Processing

Please wait...

Settings

Settings

Goto Application

1. WO2002003175 - METHOD OF DETECTING MALICIOUS CODE

Publication Number WO/2002/003175
Publication Date 10.01.2002
International Application No. PCT/GB2001/002955
International Filing Date 02.07.2001
Chapter 2 Demand Filed 30.01.2002
IPC
G06F 11/10 2006.1
GPHYSICS
06COMPUTING; CALCULATING OR COUNTING
FELECTRIC DIGITAL DATA PROCESSING
11Error detection; Error correction; Monitoring
07Responding to the occurrence of a fault, e.g. fault tolerance
08Error detection or correction by redundancy in data representation, e.g. by using checking codes
10Adding special bits or symbols to the coded information, e.g. parity check, casting out nines or elevens
G06F 1/00 2006.1
GPHYSICS
06COMPUTING; CALCULATING OR COUNTING
FELECTRIC DIGITAL DATA PROCESSING
1Details not covered by groups G06F3/-G06F13/82
G06F 12/14 2006.1
GPHYSICS
06COMPUTING; CALCULATING OR COUNTING
FELECTRIC DIGITAL DATA PROCESSING
12Accessing, addressing or allocating within memory systems or architectures
14Protection against unauthorised use of memory
G06F 21/56 2013.1
GPHYSICS
06COMPUTING; CALCULATING OR COUNTING
FELECTRIC DIGITAL DATA PROCESSING
21Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
55Detecting local intrusion or implementing counter-measures
56Computer malware detection or handling, e.g. anti-virus arrangements
CPC
G06F 21/56
GPHYSICS
06COMPUTING; CALCULATING; COUNTING
FELECTRIC DIGITAL DATA PROCESSING
21Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
55Detecting local intrusion or implementing counter-measures
56Computer malware detection or handling, e.g. anti-virus arrangements
Applicants
  • MARCONI COMMUNICATIONS LIMITED [GB]/[GB] (AllExceptUS)
  • SPARRY, Icarus, William, John [GB]/[GB] (UsOnly)
  • WRAY, Stuart, Charles [GB]/[GB] (UsOnly)
Inventors
  • SPARRY, Icarus, William, John
  • WRAY, Stuart, Charles
Agents
  • HOSTE, Colin Francis
Priority Data
0016273.501.07.2000GB
Publication Language English (en)
Filing Language English (EN)
Designated States
Title
(EN) METHOD OF DETECTING MALICIOUS CODE
(FR) PROCEDE DE DETECTION DE CODE HOSTILE
Abstract
(EN) The invention provides a method of detecting malicious code in a code-executing device (10), the method characterised in that it includes the steps of: (a) generating test data which is substantially unsusceptible to compression without reducing its information content and storing it as image data (230) in memory external to the device (10); (b) loading the test data (R0 to Rm) into memory (30) of the device (10); (c) performing a checksum calculation on the test data (R0 to Rm) stored in the memory (30) of the device (10) to generate a first checksum value, performing a corresponding checksum calculation on the image data (230) to generate a second checksum value, and the comparing the first value with the second value to determine whether or not the test data in the memory of the device (30) has been corrupted; (d) repeating step (c) until sufficient test data in the memory (30) of the device (10) is checksum tested to determine whether or not malicious code is present in the device (10). The method makes it difficult for the malicious code to conceal itself from the checksums, hence it is possible to determine whether or not the device (10) has been compromised.
(FR) L'invention concerne un procédé de détection de code hostile dans un dispositif d'exécution de code (10), ce procédé étant caractérisé en ce qu'il consiste à (a) générer des données test sensiblement non susceptibles d'être comprimées sans réduire leurs contenus d'information et à les stocker sous forme de données image (230) dans une mémoire extérieure au dispositif (10), (b) à charger les données test (R0 à Rm) dans une mémoire (30) du dispositif (10), (c) à réaliser un calcul de total de contrôle sur les données test (R0 à Rm) stockées dans la mémoire (30) du dispositif (10) afin de produire une première valeur de total de contrôle, à réaliser un calcul de total de contrôle correspondant sur les données image (230) afin de produire une seconde valeur de total de contrôle, et à comparer les première et seconde valeurs afin de déterminer si oui ou non les données test contenues dans la mémoire du dispositif (30) ont été altérées, (d) à répéter l'étape (c) jusqu'à ce que des données test dans la mémoire (30) du dispositif (10) soient testées pour le total de contrôle afin de déterminer si oui ou non un code hostile est présent dans le dispositif (10). Le procédé rend difficile pour le code hostile de se masquer par rapport aux totaux de contrôle, rendant ainsi possible de savoir si oui ou non le dispositif (10) est fragilisé.
Latest bibliographic data on file with the International Bureau