公开(公告)号：US07620990B2

公开(公告)日：2009-11-17

申请号：US10769103

申请日：2004-01-30

申请人： Daniel M. Bodorin ,  Adrian M. Marinescu

发明人： Daniel M. Bodorin ,  Adrian M. Marinescu

IPC分类号： G06F11/00 ,  G06F11/30

CPC分类号： G06F21/51 ,  G06F21/56

摘要： A system and method for determining whether a packed executable is malware is presented. In operation, a malware evaluator intercepts incoming data directed to a computer. The malware evaluator evaluates the incoming data to determine whether the incoming data is a packed executable. If the incoming data is a packed executable, the malware evaluator passes the packed executable to an unpacking module. The unpacking module includes a set of unpacker modules for unpacking a packed executable of a particular type. The unpacking module selects an unpacker module according to the type of the packed executable, and executes the selected unpacker module. Executing the unpacker module generates an unpacked executable corresponding to the packed executable. The unpacked executable is returned to the malware evaluator where it is evaluated to determine whether the packed executable is malware.

摘要翻译： 提出了一种用于确定打包的可执行文件是否是恶意软件的系统和方法。 在操作中，恶意软件评估器拦截指向计算机的传入数据。 恶意软件评估程序评估传入数据以确定传入数据是否是打包的可执行文件。 如果传入的数据是打包的可执行文件，则恶意软件评估程序将打包的可执行文件传递到拆包模块。 拆包模块包括一组解包器模块，用于解包特定类型的打包可执行文件。 解包模块根据打包的可执行文件的类型选择解包器模块，并执行所选的解包器模块。 执行解包器模块生成与打包的可执行文件相对应的解包的可执行文件。 解压缩的可执行文件被返回到恶意软件评估器，在其中进行评估，以确定打包的可执行文件是否为恶意软件。

公开(公告)号：US07730530B2

公开(公告)日：2010-06-01

申请号：US10769097

申请日：2004-01-30

申请人： Daniel M. Bodorin ,  Adrian M. Marinescu

发明人： Daniel M. Bodorin ,  Adrian M. Marinescu

IPC分类号： G06F11/00

CPC分类号： H04L63/1408 ,  G06F21/563 ,  G06F21/564 ,  G06F21/566

摘要： A system and method for gathering exhibited behaviors of a .NET executable module in a secure manner is presented. In operation, a .NET behavior evaluation module presents a virtual .NET environment to a Microsoft Corporation .NET code module. The .NET behavior evaluation module implements a sufficient number of aspects of an actual Microsoft Corporation .NET environment that a .NET code module can execute. As the .NET code module executes, the .NET behavior evaluation module records some of the exhibited behaviors, i.e., .NET system supplied libraries/subroutines, that are associated with known malware. The recorded behaviors are placed in a behavior signature for an external determination as to whether the .NET code module is malware, i.e., an unwanted computer attack.

摘要翻译： 提出了以安全的方式收集.NET可执行模块的展示行为的系统和方法。 在运行中，.NET行为评估模块向Microsoft Corporation .NET代码模块呈现虚拟.NET环境。 .NET行为评估模块实现.NET代码模块可以执行的实际Microsoft Corporation .NET环境的足够数量的方面。 当.NET代码模块执行时，.NET行为评估模块记录与已知恶意软件相关联的一些展示行为，即.NET系统提供的库/子程序。 记录的行为被放置在行为签名中，以便外部确定.NET代码模块是否是恶意软件，即不需要的计算机攻击。

公开(公告)号：US07913305B2

公开(公告)日：2011-03-22

申请号：US10769038

申请日：2004-01-30

申请人： Daniel M. Bodorin ,  Adrian M. Marinescu

发明人： Daniel M. Bodorin ,  Adrian M. Marinescu

IPC分类号： G06F11/00

CPC分类号： G06F21/566

摘要： A malware detection system that determines whether an executable code module is malware according to behaviors exhibited while executing is presented. The malware detection system determines the type of code module and executes the code module in a behavior evaluation module for evaluating code corresponding to the code module's type. Some behaviors exhibited by the code module, while executing in the behavior evaluation module, are recorded as the code module's behavior signature. After the code module has completed its execution, the code module's behavior signature is compared against known malware behavior signatures stored in a malware behavior signature store. A determination as to whether the code module is malware is based on the results of the comparison.

摘要翻译： 一个恶意软件检测系统根据执行过程中呈现的行为来确定可执行代码模块是否是恶意软件。 恶意软件检测系统确定代码模块的类型，并在行为评估模块中执行代码模块，以评估与代码模块类型相对应的代码。 在行为评估模块中执行时，代码模块执行的一些行为被记录为代码模块的行为签名。 在代码模块完成执行之后，将代码模块的行为签名与存储在恶意软件行为签名存储中的已知恶意软件行为特征进行比较。 关于代码模块是否是恶意软件的确定是基于比较的结果。