TWI622894B - 電子裝置及偵測惡意檔案的方法 - Google Patents

電子裝置及偵測惡意檔案的方法 Download PDF

Info

Publication number
TWI622894B
TWI622894B TW105141250A TW105141250A TWI622894B TW I622894 B TWI622894 B TW I622894B TW 105141250 A TW105141250 A TW 105141250A TW 105141250 A TW105141250 A TW 105141250A TW I622894 B TWI622894 B TW I622894B
Authority
TW
Taiwan
Prior art keywords
file
dynamic link
execution file
functions
link library
Prior art date
Application number
TW105141250A
Other languages
English (en)
Other versions
TW201822056A (zh
Inventor
孫明功
黃瓊瑩
蔡東霖
賴谷鑫
陳嘉玫
張子敬
Original Assignee
宏碁股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 宏碁股份有限公司 filed Critical 宏碁股份有限公司
Priority to TW105141250A priority Critical patent/TWI622894B/zh
Priority to US15/677,223 priority patent/US10579798B2/en
Application granted granted Critical
Publication of TWI622894B publication Critical patent/TWI622894B/zh
Publication of TW201822056A publication Critical patent/TW201822056A/zh

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities

Abstract

一種電子裝置及偵測惡意檔案的方法。方法包括下列步驟。搜尋一執行檔,並拆解執行檔以得到一導入表。導入表至少包括一第一動態連結函式庫之名稱及一第二動態連結函式庫之名稱。計算第一動態連結函式庫與第二動態連結函式庫之間之一距離。判斷距離是否超過一門檻值。若距離超過門檻值,則檢查執行檔中是否存在與導入表重複的內容。若執行檔中存在與導入表重複的內容,則執行檔為一惡意檔案。

Description

電子裝置及偵測惡意檔案的方法
本發明是有關於一種電子裝置及偵測的方法,且特別是有關於一種電子裝置及偵測惡意檔案的方法。
隨著網路技術的普及,很多資訊必須透過網路傳遞。當電子裝置連上網路,一不小心就會受到惡意程式的攻擊。現有的防毒技術是透過已知的惡意程式的特徵值去偵測及掃描檔案,以找出惡意程式或惡意檔案。舉例來說,一般防毒軟體主要透過已知的惡意程式的特徵值去偵測及掃描惡意檔案。然而,此方法無法防止新型態的先進持續性威脅(Advanced Persistent Threat,APT)及零時差(Zero-day)惡意程式之PE Infection攻擊。因為,防毒軟體公司並無這些新型態或客製化之惡意程式的特徵值,故無法找出電子裝置中之惡意程式或惡意檔案。因此,如何有效的偵測出電子裝置中之惡意程式或惡意檔案乃業界所重視的議題。
本案係有關於一種電子裝置及偵測惡意檔案的方 法,其利用偵測惡意檔案的方法快速篩選出疑似的惡意檔案,再進一步準確確認疑似的惡意檔案是否為惡意檔案。
根據本發明之一實施例,提出一種偵測惡意檔案的方法。方法包括下列步驟。搜尋一執行檔,並拆解執行檔以得到一導入表。導入表至少包括一第一動態連結函式庫之名稱及一第二動態連結函式庫之名稱。計算第一動態連結函式庫與第二動態連結函式庫之間之一距離。判斷距離是否超過一門檻值。若距離超過門檻值,則檢查執行檔中是否存在與導入表重複的內容。若執行檔中存在與導入表重複的內容,則判斷執行檔為一惡意檔案。
根據本發明之另一實施例,提供一種電子裝置。電子裝置包括一處理器及一儲存單元。儲存單元用以儲存一執行檔。處理器用以搜尋執行檔,並拆解執行檔以得到一導入表。導入表至少包括一第一動態連結函式庫之名稱及一第二動態連結函式庫之名稱。處理器計算第一動態連結函式庫與第二動態連結函式庫之間之一距離。處理器判斷距離是否超過一門檻值。若距離超過門檻值,則處理器檢查執行檔中是否存在與導入表重複的內容。若執行檔中存在與導入表重複的內容,則判斷執行檔為一惡意檔案。
下文係配合所附圖式對本發明作詳細說明如下。
100‧‧‧電子裝置
102‧‧‧處理器
104‧‧‧儲存單元
S202、S204、S206、S208、S210、S212、S214‧‧‧流程步驟
300、400‧‧‧導入表
400A、400B‧‧‧區塊
500‧‧‧可移植執行檔標頭
d1、d2、d3‧‧‧距離
A‧‧‧第一動態連結函式庫之名稱
B‧‧‧第二動態連結函式庫之名稱
C‧‧‧第三動態連結函式庫之名稱
D‧‧‧第四動態連結函式庫之名稱
A1、A2、AM、B1、B2、BN、C1、C2、CP、D1、D2、DQ‧‧‧函式之名稱
第1圖繪示電子裝置之方塊圖。
第2圖繪示依照本發明之實施例之偵測惡意檔案之方法之流程圖。
第3圖繪示導入表之一例之示意圖。
第4圖繪示導入表之另一例之示意圖。
第5圖繪示導入表之一例之示意圖。
第6A圖繪示正常執行檔中之導入表及可移植執行檔標頭之示意圖。
第6B圖繪示被駭客新增位址之導入表之示意圖。
第1圖繪示電子裝置100之方塊圖。電子裝置100包括一處理器102及一儲存單元104。電子裝置100例如可為桌上型電腦、筆記型電腦或平板電腦。儲存單元104可為硬碟、記憶卡、記憶體,用以儲存資料檔案。
請參考第1及2圖,第2圖繪示依照本發明之實施例之偵測惡意檔案之方法之流程圖。首先,於步驟S202,處理器102搜尋一執行檔,並拆解執行檔以得到一導入表。具體來說,執行檔儲存於儲存單元104中,處理器102於儲存單元104中搜尋執行檔。接著,處理器102拆解執行檔得到導入表。導入表為唯讀(Read only),記載執行檔導入了哪些動態連結函式庫。請參考第3圖,第3圖繪示導入表300之一例之示意圖。導入表300 例如包括第一動態連結函式庫之名稱A、第二動態連結函式庫之名稱B及第三動態連結函式庫之名稱C。
於步驟S204,處理器102計算動態連結函式庫與動態連結函式庫之間之一距離。例如,處理器102計算出第一動態連結函式庫與第二動態連結函式庫之間之距離d1、第二動態連結函式庫與第三動態連結函式庫之間之距離d2。
接著,於步驟S206,處理器102判斷距離是否超過一門檻值。若距離未超過門檻值,則進入步驟S208。若距離超過門檻值,則進入步驟S210。門檻值可為自定義的值。在一實施例中,門檻值係相關於多個正常動態連結函式庫之間的距離的平均值及標準差。例如,門檻值為多個正常動態連結函式庫之間的距離的平均值及加上兩倍的標準差。然而,本發明之門檻值的定義不以此為限。請參考第3及4圖,第4圖繪示導入表300之另一例之示意圖。每個動態連結函式庫可包括多個函式,導入表300更包括動態連結函式庫中之多個函式之名稱及函式的位址。舉例來說,導入表300包括第一動態連結函式庫之名稱A、第一動態連結函式庫之多個函式之名稱A1、A2、…、AM及各個函式的位址(例如是「0x00001、0x00005、…、0x00017」);第二動態連結函式庫之名稱B、第二動態連結函式庫之多個函式之名稱B1、B2、…、BN及各個函式的位址(例如是「0x00021、0x00025、…、0x00045」);第三動態連結函式庫之名稱C、第三動態連結函式庫之多個函式之名稱C1、C2、…、CP及各個函式的位址(例如是 「0x00049、0x00053、…、0x00065」)。其中名稱A1之函式為第一動態連結函式庫中之第一個函式,名稱AM之函式為第一動態連結函式庫中之最後一個函式;名稱B1之函式為第二動態連結函式庫中之第一個函式,名稱BN之函式為第二動態連結函式庫中之最後一個函式;名稱C1之函式為第三動態連結函式庫中之第一個函式,名稱CP之函式為第三動態連結函式庫中之最後一個函式。
第3圖所述之第一動態連結函式庫與第二動態連結函式庫之距離d1係根據第一動態連結函式庫中之最後一個函式之位址與第二動態連結函式庫中之第一個函式之位址相減而得;第二動態連結函式庫與第三動態連結函式庫之距離d2係根據第二動態連結函式庫中之最後一個函式之位址與第三動態連結函式庫中之第一個函式之位址相減而得。也就是說,距離d1為0x00021-0x00017=10位元組(bytes);距離d2為0x00049-0x00045=4位元組。上述之函式之位址為相對虛擬位址(Relative Virtual Address,RVA)。
在一般程式編譯時,程式所導入的動態連結函式庫中的函式的位址會被定義好並記錄於導入表中,且這些函式的位址之間的距離差距不會太大,例如大部分函式之間的距離為4~300位元組之間。我們發現若編譯後所產生之執行檔遭到駭客攻擊,駭客所新增之位址(以下稱為惡意位址)與正常函式之位址之間的距離大部分會超過幾萬位元組。請再參考第3及4圖,處 理器102計算出距離d1為4位元組、距離d2為4位元組。處理器102判斷距離d1及距離d2皆未超過門檻值(假設門檻值為300位元組),表示導入表300沒有被駭客新增惡意位址,則進入步驟S208,處理器102判斷執行檔為正常檔案。
請參考第5圖,第5圖繪示導入表400之一例之示意圖。處理器102計算出距離d1為4、距離d2為4、距離d3為20100。處理器102判斷距離d3超過門檻值(假設門檻值為300位元組),表示導入表400有可能被駭客新增惡意位址,則執行檔可能為惡意檔案。接著,進入步驟S210,以進一步確認執行檔是否為惡意檔案。
在步驟S206,可根據距離及門檻值快速篩選出哪些執行檔可能為惡意檔案。在一實施例中,若門檻值設為多個正常動態連結函式庫之間的距離的平均值及加上兩倍的標準差,則篩選出惡意檔案的準確率可達95%至97.5%(調整門檻值會改變準確率)。正常動態連結函式庫之間的距離的平均值及標準差,可以利用新安裝完成的系統進行測試計算,新安裝完成的系統可假定為系統內所有檔案均為正常檔案,自新安裝完成的一個或多個系統中搜尋所有執行檔,並計算各個執行檔中多個正常動態連結函式庫之間的距離,可以自該些計算獲得的距離計算平均值及標準差,作為設定本發明中門檻值的參考依據。在另一實施例中,若門檻值設為多個正常動態連結函式庫之間的距離的兩倍的標準差,則篩選出惡意檔案的準確率可達97.5%。因此,在步驟 S206,可透過距離是否超過門檻值可以快速篩選出疑似的惡意檔案。接著,再透過步驟S210進一步準確確認是否為惡意檔案。
在步驟S210,處理器102進一步檢查執行檔中是否存在與導入表重複的內容,藉此決定執行檔是否為惡意檔案。請參考第6A及6B圖,第6A圖繪示正常執行檔中之導入表300及可移植執行檔標頭(PE header)500之示意圖,第6B圖繪示被駭客新增惡意位址之導入表400之示意圖。在第6A圖中,正常的程式在執行時,首先會讀取可移植執行檔標頭500的內容,依據可移植執行檔標頭500的指標所指向的位址,可知接下來要讀取導入表300的內容,以根據導入表300的內容載入並執行程式所用到的動態連結函式庫。在第6B圖中,駭客的攻擊手法(PE Infection攻擊)如下所述。首先,複製導入表300的內容至空白(Padding)區塊,如區塊400A所示,也就是說區塊400A的內容與導入表300的內容相同。接著,新增惡意位址,例如區塊400B所示,也就是說區塊400B之內容為新增之惡意位址。然後,修改可移植執行檔標頭500的內容,使其指標指向導入表400。如此,在第6B圖的情況中,程式在執行時,首先會讀取可移植執行檔標頭500的內容,依據可移植執行檔標頭500的指標讀取導入表400的內容,以根據導入表400的內容載入及執行動態連結函式庫及函式(包括正常的動態連結函式庫及函式與惡意的動態連結函式庫及函式)。
由於導入表300為唯讀,駭客不能新增惡意位址至 導入表300中,因此駭客在攻擊時一定會複製導入表300至空白區塊,並新增惡意位址(如第6B圖所示)。藉由此特性,在步驟S210,可根據檢查執行檔中是否存在有與導入表300內容相同的區塊,來決定執行檔是否為惡意檔案。
若執行檔中不存在有與導入表300內容相同的區塊(如第6A圖所示),則進入步驟S212,表示執行檔並未被駭客攻擊,則處理器102判斷執行檔為正常檔案。
若執行檔中存在有與導入表300內容相同的區塊,例如第6B圖中之導入表300之內容與導入表400之區塊400A之內容重複,表示執行檔已遭駭客攻擊,則進入步驟S214,處理器102判斷執行檔為惡意檔案。在一實施例中,在步驟S214,若確定執行檔為惡意檔案之後,處理器102更可根據導入表所記載之內容找出電子裝置100中惡意的動態連結函式庫及惡意函式。具體來說,請參考第5及6B圖,在確定執行檔為惡意檔案之後(例如第6B圖之情況),處理器102可知導入表400之區塊400B(也就是對應第5圖之第四動態連結函式庫之名稱D之內容)所記載內容為惡意動態連結函式庫之名稱及惡意函式之名稱。藉此,處理器102可找出名稱D之第四動態連結函式庫為惡意檔案,且名稱D1、D2、…DQ之第四函式為惡意函式。
在步驟S210,可根據檢查執行檔中是否存在與導入表重複的內容,判斷執行檔是否為惡意檔案,此判斷方式的準確率可達100%。
基於上述,由於本發明並非透過特徵值去偵測及掃描惡意的動態連結函式庫,而是透過被執行檔導入之動態連結函式庫之間的距離,以及檢查執行檔中是否存在與導入表重複的內容,決定執行檔是否為惡意檔案並找出惡意動態連結函式庫。因此,可有效防止新型態的先進持續性威脅及零時差惡意程式之PE Infection攻擊。
熟習本發明所屬領域之技藝者將想到,於此提出之本發明之多數修改及其他實施例,係具有上述說明及相關圖式中所提供之教導的益處。因此,應理解本發明並非受限於所揭露的具體實施例,且修改及其他實施例係包括於以下的申請專利範圍之範疇內

