CN101042719A - 一种查杀rootkit的系统及方法 - Google Patents
一种查杀rootkit的系统及方法 Download PDFInfo
- Publication number
- CN101042719A CN101042719A CNA2006100654951A CN200610065495A CN101042719A CN 101042719 A CN101042719 A CN 101042719A CN A2006100654951 A CNA2006100654951 A CN A2006100654951A CN 200610065495 A CN200610065495 A CN 200610065495A CN 101042719 A CN101042719 A CN 101042719A
- Authority
- CN
- China
- Prior art keywords
- rootkit
- operating system
- client operating
- steps
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明公开了一种查杀ROOTKIT的系统及方法。其中,查杀ROOTKIT的系统,包括虚拟机监视器(3),以及运行在虚拟机监视器(3)上的服务操作系统(2)和至少一个客户操作系统(1),所述服务操作系统(2)包括检查模块(21),用于检查客户操作系统(1)中是否存在ROOTKIT并在发现ROOTKIT时报警。本发明的查杀ROOTKIT的系统及方法,在操作系统实时运行时,可靠地查杀ROOTKIT,且本发明的检查模块运行于操作系统之外的虚拟机监视器控制的内存区域,攻击操作系统的病毒及木马无法攻击到虚拟机监视器上,安全性高。
Description
技术领域
本发明涉及一种查杀病毒的系统及方法,特别涉及一种查杀ROOTKIT的系统及方法。
背景技术
随着商业用户对个人计算机(PC)依赖性的不断加大,用户在PC上主要的检查病毒与木马的工具是防(杀)病毒及防(杀)木马工具软件,这些工具工作原理是在系统运行时,扫描系统内存中的进程及硬盘上保存的系统文件,并匹配相关特征文件,从而发现病毒及木马。
操作系统是由内核(Kernel)和外壳(Shell)两部分组成的,其中:内核负责一切实际的工作,包括CPU任务调度、内存分配管理、设备管理、文件操作等;外壳是基于内核提供的交互功能而存在的界面,它负责指令传递和解释。一般的进程查看工具和杀毒软件也不例外,能看到的进程其实是内核“看到”并通过相关接口指令(API)反馈到应用程序的,这样就不可避免的存在一条数据通道。简单而言,ROOTKIT设法让自己达到和内核一样的运行级别,甚至进入内核空间,这样它就拥有了和内核一样的访问权限,因而可以对内核指令进行修改,最常见的是修改内核枚举进程的API,让它们返回的数据始终“遗漏”ROOTKIT自身进程的信息,一般的进程工具自然就“看”不到ROOTKIT了。更高级的ROOTKIT还篡改更多API,这样,用户就看不到进程(进程API被拦截),看不到文件(文件读写API被拦截),看不到被打开的端口(网络组件SOCK API被拦截),更拦截不到相关的网络数据包(网络组件NDIS API被拦截)了,这样ROOTKIT通过监听系统的功能、用合法的数值取代返回的数据。ROOTKIT其它的秘密活动包括掩盖网络活动和修改WINDOWS注册表,达到了隐藏其代码不被发现的目标。
当病毒或者木马采用ROOTKIT技术时,其病毒本身内存中进程和硬盘保存的文件被隐藏起来,则不会被防病毒、防木马工具软件发现,更不会与特征文件进行匹配,因此采用ROOTKIT技术的病毒与木马不会被采用现有技术的防病毒与防木马的工具软件发现。
系统中隐藏的病毒及木马,轻则破坏系统,重则盗取用户合同、银行帐号等敏感数据,给用户带来严重地损失。
目前,最可靠地检测ROOTKIT的办法是关闭操作系统(OFFLINE OS)检测。例如,系统自身启动,然后列出所有的文件、REGISTRY项等等。然后用WINPE从CD启动,再列出所有的文件、REGISTRY项。这时,对比两个列表,在正常情况下,两个列表中所列内容应该是一样的,如果出现不一样的地方,就可以发现那些在用自身系统启动的情况下看不到的文件。
该方法的主要缺点是:
1)该方法只能检测硬盘中文件,对于可能通过网络或方式进入系统或系统中运行态的进程无法检查;
2)关闭系统会给用户带来不便,特别是对于某些24小时不能停机的重要系统(例如,银行的授权系统等),关闭系统的方法是不现实的;
3)某些ROOTKIT在创先进入系统后,有反杀病工具的功能,可以干扰甚至中止杀毒软件正常工作。
发明内容
本发明的目的在于,克服上述缺陷提供一种查杀ROOTKIT的系统。
本发明的另一目的在于,克服上述缺陷提供一种查杀ROOTKIT的方法。
为实现本发明目的而提供的一种查杀ROOTKIT系统,包括虚拟机监视器3,以及运行在虚拟机监视器3上的服务操作系统2和至少一个客户操作系统1,其特征在于,所述服务操作系统2包括检查模块21,用于检查客户操作系统1中是否存在ROOTKIT并在发现ROOTKIT时报警。
所述服务操作系统2的检查模块21可以包括过滤模块211,用于扫描客户操作系统1中的系统文件与进程内存中的文件,并与已知ROOTKIT的特征码进行比较,判断客户操作系统1中是否存在ROOTKIT,并在发现ROOTKIT时报警。
所述检查模块21可以包括检测工具212,所述客户操作系统1还可以包括所述检测工具代理模块212’;
所述检测工具代理模块212’,用于在客户操作系统1运行时,收集客户操作系统打开的文件集以及进程集的信息;
所述检测工具212,用于在虚拟机监视器3中收集客户操作系统1运行时打开的文件集以及进程集的信息,并将收集的信息与所述检测工具代理模块212’收集的信息相比较,判断是否存在ROOTKIT。
所述收集的信息为文件列表信息或者系统内存状态信息。
为实现本发明的另一目的而提供的一种查杀ROOTKIT的方法,包括以下步骤:
步骤A)运行于虚拟机监视器3上的服务操作系统2检查运行于虚拟机监视器3上的客户操作系统1中是否存在ROOTKIT,并在发现ROOTKIT时报警。
所述步骤A)可以包括下列步骤:
步骤A1)服务操作系统2过滤扫描运行在客户操作系统1中的系统文件与进程内存中的文件,查找文件中的特征码,并用其特征码与已知的ROOTKIT特征码相比较判断是否一致;
步骤A2)如果特征码比较显示一致,则显示出与已知的ROOTKIT特征相一致的文件,分析处理该文件,提示清除ROOTKIT。
所述步骤A)还可以包括下列步骤:
步骤A1′)服务操作系统2中的检测工具212向客户操作系统1中传输检测工具代理模块212’,并在客户操作系统1中运行并驻留检测工具代理模块212’;
步骤A2′)服务操作系统2中的检测工具212在虚拟机监视器3中收集客户操作系统1打开的文件集以及进程集的信息;
步骤A3′)客户操作系统1中的检测工具代理模块212’收集客户操作系统1打开的文件集以及进程集的信息,并将收集的信息传输给服务操作系统2的检测工具212;
步骤A4′)将所述步骤A2′)中检测工具212收集的信息与步骤A3′)中检测工具代理模块212’收集的信息进行比较判断是否相一致;
步骤A5′)如果相一致,则客户操作系统1中没有ROOTKIT,检查过程结束;如果不相一致,收集的信息存在差异代码,则报警。
所述步骤A5′)还可以包括下列步骤:
分析收集的信息中不相一致的文件特征码,判断其是否为ROOTKIT,如果是,则将其清除;否则,向客户操作系统1提示后结束检查过程。
所述步骤A2)还可以进一步包括下列步骤:
在清除ROOTKIT后,将受其保护的病毒及木马清除。
所述收集的信息可以为文件列表信息或者系统内存状态信息。
本发明的有益效果是:根据本发明的查杀ROOTKIT的系统及方法,在操作系统实时运行时,可靠地查杀ROOTKIT,且本发明的检查模块运行于操作系统之外的VMM控制的内存区域,攻击操作系统的病毒及木马无法攻击到VMM上,检查模块不会受到攻击,安全性高。
附图说明
图1为本发明的查杀ROOTKIT的系统结构示意图;
图2为本发明的查杀已知ROOTKIT的方法流程图;
图3为本发明的查杀未知ROOTKIT的方法流程图。
具体实施方式
以下将结合附图1~3进一步详细说明本发明的查杀ROOTKIT的系统及方法。
图1为本发明的查杀ROOTKIT的系统结构示意图。
如图1所示,本发明的查杀ROOTKIT的系统包括:至少一个客户操作系统(客户OS)1、服务操作系统2、虚拟机监视器(Virtual Machine Monitor,VMM)3。
其中,虚拟机监视器3,运行在支持虚拟计算指令的硬件平台上,并在其上运行现有的各种操作系统(包括本发明的客户操作系统1以及服务操作系统2);服务操作系统2,其运行于虚拟机监视器3上,包括检查模块21,检查模块21包括过滤模块211以及检测工具212,其中,过滤模块211,用于扫描客户操作系统中的系统文件与进程内存中的文件,并与已知ROOTKIT的特征进行比较,检查客户操作系统中是否存在ROOTKIT,并在发现ROOTKIT时报警,检测工具212,用于在虚拟机监视器3中直接收集客户操作系统运行时打开的文件集以及进程集等信息;客户操作系统1,包括服务操作系统2中检测工具212的代理模块(AGENT)212’,用于收集用户打开的文件集以及进程集等信息。其中,检测工具212及其代理工具212’所收集到的信息包括:1)文件列表信息:存储在存储设备上的文件清单;2)系统内存状态信息,特别是系统API接口地址。
可以理解的是,本发明中将检测工具代理模块212’设置于客户操作系统中只是一种较佳方式,本发明并不局限于将检测工具代理模块212’设置在客户操作系统中,该检测工具代理模块212’可以通过各种其他方式实现,例如,当服务操作系统中的检测工具开始运行时,其通过自身复制,然后向客户操作系统中传输复制的检测工具作为检测工具代理模块,并在客户操作系统中运行并驻留该检测工具代理模块;或者服务操作系统中的检测工具向客户操作系统中传输检测工具代理模块,并在客户操作系统中运行并驻留检测工具代理模块。
可以采取目前杀毒软件对已知病毒的公知查杀技术:通过对已知ROOTKIT代码进行分析,提取ROOTKIT特征码(不同的ROOTKIT的特征码可能存在差异),然后可以采用类似杀毒软件的公知查杀技术清除ROOTKIT:包括删除ROOTKIT在硬盘上生产的文件或替换的系统关键文件。
具体的,在查杀ROOTKIT时需要区分两种情况:
I查杀已知ROOTKIT
当服务操作系统2的检测模块21在虚拟机监视器3上运行时,其过滤模块211扫描客户操作系统1中的系统文件与进程内存中的文件,并与已知ROOTKIT的特征进行比较,检查客户操作系统1中是否存在ROOTKIT,并在发现ROOTKIT时报警,进而可以通过结合现有技术对该文件进行处理,以清除ROOTKIT,,当ROOTKIT被清除后,原来受其保护而隐藏的病毒及木马则暴露出来,因此可以将暴露出来的病毒及木马利用现有的杀毒软件进行清除。
以下,如图2具体描述查杀已知ROOTKIT的方法,该方法包括以下步骤:
步骤101)服务操作系统2中的检查模块21开始在虚拟机监视器3上运行;
步骤102)检查模块21的过滤模块211过滤扫描运行在客户操作系统1中的系统文件与进程内存中的文件,查找文件中的特征码,并用其特征码与已知的ROOTKIT特征码相比较判断是否一致;
步骤103)如果特征码比较显示一致,则显示出与已知的ROOTKIT特征相一致的文件,分析处理该文件,提示清除ROOTKIT,否则,返回步骤102)继续过滤扫描;
步骤104)清除ROOTKIT以后,原来受其保护的隐藏的病毒及木马被暴露出来,利用现有技术将病毒与木马删除。
II查杀未知ROOTKIT
检测工具212与其在客户操作系统2中检测工具代理模块212’一起,共同用于查杀未知ROOTKIT。当服务操作系统2中检查模块212开始运行于虚拟机监视器3上时,其检测工具212用于在虚拟机监视器3中直接收集客户操作系统1运行时打开的文件集以及进程集的信息,并与在客户操作系统1上运行的检测工具代理模块212’中收集的文件集以及进程集进行比较,如果发现某些文件或进程只存在于检测工具收集的集合中,而检测工具代理模块212’中未收集到,则该文件有可能是ROOTKIT,此时需结合现有技术(例如,扫描、特征比较等方法)判断其是否为ROOTKIT,如果是,则利用现有的杀毒软件将其删除,然后清除受其保护的病毒及木马。
以下,结合图3具体描述查杀未知ROOTKIT的方法,包括以下步骤:
步骤201)服务操作系统2中的检查模块21的检测工具212开始运行,在虚拟机监视器3中收集用户在客户操作系统1打开的文件集以及进程集的信息,并通知客户操作系统1中检测工具代理模块212’收集用户在客户操作系统1中打开的文件集以及进程集的信息;
步骤202)客户操作系统1中的检测工具代理模块212’将其收集的用户在客户操作系统1中打开的文件集以及进程集的信息传输给服务操作系统2的检测工具212;
步骤203)检测工具212将所述步骤201)中检测工具212收集的信息与步骤202)中检测工具代理模块212’收集的信息进行比较判断是否相一致;
步骤204)如果相一致,则客户操作系统1中没有ROOTKIT,检查过程结束;如果不相一致,分析收集的信息中不相一致的文件特征码,判断其是否为ROOTKIT,如果是,则将其清除;否则,向客户操作系统1提示后结束检查过程;
步骤205)清除ROOTKIT以后,原来受其保护的隐藏的病毒及木马被暴露出来,利用现有技术将病毒与木马删除。
当服务操作系统2中的检测工具212向客户操作系统1中传输检测工具代理模块212’,并在客户操作系统1中运行并驻留检测工具代理模块212’时,本发明的查杀未知ROOTKIT的方法,包括以下步骤:
步骤201′)服务操作系统2中的检测工具212向客户操作系统1中传输检测工具代理模块212’,并在客户操作系统1中运行并驻留检测工具代理模块212’;
步骤202′)服务操作系统2中的检测工具212在虚拟机监视器3中收集收集客户操作系统1打开的文件集以及进程集的信息;
步骤203′)客户操作系统1中的检测工具代理模块212’收集客户操作系统1打开的文件集以及进程集的信息,并将收集的信息传输给服务操作系统2的检测工具212;
步骤204′)检测工具212将所述步骤202′)中检测工具212收集的信息与步骤203′)中检测工具代理模块212’收集的信息进行比较判断是否相一致;
步骤205′)如果相一致,则客户操作系统1中没有ROOTKIT,检查过程结束;如果不相一致,分析收集的信息中不相一致的文件特征码,判断其是否为ROOTKIT,如果是,则将其清除;否则,向客户操作系统1提示后结束检查过程;
步骤206′)清除ROOTKIT以后,原来受其保护的隐藏的病毒及木马被暴露出来,利用现有技术将病毒与木马删除。
综上所述,依照本发明的查杀ROOTKIT的系统,通过在硬件平台上运行VMM软件,然后在VMM上运行客户操作系统以及服务操作系统,并在服务操作系统上增加检查模块,用于实现系统实时运行时,可靠地查杀已知或未知的ROOTKIT,且本发明的检查模块运行于操作系统之外的VMM控制的内存区域,由于攻击操作系统的病毒及木马无法攻击到VMM上,因此,检查模块不会受到攻击,安全性高。
以上描述是方便本领域普通技术人员理解本发明,对本发明所进行的详细描述,但可以想到,在不脱离本发明的权利要求所涵盖的范围内还可以做出其它的变化和修改,这些变化和修改均在本发明的保护范围内。
Claims (10)
1.一种查杀ROOTKIT的系统,其特征在于,包括虚拟机监视器(3),以及运行在虚拟机监视器(3)上的服务操作系统(2)和至少一个客户操作系统(1),其特征在于,所述服务操作系统(2)包括检查模块(21),用于检查客户操作系统(1)中是否存在ROOTKIT并在发现ROOTKIT时报警。
2.如权利要求1所述的系统,其特征在于,所述服务操作系统(2)的检查模块(21)包括过滤模块(211),用于扫描客户操作系统(1)中的系统文件与进程内存中的文件,并与已知ROOTKIT的特征码进行比较,判断客户操作系统(1)中是否存在ROOTKIT,并在发现ROOTKIT时报警。
3.如权利要求1或2所述的系统,其特征在于,所述检查模块(21)包括检测工具(212),所述客户操作系统(1)还包括所述检测工具代理模块(212’);
所述检测工具代理模块(212’),用于在客户操作系统(1)运行时,收集客户操作系统(1)打开的文件集以及进程集的信息;
所述检测工具(212),用于在虚拟机监视器(3)中收集客户操作系统(1)运行时打开的文件集以及进程集的信息,并将收集的信息与所述检测工具代理模块(212’)收集的信息相比较,判断是否存在ROOTKIT。
4.如权利要求3所述的系统,其特征在于,所述收集的信息为文件列表信息或者系统内存状态信息。
5.一种查杀ROOTKIT的方法,其特征在于,包括以下步骤:
步骤A)运行于虚拟机监视器(3)上的服务操作系统(2)检查运行于虚拟机监视器(3)上的客户操作系统(1)中是否存在ROOTKIT,并在发现ROOTKIT时报警。
6.如权利要求5所述的查杀ROOTKIT的方法,其特征在于,所述步骤A)包括下列步骤:
步骤A1)服务操作系统(2)过滤扫描运行在客户操作系统(1)中的系统文件与进程内存中的文件,查找文件中的特征码,并用其特征码与已知的ROOTKIT特征码相比较判断是否一致;
步骤A2)如果特征码比较显示一致,则显示出与已知的ROOTKIT特征相一致的文件,分析处理该文件,提示清除ROOTKIT。
7.如权利要求5或6所述的查杀ROOTKIT的方法,其特征在于,所述步骤A)还包括下列步骤:
步骤A1′)服务操作系统(2)中的检测工具(212)向客户操作系统(1)中传输检测工具代理模块(212’),并在客户操作系统(1)中运行并驻留检测工具代理模块(212’);
步骤A2′)服务操作系统(2)中的检测工具(212)在虚拟机监视器(3)中收集客户操作系统(1)打开的文件集以及进程集的信息;
步骤A3′)客户操作系统(1)中的检测工具代理模块(212’)收集客户操作系统(1)打开的文件集以及进程集的信息,并将收集的信息传输给服务操作系统(2)的检测工具(212);
步骤A4′)将所述步骤A2′)中检测工具(212)收集的信息与步骤A3′)中检测工具代理模块(212’)收集的信息进行比较,判断是否相一致;
步骤A5′)如果相一致,则客户操作系统(1)中没有ROOTKIT,检查过程结束;如果不相一致,收集的信息存在差异代码,则报警。
8.根据权利要求7所述的查杀ROOTKIT的方法,其特征在于,所述步骤A5′)还包括下列步骤:
分析收集的信息中不相一致的文件特征码,判断其是否为ROOTKIT,如果是,则将其清除;否则,向客户操作系统(1)提示后结束检查过程。
9.如权利要求5所述查杀ROOTKIT的方法,其特征在于,所述步骤A2)还包括下列步骤:
在清除ROOTKIT后,将受其保护的病毒及木马清除。
10.如权利要求7所述的查杀ROOTKIT的方法,其特征在于,所述收集的信息为文件列表信息或者系统内存状态信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2006100654951A CN100472547C (zh) | 2006-03-21 | 2006-03-21 | 一种查杀rootkit的系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2006100654951A CN100472547C (zh) | 2006-03-21 | 2006-03-21 | 一种查杀rootkit的系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101042719A true CN101042719A (zh) | 2007-09-26 |
| CN100472547C CN100472547C (zh) | 2009-03-25 |
Family
ID=38808223
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2006100654951A Expired - Fee Related CN100472547C (zh) | 2006-03-21 | 2006-03-21 | 一种查杀rootkit的系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100472547C (zh) |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100504904C (zh) * | 2007-12-25 | 2009-06-24 | 北京大学 | 一种Windows隐蔽性恶意软件检测方法 |
| CN101567787B (zh) * | 2008-04-25 | 2011-05-25 | 联想(北京)有限公司 | 一种计算机系统、计算机网络及数据通信方法 |
| CN101499016B (zh) * | 2008-01-31 | 2011-09-21 | 联想(北京)有限公司 | 虚拟机监视器、虚拟机系统及客户操作系统进程处理方法 |
| CN102339371A (zh) * | 2011-09-14 | 2012-02-01 | 奇智软件(北京)有限公司 | 一种检测恶意程序的方法、装置及虚拟机 |
| CN102682229A (zh) * | 2011-03-11 | 2012-09-19 | 北京市国路安信息技术有限公司 | 一种基于虚拟化技术的恶意代码行为检测方法 |
| CN102710664A (zh) * | 2012-06-27 | 2012-10-03 | 苏州奇可思信息科技有限公司 | 一种网络通信系统 |
| CN102724202A (zh) * | 2012-06-27 | 2012-10-10 | 苏州奇可思信息科技有限公司 | 一种网络通信方法 |
| CN103065094A (zh) * | 2011-12-28 | 2013-04-24 | 卡巴斯基实验室封闭式股份公司 | 用于检测目标为计算机引导过程的恶意软件的系统和方法 |
| US8539584B2 (en) | 2010-08-30 | 2013-09-17 | International Business Machines Corporation | Rootkit monitoring agent built into an operating system kernel |
| CN103617069A (zh) * | 2011-09-14 | 2014-03-05 | 北京奇虎科技有限公司 | 恶意程序检测方法和虚拟机 |
| CN103975337A (zh) * | 2011-12-09 | 2014-08-06 | 迈克菲公司 | 预测性堆溢出保护 |
| CN104573511A (zh) * | 2013-10-15 | 2015-04-29 | 联想(北京)有限公司 | 一种查杀内核型病毒的方法及系统 |
| CN106326745A (zh) * | 2016-08-22 | 2017-01-11 | 浪潮电子信息产业股份有限公司 | 一种Linux系统下防止系统调用劫持的方法 |
| CN108038375A (zh) * | 2017-12-21 | 2018-05-15 | 北京星河星云信息技术有限公司 | 一种恶意文件检测方法及装置 |
| CN109977669A (zh) * | 2017-12-28 | 2019-07-05 | 腾讯科技(深圳)有限公司 | 病毒识别方法、装置和计算机设备 |
| CN110505246A (zh) * | 2019-09-25 | 2019-11-26 | 腾讯科技(深圳)有限公司 | 客户端网络通讯检测方法、装置及存储介质 |
-
2006
- 2006-03-21 CN CNB2006100654951A patent/CN100472547C/zh not_active Expired - Fee Related
Cited By (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100504904C (zh) * | 2007-12-25 | 2009-06-24 | 北京大学 | 一种Windows隐蔽性恶意软件检测方法 |
| CN101499016B (zh) * | 2008-01-31 | 2011-09-21 | 联想(北京)有限公司 | 虚拟机监视器、虚拟机系统及客户操作系统进程处理方法 |
| CN101567787B (zh) * | 2008-04-25 | 2011-05-25 | 联想(北京)有限公司 | 一种计算机系统、计算机网络及数据通信方法 |
| US8539584B2 (en) | 2010-08-30 | 2013-09-17 | International Business Machines Corporation | Rootkit monitoring agent built into an operating system kernel |
| US8856932B2 (en) | 2010-08-30 | 2014-10-07 | International Business Machines Corporation | Rootkit monitoring agent built into an operating system kernel |
| CN102682229A (zh) * | 2011-03-11 | 2012-09-19 | 北京市国路安信息技术有限公司 | 一种基于虚拟化技术的恶意代码行为检测方法 |
| CN102682229B (zh) * | 2011-03-11 | 2015-04-01 | 北京市国路安信息技术有限公司 | 一种基于虚拟化技术的恶意代码行为检测方法 |
| CN103617069B (zh) * | 2011-09-14 | 2017-07-04 | 北京奇虎科技有限公司 | 恶意程序检测方法和虚拟机 |
| CN102339371B (zh) * | 2011-09-14 | 2013-12-25 | 奇智软件(北京)有限公司 | 一种检测恶意程序的方法、装置及虚拟机 |
| CN103617069A (zh) * | 2011-09-14 | 2014-03-05 | 北京奇虎科技有限公司 | 恶意程序检测方法和虚拟机 |
| CN102339371A (zh) * | 2011-09-14 | 2012-02-01 | 奇智软件(北京)有限公司 | 一种检测恶意程序的方法、装置及虚拟机 |
| CN103975337A (zh) * | 2011-12-09 | 2014-08-06 | 迈克菲公司 | 预测性堆溢出保护 |
| CN103975337B (zh) * | 2011-12-09 | 2016-09-28 | 迈克菲公司 | 预测性堆溢出保护 |
| CN103065094B (zh) * | 2011-12-28 | 2015-09-02 | 卡巴斯基实验室封闭式股份公司 | 用于检测目标为计算机引导过程的恶意软件的系统和方法 |
| CN103065094A (zh) * | 2011-12-28 | 2013-04-24 | 卡巴斯基实验室封闭式股份公司 | 用于检测目标为计算机引导过程的恶意软件的系统和方法 |
| CN102724202A (zh) * | 2012-06-27 | 2012-10-10 | 苏州奇可思信息科技有限公司 | 一种网络通信方法 |
| CN102710664A (zh) * | 2012-06-27 | 2012-10-03 | 苏州奇可思信息科技有限公司 | 一种网络通信系统 |
| CN104573511A (zh) * | 2013-10-15 | 2015-04-29 | 联想(北京)有限公司 | 一种查杀内核型病毒的方法及系统 |
| CN106326745A (zh) * | 2016-08-22 | 2017-01-11 | 浪潮电子信息产业股份有限公司 | 一种Linux系统下防止系统调用劫持的方法 |
| CN108038375A (zh) * | 2017-12-21 | 2018-05-15 | 北京星河星云信息技术有限公司 | 一种恶意文件检测方法及装置 |
| CN109977669A (zh) * | 2017-12-28 | 2019-07-05 | 腾讯科技(深圳)有限公司 | 病毒识别方法、装置和计算机设备 |
| CN109977669B (zh) * | 2017-12-28 | 2022-05-20 | 腾讯科技(深圳)有限公司 | 病毒识别方法、装置和计算机设备 |
| CN110505246A (zh) * | 2019-09-25 | 2019-11-26 | 腾讯科技(深圳)有限公司 | 客户端网络通讯检测方法、装置及存储介质 |
| CN110505246B (zh) * | 2019-09-25 | 2021-10-08 | 腾讯科技(深圳)有限公司 | 客户端网络通讯检测方法、装置及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN100472547C (zh) | 2009-03-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101042719A (zh) | 一种查杀rootkit的系统及方法 | |
| US11625485B2 (en) | Method of malware detection and system thereof | |
| US9760714B2 (en) | Method, apparatus and system for processing computer virus | |
| CN101986324B (zh) | 用于恶意软件检测的事件的异步处理 | |
| US7340777B1 (en) | In memory heuristic system and method for detecting viruses | |
| US7865953B1 (en) | Methods and arrangement for active malicious web pages discovery | |
| US8516589B2 (en) | Apparatus and method for preventing virus code execution | |
| RU2573265C2 (ru) | Способ выявления ложных положительных результатов сканирования файлов на вредоносное по | |
| EP2701092A1 (en) | Method for identifying malicious executables | |
| US20100077481A1 (en) | Collecting and analyzing malware data | |
| US20070180529A1 (en) | Bypassing software services to detect malware | |
| CN103065092A (zh) | 一种拦截可疑程序运行的方法 | |
| CN101046836A (zh) | 一种清除rootkit的系统及方法 | |
| US9424427B1 (en) | Anti-rootkit systems and methods | |
| KR20160076534A (ko) | 네트워크 활동을 보이는 실행파일들의 분리 | |
| EP1899933B1 (en) | Method for detecting a malicious packed executable | |
| CN1737722A (zh) | 一种检测和防御计算机恶意程序的系统和方法 | |
| CN1900940A (zh) | 计算机安全启动的方法 | |
| CN1375775A (zh) | 网关级计算机网络病毒防范的方法及其装置 | |
| EP2306356B1 (en) | Asynchronous processing of events for malware detection | |
| US8938807B1 (en) | Malware removal without virus pattern | |
| US8756695B1 (en) | Analysis of binary code | |
| RU2583712C2 (ru) | Система и способ обнаружения вредоносных файлов определенного типа | |
| CN115840940A (zh) | 一种无文件木马检测方法、系统、介质及设备 | |
| US20080155264A1 (en) | Anti-virus signature footprint |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090325 Termination date: 20210321 |