G - Physics – 06 – F
Patent
G - Physics
06
F
G06F 11/00 (2006.01) G06F 1/00 (2006.01) G06F 21/00 (2006.01)
Patent
CA 2403676
A virus detection system (VDS) (400) uses a histogram to detect the presence of a computer virus in a computer file. The VDS (400) has a P-code data file (410) for holding P-code, a virus definition file (VDF) (412) for holding signatures of known viruses, and an engine (414) for controlling the VDS. The engine (414) contains a P-code interpreter (418) for interpreting the P-code, a scanning module (424) for scanning regions of the file (100) for the virus signatures in the VDF (412), and an emulating module (426) for emulating instructions in the file. The emulating module (426) contains a histogram generation module (HGM) (436) for generating a histogram of characteristics of instructions emulated by the emulating module (426) and a histogram definition module (HDF) (438) for specifying the characteristics to be included in the generated histogram. The emulating module (426) uses the generated histogram (500) to determine how many of the instructions of the computer file (100) to emulate. The emulating module (426) emulates (712) instructions and the HGM (436) generates a histogram of the instructions until active instructions are not detected. When active instructions are not detected (714), a P-code module is executed (722) to analyze the histogram (500) and determine whether a file (100) contains a virus. The P-code can also decide to extend (728) emulation. The HGM (436) is also used to detect (822) the presence of dummy loops during virus decryption.
Système de détection de virus (VDS) (400) mettant en application un histogramme afin de détecter la présence d'un virus informatique dans un fichier informatique. Ce VDS (400) possède un fichier de données (410) détenant un code P, un fichier de définition de virus (VDF) (412) servant à détenir les signatures de virus connus, et un moteur (414) servant à commander le VDS. Ce moteur (414) contient un interprète de code P (418) servant à interpréter le code P, un module de balayage (424) servant à balayer des zones du fichier (100) afin de rechercher les signatures de virus dans le VDF (412) et un module d'émulation (426) servant à émuler des instructions du fichiers. Ce module d'émulation (426) contient un module de génération d'histogramme (HGM) (436) servant à générer un histogramme des caractéristiques des instructions émulées par le module d'émulation (4426) et un module de définition d'histogramme (HDF) (438) servant à indiquer les caractéristiques à inclure dans l'histogramme généré. Ce module d'émulation (426) utilise l'histogramme généré (500) afin de déterminer le nombre d'instructions du fichier informatique (100) à émuler. Ce module d'émulation (426) effectue l'émulation (712) d'instructions et le HGM (436) génère un histogramme de ces instructions tant que des instructions actives ne sont pas détectées. Tant que des instructions actives ne sont pas détectées (714), on exécute un module de code P (722) afin d'analyser l'histogramme (500) et de déterminer si un fichier (100) contient un virus. Le code P peut également décider d'étendre (728) l'émulation. On utiliser également le HGM (436) pour détecter (822) la présence de boucles factices pendant le décodage du virus.
Gowling Lafleur Henderson Llp
Symantec Corporation
LandOfFree
Histogram-based virus detection does not yet have a rating. At this time, there are no reviews or comments for this patent.
If you have personal experience with Histogram-based virus detection, we encourage you to share that experience with our LandOfFree.com community. Your opinion is very important and Histogram-based virus detection will most certainly appreciate the feedback.
Profile ID: LFCA-PAI-O-1720854