CN102024113B - 快速检测恶意代码的方法和系统 - Google Patents
快速检测恶意代码的方法和系统 Download PDFInfo
- Publication number
- CN102024113B CN102024113B CN2010106004648A CN201010600464A CN102024113B CN 102024113 B CN102024113 B CN 102024113B CN 2010106004648 A CN2010106004648 A CN 2010106004648A CN 201010600464 A CN201010600464 A CN 201010600464A CN 102024113 B CN102024113 B CN 102024113B
- Authority
- CN
- China
- Prior art keywords
- file
- behavior pattern
- check point
- module
- apocrypha
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 397
- 238000011068 loading method Methods 0.000 claims description 57
- 238000013515 script Methods 0.000 claims description 18
- 238000001514 detection method Methods 0.000 abstract description 10
- 230000006399 behavior Effects 0.000 description 103
- 238000010586 diagram Methods 0.000 description 4
- 230000009977 dual effect Effects 0.000 description 2
- 238000005303 weighing Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000001235 sensitizing effect Effects 0.000 description 1
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Stored Programmes (AREA)
Abstract
本发明公开了快速检测恶意代码的方法和系统。该方法包括:获取预先设定的检测点的所有文件;对获取的所有文件进行常规引擎扫描;如果发现可疑文件,则上报可疑文件;如果没有发现可疑文件,则对所有文件中用于行为模式判定的检测点的文件进行行为模式判定;如果发现可疑文件,则上报可疑文件。本发明可以避免扫描其他的正常文件,能够快速定位恶意代码,从而提高检测速度。同时,本发明可以对没有特征码的文件的属性直接做出判断,实现了对特殊环境进行数据获取并进行定向分析,检测到传统快速扫描无法检测出来的恶意代码。
Description
技术领域
本发明涉及恶意代码检测技术,特别涉及快速检测恶意代码的方法和系统。
背景技术
随着计算机技术的飞速发展,计算机主要存储设备硬盘的容量不断增大,用户安装软件越来越多,硬盘中文件数量和容量不断增加。
很多恶意代码会将自己复制到system32、startup等windows固定、敏感目录下,传统的常规引擎将这些目录列为高危目录,通过对这些目录的所有文件进行扫描来实现快速扫描,但是这个目录下的绝大多数文件都是正常的。
传统的检测技术,受限磁盘IO读取速度,要做到全面准确的检测病毒需要一个漫长的等待过程,特别是T级硬盘已经成为主流存储设备的今天,检测速度成为了杀毒软件首当其冲需要解决的难题。
发明内容
本发明提供快速检测恶意代码的方法和系统,用以提高对恶意代码的检测速度。
一种快速检测恶意代码的方法,包括:
获取预先设定的检测点的所有文件;
对获取的所有文件进行常规引擎扫描;
如果发现可疑文件,则上报可疑文件;
如果没有发现可疑文件,则对所有文件中用于行为模式判定的检测点的文件进行行为模式判定;
如果发现可疑文件,则上报可疑文件。
所述方法中,所述预先设定的检测点包括只用于常规引擎扫描的检测点,和用于常规引擎扫描及行为模式判定的检测点;
用于行为模式判定的检测点为用于常规引擎扫描及行为模式判定的检测点。
所述方法中,所述只用于常规引擎扫描的检测点包括驱动程序、服务模块、内核模块、IE插件、映像劫持和桌面文件中的至少一个检测点:
驱动程序,具体为:通过系统提供的API(Application Programming Interface,应用程序编程接口)枚举所得的当前系统加载的所有驱动程序;
服务模块,具体为:通过系统提供的API枚举所得的当前系统加载的所有服务模块;
内核模块,具体为:通过系统提供的Native API(系统原生API)枚举所得的系统加载的所有内核模块;
IE(Windows Internet Explorer,一般称成Internet Explorer,简称IE,是微软公司推出的一款网页浏览器)插件,具体为:通过扫描系统注册表相应键值,所得的所有IE插件;
映像劫持,具体为:通过扫描系统注册表相应键值,所得的所有映像劫持;
桌面文件,具体为:当前系统所有桌面文件及快捷方式所指向的文件。
所述方法中,所述用于常规引擎扫描及行为模式判定的检测点包括进程模块、启动项、进程加载的模块、加载的系统服务、可执行文件1和可执行文件2中的至少一个检测点:
进程模块,具体为:通过枚举方法所得的当前系统加载的所有进程的二进制映像路径;
启动项,具体为:通过扫描所有在系统启动时启动程序的方法,枚举系统的启动项;
进程加载的模块,具体为:通过枚举方法所得的系统特定进程下所有加载的模块;
可执行文件1,具体为:非只读类文件系统下的autorun.inf及其指向的可执行文件;
可执行文件2,具体为:本身不包含可执行文件的目录下的可执行文件。
所述方法中,通过枚举方法所得的当前系统加载的所有进程的二进制映像路径中的枚举方法为下述至少一种方法:
通过系统提供的PSAPI(Process Status Application Programming Interface,进程状态应用程序编程接口)进行枚举的方法;
通过系统提供的Native API进行枚举的方法;
通过枚举PID(Process Identifier,进程控制符)的方法。
所述方法中,通过枚举方法所得的系统特定进程下所有加载的模块中的枚举方法为:通过系统提供的PSAPI进行枚举和/或枚举进程用户空间的方法。
所述方法中,加载的系统服务,具体为:通过对HIVE文件(windows系统注册表文件的组织格式)进行格式解析和/或遍历当前系统加载的注册表相应键值的方法获得的所有加载的系统服务。
所述方法中,对获取的所有文件进行常规引擎扫描之前,还可以对所获取的所有文件进行消重处理,从而提高后续扫描、判定的效率。
所述方法中,对所有文件中用于行为模式判定的检测点的文件进行行为模式判定包括:对于进程模块,比对当前系统加载的所有进程的二进制映像路径,将通过系统提供的PSAPI进行枚举的方法没有获取到、但通过系统提供的Native API进行枚举的方法和通过枚举PID的方法中的至少一种方法获取到的二进制映像路径所对应的进程,判定为可疑文件。
所述方法中,对所有文件中用于行为模式判定的检测点的文件进行行为模式判定包括:对于启动项,如果启动目录下有脚本文件,则将所述脚本文件判定为可疑文件。
