WIPO logo
Mobile | Deutsch | Español | Français | 日本語 | 한국어 | Português | Русский | 中文 | العربية |
PATENTSCOPE

Search International and National Patent Collections
World Intellectual Property Organization
Search
 
Browse
 
Translate
 
Options
 
News
 
Login
 
Help
 
Machine translation
1. (WO1998030957) POLYMORPHIC VIRUS DETECTION MODULE
Latest bibliographic data on file with the International Bureau   

Pub. No.:    WO/1998/030957    International Application No.:    PCT/US1998/008897
Publication Date: 16.07.1998 International Filing Date: 05.01.1998
Chapter 2 Demand Filed:    04.08.1998    
IPC:
G06F 1/00 (2006.01), G06F 21/00 (2006.01)
Applicants: SYMANTEC CORPORATION [US/US]; 10201 Torre Avenue, Cupertino, CA 95014 (US)
Inventors: NACHENBERG, Carey, S.; (US)
Agent: ; Fenwick & West LLP, Two Palo Alto Square, Palo Alto, CA 94306 (US)
Priority Data:
08/780,985 08.01.1997 US
Title (EN) POLYMORPHIC VIRUS DETECTION MODULE
(FR) MODULE DE DETECTION DE VIRUS POLYMORPHES
Abstract: front page image
(EN)A Polymorphic Anti-virus Module (PAM) (200) comprises a CPU emulator (210) for emulating the target program, a virus signature scanning module (250) for scanning decrypted virus code, and an emulation control module (220), including a static exclusion module (230), a dynamic exclusion module (240), instruction/interrupt usage profiles (224) for the mutation engines (162) of the known polymorphic viruses (150), size and target file types (226) for these viruses, and a table (228) having an entry for each known polymorphic virus (150). During emulation, the emulation control module (220) may observe use of a register-indirect memory write instruction using a register that has not been initialized. Such a random write can be used as an indication that the file is probably a data file and so is unlikely to harbor a virus.
(FR)La présente invention concerne un module anti-virus polymorphe (PAM) (200) comportant un émulateur (210) d'unité centrale permettant d'émuler le programme cible, un module (250) de numérisation de la signature d'un virus permettant de numériser une signature de virus décryptée, et un module (220) de commande de l'émulation, comportant un module (230) d'exclusion statique; un module (240) d'exclusion dynamique; des données relatives aux profils (224) d'utilisation d'instruction/interruption de programme pour les moteurs (162) de mutation des virus (150) polymorphes connus et aux dimensions et types (226) fichiers cibles de ces virus connus; et une table (228) dotée d'une d'entrée pour chaque virus (150) polymorphe connu. Au cours de l'émulation, le module (220) de commande de l'émulation peut observer l'utilisation d'une instruction d'écriture en mémoire indirecte à registre au moyen d'un registre qui n'a pas été initialisé. Ces écritures en mémoire indexée et non initialisée peuvent être utilisées pour indiquer que le fichier est probablement un fichier de données et que, par conséquent, il n'est pas susceptible d'être porteur d'un virus.
Designated States: CA, JP.
European Patent Office (AT, BE, CH, DE, DK, ES, FI, FR, GB, GR, IE, IT, LU, MC, NL, PT, SE).
Publication Language: English (EN)
Filing Language: English (EN)