JP4802114B2 - Information processing system - Google Patents
Information processing system Download PDFInfo
- Publication number
- JP4802114B2 JP4802114B2 JP2007033640A JP2007033640A JP4802114B2 JP 4802114 B2 JP4802114 B2 JP 4802114B2 JP 2007033640 A JP2007033640 A JP 2007033640A JP 2007033640 A JP2007033640 A JP 2007033640A JP 4802114 B2 JP4802114 B2 JP 4802114B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- memory
- time
- magnetic disk
- target device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Storage Device Security (AREA)
- Debugging And Monitoring (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Description
本発明は、コンピュータの操作履歴を取得する技術に関する。 The present invention relates to a technique for acquiring an operation history of a computer.
コンピュータシステムへの不正な侵入やデータへの不正なアクセスの有無を調べたり、障害の原因を調査したりする場合、コンピュータの操作履歴に関する情報を解析することが有用である。そのため、従来から種々のシステム構成において操作履歴を取得、保存して解析に供することが行われている。 When investigating the presence or absence of unauthorized intrusion into a computer system or unauthorized access to data, or investigating the cause of a failure, it is useful to analyze information related to the operation history of the computer. For this reason, conventionally, operation histories have been acquired, stored, and used for analysis in various system configurations.
この種の従来技術として、特許文献1には、補助記憶装置に格納されたファイルに対するオープン操作およびクローズ操作に応じて操作履歴情報を生成し、不揮発性メモリに保存する構成が記載されている。
As this type of prior art,
特許文献2には、ユーザがキーボード等の入力装置を用いて行った操作に関して、当該操作に対応するデータをキーバッファの参照やAPIにより取得し、不揮発性の記憶装置に保存する構成が記載されている。
特許文献3には、ネットワークインターフェイスに不揮発性メモリを実装し、ネットワークを介して行われる制御対象システムへの操作の履歴を保存する機能を持たせる構成が記載されている。 Patent Document 3 describes a configuration in which a non-volatile memory is mounted on a network interface and has a function of storing a history of operations performed on a control target system performed via a network.
特許文献4には、コンピュータで発生した操作情報や処理情報をイベントとして抽出してデータベースに登録しておき、同時に当該イベントを解析し、当該イベントが不正に繋がる特定イベントと判定された場合に、当該イベントに関連するイベントをデータベースから検索して不正判断を行う構成が記載されている。 In Patent Document 4, when operation information and processing information generated in a computer are extracted as events and registered in a database, the event is analyzed at the same time, and when the event is determined to be a specific event that is illegally connected, A configuration is described in which an event related to the event is searched from a database and fraud determination is performed.
上記のように、コンピュータの不正な操作や障害の原因を調査するためには、コンピュータの操作履歴に関する情報を解析することが有用である。しかし、コンピュータの操作履歴を保存する既存のシステムは、コンピュータにおいて特定の操作が実施された場合に、これをイベントとして抽出し、保存するものであった。上記特許文献1乃至特許文献4に記載されるいずれのシステムも同様である。このようなシステムでは、予めイベントとして設定された操作についての履歴を取ることしかできない。そして、保存されている履歴情報自体を改ざんされるおそれがある。
As described above, in order to investigate the cause of an unauthorized operation or failure of a computer, it is useful to analyze information related to the operation history of the computer. However, the existing system for storing the operation history of the computer extracts and stores this as an event when a specific operation is performed on the computer. The same applies to any of the systems described in
コンピュータの操作履歴を知るための材料として、磁気ディスク等に格納されたファイルへのアクセスに関する情報および物理メモリ内に蓄積された情報は、非常に重要である。これらの情報は、改ざんが困難であり、情報としての信頼性が高い。しかしながら、これらの情報は磁気ディスクや物理メモリ自体での保存時間が比較的短い。
例えば、通常、コンピュータにおいてファイルへのアクセスが行われると、操作の内容に応じてファイルの最終更新日時や最終アクセス日時の情報が記録されるが、これらの情報は、更新やアクセスが行われるたびに書き換えられてしまう。したがって、最後に行われた操作についての情報のみが存在し、それ以前の操作についての情報は失われてしまう。また、物理メモリが記憶する情報は揮発性情報であるため、コンピュータを停止したり再起動したりすると失われてしまう。
そのため、問題が生じてから情報を取得しようとしても、あまり遡って情報を得ることができず、必要な情報が得られない場合も多い。
Information relating to access to files stored on a magnetic disk or the like and information stored in a physical memory are very important as materials for knowing the operation history of the computer. Such information is difficult to falsify and has high reliability as information. However, the storage time of these pieces of information on the magnetic disk or the physical memory itself is relatively short.
For example, when a computer accesses a file, information on the last update date and time and the last access date and time of the file is recorded according to the content of the operation. Will be rewritten. Therefore, there is only information about the last performed operation, and information about the previous operation is lost. Further, since information stored in the physical memory is volatile information, it is lost when the computer is stopped or restarted.
For this reason, even if an attempt is made to acquire information after a problem has occurred, it is often impossible to acquire information so far and necessary information cannot be obtained.
本発明は、上記の課題に鑑みてなされたものであり、その目的は、ファイルへのアクセスに関する情報や物理メモリ内の情報を保存して、コンピュータの操作に関して、信頼できかつ活用性の高い履歴の取得に供することにある。 The present invention has been made in view of the above problems, and its purpose is to save information related to file access and information in physical memory, and to provide a reliable and highly usable history regarding computer operations. It is to be used for acquisition.
かかる目的を達成するために、本発明は、次のような情報処理システムとして実現される。このシステムは、調査対象装置の磁気ディスク装置の記憶イメージであるディスクイメージを定期的にまたは予め定められたタイミングで磁気ディスク装置から取得する磁気ディスク情報取得手段と、この磁気ディスク情報取得手段により取得されたディスクイメージから磁気ディスク装置に格納されたファイルに対する操作が行われた時間を表す時間情報を抽出する第1の情報抽出手段と、調査対象装置のメモリの記憶イメージであるメモリイメージを定期的にまたは予め定められたタイミングでメモリから取得するメモリ情報取得手段と、このメモリ情報取得手段により取得されたメモリイメージから調査対象装置において起動されたプログラムの種類およびプログラムの起動時刻の情報を抽出する第2の情報抽出手段と、第1の情報抽出手段により抽出された時間情報と第2の情報抽出手段により抽出されたプログラムの起動時刻の情報とを関連づけて記憶手段に格納する格納手段とを備える。 In order to achieve this object, the present invention is realized as the following information processing system. This system includes a magnetic disk information acquisition unit that acquires a disk image, which is a storage image of the magnetic disk device of the investigation target device, from the magnetic disk device periodically or at a predetermined timing, and the magnetic disk information acquisition unit acquires the disk image. First information extracting means for extracting time information indicating the time when an operation on a file stored in the magnetic disk device is performed from the recorded disk image, and a memory image which is a storage image of the memory of the investigation target device is periodically Or the memory information acquisition means for acquiring from the memory at a predetermined timing, and the information on the type of the program started in the investigation target apparatus and the start time of the program from the memory image acquired by the memory information acquisition means Second information extraction means and first information extraction means; And a storage means for storing the start time information storage means in association with the time the extracted information and programs extracted by the second information extraction means by means.
より好ましくは、格納手段は、第1の情報抽出手段および第2の情報抽出手段により抽出された情報を時系列に整列して記憶手段に格納する。
また、第1の情報抽出手段は、ディスクイメージから、時間情報として少なくともファイルの作成時刻および最終更新時刻の情報を抽出する。
More preferably, the storage means stores the information extracted by the first information extraction means and the second information extraction means in time series in the storage means.
The first information extraction means extracts at least file creation time and last update time information as time information from the disk image.
また本発明の他の情報処理システムは、調査対象装置の磁気ディスク装置に格納されたファイルに対する操作が行われた時間を表す時間情報を定期的にまたは予め定められたタイミングで磁気ディスク装置から読み出して取得する時間情報取得手段と、調査対象装置のメモリの記憶イメージであるメモリイメージを定期的にまたは予め定められたタイミングでメモリから取得するメモリ情報取得手段と、このメモリ情報取得手段により取得されたメモリイメージから調査対象装置において起動されたプログラムの種類および起動時刻の情報を抽出する情報抽出手段と、時間情報取得手段により取得された時間情報と情報抽出手段により抽出されたプログラムの起動時刻の情報とを関連づけて記憶手段に格納する格納手段とを備える。 Another information processing system according to the present invention reads time information indicating a time when an operation is performed on a file stored in the magnetic disk device of the investigation target device from the magnetic disk device periodically or at a predetermined timing. Time information acquisition means, a memory information acquisition means for acquiring a memory image, which is a storage image of the memory of the investigation target device, from the memory periodically or at a predetermined timing, and the memory information acquisition means Information extraction means for extracting information on the type and start time of the program started in the investigation target device from the obtained memory image, time information acquired by the time information acquisition means, and start time of the program extracted by the information extraction means Storage means for associating and storing information in the storage means.
より好ましくは、格納手段は、時間情報取得手段により取得された情報および情報抽出手段により抽出された情報を時系列に整列して記憶手段に格納する。
また、時間情報抽出手段は、磁気ディスク装置から、少なくともファイルの作成時刻および最終更新時刻の情報を読み出す。
More preferably, the storage means stores the information acquired by the time information acquisition means and the information extracted by the information extraction means in time series in the storage means.
Further, the time information extraction means reads at least information on the file creation time and the last update time from the magnetic disk device.
さらに本発明の他の情報処理システムは、調査対象装置と、この調査対象装置に接続された解析サーバとを備える。そして、調査対象装置は、磁気ディスク装置の記憶イメージであるディスクイメージを定期的にまたは予め定められたタイミングで磁気ディスク装置から取得する磁気ディスク情報取得部と、メモリの記憶イメージであるメモリイメージを定期的にまたは予め定められたタイミングでメモリから取得するメモリ情報取得部と、磁気ディスク情報取得部により取得されたディスクイメージおよびメモリ情報取得部により取得されたメモリイメージを解析サーバへ送信する送信制御部とを備える。一方、解析サーバは、磁気ディスク情報取得部により取得されたディスクイメージから磁気ディスク装置に格納されたファイルに対する操作が行われた時間を表す時間情報を抽出し、メモリ情報取得部により取得されたメモリイメージから調査対象装置において起動されたプログラムの種類および起動時刻の情報を抽出する情報抽出部と、この情報抽出部により抽出された情報を時系列に整列して記憶手段に格納する整列部とを備える。 Furthermore, another information processing system of the present invention includes a survey target device and an analysis server connected to the survey target device. Then, the investigation target device includes a magnetic disk information acquisition unit that acquires a disk image that is a storage image of the magnetic disk device from the magnetic disk device periodically or at a predetermined timing, and a memory image that is a storage image of the memory. Memory information acquisition unit that acquires from memory periodically or at a predetermined timing, transmission control that transmits the disk image acquired by the magnetic disk information acquisition unit and the memory image acquired by the memory information acquisition unit to the analysis server A part. On the other hand, the analysis server extracts time information indicating a time when an operation is performed on a file stored in the magnetic disk device from the disk image acquired by the magnetic disk information acquisition unit, and the memory acquired by the memory information acquisition unit An information extraction unit that extracts information on the type and start time of the program started in the investigation target device from the image, and an alignment unit that aligns the information extracted by the information extraction unit in time series and stores the information in the storage unit Prepare.
さらにまた、本発明の他の情報処理システムは、調査対象装置と、調査対象装置に接続された解析サーバとを備える。そして、調査対象装置は、磁気ディスク装置に格納されたファイルに対する操作が行われた時間を表す時間情報を定期的にまたは予め定められたタイミングで磁気ディスク装置から読み出して取得する時間情報取得部と、メモリの記憶イメージであるメモリイメージを定期的にまたは予め定められたタイミングでメモリから取得するメモリ情報取得部と、時間情報取得部により取得された時間情報およびメモリ情報取得部により取得されたメモリイメージを解析サーバへ送信する送信制御部とを備える。一方、解析サーバは、メモリ情報取得部により取得されたメモリイメージから調査対象装置において起動されたプログラムの種類および起動時刻の情報を抽出する情報抽出部と、時間情報取得部により取得された時間情報および情報抽出部により抽出された情報を時系列に整列して記憶手段に格納する整列部とを備える。
より好ましくは、このシステムにおいて調査対象装置は、時間情報取得部およびメモリ情報取得部により取得された情報を保存する外部記憶装置をさらに備える構成とすることができる。この場合、解析サーバは、外部記憶装置から情報を読み出して取得する。
Furthermore, another information processing system of the present invention includes a survey target device and an analysis server connected to the survey target device. And a time information acquisition unit that reads out and acquires time information indicating a time when an operation is performed on a file stored in the magnetic disk device from the magnetic disk device periodically or at a predetermined timing; A memory information acquisition unit for acquiring a memory image, which is a storage image of the memory, from the memory periodically or at a predetermined timing, and the time information acquired by the time information acquisition unit and the memory acquired by the memory information acquisition unit A transmission control unit that transmits the image to the analysis server. On the other hand, the analysis server includes an information extraction unit that extracts information about the type and start time of the program started in the investigation target device from the memory image acquired by the memory information acquisition unit, and the time information acquired by the time information acquisition unit. And an alignment unit that aligns information extracted by the information extraction unit in time series and stores the information in the storage unit.
More preferably, in this system, the investigation target device can further include an external storage device that stores information acquired by the time information acquisition unit and the memory information acquisition unit. In this case, the analysis server reads and acquires information from the external storage device.
以上のように構成された本発明によれば、メモリから情報を取得し、磁気ディスク装置の情報と関連づけて保存することにより、コンピュータの操作に関して、信頼できかつ活用性の高い履歴を得ることができる。 According to the present invention configured as described above, it is possible to obtain a reliable and highly usable history regarding the operation of the computer by acquiring information from the memory and storing it in association with the information of the magnetic disk device. it can.
以下、添付図面を参照して、本発明を実施するための最良の形態(以下、実施形態)について詳細に説明する。
図1は、本実施形態が適用される情報処理システムの全体構成を示す図である。
図1に示すように、本実施形態は、調査対象装置100と、解析サーバ200とからなる。調査対象装置100と解析サーバ200とは通信回線を介して接続され、調査対象装置100から解析サーバ200へデータ送信が可能となっている。
The best mode for carrying out the present invention (hereinafter referred to as an embodiment) will be described below in detail with reference to the accompanying drawings.
FIG. 1 is a diagram showing an overall configuration of an information processing system to which the present embodiment is applied.
As shown in FIG. 1, the present embodiment includes a
調査対象装置100と解析サーバ200との間の接続方式は、特定の具体的な接続方式には限定されない。例えば、調査対象装置100と解析サーバ200とを通信ケーブルにより直接接続しても良いし、LANやその他のネットワークを介して接続しても良い。通信プロトコルも、TCP/IP等、任意のものを必要に応じて用いて構わない。なお、図1に示す例では、1台の解析サーバ200に1台の調査対象装置100が接続されているが、これは最低限の構成に過ぎない。実際には、1台の解析サーバ200に複数台の調査対象装置100が接続されていても良い。
The connection method between the
図2は、調査対象装置100および解析サーバ200を実現するコンピュータのハードウェア構成を例示する図である。
図2に示すコンピュータ10は、演算手段であるCPU10aと、主記憶装置であるメインメモリ10cと、ディスプレイ装置へ表示出力を行うための表示機構10dとを備える。また、ネットワークを介して外部機器に接続するためのネットワークインターフェイス10fと、補助記憶装置である磁気ディスク装置10gおよびフレキシブルディスクドライブ10jと、音声出力を行うための音声機構10hと、入力デバイスであるキーボード/マウス10iとを備えて構成される。また、図2に示すように、メインメモリ10cおよび表示機構10dは、M/B(マザーボード)チップセット10bを介してCPU10aに接続されている。そして、ネットワークインターフェイス10f、磁気ディスク装置10g、音声機構10h、キーボード/マウス10iおよびフレキシブルディスクドライブ10jは、ブリッジ回路10eを介してM/Bチップセット10bと接続されている。
FIG. 2 is a diagram illustrating a hardware configuration of a computer that implements the
A
図2において、各構成要素は、バスを介して接続される。例えば、CPU10aとM/Bチップセット10bの間や、M/Bチップセット10bとメインメモリ10cの間は、CPUバスを介して接続される。また、M/Bチップセット10bと表示機構10dとの間は、AGP(Accelerated Graphics Port)を介して接続されてもよいが、表示機構10dがPCI Express対応のビデオカードを含む場合、M/Bチップセット10bとこのビデオカードの間は、PCI Express(PCIe)バスを介して接続される。また、ブリッジ回路10eと接続する場合、ネットワークインターフェイス10fについては、例えば、PCI Expressを用いることができる。また、磁気ディスク装置10gについては、例えば、シリアルATA(AT Attachment)、パラレル転送のATA、PCI(Peripheral Components Interconnect)等を用いることができる。さらに、キーボード/マウス10i、及び、フレキシブルディスクドライブ10jについては、USB(Universal Serial Bus)等を用いることができる。
In FIG. 2, each component is connected via a bus. For example, the
なお、図2は、調査対象装置100や解析サーバ200を実現するのに好適なコンピュータのハードウェア構成を例示するに過ぎず、図示の構成に限定されないことは言うまでもない。例えば、補助記憶装置としては磁気ディスク装置10gのみを設け、フレキシブルディスクドライブ10jを持たない構成としたり、各種の光学ディスクをメディアとするドライブを設けたりしても良い。また、音声機構10hを独立した構成とせず、M/Bチップセット10bの機能として備えるようにしても良い。
Note that FIG. 2 only illustrates a hardware configuration of a computer suitable for realizing the
図3は、本実施形態における調査対象装置100および解析サーバ200の機能構成を説明する図である。
図3を参照すると、本実施形態の調査対象装置100は、磁気ディスク情報取得部110と、メモリ情報取得部120と、送信制御部130とを備える。これらの機能は、例えば調査対象装置100が図2に示すコンピュータで構成される場合、プログラム制御されたCPU10aにより実現される。プログラムは、磁気ディスク装置10gに格納され、実行時にメインメモリ10cに読み込まれ、メインメモリ10cからCPU10aに読み込まれて実行される。このプログラムは、各種の記憶媒体、例えばフレキシブルディスクやCD−ROMといった着脱式の磁気ディスクや光ディスク、フラッシュメモリその他の半導体メモリ等に格納して配布したり、ネットワークを介して配信したりすることができる。
FIG. 3 is a diagram illustrating the functional configuration of the
Referring to FIG. 3, the
磁気ディスク情報取得部110は、磁気ディスク装置10gの記録媒体(磁気ディスク)の記憶イメージであるディスクイメージ(イメージファイル)を取得する。ディスクイメージの取得は、定期的にまたは予め設定された特定のタイミングで行われる。
The magnetic disk
メモリ情報取得部120は、メインメモリ10cの記憶イメージであるメモリイメージ(イメージファイル)を取得する。メモリイメージの取得は、定期的にまたは予め設定された特定のタイミングで行われる。
The memory
送信制御部130は、磁気ディスク情報取得部110およびメモリ情報取得部120により取得された情報を、例えば図2のネットワークインターフェイス10fを介して、解析サーバ200へ送信する。送信のタイミングとしては、磁気ディスク情報取得部110またはメモリ情報取得部120が情報を取得したときに直ちに送信するようにしても良い。また、磁気ディスク情報取得部110およびメモリ情報取得部120で取得した情報を磁気ディスク装置10gに一時的に保持しておき、定期的にまたはシステムの起動時や終了時等、予め設定されたタイミングで送信するようにしても良い。
The
また図3を参照すると、本実施形態の解析サーバ200は、情報抽出部210と、データソート部220と、データ蓄積部230と、データ解析部240とを備える。これらの機能のうち、データ蓄積部230は、例えば解析サーバ200が図2に示すコンピュータ10で構成される場合、磁気ディスク装置10gにより実現される。一方、情報抽出部210、データソート部220およびデータ解析部240は、プログラム制御されたCPU10aにより実現される。プログラムは、磁気ディスク装置10gに格納され、実行時にメインメモリ10cに読み込まれ、メインメモリ10cからCPU10aに読み込まれて実行される。このプログラムは、各種の記憶媒体、例えばフレキシブルディスクやCD−ROMといった着脱式の磁気ディスクや光ディスク、フラッシュメモリその他の半導体メモリ等に格納して配布したり、ネットワークを介して配信したりすることができる。
Referring to FIG. 3, the
情報抽出部210は、調査対象装置100から受信した磁気ディスク装置10gのディスクイメージおよびメインメモリ10cのメモリイメージを解析する。そして、ディスクイメージから磁気ディスク装置10gに格納されているファイルの操作履歴に関する情報(以下、磁気ディスク情報と呼ぶ)を抽出し、メモリイメージからプログラムの起動に関する情報(以下、メモリ情報と呼ぶ)を抽出する。
The
磁気ディスク装置10gのディスクイメージから抽出される磁気ディスク情報は、ファイルの操作履歴に関する情報であり、最終更新日時、最終アクセス日時、作成日時が含まれる。これらの情報は、更新(Modify)、アクセス(Access)、作成(Create)の頭文字をとってMACタイム等と呼ばれ、UNIX(The Open Groupの登録商標)や米国マイクロソフト社のWindows等、多くのオペレーティングシステムにおいて、ファイルへの該当する操作が行われた際に記録される情報である。なお、抽出されるべき情報は、これらに限るものではない。ファイルへの操作に応じて記録される情報であれば、磁気ディスク装置10gの記録媒体(磁気ディスク)上でのファイルの移動が行われた日時や最新のアップデートが行われた日時等、種々の時間情報を抽出することができる。
The magnetic disk information extracted from the disk image of the
図4は、磁気ディスク情報10gのディスクイメージから抽出される磁気ディスク情報の例を示す図である。
図4に示す磁気ディスク情報には、ファイルに対する操作に応じて、「日時」、「ファイルサイズ」、「(MACタイムの)状態」、「絶対パス」等の情報が登録されている。例えば、破線で囲まれた欄401の登録内容は、
日時:2005年6月6日 月曜日 10時34分9秒
ファイルサイズ:192730バイト
状態:更新(m)
絶対パス:/Documents and Settings/Shin−yaIDE/Local Settings/Temporary Internet Files/Content.IE5/W949UPID/20050601173658[1].jpg
である。「状態」には、操作内容に応じて更新であれば図示のように「m」が、アクセスであれば「a」が、ファイルの作成であれば「c」が記載される。
FIG. 4 is a diagram showing an example of magnetic disk information extracted from the disk image of the
In the magnetic disk information shown in FIG. 4, information such as “date and time”, “file size”, “(MAC time) state”, “absolute path”, and the like is registered according to the operation on the file. For example, the registered content in the
Date: Monday, June 6, 2005 10: 34: 9 File size: 192730 bytes Status: Update (m)
Absolute path: / Documents and Settings / Shin-yaIDE / Local Settings / Temporary Internet Files / Content. IE5 / W949UPID / 20050601173658 [1]. jpg
It is. In the “status”, “m” is described as shown in the figure for update according to the operation content, “a” is described for access, and “c” is created for file creation.
メインメモリ10cのメモリイメージから抽出されるメモリ情報は、プログラムの起動に関する情報であり、例えば、起動されたプログラムの種類や起動コマンドと、その日時の情報(プログラムが起動された日時や起動コマンドが発行された日時)とが含まれる。
The memory information extracted from the memory image of the
図5は、メインメモリ10cのメモリイメージから抽出されるメモリ情報の例を示す図である。
図5に示すメモリ情報には、プログラムの実行に応じて生成されるプロセスおよびスレッドごとに、「行番号」、「プロセスとスレッドの別を表す表示」、「プロセス番号」、「メモリの使用量」、「実行日時」、「メモリ上の番地」、「ページディレクトリ」、「プログラムの種類」の各情報が記載されている。例えば、第129行の登録内容は、
行番号:129
プロセスとスレッドの別:プロセス
プロセス番号:1076
メモリの使用量:無し
実行日時:2005年6月5日0時35分18秒
メモリ上の番地:0x02138c40
ページディレクトリ:0x0575e000
プログラムの種類:cmd.exe
である。また、第130行の登録内容は、
行番号:130
プロセスとスレッドの別:スレッド
プロセス番号:1112
メモリの使用量:588バイト
実行日時:無し
メモリ上の番地:0x021c1180
ページディレクトリ:無し
プログラムの種類:無し
である。
FIG. 5 is a diagram illustrating an example of memory information extracted from the memory image of the
The memory information shown in FIG. 5 includes “line number”, “display indicating whether a process and a thread are separated”, “process number”, and “memory usage” for each process and thread generated according to program execution. , “Execution date and time”, “address on memory”, “page directory”, and “program type” are described. For example, the registration content on
Line number: 129
Different process and thread: Process Process number: 1076
Memory usage: None Execution date: June 5, 2005, 0:35:18 Address on memory: 0x02138c40
Page directory: 0x0575e000
Program type: cmd. exe
It is. Also, the registration contents on
Line number: 130
Different process and thread: Thread process number: 1112
Memory usage: 588 bytes Execution date: None Address on memory: 0x021c1180
Page directory: None Program type: None
It is.
データソート部220は、情報抽出部210により抽出された情報を、時刻により関連づけて(具体的には例えば時系列に整列して)、データ蓄積部230に格納する。ここで、磁気ディスク情報は、個々の情報に記録されている日時にしたがって整列することができる。また、メモリ情報は、プログラムが起動された日時の情報にしたがって整列することができる。すなわち、データソート部220により磁気ディスク情報とメモリ情報とは、各々の時間情報に基づいて関連づけられ、各操作の実行順序が特定されることとなる(以下、磁気ディスク情報およびメモリ情報を合わせて履歴情報と呼ぶ)。
The
データ解析部240は、データ蓄積部230からデータを読み出し、調査対象装置100において実施された操作の解析を行う。具体的には例えば、特定のプログラムが起動されたタイミングパターンを解析したり、特定のファイルに対する操作パターンを解析したり、磁気ディスク情報およびメモリ情報に現れる特定のパターンからコンピュータ(調査対象装置100)の操作方法を推定したりすることができる。なお、データ解析部240は必須の構成要件ではなく、データ蓄積部230に蓄積された時系列の磁気ディスク情報およびメモリ情報をリスト形式等で出力するようにしても良い。この場合、出力されたリストを人が閲覧し解析して、コンピュータ(調査対象装置100)に対して行われた操作を推定することができる。
The
図6は、履歴情報(磁気ディスク情報およびメモリ情報)を時系列に並べた例を示す図である。
図6には、破線で囲まれた部分ごとにメモリ情報または磁気ディスク情報が記載されている。図6において、部分601、603がメモリ情報であり、部分602、604、605が磁気ディスク情報である。また、これらの部分601〜605は上から下へ順に時系列に並んでいる。
FIG. 6 is a diagram showing an example in which history information (magnetic disk information and memory information) is arranged in time series.
FIG. 6 shows memory information or magnetic disk information for each part surrounded by a broken line. In FIG. 6,
図6の部分601を参照すると、第36行の登録内容から、起動時刻が2006年11月13日5時23分32秒、起動されたプログラムの種類がnotepad.exeであり、この時刻にノートパッドが起動されたことがわかる。また、部分602を参照すると、test.lnkの時間情報
Mon Nov 13 2006 05:36:47 444 m.c 〜
と、test.txtの時間情報
Mon Nov 13 2006 05:36:51 33 ..c 〜
から「test.txt」というファイルが生成されたことがわかる。これら部分601、602の情報から、この時間にノートパッドが起動されて「test.txt」というファイルが生成されたと判断される。
Referring to the
And test. txt time information
It can be seen that a file “test.txt” has been generated. From the information of these
また、部分603を参照すると、第38行の登録内容から、起動時刻が2006年11月13日6時11分53秒、起動されたプログラムの種類がnotepad.exeであり、この時刻にノートパッドが起動されたことがわかる。また、部分604を参照すると、test.lnkの時間情報
Mon Nov 13 2006 06:13:10 444 .a. 〜
と、test.txtの時間情報
Mon Nov 13 2006 06:13:32 52 ma. 〜
から「test.txt」というファイルが更新されたことがわかる。これら部分603、604の情報から、この時間にノートパッドが起動されて「test.txt」というファイルが編集(更新)されたと判断される。
Further, referring to the
And test. txt time information
It can be seen that the file “test.txt” has been updated. From the information of these
ところで、図6の部分605には、
50960 ..c−/−rwxrwxrwx 0 0 1682−128−4 /WINNT/system32/notepad.exe
50960 ..c−/−rwxrwxrwx 0 0 1682−128−4 /WINNT/system32/notepad.exe (deleted−realloc)
という情報が記載されており、ノートパッドを用いてファイルが操作されたことが示されている。しかしながら、磁気ディスク情報として残る情報は、そのファイルにおける最後の操作がなされた時刻(最終更新時刻、最終アクセス時刻など)のみであるため、上述した部分601乃至部分604から得られる情報と比較すると、履歴として活用できる度合いは低いと言える。
By the way, the
50960. . c-/-
50960. . c-/-
This indicates that the file has been manipulated using Notepad. However, since the information remaining as magnetic disk information is only the time when the last operation was performed on the file (last update time, last access time, etc.), when compared with the information obtained from the
図7は、履歴情報を時系列に並べた他の例を示す図である。
図7には、2005年6月3日(金曜日)の情報(部分701)と、同年6月5日(日曜日)の情報(部分702)と、同年6月6日(月曜日)の情報(部分703)とが記載されている。同図において、部分701および部分703はそれぞれ、該当する日の履歴情報の一部である。なお、6月3日および6日の各々図示しない部分の履歴情報を合わせると、全体として両日ともコンソール上での通常の業務における操作が行われたと判断される内容となっているものとする。
FIG. 7 is a diagram illustrating another example in which history information is arranged in time series.
FIG. 7 shows information (part 701) on Friday, June 3, 2005, information (part 702) on June 5 (Sunday), and information (part) on June 6 (Monday) in the same year. 703). In the figure, a
図7の部分702を参照すると、6月5日の履歴情報は他の日(6月3日および6日)と異なり、磁気ディスク情報が存在せず(すなわち、磁気ディスク装置10gに対する操作の痕跡がなく)、メモリ情報のみとなっている。また、第9行で起動しているプログラムhelix.exeは、CD−ROMから起動されるプログラムツールであるものとする。したがって、6月3日と6日の履歴情報と6月5日の履歴情報とを比較すれば、6月5日には、CD−ROMから起動されたプログラムツールを用いた、通常の操作とは異なる操作が行われたと判断される。これにより、例えば所定のシステムにおいて情報漏洩の可能性がある等の問題が発覚した場合、2005年6月5日に問題の操作がなされた可能性があるとして調査する必要があると判断することができる。
Referring to the
ある特定の時間帯に、調査対象装置100に対して通常と異なる操作が行われた場合に、履歴情報の中からそのような特異な操作およびその操作が行われた時間帯を見つけ出す手法としては、例えば既存のデータマイニングの手法を用いることができる。
As a method of finding such a specific operation and a time zone in which such an operation was performed from history information when an operation different from the normal operation is performed on the
次に、本発明の他の実施形態について説明する。
本実施形態では、調査対象装置から取得される情報を直接解析サーバへ転送するのではなく、データ保存用の外部記憶装置に一旦保存した後、解析サーバへ転送する。実際のシステムでは、調査対象装置が運用上ネットワークへの接続を禁止されている場合や、ファイヤーウォールの設定により調査対象装置が解析サーバと常時直接接続できない場合などがあり得る。また、ディスクイメージのデータサイズが大きいために調査対象装置から解析サーバへ直接転送することが困難な場合もある。そこで、本実施形態では、解析のための情報を調査対象装置に接続された外部記憶装置に一旦保存する。そして、解析サーバが外部記憶装置から情報を読み出したり、一時的に解析サーバに接続した調査対象装置が外部記憶装置から情報を読み出して解析サーバに転送したりする。
Next, another embodiment of the present invention will be described.
In this embodiment, the information acquired from the investigation target device is not directly transferred to the analysis server, but is temporarily stored in an external storage device for data storage and then transferred to the analysis server. In an actual system, there may be a case where the investigation target device is operationally prohibited from connecting to the network, or a case where the investigation target device cannot always connect directly to the analysis server due to a firewall setting. Further, since the data size of the disk image is large, it may be difficult to directly transfer from the investigation target apparatus to the analysis server. Therefore, in the present embodiment, information for analysis is temporarily stored in an external storage device connected to the investigation target device. Then, the analysis server reads information from the external storage device, or the investigation target device temporarily connected to the analysis server reads information from the external storage device and transfers it to the analysis server.
図8は、本実施形態が適用される情報処理システムの全体構成を示す図である。
図8に示すように、本実施形態は、調査対象装置300と、解析サーバ400とからなる。調査対象装置300と解析サーバ400とは通信回線を介して接続され、調査対象装置300から解析サーバ400へデータ送信が可能となっている。また、本実施形態の調査対象装置300には、データ記憶装置330が接続されている。調査対象装置300と解析サーバ400との間の接続方式は、特定の具体的な接続方式には限定されない。ただし、上述したように調査対象装置300はネットワークへの接続が禁止されている場合があり得るものとする。なお、図8に示す例では、1台の解析サーバ400に1台の調査対象装置300が接続されているが、これは最低限の構成に過ぎない。実際には、1台の解析サーバ400に複数台の調査対象装置300が接続されていても良い。また、本実施形態の調査対象装置300および解析サーバ400は、図1に示したシステムにおける調査対象装置100および解析サーバ200と同様に、例えば図2に示すようなハードウェア構成にて実現される。
FIG. 8 is a diagram showing an overall configuration of an information processing system to which this embodiment is applied.
As shown in FIG. 8, the present embodiment includes a
図9は、本実施形態における調査対象装置300および解析サーバ400の機能構成を説明する図である。
図9を参照すると、本実施形態の調査対象装置300は、時間情報取得部310と、メモリ情報取得部320とを備える。これらの機能は、例えば調査対象装置300が図2に示すコンピュータ10で構成される場合、プログラム制御されたCPU10aにより実現される。プログラムは、磁気ディスク装置10gに格納され、実行時にメインメモリ10cに読み込まれ、メインメモリ10cからCPU10aに読み込まれて実行される。このプログラムは、各種の記憶媒体、例えばフレキシブルディスクやCD−ROMといった着脱式の磁気ディスクや光ディスク、フラッシュメモリその他の半導体メモリ等に格納して配布したり、ネットワークを介して配信したりすることができる。また、図8にも示したように、本実施形態の調査対象装置300には、データ記憶装置330が接続されている。データ記憶装置330は、例えばUSBを介して調査対象装置300に接続される外付けの磁気ディスク装置により実現される。
FIG. 9 is a diagram illustrating the functional configuration of the
Referring to FIG. 9, the
時間情報取得部310は、磁気ディスク装置10gに記録されているファイルの時間情報(MACタイム等)を読み出し、データ記憶装置330に送る。時間情報の読み出しは、定期的にまたは予め設定された特定のタイミングで行われる。かかる時間情報取得部310の機能は、例えばオペレーティングシステムに実装されているシステムプログラムによって実現される。
The time
メモリ情報取得部320は、メインメモリ10cの記憶イメージであるメモリイメージ(イメージファイル)を取得し、データ記憶装置330に送る。メモリイメージの取得は、定期的にまたは予め設定された特定のタイミングで行われる。
The memory
データ記憶装置330は、時間情報取得部310およびメモリ情報取得部320により取得された情報(時間情報およびメモリイメージ)を受け付けて保存する。データ記憶装置330に保存された情報は、調査対象装置300を用いた業務の終了後など、予め設定された特定のタイミングで解析サーバ400へ転送される。調査対象装置300から解析サーバ400へデータを転送できる場合は、調査対象装置300がデータ記憶装置330からデータを読み出して解析サーバ400へ転送すれば良い。調査対象装置300と解析サーバ400との接続は、上述したように通信ケーブルを介して両装置を直接接続しても良い。また、調査対象装置300が通常(業務時間中など)はネットワークへの接続が禁止されている場合は、一時的に接続を許可して解析サーバ400へデータを転送するようにしても良い。一方、データ記憶装置330を解析サーバ400に接続し、解析サーバ400が直接データ記憶装置330からデータを読み出す構成としても良い。
The
本実施形態の解析サーバ400は、情報抽出部410と、データソート部420と、データ蓄積部430と、データ解析部440とを備える。これらの機能のうち、データ蓄積部430は、例えば解析サーバ400が図2に示すコンピュータ10で構成される場合、磁気ディスク装置10gにより実現される。一方、情報抽出部410、データソート部420およびデータ解析部440は、プログラム制御されたCPU10aにより実現される。プログラムは、磁気ディスク装置10gに格納され、実行時にメインメモリ10cに読み込まれ、メインメモリ10cからCPU10aに読み込まれて実行される。このプログラムは、各種の記憶媒体、例えばフレキシブルディスクやCD−ROMといった着脱式の磁気ディスクや光ディスク、フラッシュメモリその他の半導体メモリ等に格納して配布したり、ネットワークを介して配信したりすることができる。
The
情報抽出部410は、調査対象装置300から受信した情報(磁気ディスク装置10gから得られた時間情報およびメインメモリ10cのメモリイメージ)のうち、メインメモリ10cのメモリイメージを解析し、メモリ情報(プログラムの起動に関する情報)を抽出する。
The
データソート部420は、調査対象装置300から受信したMACタイム等の磁気ディスク情報と情報抽出部410により抽出されたメモリ情報を、時刻により関連づけて(具体的には例えば時系列に整列して)、データ蓄積部430に格納する。ここで、磁気ディスク情報およびメモリ情報は、図1乃至図7を参照して説明した実施形態における磁気ディスク情報およびメモリ情報と同一である。したがって、データソート部420により磁気ディスク情報とメモリ情報とは、各々の時間情報に基づいて関連づけられ、各操作の実行順序が特定される。
The
データ解析部440は、データ蓄積部430からデータを読み出し、調査対象装置300において実施された操作の解析を行う。具体的には例えば、特定のプログラムが起動されたタイミングパターンを解析したり、特定のファイルに対する操作パターンを解析したり、磁気ディスク情報およびメモリ情報に現れる特定のパターンからコンピュータ(調査対象装置300)の操作方法を推定したりすることができる。なお、データ解析部440は必須の構成要件ではなく、データ蓄積部430に蓄積された時系列の磁気ディスク情報およびメモリ情報をリスト形式等で出力するようにしても良い。この場合、出力されたリストを人が閲覧し解析して、コンピュータ(調査対象装置300)に対して行われた操作を推定することができる。
The
磁気ディスク情報およびメモリ情報を合わせた履歴情報については、図6および図7を参照して上述した通りである。したがって、調査対象装置300における操作に関して、信頼でき活用性の高い履歴が得られる。そして、通常と異なる操作が行われた時間帯を探索すること等が容易になる。上述したように、本実施形態により得られる履歴情報を、既存のデータマイニングの手法を用いて解析することにより、履歴情報の中から通常とは異なる操作およびその操作が行われた時間帯を見つけ出すことも可能である。
The history information combining the magnetic disk information and the memory information is as described above with reference to FIGS. Therefore, a reliable and highly usable history can be obtained regarding the operation in the
10a…CPU、10c…メインメモリ、10g…磁気ディスク装置、100、300…調査対象装置、200、400…解析サーバ、110…磁気ディスク情報取得部、120、320…メモリ情報取得部、130…送信制御部、210、410…情報抽出部、220、420…データソート部、230、430…データ蓄積部、240、440…データ解析部、310…時間情報取得部、330…データ記憶装置
DESCRIPTION OF
Claims (9)
前記磁気ディスク情報取得手段により取得された前記ディスクイメージから前記磁気ディスク装置に格納されたファイルに対する操作が行われた時間を表す時間情報を抽出する第1の情報抽出手段と、
前記調査対象装置のメモリの記憶イメージであるメモリイメージを定期的にまたは予め定められたタイミングで当該メモリから取得するメモリ情報取得手段と、
前記メモリ情報取得手段により取得された前記メモリイメージから前記調査対象装置において起動されたプログラムの種類および当該プログラムの起動時刻の情報を抽出する第2の情報抽出手段と、
前記第1の情報抽出手段により抽出された前記時間情報と前記第2の情報抽出手段により抽出された前記プログラムの起動時刻の情報とを関連づけて記憶手段に格納する格納手段と
を備えることを特徴とする情報処理システム。 Magnetic disk information acquisition means for acquiring a disk image, which is a storage image of the magnetic disk device of the investigation target device, from the magnetic disk device periodically or at a predetermined timing;
First information extraction means for extracting time information representing a time when an operation is performed on a file stored in the magnetic disk device from the disk image acquired by the magnetic disk information acquisition means;
Memory information acquisition means for acquiring a memory image, which is a storage image of a memory of the investigation target device, from the memory periodically or at a predetermined timing;
Second information extraction means for extracting from the memory image acquired by the memory information acquisition means information on the type of program started in the investigation target device and the start time of the program;
Storage means for associating and storing the time information extracted by the first information extraction means and the information on the start time of the program extracted by the second information extraction means in a storage means. Information processing system.
前記調査対象装置のメモリの記憶イメージであるメモリイメージを定期的にまたは予め定められたタイミングで当該メモリから取得するメモリ情報取得手段と、
前記メモリ情報取得手段により取得された前記メモリイメージから前記調査対象装置において起動されたプログラムの種類および当該プログラムの起動時刻の情報を抽出する情報抽出手段と、
前記時間情報取得手段により取得された前記時間情報と前記情報抽出手段により抽出された前記プログラムの起動時刻の情報とを関連づけて記憶手段に格納する格納手段と
を備えることを特徴とする情報処理システム。 Time information acquisition means for reading out and acquiring from the magnetic disk device periodically or at a predetermined timing time information indicating a time when an operation is performed on a file stored in the magnetic disk device of the investigation target device;
Memory information acquisition means for acquiring a memory image, which is a storage image of a memory of the investigation target device, from the memory periodically or at a predetermined timing;
Information extraction means for extracting from the memory image acquired by the memory information acquisition means information on the type of program started in the investigation target device and the start time of the program;
An information processing system comprising: storage means for associating and storing the time information acquired by the time information acquisition means and information on the start time of the program extracted by the information extraction means in a storage means .
前記調査対象装置は、
前記調査対象装置の磁気ディスク装置の記憶イメージであるディスクイメージを定期的にまたは予め定められたタイミングで当該磁気ディスク装置から取得する磁気ディスク情報取得部と、
前記調査対象装置のメモリの記憶イメージであるメモリイメージを定期的にまたは予め定められたタイミングで当該メモリから取得するメモリ情報取得部と、
前記磁気ディスク情報取得部により取得された前記ディスクイメージおよび前記メモリ情報取得部により取得された前記メモリイメージを前記解析サーバへ送信する送信制御部とを備え、
前記解析サーバは、
前記磁気ディスク情報取得部により取得された前記ディスクイメージから前記磁気ディスク装置に格納されたファイルに対する操作が行われた時間を表す時間情報を抽出し、前記メモリ情報取得部により取得された前記メモリイメージから前記調査対象装置において起動されたプログラムの種類および当該プログラムの起動時刻の情報を抽出する情報抽出部と、
前記情報抽出部により抽出された情報を時系列に整列して記憶手段に格納する整列部と
を備えることを特徴とする情報処理システム。 A survey target device, and an analysis server connected to the survey target device;
The survey target device is:
A magnetic disk information acquisition unit that acquires a disk image, which is a storage image of the magnetic disk device of the investigation target device, from the magnetic disk device periodically or at a predetermined timing;
A memory information acquisition unit for acquiring a memory image, which is a storage image of the memory of the investigation target device, from the memory periodically or at a predetermined timing;
A transmission control unit that transmits the disk image acquired by the magnetic disk information acquisition unit and the memory image acquired by the memory information acquisition unit to the analysis server;
The analysis server
The memory image acquired by the memory information acquisition unit is extracted from the disk image acquired by the magnetic disk information acquisition unit to extract time information representing the time when an operation is performed on the file stored in the magnetic disk device. An information extraction unit for extracting information on the type of the program started in the investigation target device and the start time of the program;
An information processing system comprising: an alignment unit that aligns information extracted by the information extraction unit in time series and stores the information in a storage unit.