Claims (18)

  1. 一種偵測惡意檔案的方法,包括:搜尋一執行檔,並拆解該執行檔以得到一導入表(Import table),其中該導入表至少包括一第一動態連結函式庫(Dynamic-link library,DLL)之名稱及一第二動態連結函式庫之名稱;計算該第一動態連結函式庫與該第二動態連結函式庫之間之一距離;判斷該距離是否超過一門檻值;以及若該距離未超過該門檻值,則判斷該執行檔為正常檔案。
  2. 如申請專利範圍第1項所述之方法,其中若該距離超過該門檻值,則檢查該執行檔中是否存在與該導入表重複的內容,若該執行檔中存在與該導入表重複的內容,則判斷該執行檔為惡意檔案。
  3. 如申請專利範圍第2項所述之方法,其中若該執行檔中不存在與該導入表重複的內容,則判斷該執行檔為正常檔案。
  4. 如申請專利範圍第1項所述之方法,其中該導入表更包括該第一動態連結函式庫中之複數個第一函式之名稱與該些第一函式的位址,以及該第二動態連結函式庫中之複數個第二函式之名稱與該些第二函式的位址,該距離為該些第一函式中之最後一個第一函式之位址與該些第二函式中之第一個第二函式之位址相減而得。
  5. 如申請專利範圍第4項所述之方法,其中該些第一函式的位址及該些第二函式的位址為相對虛擬位址(Relative Virtual Address,RVA)。
  6. 如申請專利範圍第1項所述之方法,其中該門檻值係相關於複數個正常動態連結函式庫之間的距離的一平均值及一標準差。
  7. 如申請專利範圍第4項所述之方法,其中該門檻值為該平均值加上兩倍的該標準差。
  8. 如申請專利範圍第1項所述之方法,其中該門檻值大於300位元組。
  9. 一種偵測惡意檔案的方法,包括:搜尋一執行檔,並拆解該執行檔以得到一導入表,其中該導入表至少包括一第一動態連結函式庫之名稱及一第二動態連結函式庫之名稱;檢查該執行檔中是否存在與該導入表重複的內容;以及若該執行檔中存在與該導入表重複的內容,則判斷該執行檔為惡意檔案。
  10. 一種電子裝置,包括:一儲存單元,用以儲存一執行檔;以及一處理器,用以搜尋該執行檔,並拆解該執行檔以得到一導入表,其中該導入表至少包括一第一動態連結函式庫之名稱及一第二動態連結函式庫之名稱;該處理器計算該第一動態連結函式庫與該第二動態連結函式庫之間之一距離,並判斷該距離是否超過一門檻值,其中若距離未超過該門檻值,則該處理器判斷該執行檔為正常檔案。
  11. 如申請專利範圍第10項所述之電子裝置,其中若該距離超過該門檻值,則該處理器檢查該執行檔中是否存在與該導入表重複的內容,若該執行檔中存在與該導入表重複的內容,則該處理器判斷該執行檔為惡意檔案。
  12. 如申請專利範圍第11項所述之電子裝置,其中若該執行檔中不存在與該導入表重複的內容,則該處理器判斷該執行檔為正常檔案。
  13. 如申請專利範圍第10項所述之電子裝置,其中該導入表更包括該第一動態連結函式庫中之複數個第一函式之名稱與該些第一函式的位址,以及該第二動態連結函式庫中之複數個第二函式之名稱與該些第二函式的位址,該處理器將該些第一函式中之最後一個第一函式之位址與該些第二函式中之第一個第二函式之位址相減得到該距離。
  14. 如申請專利範圍第13項所述之電子裝置,其中該些第一函式對應的位址及該些第二函式對應的位址為相對虛擬位址(Relative Virtual Address,RVA)。
  15. 如申請專利範圍第10項所述之電子裝置,其中該門檻值係相關於複數個正常動態連結函式庫之間的距離的一平均值及一標準差。
  16. 如申請專利範圍第15項所述之電子裝置,其中該門檻值為該平均值加上兩倍的該標準差。
  17. 如申請專利範圍第10項所述之電子裝置,其中該門檻值大於300位元組。
  18. 一種電子裝置,包括:一儲存單元,用以儲存一執行檔;以及一處理器,用以搜尋該執行檔,並拆解該執行檔以得到一導入表,其中該導入表至少包括一第一動態連結函式庫之名稱及一第二動態連結函式庫之名稱;該處理器檢查該執行檔中是否存在與該導入表重複的內容;以及若該執行檔中存在與該導入表重複的內容,則該處理器判斷該執行檔為惡意檔案。
TW105141250A 2016-12-13 2016-12-13 電子裝置及偵測惡意檔案的方法 TWI622894B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
TW105141250A TWI622894B (zh) 2016-12-13 2016-12-13 電子裝置及偵測惡意檔案的方法
US15/677,223 US10579798B2 (en) 2016-12-13 2017-08-15 Electronic device and method for detecting malicious file

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW105141250A TWI622894B (zh) 2016-12-13 2016-12-13 電子裝置及偵測惡意檔案的方法

Publications (2)

Publication Number Publication Date
TWI622894B true TWI622894B (zh) 2018-05-01
TW201822056A TW201822056A (zh) 2018-06-16

Family

ID=62487856

Family Applications (1)

Application Number Title Priority Date Filing Date
TW105141250A TWI622894B (zh) 2016-12-13 2016-12-13 電子裝置及偵測惡意檔案的方法

Country Status (2)

Country Link
US (1) US10579798B2 (zh)
TW (1) TWI622894B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2728497C1 (ru) 2019-12-05 2020-07-29 Общество с ограниченной ответственностью "Группа АйБи ТДС" Способ и система определения принадлежности программного обеспечения по его машинному коду
RU2728498C1 (ru) 2019-12-05 2020-07-29 Общество с ограниченной ответственностью "Группа АйБи ТДС" Способ и система определения принадлежности программного обеспечения по его исходному коду
RU2722692C1 (ru) * 2020-02-21 2020-06-03 Общество с ограниченной ответственностью «Группа АйБи ТДС» Способ и система выявления вредоносных файлов в неизолированной среде
RU2743619C1 (ru) 2020-08-06 2021-02-20 Общество с ограниченной ответственностью "Группа АйБи ТДС" Способ и система генерации списка индикаторов компрометации
US11947572B2 (en) 2021-03-29 2024-04-02 Group IB TDS, Ltd Method and system for clustering executable files

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW200525346A (en) * 2004-01-30 2005-08-01 Microsoft Corp Detection of code-free files
US7260847B2 (en) * 2002-10-24 2007-08-21 Symantec Corporation Antivirus scanning in a hard-linked environment
US7380277B2 (en) * 2002-07-22 2008-05-27 Symantec Corporation Preventing e-mail propagation of malicious computer code
US7519998B2 (en) * 2004-07-28 2009-04-14 Los Alamos National Security, Llc Detection of malicious computer executables
US8312545B2 (en) * 2006-04-06 2012-11-13 Juniper Networks, Inc. Non-signature malware detection system and method for mobile platforms
TW201329766A (zh) * 2012-01-10 2013-07-16 Xecure Lab Co Ltd 萃取惡意文件檔案的數位指紋之方法及系統
TW201528034A (zh) * 2013-09-11 2015-07-16 Nss Labs Inc 惡意軟體及攻擊程式碼活動檢測系統及方法
TW201533604A (zh) * 2014-02-27 2015-09-01 Univ Nat Chiao Tung 產生候選鈎點以偵測惡意程式之方法及其系統