所述方法中,对所有文件中用于行为模式判定的检测点的文件进行行为模式判定包括:对于进程加载的模块,比对通过系统提供的PSAPI进行枚举和枚举进程用户空间的方法所得的系统特定进程下所有加载的模块,将通过系统提供的PSAPI进行枚举的方法没有获取到、但通过枚举进程用户空间的方法获取到的加载的模块,判定为可疑文件。
所述方法中,对所有文件中用于行为模式判定的检测点的文件进行行为模式判定包括:对于加载的系统服务,比对通过对HIVE文件进行格式解析和遍历当前系统加载的注册表相应键值的方法所得的所有服务加载项,将通过对HIVE文件进行格式解析的方法没有获取到、但通过遍历当前系统加载的注册表相应键值的方法获取到的服务加载项,判定为可疑文件。
所述方法中,对所有文件中用于行为模式判定的检测点的文件进行行为模式判定包括:
对于所述可执行文件1,将非只读类文件系统下的autorun.inf及其指向的可执行文件,判定为可疑文件;
对于所述可执行文件2,将本身不包含可执行文件目录下的可执行文件,判定为可疑文件。
一种快速检测恶意代码的系统,包括:
获取单元,用于获取预先设定的检测点的所有文件;
扫描单元,用于对所述获取单元中获取的所有文件进行常规引擎扫描;
判定单元,用于当所述扫描单元中常规引擎扫描没有发现可疑文件时,对所有文件中用于行为模式判定的检测点的文件进行行为模式判定;
上报单元,用于当所述扫描单元中常规引擎扫描发现可疑文件时,上报可疑文件;另外,当所述扫描单元中常规引擎扫描没有发现可疑文件,而所述判定单元中行为模式判定发现可疑文件时,上报可疑文件。
所述系统中,所述获取单元中,所述预先设定的检测点包括只用于常规引擎扫描的检测点,和用于常规引擎扫描及行为模式判定的检测点;所述判定单元中,所述用于行为模式判定的检测点为用于常规引擎扫描及行为模式判定的检测点。
所述系统中,所述获取单元中,所述只用于常规引擎扫描的检测点包括驱动程序、服务模块、内核模块、IE插件、映像劫持和桌面文件中的至少一个检测点:
驱动程序,具体为:通过系统提供的API(Application Programming Interface,应用程序编程接口)枚举所得的当前系统加载的所有驱动程序;
服务模块,具体为:通过系统提供的API枚举所得的当前系统加载的所有服务模块;
内核模块,具体为:通过系统提供的Native API(系统原生API)枚举所得的系统加载的所有内核模块;
IE(Windows Internet Explorer,一般称成Internet Explorer,简称IE,是微软公司推出的一款网页浏览器)插件,具体为:通过扫描系统注册表相应键值,所得的所有IE插件;
映像劫持,具体为:通过扫描系统注册表相应键值,所得的所有映像劫持;
桌面文件,具体为:当前系统所有桌面文件及快捷方式所指向的文件。
所述系统中,所述获取单元中,所述用于常规引擎扫描及行为模式判定的检测点包括进程模块、启动项、进程加载的模块、加载的系统服务、可执行文件1和可执行文件2中的至少一个检测点:
进程模块,具体为:通过枚举方法所得的当前系统加载的所有进程的二进制映像路径;
启动项,具体为:通过扫描所有在系统启动时启动程序的方法,枚举系统的启动项;
进程加载的模块,具体为:通过枚举方法所得的系统特定进程下所有加载的模块;
可执行文件1,具体为:非只读类文件系统下的autorun.inf及其指向的可执行文件;
可执行文件2,具体为:本身不包含可执行文件的目录下的可执行文件。
其中,通过枚举方法所得的当前系统加载的所有进程的二进制映像路径中的枚举方法为下述至少一种方法:
通过系统提供的PSAPI(Process Status Application Programming Interface ,进程状态应用程序编程接口)进行枚举的方法;
通过系统提供的Native API进行枚举的方法;
通过枚举PID(Process Identifier,进程控制符)的方法。
其中,通过枚举方法所得的系统特定进程下所有加载的模块中的枚举方法为:通过系统提供的PSAPI进行枚举和/或枚举进程用户空间的方法。
其中,加载的系统服务,具体为:通过对HIVE文件(windows系统注册表文件的组织格式)进行格式解析和/或遍历当前系统加载的注册表相应键值的方法获得的所有加载的系统服务。
所述系统中,在所述扫描单元对所述获取单元中获取的所有文件进行常规引擎扫描之前,还可以对所述获取单元所获取的所有文件进行消重处理,从而提高后续扫描、判定的效率。
所述系统中,所述判定单元中,对所有文件中用于行为模式判定的检测点的文件进行行为模式判定包括:对于进程模块,比对当前系统加载的所有进程的二进制映像路径,将通过系统提供的PSAPI进行枚举的方法没有获取到、但通过系统提供的Native API进行枚举的方法和通过枚举PID的方法中的至少一种方法获取到的二进制映像路径所对应的进程,判定为可疑文件。
所述系统中,所述判定单元中,对所有文件中用于行为模式判定的检测点的文件进行行为模式判定包括:对于启动项,如果启动目录下有脚本文件,则将所述脚本文件判定为可疑文件。
所述系统中,所述判定单元中,对所有文件中用于行为模式判定的检测点的文件进行行为模式判定包括:对于进程加载的模块,比对通过系统提供的PSAPI进行枚举和枚举进程用户空间的方法所得的系统特定进程下所有加载的模块,将通过系统提供的PSAPI进行枚举的方法没有获取到、但通过枚举进程用户空间的方法获取到的加载的模块,判定为可疑文件。
所述系统中,所述判定单元中,对所有文件中用于行为模式判定的检测点的文件进行行为模式判定包括:对于加载的系统服务,比对通过对HIVE文件进行格式解析和遍历当前系统加载的注册表相应键值的方法所得的所有服务加载项,将通过对HIVE文件进行格式解析的方法没有获取到、但通过遍历当前系统加载的注册表相应键值的方法获取到的服务加载项,判定为可疑文件。
所述系统中,所述判定单元中,对所有文件中用于行为模式判定的检测点的文件进行行为模式判定包括:
对于所述可执行文件1,将非只读类文件系统下的autorun.inf及其指向的可执行文件,判定为可疑文件;
对于所述可执行文件2,将本身不包含可执行文件目录下的可执行文件,判定为可疑文件。
在本发明中,获取预先设定的检测点的所有文件;对获取的所有文件进行常规引擎扫描;如果发现可疑文件,则上报可疑文件;如果没有发现可疑文件,则对所有文件中用于行为模式判定的检测点的文件进行行为模式判定;如果发现可疑文件,则上报可疑文件。这样就实现了对恶意代码的快速检测。本发明还具有快速性和准确性,分别体现在:可以避免扫描其他的正常文件,能够快速定位恶意代码,从而提高检测速度;本发明分两个渠道判定是否恶意代码,分别是:通过特征码匹配方式进行常规引擎扫描,和通过行为模式进行判定,从而覆盖了系统敏感区域,保证了系统的安全性,并提高了快速检测的准确性。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的一种快速检测恶意代码的方法的流程图;
图2是本发明提供的一种快速检测恶意代码的系统的框架图;
图3是本发明提供的具体实施例的流程图;
图4是本发明提供的具体实施例的框架图。
具体实施方式
本发明提供快速检测恶意代码方法和系统,主要针对windows系统环境,根据恶意代码在其运行后就要进入内存这一特性,直接到内存中去扫描系统所有已启动进程和加载模块对应的实体文件、特定非PE存在目录、根目录等敏感项。相对于传统引擎,本发明可以避免扫描其他的正常文件,从而提高检测速度。同时,本发明分两个渠道判定是否恶意代码,分别是:通过特征码匹配方式进行常规引擎扫描,和通过行为模式进行判定。因此,即使没有特征码,本发明也可以对文件的属性直接做出判断,实现了对特殊的环境进行数据获取并进行定向分析,以检测到传统快速扫描无法检测出来的恶意代码。
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
