JPH03233629A - 実行形式ファイルの被破壊チェック方式 - Google Patents
実行形式ファイルの被破壊チェック方式Info
- Publication number
- JPH03233629A JPH03233629A JP2029902A JP2990290A JPH03233629A JP H03233629 A JPH03233629 A JP H03233629A JP 2029902 A JP2029902 A JP 2029902A JP 2990290 A JP2990290 A JP 2990290A JP H03233629 A JPH03233629 A JP H03233629A
- Authority
- JP
- Japan
- Prior art keywords
- file
- check
- executable
- length
- checksum
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000006378 damage Effects 0.000 title claims description 12
- 230000007246 mechanism Effects 0.000 claims abstract description 63
- 238000000034 method Methods 0.000 claims description 38
- 230000000694 effects Effects 0.000 claims description 13
- 238000000605 extraction Methods 0.000 claims description 7
- 239000000284 extract Substances 0.000 claims description 5
- 241000700605 Viruses Species 0.000 abstract description 31
- 208000015181 infectious disease Diseases 0.000 abstract description 11
- 230000009385 viral infection Effects 0.000 description 11
- 230000008569 process Effects 0.000 description 9
- 230000006870 function Effects 0.000 description 7
- 230000035755 proliferation Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 208000024891 symptom Diseases 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 201000010099 disease Diseases 0.000 description 1
- 208000037265 diseases, disorders, signs and symptoms Diseases 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Landscapes
- Detection And Correction Of Errors (AREA)
Abstract
(57)【要約】本公報は電子出願前の出願データであるた
め要約のデータは記録されません。
め要約のデータは記録されません。
Description
【発明の詳細な説明】
〔産業上の利用分野〕
本発明はコンピュータシステムにおける実行形式ファイ
ルの被破壊チェック方式に関するものであり、より詳し
くは、俗にコンピュータウィルスと呼ばれる不正なプロ
グラムのコンピュータシステムへの侵入および実行形式
ファイルの破壊を検査する方式に関するものである。
ルの被破壊チェック方式に関するものであり、より詳し
くは、俗にコンピュータウィルスと呼ばれる不正なプロ
グラムのコンピュータシステムへの侵入および実行形式
ファイルの破壊を検査する方式に関するものである。
コンピュータウィルスとは、自己複写機能およびシステ
ム損傷機能を持つプログラムのことである。
ム損傷機能を持つプログラムのことである。
ここで、自己複写機能とは、それ自身のプログラム(コ
ンピュータウィルスプログラム)を他の適当な実行形式
ファイル(プログラム)に複写または挿入する機能のこ
とである。コンピュータウィルスプログラムを複写また
は挿入された実行形式ファイルは、コンピュータウィル
スに感染したと言い、次にこの実行形式ファイルを実行
すると、また別の適当な実行形式ファイルを選び、コン
ピュータウィルスプログラムを複写または挿入する。
ンピュータウィルスプログラム)を他の適当な実行形式
ファイル(プログラム)に複写または挿入する機能のこ
とである。コンピュータウィルスプログラムを複写また
は挿入された実行形式ファイルは、コンピュータウィル
スに感染したと言い、次にこの実行形式ファイルを実行
すると、また別の適当な実行形式ファイルを選び、コン
ピュータウィルスプログラムを複写または挿入する。
そして、これらがコンピュータシステム内の各所で繰り
返されて行くことになる。これをコンピュータウィルス
の増殖という、また、コンピュータウィルスプログラム
がコンピュータシステムへ侵入したことを、コンピュー
タシステムがコンピュータウィルスに感染したと言う。
返されて行くことになる。これをコンピュータウィルス
の増殖という、また、コンピュータウィルスプログラム
がコンピュータシステムへ侵入したことを、コンピュー
タシステムがコンピュータウィルスに感染したと言う。
一方、システム損傷機能とは、磁気ディスク装置のフォ
ーマントのようなコンピュータシステムに復旧不能な損
害を与える処理を行う機能のことであり、特定の日時や
、感染してからの時間や、増殖回数等の契機によって生
ずる。このようになった状態を、コンピュータシステム
が発病したと言う。
ーマントのようなコンピュータシステムに復旧不能な損
害を与える処理を行う機能のことであり、特定の日時や
、感染してからの時間や、増殖回数等の契機によって生
ずる。このようになった状態を、コンピュータシステム
が発病したと言う。
従来、上述したコンピュータウィルスについては次のよ
うな対策が採られていた。
うな対策が採られていた。
■ネットワークからの感染を防ぐために、外部のコンピ
ュータシステムからのログインユーザは、なるべく一般
ユーザとして扱い、特権ユーザとは区別し、プログラム
の書き換えやインストールを行わせない。
ュータシステムからのログインユーザは、なるべく一般
ユーザとして扱い、特権ユーザとは区別し、プログラム
の書き換えやインストールを行わせない。
■フロッピーディスク等の外部記憶装置からの感染を防
ぐために、その発行元を明確にし、怪しいものはインス
トールを行わないようにする。
ぐために、その発行元を明確にし、怪しいものはインス
トールを行わないようにする。
■特権ユーザは、正当性が十分信鎖できる実行形式ファ
イルに関してのみ実行するように注意し、コンピュータ
ウィルスの感染する機会を最小限に止め、またシステム
破壊等の復元不可能な事態の発生(発病)が起こらない
ように努める。
イルに関してのみ実行するように注意し、コンピュータ
ウィルスの感染する機会を最小限に止め、またシステム
破壊等の復元不可能な事態の発生(発病)が起こらない
ように努める。
■実行時間が普段よりも遅くなったといった兆候によっ
てコンピュータウィルスに感染した疑いのある実行形式
ファイルに対しては、既に正しいことが検証されている
実・行形式ファイルと比較し、書き換えられていないこ
と、すなわちコンピュータウィルスに感染していないこ
とを確認する。
てコンピュータウィルスに感染した疑いのある実行形式
ファイルに対しては、既に正しいことが検証されている
実・行形式ファイルと比較し、書き換えられていないこ
と、すなわちコンピュータウィルスに感染していないこ
とを確認する。
上述したように、従来は、コンピュータウィルスの感染
そのものを防くことが主に考えられており、コンビュー
タンステムが既に感染しているか否かを判断する方法に
ついては、感染の疑いのある実行形式ファイルについて
、個々にその正当性をチェックするという方法しかなく
、顕著な兆候が現れずに潜伏しているコンピュータウィ
ルスを早期に発見することはできず、よって、コンピュ
ータシステムの発病を十分に防止することができないと
いう欠点があった。
そのものを防くことが主に考えられており、コンビュー
タンステムが既に感染しているか否かを判断する方法に
ついては、感染の疑いのある実行形式ファイルについて
、個々にその正当性をチェックするという方法しかなく
、顕著な兆候が現れずに潜伏しているコンピュータウィ
ルスを早期に発見することはできず、よって、コンピュ
ータシステムの発病を十分に防止することができないと
いう欠点があった。
本発明は上記の点に鑑み提案されたものであり、その目
的とするところは、ファイルシステムに存在する全ての
実行形式ファイルについて容易にコンピュータウィルス
の感染をチェックして被疑ファイルを特定することがで
き、コンピュータシステムの発病を有効に防止すること
のできる実行形式ファイルの被破壊チェック方式を提供
することにある。
的とするところは、ファイルシステムに存在する全ての
実行形式ファイルについて容易にコンピュータウィルス
の感染をチェックして被疑ファイルを特定することがで
き、コンピュータシステムの発病を有効に防止すること
のできる実行形式ファイルの被破壊チェック方式を提供
することにある。
[課題を解決するための手段]
本発明の実行形式ファイルの被破壊チェック方弐では、
コンピュータシステムへのコンピュータウィルスの感染
のタイプと、実行形式ファイルへのコンピュータウィル
スの感染のタイプとをそれぞれ分析した結果に基づき、
コンピュータウイルスが感染した実行形式ファイル(被
疑ファイル)を統一的に検出することを可能にしている
。
コンピュータシステムへのコンピュータウィルスの感染
のタイプと、実行形式ファイルへのコンピュータウィル
スの感染のタイプとをそれぞれ分析した結果に基づき、
コンピュータウイルスが感染した実行形式ファイル(被
疑ファイル)を統一的に検出することを可能にしている
。
すなわち、コンピュータシステムへのコンピュータウィ
ルスの感染には、以下の2種類のタイプがある。
ルスの感染には、以下の2種類のタイプがある。
1つ目は、コンピュータシステムのファイルシステムに
元来存在する実行形式ファイルの感染である。
元来存在する実行形式ファイルの感染である。
2つ目ハ、既にコンピュータウィルスに感染した実行形
式ファイルの新規インストールである。
式ファイルの新規インストールである。
これは、かかる実行形式ファイルをファイルシステム上
の適当な場所にインストールしておき、特権モードの利
用者がこれを実行するのを待つというものである。これ
を実行したユーザがたまたま特権モードであったときに
、コンピュータウィルスの増殖または発病を引き起こす
。
の適当な場所にインストールしておき、特権モードの利
用者がこれを実行するのを待つというものである。これ
を実行したユーザがたまたま特権モードであったときに
、コンピュータウィルスの増殖または発病を引き起こす
。
一方、実行形式ファイルへのコンピュータウィルスの感
染には、以下の2種類のタイプがある。
染には、以下の2種類のタイプがある。
1つ目は、コンピュータウィルスプログラム実行形式フ
ァイルに上書きされてしまったものである。このように
侵されたものは、本来その実行形式ファイルの持ってい
る機能は失われ、これを実行しても期待した動作はせず
、その代わりに発病を引き起こす。
ァイルに上書きされてしまったものである。このように
侵されたものは、本来その実行形式ファイルの持ってい
る機能は失われ、これを実行しても期待した動作はせず
、その代わりに発病を引き起こす。
2つ目は、本来の機能を損傷しない状態で、実行形式フ
ァイルにコンピュータウィルスプログラムが付は加えら
れたものである.この実行形式ファイルを実行すると、
コンピュータウィルスの増殖を引き起こすが、本来の機
能も正しく動作するため、実行速度が普段より遅くなる
といったコンピュータウィルスプログラムの実行に伴っ
た副次的な兆候によってのみ判断されるため、ユーザは
感染していることに気付きにくい。そして、増殖回数が
ある一定の数値に達するなどの契機により発病を引き起
こす。
ァイルにコンピュータウィルスプログラムが付は加えら
れたものである.この実行形式ファイルを実行すると、
コンピュータウィルスの増殖を引き起こすが、本来の機
能も正しく動作するため、実行速度が普段より遅くなる
といったコンピュータウィルスプログラムの実行に伴っ
た副次的な兆候によってのみ判断されるため、ユーザは
感染していることに気付きにくい。そして、増殖回数が
ある一定の数値に達するなどの契機により発病を引き起
こす。
しかして、本発明の実行形式ファイルの被破壊チェック
方式では、コンピュータシステムへのコンピュータウィ
ルスの感染の2タイプのうち、2つ目の、既にコンピュ
ータウィルスに感染した実行形式ファイルの新規インス
トールについては、ファイルシステムに存在する全ての
実行形式ファイルについて、ファイルシステムに存在す
ることがIi1認されている実行形式ファイルであるか
否かをファイル名から判断することにより、被疑ファイ
ルを検出するようにしている。すなわち、今までになか
った実行形式ファイルがインストールされていることに
より、その感染を知ることができる。なお、1つ目の、
コンピュータシステムのファイルシステムに元来存在す
る実行形式ファイルの感染については、ファイル名とし
ては正当であるため、この方式では検出できず、その判
断は次に委ねる。
方式では、コンピュータシステムへのコンピュータウィ
ルスの感染の2タイプのうち、2つ目の、既にコンピュ
ータウィルスに感染した実行形式ファイルの新規インス
トールについては、ファイルシステムに存在する全ての
実行形式ファイルについて、ファイルシステムに存在す
ることがIi1認されている実行形式ファイルであるか
否かをファイル名から判断することにより、被疑ファイ
ルを検出するようにしている。すなわち、今までになか
った実行形式ファイルがインストールされていることに
より、その感染を知ることができる。なお、1つ目の、
コンピュータシステムのファイルシステムに元来存在す
る実行形式ファイルの感染については、ファイル名とし
ては正当であるため、この方式では検出できず、その判
断は次に委ねる。
次に、実行形式ファイルへのコンピュータウィルスの感
染の2タイプのうち、2つ目の、実行形式ファイルにコ
ンピュータウィルスプログラムが付は加えられたものに
ついては、ファイル長を以前の値と比較することにより
被疑ファイルを検出するようにしている。すなわち、こ
のタイプのものは、ファイルのサイズが元のものより大
きくなることから、その感染を知ることができる。
染の2タイプのうち、2つ目の、実行形式ファイルにコ
ンピュータウィルスプログラムが付は加えられたものに
ついては、ファイル長を以前の値と比較することにより
被疑ファイルを検出するようにしている。すなわち、こ
のタイプのものは、ファイルのサイズが元のものより大
きくなることから、その感染を知ることができる。
また、1つ目の、コンピュータウィルスプログラム
ものについては、ファイル長の変化では感染を検出する
ことはできないが、ファイル内容の相違を反映するファ
イルチェックサムを以前の値と比較することにより被疑
ファイルを検出するようにしている。すなわち、このタ
イプのものは、ファイルの内容をチェックすることによ
ってのみ、その感染を知ることができる。
ことはできないが、ファイル内容の相違を反映するファ
イルチェックサムを以前の値と比較することにより被疑
ファイルを検出するようにしている。すなわち、このタ
イプのものは、ファイルの内容をチェックすることによ
ってのみ、その感染を知ることができる。
これらの手法により、あらゆるタイプの感染について検
出が可能である。
出が可能である。
本発明では、上記の手法を実現するため、各実行形式フ
ァイルのファイル名とファイル長とファイルのハイド列
のチェックサムとの対応表から構成されるファイルチェ
ックデータベースと、前記ファイルチェックデータベー
スからデータを読み出すファイルチェックデータベース
読み出し機構と、 ファイルシステムから全ての実行形式ファイルを逐次取
り出す実行形式ファイル取り出し機構と、取り出した実
行形式ファイルが前記ファイルチェックデータベースに
存在するか否かを調べ、存在しなければ存在しない旨の
警告メツセージを出力するファイル存在チェック機構と
、 取り出した実行形式ファイルの実際のファイル長が前記
ファイルチェックデータベースに登録された同ファイル
のファイル長と一致しているか否かを1周べ、−itし
ていなければ一致していない旨の警告メツセージを出力
するファイル長子1フク機構と、 取り出した実行形式ファイルの実際のバイト列のチェッ
クサムが前記ファイルチェックデータベースに登録され
た同ファイルのバイト列のチェックサムと一致している
か否かを調べ、一致していなければ一致していない旨の
警告メッセージを出力するファイルチェックサムチェッ
ク機構と、前記ファイル存在チェック機構、ファイル長
チエ、り41j4Rおよびファイルチェックサムチェッ
ク機構の実行を任意に選択可能としたチェック方式選択
機構とを備えるようにしている。
ァイルのファイル名とファイル長とファイルのハイド列
のチェックサムとの対応表から構成されるファイルチェ
ックデータベースと、前記ファイルチェックデータベー
スからデータを読み出すファイルチェックデータベース
読み出し機構と、 ファイルシステムから全ての実行形式ファイルを逐次取
り出す実行形式ファイル取り出し機構と、取り出した実
行形式ファイルが前記ファイルチェックデータベースに
存在するか否かを調べ、存在しなければ存在しない旨の
警告メツセージを出力するファイル存在チェック機構と
、 取り出した実行形式ファイルの実際のファイル長が前記
ファイルチェックデータベースに登録された同ファイル
のファイル長と一致しているか否かを1周べ、−itし
ていなければ一致していない旨の警告メツセージを出力
するファイル長子1フク機構と、 取り出した実行形式ファイルの実際のバイト列のチェッ
クサムが前記ファイルチェックデータベースに登録され
た同ファイルのバイト列のチェックサムと一致している
か否かを調べ、一致していなければ一致していない旨の
警告メッセージを出力するファイルチェックサムチェッ
ク機構と、前記ファイル存在チェック機構、ファイル長
チエ、り41j4Rおよびファイルチェックサムチェッ
ク機構の実行を任意に選択可能としたチェック方式選択
機構とを備えるようにしている。
本発明の実行形式ファイルの被破壊チェック方式にあっ
ては、各実行形式ファイルのファイル名とファイル長と
ファイルのバイト列のチェックサムとの対応表から構成
されるファイルチェックデータベースを予め構築してお
くことにより、チェック実行の指示に応じて、ファイル
チェックデータベース読み出し機構が前記ファイルチェ
ックデータベースからデータを読み出し、実行形式ファ
イル取り出し機構がファイルシステムから全ての実行形
式ファイルを逐次取り出し、取り出した実行形式ファイ
ルが前記ファイルチェックデータベースに存在するか否
かをファイル存在チェック機構が調べて存在しなければ
存在しない旨の警告メツセージを出力し、取り出した実
行形式ファイルの実際のファイル長が前記ファイルチエ
”)クデータヘースに登録された同ファイルのファイル
長と一致しているか否かをファイル長子1フク機構が調
べて一致していなければ一致していない旨の警告メツセ
ージを出力し、取り出した実行形式ファイルの実際のバ
イト列のチェックサムが前記ファイルチエ、クデータヘ
ースに登録された同ファイルのハイド列のチェックサム
と一致しているか否かをファイルチェックサムチェック
機構が調べて一致していなければ一致していない旨の警
告メッセージを出力する。また、チェック方式選択機構
が前記ファイル存在チェック機構、ファイル長チェック
機構およびファイルチェックサムチエ、り機構の実行を
任意に選択可能とする。
ては、各実行形式ファイルのファイル名とファイル長と
ファイルのバイト列のチェックサムとの対応表から構成
されるファイルチェックデータベースを予め構築してお
くことにより、チェック実行の指示に応じて、ファイル
チェックデータベース読み出し機構が前記ファイルチェ
ックデータベースからデータを読み出し、実行形式ファ
イル取り出し機構がファイルシステムから全ての実行形
式ファイルを逐次取り出し、取り出した実行形式ファイ
ルが前記ファイルチェックデータベースに存在するか否
かをファイル存在チェック機構が調べて存在しなければ
存在しない旨の警告メツセージを出力し、取り出した実
行形式ファイルの実際のファイル長が前記ファイルチエ
”)クデータヘースに登録された同ファイルのファイル
長と一致しているか否かをファイル長子1フク機構が調
べて一致していなければ一致していない旨の警告メツセ
ージを出力し、取り出した実行形式ファイルの実際のバ
イト列のチェックサムが前記ファイルチエ、クデータヘ
ースに登録された同ファイルのハイド列のチェックサム
と一致しているか否かをファイルチェックサムチェック
機構が調べて一致していなければ一致していない旨の警
告メッセージを出力する。また、チェック方式選択機構
が前記ファイル存在チェック機構、ファイル長チェック
機構およびファイルチェックサムチエ、り機構の実行を
任意に選択可能とする。
以下、本発明の実施例につき図面を参照して説明する。
第1図は本発明の実行形式ファイルの被破壊チェック方
式の一実施例を示す構成図である。第1図において、本
実施例は、ファイルシステム1とファイルチェックデー
タベース2とチェック方式選択機構3とファイルチェッ
クデータベース読み出し機構4と実行形式ファイル取り
出し機構5とファイル存在チエ・7り4a!416とフ
ァイル長チェック機構7とファイルチェックサムチェッ
ク機構8と画面表示装置9とから構成されている。なお
、矢印を付した太線は制御の流れを示し、細線はデータ
の流れを示し、破線は選択が行われることを示している
。
式の一実施例を示す構成図である。第1図において、本
実施例は、ファイルシステム1とファイルチェックデー
タベース2とチェック方式選択機構3とファイルチェッ
クデータベース読み出し機構4と実行形式ファイル取り
出し機構5とファイル存在チエ・7り4a!416とフ
ァイル長チェック機構7とファイルチェックサムチェッ
ク機構8と画面表示装置9とから構成されている。なお
、矢印を付した太線は制御の流れを示し、細線はデータ
の流れを示し、破線は選択が行われることを示している
。
各部の機能は次の通りである。
ファイルシステム1;コンピュータシステムのファイル
システムであり、実行形式ファイルが格納されている。
システムであり、実行形式ファイルが格納されている。
ファイルチェックデータベース2;ファイルシステムl
に正当に格納されている実行形式ファイルのファイル名
と、そのファイル長と、そのファイルのハイド列のチェ
ックサムとを一つのエントリとするデータヘースである
。これは、コンピュータシステムを最初にインストール
したときに作成しておく。そのコンピュータシステムの
管理者がエディタで登録してもよいし、別途ツールを作
成して登録してもよい。
に正当に格納されている実行形式ファイルのファイル名
と、そのファイル長と、そのファイルのハイド列のチェ
ックサムとを一つのエントリとするデータヘースである
。これは、コンピュータシステムを最初にインストール
したときに作成しておく。そのコンピュータシステムの
管理者がエディタで登録してもよいし、別途ツールを作
成して登録してもよい。
チェック方式選択機構3;チェック方
し、実行する機構を確定するものである.チェック方式
としては、ファイル存在チェックとファイル長チェック
とファイルチェックサムチェックとがある。なお、どの
チェックを行うかは、起動時に引数として与えられる。
としては、ファイル存在チェックとファイル長チェック
とファイルチェックサムチェックとがある。なお、どの
チェックを行うかは、起動時に引数として与えられる。
ファイルチェックデータベース読み出し機構4;ファイ
ルチエソクデータヘース2からデータを読み出すもので
ある。
ルチエソクデータヘース2からデータを読み出すもので
ある。
実行形式ファイル取り出し機構5;ファイルシステムl
から全ての実行形式ファイルを逐次取り出すものである
。
から全ての実行形式ファイルを逐次取り出すものである
。
ファイル存在チェック機構6;実行形式ファイル取り出
し機構5がファイルシステム1から取り出した実行形式
ファイルのファイル名がファイルチェックデータベース
2から読み出したデータ中に存在するか否かを調べ、存
在しなければ存在しない旨の警告メツセージを画面表示
装置9に出力するものである。なお、チェック方式選択
機構3により当該機構が選択された場合にだけ動作する
。
し機構5がファイルシステム1から取り出した実行形式
ファイルのファイル名がファイルチェックデータベース
2から読み出したデータ中に存在するか否かを調べ、存
在しなければ存在しない旨の警告メツセージを画面表示
装置9に出力するものである。なお、チェック方式選択
機構3により当該機構が選択された場合にだけ動作する
。
ファイル長チェック機構7;実行形式ファイル取り出し
機構5がファイルシステム1から取り出した実行形式フ
ァイルの実際のファイル長がファイルチェックデータベ
ース2に登録された同ファイルのファイル長と一致して
いるか否かを調べ、一致していなければ一致していない
旨の警告メツセージを画面表示装置9に出力するもので
ある。
機構5がファイルシステム1から取り出した実行形式フ
ァイルの実際のファイル長がファイルチェックデータベ
ース2に登録された同ファイルのファイル長と一致して
いるか否かを調べ、一致していなければ一致していない
旨の警告メツセージを画面表示装置9に出力するもので
ある。
なお、チェック方式選択機構3により当該機構が選択さ
れた場合にだけ動作する。
れた場合にだけ動作する。
ファイルチェックサムチェック機構8;実行形式ファイ
ル取り出し機構5がファイルシステム1から取り出した
実行形式ファイルの実際のバイト列のチェックサムがフ
ァイルチェックデータベース2に登録された同ファイル
のバイト列のチェックサムと一致しているか否かを調べ
、−itしていなければ一致していない旨の警告メツセ
ージを画面表示装置9に出力するものである。なお、チ
ェック方式選択機構3により当該機構が選択された場合
にだけ動作する。
ル取り出し機構5がファイルシステム1から取り出した
実行形式ファイルの実際のバイト列のチェックサムがフ
ァイルチェックデータベース2に登録された同ファイル
のバイト列のチェックサムと一致しているか否かを調べ
、−itしていなければ一致していない旨の警告メツセ
ージを画面表示装置9に出力するものである。なお、チ
ェック方式選択機構3により当該機構が選択された場合
にだけ動作する。
画面表示装置9;警告メッセージをコンピュータシステ
ムの管理者等に対して表示するものである。
ムの管理者等に対して表示するものである。
第2図は、上記の実施例の処理を示すフローチャートで
あり、以下、第1図および第2回を参照して実施例の動
作を説明する。
あり、以下、第1図および第2回を参照して実施例の動
作を説明する。
先ず、動作が開始されると(ステップSl)、オペレー
タ等の指示に基づき、チェック方式選択lm443によ
りチェック方式の特定が行われる(ステップS2)、具
体的には、起動時に与えられるプログラムの引数に応じ
°ζ、3つのナエ、タ方式(ファイル存在チェック、フ
ァイル長チエツタファイルチェックサムチェック)のそ
れぞれに対応するビットを持ったファイルチェックフラ
グのビットを設定する。ビットの値がその方式を採用す
るか採用しないかを示す。
タ等の指示に基づき、チェック方式選択lm443によ
りチェック方式の特定が行われる(ステップS2)、具
体的には、起動時に与えられるプログラムの引数に応じ
°ζ、3つのナエ、タ方式(ファイル存在チェック、フ
ァイル長チエツタファイルチェックサムチェック)のそ
れぞれに対応するビットを持ったファイルチェックフラ
グのビットを設定する。ビットの値がその方式を採用す
るか採用しないかを示す。
次いで、ファイルチェックデータベース読み出し機構4
により、ファイルチェックデータベース2からデータが
メモリ(図示せず)上に読み出される(ステップS3)
。
により、ファイルチェックデータベース2からデータが
メモリ(図示せず)上に読み出される(ステップS3)
。
次いで、実行形式ファイル取り出し機構5により、ファ
イルシステム1から順次に実行形式ファイルが取り出さ
れる(ステップS4)、そして、実行形式ファイルが存
在しないか否かが判断され(ステップS5)、存在しな
い場合(ステップS5のYES)は全ての実行形式ファ
イルについて処理が終了したものとして処理を終了する
(ステップS6)、存在する場合は次の処理に移行する
。
イルシステム1から順次に実行形式ファイルが取り出さ
れる(ステップS4)、そして、実行形式ファイルが存
在しないか否かが判断され(ステップS5)、存在しな
い場合(ステップS5のYES)は全ての実行形式ファ
イルについて処理が終了したものとして処理を終了する
(ステップS6)、存在する場合は次の処理に移行する
。
次いで、ファイル存在チェック機構6では、先にチェッ
ク方式選択機構3により設定されたファイルチェックフ
ラグのうちファイル存在チェックに対応する値が調べら
れ(ステップS7)、「ON」の場合(ステップS7の
ON)は、メモリに読み出したファイルチェックデータ
ベース2のデータ中に、取り出した実行形式ファイルと
同しファイル名が存在するか否かが調べられ(ステップ
S8)、存在しない場合(ステップS8のNo)には、
存在しない旨の警告メツセージが画面表示装置9に出力
される(ステップS9)。その後、ステップS4に戻る
。
ク方式選択機構3により設定されたファイルチェックフ
ラグのうちファイル存在チェックに対応する値が調べら
れ(ステップS7)、「ON」の場合(ステップS7の
ON)は、メモリに読み出したファイルチェックデータ
ベース2のデータ中に、取り出した実行形式ファイルと
同しファイル名が存在するか否かが調べられ(ステップ
S8)、存在しない場合(ステップS8のNo)には、
存在しない旨の警告メツセージが画面表示装置9に出力
される(ステップS9)。その後、ステップS4に戻る
。
ファイルチェックフラグのうちファイル存在チェックに
対応する値がrOFF、の場合(ステップS7の0FF
)およびファイルチェックデータベース2に同じファイ
ル名が存在する場合(ステツブS8のYES)には、次
の処理に移行する。
対応する値がrOFF、の場合(ステップS7の0FF
)およびファイルチェックデータベース2に同じファイ
ル名が存在する場合(ステツブS8のYES)には、次
の処理に移行する。
次いで、ファイル長チェック機構7では、ファイルチェ
ックフラグのうちファイル艮チェックに対応する値が調
べられ(ステップ310)、「ON」の場合(ステップ
510のON)は、ファイルチェックデータベース2に
登録された同ファイルのファイル長が、取り出した実行
形式ファイルの実際のファイル長と一致しているか否か
が調べられ(ステップ5ll)、一致していない場合(
ステップSllのNO)は、一致していない旨の警告メ
ッセージが画面表示装置9に出力される(ステップ51
2)。その後、ステップS4に戻る。
ックフラグのうちファイル艮チェックに対応する値が調
べられ(ステップ310)、「ON」の場合(ステップ
510のON)は、ファイルチェックデータベース2に
登録された同ファイルのファイル長が、取り出した実行
形式ファイルの実際のファイル長と一致しているか否か
が調べられ(ステップ5ll)、一致していない場合(
ステップSllのNO)は、一致していない旨の警告メ
ッセージが画面表示装置9に出力される(ステップ51
2)。その後、ステップS4に戻る。
ファイルチェックフラグのうちファイル長チェックに対
応する値がrOFFJの場合(ステ、プS10の0FF
)およびファイルチエ、クデータベース2の同ファイル
とファイル長が−tする場合(ステップSllのYES
)には、次の処理に移行する。
応する値がrOFFJの場合(ステ、プS10の0FF
)およびファイルチエ、クデータベース2の同ファイル
とファイル長が−tする場合(ステップSllのYES
)には、次の処理に移行する。
次いで、ファイルチェックサムチェック機構8では、フ
ァイルチェックフラグのうちファイルチェックサムチェ
ックに対応する値が調べられ(ステップ513)、rO
NJの場合(ステップS13のON)は、ファイルチェ
ックデータベース2に登録された同ファイルのファイル
チェックサムが、取り出した実行形式ファイルの実際の
バイト列のチェックサムと一致しているか否かが調べら
れ(ステップ514)、一致していない場合(ステップ
S14のNo)は、一致していない旨の警告メッセージ
を画面表示装置9に出力する(ステップ515)。その
後、ステップS4に戻る。
ァイルチェックフラグのうちファイルチェックサムチェ
ックに対応する値が調べられ(ステップ513)、rO
NJの場合(ステップS13のON)は、ファイルチェ
ックデータベース2に登録された同ファイルのファイル
チェックサムが、取り出した実行形式ファイルの実際の
バイト列のチェックサムと一致しているか否かが調べら
れ(ステップ514)、一致していない場合(ステップ
S14のNo)は、一致していない旨の警告メッセージ
を画面表示装置9に出力する(ステップ515)。その
後、ステップS4に戻る。
また、ファイルチェックフラグのうちファイルチェック
サムチェックに対応する値がrOFFJの場合(ステッ
プS13の0FF)およびファイルチェックデータベー
ス2の同ファイルとファイルチエ、クサムが一致する場
合(ステップS14のYES)にも同様にステップS4
に戻る。
サムチェックに対応する値がrOFFJの場合(ステッ
プS13の0FF)およびファイルチェックデータベー
ス2の同ファイルとファイルチエ、クサムが一致する場
合(ステップS14のYES)にも同様にステップS4
に戻る。
これらの処理が全ての実行形式ファイルについて行われ
る。
る。
警告メツセージで特定された実行形式ファイルについて
は、コンピュータウィルスの感染の可能性が高いので、
個別にチェックした上で適当な処置がとられる。
は、コンピュータウィルスの感染の可能性が高いので、
個別にチェックした上で適当な処置がとられる。
以上説明したように、本発明の実行形式ファイルの被破
壊チェックサムにあっては、コンピュータウィルスの感
染の性質に着目して統一的かつ網羅的にチェックを行う
ため、コンピュータウィルスに感染しているか否かの判
定および被疑ファイルの特定が遅滞なく行え、コンピュ
ータウィルスによるコンピュータシステムの発病を有効
に防止できる効果がある。
壊チェックサムにあっては、コンピュータウィルスの感
染の性質に着目して統一的かつ網羅的にチェックを行う
ため、コンピュータウィルスに感染しているか否かの判
定および被疑ファイルの特定が遅滞なく行え、コンピュ
ータウィルスによるコンピュータシステムの発病を有効
に防止できる効果がある。
第1図は本発明の実行形式ファイルの被破壊チェック方
式の一実施例を示す構成回および、第2図は第1図の実
施例の処理のフローチャートである。 図において、 l・・・・・・ファイルシステム 2・・・・・・ファイルチェックデータベース3・・・
・・・チェック方式選択機構 4・・・・・・ファイルチェックデータベース読み出し
機構 5・・・・・・実行形式ファイル取り出し機構6・・・
・・・ファイル存在チェック機構7・・・・・・ファイ
ル長チェック機構8・・・・・・ファイルチェックサム
チェック機構9・・・・・・画面表示装置
式の一実施例を示す構成回および、第2図は第1図の実
施例の処理のフローチャートである。 図において、 l・・・・・・ファイルシステム 2・・・・・・ファイルチェックデータベース3・・・
・・・チェック方式選択機構 4・・・・・・ファイルチェックデータベース読み出し
機構 5・・・・・・実行形式ファイル取り出し機構6・・・
・・・ファイル存在チェック機構7・・・・・・ファイ
ル長チェック機構8・・・・・・ファイルチェックサム
チェック機構9・・・・・・画面表示装置
Claims (2)
- (1)各実行形式ファイルのファイル名とファイル長と
ファイルのバイト列のチェックサムとの対応表から構成
されるファイルチェックデータベースと、 前記ファイルチェックデータベースからデータを読み出
すファイルチェックデータベース読み出し機構と、 ファイルシステムから全ての実行形式ファイルを逐次取
り出す実行形式ファイル取り出し機構と、取り出した実
行形式ファイルが前記ファイルチェックデータベースに
存在するか否かを調べ、存在しなければ存在しない旨の
警告メッセージを出力するファイル存在チェック機構と
、 取り出した実行形式ファイルの実際のファイル長が前記
ファイルチェックデータベースに登録された同ファイル
のファイル長と一致しているか否かを調べ、一致してい
なければ一致していない旨の警告メッセージを出力する
ファイル長チェック機構と、 取り出した実行形式ファイルの実際のバイト列のチェッ
クサムが前記ファイルチェックデータベースに登録され
た同ファイルのバイト列のチェックサムと一致している
か否かを調べ、一致していなければ一致していない旨の
警告メッセージを出力するファイルチェックサムチェッ
ク機構と、前記ファイル存在チェック機構、ファイル長
チェック機構およびファイルチェックサムチェック機構
の実行を任意に選択可能としたチェック方式選択機構と
を備えたことを特徴とする実行形式ファイルの被破壊チ
ェック方式。 - (2)各警告メッセージを画面表示装置に出力すること
を特徴とした請求項1記載の実行形式ファイルの被破壊
チェック方式。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2029902A JPH03233629A (ja) | 1990-02-09 | 1990-02-09 | 実行形式ファイルの被破壊チェック方式 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2029902A JPH03233629A (ja) | 1990-02-09 | 1990-02-09 | 実行形式ファイルの被破壊チェック方式 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH03233629A true JPH03233629A (ja) | 1991-10-17 |
Family
ID=12288912
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2029902A Pending JPH03233629A (ja) | 1990-02-09 | 1990-02-09 | 実行形式ファイルの被破壊チェック方式 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH03233629A (ja) |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH06250861A (ja) * | 1993-01-19 | 1994-09-09 | Internatl Business Mach Corp <Ibm> | コンピュータ・ウィルスおよび他の望ましくないソフトウェア実在物のシグネチャを評価し抽出するための方法および装置 |
| US5473769A (en) * | 1992-03-30 | 1995-12-05 | Cozza; Paul D. | Method and apparatus for increasing the speed of the detecting of computer viruses |
| US5502815A (en) * | 1992-03-30 | 1996-03-26 | Cozza; Paul D. | Method and apparatus for increasing the speed at which computer viruses are detected |
| JP2003091429A (ja) * | 2001-09-17 | 2003-03-28 | Tomoki Noguchi | データ一括保護システム |
| JP2004510226A (ja) * | 2000-09-22 | 2004-04-02 | ジーイー・メディカル・システムズ・グローバル・テクノロジー・カンパニー・エルエルシー | ウイルス保護機能を持つ超音波イメージング・システム |
| JP2006277747A (ja) * | 2005-03-28 | 2006-10-12 | Microsoft Corp | 潜在的に不要なソフトウェアを識別して除去するシステムおよび方法 |
| JP2007079989A (ja) * | 2005-09-14 | 2007-03-29 | Sony Corp | 情報処理装置、情報記録媒体、情報記録媒体製造装置、および方法、並びにコンピュータ・プログラム |
| JP2009500706A (ja) * | 2005-06-30 | 2009-01-08 | プレヴィクス リミテッド | マルウェアに対処する方法及び装置 |
| JP2009129220A (ja) * | 2007-11-26 | 2009-06-11 | Nec Infrontia Corp | コンピュータシステム及びその制御方法 |
| JP2009139722A (ja) * | 2007-12-07 | 2009-06-25 | Tani Electronics Corp | カラーを利用した暗号化方法および暗号化装置 |
| JP2011233126A (ja) * | 2010-04-28 | 2011-11-17 | Electronics And Telecommunications Research Institute | 正常プロセスに偽装挿入された悪性コード検出装置、システム及びその方法 |
| US8479174B2 (en) | 2006-04-05 | 2013-07-02 | Prevx Limited | Method, computer program and computer for analyzing an executable computer file |
| JP2013143126A (ja) * | 2012-01-10 | 2013-07-22 | O2 Micro Inc | デバイスで実行中のアプリケーションプログラムの状態検出 |
| JP2014191658A (ja) * | 2013-03-27 | 2014-10-06 | Fujitsu Fsas Inc | サーバ装置およびプログラム管理方法 |
| US10574630B2 (en) | 2011-02-15 | 2020-02-25 | Webroot Inc. | Methods and apparatus for malware threat research |
| CN114996707A (zh) * | 2022-08-01 | 2022-09-02 | 北京微步在线科技有限公司 | 图片木马的静态检测方法、装置、电子设备及存储介质 |
-
1990
- 1990-02-09 JP JP2029902A patent/JPH03233629A/ja active Pending
Cited By (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5473769A (en) * | 1992-03-30 | 1995-12-05 | Cozza; Paul D. | Method and apparatus for increasing the speed of the detecting of computer viruses |
| US5502815A (en) * | 1992-03-30 | 1996-03-26 | Cozza; Paul D. | Method and apparatus for increasing the speed at which computer viruses are detected |
| JPH06250861A (ja) * | 1993-01-19 | 1994-09-09 | Internatl Business Mach Corp <Ibm> | コンピュータ・ウィルスおよび他の望ましくないソフトウェア実在物のシグネチャを評価し抽出するための方法および装置 |
| JP2004510226A (ja) * | 2000-09-22 | 2004-04-02 | ジーイー・メディカル・システムズ・グローバル・テクノロジー・カンパニー・エルエルシー | ウイルス保護機能を持つ超音波イメージング・システム |
| JP2003091429A (ja) * | 2001-09-17 | 2003-03-28 | Tomoki Noguchi | データ一括保護システム |
| JP2006277747A (ja) * | 2005-03-28 | 2006-10-12 | Microsoft Corp | 潜在的に不要なソフトウェアを識別して除去するシステムおよび方法 |
| KR101224793B1 (ko) * | 2005-03-28 | 2013-01-21 | 마이크로소프트 코포레이션 | 잠재적으로 불필요한 소프트웨어를 식별하고 제거하는시스템 및 방법 |
| US8418250B2 (en) | 2005-06-30 | 2013-04-09 | Prevx Limited | Methods and apparatus for dealing with malware |
| JP2009500706A (ja) * | 2005-06-30 | 2009-01-08 | プレヴィクス リミテッド | マルウェアに対処する方法及び装置 |
| US11379582B2 (en) | 2005-06-30 | 2022-07-05 | Webroot Inc. | Methods and apparatus for malware threat research |
| US10803170B2 (en) | 2005-06-30 | 2020-10-13 | Webroot Inc. | Methods and apparatus for dealing with malware |
| US8763123B2 (en) | 2005-06-30 | 2014-06-24 | Prevx Limited | Methods and apparatus for dealing with malware |
| US8726389B2 (en) | 2005-06-30 | 2014-05-13 | Prevx Limited | Methods and apparatus for dealing with malware |
| JP2007079989A (ja) * | 2005-09-14 | 2007-03-29 | Sony Corp | 情報処理装置、情報記録媒体、情報記録媒体製造装置、および方法、並びにコンピュータ・プログラム |
| US7979709B2 (en) | 2005-09-14 | 2011-07-12 | Sony Corporation | Information processing apparatus, information recording medium, apparatus and method of manufacturing information recording medium, and computer program |
| US8479174B2 (en) | 2006-04-05 | 2013-07-02 | Prevx Limited | Method, computer program and computer for analyzing an executable computer file |
| JP2009129220A (ja) * | 2007-11-26 | 2009-06-11 | Nec Infrontia Corp | コンピュータシステム及びその制御方法 |
| JP2009139722A (ja) * | 2007-12-07 | 2009-06-25 | Tani Electronics Corp | カラーを利用した暗号化方法および暗号化装置 |
| JP2011233126A (ja) * | 2010-04-28 | 2011-11-17 | Electronics And Telecommunications Research Institute | 正常プロセスに偽装挿入された悪性コード検出装置、システム及びその方法 |
| US8955124B2 (en) | 2010-04-28 | 2015-02-10 | Electronics And Telecommunications Research Institute | Apparatus, system and method for detecting malicious code |
| US10574630B2 (en) | 2011-02-15 | 2020-02-25 | Webroot Inc. | Methods and apparatus for malware threat research |
| JP2013143126A (ja) * | 2012-01-10 | 2013-07-22 | O2 Micro Inc | デバイスで実行中のアプリケーションプログラムの状態検出 |
| US9298909B2 (en) | 2012-01-10 | 2016-03-29 | O2Micro, Inc. | Detecting status of an application program running in a device |
| JP2014191658A (ja) * | 2013-03-27 | 2014-10-06 | Fujitsu Fsas Inc | サーバ装置およびプログラム管理方法 |
| CN114996707A (zh) * | 2022-08-01 | 2022-09-02 | 北京微步在线科技有限公司 | 图片木马的静态检测方法、装置、电子设备及存储介质 |
| CN114996707B (zh) * | 2022-08-01 | 2022-12-16 | 北京微步在线科技有限公司 | 图片木马的静态检测方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JPH03233629A (ja) | 実行形式ファイルの被破壊チェック方式 | |
| KR100942795B1 (ko) | 악성프로그램 탐지장치 및 그 방법 | |
| US7725735B2 (en) | Source code management method for malicious code detection | |
| EP0815510B1 (en) | Method for protecting executable software programs against infection by software viruses | |
| US7620990B2 (en) | System and method for unpacking packed executables for malware evaluation | |
| CN102999726B (zh) | 文件宏病毒免疫方法和装置 | |
| US20040181677A1 (en) | Method for detecting malicious scripts using static analysis | |
| US20040205411A1 (en) | Method of detecting malicious scripts using code insertion technique | |
| CN103150506B (zh) | 一种恶意程序检测的方法和装置 | |
| US9038161B2 (en) | Exploit nonspecific host intrusion prevention/detection methods and systems and smart filters therefor | |
| JP2010262609A (ja) | 効率的なマルウェアの動的解析手法 | |
| CN105678168A (zh) | 一种基于栈异常的shellcode检测方法及装置 | |
| JP7404223B2 (ja) | 不正なメモリダンプ改変を防ぐシステムおよび方法 | |
| US20220292201A1 (en) | Backdoor inspection apparatus, backdoor inspection method, and non-transitory computer readable medium | |
| US7581250B2 (en) | System, computer program product and method of selecting sectors of a hard disk on which to perform a virus scan | |
| US8938807B1 (en) | Malware removal without virus pattern | |
| CN104252594A (zh) | 病毒检测方法和装置 | |
| KR101769714B1 (ko) | Bad usb 활성화 방지 시스템 및 방법 | |
| US12242609B2 (en) | Exact restoration of a computing system to the state prior to infection | |
| JP2006330864A (ja) | サーバ計算機システムの制御方法 | |
| CN111625296B (zh) | 一种通过构建代码副本保护程序的方法 | |
| JP4643201B2 (ja) | バッファオーバーフロー脆弱性分析方法、データ処理装置、分析情報提供装置、分析情報抽出処理用プログラムおよび分析情報提供処理用プログラム | |
| CN103034809B (zh) | 一种免疫文件宏病毒的方法和装置 | |
| KR100745640B1 (ko) | 커널 메모리를 보호하는 방법 및 그 장치 | |
| CN109472138B (zh) | 一种检测snort规则冲突的方法、装置和存储介质 |