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7353507B2 (en) 2002-10-30 2008-04-01 Hewlett-Packard Development, L.P. Intercepting function cells
US7424706B2 (en) 2003-07-16 2008-09-09 Microsoft Corporation Automatic detection and patching of vulnerable files
US10007784B2 (en) * 2015-03-27 2018-06-26 Intel Corporation Technologies for control flow exploit mitigation using processor trace
US9979747B2 (en) * 2015-09-05 2018-05-22 Mastercard Technologies Canada ULC Systems and methods for detecting and preventing spoofing

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7380277B2 (en) * 2002-07-22 2008-05-27 Symantec Corporation Preventing e-mail propagation of malicious computer code
US7260847B2 (en) * 2002-10-24 2007-08-21 Symantec Corporation Antivirus scanning in a hard-linked environment
TW200525346A (en) * 2004-01-30 2005-08-01 Microsoft Corp Detection of code-free files
US7519998B2 (en) * 2004-07-28 2009-04-14 Los Alamos National Security, Llc Detection of malicious computer executables
US8312545B2 (en) * 2006-04-06 2012-11-13 Juniper Networks, Inc. Non-signature malware detection system and method for mobile platforms
TW201329766A (zh) * 2012-01-10 2013-07-16 Xecure Lab Co Ltd 萃取惡意文件檔案的數位指紋之方法及系統
TW201528034A (zh) * 2013-09-11 2015-07-16 Nss Labs Inc 惡意軟體及攻擊程式碼活動檢測系統及方法
TW201533604A (zh) * 2014-02-27 2015-09-01 Univ Nat Chiao Tung 產生候選鈎點以偵測惡意程式之方法及其系統

Also Published As

Publication number Publication date
TW201822056A (zh) 2018-06-16
US10579798B2 (en) 2020-03-03
US20180165452A1 (en) 2018-06-14

Similar Documents

Publication Publication Date Title
TWI622894B (zh) 電子裝置及偵測惡意檔案的方法
US10025931B1 (en) Method and system for malware detection
US8239948B1 (en) Selecting malware signatures to reduce false-positive detections
JP5511097B2 (ja) 中央集中的にマルウェアを検出するための知的ハッシュ
US9147073B2 (en) System and method for automatic generation of heuristic algorithms for malicious object identification
US8499354B1 (en) Preventing malware from abusing application data
US8621608B2 (en) System, method, and computer program product for dynamically adjusting a level of security applied to a system
JP5265061B1 (ja) 悪意のあるファイル検査装置及び方法
US20090133125A1 (en) Method and apparatus for malware detection
RU2624552C2 (ru) Способ обнаружения вредоносных файлов, исполняемых с помощью стековой виртуальной машины
US10546127B2 (en) Binary search of byte sequences using inverted indices
KR102271545B1 (ko) 도메인 생성 알고리즘(dga) 멀웨어 탐지를 위한 시스템 및 방법들
JP6176622B2 (ja) マルウェアの検出方法
CN111460445A (zh) 样本程序恶意程度自动识别方法及装置
KR20070118074A (ko) 외래 코드 검출을 위한 시스템 및 방법
US10853058B1 (en) Application similarity detection
WO2022267343A1 (zh) 漏洞检测方法、设备及可读存储介质
WO2012063458A1 (ja) 出力制御装置、出力制御装置用のプログラムを記憶するコンピュータ読み取り可能な媒体、出力制御方法および出力制御システム
CN111183620B (zh) 入侵调查
JP2018200642A (ja) 脅威検出プログラム、脅威検出方法および情報処理装置
US20130246352A1 (en) System, method, and computer program product for generating a file signature based on file characteristics
JPWO2015045043A1 (ja) プロセス検査装置、プロセス検査プログラムおよびプロセス検査方法
US11487876B1 (en) Robust whitelisting of legitimate files using similarity score and suspiciousness score
KR101503827B1 (ko) 절대 경로 관리를 통한 악성 프로그램 검사 시스템
US11170103B2 (en) Method of detecting malicious files resisting analysis in an isolated environment