CN101350053A - 防止网页浏览器被漏洞利用的方法和装置 - Google Patents
防止网页浏览器被漏洞利用的方法和装置 Download PDFInfo
- Publication number
- CN101350053A CN101350053A CNA2007101624430A CN200710162443A CN101350053A CN 101350053 A CN101350053 A CN 101350053A CN A2007101624430 A CNA2007101624430 A CN A2007101624430A CN 200710162443 A CN200710162443 A CN 200710162443A CN 101350053 A CN101350053 A CN 101350053A
- Authority
- CN
- China
- Prior art keywords
- file
- browser
- module
- browser process
- leak
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提出了一种防止浏览器的漏洞被利用的方法和装置。本发明提出的方法包括:监视浏览器进程下载的文件;拦截所述浏览器进程发起的进程创建动作;判断所拦截的进程创建动作是否要启动所述浏览器进程下载的所述文件;如果判断结果为是,则向用户提示浏览器的漏洞可能被利用。利用本发明提出的方法和装置可以防止浏览器的漏洞被利用来执行恶意代码。
Description
技术领域
本发明涉及一种计算机防护方法和装置,本发明尤其涉及一种防止网页(Web)浏览器被恶意程序利用的方法和装置。
背景技术
如今,社会及家庭网络应用的大量普及使得人们可以充分享受宽带网络带来的便利与快捷。但与此同时,这也为各类严重威胁计算机安全的病毒提供了方便之门,使得经由网络进行攻击的病毒大量涌现。
在众多利用网络进行攻击的病毒当中,木马病毒由于能够隐蔽地随时向远程计算机发送指定信息,甚至具备远程交互能力而成为黑客们钟爱的后门工具。然而,对于用户而言,木马病毒的危害是巨大的。木马病毒可使用户的计算机随时暴露于黑客的控制与监视之下,黑客们可以轻而易举地远程窃取用户的信息,比如用户的账户信息、密码等等。这严重威胁到用户使用计算机的安全性。
木马病毒发展至今,已经演化出了各种各样的木马嵌入和加载模式,使得用户防不胜防。例如,其中一种称之为“挂马”的方式就是利用漏洞侵入网站,然后在例如网页链接上嵌入木马程序代码。这样,用户在利用浏览器浏览网页时就很可能点击挂有木马程序的链接,并由此自动将病毒程序安装到用户计算机上。而且,这种病毒程序在自动安装时没有任何提示,因此用户会在毫无察觉的情况下感染病毒。
对于,如网络“挂马”的这类漏洞攻击方式而言,传统的查毒和杀毒软件以及计算机防护软件都无法彻底解决。因为传统的计算机防护方法都是通过病毒特征扫描方式来实现的,对于利用漏洞的网络攻击无能为力。
因此,现今迫切需要一种计算机防护方法来防止Web浏览器被漏洞利用而执行恶意代码。
发明内容
本发明的一个目的在于提出一种防止Web浏览器被漏洞利用的方法和装置。利用本发明提出的方法和装置可以识别出利用浏览器自动下载并启动恶意程序的行为,从而防止浏览器被漏洞利用而执行恶意代码侵害用户计算机。
为了实现上述目的,本发明提出的防止网页浏览器被漏洞利用的方法包括:监视浏览器进程下载的文件;拦截所述浏览器进程发起的进程创建动作;判断所拦截的进程创建动作是否要启动所述浏览器进程下载的所述文件;如果判断结果为是,则向用户提示浏览器的漏洞可能被利用。此外,本发明还提出了与上述方法相对应的计算机保护装置。
根据本发明提出的方法,由于在浏览器进程启动进程之前判断并提醒用户“要启动的程序为该浏览器进程下载的文件”,因而能够及时防止不可信的程序的运行,从而防止经由浏览器下载的病毒软件感染计算机。
附图说明
图1示出根据本发明一个实施例的防止Web浏览器被漏洞利用的方法的总体流程图;
图2示出根据本发明一个实施例的监视Web浏览器下载的文件的过程;
图3示出根据本发明一个实施例的拦截Web浏览器进程创建动作的处理过程。
具体实施方式
以下将结合具体实施例对本发明提出的防止Web浏览器被漏洞利用的方法和装置进行详细地描述。为了便于理解,在以下实施例中,仅以Windows操作系统为例进行描述。但是,本领域技术人员可以理解的是本发明的思想和精神还可应用于其它计算机操作系统中,并不局限于Windows操作系统。此外,为了描述方便,以下将“Web浏览器”简称为“浏览器”,但在本发明中所述浏览器均指用于浏览网页的Web浏览器。
如上所述,当用户利用浏览器浏览例如被“挂马”的网页时,很有可能无意间通过浏览器下载并安装恶意程序或病毒。为了能够有效地防止浏览器被如此利用,首先需要分析这种漏洞利用程序通常采用的手段。
一般而言,黑客在利用漏洞攻击网络时都会编写shellcode。shellcode是一段用来发送到服务器以便利用特定漏洞的代码。shellcode可覆盖内存中原有正确的代码,并获取执行权限,从而成功利用漏洞完成自身的功能。
具体而言,漏洞利用程序通常采用以下三种方式。
1)在shellcode中实现所有功能:
有些漏洞利用者会在shellcode中实现所有病毒的功能。但是,由于shellcode编写难度比较大,而且环境比较受限,所以shellcode通常只能用来实现比较简单的功能。因此,这种方式并不多见。如果黑客希望实现复杂的功能,则只能通过以下两种方式实现。
2)利用shellcode下载病毒程序并直接执行:
漏洞利用者通常编写一段简单的shellcode代码来下载一个恶意程序,然后调用启动进程的函数,如WinExec或CreateProcess等API函数来激活该恶意程序。这种方法比较通用,漏洞利用者只需要替换不同的恶意程序来实现不同的攻击需要即可。
3)利用shellcode下载病毒程序并间接执行:
漏洞利用者通常编写一个简单的shellcode代码来下载一个恶意程序并生成一个脚本文件,通过调用其它脚本解释程序运行该脚本文件,从而激活恶意程序。这种方法与第二种方法一样比较流行,因为漏洞利用者只需要替换不同的恶意程序就可以实现不同的攻击需要。
通过对漏洞利用程序行为的分析不难看出,漏洞利用程序都会在漏洞利用功能成功后,即成功下载恶意程序后,通过创建进程来直接启动一个恶意程序,或者通过创建一个解释器来解释执行一个脚本,从而间接启动恶意程序。所以,针对这几种类型的漏洞利用,可以通过拦截浏览器进程的进程创建动作,并判断欲启动的程序是否为浏览器下载的文件即可阻断漏洞利用程序执行恶意代码的行为。
图1示出了在本发明一个实施例中的防止浏览器被漏洞利用的总体流程图。
如图1所示,根据本发明的上述思想,为了监视一个浏览器进程10下载的文件,在本发明的一个实施例中增加了监视模块20。监视模块20会从浏览器进程10创建之初起监视并记录其下载的文件。同时,为了拦截该浏览器进程10的进程创建动作,还增加了拦截模块30。这里需要指出是,在没有特殊说明的情况下,在本文中所提到的被监视和被拦截的浏览器进程是指同一个浏览器进程,且在附图中标识为浏览器10。
在图1中,每当一个浏览器进程10发起一个下载文件动作(步骤S110),监视模块20就会拦截该下载文件动作,同时记录该浏览器进程10下载的文件的信息(步骤S120)。继而,按照如上对漏洞利用程序的分析,在文件下载完毕后,浏览器进程10会试图创建一个新的进程来执行恶意代码。拦截模块30的作用就是将这个进程创建动作拦截下来(步骤S130),然后搜索监视模块20所记录的文件信息,以判断该进程创建动作是否要启动一个由该浏览器进程10下载的文件(步骤S140)。最后,拦截模块30根据步骤S140中的判断结果,确定是否提示用户,以便用户选择是否拒绝进程创建(步骤S150)。
采用如图1所示的上述过程,用户可以在病毒安装或启动之前就获得该程序行为可疑的信息,然后根据需要选择是允许、还是拒绝执行该可疑程序。由此,如果所拦截的程序为病毒或木马则可及时阻止它的运行,避免其感染计算机。
以下结合图2和图3详细描述监视模块20和拦截模块30的具体操作过程。
图2示出了在浏览器被漏洞利用后,当shellcode代码试图通过浏览器10下载文件时,监视模块20所执行的拦截和监视动作。如本领域所公知的,文件下载动作具体可拆分为文件创建动作和文件写入工作。为此,在监视模块20中包括一个用于拦截文件创建动作的文件创建(CreateFile)拦截模块21,一个用于拦截文件写入动作的文件写入(WriteFile)拦截模块22,以及一个用于记录所创建或写入的文件的信息的文件缓存(Cache)管理器23。
如图2所示,当shellcode代码试图下载文件时,首先会发起一个创建文件的请求给操作系统40(步骤S211)。这时,CreateFile拦截模块21拦截到操作系统40的文件创建一个新文件或打开一个原有文件的操作,所以该创建文件请求会转入到根据本发明的CreateFile拦截模块21中(步骤S212)。CreateFile拦截模块21继而会通过调用真实的系统文件创建操作,如CreateFile()的API函数来完成文件的创建操作(步骤S213)。如果创建操作成功,CreateFile拦截模块21会从操作系统得到一个创建成功消息(步骤S214)。这时,CreateFile拦截模块21将通知文件Cache管理器23记录这个文件的信息(步骤S215),之后返回一个记录完成消息(步骤S216)。最后,CreateFile拦截模块21在文件信息记录完成之后,返回给浏览器进程10一个完成文件创建请求消息(步骤S217)。
图2中的文件Cache管理器23用于记载浏览器进程下载的文件的信息。由于浏览器的文件操作比较频繁,因而文件Cache需要满足快速检索的需要才能在不影响用户使用的情况下迅速完成对下载文件信息的记录。为此,在本发明中,为实现快速检索,文件Cache管理器在内部维护了一棵红黑树来管理所记录的文件信息,当然本发明并不局限于此,还可以使用其它数据结构代替。红黑树上的每一个节点用于记录一个创建的文件的信息以及一个表示该文件是否被改写的标记(这将在文件写入动作中进行更新)。每当文件Cache管理器被通知浏览器进程创建或打开了一个文件时,就在所维护的红黑树中插入一个文件描述节点,如步骤S215所示,并在插入成功后返回。此外,为了简化所记录的信息,在本实施例中,文件Cache管理器保存文件信息仅为文件名称/路径的一个校验值,然而本发明并不限于此。
当创建的文件信息已经成功记录在文件Cache中后,如图2所示,漏洞利用程序则开始下载恶意程序,即向操作系统40发起一系列的写文件请求(步骤S221)。在本实施例中,操作系统40的文件写操作被拦截,由此该文件写请求会转入到本发明的WriteFile拦截模块22中(步骤S222)。WriteFile拦截模块22继而会通过调用真实的系统文件写操作,例如API函数WriteFile(),来完成文件的写操作(步骤S223)。如果写操作成功,操作系统会返回一个成功消息(步骤S224)。WriteFile拦截模块22在文件写入成功后会通知文件Cache管理器在与该写入文件相对应的文件描述节点中标记该文件已经被改写(步骤S225)。在文件Cache管理器更新改写标记后,返回更新完成消息(步骤S226)。最后WriteFile拦截模块返回给浏览器进程10一个完成文件写消息(步骤S227)。
