CN101350049A - 鉴定病毒文件的方法、装置及网络设备 - Google Patents

鉴定病毒文件的方法、装置及网络设备 Download PDF

Info

Publication number
CN101350049A
CN101350049A CNA2007100291685A CN200710029168A CN101350049A CN 101350049 A CN101350049 A CN 101350049A CN A2007100291685 A CNA2007100291685 A CN A2007100291685A CN 200710029168 A CN200710029168 A CN 200710029168A CN 101350049 A CN101350049 A CN 101350049A
Authority
CN
China
Prior art keywords
apocrypha
virus
file
virtual system
behavior
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CNA2007100291685A
Other languages
English (en)
Other versions
CN100595778C (zh
Inventor
姚辉
赵闽
李敏
肖凯
李伟健
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Kingsoft Internet Security Software Co Ltd
Original Assignee
Zhuhai Kingsoft Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhuhai Kingsoft Software Co Ltd filed Critical Zhuhai Kingsoft Software Co Ltd
Priority to CN200710029168A priority Critical patent/CN100595778C/zh
Publication of CN101350049A publication Critical patent/CN101350049A/zh
Application granted granted Critical
Publication of CN100595778C publication Critical patent/CN100595778C/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明提供的鉴定病毒文件的方法,首先建立虚拟系统,在该虚拟系统中运行可疑文件,记录所述可疑文件的行为信息;根据所述行为信息和病毒行为特征库,判断所述可疑文件是否为病毒文件,如果是,则将所述可疑文件标识为病毒文件;否则,将所述可疑文件标识为安全文件。本发明还提供了鉴定病毒文件的装置,包括虚拟系统模块,用于建立模拟系统,将可疑文件的行为定向至虚拟系统,运行可疑文件;行为信息收集模块,用于记录所述可疑文件的行为信息;行为特征分析模块,用于根据所述行为信息和病毒行为特征库,判断所述可疑文件为病毒时,将所述可疑文件标识为病毒;判断所述可疑文件为安全文件时,将所述可疑文件标识为安全文件。

Description

鉴定病毒文件的方法、装置及网络设备
技术领域
本发明涉及计算机反病毒技术领域。
背景技术
近年来,互联网上流行的病毒和木马通常不是单个发作,而是一类的大量变种在互联网上活动,且可频繁升级,因此很容易发生大量的病毒或木马爆发的局面。这对反病毒产品升级的周期提出了更高的要求,反病毒产品的升级速度对是否能有效防杀大量的病毒和木马起到重要的作用。
目前反病毒最成熟的技术之一是特征法。特征法一般包括病毒分析、特征提取、病毒库制作和升级等过程,而这些过程中,鉴定可疑文件是否为病毒的病毒分析过程是最耗时的过程之一。
一种分析病毒的方法是动态分析。动态分析的主要过程是,在用户系统中运行可疑文件,利用半自动工具记录所述可疑文件运行时的行为,通过系统运行前和运行后的比较,得出可疑文件运行后对系统的改动结果,然后对所述结果进行对比、分析,最终确认所述可疑文件是否为病毒,如果所述可疑文件为病毒,则需要重启系统,对系统进行恢复,再继续对下一个可疑文件进行分析。
上述病毒分析方法的不足之处在于,在该方法中,可疑文件在计算机系统中运行,如果该可疑文件是病毒,则会对系统造成损害,在病毒分析过程中为了减少病毒的危害性,需要重启系统对系统进行还原修复,而重启动作使得病毒分析的过程大为延长,从而影响反病毒产品的升级周期;另外,如果病毒使系统崩溃,则需要重装系统,这将更为延长反病毒产品的升级周期。
发明内容
本发明提供一种鉴定病毒文件的方法、装置及网络设备,能够缩短鉴定病毒文件的时间,提高了病毒分析的效率。
为达到上述发明目的,本发明提出以下的技术方案:
本发明提供了鉴定病毒文件的方法:首先建立虚拟系统,在该虚拟系统中运行可疑文件,记录所述可疑文件的行为信息;根据所述行为信息和病毒行为特征库,判断所述可疑文件是否为病毒文件,如果是,则将所述可疑文件标识为病毒文件;否则,将所述可疑文件标识为安全文件。
本发明还提供了鉴定病毒文件的装置,该装置包括:
虚拟系统模块,用于建立模拟系统,将可疑文件的行为定向至虚拟系统,运行可疑文件;
行为信息收集模块,用于记录所述可疑文件的行为信息;
行为特征分析模块,用于根据所述行为信息和病毒行为特征库,判断所述可疑文件为病毒时,将所述可疑文件标识为病毒;判断所述可疑文件为安全文件时,将所述可疑文件标识为安全文件。
另外,针对与上述鉴定病毒文件的方法及装置,本发明还提供了一种网络设备,包括:处理器以及处理器所执行的一个或多个指令,所述处理器执行所述指令时,用于实现以下步骤:
建立虚拟系统,在该虚拟系统中运行可疑文件,记录所述可疑文件的行为信息;
根据所述行为信息和病毒行为特征库,判断所述可疑文件是否为病毒文件,如果是,则将所述可疑文件标识为病毒文件;否则,将所述可疑文件标识为安全文件。
本发明还提供一种存储介质,用于存储一个或多个用于鉴定病毒文件的指令,所述指令在被执行时用于完成以下步骤:
建立虚拟系统,在该虚拟系统中运行可疑文件,记录所述可疑文件的行为信息;根据所述行为信息和病毒行为特征库,判断所述可疑文件是否为病毒文件,如果是,则将所述可疑文件标识为病毒文件;否则,将所述可疑文件标识为安全文件。
在本发明中,由于建立了虚拟系统,在病毒分析过程中,使可疑文件在虚拟的系统中运行,对真实的系统没有损害,一个文件鉴定完毕,只需放弃其在虚拟系统的行为结果即可,而无需对系统进行重启修复,因此系统恢复速度快,节约的大量分析时间,提高了鉴定病毒的效率。
附图说明
图1为一个实施例中鉴定病毒文件的流程图;
图2为一个实施例中鉴定病毒文件的装置的逻辑框图。
具体实施方式
在病毒分析的过程中,鉴定一个可疑文件是否为病毒文件,通常是通过对该文件的运行时的行为进行分析,从而确认是否为病毒文件。请参阅图1,本发明提供一种鉴定病毒文件的方法,首先在系统中构造虚拟系统(S101),当发现可疑文件时,令可疑文件在该虚拟系统中运行,并记录可疑文件的行为信息(S102);并将行为信息和病毒行为特征库进行比对(S103),判断所述可疑文件是否为病毒文件(S104),如果是,则将所述可疑文件标识为病毒文件(S105);否则,将所述可疑文件标识为安全文件(S106)。
对于步骤S101,虚拟系统可以通过使用计算机程序监控系统关键API、以及模拟真实系统某些功能的方式构建一种虚拟框架,可以模拟真实的系统加载程序的过程,以便使可疑文件作用于真实系统的行为能够被重定向与该虚拟系统中。
对于步骤S102,当通过模拟系统对可疑文件进行加载后,令其在虚拟系统中运行,当可疑文件需要执行某个行为时,通常需要发出行为请求消息,此时虚拟系统根据可疑文件的行为请求消息,向所述可疑文件返回所述行为成功消息,当可疑文件收到成功消息后认为前述的行为成功,因此继续运行下一行为。例如,假设一个可疑文件的行为是打开一个IE、链接到一个网站,在收集到可疑文件的该行为请求消息后,虚拟系统向该可疑文件行为发出消息:打开IE及网站链接成功,在接收到该成功消息后,这个可疑文件认为这个成功是真实的,从而进行下一步的动作。对于步骤S102,对可疑文件在虚拟系统中执行的行为信息进行记录,由于真实的操作系统没有执行对应于该可疑文件的行为动作,因此,在可疑文件进行下一步的动作之后,以同样的方式进行记录该行为的行为信息。在一个实施例中,由计算机系统来进行上述记录过程,可以将记录结果存放到数据库里,也可以存放为某种文件格式、日志、分析报告或者当该可疑文件是用户上报上来的时候,可以将记录结果回馈给用户等。
对于步骤S103,当该可疑文件在虚拟系统中的运行完成后,对所记录的所有的行为信息进行分析,在一个实施例中,通过分析虚拟系统运行前和运行后的变化获得可疑文件运行后对系统的改动结果,行为信息可以是可疑文件对系统的改动结果,可以包括对虚拟系统的注册表、文件、网络或进程等的影响。以对文件的改动为例,可以包括对文件的感染、修改、添加和删除。将行为信息与行为特征库进行比对,如果行为特征库中存在这个可疑文件的行为信息,则将其标识为病毒,进行下一步的处理工作,如果不存在,则认为该可疑文件是正常的行为特征,让它在真实的系统上真实运行。
作为本发明的进一步改进,在一个实施例中,对于行为特征库中存在的行为特征,可以设定相应的权值,当将行为信息与行为特征库进行比对时,将行为特征库中对应的各权值进行相加,当权值大于某个设定值时,则判定该可疑文件为病毒了。
另外,由于在对可疑文件的行为进行分析时需要考虑到各行为的权值之和,为了进一步加强对可疑文件分析的准确性,一个实施例中对所有的可疑文件依次进行分析,并且对每个可疑文件的行为进行分析时,将该可疑文件的每个行为分别进行分析,以避免多个行为的权值之间相互影响,造成误判。
以下列举一个对行为特征库中的行为特征设定权值的实例,在该实例中设定当可疑文件的各行为的权值大于3时,该可疑文件为病毒。
在该实施例中,行为特征库中可以包括以下行为特征:
一、注册表行为特征:
1、在注册表中添加启动项:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
在该实施例中将行为特征库中的该行为特征的权值设置为2;
2、删除以下注册表键值,破坏系统的安全模式,导致用户不能选择进入安全模式:
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\SafeBoot
在该实施例中将行为特征库中的该行为特征的权值设置为4;
二、文件行为
1、将可疑文件自身复制到系统目录,在\Windows\system32\复制一个名为svch0st.exe的病毒本体。
在该实施例中将行为特征库中的该行为特征的权值设置为2;
2、同时枚举d-z的分区生成文件autorun.inf和病毒体本身(auto.exe),通过系统的自动运行来激活病毒或传播病毒。
在该实施例中将行为特征库中的该行为特征的权值设置为5;
三、内存行为
1、可疑文件在系统中查找安全软件的进程并进行中止行为,安全软件的进程可以是以下关键字的进程名:
kvolself.exe
KvReport.kxp
KVScan.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
KvXP.kxp
KvXp_1.kxp
KWatch.exe
KWatch9x.exe
KWatchX.exe
MagicSet.exe
在该实施例中将行为特征库中的该行为特征的权值设置为5。
在该实施例中,将可疑文件的行为信息与病毒行为特征库的行为特征进行匹配,获取所述行为的权值,当某个可疑文件的行为包含以上至少一项与上述行为特征匹配的行为信息,并且各行为信息的权值的和大于3时,则认为该可疑文件为病毒文件,否则,判断所述可疑文件为安全文件。
在本发明的一个实施例中,设定了所述可疑文件在虚拟系统中的运行时间;在规定时间内对可疑文件的行为信息进行追踪,可疑文件可以不必运行完所有的行为,以节约分析可疑文件的时间。
由上所述,本发明提供的鉴定病毒文件的方法是由系统执行的动态分析过程,另外,现有技术中的鉴定病毒文件通常需要对系统进行重启,是由于现有技术中的鉴定病毒文件的方法是对可疑文件在真实的操作系统中的行为进行分析,为了减小病毒文件对系统的损害,在对一个可疑文件进行鉴定分析后,需要将系统进行重启来对系统进行还原,而本发明的鉴定病毒文件的方式是在一个虚拟的环境里进行,可疑文件在虚拟的系统里运行,因此不会对真实的系统产生影响,从而本发明的方案既不影响真实的系统,避免了重启动系统损耗的时间,节省了鉴定病毒文件的时间。
进一步,由于可疑文件作用于虚拟的系统,不作用于真实系统的,因此当对可疑文件分析完成时,通过放弃该可疑文件在虚拟系统中所产生的行为结果,就可以将系统恢复,即将病毒文件在虚拟系统中的行为内容删除。比如:清除病毒在虚拟的系统中创建的文件,也就是说,本发明不需要重新启动系统,可自我恢复系统,从而加快对可疑文件的鉴定效率。
对应于上述鉴定病毒文件的方法,本发明还提供一种鉴定病毒文件的装置,请参阅图2,该装置包括虚拟系统模块201,用于建立虚拟系统,将可疑文件的行为定向至虚拟系统,运行可疑文件;行为信息收集模块202,用于记录所述可疑文件的行为信息;行为特征分析模块203,用于根据所述行为信息和病毒行为特征库,判断所述可疑文件为病毒时,将所述可疑文件标识为病毒;判断所述可疑文件为安全文件时,将所述可疑文件标识为安全文件。
所述虚拟系统模块201可以包括可疑文件存储模块2011和映像加载模块2012。
虚拟系统模块201通过监控真实系统的关键API以及模拟真实系统的某些功能建立一个虚拟系统,可疑文件存储模块2011将所有的可疑文件组成文件队列,进行存储;映像加载模块2012模拟真实系统的加载程序的过程,从可疑文件存储模块2011获取可疑文件,逐一将可疑文件加载到内存,当收到可疑文件的行为请求信息后,向该可疑文件发送成功消息,令可疑文件在虚拟系统中运行;行为信息收集模块2012从虚拟系统模块201中获取可疑文件的各种行为信息,进行规范记录;行为特征分析模块203将行为信息收集模块202的信息记录与行为特征库进行匹配,获得该行为的权值,并将分析结果发送给数据安全处理模块204,数据安全处理模块204将分析结果是病毒文件的可疑文件对虚拟系统作用的内容进行清空,通知映像加载模块2012加载下一个可疑文件。
上文所述的各实施例中的鉴定病毒文件的方法中各步骤可以通过一条或多条指令实现,上述鉴定病毒文件的装置可以用于反病毒引擎工作过程中进行可疑文件的鉴定,并最终确定可疑文件为病毒文件,所述反病毒引擎利用被鉴定为病毒的文件的特征去标识其它文件为病毒并进行清除;所述指令可以被配置在包含处理器的网络设备中,由该处理器执行,同时,所述指令可以存储在存储介质中。所述网络设备可以是计算机等网络设备。
以上所述的本发明实施方式,并不构成对本发明保护范围的限定。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明的权利要求保护范围之内。

Claims (11)

1、一种鉴定病毒文件的方法,其特征在于,包括步骤:
建立虚拟系统,在该虚拟系统中运行可疑文件,记录所述可疑文件的行为信息;
根据所述行为信息和病毒行为特征库,判断所述可疑文件是否为病毒文件,如果是,则将所述可疑文件标识为病毒文件;否则,将所述可疑文件标识为安全文件。
2、根据权利要求1所述的鉴定病毒文件的方法,其特征在于,在该虚拟系统中运行可疑文件的过程包括:
所述可疑文件发出行为请求消息,所述虚拟系统根据所述可疑文件的行为请求消息,向所述可疑文件返回所述行为成功消息,所述可疑文件运行下一行为。
3、根据权利要求2所述的鉴定病毒文件的方法,其特征在于,
建立虚拟系统时,还进一步包括:设定所述可疑文件的运行时间;
记录所述可疑文件的行为信息具体包括:在所述运行时间内记录可疑文件的行为信息。
4、根据权利要求2所述的鉴定病毒文件的方法,其特征在于,还包括步骤:
当判断所述可疑文件为病毒文件时,将所述病毒文件在所述虚拟系统的行为内容清空。
5、权利要求1~4任一项所述的鉴定病毒文件的方法,其特征在于,判断所述可疑文件是否为病毒文件的过程具体为:
将所述行为信息与病毒行为特征库的行为特征进行匹配,获取所述行为的权值,检测所述行为的权值之和是否大于设定值,如果是,则判断所述文件为病毒;否则,判断所述可疑文件为安全文件。
6、一种鉴定病毒文件的装置,其特征在于,该装置包括:
虚拟系统模块,用于建立虚拟系统,将可疑文件的行为定向至该虚拟系统,运行所述可疑文件;
行为信息收集模块,用于记录所述可疑文件的行为信息;
行为特征分析模块,用于根据所述行为信息和病毒行为特征库,判断所述可疑文件为病毒时,将所述可疑文件标识为病毒;判断所述可疑文件为安全文件时,将所述可疑文件标识为安全文件。
7、如权利要求6所述的鉴定病毒文件的装置,其特征在于,所述虚拟系统模块包括可疑文件存储模块,用于存储所述可疑文件,以及
映像加载模块,用于将所述可疑文件在该虚拟系统中逐一加载,并在所述虚拟系统中运行所述可疑文件。
8、如权利要求7所述的鉴定病毒文件的装置,其特征在于,该装置还包括:
定时单元,用于设定所述可疑文件运行时间;
所述行为信息收集单元,还用于在所述定时单元设定的运行时间内,记录所述可疑文件的行为信息。
9、如权利要求8所述的鉴定病毒文件的装置,其特征在于,该装置还包括:数据安全处理模块,用于当判断所述可疑文件为病毒文件时,将所述病毒文件在所述虚拟系统的行为内容清空,并通知所述映像加载模块加载下一个可疑文件。
10、一种网络设备,其特征在于,包括:处理器以及处理器所执行的一个或多个指令,所述处理器执行所述指令时,用于实现以下步骤:
建立虚拟系统,在该虚拟系统中运行可疑文件,记录所述可疑文件的行为信息;
根据所述行为信息和病毒行为特征库,判断所述可疑文件是否为病毒文件,如果是,则将所述可疑文件标识为病毒文件;否则,将所述可疑文件标识为安全文件。
11、一种存储介质,其特征在于,用于存储一个或多个用于鉴定病毒文件的指令,所述指令在被执行时用于完成以下步骤:
建立虚拟系统,在该虚拟系统中运行可疑文件,记录所述可疑文件的行为信息;
根据所述行为信息和病毒行为特征库,判断所述可疑文件是否为病毒文件,如果是,则将所述可疑文件标识为病毒文件;否则,将所述可疑文件标识为安全文件。
CN200710029168A 2007-07-16 2007-07-16 鉴定病毒文件的方法、装置 Active CN100595778C (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN200710029168A CN100595778C (zh) 2007-07-16 2007-07-16 鉴定病毒文件的方法、装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN200710029168A CN100595778C (zh) 2007-07-16 2007-07-16 鉴定病毒文件的方法、装置

Publications (2)

Publication Number Publication Date
CN101350049A true CN101350049A (zh) 2009-01-21
CN100595778C CN100595778C (zh) 2010-03-24

Family

ID=40268836

Family Applications (1)

Application Number Title Priority Date Filing Date
CN200710029168A Active CN100595778C (zh) 2007-07-16 2007-07-16 鉴定病毒文件的方法、装置

Country Status (1)

Country Link
CN (1) CN100595778C (zh)

Cited By (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009143742A1 (zh) * 2008-05-30 2009-12-03 成都市华为赛门铁克科技有限公司 一种可疑文件分析方法及系统
CN102663288A (zh) * 2012-03-22 2012-09-12 奇智软件(北京)有限公司 病毒查杀方法及装置
CN102750476A (zh) * 2012-06-07 2012-10-24 腾讯科技(深圳)有限公司 鉴定文件安全性的方法和系统
CN102750492A (zh) * 2012-06-07 2012-10-24 中国电子科技集团公司第三十研究所 一种基于工作目录的恶意程序防御方法及装置
CN102799823A (zh) * 2012-07-13 2012-11-28 北京江民新科技术有限公司 一种病毒检测方法和系统
CN102831049A (zh) * 2011-06-13 2012-12-19 腾讯科技(深圳)有限公司 检测软件的方法及系统
CN102893289A (zh) * 2010-03-15 2013-01-23 F-赛酷公司 恶意软件保护
CN103026679A (zh) * 2010-07-26 2013-04-03 惠普发展公司,有限责任合伙企业 网络设备中检测到的模式的减轻
CN103136474A (zh) * 2011-11-29 2013-06-05 姚纪卫 检测文件的方法和装置
CN103150509A (zh) * 2013-03-15 2013-06-12 长沙文盾信息技术有限公司 一种基于虚拟执行的病毒检测系统
CN103593613A (zh) * 2013-11-26 2014-02-19 北京网秦天下科技有限公司 用于计算机病毒检测的方法、终端、服务器和系统
CN104252596A (zh) * 2013-06-28 2014-12-31 贝壳网际(北京)安全技术有限公司 一种脚本病毒的监控方法及装置
CN104253797A (zh) * 2013-06-27 2014-12-31 贝壳网际(北京)安全技术有限公司 蠕虫病毒的识别方法及装置
CN104766006A (zh) * 2015-03-18 2015-07-08 百度在线网络技术(北京)有限公司 一种确定危险文件所对应的行为信息的方法和装置
CN105095759A (zh) * 2015-07-21 2015-11-25 安一恒通(北京)科技有限公司 文件的检测方法及装置
CN105260662A (zh) * 2014-07-17 2016-01-20 南京曼安信息科技有限公司 一种未知应用漏洞威胁检测装置及方法
US9342709B2 (en) 2010-10-27 2016-05-17 Hewlett-Packard Enterprise Development LP Pattern detection
CN107944302A (zh) * 2017-11-29 2018-04-20 滁州市华晨软件科技有限公司 一种计算机软件安全防护系统
CN108197472A (zh) * 2017-12-20 2018-06-22 北京金山安全管理系统技术有限公司 宏处理方法、装置、存储介质及处理器
CN111163066A (zh) * 2019-12-16 2020-05-15 苏州哈度软件有限公司 一种基于云计算的网络安全软件系统

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102567674A (zh) * 2012-02-10 2012-07-11 联信摩贝软件(北京)有限公司 基于行为判断软件是否含有病毒的方法和设备

Cited By (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009143742A1 (zh) * 2008-05-30 2009-12-03 成都市华为赛门铁克科技有限公司 一种可疑文件分析方法及系统
CN102893289A (zh) * 2010-03-15 2013-01-23 F-赛酷公司 恶意软件保护
CN102893289B (zh) * 2010-03-15 2015-09-23 F-赛酷公司 恶意软件保护
CN103026679B (zh) * 2010-07-26 2016-03-02 惠普发展公司,有限责任合伙企业 网络设备中检测到的模式的减轻
CN103026679A (zh) * 2010-07-26 2013-04-03 惠普发展公司,有限责任合伙企业 网络设备中检测到的模式的减轻
US9342709B2 (en) 2010-10-27 2016-05-17 Hewlett-Packard Enterprise Development LP Pattern detection
CN102831049B (zh) * 2011-06-13 2015-05-20 腾讯科技(深圳)有限公司 检测软件的方法及系统
CN102831049A (zh) * 2011-06-13 2012-12-19 腾讯科技(深圳)有限公司 检测软件的方法及系统
CN103136474A (zh) * 2011-11-29 2013-06-05 姚纪卫 检测文件的方法和装置
CN103136474B (zh) * 2011-11-29 2017-07-04 姚纪卫 检测文件的方法和装置
CN102663288A (zh) * 2012-03-22 2012-09-12 奇智软件(北京)有限公司 病毒查杀方法及装置
CN102663288B (zh) * 2012-03-22 2015-04-01 北京奇虎科技有限公司 病毒查杀方法及装置
WO2013182073A1 (zh) * 2012-06-07 2013-12-12 腾讯科技(深圳)有限公司 鉴定文件安全性的方法、系统及存储介质
CN102750476A (zh) * 2012-06-07 2012-10-24 腾讯科技(深圳)有限公司 鉴定文件安全性的方法和系统
CN102750492A (zh) * 2012-06-07 2012-10-24 中国电子科技集团公司第三十研究所 一种基于工作目录的恶意程序防御方法及装置
CN102799823A (zh) * 2012-07-13 2012-11-28 北京江民新科技术有限公司 一种病毒检测方法和系统
CN103150509A (zh) * 2013-03-15 2013-06-12 长沙文盾信息技术有限公司 一种基于虚拟执行的病毒检测系统
CN103150509B (zh) * 2013-03-15 2015-10-28 长沙文盾信息技术有限公司 一种基于虚拟执行的病毒检测系统
CN104253797A (zh) * 2013-06-27 2014-12-31 贝壳网际(北京)安全技术有限公司 蠕虫病毒的识别方法及装置
CN104252596B (zh) * 2013-06-28 2019-01-25 贝壳网际(北京)安全技术有限公司 一种脚本病毒的监控方法及装置
CN104252596A (zh) * 2013-06-28 2014-12-31 贝壳网际(北京)安全技术有限公司 一种脚本病毒的监控方法及装置
CN103593613A (zh) * 2013-11-26 2014-02-19 北京网秦天下科技有限公司 用于计算机病毒检测的方法、终端、服务器和系统
CN105260662A (zh) * 2014-07-17 2016-01-20 南京曼安信息科技有限公司 一种未知应用漏洞威胁检测装置及方法
CN104766006A (zh) * 2015-03-18 2015-07-08 百度在线网络技术(北京)有限公司 一种确定危险文件所对应的行为信息的方法和装置
KR20160138523A (ko) * 2015-03-18 2016-12-05 바이두 온라인 네트웍 테크놀러지 (베이징) 캄파니 리미티드 위험 파일에 대응하는 행위 정보를 결정하는 방법 및 장치
WO2016145749A1 (zh) * 2015-03-18 2016-09-22 百度在线网络技术(北京)有限公司 一种确定危险文件所对应的行为信息的方法和装置
CN104766006B (zh) * 2015-03-18 2019-03-12 百度在线网络技术(北京)有限公司 一种确定危险文件所对应的行为信息的方法和装置
KR101974989B1 (ko) * 2015-03-18 2019-05-07 바이두 온라인 네트웍 테크놀러지 (베이징) 캄파니 리미티드 위험 파일에 대응하는 행위 정보를 결정하는 방법 및 장치
US10915624B2 (en) 2015-03-18 2021-02-09 Baidu Online Network Technology (Beijing) Co., Ltd. Method and apparatus for determining behavior information corresponding to a dangerous file
CN105095759A (zh) * 2015-07-21 2015-11-25 安一恒通(北京)科技有限公司 文件的检测方法及装置
CN107944302A (zh) * 2017-11-29 2018-04-20 滁州市华晨软件科技有限公司 一种计算机软件安全防护系统
CN108197472A (zh) * 2017-12-20 2018-06-22 北京金山安全管理系统技术有限公司 宏处理方法、装置、存储介质及处理器
CN111163066A (zh) * 2019-12-16 2020-05-15 苏州哈度软件有限公司 一种基于云计算的网络安全软件系统

Also Published As

Publication number Publication date
CN100595778C (zh) 2010-03-24

Similar Documents

Publication Publication Date Title
CN100595778C (zh) 鉴定病毒文件的方法、装置
US9787706B1 (en) Modular architecture for analysis database
CN103150231B (zh) 计算机开机的方法与计算机系统
CN101777062B (zh) 场境感知的实时计算机保护系统和方法
CN102314561B (zh) 基于api hook的恶意代码自动分析方法和系统
JP5758995B2 (ja) 仮想マシン間で分析の結果を共有するためのシステム、方法及びコンピュータ可読記憶媒体
CN101515320B (zh) 一种攻击时漏洞检测方法及其系统
CN107800757B (zh) 用户行为记录方法及装置
CN109660532B (zh) 一种分布式农业网络数据采集方法及其采集系统
CN112099800A (zh) 代码数据的处理方法、装置和服务器
CN110781061B (zh) 一种记录用户行为链路的方法及装置
CN103198122A (zh) 重启内存数据库的方法和装置
CN111783094A (zh) 一种数据分析方法、装置、服务器及可读存储介质
KR101860674B1 (ko) 크래시 리포트 그룹핑 방법, 서버 및 컴퓨터 프로그램
CN108459960A (zh) 测试环境的自动配置方法、装置、设备及存储介质
CN114756868A (zh) 一种基于指纹的网络资产与漏洞关联方法及装置
CN106897063B (zh) 一种基于efi将os启动项永久添加至bios中的方法及系统
CN111176924B (zh) 一种gpu掉卡模拟方法、系统、终端及存储介质
CN107608879B (zh) 一种故障检测方法、装置和存储介质
CN103106086A (zh) 操作系统处理方法以及系统
CN114996955A (zh) 一种云原生混沌工程实验的靶场环境构建方法及装置
KR102256894B1 (ko) 크래시 리포트 그룹핑 방법, 서버 및 컴퓨터 프로그램
CN103699838A (zh) 病毒的识别方法及设备
CN114722927A (zh) 一种崩溃聚类方法、装置、电子设备以及存储介质
CN108268662B (zh) 基于h5页面的社交图谱生成方法、电子装置及存储介质

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
C56 Change in the name or address of the patentee

Owner name: ZHUHAI KING SOFT CO.,LTD.

Free format text: FORMER NAME: ZHUHAI JINSHAN SOFTWARE CO. LTD.

CP01 Change in the name or title of a patent holder

Address after: Jinshan computer Building No. 8 Jingshan Hill Road, Lane 519015 Lianshan Jida Zhuhai city in Guangdong Province

Patentee after: Zhuhai Kingsoft Software Co.,Ltd.

Address before: Jinshan computer Building No. 8 Jingshan Hill Road, Lane 519015 Lianshan Jida Zhuhai city in Guangdong Province

Patentee before: Zhuhai Kingsoft Software Co.,Ltd.

ASS Succession or assignment of patent right

Owner name: KINGSOFT CORPORATION LIMITED

Free format text: FORMER OWNER: ZHUHAI KINGSOFT SOFTWARE CO., LTD.

Effective date: 20140904

C41 Transfer of patent application or patent right or utility model
COR Change of bibliographic data

Free format text: CORRECT: ADDRESS; FROM: 519015 ZHUHAI, GUANGDONG PROVINCE TO: 100085 HAIDIAN, BEIJING

TR01 Transfer of patent right

Effective date of registration: 20140904

Address after: Kingsoft No. 33 building, 100085 Beijing city Haidian District Xiaoying Road

Patentee after: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd.

Address before: Jinshan computer Building No. 8 Jingshan Hill Road, Lane 519015 Lianshan Jida Zhuhai city in Guangdong Province

Patentee before: Zhuhai Kingsoft Software Co.,Ltd.

EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20090121

Assignee: Zhuhai Kingsoft Software Co.,Ltd.

Assignor: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd.

Contract record no.: 2014990000778

Denomination of invention: Method, apparatus and network device for identifying virus document

Granted publication date: 20100324

License type: Common License

Record date: 20140926

LICC Enforcement, change and cancellation of record of contracts on the licence for exploitation of a patent or utility model