WIPO logo
Mobile | Deutsch | Español | Français | 日本語 | 한국어 | Português | Русский | 中文 | العربية |
PATENTSCOPE

Search International and National Patent Collections
World Intellectual Property Organization
Search
 
Browse
 
Translate
 
Options
 
News
 
Login
 
Help
 
Machine translation
1. (WO2015123226) SYSTEMS AND METHODS FOR SCANNING PACKED PROGRAMS IN RESPONSE TO DETECTING SUSPICIOUS BEHAVIORS
Latest bibliographic data on file with the International Bureau   

Pub. No.:    WO/2015/123226    International Application No.:    PCT/US2015/015291
Publication Date: 20.08.2015 International Filing Date: 10.02.2015
IPC:
G06F 21/56 (2013.01)
Applicants: SYMANTEC CORPORATION [US/US]; 350 Ellis Street Mountain View, California 94043 (US)
Inventors: PEREIRA, Shane; (US)
Agent: LEE, Jonathan R.; (US)
Priority Data:
14/178,727 12.02.2014 US
Title (EN) SYSTEMS AND METHODS FOR SCANNING PACKED PROGRAMS IN RESPONSE TO DETECTING SUSPICIOUS BEHAVIORS
(FR) SYSTÈMES ET PROCÉDÉS POUR BALAYER DES PROGRAMMES CONDENSÉS EN RÉPONSE À LA DÉTECTION DE COMPORTEMENTS SUSPECTS
Abstract: front page image
(EN)A computer-implemented method for scanning packed programs in response to detecting suspicious behaviors may include (1) executing a packed program that may include (i) malicious code that has been obfuscated within the packed program and (ii) unpacking code that deobfuscates and executes the malicious code when the packed program is executed, (2) monitoring, while the packed program is executing, how the packed program behaves, (3) detecting, while monitoring how the packed program behaves, a suspicious behavior of the malicious code that indicates that the unpacking code has deobfuscated and executed the malicious code, and (4) performing a security operation on the packed program in response to detecting the suspicious behavior of the malicious code. Various other methods, systems, and computer-readable media are also disclosed.
(FR)L’invention concerne un procédé mis en œuvre par ordinateur pour balayer des programmes condensés en réponse à la détection de comportements suspects, lequel procédé peut consister (1) à exécuter un programme condensé qui peut comprendre (i) un code malveillant qui a été embrouillé dans le programme condensé et (ii) un code d'éclatement qui désembrouille et exécute le code malveillant lorsque le programme condensé est exécuté, (2) à surveiller, pendant que le programme condensé est exécuté, la façon dont le programme condensé se comporte, (3) à détecter, tout en surveillant la façon dont le programme condensé se comporte, un comportement suspect du code malveillant qui indique que le code d'éclatement a désembrouillé et exécuté le code malveillant, et (4) à réaliser une opération de sécurité sur le programme condensé en réponse à la détection du comportement suspect du code malveillant. La présente invention concerne également différents autres procédés, systèmes et supports lisibles par ordinateur.
Designated States: AE, AG, AL, AM, AO, AT, AU, AZ, BA, BB, BG, BH, BN, BR, BW, BY, BZ, CA, CH, CL, CN, CO, CR, CU, CZ, DE, DK, DM, DO, DZ, EC, EE, EG, ES, FI, GB, GD, GE, GH, GM, GT, HN, HR, HU, ID, IL, IN, IR, IS, JP, KE, KG, KN, KP, KR, KZ, LA, LC, LK, LR, LS, LU, LY, MA, MD, ME, MG, MK, MN, MW, MX, MY, MZ, NA, NG, NI, NO, NZ, OM, PA, PE, PG, PH, PL, PT, QA, RO, RS, RU, RW, SA, SC, SD, SE, SG, SK, SL, SM, ST, SV, SY, TH, TJ, TM, TN, TR, TT, TZ, UA, UG, US, UZ, VC, VN, ZA, ZM, ZW.
African Regional Intellectual Property Organization (BW, GH, GM, KE, LR, LS, MW, MZ, NA, RW, SD, SL, ST, SZ, TZ, UG, ZM, ZW)
Eurasian Patent Organization (AM, AZ, BY, KG, KZ, RU, TJ, TM)
European Patent Office (AL, AT, BE, BG, CH, CY, CZ, DE, DK, EE, ES, FI, FR, GB, GR, HR, HU, IE, IS, IT, LT, LU, LV, MC, MK, MT, NL, NO, PL, PT, RO, RS, SE, SI, SK, SM, TR)
African Intellectual Property Organization (BF, BJ, CF, CG, CI, CM, GA, GN, GQ, GW, KM, ML, MR, NE, SN, TD, TG).
Publication Language: English (EN)
Filing Language: English (EN)