这样,当漏洞利用程序经由当前浏览器进程先后完成了文件创建以及文件写入操作后,文件Cache管理器23便不仅记录了相应文件的信息,还标记了该文件已被改写。由此,监视模块20持续运行,监视并记录浏览器进程10所下载的所有文件的信息。这些记录下来的文件信息可供拦截模块30使用。由于文件Cache管理器中维护了一棵红黑树,这样当拦截模块30查询一个文件是否为浏览器下载的文件的时候,就可以在这个红黑树中搜索相应的文件扫描节点并检查其改写标志。如果找到相应的节点且其改写标志指示文件已经写入,则表明该文件是当前浏览器进程下载的文件。
如上所述漏洞利用程序在经由当前浏览器进程下载了恶意程序之后,会通过进程创建来启动一个新的进程,从而激活所下载的恶意程序。
为了有效地拦截漏洞利用程序的进程创建操作,首先需要分析shellcode编写者会使用哪些方式来创建进程:
i.利用API函数CreateProcessA或CreateProcessW
这两个函数均由kernel32.dll导出,是一种常用的进程创建方式。
ii.利用API函数ShellExecuteA或ShellExecuteW
函数ShellExecute最终会调用CreateProcess函数,所以它的操作可视为与CreateProcess函数相同,不需要特殊处理。
iii.利用API函数execvp/execve
这几个函数最终也会调用CreateProcess函数,所以也不需要特殊处理。
iv.利用API函数WinExec
该函数由kernel32.dll导出。该函数比较特殊,它不会调用CreateProcess甚至ZwCreateProcess来创建进程。所以在这里需要对这个函数进行单独拦截。
v.利用API函数ZwCreateProcess
如本领域技术人员所熟知的,这个函数ZwCreateProcess只创建一个进程对象,而不会创建线程,因此调用该函数的程序代码需要完成打开文件、创建Section对象、创建进程对象、创建线程、创建并启动线程等一系列操作才能真正创建进程。由于shellcode的编写存在一定的局限性,因而漏洞利用代码的编写者一般不选择这种方式创建进程。
通过上面的分析可以很明显地得知,对于进程创建的拦截只需要单独处理三个API函数,即:CreateProcessA、CreateProcessW和WinExec。
在这里,为了便于拦截处理这些API函数,暂时忽略了不同API函数参数的各自特性,而只研究它们共有的性质。通过研究可以发现无论是哪种方式启动进程,在启动时都需要提供完整的命令行,这便是它们的共有性质。而这命令行必然包括被启动的文件的信息,例如文件名、路径等。所以,获得被启动文件的信息可以通过分析命令行来实现。
基于以上的分析,根据本发明实施例的拦截模块30将按照附图3所示执行拦截和处理操作。
如图3所示拦截模块30中的一个进程创建拦截模块首先通过拦截CreateProcessA、CreateProcessW和WinExec三个API函数中的一个或多个,拦截到某个浏览器进程Pa要创建新进程Pb的动作(步骤S310)。
继而,拦截模块30中的判断模块获得从所拦截的函数参数中获得的新创建进程对应的文件的信息,例如文件的名称和路径。在获得该文件信息后,判断模块搜索监视模块10所记录的当前浏览器进程Pa下载的文件的信息,即利用获得的文件信息搜索文件Cache管理器中维护的红黑树,以便判断该新进程Pb对应的文件是否为当前浏览器进程下载的文件(步骤S320)。
如果步骤S320的判断结果为是,也就是说在文件Cache管理器维护的红黑树中找到相应的文件描述节点,且该节点的标志表示已经改写,则拦截模块30中的提示模块向用户发出提示信息,以警示用户当前浏览器进程可能被漏洞利用,并等待用户的处理(步骤S350)。
如果步骤S320的判断结果是否定的,那么判断模块继续判断新创建的进程Pb对应的文件是否为命令行程序(如cmd.exe等),脚本解释程序,例如Windows系统自带的命令行脚本解释程序cscript.exe或窗口脚本解释程序wscript.exe(步骤S330),但本发明并不限于此,还可以是例如perl、python、ruby等脚本解释程序。如果步骤S330的判断结果为否,则可认为当前创建的新进程是安全的,允许其继续运行(步骤S360)。否则,判断模块会认为当前启动的新进程可能是用来解释执行当前浏览器进程下载的恶意代码。因此,判断模块继续判断上述要启动命令行程序或脚本解释程序的命令行参数中是否包含有当前浏览器进程下载的文件(步骤S340)。具体而言,在本实施例中,通过CommandLineToArgvW函数对上述程序如cmd.exe,cscript.exe或wcscript.exe的命令行参数进行拆分,从而获得多个参数。然后依次检查每个参数中的内容,以便判断拆分出的参数中是否包含监视模块20所记录的浏览器下载的文件。如果发现命令行参数中的文件为浏览器下载的文件,则认为是可能的漏洞利用并提示用户(步骤S350)。否则,允许创建该新进程(步骤S360)。
最后,在步骤S350中,提示用户当前浏览器进程可能被漏洞利用,并等待用户的处理。如果用户选择拒绝创建(步骤S370),则阻止当前进程(步骤S380),否则允许进程创建(步骤S360)。
有益效果
以上结合附图1-3详细描述了本发明提出的防止Web浏览器被漏洞利用的方法和装置。采用本发明提出的方法可以及时阻止那些利用浏览器下载的病毒程序的运行。因而,本发明提出的方法和装置能够较好地解决Web浏览器被漏洞利用来执行恶意代码的问题。此外,利用本发明提出的方法,用户还可以及时阻止那些在浏览网页时自动下载安装的小程序,从而避免计算机资源的占用。
虽然关于优选实施例示范和描述了本发明,本领域技术人员将理解可以不脱离如下述权利要求规定的发明精神和范围做出多种改变和修正。
Claims (16)
1、一种防止网页浏览器被漏洞利用的方法,包括:
监视浏览器进程下载的文件;
拦截所述浏览器进程发起的进程创建动作;
判断所拦截的进程创建动作是否要启动所述浏览器进程下载的所述文件;
如果判断结果为是,则向用户提示浏览器的漏洞可能被利用。
2、如权利要求1所述的方法,其中监视所述浏览器进程下载的文件的步骤包括:
拦截所述浏览器进程创建文件的动作;以及
拦截所述浏览器进程写入文件的动作。
3、如权利要求2所述的方法,其中监视所述浏览器进程下载的文件的步骤还包括:
根据所拦截的创建文件的请求,在一个文件缓存中保存所述浏览器进程创建的文件的信息;以及
根据所拦截的写入文件的请求,在所述文件缓存中保存所述浏览器进程创建的文件的改写标记。
4、如权利要求3所述的方法,其中在所述文件缓存中维护一个用户高速检索的数据结构,所述数据结构中的每一个节点记录一个所保存的文件的信息以及相应的所述改写标记。
5、如权利要求4所述的方法,其中通过搜索所述数据结构中节点的信息以及检查所述改写标记确定所述要启动的文件是否是所述浏览器进程要下载的文件。
6、如权利要求1-5中任一所述的方法,其中,所述判断步骤判断所创建的进程对应的程序文件是否是所述浏览器进程下载的文件。
7、如权利要求1-5中任一所述的方法,其中,如果所创建的进程对应的程序文件不是所述浏览器进程下载的文件,所述判断步骤还包括:
判断所创建的进程对应的文件是否为命令行程序或脚本解释程序;以及
如果判断结果为是,则判断所述命令行程序或脚本解释程序的命令行参数中是否包含所述浏览器进程下载的文件。
8、如权利要求7所述的方法,所述脚本解释器包括命令行脚本解释程序和窗口脚本解释程序中的至少之一。
9、如权利要求1所述的方法,其中通过拦截CreateProcessA、CreateProcessW和WinExec三个API函数中的至少一个拦截所述进程创建动作。
10、如权利要求3所述的方法,其中在所述文件缓存中保存的所述文件的信息是所述文件的文件名的校验值。
11、如权利要求4或5所述的方法,其中所述数据结构为红黑树。
12、一种防止浏览器被漏洞利用的装置,包括拦截模块和用于监视浏览器进程下载的文件的监视模块,其中所述拦截模块包括:
进程创建拦截模块,用于拦截所述浏览器进程发起的进程创建动作;
判断模块,用于判断所述拦截模块拦截的进程创建动作是否要启动所述监视模块监视到的所述浏览器进程下载的文件;
提示模块,如果所述判断模块的判断结果为是,则向用户提示浏览器的漏洞可能被利用。
13、如权利要求12所述的装置,其中所述监视模块包括;
文件创建拦截模块,用于拦截所述浏览器进程创建文件的动作;以及
文件写入拦截模块,用于拦截所述浏览器进程写入文件的动作。
14、如权利要求13所述的装置,其中所述监视模块还包括文件缓存,其中所述文件缓存用于响应于所述文件创建拦截模块拦截的创建文件请求,保存所述浏览器进程创建的文件的信息;以及响应于所述文件写入拦截模块拦截的写入文件请求,在所述文件缓存中保存所述浏览器进程创建的文件的改写标记。
15、如权利要求中12-14中任一所述的装置,其中,所述判断模块判断所创建的进程对应的程序文件是否是所述浏览器进程下载的文件。
16、如权利要求12-14中任一所述的装置,其中,所述判断模块还包括:
用于判断所创建的进程对应的文件是否为命令行程序或脚本解释程序的模块;以及
用于判断所述命令行程序或脚本解释程序的命令行参数中是否包含所述浏览器进程下载的文件的模块。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2007101624430A CN101350053A (zh) | 2007-10-15 | 2007-10-15 | 防止网页浏览器被漏洞利用的方法和装置 |
| JP2010529220A JP2011501280A (ja) | 2007-10-15 | 2008-10-15 | ウェブブラウザの脆弱性が利用されることを防止する方法及び装置 |
| US12/738,037 US20100306851A1 (en) | 2007-10-15 | 2008-10-15 | Method and apparatus for preventing a vulnerability of a web browser from being exploited |
| PCT/CN2008/072699 WO2009049556A1 (fr) | 2007-10-15 | 2008-10-15 | Procédé et dispositif permettant d'empêcher l'utilisation de la faille de sécurité d'un navigateur |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2007101624430A CN101350053A (zh) | 2007-10-15 | 2007-10-15 | 防止网页浏览器被漏洞利用的方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101350053A true CN101350053A (zh) | 2009-01-21 |
Family
ID=40268840
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2007101624430A Pending CN101350053A (zh) | 2007-10-15 | 2007-10-15 | 防止网页浏览器被漏洞利用的方法和装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20100306851A1 (zh) |
| JP (1) | JP2011501280A (zh) |
| CN (1) | CN101350053A (zh) |
| WO (1) | WO2009049556A1 (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101820419A (zh) * | 2010-03-23 | 2010-09-01 | 北京大学 | 一种挂马网页中网页木马挂接点自动定位方法 |
| CN102254112A (zh) * | 2011-06-13 | 2011-11-23 | 上海置水软件技术有限公司 | 一种安全浏览网页的方法 |
| CN102332071A (zh) * | 2011-09-30 | 2012-01-25 | 奇智软件(北京)有限公司 | 发现疑似恶意信息、追踪恶意文件的方法及装置 |
| CN102902919A (zh) * | 2012-08-30 | 2013-01-30 | 北京奇虎科技有限公司 | 一种可疑操作的识别处理方法、装置和系统 |
| CN102916937A (zh) * | 2012-09-11 | 2013-02-06 | 北京奇虎科技有限公司 | 一种拦截网页攻击的方法、装置和客户端设备 |
| CN102984134A (zh) * | 2012-11-12 | 2013-03-20 | 北京奇虎科技有限公司 | 安全防御系统 |
| CN103617395A (zh) * | 2013-12-06 | 2014-03-05 | 北京奇虎科技有限公司 | 一种基于云安全拦截广告程序的方法、装置和系统 |
| CN105574410A (zh) * | 2015-12-15 | 2016-05-11 | 北京金山安全软件有限公司 | 一种应用程序的安全检测方法及装置 |
| CN106998335A (zh) * | 2017-06-13 | 2017-08-01 | 深信服科技股份有限公司 | 一种漏洞检测方法、网关设备、浏览器及系统 |
| CN108768934A (zh) * | 2018-04-11 | 2018-11-06 | 北京立思辰新技术有限公司 | 恶意程序发布检测方法、装置以及介质 |
| CN109284604A (zh) * | 2018-09-10 | 2019-01-29 | 中国联合网络通信集团有限公司 | 一种基于虚拟机的软件行为分析方法和系统 |
| CN112800337A (zh) * | 2021-02-08 | 2021-05-14 | 联想(北京)有限公司 | 一种信息处理方法、装置、电子设备和计算机存储介质 |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB0513375D0 (en) | 2005-06-30 | 2005-08-03 | Retento Ltd | Computer security |
| CN101350052B (zh) | 2007-10-15 | 2010-11-03 | 北京瑞星信息技术有限公司 | 发现计算机程序的恶意行为的方法和装置 |
| CN101350054B (zh) | 2007-10-15 | 2011-05-25 | 北京瑞星信息技术有限公司 | 计算机有害程序自动防护方法及装置 |
| US8863282B2 (en) * | 2009-10-15 | 2014-10-14 | Mcafee Inc. | Detecting and responding to malware using link files |
| US8407790B2 (en) * | 2010-02-09 | 2013-03-26 | Webroot, Inc. | Low-latency detection of scripting-language-based exploits |
| TWI435235B (zh) * | 2010-11-04 | 2014-04-21 | Inst Information Industry | 電腦蠕蟲治療系統以及方法以及儲存電腦蠕蟲治療方法之電腦可讀取記錄媒體 |
| US10574630B2 (en) | 2011-02-15 | 2020-02-25 | Webroot Inc. | Methods and apparatus for malware threat research |
| US8949803B2 (en) * | 2011-02-28 | 2015-02-03 | International Business Machines Corporation | Limiting execution of software programs |
| US9652616B1 (en) * | 2011-03-14 | 2017-05-16 | Symantec Corporation | Techniques for classifying non-process threats |
| CN102904874B (zh) * | 2012-08-23 | 2015-08-05 | 珠海市君天电子科技有限公司 | 一种跨服务器进行数据有效性校验的方法 |
| WO2014143029A1 (en) * | 2013-03-15 | 2014-09-18 | Mcafee, Inc. | Generic privilege escalation prevention |
| US20150113644A1 (en) * | 2013-10-21 | 2015-04-23 | Trusteer, Ltd. | Exploit Detection/Prevention |
| US9697361B2 (en) * | 2015-07-06 | 2017-07-04 | AO Kaspersky Lab | System and method of controlling opening of files by vulnerable applications |
| US10691808B2 (en) * | 2015-12-10 | 2020-06-23 | Sap Se | Vulnerability analysis of software components |
| US10075456B1 (en) * | 2016-03-04 | 2018-09-11 | Symantec Corporation | Systems and methods for detecting exploit-kit landing pages |
| US11741196B2 (en) | 2018-11-15 | 2023-08-29 | The Research Foundation For The State University Of New York | Detecting and preventing exploits of software vulnerability using instruction tags |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060075494A1 (en) * | 2004-10-01 | 2006-04-06 | Bertman Justin R | Method and system for analyzing data for potential malware |
| US20070113078A1 (en) * | 2005-11-11 | 2007-05-17 | Witt Russell A | System and method for encrypting data without regard to application |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1282083C (zh) * | 2001-09-14 | 2006-10-25 | 北京瑞星科技股份有限公司 | 计算机内存病毒监控和带毒运行方法 |
| US20040225877A1 (en) * | 2003-05-09 | 2004-11-11 | Zezhen Huang | Method and system for protecting computer system from malicious software operation |
| US8332943B2 (en) * | 2004-02-17 | 2012-12-11 | Microsoft Corporation | Tiered object-related trust decisions |
| US7409719B2 (en) * | 2004-12-21 | 2008-08-05 | Microsoft Corporation | Computer security management, such as in a virtual machine or hardened operating system |
| CN100401224C (zh) * | 2005-06-23 | 2008-07-09 | 福建东方微点信息安全有限责任公司 | 计算机反病毒防护系统和方法 |
| JP4733509B2 (ja) * | 2005-11-28 | 2011-07-27 | 株式会社野村総合研究所 | 情報処理装置、情報処理方法およびプログラム |
-
2007
- 2007-10-15 CN CNA2007101624430A patent/CN101350053A/zh active Pending
-
2008
- 2008-10-15 WO PCT/CN2008/072699 patent/WO2009049556A1/zh active Application Filing
- 2008-10-15 JP JP2010529220A patent/JP2011501280A/ja not_active Ceased
- 2008-10-15 US US12/738,037 patent/US20100306851A1/en not_active Abandoned
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060075494A1 (en) * | 2004-10-01 | 2006-04-06 | Bertman Justin R | Method and system for analyzing data for potential malware |
| US20070113078A1 (en) * | 2005-11-11 | 2007-05-17 | Witt Russell A | System and method for encrypting data without regard to application |
Cited By (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101820419B (zh) * | 2010-03-23 | 2012-12-26 | 北京大学 | 一种挂马网页中网页木马挂接点自动定位方法 |
| CN101820419A (zh) * | 2010-03-23 | 2010-09-01 | 北京大学 | 一种挂马网页中网页木马挂接点自动定位方法 |
| CN102254112A (zh) * | 2011-06-13 | 2011-11-23 | 上海置水软件技术有限公司 | 一种安全浏览网页的方法 |
| CN102332071B (zh) * | 2011-09-30 | 2014-07-30 | 奇智软件(北京)有限公司 | 发现疑似恶意信息、追踪恶意文件的方法及装置 |
| CN102332071A (zh) * | 2011-09-30 | 2012-01-25 | 奇智软件(北京)有限公司 | 发现疑似恶意信息、追踪恶意文件的方法及装置 |
| CN102902919A (zh) * | 2012-08-30 | 2013-01-30 | 北京奇虎科技有限公司 | 一种可疑操作的识别处理方法、装置和系统 |
| CN102902919B (zh) * | 2012-08-30 | 2015-11-25 | 北京奇虎科技有限公司 | 一种可疑操作的识别处理方法、装置和系统 |
| CN102916937B (zh) * | 2012-09-11 | 2015-11-25 | 北京奇虎科技有限公司 | 一种拦截网页攻击的方法、装置和客户端设备 |
| CN102916937A (zh) * | 2012-09-11 | 2013-02-06 | 北京奇虎科技有限公司 | 一种拦截网页攻击的方法、装置和客户端设备 |
| CN102984134B (zh) * | 2012-11-12 | 2015-11-25 | 北京奇虎科技有限公司 | 安全防御系统 |
| CN102984134A (zh) * | 2012-11-12 | 2013-03-20 | 北京奇虎科技有限公司 | 安全防御系统 |
| CN103617395B (zh) * | 2013-12-06 | 2017-01-18 | 北京奇虎科技有限公司 | 一种基于云安全拦截广告程序的方法、装置和系统 |
| WO2015081900A1 (zh) * | 2013-12-06 | 2015-06-11 | 北京奇虎科技有限公司 | 基于云安全拦截广告程序的方法、装置和系统 |
| CN103617395A (zh) * | 2013-12-06 | 2014-03-05 | 北京奇虎科技有限公司 | 一种基于云安全拦截广告程序的方法、装置和系统 |
| CN105574410A (zh) * | 2015-12-15 | 2016-05-11 | 北京金山安全软件有限公司 | 一种应用程序的安全检测方法及装置 |
| CN105574410B (zh) * | 2015-12-15 | 2018-07-31 | 北京金山安全软件有限公司 | 一种应用程序的安全检测方法及装置 |
| CN106998335A (zh) * | 2017-06-13 | 2017-08-01 | 深信服科技股份有限公司 | 一种漏洞检测方法、网关设备、浏览器及系统 |
| CN106998335B (zh) * | 2017-06-13 | 2020-09-18 | 深信服科技股份有限公司 | 一种漏洞检测方法、网关设备、浏览器及系统 |
| CN108768934A (zh) * | 2018-04-11 | 2018-11-06 | 北京立思辰新技术有限公司 | 恶意程序发布检测方法、装置以及介质 |
| CN108768934B (zh) * | 2018-04-11 | 2021-09-07 | 北京立思辰新技术有限公司 | 恶意程序发布检测方法、装置以及介质 |
| CN109284604A (zh) * | 2018-09-10 | 2019-01-29 | 中国联合网络通信集团有限公司 | 一种基于虚拟机的软件行为分析方法和系统 |
| CN112800337A (zh) * | 2021-02-08 | 2021-05-14 | 联想(北京)有限公司 | 一种信息处理方法、装置、电子设备和计算机存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2011501280A (ja) | 2011-01-06 |
| US20100306851A1 (en) | 2010-12-02 |
| WO2009049556A1 (fr) | 2009-04-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101350053A (zh) | 防止网页浏览器被漏洞利用的方法和装置 | |
| US10599841B2 (en) | System and method for reverse command shell detection | |
| CN109033828B (zh) | 一种基于计算机内存分析技术的木马检测方法 | |
| CN112769821B (zh) | 一种基于威胁情报和att&ck的威胁响应方法及装置 | |
| Wang et al. | Detecting stealth software with strider ghostbuster | |
| Kirda et al. | Noxes: a client-side solution for mitigating cross-site scripting attacks | |
| US9596255B2 (en) | Honey monkey network exploration | |
| EP2659416B1 (en) | Systems and methods for malware detection and scanning | |
| Kirda et al. | Behavior-based Spyware Detection. | |
| KR101514984B1 (ko) | 홈페이지 악성코드 유포 탐지 시스템 및 방법 | |
| CN101826139B (zh) | 一种非可执行文件挂马检测方法及其装置 | |
| US8973136B2 (en) | System and method for protecting computer systems from malware attacks | |
| US8595840B1 (en) | Detection of computer network data streams from a malware and its variants | |
| US20130061323A1 (en) | System and method for protecting against malware utilizing key loggers | |
| US20100037317A1 (en) | Mehtod and system for security monitoring of the interface between a browser and an external browser module | |
| WO2009049555A1 (fr) | Procédé et appareil pour détecter le comportement malveillant d'un programme informatique | |
| US20090165136A1 (en) | Detection of Window Replacement by a Malicious Software Program | |
| US8230499B1 (en) | Detecting and blocking unauthorized downloads | |
| KR101223594B1 (ko) | Lkm 루트킷 검출을 통한 실시간 운영정보 백업 방법 및 그 기록매체 | |
| Gittins et al. | Malware persistence mechanisms | |
| Shan et al. | Enforcing mandatory access control in commodity OS to disable malware | |
| US7620983B1 (en) | Behavior profiling | |
| US8141153B1 (en) | Method and apparatus for detecting executable software in an alternate data stream | |
| Afonso et al. | A hybrid framework to analyze web and os malware | |
| Venkatraman | Autonomic context-dependent architecture for malware detection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1124413 Country of ref document: HK |
|
| ASS | Succession or assignment of patent right |
Owner name: BEIJING RISING INTERNATIONAL TECHNOLOGY CO., LTD. Free format text: FORMER OWNER: BEIJING RISING INTERNATIONAL SOFTWARE CO., LTD. Effective date: 20100413 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: 100080 ROOM 1305, ZHONGKE BUILDING, NO.22, ZHONGGUANCUN AVENUE, BEIJING CITY TO: 100190 ROOM 1301, ZHONGKE BUILDING, NO.22, ZHONGGUANCUN AVENUE, HAIDIAN DISTRICT, BEIJING CITY |
|
| TA01 | Transfer of patent application right |
Effective date of registration: 20100413 Address after: 100190 Beijing City, Haidian District Zhongguancun Street Branch No. 22 building, room 1301 Applicant after: Beijing Rising Information Technology Co., Ltd. Address before: 100080, room 1305, Zhongke building, 22 Zhongguancun street, Beijing Applicant before: Beijing Rising International Software Co., Ltd. |
|
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20090121 |
|
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: WD Ref document number: 1124413 Country of ref document: HK |