前記調査対象装置は、
前記調査対象装置の磁気ディスク装置に格納されたファイルに対する操作が行われた時間を表す時間情報を定期的にまたは予め定められたタイミングで当該磁気ディスク装置から読み出して取得する時間情報取得部と、
前記調査対象装置のメモリの記憶イメージであるメモリイメージを定期的にまたは予め定められたタイミングで当該メモリから取得するメモリ情報取得部と、
前記時間情報取得部により取得された前記時間情報および前記メモリ情報取得部により取得された前記メモリイメージを前記解析サーバへ送信する送信制御部とを備え、
前記解析サーバは、
前記メモリ情報取得部により取得された前記メモリイメージから前記調査対象装置において起動されたプログラムの種類および当該プログラムの起動時刻の情報を抽出する情報抽出部と、
前記時間情報取得部により取得された前記時間情報および前記情報抽出部により抽出された情報を時系列に整列して記憶手段に格納する整列部と
を備えることを特徴とする情報処理システム。 A survey target device, and an analysis server connected to the survey target device;
The survey target device is:
A time information acquisition unit that reads out and acquires time information indicating a time when an operation is performed on a file stored in the magnetic disk device of the investigation target device from the magnetic disk device periodically or at a predetermined timing;
A memory information acquisition unit for acquiring a memory image, which is a storage image of the memory of the investigation target device, from the memory periodically or at a predetermined timing;
A transmission control unit that transmits the time information acquired by the time information acquisition unit and the memory image acquired by the memory information acquisition unit to the analysis server;
The analysis server
An information extraction unit that extracts information about the type of the program activated in the investigation target device and the activation time of the program from the memory image acquired by the memory information acquisition unit;
An information processing system comprising: an alignment unit that aligns the time information acquired by the time information acquisition unit and the information extracted by the information extraction unit in time series and stores them in a storage unit.
前記解析サーバは、前記外部記憶装置から前記情報を読み出して取得することを特徴とする請求項8に記載の情報処理システム。 The investigation target device further includes an external storage device that stores information acquired by the time information acquisition unit and the memory information acquisition unit,
The information processing system according to claim 8, wherein the analysis server reads and acquires the information from the external storage device.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007033640A JP4802114B2 (en) | 2007-02-14 | 2007-02-14 | Information processing system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007033640A JP4802114B2 (en) | 2007-02-14 | 2007-02-14 | Information processing system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2008197993A JP2008197993A (en) | 2008-08-28 |
| JP4802114B2 true JP4802114B2 (en) | 2011-10-26 |
Family
ID=39756863
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007033640A Expired - Fee Related JP4802114B2 (en) | 2007-02-14 | 2007-02-14 | Information processing system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4802114B2 (en) |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH03246643A (en) * | 1990-02-23 | 1991-11-05 | Fujitsu Ltd | Processing for editing dump summary |
| JP2833976B2 (en) * | 1992-11-27 | 1998-12-09 | 日本電気株式会社 | High load resource evaluation system |
| JP2002041297A (en) * | 2000-07-28 | 2002-02-08 | Ricoh Co Ltd | Software environment management method |
| JP2006172073A (en) * | 2004-12-15 | 2006-06-29 | Chugoku Electric Power Co Inc:The | Program, information processing device, and operation history storage method |
-
2007
- 2007-02-14 JP JP2007033640A patent/JP4802114B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2008197993A (en) | 2008-08-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7882069B2 (en) | Tag based backup and recovery | |
| JP4215286B2 (en) | Storage device content organization system and storage device content organization method | |
| US8468522B2 (en) | Virtual machine system, system for forcing policy, method for forcing policy, and virtual machine control program | |
| US7921230B2 (en) | USB devices pre-configuration for KVM switch | |
| US8793414B2 (en) | Status information saving among multiple computers | |
| US10366226B2 (en) | Malicious code analysis device and method based on external device connected via USB cable | |
| US20090138969A1 (en) | Device and method for blocking autorun of malicious code | |
| US20040143609A1 (en) | System and method for data extraction in a non-native environment | |
| WO2008023030A1 (en) | Signature based client automatic data backup system | |
| JP2008146601A (en) | Information processing apparatus and information processing method | |
| US7831821B2 (en) | System backup and recovery solution based on BIOS | |
| US9280423B1 (en) | Mounting block level backup images | |
| WO2010052999A1 (en) | Maintenance system, maintenance method, and maintenance program | |
| US20030131150A1 (en) | Installing device driver through web page | |
| Jeong et al. | Forensic signature for tracking storage devices: Analysis of UEFI firmware image, disk signature and windows artifacts | |
| JP2003196241A (en) | User authentication information setting device and client computer | |
| Seo et al. | A study on memory dump analysis based on digital forensic tools | |
| US9129275B2 (en) | POS device | |
| JPWO2015198600A1 (en) | Analysis device, analysis method, and analysis program | |
| US12242609B2 (en) | Exact restoration of a computing system to the state prior to infection | |
| US20050131960A1 (en) | Method and system of accessing at least one target file in a computer system with an operating system with file locking implemented at file-open time | |
| JP4802114B2 (en) | Information processing system | |
| US10061653B1 (en) | Method to expose files on top of a virtual volume | |
| US8392759B2 (en) | Test method, test program, test apparatus, and test system | |
| US20130086318A1 (en) | Safe management of data storage using a volume manager |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100127 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110630 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110712 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110808 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140812 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4802114 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |