 Mcafee, Inc. System and method for local protection against malicious software
CN101924761B (zh) * 2010-08-18 2013-11-06 北京奇虎科技有限公司 一种依据白名单进行恶意程序检测的方法
CN103501294B (zh) * 2010-08-18 2017-03-08 北京奇虎科技有限公司 判断程序是否恶意的方法
US8499150B1 (en) * 2010-11-11 2013-07-30 Symantec Corporation Selectively trusting signed files
US20120167218A1 (en) * 2010-12-23 2012-06-28 Rajesh Poornachandran Signature-independent, system behavior-based malware detection
JP2012150658A (ja) * 2011-01-19 2012-08-09 Lac Co Ltd 情報処理装置、システム、通信監視方法およびプログラム
US8789186B2 (en) * 2011-03-03 2014-07-22 Jpmorgan Chase Bank, N.A. System and method for packet profiling
US8839434B2 (en) * 2011-04-15 2014-09-16 Raytheon Company Multi-nodal malware analysis
CN102164138A (zh) * 2011-04-18 2011-08-24 奇智软件(北京)有限公司 一种保证用户网络安全性的方法及客户端
US8931102B2 (en) * 2011-06-01 2015-01-06 International Business Machines Corporation Testing web applications for file upload vulnerabilities
US8635079B2 (en) 2011-06-27 2014-01-21 Raytheon Company System and method for sharing malware analysis results
US9824198B2 (en) 2011-07-14 2017-11-21 Docusign, Inc. System and method for identity and reputation score based on transaction history
US20130031632A1 (en) * 2011-07-28 2013-01-31 Dell Products, Lp System and Method for Detecting Malicious Content
US8584235B2 (en) * 2011-11-02 2013-11-12 Bitdefender IPR Management Ltd. Fuzzy whitelisting anti-malware systems and methods
CN102663321B (zh) * 2012-04-24 2016-01-13 百度在线网络技术(北京)有限公司 用于软件的安全性增强系统及方法
US9241009B1 (en) 2012-06-07 2016-01-19 Proofpoint, Inc. Malicious message detection and processing
US8843535B2 (en) * 2012-06-25 2014-09-23 Oracle International Corporation Framework for applying metadata for multiple files managed using a content management system
US8904550B2 (en) 2012-06-27 2014-12-02 Blackberry Limited Selection of sandbox for initiating application
US9262208B2 (en) 2012-08-20 2016-02-16 International Business Machines Corporation Automated, controlled distribution and execution of commands and scripts
US9292688B2 (en) * 2012-09-26 2016-03-22 Northrop Grumman Systems Corporation System and method for automated machine-learning, zero-day malware detection
US11126720B2 (en) 2012-09-26 2021-09-21 Bluvector, Inc. System and method for automated machine-learning, zero-day malware detection
CN103824018B (zh) * 2012-11-19 2017-11-14 腾讯科技(深圳)有限公司 一种可执行文件处理方法以及可执行文件监控方法
US8925076B2 (en) * 2012-12-11 2014-12-30 Kaspersky Lab Zao Application-specific re-adjustment of computer security settings
US8990942B2 (en) 2013-02-18 2015-03-24 Wipro Limited Methods and systems for API-level intrusion detection
US9239922B1 (en) * 2013-03-11 2016-01-19 Trend Micro Inc. Document exploit detection using baseline comparison
US9727848B2 (en) * 2013-04-29 2017-08-08 Alex Bligh Field programmable hierarchical cloud billing system
US9323925B2 (en) * 2013-05-30 2016-04-26 Trusteer, Ltd. Method and system for prevention of windowless screen capture
GB2518880A (en) 2013-10-04 2015-04-08 Glasswall Ip Ltd Anti-Malware mobile content data management apparatus and method
CN103581185B (zh) * 2013-11-01 2016-12-07 北京奇虎科技有限公司 对抗免杀测试的云查杀方法、装置及系统
EP3108395B1 (en) * 2014-02-18 2018-10-24 Proofpoint, Inc. Targeted attack protection using predictive sandboxing
US9824356B2 (en) 2014-08-12 2017-11-21 Bank Of America Corporation Tool for creating a system hardware signature for payment authentication
US8943598B1 (en) * 2014-08-12 2015-01-27 Bank Of America Corporation Automatic compromise detection for hardware signature for payment authentication
US9323930B1 (en) * 2014-08-19 2016-04-26 Symantec Corporation Systems and methods for reporting security vulnerabilities
US9509715B2 (en) * 2014-08-21 2016-11-29 Salesforce.Com, Inc. Phishing and threat detection and prevention
EP3222024A1 (en) 2014-11-21 2017-09-27 Bluvector, Inc. System and method for network data characterization
US9330264B1 (en) * 2014-11-26 2016-05-03 Glasswall (Ip) Limited Statistical analytic method for the determination of the risk posed by file based content
WO2016127233A1 (en) * 2015-02-10 2016-08-18 Gas Informatica Ltda Assistive technology for anti-malware software
US9438612B1 (en) 2015-03-23 2016-09-06 Fortinet, Inc. Calculating consecutive matches using parallel computing
US9935972B2 (en) * 2015-06-29 2018-04-03 Fortinet, Inc. Emulator-based malware learning and detection
US10187403B2 (en) 2015-12-02 2019-01-22 Salesforce.Com, Inc. False positive detection reduction system for network-based attacks
US11082491B2 (en) 2016-10-07 2021-08-03 Microsoft Technology Licensing, Llc Propagating origin information for applications during application installation
US9756061B1 (en) * 2016-11-18 2017-09-05 Extrahop Networks, Inc. Detecting attacks using passive network monitoring
US10476673B2 (en) 2017-03-22 2019-11-12 Extrahop Networks, Inc. Managing session secrets for continuous packet capture systems
GB2561862A (en) * 2017-04-25 2018-10-31 Avecto Ltd Computer device and method for handling files
US9967292B1 (en) 2017-10-25 2018-05-08 Extrahop Networks, Inc. Inline secret sharing
US10389574B1 (en) 2018-02-07 2019-08-20 Extrahop Networks, Inc. Ranking alerts based on network monitoring
US10038611B1 (en) 2018-02-08 2018-07-31 Extrahop Networks, Inc. Personalization of alerts based on network monitoring
US10270794B1 (en) 2018-02-09 2019-04-23 Extrahop Networks, Inc. Detection of denial of service attacks
US11184379B1 (en) * 2018-03-16 2021-11-23 United Services Automobile Association (Usaa) File scanner to detect malicious electronic files
US11188657B2 (en) 2018-05-12 2021-11-30 Netgovern Inc. Method and system for managing electronic documents based on sensitivity of information
US11163948B2 (en) 2018-07-10 2021-11-02 Beijing Didi Infinity Technology And Development Co., Ltd. File fingerprint generation
US10411978B1 (en) 2018-08-09 2019-09-10 Extrahop Networks, Inc. Correlating causes and effects associated with network activity
US10594718B1 (en) 2018-08-21 2020-03-17 Extrahop Networks, Inc. Managing incident response operations based on monitored network activity
US11188622B2 (en) * 2018-09-28 2021-11-30 Daniel Chien Systems and methods for computer security
US10848489B2 (en) 2018-12-14 2020-11-24 Daniel Chien Timestamp-based authentication with redirection
US10826912B2 (en) 2018-12-14 2020-11-03 Daniel Chien Timestamp-based authentication
US10642977B1 (en) * 2018-12-17 2020-05-05 Didi Research America, Llc Benign file list generation
CN109800577B (zh) * 2018-12-29 2020-10-16 360企业安全技术(珠海)有限公司 一种识别逃逸安全监控行为的方法及装置
US11609992B2 (en) * 2019-03-29 2023-03-21 Acronis International Gmbh Systems and methods for anti-malware scanning using automatically-created white lists
US10965702B2 (en) 2019-05-28 2021-03-30 Extrahop Networks, Inc. Detecting injection attacks using passive network monitoring
CN110309647B (zh) * 2019-06-28 2022-02-25 北京乐蜜科技有限责任公司 针对应用程序的处理方法、装置、电子设备及存储介质
US11165814B2 (en) 2019-07-29 2021-11-02 Extrahop Networks, Inc. Modifying triage information based on network monitoring
US10742530B1 (en) 2019-08-05 2020-08-11 Extrahop Networks, Inc. Correlating network traffic that crosses opaque endpoints
US11388072B2 (en) 2019-08-05 2022-07-12 Extrahop Networks, Inc. Correlating network traffic that crosses opaque endpoints
US10742677B1 (en) 2019-09-04 2020-08-11 Extrahop Networks, Inc. Automatic determination of user roles and asset types based on network monitoring
US11677754B2 (en) 2019-12-09 2023-06-13 Daniel Chien Access control systems and methods
US11165823B2 (en) 2019-12-17 2021-11-02 Extrahop Networks, Inc. Automated preemptive polymorphic deception
US11438145B2 (en) 2020-05-31 2022-09-06 Daniel Chien Shared key generation based on dual clocks
US11509463B2 (en) 2020-05-31 2022-11-22 Daniel Chien Timestamp-based shared key generation
US11463466B2 (en) 2020-09-23 2022-10-04 Extrahop Networks, Inc. Monitoring encrypted network traffic
WO2022066910A1 (en) 2020-09-23 2022-03-31 Extrahop Networks, Inc. Monitoring encrypted network traffic
US11349861B1 (en) 2021-06-18 2022-05-31 Extrahop Networks, Inc. Identifying network entities based on beaconing activity
US11296967B1 (en) 2021-09-23 2022-04-05 Extrahop Networks, Inc. Combining passive network analysis and active probing
TWI802040B (zh) * 2021-10-08 2023-05-11 精品科技股份有限公司 基於檔案屬性特徵之應用程式控管方法
US11843606B2 (en) 2022-03-30 2023-12-12 Extrahop Networks, Inc. Detecting abnormal data access based on data similarity
CN114818012B (zh) * 2022-06-29 2022-10-21 麒麟软件有限公司 基于白名单列表的Linux文件完整性度量方法

Family Cites Families (52)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6684261B1 (en) * 1993-07-19 2004-01-27 Object Technology Licensing Corporation Object-oriented operating system
WO1997024665A1 (en) * 1995-12-28 1997-07-10 Eyal Dotan Method for protecting executable software programs against infection by software viruses
US6427063B1 (en) * 1997-05-22 2002-07-30 Finali Corporation Agent based instruction system and method
US5951698A (en) 1996-10-02 1999-09-14 Trend Micro, Incorporated System, apparatus and method for the detection and removal of viruses in macros
US5956481A (en) * 1997-02-06 1999-09-21 Microsoft Corporation Method and apparatus for protecting data files on a computer from virus infection
US6094731A (en) 1997-11-24 2000-07-25 Symantec Corporation Antivirus accelerator for computer networks
US6577920B1 (en) * 1998-10-02 2003-06-10 Data Fellows Oyj Computer virus screening
US6230288B1 (en) * 1998-10-29 2001-05-08 Network Associates, Inc. Method of treating whitespace during virus detection
US7243236B1 (en) * 1999-07-29 2007-07-10 Intertrust Technologies Corp. Systems and methods for using cryptography to protect secure and insecure computing environments
US6715124B1 (en) * 2000-02-14 2004-03-30 Paradyne Corporation Trellis interleaver and feedback precoder
US6728716B1 (en) * 2000-05-16 2004-04-27 International Business Machines Corporation Client-server filter computing system supporting relational database records and linked external files operable for distributed file system
WO2001088673A2 (en) 2000-05-17 2001-11-22 Finjan Software, Ltd. Malicious mobile code runtime monitoring system and methods
WO2002021274A1 (en) 2000-05-19 2002-03-14 Self Repairing Computers, Inc. A computer with switchable components
US6721721B1 (en) * 2000-06-15 2004-04-13 International Business Machines Corporation Virus checking and reporting for computer database search results
GB0016835D0 (en) 2000-07-07 2000-08-30 Messagelabs Limited Method of, and system for, processing email
US20020069198A1 (en) 2000-08-31 2002-06-06 Infoseer, Inc. System and method for positive identification of electronic files
US7398553B1 (en) * 2000-10-30 2008-07-08 Tread Micro, Inc. Scripting virus scan engine
EP1225513A1 (en) * 2001-01-19 2002-07-24 Eyal Dotan Method for protecting computer programs and data from hostile code
US7603356B2 (en) * 2001-01-26 2009-10-13 Ascentive Llc System and method for network administration and local administration of privacy protection criteria
US7096497B2 (en) 2001-03-30 2006-08-22 Intel Corporation File checking using remote signing authority via a network
US6766314B2 (en) * 2001-04-05 2004-07-20 International Business Machines Corporation Method for attachment and recognition of external authorization policy on file system resources
US20020199116A1 (en) 2001-06-25 2002-12-26 Keith Hoene System and method for computer network virus exclusion
US7540031B2 (en) * 2001-08-01 2009-05-26 Mcafee, Inc. Wireless architecture with malware scanning component manager and associated API
US6993660B1 (en) * 2001-08-03 2006-01-31 Mcafee, Inc. System and method for performing efficient computer virus scanning of transient messages using checksums in a distributed computing environment
US7107617B2 (en) * 2001-10-15 2006-09-12 Mcafee, Inc. Malware scanning of compressed computer files
JP2003196111A (ja) * 2001-12-26 2003-07-11 Hitachi Ltd 電子署名を用いたウィルスチェック方法
US6944772B2 (en) * 2001-12-26 2005-09-13 D'mitri Dozortsev System and method of enforcing executable code identity verification over the network
US7114185B2 (en) * 2001-12-26 2006-09-26 Mcafee, Inc. Identifying malware containing computer files using embedded text
US7694128B2 (en) * 2002-03-08 2010-04-06 Mcafee, Inc. Systems and methods for secure communication delivery
US7305704B2 (en) * 2002-03-16 2007-12-04 Trustedflow Systems, Inc. Management of trusted flow system
JP2003281391A (ja) 2002-03-19 2003-10-03 Sony Corp 通信方法、コンピュータおよびプログラム
US7380277B2 (en) * 2002-07-22 2008-05-27 Symantec Corporation Preventing e-mail propagation of malicious computer code
US7337471B2 (en) 2002-10-07 2008-02-26 Symantec Corporation Selective detection of malicious computer code
US7165076B2 (en) * 2002-11-15 2007-01-16 Check Point Software Technologies, Inc. Security system with methodology for computing unique security signature for executable file employed across different machines
US7373664B2 (en) * 2002-12-16 2008-05-13 Symantec Corporation Proactive protection against e-mail worms and spam
US7318163B2 (en) 2003-01-07 2008-01-08 International Business Machines Corporation System and method for real-time detection of computer system files intrusion
GB2398134A (en) * 2003-01-27 2004-08-11 Hewlett Packard Co Applying a data handing policy to predetermined system calls
JP2004259060A (ja) 2003-02-26 2004-09-16 Canon Inc データ受信方法及び画像形成装置
GB2400197B (en) * 2003-04-03 2006-04-12 Messagelabs Ltd System for and method of detecting malware in macros and executable scripts
GB2404537B (en) * 2003-07-31 2007-03-14 Hewlett Packard Development Co Controlling access to data
GB2404536B (en) * 2003-07-31 2007-02-28 Hewlett Packard Development Co Protection of data
US20050071432A1 (en) 2003-09-29 2005-03-31 Royston Clifton W. Probabilistic email intrusion identification methods and systems
WO2005043360A1 (en) * 2003-10-21 2005-05-12 Green Border Technologies Systems and methods for secure client applications
US20040172551A1 (en) 2003-12-09 2004-09-02 Michael Connor First response computer virus blocking.
US7555777B2 (en) * 2004-01-13 2009-06-30 International Business Machines Corporation Preventing attacks in a data processing system
US7984304B1 (en) * 2004-03-02 2011-07-19 Vmware, Inc. Dynamic verification of validity of executable code
US7698275B2 (en) 2004-05-21 2010-04-13 Computer Associates Think, Inc. System and method for providing remediation management
EP1854019A4 (en) * 2004-09-22 2010-12-22 Cyberdefender Corp NETWORK FOR PROTECTION AGAINST THREATS
US8056128B1 (en) * 2004-09-30 2011-11-08 Google Inc. Systems and methods for detecting potential communications fraud
US7287279B2 (en) * 2004-10-01 2007-10-23 Webroot Software, Inc. System and method for locating malware
US8495145B2 (en) * 2004-10-14 2013-07-23 Intel Corporation Controlling receipt of undesired electronic mail
US7779472B1 (en) * 2005-10-11 2010-08-17 Trend Micro, Inc. Application behavior based malware detection

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101512512B (zh) * 2006-08-31 2015-10-21 微软技术许可有限责任公司 利用软件名声的软件授权
US8615801B2 (en) 2006-08-31 2013-12-24 Microsoft Corporation Software authorization utilizing software reputation
CN101960460A (zh) * 2008-02-27 2011-01-26 微软公司 安全文件传输及名声查找
CN101901314A (zh) * 2009-06-19 2010-12-01 卡巴斯基实验室封闭式股份公司 反恶意软件处理中误报的检测和最小化
CN101901314B (zh) * 2009-06-19 2013-07-17 卡巴斯基实验室封闭式股份公司 反恶意软件处理中误报的检测和最小化
CN103475671A (zh) * 2010-08-18 2013-12-25 北京奇虎科技有限公司 恶意程序检测方法
CN103475671B (zh) * 2010-08-18 2017-12-29 北京奇虎科技有限公司 恶意程序检测方法
CN102306256B (zh) * 2010-09-13 2016-02-03 微软技术许可有限责任公司 对获取的文件进行信誉检查
US9235586B2 (en) 2010-09-13 2016-01-12 Microsoft Technology Licensing, Llc Reputation checking obtained files
CN102306256A (zh) * 2010-09-13 2012-01-04 微软公司 对获取的文件进行信誉检查
CN102930207B (zh) * 2012-04-27 2015-11-04 北京金山安全软件有限公司 一种api日志监控方法及装置
CN102930207A (zh) * 2012-04-27 2013-02-13 北京金山安全软件有限公司 一种api日志监控方法及装置
CN103150506A (zh) * 2013-02-17 2013-06-12 北京奇虎科技有限公司 一种恶意程序检测的方法和装置
CN103150506B (zh) * 2013-02-17 2016-03-30 北京奇虎科技有限公司 一种恶意程序检测的方法和装置
CN103473063A (zh) * 2013-09-18 2013-12-25 北京网秦天下科技有限公司 采用白名单来报警的设备和方法
CN109564613A (zh) * 2016-07-27 2019-04-02 日本电气株式会社 签名创建设备、签名创建方法、记录签名创建程序的记录介质、以及软件确定系统

Also Published As

Publication number Publication date
US10699011B2 (en) 2020-06-30
EP1657662A3 (en) 2008-03-26
EP1657662A2 (en) 2006-05-17
EP1657662B1 (en) 2017-03-22
US8544086B2 (en) 2013-09-24
CN100585534C (zh) 2010-01-27
US10043008B2 (en) 2018-08-07
KR101255359B1 (ko) 2013-04-17
US20130347115A1 (en) 2013-12-26
US20180307836A1 (en) 2018-10-25
US20060230452A1 (en) 2006-10-12
US20060095971A1 (en) 2006-05-04
JP2006127497A (ja) 2006-05-18
KR20060051379A (ko) 2006-05-19
JP4851150B2 (ja) 2012-01-11

Similar Documents

Publication Publication Date Title
CN100585534C (zh) 用于确定文件是否是恶意软件的计算机系统和方法
US8250569B1 (en) Systems and methods for selectively blocking application installation
RU2607231C2 (ru) Системы и способы защиты от вредоносного программного обеспечения на основе нечеткого вайтлистинга
CN1773417B (zh) 聚集反病毒软件应用程序的知识库的系统和方法
US7640589B1 (en) Detection and minimization of false positives in anti-malware processing
US7620990B2 (en) System and method for unpacking packed executables for malware evaluation
AU2011317734B2 (en) Computer system analysis method and apparatus
US8230509B2 (en) System and method for using rules to protect against malware
US7877806B2 (en) Real time malicious software detection
EP2169582B1 (en) Method and apparatus for determining software trustworthiness
US7360249B1 (en) Refining behavioral detections for early blocking of malicious code
US20160098560A1 (en) Method and apparatus for retroactively detecting malicious or otherwise undesirable software as well as clean software through intelligent rescanning
US20180211043A1 (en) Blockchain Based Security for End Points
US20080201722A1 (en) Method and System For Unsafe Content Tracking
US20110119760A1 (en) Classification of software on networked systems
US20110225128A1 (en) Clean store for operating system and software recovery
US8078909B1 (en) Detecting file system layout discrepancies
CN107066883A (zh) 用于阻断脚本执行的系统和方法
CN101894225A (zh) 聚集反病毒软件应用程序的知识库的系统和方法
CN105183504A (zh) 基于软件服务器的进程白名单更新方法
Atzeni et al. Countering android malware: A scalable semi-supervised approach for family-signature generation
WO2009059206A1 (en) Executable download tracking system
CN106997435B (zh) 一种操作系统安全防控的方法、装置及系统
US8640242B2 (en) Preventing and detecting print-provider startup malware
AU2007203534A1 (en) Real time malicious software detection

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
ASS Succession or assignment of patent right

Owner name: MICROSOFT TECHNOLOGY LICENSING LLC

Free format text: FORMER OWNER: MICROSOFT CORP.

Effective date: 20150504

C41 Transfer of patent application or patent right or utility model
TR01 Transfer of patent right

Effective date of registration: 20150504

Address after: Washington State

Patentee after: Micro soft technique license Co., Ltd

Address before: Washington State

Patentee before: Microsoft Corp.

CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20100127

Termination date: 20190929

CF01 Termination of patent right due to non-payment of annual fee