CN101154258A - 恶意程序动态行为自动化分析系统与方法 - Google Patents
恶意程序动态行为自动化分析系统与方法 Download PDFInfo
- Publication number
- CN101154258A CN101154258A CNA2007100497550A CN200710049755A CN101154258A CN 101154258 A CN101154258 A CN 101154258A CN A2007100497550 A CNA2007100497550 A CN A2007100497550A CN 200710049755 A CN200710049755 A CN 200710049755A CN 101154258 A CN101154258 A CN 101154258A
- Authority
- CN
- China
- Prior art keywords
- behavior
- virtual execution
- fundamental block
- instruction
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本发明涉及恶意二进制程序动态行为的自动化分析系统与方法。该系统由初始化部件、虚拟执行部件、反汇编部件、行为监控部件和行为分析部件组成。该方法是:初始化部件启动被监视程序,加载虚拟执行部件和行为监控部件。反汇编部件获取目标程序二进制代码流的汇编指令,虚拟执行部件切片生成相应的基本块,行为监控部件判断基本块内是否存在规则库中的恶意行为。若存在,将控制权转移给行为分析部件,记录该恶意行为。返回后虚拟执行基本块中的每条指令。程序执行退出或用户强行中止分析后,行为分析部件提交恶意行为分析报告。本发明支持在虚拟环境中对恶意程序运行行为的完全控制与分析,详细报告将提供针对恶意程序的有效防御方法。
Description
技术领域
本发明涉及恶意程序动态行为自动化分析系统与方法,属于系统安全和网络安全相关领域。本发明用于对未知恶意程序动态行为的粗粒度分析。
背景技术
未知二进制程序的动态行为分析是一项挑战性的任务,它将提供对构建未知软件的核心结构、功能蓝图需要的关键信息。当前有关未知二进制程序分析的研究大都为手动分析方法。
未知二进制程序的手动分析通过人工的调试追踪来发现程序内部的功能,这对分析人员的经验和能力有很高的要求,在通常情况下的分析结果均不完善。随着恶意程序的不断改进,功能也更加复杂,伴随着代码的急剧增加。这给传统的手动分析带来了巨大的挑战。同时,传统的人工调试技术对恶意二进制程序的分析面临很多困难,其中最主要的就是无法完全掌握程序的执行控制流范围,使得恶意程序的很多代码都是在调试器无法追踪的情况下执行的。
因此,当前迫切需要一种新的自动化且高效的二进制程序恶意行为自动化分析系统。该自动化分析系统采用代码虚拟执行环境,针对目标二进制代码流进行切片与执行。不仅能完全控制目标程序的运行指令,并且具有很高的性能和运行效率。同时,支持对进程/线程行为、内存访问行为、文件系统访问行为、注册表系统访问行为和网络访问行为的有效分析,并提供详细的分析报告。
发明内容
有鉴于此,本发明的目的是提供自动化的恶意程序动态行为分析系统和方法。目标是提供一个的高效的分析平台,它支持对恶意程序执行的完全监控,提供对进程、内存、文件、注册表、网络等各类系统资源的恶意访问行为。同时,针对大量的行为记录,经过专业的分析处理,得到详细的分析报告,有助于提供针对恶意代码的主动防御与手动卸载方法。
为了达到上述目的,本发明提供了一种恶意程序动态行为自动化分析系统,其特征在于:该引擎包括了下述组成部件:
初始化部件:恶意行为自动化分析系统首先在监控方式下启动被分析的未知二进制程序,并将虚拟执行部件远程注入到目标二进制程序进程空间内,并初始化虚拟执行部件。同时,加载行为监控部件,其中包含有默认的恶意行为规则库。可通过用户接口添加、删除和修改行为规则库中的内容。
反汇编部件:虚拟执行系统获取目标二进制程序的代码流,由反汇编部件生成对应的汇编代码,逐条分析得到的汇编指令。虚拟执行部件将目标代码流分解成多个指令集,以模拟代码流正常执行的方式执行基本块中的每条指令,该过程实现局部代码执行,而指令集则组成了虚拟执行的基本块。每个基本块是没有包含分支语句的指令序列,在满足以下条件时结束代码流切片:无条件控制转移指令;条件控制转移指令;指定数量的非控制转移指令。反汇编部件用于动态构建与目标代码流相一致的虚拟执行基本块。
虚拟执行部件:虚拟执行部件的结构组成包括:基本块生成模块,基本块缓存模块,基本块预处理模块和虚拟执行部件。基本块生成模块调用反汇编部件,对获取的二进制代码流进行分析,生成不包含控制转移指令的基本块。这就使得目标代码流的所有执行都能够保持在虚拟执行系统的控制范围内。为提高运行效率进行相应的执行预处理,生成的基本块经过执行预处理后存放在基本块缓存内。只有存在于基本块缓存内的代码指令才能执行,原始的目标代码流不能直接执行。基本块预处理模块为了提升系统的运行性能,采用了基本块结合技术和标准代码忽略技术,以此减小运行时的延迟。
行为监控部件:恶意行为自动化分析系统针对虚拟执行部件生成的每个基本块,判断其中是否存在有规则库中的恶意行为指令。若不存在,则由虚拟执行部件虚拟执行各条指令。若存在,则将控制权转移给行为分析部件,由此记录下该恶意行为,之后再将控制权返回给虚拟执行部件。行为监控部件的恶意行为对象组成包括:进程/线程行为模块,内存空间访问行为模块,文件系统访问行为模块,注册表系统访问行为模块,网络系统访问行为模块等。进程/线程模块包括了进程创建行为,进程结束行为,远程线程创建行为,远程线程结束行为,进程悬挂行为,进程激活行为,线程悬挂行为,线程激活行为,进程优先级改变行为,以及进程调试行为,动态链接库加载行为,驱动程序加载行为等。内存空间访问行为模块包括直接访问物理内存行为,远程进程内存空间访问行为等。文件系统访问行为模块主要包括文件的创建行为,删除行为,修改行为等。注册表系统访问行为模块主要包括注册表的键和值的创建行为,删除行为和修改行为等。网络系统访问行为模块包括远程网络的主动连接行为,本地网络的监听行为等。
行为分析部件:恶意行为自动化分析系统根据记录下的恶意行为,按照行为的作用范围和严重程度,对该未知二进制程序的恶意行为进行分析归类。同时,提供针对陔恶意程序有效的防御方法和手动卸载方法。
为了达到上述目的,本发明还提供了一种恶意程序动态行为自动化分析方法,其特征在于:该方法包括了下述操作步骤:
步骤(1),初始化部件启动目标二进制程序;
步骤(2),初始化部件加载虚拟执行部件和行为监控部件;
步骤(3),反汇编部件获取目标程序二进制代码流的汇编指令;
步骤(4),虚拟执行部件切片生成相应的基本块;
步骤(5),行为监控部件判断基本块内是否存在规则库中的恶意行为;
步骤(6),若存在恶意行为,将控制权转移给行为分析部件,记录该恶意行为;
步骤(7),虚拟执行基本块中的每条指令;
步骤(8),停止分析后,行为分析部件提交恶意行为分析报告。
总之,本发明系统与方法的优点简述如下:自动化且高效的二进制程序恶意行为自动化分析系统。该自动化分析系统采用代码虚拟执行环境,针对目标二进制代码流进行切片与执行。不仅能完全控制目标程序的运行指令,并且具有很高的性能和运行效率。同时,支持对进程/线程行为、内存访问行为、文件系统访问行为、注册表系统访问行为和网络访问行为的有效分析,并提供详细的分析报告。
附图说明
图1是本发明恶意程序动态行为自动化分析方法的流程图。
图2是本发明恶意程序动态行为自动化分析系统的总体结构框图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面结合附图对本发明作进一步的详细描述。
参见图1,恶意程序动态行为自动化分析系统的初始化部件首先启动待分析的未知二进制程序,同时还将装载虚拟执行部件和行为监控部件。虚拟执行部件将被装载到目标的二进制程序的进程空间,以实现对目标二进制程序代码流执行的有效控制。行为监控部件包含了默认的安全行为规则库,用户同样可以访问接口来处理这些规则,支持对规则的添加、删除和修改操作。
初始化完成以后,二进制程序便进入了执行状态。虚拟执行部件获取目标二进制程序的代码流,并通过反汇编部件将二进制代码流转换成可识别的汇编代码。针对得到的汇编代码,根据代码切片的原则生成长度在一定范围之内的,且不包含有控制流转移指令的基本块。每个基本块都保存在虚拟执行部件内部的缓存内。
行为监控部件根据得到的每个基本块,判断其中是否存在与恶意行为规则库中匹配的指令。如果存在,则将当前控制权转移给行为分析部件,记录该恶意行为,之后将控制权返回给虚拟执行部件。无论行为监控部件是否发现有恶意行为,所有的基本块都会在虚拟执行部件内执行。
目标二进制程序停止运行,或自动化分析系统停止分析后,行为分析部件将整理得到的行为记录,并由此提供相应的防护措施,以文本的形式提交给用户。
图2为恶意程序动态行为自动化分析系统的总体结构框图。下面将结合附图2,具体介绍本发明的各个组成部件:
反汇编部件
反汇编部件分析虚拟执行系统获取目标二进制程序的代码流,生成对应的每一条汇编指令,逐条分析得到的汇编指令。当遇到控制转移指令,或基本块的累计指令数目超出用户定义的范围时,设置为该基本块的结束。反汇编部件用于动态构建与目标代码流相一致的虚拟执行基本块。
虚拟执行部件将目标代码流分解成多个指令集,以模拟代码流正常执行的方式执行基本块中的指令。这个过程称之为局部执行,而指令集被称为基本块。一个基本块是没有包含分支的指令序列,在满足以下条件发生时结束代码流切片:
(1)无条件控制转移指令;
(2)条件控制转移指令;
(3)规定数量的非控制转移指令。
虚拟执行部件
虚拟执行部件将切片生成的基本块放如虚拟执行部件内部的缓存,并进行相应的执行预处理,目的是为了提高虚拟执行的性能。只有存在于虚拟执行部件缓存中的基本块才能被执行,原始的代码流是不能被执行的。
局部执行开始于目标二进制程序的执行入口地址。虚拟执行部件在忽略目标代码流执行优先级的情况下,以无优先级模式运行单独的基本块。这将确保代码切片虚拟执行系统对执行的指令有完全的控制权。虚拟执行系统可以监视任何对指定内存区域的访问:操作系统内核、资源和动态链接库等。代码切片虚拟执行系统采用虚拟内存机制结合巧妙的技术来监控内存访问。
在虚拟执行部件中不使用任何特定的操作系统函数。虚拟执行系统使用的反汇编器是完全重用的。构架系统为每个线程维持了一个针对基本块结束标志的参数信息块,它不会破坏执行堆栈。这些特性使得虚拟执行系统支持多线程环境。无论基本块结束标志是否存在,执行线程的寄存器看起来都是没有差异的。基本块结束标志支持进程或操作系统内核的自动线程监视。这是一个自动将目标进程中代码流切片的特性。
行为监控部件
恶意行为自动化分析系统针对虚拟执行部件生成的每个基本块,判断其中是否存在有规则库中的恶意行为指令。若不存在,则由虚拟执行部件虚拟执行各条指令。若存在,则将控制权转移给行为分析部件,由此记录下该恶意行为,之后再将控制权返回给虚拟执行部件。行为监控部件的恶意行为对象组成包括:进程/线程行为模块,内存空间访问行为模块,文件系统访问行为模块,注册表系统访问行为模块,网络系统访问行为模块等。进程/线程模块包括了进程创建行为,进程结束行为,远程线程创建行为,远程线程结束行为,进程悬挂行为,进程激活行为,线程悬挂行为,线程激活行为,进程优先级改变行为,以及进程调试行为,动态链接库加载行为,驱动程序加载行为等。内存空间访问行为模块包括直接访问物理内存行为,远程进程内存空间访问行为等。文件系统访问行为模块主要包括文件的创建行为,删除行为,修改行为等。注册表系统访问行为模块主要包括注册表的键和值的创建行为,删除行为和修改行为等。网络系统访问行为模块包括远程网络的主动连接行为,本地网络的监听行为等。
行为分析部件
恶意行为自动化分析系统根据记录下的恶意行为,按照行为的作用范围和严重程度,对该未知二进制程序的恶意行为进行分析归类。同时,提供针对该恶意程序有效的防御方法和手动卸载方法。行为分析部件的分析报告包含了未知二进制程序文件的基本信息、进程/线程信息、内存信息、文件信息、注册表信息、网络信息和模块信息。
基本信息包括未知二进制程序的文件大小,创建日期,模块信息,PE文件信息等。进程/线程信息包含了该二进制程序在运行过程中创建的新进程/线程,结束的进程/线程,访问的远程进程/线程等。
内存信息针对一些特殊内存区域的访问,如物理内存直接访问行为,操作系统核心关键内存区域的访问行为等。
文件信息则主要是包括了对系统目录文件的访问,如创建隐蔽的文件于系统目录之中,或是修改系统目录下的关键文件信息。还包括恶意程序创建的所有新文件、修改或移动过的文件等。
注册表信息主要是包含了与自启动相关的注册表项和键值的修改、创建等,因为恶意程序往往通过修改注册表来使得系统重新启动后仍然能够继续执行恶意程序副本。
网络信息主要包括与外界的通信情况,包括远程访问的网络地址,本地监听的网络端口,以及传输的网络信息内容。还包括一些上层应用的网络信息,如远程端口扫描行为,枚举邮件列表中的所有地址以发送邮件,访问网上邻居等行为。
模块信息包含了对动态链接库文件和驱动文件加载行为和卸载行为的记录。为了隐藏进程,恶意程序往往会以动态链接库的形式将执行代码驻入到远程进程空间里面,最后在操作系统中存在的就是已知进程执行了恶意程序在动态链接库中的代码,未产生新的进程。为了提升权限,恶意代码往往会加载驱动程序,使得有访问操作系统内核的能力。
手动卸载信息包括恶意代码运行时存在的进程和线程,首先需要结束这些存在的动态进程/线程。动态加载的动态链接库和驱动程序文件,也需要动态卸载。之后,在系统中存在的将包含一些永久性信息,如创建的文件、修改过的文件,以及在注册表中创建、修改过的信息。注册表的所有信息也是以文件的方式保存在操作系统中的。
Claims (5)
1.恶意程序动态行为自动化分析系统,其特征在于包括如下组成部件:
初始化部件:恶意行为自动化分析系统首先在监控方式下启动被分析的未知二进制程序,并将虚拟执行部件远程注入到目标二进制程序进程空间内,并初始化虚拟执行部件。同时,加载行为监控部件,其中包含有默认的恶意行为规则库。可通过用户接口添加、删除和修改行为规则库中的内容。
反汇编部件:恶意行为自动化分析系统获取目标二进制程序的代码流,由反汇编部件生成对应的汇编代码,逐条分析得到的汇编指令。反汇编部件用于动态构建与目标代码流相一致的汇编指令流。
虚拟执行部件:恶意行为自动化分析系统针对反汇编部件生成的目标程序汇编指令流,当遇到控制转移指令,或基本块的累计指令数目超出用户定义的范围时,设置为该基本块的结束。同时,虚拟执行部件以虚拟执行的方式执行基本块中的每条指令。
行为监控部件:恶意行为自动化分析系统针对虚拟执行部件生成的每个基本块,判断其中是否存在有规则库中的恶意行为指令。若不存在,则由虚拟执行部件虚拟执行各条指令。若存在,将控制权转移给行为分析部件,记录下该恶意行为,之后将控制权返回给虚拟执行部件。
行为分析部件:恶意行为自动化分析系统根据记录下的恶意行为,按照行为的作用范围和严重程度,对该未知二进制程序的恶意行为进行分析归类。同时,提供针对该恶意程序有效的防御方法和手动卸载方法。
2.根据权利要求1所述的恶意程序动态行为自动化分析系统,其特征在于:虚拟执行部件的结构组成包括:基本块生成模块,基本块缓存模块,基本块预处理模块和虚拟执行模块。基本块生成模块调用反汇编部件,对获取的二进制代码流进行分析,生成不包含控制转移指令的基本块。这就使得目标代码流的所有执行都能够保持在虚拟执行系统的控制范围内。生成的基本块存放在基本块缓存内后,经过执行预处理条运行效率。只有存在于基本块缓存内的代码指令才能执行,原始的目标代码流不能直接执行。基本块预处理模块为了提升系统的运行性能,采用了基本块结合技术和标准代码忽略技术,以此减小运行时的延迟。
3.根据权利要求1所述的恶意程序动态行为自动化分析系统,其特征在于:行为监控部件的恶意行为对象组成包括:进程/线程行为模块,内存空间访问行为模块,文件系统访问行为模块,注册表系统访问行为模块,网络系统访问行为模块等。进程/线程模块包括了进程创建行为,进程结束行为,远程线程创建行为,远程线程结束行为,进程悬挂行为,进程激活行为,线程悬挂行为,线程激活行为,进程优先级改变行为,以及进程调试行为,动态链接库加载行为,驱动程序加载行为等。内存空间访问行为模块包括直接访问物理内存行为,远程进程内存空间访问行为等。文件系统访问行为模块主要包括文件的创建行为,删除行为,修改行为等。注册表系统访问行为模块主要包括注册表的键和值的创建行为,删除行为和修改行为等。网络系统访问行为模块包括远程网络的主动连接行为,本地网络的监听行为等。
4.根据权利要求1所述的恶意程序动态行为自动化分析方法,其特征在于:
步骤(1),初始化部件启动目标二进制程序;
步骤(2),加载虚拟执行部件和行为监控部件;
步骤(3),反汇编部件获取目标程序二进制代码流的汇编指令;
步骤(4),虚拟执行部件切片生成相应的基本块;
步骤(5),行为监控部件判断基本块内是否存在规则库中的恶意行为;
步骤(6),若存在恶意行为,将控制权转移给行为分析部件,记录该恶意行为;
步骤(7),虚拟执行基本块中的每条指令;
步骤(8),停止分析后,行为分析部件提交恶意行为分析报告。
5.根据权利要求4所述的恶意程序动态行为自动化分析方法,其特征在于:虚拟执行部件将目标代码流分解成多个指令集,以模拟代码流正常执行的方式执行基本块中的每条指令,该过程实现代码的局部执行,而指令集则组成了虚拟执行的基本块。每个基本块是没有包含分支语句的指令序列,在满足以下条件发生时结束代码流切片:无条件控制转移指令;条件控制转移指令;规定数量的非控制转移指令集。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2007100497550A CN101154258A (zh) | 2007-08-14 | 2007-08-14 | 恶意程序动态行为自动化分析系统与方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2007100497550A CN101154258A (zh) | 2007-08-14 | 2007-08-14 | 恶意程序动态行为自动化分析系统与方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101154258A true CN101154258A (zh) | 2008-04-02 |
Family
ID=39255908
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA2007100497550A Pending CN101154258A (zh) | 2007-08-14 | 2007-08-14 | 恶意程序动态行为自动化分析系统与方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101154258A (zh) |
Cited By (40)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2009143742A1 (zh) * | 2008-05-30 | 2009-12-03 | 成都市华为赛门铁克科技有限公司 | 一种可疑文件分析方法及系统 |
CN101848092A (zh) * | 2009-03-25 | 2010-09-29 | 华为技术有限公司 | 恶意代码检测方法和装置 |
CN101924754A (zh) * | 2010-07-15 | 2010-12-22 | 国家计算机网络与信息安全管理中心 | 一种恶意代码控制端主动发现方法及装置 |
CN101944167A (zh) * | 2010-09-29 | 2011-01-12 | 中国科学院计算技术研究所 | 识别恶意程序的方法及系统 |
CN102012987A (zh) * | 2010-12-02 | 2011-04-13 | 李清宝 | 自动二进制恶意代码行为分析系统 |
CN101604365B (zh) * | 2009-07-10 | 2011-08-17 | 珠海金山软件有限公司 | 确定计算机恶意程序样本家族数的系统和方法 |
CN102194080A (zh) * | 2011-06-13 | 2011-09-21 | 西安交通大学 | 一种基于内核虚拟机的rootkit检测机制及检测方法 |
CN102819697A (zh) * | 2011-12-26 | 2012-12-12 | 哈尔滨安天科技股份有限公司 | 一种基于线程反编译的多平台恶意代码检测方法和系统 |
WO2013037261A1 (zh) * | 2011-09-14 | 2013-03-21 | 北京奇虎科技有限公司 | 一种检测恶意程序的方法、装置及虚拟机 |
CN103019865A (zh) * | 2012-12-28 | 2013-04-03 | 北京神州绿盟信息安全科技股份有限公司 | 虚拟机监控方法和系统 |
CN102004884B (zh) * | 2009-08-28 | 2013-04-17 | 华为技术有限公司 | 一种获取可执行文件输入表的方法及装置 |
CN103186740A (zh) * | 2011-12-27 | 2013-07-03 | 北京大学 | 一种Android恶意软件的自动化检测方法 |
CN103440457A (zh) * | 2013-08-20 | 2013-12-11 | 上海交通大学 | 基于进程模拟的二进制程序分析系统 |
CN103679026A (zh) * | 2013-12-03 | 2014-03-26 | 西安电子科技大学 | 一种云计算环境下的恶意程序智能防御系统及防御方法 |
CN103810222A (zh) * | 2012-11-15 | 2014-05-21 | 北京金山安全软件有限公司 | 样本文件的处理方法及装置 |
CN103902903A (zh) * | 2013-11-12 | 2014-07-02 | 国家计算机网络与信息安全管理中心 | 基于动态沙箱环境的恶意代码分析方法及系统 |
CN104123499A (zh) * | 2014-07-18 | 2014-10-29 | 北京金山安全软件有限公司 | 一种利用Android设备管理器对抗卸载的软件的识别方法及装置 |
CN104331664A (zh) * | 2014-11-27 | 2015-02-04 | 南京大学 | 一种在取证场景下自动分析未知恶意程序特征的方法 |
CN104392177A (zh) * | 2014-12-16 | 2015-03-04 | 武汉虹旭信息技术有限责任公司 | 基于安卓平台的病毒取证系统及其方法 |
CN104462962A (zh) * | 2013-09-13 | 2015-03-25 | 北京安赛创想科技有限公司 | 一种检测未知恶意代码和二进制漏洞的方法 |
CN105787369A (zh) * | 2016-02-29 | 2016-07-20 | 南京邮电大学 | 基于切片度量的Android软件安全分析方法 |
CN103914657B (zh) * | 2014-04-16 | 2016-10-19 | 南京大学 | 一种基于函数特征的恶意程序检测方法 |
CN106685961A (zh) * | 2016-12-28 | 2017-05-17 | 北京安天网络安全技术有限公司 | 一种atm安全防御系统及方法 |
CN106850562A (zh) * | 2016-12-28 | 2017-06-13 | 北京安天网络安全技术有限公司 | 一种恶意外设检测系统及方法 |
CN107040515A (zh) * | 2016-12-28 | 2017-08-11 | 北京安天网络安全技术有限公司 | 一种atm安全防御检测系统及方法 |
CN107077412A (zh) * | 2014-06-24 | 2017-08-18 | 弗塞克系统公司 | 单层或n层应用的自动化根本原因分析 |
CN109918907A (zh) * | 2019-01-30 | 2019-06-21 | 国家计算机网络与信息安全管理中心 | Linux平台进程内存恶意代码取证方法、控制器及介质 |
CN111143839A (zh) * | 2019-12-30 | 2020-05-12 | 厦门服云信息科技有限公司 | 一种基于虚拟化行为分析技术的恶意代码检测方法及装置 |
CN111291368A (zh) * | 2018-12-07 | 2020-06-16 | 北京奇虎科技有限公司 | Cpu漏洞的防御方法及系统 |
CN111382440A (zh) * | 2018-12-27 | 2020-07-07 | 北京奇虎科技有限公司 | 基于虚拟机实现的cpu漏洞检测方法及系统 |
CN111414616A (zh) * | 2020-03-03 | 2020-07-14 | 清华大学深圳国际研究生院 | Sgx恶意软件检测方法及系统 |
CN111444509A (zh) * | 2018-12-27 | 2020-07-24 | 北京奇虎科技有限公司 | 基于虚拟机实现的cpu漏洞检测方法及系统 |
US11113407B2 (en) | 2014-06-24 | 2021-09-07 | Virsec Systems, Inc. | System and methods for automated detection of input and output validation and resource management vulnerability |
CN113468075A (zh) * | 2021-08-14 | 2021-10-01 | 康剑萍 | 一种服务器端软件的安全测试方法和系统 |
US11146572B2 (en) | 2013-09-12 | 2021-10-12 | Virsec Systems, Inc. | Automated runtime detection of malware |
CN113672918A (zh) * | 2021-08-04 | 2021-11-19 | 安天科技集团股份有限公司 | 恶意代码检测方法、装置、存储介质及电子设备 |
US11409870B2 (en) | 2016-06-16 | 2022-08-09 | Virsec Systems, Inc. | Systems and methods for remediating memory corruption in a computer application |
CN115544504A (zh) * | 2022-09-23 | 2022-12-30 | 国网山西省电力公司 | 一种检测恶意代码的方法和装置 |
US11599634B1 (en) | 2006-02-09 | 2023-03-07 | Virsec Systems, Inc. | System and methods for run time detection and correction of memory corruption |
CN116910768A (zh) * | 2023-09-08 | 2023-10-20 | 苏州浪潮智能科技有限公司 | 一种防御攻击方法、系统、装置及介质 |
-
2007
- 2007-08-14 CN CNA2007100497550A patent/CN101154258A/zh active Pending
Cited By (57)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11599634B1 (en) | 2006-02-09 | 2023-03-07 | Virsec Systems, Inc. | System and methods for run time detection and correction of memory corruption |
WO2009143742A1 (zh) * | 2008-05-30 | 2009-12-03 | 成都市华为赛门铁克科技有限公司 | 一种可疑文件分析方法及系统 |
CN101848092A (zh) * | 2009-03-25 | 2010-09-29 | 华为技术有限公司 | 恶意代码检测方法和装置 |
CN101604365B (zh) * | 2009-07-10 | 2011-08-17 | 珠海金山软件有限公司 | 确定计算机恶意程序样本家族数的系统和方法 |
CN102004884B (zh) * | 2009-08-28 | 2013-04-17 | 华为技术有限公司 | 一种获取可执行文件输入表的方法及装置 |
CN101924754B (zh) * | 2010-07-15 | 2013-07-31 | 国家计算机网络与信息安全管理中心 | 一种恶意代码控制端主动发现方法及装置 |
CN101924754A (zh) * | 2010-07-15 | 2010-12-22 | 国家计算机网络与信息安全管理中心 | 一种恶意代码控制端主动发现方法及装置 |
CN101944167A (zh) * | 2010-09-29 | 2011-01-12 | 中国科学院计算技术研究所 | 识别恶意程序的方法及系统 |
CN101944167B (zh) * | 2010-09-29 | 2011-12-21 | 中国科学院计算技术研究所 | 识别恶意程序的方法及系统 |
CN102012987B (zh) * | 2010-12-02 | 2013-03-13 | 李清宝 | 自动二进制恶意代码行为分析系统 |
CN102012987A (zh) * | 2010-12-02 | 2011-04-13 | 李清宝 | 自动二进制恶意代码行为分析系统 |
CN102194080A (zh) * | 2011-06-13 | 2011-09-21 | 西安交通大学 | 一种基于内核虚拟机的rootkit检测机制及检测方法 |
WO2013037261A1 (zh) * | 2011-09-14 | 2013-03-21 | 北京奇虎科技有限公司 | 一种检测恶意程序的方法、装置及虚拟机 |
US10146938B2 (en) | 2011-09-14 | 2018-12-04 | Beijing Qihoo Technology Company Limited | Method, apparatus and virtual machine for detecting malicious program |
CN102819697B (zh) * | 2011-12-26 | 2015-07-22 | 哈尔滨安天科技股份有限公司 | 一种基于线程反编译的多平台恶意代码检测方法和系统 |
CN102819697A (zh) * | 2011-12-26 | 2012-12-12 | 哈尔滨安天科技股份有限公司 | 一种基于线程反编译的多平台恶意代码检测方法和系统 |
CN103186740A (zh) * | 2011-12-27 | 2013-07-03 | 北京大学 | 一种Android恶意软件的自动化检测方法 |
CN103186740B (zh) * | 2011-12-27 | 2015-09-23 | 北京大学 | 一种Android恶意软件的自动化检测方法 |
CN103810222A (zh) * | 2012-11-15 | 2014-05-21 | 北京金山安全软件有限公司 | 样本文件的处理方法及装置 |
CN103019865B (zh) * | 2012-12-28 | 2015-07-15 | 北京神州绿盟信息安全科技股份有限公司 | 虚拟机监控方法和系统 |
CN103019865A (zh) * | 2012-12-28 | 2013-04-03 | 北京神州绿盟信息安全科技股份有限公司 | 虚拟机监控方法和系统 |
CN103440457B (zh) * | 2013-08-20 | 2015-12-09 | 上海交通大学 | 基于进程模拟的二进制程序分析系统 |
CN103440457A (zh) * | 2013-08-20 | 2013-12-11 | 上海交通大学 | 基于进程模拟的二进制程序分析系统 |
US11146572B2 (en) | 2013-09-12 | 2021-10-12 | Virsec Systems, Inc. | Automated runtime detection of malware |
CN104462962A (zh) * | 2013-09-13 | 2015-03-25 | 北京安赛创想科技有限公司 | 一种检测未知恶意代码和二进制漏洞的方法 |
CN104462962B (zh) * | 2013-09-13 | 2018-07-03 | 北京安赛创想科技有限公司 | 一种检测未知恶意代码和二进制漏洞的方法 |
CN103902903A (zh) * | 2013-11-12 | 2014-07-02 | 国家计算机网络与信息安全管理中心 | 基于动态沙箱环境的恶意代码分析方法及系统 |
CN103679026B (zh) * | 2013-12-03 | 2016-11-16 | 西安电子科技大学 | 一种云计算环境下的恶意程序智能防御系统及防御方法 |
CN103679026A (zh) * | 2013-12-03 | 2014-03-26 | 西安电子科技大学 | 一种云计算环境下的恶意程序智能防御系统及防御方法 |
CN103914657B (zh) * | 2014-04-16 | 2016-10-19 | 南京大学 | 一种基于函数特征的恶意程序检测方法 |
CN107077412A (zh) * | 2014-06-24 | 2017-08-18 | 弗塞克系统公司 | 单层或n层应用的自动化根本原因分析 |
CN107077412B (zh) * | 2014-06-24 | 2022-04-08 | 弗塞克系统公司 | 单层或n层应用的自动化根本原因分析 |
US11113407B2 (en) | 2014-06-24 | 2021-09-07 | Virsec Systems, Inc. | System and methods for automated detection of input and output validation and resource management vulnerability |
WO2016008355A1 (zh) * | 2014-07-18 | 2016-01-21 | 北京金山安全软件有限公司 | 一种利用Android设备管理器对抗卸载的软件的识别方法及装置 |
CN104123499A (zh) * | 2014-07-18 | 2014-10-29 | 北京金山安全软件有限公司 | 一种利用Android设备管理器对抗卸载的软件的识别方法及装置 |
CN104331664B (zh) * | 2014-11-27 | 2017-08-08 | 南京大学 | 一种在取证场景下自动分析未知恶意程序特征的方法 |
CN104331664A (zh) * | 2014-11-27 | 2015-02-04 | 南京大学 | 一种在取证场景下自动分析未知恶意程序特征的方法 |
CN104392177A (zh) * | 2014-12-16 | 2015-03-04 | 武汉虹旭信息技术有限责任公司 | 基于安卓平台的病毒取证系统及其方法 |
CN105787369A (zh) * | 2016-02-29 | 2016-07-20 | 南京邮电大学 | 基于切片度量的Android软件安全分析方法 |
CN105787369B (zh) * | 2016-02-29 | 2018-08-17 | 南京邮电大学 | 基于切片度量的Android软件安全分析方法 |
US11409870B2 (en) | 2016-06-16 | 2022-08-09 | Virsec Systems, Inc. | Systems and methods for remediating memory corruption in a computer application |
CN106850562A (zh) * | 2016-12-28 | 2017-06-13 | 北京安天网络安全技术有限公司 | 一种恶意外设检测系统及方法 |
CN106685961A (zh) * | 2016-12-28 | 2017-05-17 | 北京安天网络安全技术有限公司 | 一种atm安全防御系统及方法 |
CN107040515A (zh) * | 2016-12-28 | 2017-08-11 | 北京安天网络安全技术有限公司 | 一种atm安全防御检测系统及方法 |
CN111291368A (zh) * | 2018-12-07 | 2020-06-16 | 北京奇虎科技有限公司 | Cpu漏洞的防御方法及系统 |
CN111444509A (zh) * | 2018-12-27 | 2020-07-24 | 北京奇虎科技有限公司 | 基于虚拟机实现的cpu漏洞检测方法及系统 |
CN111382440A (zh) * | 2018-12-27 | 2020-07-07 | 北京奇虎科技有限公司 | 基于虚拟机实现的cpu漏洞检测方法及系统 |
CN109918907A (zh) * | 2019-01-30 | 2019-06-21 | 国家计算机网络与信息安全管理中心 | Linux平台进程内存恶意代码取证方法、控制器及介质 |
CN111143839A (zh) * | 2019-12-30 | 2020-05-12 | 厦门服云信息科技有限公司 | 一种基于虚拟化行为分析技术的恶意代码检测方法及装置 |
CN111414616A (zh) * | 2020-03-03 | 2020-07-14 | 清华大学深圳国际研究生院 | Sgx恶意软件检测方法及系统 |
CN111414616B (zh) * | 2020-03-03 | 2023-03-28 | 清华大学深圳国际研究生院 | Sgx恶意软件检测方法及系统 |
CN113672918A (zh) * | 2021-08-04 | 2021-11-19 | 安天科技集团股份有限公司 | 恶意代码检测方法、装置、存储介质及电子设备 |
CN113468075A (zh) * | 2021-08-14 | 2021-10-01 | 康剑萍 | 一种服务器端软件的安全测试方法和系统 |
CN115544504A (zh) * | 2022-09-23 | 2022-12-30 | 国网山西省电力公司 | 一种检测恶意代码的方法和装置 |
CN115544504B (zh) * | 2022-09-23 | 2023-12-29 | 国网山西省电力公司 | 一种检测恶意代码的方法和装置 |
CN116910768A (zh) * | 2023-09-08 | 2023-10-20 | 苏州浪潮智能科技有限公司 | 一种防御攻击方法、系统、装置及介质 |
CN116910768B (zh) * | 2023-09-08 | 2024-01-23 | 苏州浪潮智能科技有限公司 | 一种防御攻击方法、系统、装置及介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101154258A (zh) | 恶意程序动态行为自动化分析系统与方法 | |
JP6644001B2 (ja) | ウイルス処理方法、装置、システム、機器及びコンピュータ記憶媒体 | |
CN106156186B (zh) | 一种数据模型管理装置、服务器及数据处理方法 | |
CN109688097B (zh) | 网站防护方法、网站防护装置、网站防护设备及存储介质 | |
Ohm et al. | Towards detection of software supply chain attacks by forensic artifacts | |
US11086983B2 (en) | System and method for authenticating safe software | |
CN102314561B (zh) | 基于api hook的恶意代码自动分析方法和系统 | |
CN101098226B (zh) | 一种病毒在线实时处理系统及其方法 | |
CN103839003A (zh) | 恶意文件检测方法及装置 | |
CN104102878B (zh) | 一种Linux平台下的恶意代码分析方法及系统 | |
CN102332072A (zh) | 用于检测恶意软件和管理恶意软件相关信息的系统和方法 | |
CN101959193A (zh) | 一种信息安全检测方法及移动终端 | |
CN100501757C (zh) | 基于代码切片的虚拟执行系统与方法 | |
CN101154257A (zh) | 基于漏洞特征的动态执行补丁方法 | |
CN101154259A (zh) | 通用自动化脱壳引擎与方法 | |
JP6282217B2 (ja) | 不正プログラム対策システムおよび不正プログラム対策方法 | |
CN112989330A (zh) | 容器的入侵检测方法、装置、电子设备及存储介质 | |
JP5752642B2 (ja) | 監視装置および監視方法 | |
CN104461742A (zh) | 计算设备优化方法及装置 | |
CN105718307A (zh) | 进程管理方法及进程管理装置 | |
Sadeghi et al. | Mining the categorized software repositories to improve the analysis of security vulnerabilities | |
CN106529281A (zh) | 一种可执行文件处理方法及装置 | |
Lau | Scan code injection flaws in html5-based mobile applications | |
CN105550573A (zh) | 拦截捆绑软件的方法和装置 | |
CN102999719B (zh) | 一种基于硬件模拟器的恶意代码在线分析方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |