CN100349084C - 一种在视窗操作系统中保证系统安全的方法 - Google Patents
一种在视窗操作系统中保证系统安全的方法 Download PDFInfo
- Publication number
- CN100349084C CN100349084C CNB2004100021540A CN200410002154A CN100349084C CN 100349084 C CN100349084 C CN 100349084C CN B2004100021540 A CNB2004100021540 A CN B2004100021540A CN 200410002154 A CN200410002154 A CN 200410002154A CN 100349084 C CN100349084 C CN 100349084C
- Authority
- CN
- China
- Prior art keywords
- executable program
- file
- program
- verification file
- carry out
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种在视窗操作系统中保证系统安全的方法,该方法为:视Windows操作系统在准备为提出执行程序请求的可执行程序创建进程时触发系统监控程序;系统监控程序获取所述可执行程序对应的校验文件,如果没有校验文件或文件为空,则确定所述可执行程序不合法,并终止创建进程的初始化工作,否则根据校验文件判断所述可执行程序是否合法;如果不合法,则终止创建进程的初始化工作,否则按正常流程创建进程。
Description
技术领域
本发明涉及计算机安全技术,尤其涉及一种在视窗操作系统(Windows)中保证系统安全的方法。
背景技术
随着计算机和网络的普及,安全的挑战日益严峻。病毒作为两个引起最广泛注意的安全威胁之一(另一个是入侵者),它的制造者和清除者间的斗争也愈演愈烈。
病毒附加在可执行程序的头部或尾部,或者采用其它方式嵌入。当调用被病毒感染的程序时,首先执行病毒代码,然后再执行程序原来的代码。具体来说,病毒感染的工作原理如下:第一行代码是到主病毒程序的一个跳转;第二行是一个特殊标记,用来确定潜在的受害程序是否已经被这个病毒感染过了。当这个程序被调用时,控制立刻传递给主病毒程序。病毒程序首先找出没被感染的可执行文件并感染它们;下一步,病毒可能执行某个动作,通常是对系统有害的动作,例如删除文件;最后,病毒将控制权交给原来的程序,让用户感觉不到感染前后程序执行的差别。
根据以上的病毒机理,它对可执行程序的感染是有迹可循的,如文件长度的变化,检验和的变化,相同的结构和比特模式,即签名等。
传统的反病毒程序的流程可以归结为三部曲:
检测:定期扫描可执行程序,查找病毒的签名或者程序长度的改变,确认程序是否被感染了。
识别:一旦检测到异常,则根据签名库来确定感染了什么样的病毒。
清除:一旦识别了特定的病毒,从被感染的程序中清除病毒的所有痕迹,将程序恢复到原来的状态。
虽然传统的反病毒程序能对已知的病毒进行清除,但存在有如下几个明显的缺点:
1、它是一种事后行为,等病毒感染后才去检测、识别和清除。它不能防止被病毒感染程序的执行,也就无法防止病毒的传播和执行有害的动作。因此,它治标不治本。
2、它的检测依赖于签名库,只能检测到已知的病毒,对不在签名库中的病毒无能为力。当出现一种新病毒时,需要在签名库中增加新签名,这就是导致这类软件频繁升级。
3、它检测一个清除一个,有可能一个程序刚被清除接着又被感染,也就是说它整体缺乏免疫能力。
发明内容
本发明的目的在于提供一种在视窗操作系统中保证系统安全的方法,以解决现有技术中不能从根本上保证系统安全的问题。
为解决上问题,本发明提供如下技术方案:
一种在以NT为核心的视窗操作系统中保证系统安全的方法,包括步骤:
A、视窗操作系统(Windows操作系统)在准备为提出执行程序请求的可执行程序创建进程时触发系统监控程序;
B、系统监控程序获取所述可执行程序对应的校验文件,如果没有校验文件或文件为空,则确定所述可执行程序不合法,并终止创建进程的初始化工作,否则继续步骤C;
C、根据校验文件判断所述可执行程序是否合法;如果不合法,则终止创建进程的初始化工作,否则按正常流程创建进程;其中,所述判断包括检查校验文件概要信息是否正确、检查可执行程序的大小是否与校验文件中记录的源文件大小相同以及调用校验数据生成算法,生成所述可执行程序的校验数据并与校验文件中的校验数据进行比较。
根据上述方法:
系统监控程序通过预先在Windows操作系统中注册一个系统级的调用返回(Callback)函数来监视系统的进程活动,当系统创建进程而调用该函数时触发系统监控程序。所述触发系统监控程序是指修改系统服务分发表(SSDT)中创建进程服务程序的地址,使系统监控程序获得执行控制权。系统监控程序通过预先在Windows操作系统中注册一个系统级的应用程序编程接口捕获(APIHook)程序来监视系统的进程活动,当当系统创建进程而调用创建进程函数时,修改进程的输入地址表IAT和输入名称表INT中的内容使系统监控程序获得执行控制权。或者,系统监控程序通过预先在Windows操作系统中注册一个系统级的应用程序编程接口捕获(API Hook)程序来监视系统的进程活动,当系统调用加载库函数来动态装入动态连接库DLL时,修改获得进程地址函数的地址使系统监控程序获得执行控制权。
所述触发系统监控程序是指修改中断描述表的值,使系统监控程序获得执行控制权。
所述校验文件包括校验文件概要信息、源文件大小和校验数据。
步骤C包括:
(1)检查校验文件概要信息是否正确,如果正确则进行步骤(2),否则确定所述可执行程序不合法,终止创建进程的初始化工作;
(2)检查可执行程序的大小是否与校验文件中记录的源文件大小相同,如果相同则进行步骤(3),否则确定所述可执行程序不合法,终止创建进程的初始化工作;
(3)调用校验数据生成算法,生成所述可执行程序的校验数据并与校验文件中的校验数据进行比较,如果两个校验数据相同,则确定所述可执行程序合法,按正常流程创建进程;否则,确定所述可执行程序不合法,终止创建进程的初始化工作。
在系统中安装所述可执行程序时,由系统监控程序生成对应的校验文件并随可执行程序一起安装。
对于在安装系统监控程序之前系统中已存在的可执行程序,则由防护程序根据配置文件生成该可执行程序的校验文件。
本发明在系统准备为可执行程序创建进程时,拦截系统服务来对将执行的程序进行合法性检查,并在发现程序不合法时及时终止创建进程的初始化工作,阻止了非法进程或被病毒感染进程的启动,由于拦截时机早,也就从根本上阻止了病毒的传播和执行有害动作,保证了系统的安全;根据原理可以看出,只有生成校验文件的程序才被允许运行,否则,即使未被病毒感染,也不被允许运行,即同时保证了系统的专用。本发明不依赖于具体病毒的特征,对任何感染可执行程序的寄生病毒有效。
附图说明
图1为计算机的结构示意图;
图2为系统监控程序与Windows操作系统的相互关系示意图;
图3为本发明的流程图。
具体实施方式
本发明的系统监控程序可以适用于以NT为核心的Windows操作系统(即Windows NT、2000、XP等,对Windows98不适用)的应用软件系统的保护。通过监视系统的进程创建来禁止操作系统运行未经许可的程序或被病毒感染程序,以保证应用软件系统的安全。
参阅图1,图中显示了一台计算机的基本结构,用它来实施本发明的方法。计算机的处理器通过总线和存储器相连接,同时还通过总线连接输入输出接口,存储器包括内存和外存,基本的外存如硬盘等;输入输出接口连接操作键盘和显示装置,通讯接口经通讯线连接到网络或其它通信设备。
在存储器中存储有Windows操作系统程序和其它可执行程序,计算机启动时首先加载Windows操作系统程序,其它可执行程序运行在该操作系统上。当其它可执行程序需要运行时,向Windows操作系统发出请求,由操作系统的内核模块为可执行程序创建新进程,并为该新进程分配资源。
在本发明中,存储器中还存储有系统监控程序,该程序在操作系统的内核模块为可执行程序创建新进程时用于检查可执行程序是否合法,系统监控程序与操作系统间的关系如图2所示,可执行程序(包括专用应用软件,以及其他系统软件或应用软件)执行时向Windows操作系统提出“执行程序请求”,Windows操作系统接收到“执行程序请求”后,进行一些初始化工作,准备创建并通知系统监控程序“系统准备创建进程”,系统监控程序接收到通知以后检查要执行的程序是否合法。如果合法,则让Windows操作系统继续完成进程创建的初始化工作;否则终止Windows操作系统的进程创建的初始化工作。
系统中的每个合法程序都有对应的校验文件,该校验文件可以由系统监控程序采用MD5算法(也可采用其他算法)对合法程序进行计算校验数据来生成。对于在系统监控程序安装前系统中已有的合法程序,系统监控程序在安装时根据配置文件的指定生成对应的检验文件。对于在系统监控程序安装后安装的合法程序,安装前必须用系统监控程序的配套工具生成它的检验文件,并随同合法程序一起安装。
校验文件格式为:
序号 | 空间(字节数) | 作用 | 说明 |
1 | 16 | 校验文件标志,字符串为“_PPT_FILE_”。 | 校验文件概要信息 |
2 | 4 | 校验数据的字节数,非负整数。 | |
3 | 64 | 保留空间,用于今后扩展功能时保存校验文件其他信息。 | |
4 | 4 | 源文件大小,非负整数。 | |
5 | 64 | 保留空间,用于今后扩展时保存源文件其他信息。 | |
6 | 字节数由校验数据生成算法决定 | 保存校验数据。 | 校验数据 |
参阅图3所示,主要的处理流程如下:
步骤10:Windows操作系统在准备为提出执行程序请求的可执行程序创建进程时触发系统监控程序,由系统监控程序获得控制权。
步骤20:系统监控程序获取所述可执行程序对应的校验文件,如果没有校验文件或文件为空,则进行步骤80,否则继续步骤30。
步骤30:检查校验文件概要信息是否为正确格式的校验文件,如果不是,则进行步骤80,否则进行步骤40。
有两个条件必须都满足才是正确的校验文件:A、校验文件概要信息的“校验文件标志”是否为“_PPT_FILE_”;B、校验文件概要信息中的“校验数据的字节数”+152是否等于校验文件的大小。
步骤40:检查所述可执行程序的大小是否与校验文件中保存的源文件的大小相同,如果不同,则该可执行程序被修改过,进行步骤80,否则进行步骤50。
步骤50:调用校验数据生成算法,重新生成所述可执行程序的校验数据。
步骤60:将新生成的校验数据与校验文件中的校验数据比较;如果两个校验数据不相同,则进行步骤80;否则进行步骤70。
步骤70:判定该可执行程序合法,将控制权交给系统模块,并按正常流程创建进程。
步骤80:确定所述可执行程序不合法,并终止创建进程的初始化工作,不执行该可执行程序。
由于未经许可的非法程序,它没有符合系统监控程序的校验文件;被病毒感染过的程序,新生成的校验和与校验文件不符,因此二者都不能运行。
在本发明中,Windows操作系统在准备为提出执行程序请求的可执行程序创建进程时触发系统监控程序的实现可以有多种方式,以下主要对其中三种方式详细描述:
方式一:
1、创建进程通知机制
Windows操作系统在创建进程的时候,内核模块会为新进程分配一些资源,当这些资源分配好后,会通知WIN32子系统。而WIN32子系统可以让用户安装一个调用返回(Callback)函数来监视系统的进程活动。在这个Callback函数中,就可以执行指定的动作,实现方式如下:
首先,通过一个核心模式(KM)驱动程序去调用程序NTOSKRNL.EXE提供的内核函数。在Windows操作系统下程序NTOSKRNL.EXE模块导出了一系列处理结构程序(Process Structure Routine)函数,其中有一个用于注册一个系统级的Callback函数,当操作系统(OS)创建、退出或终止进程的时候,都会调用这个Callback函数。因为用户模式(UM)程序不能调用内核函数,所以要提供一个KM驱动程序。
然后,提供一个UM程序,该UM程序与KM驱动程序通信,以启动和停止KM的服务。当有进程活动的时候,KM程序通过一个通知(Notify)事件来通知UM程序。
2、修改Windows系统服务分发表(System Service Dispatch Table,SSDT)这是利用NT系统分层机制这个特点来实现的。
WIN32 API一般由KERNEL32.DLL和ADVAPI32.DLL这两个模块提供,调用WIN32 API时,OS首先会自动把函数中的字符串参数转换为Unicode。随后,OS会在NTDLL.DLL模块中找到相应的函数,找到的函数会调用NTOSKRNL.EXE相应的服务。每一个服务在NTOSKRNL中都有唯一的标识即服务ID。NTDLL把这个服务ID放到EAX寄存器中,而把参数堆栈地址放到EDX中,接着使用INT 2EH指令把系统运行模式变为内核模式,开始执行由IDT中指定对应的处理程序。
在NTOSKRNL初始化的时候,它会建立一张SSDT,表中每一项是一个服务(Service)处理程序的地址,并且每一个Service处理程序都会驻留在内核(Kernel)中。还有一张表用来保存Service的参数。
在这个应用中,可以通过修改NTOSKRNL的SSDT表内容,让创建进程服务的地址指向系统监控程序的代码,实现系统监控。
当程序启动时,系统调用此Callback函数,此Callback函数执行校验。如果校验不通过,则过程终止;如果通过,则调用系统缺省的Callback,执行正常的程序启动进程。
方式二:
采用应用编程接口(API)捕获(Hook)的方法
在Windows系统中运行的每一个进程都有一个输入地址表(Import AddressTable,IAT)和输入名称表(ImportName Table,INT),这两个表会记录这个进程的所有导入函数,而创建进程只能使用有限的几个函数。如果程序是静态连接的,那么它的进程在这两个表中一定会有记录创建进程函数。如果动态调用某个DLL的创建进程的函数,在这两个表中就没有创建进程函数的记录,但它必须调用加载库(LoadLibary)函数来动态的装入DLL,所以在这两个表中一定有LoadLibary函数的记录。
首先,在系统中安装一个系统级的HOOK程序,在安装这个HOOK程序的同时,枚举系统中所有的进程,并在这些进程的IAT和INT中,查找有没有使用创建进程函数的记录;如果有,则把IAT和INT中的地址保存下来,然后用于系统监控程序中特定代码段地址覆盖这个记录;如果没有,这个进程不可能直接使用创建进程函数来创建进程,则查找是否使用LoadLibary这类动态调用DLL函数的记录:如果有,则修改获得进程地址(GetProcAddress)函数的地址为监控程序特定代码段地址;如果没有,就不用做任何的操作。
被监控进程使用创建进程函数或LoadLibary这类函数的时候,因为已经修改了IAT和INT,所以系统监控程序得到执行控制权,则先执行系统监控程序中指定的动作;如果使用装入DLL的函数,当使用GetProcAddress的时候,判断GetProcAddress的参数是不是创建进程的函数CreateProcess,如果是,则去执行系统监控程序指定的动作;如果不是,就不用做任何的处理。
方式三:
修改操作系统的中断服务例程表
在保护模式下,中断使用中断描述表(Interrupt Descriptor Table,IDT)来描述。中断描述表寄存器(Interrupt Descriptor Table Register,IDTR)保留IDT的地址和表的记录数。IDT会一直保留在物理内存中,在IDT中有一个中断门,它保存这个中断处理例程代码段的选择器(Selector)和偏移量(Offset)。当中断出现时,处理器通过IDT表的中断号来找到这个中断的处理例程,然后把相应的寄存器入栈后就执行相关的中断处理程序。
首先通过SIDT指令获取IDTR的值,得到想修改中断处理程序的Selector和Offset,把这两个值保存起来,然后再把IDT的值修改为系统监控程序的Selector和Offset。
Windows NT的执行子系统包括Win32、Win16、POSIX等子系统。这些子系统有各自的函数创建进程。但最终还是要调用内核提供创建进程服务。用户层的任何调用,最终都调用到系统内核的服务。系统服务在OS中有且只有唯一的处理例程,对唯一的例程进行拦截,不会出现错漏的可能。因而,本发明采用拦截系统服务,是一种非常可靠的方案。系统服务拦截的方案还有一个好处,就是每一个服务对应服务参数表中一个项,可以准而快速的找到需要的信息。而且系统没有为新进程分配任何资源,要终止进程的创建也更加的快速、彻底。
本发明从源头上阻止被病毒感染程序的运行,防止病毒的传播和执行有害的动作。它不依赖于具体病毒的特征,对任何感染可执行程序的寄生病毒有效。它可以同时阻止未经许可的程序的执行。
Claims (9)
1、一种在以NT为核心的视窗操作系统中保证系统安全的方法,其特征在于,包括步骤:
A、视窗Windows操作系统在准备为提出执行程序请求的可执行程序创建进程时触发系统监控程序;
B、系统监控程序获取所述可执行程序对应的校验文件,如果没有校验文件或文件为空,则确定所述可执行程序不合法,并终止创建进程的初始化工作,否则继续步骤C;
C、根据校验文件判断所述可执行程序是否合法;如果不合法,则终止创建进程的初始化工作,否则按正常流程创建进程;其中,所述判断包括检查校验文件概要信息是否正确、检查可执行程序的大小是否与校验文件中记录的源文件大小相同以及调用校验数据生成算法,生成所述可执行程序的校验数据并与校验文件中的校验数据进行比较。
2、如权利要求1所述的方法,其特征在于,系统监控程序通过预先在Windows操作系统中注册一个系统级的调用返回函数来监视系统的进程活动,当系统创建进程而调用该函数时,修改系统服务分发表中创建进程服务程序的地址,使系统监控程序获得执行控制权。
3、如权利要求1所述的方法,其特征在于,系统监控程序通过预先在Windows操作系统中注册一个系统级的应用程序编程接口捕获程序来监视系统的进程活动,当系统创建进程而调用创建进程函数时,修改进程的输入地址表IAT和输入名称表INT中的内容使系统监控程序获得执行控制权。
4、如权利要求1所述的方法,其特征在于,系统监控程序通过预先在Windows操作系统中注册一个系统级的应用程序编程接口捕获程序来监视系统的进程活动,系统调用加载库函数来动态装入动态连接库DLL时,修改获得进程地址函数的地址使系统监控程序获得执行控制权。
5、如权利要求1所述的方法,其特征在于,所述触发系统监控程序是指修改中断描述表的值,使系统监控程序获得执行控制权。
6、如权利要求1所述的方法,其特征在于,所述校验文件包括校验文件概要信息、源文件大小和校验数据。
7、如权利要求1所述的方法,其特征在于,步骤C包括:
(1)检查校验文件概要信息是否正确,如果正确则进行步骤(2),否则确定所述可执行程序不合法,终止创建进程的初始化工作;
(2)检查可执行程序的大小是否与校验文件中记录的源文件大小相同,如果相同则进行步骤(3),否则确定所述可执行程序不合法,终止创建进程的初始化工作;
(3)调用校验数据生成算法,生成所述可执行程序的校验数据并与校验文件中的校验数据进行比较,如果两个校验数据相同,则确定所述可执行程序合法,按正常流程创建进程;否则,确定所述可执行程序不合法,终止创建进程的初始化工作。
8、如权利要求1所述的方法,其特征在于,在系统中安装所述可执行程序时,由系统监控程序生成对应的校验文件并随可执行程序一起安装。
9、如权利要求1所述的方法,其特征在于,对于在安装系统监控程序之前系统中已存在的可执行程序,则由防护程序根据配置文件生成该可执行程序的校验文件。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB2004100021540A CN100349084C (zh) | 2004-01-05 | 2004-01-05 | 一种在视窗操作系统中保证系统安全的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB2004100021540A CN100349084C (zh) | 2004-01-05 | 2004-01-05 | 一种在视窗操作系统中保证系统安全的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1641516A CN1641516A (zh) | 2005-07-20 |
CN100349084C true CN100349084C (zh) | 2007-11-14 |
Family
ID=34867304
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNB2004100021540A Expired - Fee Related CN100349084C (zh) | 2004-01-05 | 2004-01-05 | 一种在视窗操作系统中保证系统安全的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN100349084C (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102034047B (zh) * | 2010-12-21 | 2012-10-17 | 姚志浩 | 一种计算机病毒自动防护方法 |
CN102651060B (zh) * | 2012-03-31 | 2015-05-06 | 北京奇虎科技有限公司 | 一种漏洞检测的方法和系统 |
CN103970540B (zh) * | 2014-05-15 | 2018-02-06 | 北京华为数字技术有限公司 | 关键函数安全调用方法及装置 |
CN106228066B (zh) * | 2016-07-13 | 2019-12-03 | 珠海豹趣科技有限公司 | 进程地址空间防止恶意修改方法、装置以及终端 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1146814A (zh) * | 1995-02-08 | 1997-04-02 | 世嘉企业股份有限公司 | 具有安全检查功能的信息处理装置 |
US6205551B1 (en) * | 1998-01-29 | 2001-03-20 | Lucent Technologies Inc. | Computer security using virus probing |
US6330670B1 (en) * | 1998-10-26 | 2001-12-11 | Microsoft Corporation | Digital rights management operating system |
CN1361882A (zh) * | 1999-05-05 | 2002-07-31 | 迈克尔·O·罗宾 | 保护信息的方法和设备 |
-
2004
- 2004-01-05 CN CNB2004100021540A patent/CN100349084C/zh not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1146814A (zh) * | 1995-02-08 | 1997-04-02 | 世嘉企业股份有限公司 | 具有安全检查功能的信息处理装置 |
US6205551B1 (en) * | 1998-01-29 | 2001-03-20 | Lucent Technologies Inc. | Computer security using virus probing |
US6330670B1 (en) * | 1998-10-26 | 2001-12-11 | Microsoft Corporation | Digital rights management operating system |
CN1361882A (zh) * | 1999-05-05 | 2002-07-31 | 迈克尔·O·罗宾 | 保护信息的方法和设备 |
Also Published As
Publication number | Publication date |
---|---|
CN1641516A (zh) | 2005-07-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10460099B2 (en) | System and method of detecting malicious code in files | |
KR102206115B1 (ko) | 인터프리터 가상 머신을 이용한 행동 멀웨어 탐지 | |
EP3123311B1 (en) | Malicious code protection for computer systems based on process modification | |
Payne et al. | Lares: An architecture for secure active monitoring using virtualization | |
US10284591B2 (en) | Detecting and preventing execution of software exploits | |
AU2006210698B2 (en) | Intrusion detection for computer programs | |
Ferrie | Anti-unpacker tricks–part one | |
EP3230919B1 (en) | Automated classification of exploits based on runtime environmental features | |
US20160232347A1 (en) | Mitigating malware code injections using stack unwinding | |
Bianchi et al. | Blacksheep: Detecting compromised hosts in homogeneous crowds | |
US20140122826A1 (en) | Detecting memory corruption | |
US9542557B2 (en) | Snoop-based kernel integrity monitoring apparatus and method thereof | |
WO2014071867A1 (zh) | 程序处理方法和系统,用于程序处理的客户端和服务器 | |
US10114948B2 (en) | Hypervisor-based buffer overflow detection and prevention | |
KR101064164B1 (ko) | 리눅스 커널 기반 스마트 플랫폼 내에서의 커널 무결성 검사 및 변조된 커널 데이터 복구 방법 | |
EP3079057B1 (en) | Method and device for realizing virtual machine introspection | |
CN113176926B (zh) | 一种基于虚拟机自省技术的api动态监控方法及系统 | |
CN100349084C (zh) | 一种在视窗操作系统中保证系统安全的方法 | |
US8868979B1 (en) | Host disaster recovery system | |
JP4643201B2 (ja) | バッファオーバーフロー脆弱性分析方法、データ処理装置、分析情報提供装置、分析情報抽出処理用プログラムおよび分析情報提供処理用プログラム | |
US11556645B2 (en) | Monitoring control-flow integrity | |
RU2638735C2 (ru) | Система и способ оптимизации антивирусной проверки неактивных операционных систем | |
EP3293660A1 (en) | System and method of detecting malicious code in files | |
Zaidenberg et al. | Hypervisor memory introspection and hypervisor based malware honeypot | |
Wang et al. | Fast User-Mode Rootkit Scanner for the Enterprise. |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20071114 Termination date: 20180105 |
|
CF01 | Termination of patent right due to non-payment of annual fee |