特許

J-GLOBAL ID：201903015651172900

プロセスのアドレス空間内の悪意のあるコードの検出のためのシステムおよび方法

発明者： ミハイル エー. パヴリュシク
出願人/特許権者： エーオー カスペルスキー ラボ
代理人 (1件)： 特許業務法人酒井国際特許事務所
公報種別：公開公報
出願番号（国際出願番号）：特願2018-157018
公開番号（公開出願番号）：特開2019-067372
出願日： 2018年08月24日
公開日（公表日）： 2019年04月25日
要約：

【課題】プロセスのアドレス空間内の悪意あるコードを検出するためのシステムおよび方法を提供する。【解決手段】方法は、コンピュータ上で実行中の実行可能ファイルからプロセスが起動されたことを検出し、信頼できるプロセスのアドレス空間内にあり、信頼できる実行可能イメージの境界外に位置するメモリ領域であり、かつ、実行可能メモリ領域である、メモリ領域の中のアドレスがアクセスされたことを検出し、アドレス空間の近傍の範囲内のメモリ領域を解析して、他の1つの実行可能イメージがメモリ領域内に存在するか否かを判定し、当該他の1つの実行可能イメージが悪意あるコードを含んでいるか否かを判定し、当該他の1つの実行可能イメージが悪意あるコードを含んでいる場合、悪意あるコードが信頼できるプロセスのアドレス空間内に含まれていると結論づけ、アドレス空間内の悪意あるコードの、除去、停止、および隔離のうち、1つを実行する。【選択図】図2

請求項（抜粋）：

プロセスのアドレス空間内の悪意あるコードを検出するための方法であって、 コンピュータシステム上で実行中の信頼できる実行可能ファイルから、信頼できるプロセスが起動されたことを検出することと、 前記信頼できるプロセスのアドレス空間内にあり、前記信頼できる実行可能ファイルを表現する信頼できる実行可能イメージの境界外に位置するメモリ領域であり、かつ、実行可能メモリ領域である、疑わしいメモリ領域の中の疑わしいアドレスがアクセスされたことを検出することと、 前記コンピュータシステム内の前記疑わしいアドレス空間の近傍の範囲内の1つ以上のメモリ領域を解析して、他の1つの実行可能ファイルを表現する他の1つの実行可能イメージが前記1つ以上のメモリ領域内に存在するか否かを判定することと、 前記他の1つの実行可能イメージを解析して、前記他の1つの実行可能イメージが悪意あるコードを含んでいるか否かを判定することと、 前記他の1つの実行可能イメージが悪意あるコードを含んでいる場合、悪意あるコードが前記信頼できるプロセスの前記アドレス空間内に含まれていると結論づけることと、 前記信頼できるプロセスの前記アドレス空間内の前記悪意あるコードの、除去、停止、および隔離のうち、1つを実行することと、を含むことを特徴とする、方法。

IPC (1件)：

G06F 21/56

FI (2件)：

G06F21/56 360 ,  G06F21/56 380

引用特許：

審査官引用 (2件)

• 特許第9411953号
  
• プログラムの脆弱点を用いた攻撃の探知装置および方法
  公報種別：公開公報   出願番号：特願2015-010352   出願人：イグルーセキュリティ,インク.