首先结合图1,介绍本发明的一种快速检测恶意代码的方法。如图1所示,这种方法包括:
S101:获取预先设定的检测点的所有文件;
S102:对获取的所有文件进行常规引擎扫描;
S103:如果发现可疑文件,则上报可疑文件;
S104:如果没有发现可疑文件,则对所有文件中用于行为模式判定的检测点的文件进行行为模式判定;
S105:如果发现可疑文件,则上报可疑文件。
所述S101中,所述预先设定的检测点包括只用于常规引擎扫描的检测点,和用于常规引擎扫描及行为模式判定的检测点;
用于行为模式判定的检测点为用于常规引擎扫描及行为模式判定的检测点。
所述方法中,所述只用于常规引擎扫描的检测点包括驱动程序、服务模块、内核模块、IE插件、映像劫持和桌面文件中的至少一个检测点:
驱动程序,具体为:通过系统提供的API(Application Programming Interface,应用程序编程接口)枚举所得的当前系统加载的所有驱动程序;
服务模块,具体为:通过系统提供的API枚举所得的当前系统加载的所有服务模块;
内核模块,具体为:通过系统提供的Native API(系统原生API)枚举所得的系统加载的所有内核模块;
IE(Windows Internet Explorer,一般称成Internet Explorer,简称IE,是微软公司推出的一款网页浏览器)插件,具体为:通过扫描系统注册表相应键值,所得的所有IE插件;
映像劫持,具体为:通过扫描系统注册表相应键值,所得的所有映像劫持;
桌面文件,具体为:当前系统所有桌面文件及快捷方式所指向的文件。
所述方法中,所述用于常规引擎扫描及行为模式判定的检测点包括进程模块、启动项、进程加载的模块、加载的系统服务、可执行文件1和可执行文件2中的至少一个检测点:
进程模块,具体为:通过枚举方法所得的当前系统加载的所有进程的二进制映像路径;
启动项,具体为:通过扫描所有在系统启动时启动程序的方法,枚举系统的启动项;
进程加载的模块,具体为:通过枚举方法所得的系统特定进程下所有加载的模块;
可执行文件1,具体为:非只读类文件系统下的autorun.inf及其指向的可执行文件;
可执行文件2,具体为:本身不包含可执行文件的目录下的可执行文件。
所述方法中,其特征在于:通过枚举方法所得的当前系统加载的所有进程的二进制映像路径中的枚举方法为下述至少一种方法:
通过系统提供的PSAPI(Process Status Application Programming Interface ,进程状态应用程序编程接口)进行枚举的方法;
通过系统提供的Native API进行枚举的方法;
通过枚举PID(Process Identifier,进程控制符)的方法。
所述方法中,通过枚举方法所得的系统特定进程下所有加载的模块中的枚举方法为:通过系统提供的PSAPI进行枚举和/或枚举进程用户空间的方法。
所述方法中,加载的系统服务,具体为:通过对HIVE文件(windows系统注册表文件的组织格式)进行格式解析和/或遍历当前系统加载的注册表相应键值的方法获得的所有加载的系统服务。
所述S102中,对获取的所有文件进行常规引擎扫描之前,还可以对所述S101中所获取的所有文件进行消重处理,从而提高后续扫描、判定的效率。
所述S104中,对所有文件中用于行为模式判定的检测点的文件进行行为模式判定包括:对于进程模块,比对当前系统加载的所有进程的二进制映像路径,将通过系统提供的PSAPI进行枚举的方法没有获取到、但通过系统提供的Native API进行枚举的方法和通过枚举PID的方法中的至少一种方法获取到的二进制映像路径所对应的进程,判定为可疑文件。
所述S104中,对所有文件中用于行为模式判定的检测点的文件进行行为模式判定包括:对于启动项,如果启动目录下有脚本文件,则将所述脚本文件判定为可疑文件。
所述S104中,对所有文件中用于行为模式判定的检测点的文件进行行为模式判定包括:对于进程加载的模块,比对通过系统提供的PSAPI进行枚举和枚举进程用户空间的方法所得的系统特定进程下所有加载的模块,将通过系统提供的PSAPI进行枚举的方法没有获取到、但通过枚举进程用户空间的方法获取到的加载的模块,判定为可疑文件。
所述S104中,对所有文件中用于行为模式判定的检测点的文件进行行为模式判定包括:对于加载的系统服务,比对通过对HIVE文件进行格式解析和遍历当前系统加载的注册表相应键值的方法所得的所有服务加载项,将通过对HIVE文件进行格式解析的方法没有获取到、但通过遍历当前系统加载的注册表相应键值的方法获取到的服务加载项,判定为可疑文件。
所述S104中,对所有文件中用于行为模式判定的检测点的文件进行行为模式判定包括:
对于所述可执行文件1,将非只读类文件系统下的autorun.inf及其指向的可执行文件,判定为可疑文件;
对于所述可执行文件2,将本身不包含可执行文件目录下的可执行文件,判定为可疑文件。
对应于上述的方法实施例,本发明还提供一种快速检测恶意代码的系统。如图2所示,这种系统包括:
一种快速检测恶意代码的系统,包括:
获取单元201,用于获取预先设定的检测点的所有文件;
扫描单元202,用于对所述获取单元201中获取的所有文件进行常规引擎扫描;
判定单元203,用于当所述扫描单元202中常规引擎扫描没有发现可疑文件时,对所有文件中用于行为模式判定的检测点的文件进行行为模式判定;
上报单元204,用于当所述扫描单元202中常规引擎扫描发现可疑文件时,上报可疑文件;另外,当所述扫描单元202中常规引擎扫描没有发现可疑文件,而所述判定单元203中行为模式判定发现可疑文件时,上报可疑文件。
所述系统中,所述获取单元201中,所述预先设定的检测点包括只用于常规引擎扫描的检测点,和用于常规引擎扫描及行为模式判定的检测点;所述判定单元203中,所述用于行为模式判定的检测点为用于常规引擎扫描及行为模式判定的检测点。
所述系统中,所述获取单元201中,所述只用于常规引擎扫描的检测点包括驱动程序、服务模块、内核模块、IE插件、映像劫持和桌面文件中的至少一个检测点:
驱动程序,具体为:通过系统提供的API(Application Programming Interface,应用程序编程接口)枚举所得的当前系统加载的所有驱动程序;
服务模块,具体为:通过系统提供的API枚举所得的当前系统加载的所有服务模块;
内核模块,具体为:通过系统提供的Native API(系统原生API)枚举所得的系统加载的所有内核模块;
IE(Windows Internet Explorer,一般称成Internet Explorer,简称IE,是微软公司推出的一款网页浏览器)插件,具体为:通过扫描系统注册表相应键值,所得的所有IE插件;
映像劫持,具体为:通过扫描系统注册表相应键值,所得的所有映像劫持;
桌面文件,具体为:当前系统所有桌面文件及快捷方式所指向的文件。
所述系统中,所述获取单元201中,所述用于常规引擎扫描及行为模式判定的检测点包括进程模块、启动项、进程加载的模块、加载的系统服务、可执行文件1和可执行文件2中的至少一个检测点:
进程模块,具体为:通过枚举方法所得的当前系统加载的所有进程的二进制映像路径;
启动项,具体为:通过扫描所有在系统启动时启动程序的方法,枚举系统的启动项;
进程加载的模块,具体为:通过枚举方法所得的系统特定进程下所有加载的模块;
可执行文件1,具体为:非只读类文件系统下的autorun.inf及其指向的可执行文件;
可执行文件2,具体为:本身不包含可执行文件的目录下的可执行文件。
所述系统中,其特征在于:通过枚举方法所得的当前系统加载的所有进程的二进制映像路径中的枚举方法为下述至少一种方法:
通过系统提供的PSAPI(Process Status Application Programming Interface ,进程状态应用程序编程接口)进行枚举的方法;
通过系统提供的Native API进行枚举的方法;
通过枚举PID(Process Identifier,进程控制符)的方法。
所述系统中,通过枚举方法所得的系统特定进程下所有加载的模块中的枚举方法为:通过系统提供的PSAPI进行枚举和/或枚举进程用户空间的方法。
所述系统中,加载的系统服务,具体为:通过对HIVE文件(windows系统注册表文件的组织格式)进行格式解析和/或遍历当前系统加载的注册表相应键值的方法获得的所有加载的系统服务。
所述系统中,在所述扫描单元202对所述获取单元201中获取的所有文件进行常规引擎扫描之前,还可以对所述获取单元201所获取的所有文件进行消重处理,从而提高后续扫描、判定的效率。
所述系统中,所述判定单元203中,对所有文件中用于行为模式判定的检测点的文件进行行为模式判定包括:对于进程模块,比对当前系统加载的所有进程的二进制映像路径,将通过系统提供的PSAPI进行枚举的方法没有获取到、但通过系统提供的Native API进行枚举的方法和通过枚举PID的方法中的至少一种方法获取到的二进制映像路径所对应的进程,判定为可疑文件。
所述系统中,所述判定单元203中,对所有文件中用于行为模式判定的检测点的文件进行行为模式判定包括:对于启动项,如果启动目录下有脚本文件,则将所述脚本文件判定为可疑文件。
所述系统中,所述判定单元203中,对所有文件中用于行为模式判定的检测点的文件进行行为模式判定包括:对于进程加载的模块,比对通过系统提供的PSAPI进行枚举和枚举进程用户空间的方法所得的系统特定进程下所有加载的模块,将通过系统提供的PSAPI进行枚举的方法没有获取到、但通过枚举进程用户空间的方法获取到的加载的模块,判定为可疑文件。
所述系统中,所述判定单元203中,对所有文件中用于行为模式判定的检测点的文件进行行为模式判定包括:对于加载的系统服务,比对通过对HIVE文件进行格式解析和遍历当前系统加载的注册表相应键值的方法所得的所有服务加载项,将通过对HIVE文件进行格式解析的方法没有获取到、但通过遍历当前系统加载的注册表相应键值的方法获取到的服务加载项,判定为可疑文件。
所述系统中,所述判定单元203中,对所有文件中用于行为模式判定的检测点的文件进行行为模式判定包括:
对于所述可执行文件1,将非只读类文件系统下的autorun.inf及其指向的可执行文件,判定为可疑文件;
对于所述可执行文件2,将本身不包含可执行文件目录下的可执行文件,判定为可疑文件。
为使本领域普通技术人员更加清楚的理解本发明,下面再结合图3和图4,对本发明进行详细说明。
如图3所示,本发明的一种快速检测恶意代码的方法包括:
S301:获取预先设定的检测点的所有文件;
其中,所述预先设定的检测点包括只用于常规引擎扫描的检测点,和用于常规引擎扫描及行为模式判定的检测点;用于行为模式判定的检测点为用于常规引擎扫描及行为模式判定的检测点;
其中,所述只用于常规引擎扫描的检测点包括驱动程序、服务模块、内核模块、IE插件、映像劫持和桌面文件中的至少一个检测点:
驱动程序,具体为:通过系统提供的API(Application Programming Interface,应用程序编程接口)枚举所得的当前系统加载的所有驱动程序;例如:通过API枚举获得当前显卡驱动vga.sys,然后再获取到对应的映像路径C:\WINDOWS\system32\drivers\vga.sys;
服务模块,具体为:通过系统提供的API枚举所得的当前系统加载的所有服务模块;
内核模块,具体为:通过系统提供的Native API(系统原生API)枚举所得的系统加载的所有内核模块;例如:通过Native API枚举获得系统内核ntkrnlpa.exe,然后再获取到对应的映像路径C:\WINDOWS\system32\ntkrnlpa.exe;
IE(Windows Internet Explorer,一般称成Internet Explorer,简称IE,是微软公司推出的一款网页浏览器)插件,具体为:通过扫描系统注册表相应键值,所得的所有IE插件;
映像劫持,具体为:通过扫描系统注册表相应键值,所得的所有映像劫持;例如:通过使用注册表API RegEnumValue枚举HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel, HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel,HKLM\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions,HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions,等项,获取IE插件及映像劫持;
桌面文件,具体为:当前系统所有桌面文件及快捷方式所指向的文件;桌面文件是最容易被感染的区域,该区域的所有文件将直接交给传统引擎扫描;
其中,所述用于常规引擎扫描及行为模式判定的检测点包括进程模块、启动项、进程加载的模块、加载的系统服务、可执行文件1和可执行文件2中的至少一个检测点:
进程模块,具体为:通过枚举方法所得的当前系统加载的所有进程的二进制映像路径;
启动项,具体为:通过扫描所有在系统启动时启动程序的方法,枚举系统的启动项;例如:使用注册表API RegEnumValue枚举注册表启动项,得到HKLM\SOFTWARE\Microsoft\Windows \currentVersion\Run:a,获取a的键值得到启动项的路径;通过获取系统的启动目录,枚举启动项的路径;
进程加载的模块,具体为:通过枚举方法所得的系统特定进程下所有加载的模块;
可执行文件1,具体为:非只读类文件系统下的autorun.inf及其指向的可执行文件;例如:分区下有c,d,e三个盘,c,d是硬盘磁盘驱动器分区,e是光驱;这些文件系统下的可执行文件;
可执行文件2,具体为:本身不包含可执行文件的目录下的可执行文件;例如:fonts是字体目录,tasks为计划任务目录,系统默认此类目录文件下为固定格式文件,不含可执行文件;
其中,通过枚举方法所得的当前系统加载的所有进程的二进制映像路径中的枚举方法为下述至少一种方法:
通过系统提供的PSAPI(Process Status Application Programming Interface ,进程状态应用程序编程接口)进行枚举的方法;
通过系统提供的Native API进行枚举的方法;
通过枚举PID(Process Identifier,进程控制符)的方法;
例如:通过PSAPI获得,a.exe,b.exe,c.exe三个进程,通过后两种方式获得a.exe,b.exe,c.exe,d.exe四个进程;
其中,通过枚举方法所得的系统特定进程下所有加载的模块中的枚举方法为:通过系统提供的PSAPI进行枚举和/或枚举进程用户空间的方法;例如:通过系统提供的PSAPI获得a进程下面加载了b.dll,c.dll模块,通过枚举进程用户空间方法获得b.dll,c.dll,d.dll;
其中,加载的系统服务,具体为:通过对HIVE文件(windows系统注册表文件的组织格式)进行格式解析和/或遍历当前系统加载的注册表相应键值的方法获得的所有加载的系统服务;例如:通过对HIVE文件进行格式解析获得a,b,c,d四项服务,通过注册表API RegEnumValue枚举HKEY_LOCAL_MACHINE\SYSTEM\ControlSet*获得,a,b,c三项服务;
S302:对所述S301中所获取的所有文件进行消重处理,从而提高后续扫描、判定的效率;
S303:对所述S302消重后的所有文件进行常规引擎扫描;
S304:如果发现可疑文件,则上报可疑文件;
S305:如果没有发现可疑文件,则对所有文件中用于行为模式判定的检测点的文件进行行为模式判定;
其中,对所有文件中用于行为模式判定的检测点的文件进行行为模式判定包括:对于进程模块,比对当前系统加载的所有进程的二进制映像路径,将通过系统提供的PSAPI进行枚举的方法没有获取到、但通过系统提供的Native API进行枚举的方法和通过枚举PID的方法中的至少一种方法获取到的二进制映像路径所对应的进程,判定为可疑文件;如S301所述例子中,把d.exe视为隐藏进程,判定为可疑文件;
其中,对所有文件中用于行为模式判定的检测点的文件进行行为模式判定包括:对于启动项,如果启动目录下有脚本文件,则将所述脚本文件判定为可疑文件;如S301所述例子中,通过获取系统的启动目录,如果是.vbs等脚本则判定为可疑文件;
其中,对所有文件中用于行为模式判定的检测点的文件进行行为模式判定包括:对于进程加载的模块,比对通过系统提供的PSAPI进行枚举和枚举进程用户空间的方法所得的系统特定进程下所有加载的模块,将通过系统提供的PSAPI进行枚举的方法没有获取到、但通过枚举进程用户空间的方法获取到的加载的模块,判定为可疑文件;如S301所述例子中,把d.dll作为隐藏模块,判定为可疑文件;
其中,对所有文件中用于行为模式判定的检测点的文件进行行为模式判定包括:对于加载的系统服务,比对通过对HIVE文件进行格式解析和遍历当前系统加载的注册表相应键值的方法所得的所有服务加载项,将通过对HIVE文件进行格式解析的方法没有获取到、但通过遍历当前系统加载的注册表相应键值的方法获取到的服务加载项,判定为可疑文件;如S301所述例子中,把d作为隐藏服务,判定为可疑文件;
其中,对所有文件中用于行为模式判定的检测点的文件进行行为模式判定包括:
对于所述可执行文件1,将非只读类文件系统下的autorun.inf及其指向的可执行文件,判定为可疑文件;如S301所述例子中,如果检测到c,d盘下的autorun.inf 及其指向的可执行文件,则判定为可疑文件,但是光驱e的只读文件只交给常规引擎进行扫描;
对于所述可执行文件2,将本身不包含可执行文件目录下的可执行文件,判定为可疑文件;如S301所述例子中,如果该类文件目录下有可执行文件,则判定为可疑文件;
S306:如果发现可疑文件,则上报可疑文件。
如图4所示,本发明的一种快速检测恶意代码的系统包括:
获取单元401,用于获取预先设定的检测点的所有文件;
其中,所述预先设定的检测点包括只用于常规引擎扫描的检测点,和用于常规引擎扫描及行为模式判定的检测点;用于行为模式判定的检测点为用于常规引擎扫描及行为模式判定的检测点;
其中,所述只用于常规引擎扫描的检测点包括驱动程序、服务模块、内核模块、IE插件、映像劫持和桌面文件中的至少一个检测点:
驱动程序,具体为:通过系统提供的API(Application Programming Interface,应用程序编程接口)枚举所得的当前系统加载的所有驱动程序;例如:通过API枚举获得当前显卡驱动vga.sys,然后再获取到对应的映像路径C:\WINDOWS\system32\drivers\vga.sys;
服务模块,具体为:通过系统提供的API枚举所得的当前系统加载的所有服务模块;
内核模块,具体为:通过系统提供的Native API(系统原生API)枚举所得的系统加载的所有内核模块;例如:通过Native API枚举获得系统内核ntkrnlpa.exe,然后再获取到对应的映像路径C:\WINDOWS\system32\ntkrnlpa.exe;
IE(Windows Internet Explorer,一般称成Internet Explorer,简称IE,是微软公司推出的一款网页浏览器)插件,具体为:通过扫描系统注册表相应键值,所得的所有IE插件;
映像劫持,具体为:通过扫描系统注册表相应键值,所得的所有映像劫持;例如:通过使用注册表API RegEnumValue枚举HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel, HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel,HKLM\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions,HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions,等项,获取IE插件及映像劫持;
桌面文件,具体为:当前系统所有桌面文件及快捷方式所指向的文件;桌面文件是最容易被感染的区域,该区域的所有文件将直接交给传统引擎扫描;
其中,所述用于常规引擎扫描及行为模式判定的检测点包括进程模块、启动项、进程加载的模块、加载的系统服务、可执行文件1和可执行文件2中的至少一个检测点:
进程模块,具体为:通过枚举方法所得的当前系统加载的所有进程的二进制映像路径;
启动项,具体为:通过扫描所有在系统启动时启动程序的方法,枚举系统的启动项;例如:使用注册表API RegEnumValue枚举注册表启动项,得到HKLM\SOFTWARE\Microsoft\Windows \currentVersion\Run:a,获取a的键值得到启动项的路径;通过获取系统的启动目录,枚举启动项的路径;
进程加载的模块,具体为:通过枚举方法所得的系统特定进程下所有加载的模块;
可执行文件1,具体为:非只读类文件系统下的autorun.inf及其指向的可执行文件;例如:分区下有c,d,e三个盘,c,d是硬盘磁盘驱动器分区,e是光驱;这些文件系统下的可执行文件;
可执行文件2,具体为:本身不包含可执行文件的目录下的可执行文件;例如:fonts是字体目录,tasks为计划任务目录,系统默认此类目录文件下为固定格式文件,不含可执行文件;
其中,通过枚举方法所得的当前系统加载的所有进程的二进制映像路径中的枚举方法为下述至少一种方法:
通过系统提供的PSAPI(Process Status Application Programming Interface ,进程状态应用程序编程接口)进行枚举的方法;
通过系统提供的Native API进行枚举的方法;
通过枚举PID(Process Identifier,进程控制符)的方法;
例如:通过PSAPI获得,a.exe,b.exe,c.exe三个进程,通过后两种方式获得a.exe,b.exe,c.exe,d.exe四个进程;
其中,通过枚举方法所得的系统特定进程下所有加载的模块中的枚举方法为:通过系统提供的PSAPI进行枚举和/或枚举进程用户空间的方法;例如:通过系统提供的PSAPI获得a进程下面加载了b.dll,c.dll模块,通过枚举进程用户空间方法获得b.dll,c.dll,d.dll;
其中,加载的系统服务,具体为:通过对HIVE文件(windows系统注册表文件的组织格式)进行格式解析和/或遍历当前系统加载的注册表相应键值的方法获得的所有加载的系统服务;例如:通过对HIVE文件进行格式解析获得a,b,c,d四项服务,通过注册表API RegEnumValue枚举HKEY_LOCAL_MACHINE\SYSTEM\ControlSet*获得,a,b,c三项服务;
消重单元402,用于对所述获取单元401中获取的所有文件进行消重处理,从而提高后续扫描、判定的效率;
扫描单元403,用于对所述消重单元402中消重后的所有文件进行常规引擎扫描;判定单元404,用于当所述扫描单元403中常规引擎扫描没有发现可疑文件时,对所有文件中用于行为模式判定的检测点的文件进行行为模式判定;
其中,对所有文件中用于行为模式判定的检测点的文件进行行为模式判定包括:对于进程模块,比对当前系统加载的所有进程的二进制映像路径,将通过系统提供的PSAPI进行枚举的方法没有获取到、但通过系统提供的Native API进行枚举的方法和通过枚举PID的方法中的至少一种方法获取到的二进制映像路径所对应的进程,判定为可疑文件;例如,把d.exe视为隐藏进程,判定为可疑文件;
其中,对所有文件中用于行为模式判定的检测点的文件进行行为模式判定包括:对于启动项,如果启动目录下有脚本文件,则将所述脚本文件判定为可疑文件;例如,通过获取系统的启动目录,如果是.vbs等脚本则判定为可疑文件;
其中,对所有文件中用于行为模式判定的检测点的文件进行行为模式判定包括:对于进程加载的模块,比对通过系统提供的PSAPI进行枚举和枚举进程用户空间的方法所得的系统特定进程下所有加载的模块,将通过系统提供的PSAPI进行枚举的方法没有获取到、但通过枚举进程用户空间的方法获取到的加载的模块,判定为可疑文件;例如,把d.dll作为隐藏模块,判定为可疑文件;
其中,对所有文件中用于行为模式判定的检测点的文件进行行为模式判定包括:对于加载的系统服务,比对通过对HIVE文件进行格式解析和遍历当前系统加载的注册表相应键值的方法所得的所有服务加载项,将通过对HIVE文件进行格式解析的方法没有获取到、但通过遍历当前系统加载的注册表相应键值的方法获取到的服务加载项,判定为可疑文件;例如,把d作为隐藏服务,判定为可疑文件;
其中,对所有文件中用于行为模式判定的检测点的文件进行行为模式判定包括:
对于所述可执行文件1,将非只读类文件系统下的autorun.inf及其指向的可执行文件,判定为可疑文件;例如,如果检测到c,d盘下的autorun.inf 及其指向的可执行文件,则判定为可疑文件,但是光驱e的只读文件只交给常规引擎进行扫描;
对于所述可执行文件2,将本身不包含可执行文件目录下的可执行文件,判定为可疑文件;例如,如果该类文件目录下有可执行文件,则判定为可疑文件;
上报单元405,用于当所述扫描单元403中常规引擎扫描发现可疑文件时,上报可疑文件;另外,当所述扫描单元403中常规引擎扫描没有发现可疑文件,而所述判定单元404中行为模式判定发现可疑文件时,上报可疑文件。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (24)
1.一种快速检测恶意代码的方法,其特征在于,所述方法包括:
获取预先设定的检测点的所有文件;
对获取的所有文件进行常规引擎扫描;
如果发现可疑文件,则上报可疑文件;
如果没有发现可疑文件,则对获取的所有文件中用于行为模式判定的检测点的文件进行行为模式判定;
如果发现可疑文件,则上报可疑文件。
2.如权利要求1所述的方法,其特征在于:所述预先设定的检测点包括只用于常规引擎扫描的检测点,和用于常规引擎扫描及行为模式判定的检测点;
用于行为模式判定的检测点为用于常规引擎扫描及行为模式判定的检测点。
3.如权利要求2所述的方法,其特征在于:所述只用于常规引擎扫描的检测点包括驱动程序、服务模块、内核模块、IE插件、映像劫持和桌面文件中的至少一个检测点:
驱动程序,具体为:通过系统提供的API枚举所得的当前系统加载的所有驱动程序;
服务模块,具体为:通过系统提供的API枚举所得的当前系统加载的所有服务模块;
内核模块,具体为:通过系统提供的Native API枚举所得的系统加载的所有内核模块;
IE插件,具体为:通过扫描系统注册表相应键值,所得的所有IE插件;
映像劫持,具体为:通过扫描系统注册表相应键值,所得的所有映像劫持;
桌面文件,具体为:当前系统所有桌面文件及快捷方式所指向的文件。
4.如权利要求2所述的方法,其特征在于:所述用于常规引擎扫描及行为模式判定的检测点包括进程模块、启动项、进程加载的模块、加载的系统服务、可执行文件1和可执行文件2中的至少一个检测点:
进程模块,具体为:通过枚举方法所得的当前系统加载的所有进程的二进制映像路径;
启动项,具体为:通过扫描所有在系统启动时启动程序的方法,枚举系统的启动项;
进程加载的模块,具体为:通过枚举方法所得的系统特定进程下所有加载的模块;
可执行文件1,具体为:非只读类文件系统下的autorun.inf及其指向的可执行文件;
可执行文件2,具体为:系统默认的不包含可执行文件的目录下的可执行文件。
5.如权利要求4所述的方法,其特征在于:通过枚举方法所得的当前系统加载的所有进程的二进制映像路径中的枚举方法为下述至少一种方法:
通过系统提供的PSAPI进行枚举的方法;
通过系统提供的Native API进行枚举的方法;
通过枚举PID的方法。
6.如权利要求4所述的方法,其特征在于:通过枚举方法所得的系统特定进程下所有加载的模块中的枚举方法为:通过系统提供的PSAPI进行枚举和/或枚举进程用户空间的方法。
7.如权利要求4所述的方法,其特征在于:加载的系统服务,具体为:通过对HIVE文件进行格式解析和/或遍历当前系统加载的注册表相应键值的方法获得的所有加载的系统服务。
8.如权利要求5所述的方法,其特征在于:对所有文件中用于行为模式判定的检测点的文件进行行为模式判定包括:对于进程模块,比对当前系统加载的所有进程的二进制映像路径,将通过系统提供的PSAPI进行枚举的方法没有获取到、但通过系统提供的Native API进行枚举的方法和通过枚举PID的方法中的至少一种方法获取到的二进制映像路径所对应的进程,判定为可疑文件。
9.如权利要求4所述的方法,其特征在于:对所有文件中用于行为模式判定的检测点的文件进行行为模式判定包括:对于启动项,如果启动目录下有脚本文件,则将所述脚本文件判定为可疑文件。
10.如权利要求6所述的方法,其特征在于:对所有文件中用于行为模式判定的检测点的文件进行行为模式判定包括:对于进程加载的模块,比对通过系统提供的PSAPI进行枚举和枚举进程用户空间的方法所得的系统特定进程下所有加载的模块,将通过系统提供的PSAPI进行枚举的方法没有获取到、但通过枚举进程用户空间的方法获取到的加载的模块,判定为可疑文件。
11.如权利要求7所述的方法,其特征在于:对所有文件中用于行为模式判定的检测点的文件进行行为模式判定包括:对于加载的系统服务,比对通过对HIVE文件进行格式解析和遍历当前系统加载的注册表相应键值的方法所得的所有加载的系统服务,将通过对HIVE文件进行格式解析的方法没有获取到、但通过遍历当前系统加载的注册表相应键值的方法获取到的加载的系统服务,判定为可疑文件。
12.如权利要求4所述的方法,其特征在于:对所有文件中用于行为模式判定的检测点的文件进行行为模式判定包括:
对于所述可执行文件1,将非只读类文件系统下的autorun.inf及其指向的可执行文件,判定为可疑文件;
对于所述可执行文件2,将系统默认的不包含可执行文件的目录下的可执行文件,判定为可疑文件。
13.一种快速检测恶意代码的系统,其特征在于,所述系统包括:获取单元,用于获取预先设定的检测点的所有文件;
扫描单元,用于对所述获取单元中获取的所有文件进行常规引擎扫描;
判定单元,用于当所述扫描单元中常规引擎扫描没有发现可疑文件时,对获取单元获取的所有文件中用于行为模式判定的检测点的文件进行行为模式判定;
上报单元,用于当所述扫描单元中常规引擎扫描发现可疑文件时,上报可疑文件;另外,当所述扫描单元中常规引擎扫描没有发现可疑文件,而所述判定单元中行为模式判定发现可疑文件时,上报可疑文件。
14.如权利要求13所述的系统,其特征在于:所述获取单元中,所述预先设定的检测点包括只用于常规引擎扫描的检测点,和用于常规引擎扫描及行为模式判定的检测点;
所述判定单元中,所述用于行为模式判定的检测点为用于常规引擎扫描及行为模式判定的检测点。
15.如权利要求14所述的系统,其特征在于:所述获取单元中,所述只用于常规引擎扫描的检测点包括驱动程序、服务模块、内核模块、IE插件、映像劫持和桌面文件中的至少一个检测点:
驱动程序,具体为:通过系统提供的API枚举所得的当前系统加载的所有驱动程序;
服务模块,具体为:通过系统提供的API枚举所得的当前系统加载的所有服务模块;
内核模块,具体为:通过系统提供的Native API枚举所得的系统加载的所有内核模块;
IE插件,具体为:通过扫描系统注册表相应键值,所得的所有IE插件;
映像劫持,具体为:通过扫描系统注册表相应键值,所得的所有映像劫持;
桌面文件,具体为:当前系统所有桌面文件及快捷方式所指向的文件。
16.如权利要求14所述的系统,其特征在于:所述获取单元中,所述用于常规引擎扫描及行为模式判定的检测点包括进程模块、启动项、进程加载的模块、加载的系统服务、可执行文件1和可执行文件2中的至少一个检测点:
进程模块,具体为:通过枚举方法所得的当前系统加载的所有进程的二进制映像路径;
启动项,具体为:通过扫描所有在系统启动时启动程序的方法,枚举系统的启动项;
进程加载的模块,具体为:通过枚举方法所得的系统特定进程下所有加载的模块;
可执行文件1,具体为:非只读类文件系统下的autorun.inf及其指向的可执行文件;
可执行文件2,具体为:系统默认的不包含可执行文件的目录下的可执行文件。
17.如权利要求16所述的系统,其特征在于:通过枚举方法所得的当前系统加载的所有进程的二进制映像路径中的枚举方法为下述至少一种方法:
通过系统提供的PSAPI进行枚举的方法;
通过系统提供的Native API进行枚举的方法;
通过枚举PID的方法。
18.如权利要求16所述的系统,其特征在于:通过枚举方法所得的系统特定进程下所有加载的模块中的枚举方法为:通过系统提供的PSAPI进行枚举和/或枚举进程用户空间的方法。
19.如权利要求16所述的系统,其特征在于:加载的系统服务,具体为:通过对HIVE文件进行格式解析和/或遍历当前系统加载的注册表相应键值的方法获得的所有加载的系统服务。
20.如权利要求16所述的系统,其特征在于:所述判定单元中,对所有文件中用于行为模式判定的检测点的文件进行行为模式判定包括:对于进程模块,比对当前系统加载的所有进程的二进制映像路径,将通过系统提供的PSAPI进行枚举的方法没有获取到、但通过系统提供的Native API进行枚举的方法和通过枚举PID的方法中的至少一种方法获取到的二进制映像路径所对应的进程,判定为可疑文件。
21.如权利要求16所述的系统,其特征在于:所述判定单元中,对所有文件中用于行为模式判定的检测点的文件进行行为模式判定包括:对于启动项,如果启动目录下有脚本文件,则将所述脚本文件判定为可疑文件。
22.如权利要求18所述的系统,其特征在于:所述判定单元中,对所有文件中用于行为模式判定的检测点的文件进行行为模式判定包括:对于进程加载的模块,比对通过系统提供的PSAPI进行枚举和枚举进程用户空间的方法所得的系统特定进程下所有加载的模块,将通过系统提供的PSAPI进行枚举的方法没有获取到、但通过枚举进程用户空间的方法获取到的加载的模块,判定为可疑文件。
23.如权利要求19所述的系统,其特征在于:所述判定单元中,对所有文件中用于行为模式判定的检测点的文件进行行为模式判定包括:对于加载的系统服务,比对通过对HIVE文件进行格式解析和遍历当前系统加载的注册表相应键值的方法所得的所有加载的系统服务,将通过对HIVE文件进行格式解析的方法没有获取到、但通过遍历当前系统加载的注册表相应键值的方法获取到的加载的系统服务,判定为可疑文件。
24.如权利要求16所述的系统,其特征在于:所述判定单元中,对所有文件中用于行为模式判定的检测点的文件进行行为模式判定包括:
对于所述可执行文件1,将非只读类文件系统下的autorun.inf及其指向的可执行文件,判定为可疑文件;
对于所述可执行文件2,将系统默认的不包含可执行文件的目录下的可执行文件,判定为可疑文件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010106004648A CN102024113B (zh) | 2010-12-22 | 2010-12-22 | 快速检测恶意代码的方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010106004648A CN102024113B (zh) | 2010-12-22 | 2010-12-22 | 快速检测恶意代码的方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102024113A CN102024113A (zh) | 2011-04-20 |
| CN102024113B true CN102024113B (zh) | 2012-08-01 |
Family
ID=43865399
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010106004648A Active CN102024113B (zh) | 2010-12-22 | 2010-12-22 | 快速检测恶意代码的方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102024113B (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102915421B (zh) * | 2011-08-04 | 2013-10-23 | 腾讯科技(深圳)有限公司 | 文件的扫描方法及系统 |
| US20150020203A1 (en) * | 2011-09-19 | 2015-01-15 | Beijing Qihoo Technology Company Limited | Method and device for processing computer viruses |
| CN102663284A (zh) * | 2012-03-21 | 2012-09-12 | 南京邮电大学 | 一种基于云计算的恶意代码识别方法 |
| CN102664884A (zh) * | 2012-04-18 | 2012-09-12 | 南京邮电大学 | 一种基于云计算的恶意代码识别方法 |
| CN103377341A (zh) * | 2012-04-28 | 2013-10-30 | 北京网秦天下科技有限公司 | 一种安全检测的方法和系统 |
| CN102833240B (zh) * | 2012-08-17 | 2016-02-03 | 中国科学院信息工程研究所 | 一种恶意代码捕获方法及系统 |
| CN102945350B (zh) * | 2012-10-24 | 2016-01-20 | 珠海市君天电子科技有限公司 | 一种远程杀毒的方法 |
| CN103034809B (zh) * | 2012-12-14 | 2015-06-10 | 北京奇虎科技有限公司 | 一种免疫文件宏病毒的方法和装置 |
| CN103632099B (zh) * | 2013-09-29 | 2016-08-17 | 广州华多网络科技有限公司 | 未导出的Native API函数获取方法及装置 |
| CN103593613A (zh) * | 2013-11-26 | 2014-02-19 | 北京网秦天下科技有限公司 | 用于计算机病毒检测的方法、终端、服务器和系统 |
| CN105635139B (zh) * | 2015-12-31 | 2019-04-05 | 深圳市安之天信息技术有限公司 | 一种防溢出攻击的文档安全操作与分析的方法及系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101329711A (zh) * | 2008-07-24 | 2008-12-24 | 成都市华为赛门铁克科技有限公司 | 一种计算机文件检测的方法及装置 |
| CN101795267A (zh) * | 2009-12-30 | 2010-08-04 | 成都市华为赛门铁克科技有限公司 | 病毒检测方法、装置和网关设备 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080134333A1 (en) * | 2006-12-04 | 2008-06-05 | Messagelabs Limited | Detecting exploits in electronic objects |
-
2010
- 2010-12-22 CN CN2010106004648A patent/CN102024113B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101329711A (zh) * | 2008-07-24 | 2008-12-24 | 成都市华为赛门铁克科技有限公司 | 一种计算机文件检测的方法及装置 |
| CN101795267A (zh) * | 2009-12-30 | 2010-08-04 | 成都市华为赛门铁克科技有限公司 | 病毒检测方法、装置和网关设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102024113A (zh) | 2011-04-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102024113B (zh) | 快速检测恶意代码的方法和系统 | |
| US9547765B2 (en) | Validating a type of a peripheral device | |
| US9922193B2 (en) | Identifying an evasive malicious object based on a behavior delta | |
| CN102662741B (zh) | 虚拟桌面的实现方法、装置和系统 | |
| US9223975B2 (en) | Data identification system | |
| CA2761563C (en) | Annotating virtual application processes | |
| US8468522B2 (en) | Virtual machine system, system for forcing policy, method for forcing policy, and virtual machine control program | |
| CN100481101C (zh) | 计算机安全启动的方法 | |
| US20030200427A1 (en) | Extensible device driver | |
| KR20100111518A (ko) | 버퍼 오버플로우 관리를 통한 바이러스 코드 실행방지장치 및 그 방법 | |
| US20140259169A1 (en) | Virtual machines | |
| US20120079594A1 (en) | Malware auto-analysis system and method using kernel callback mechanism | |
| US9411953B1 (en) | Tracking injected threads to remediate malware | |
| US8312547B1 (en) | Anti-malware scanning in a portable application virtualized environment | |
| US20140317745A1 (en) | Methods and systems for malware detection based on environment-dependent behavior | |
| CN101782954A (zh) | 一种计算机及异常进程的检测方法 | |
| WO2021174655A1 (zh) | 虚拟数据中心可信状态确定方法、装置、设备及存储介质 | |
| US20200218803A1 (en) | Call stack acquisition device, call stack acquisition method, and call stack acquisition program | |
| CN111435391A (zh) | 自动确定gui中待交互的交互式gui元素的方法和设备 | |
| CN104798080A (zh) | 反恶意软件签名的动态选择和加载 | |
| US8898591B2 (en) | Program removal | |
| EP3029564A1 (en) | System and method for providing access to original routines of boot drivers | |
| US10372472B2 (en) | System, method, and computer program product for conditionally preventing use of hardware virtualization | |
| US10356267B2 (en) | Information processing apparatus, control method, and storage medium | |
| CN110851824A (zh) | 一种针对恶意容器的检测方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee | ||
| CP02 | Change in the address of a patent holder |
Address after: 100190 Zhongguancun Haidian District street, No. 14, layer, 1 1415-16 Patentee after: Beijing Antiy Electronic Installation Co., Ltd. Address before: 100085, 2B-521, bright city, No. 1, Nongda South Road, Beijing, Haidian District Patentee before: Beijing Antiy Electronic Installation Co., Ltd. |
|
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 100190 Beijing city Haidian District minzhuang Road No. 3, Tsinghua Science Park Building 1 Yuquan Huigu a Patentee after: Beijing ahtech network Safe Technology Ltd Address before: 100190 Zhongguancun Haidian District street, No. 14, layer, 1 1415-16 Patentee before: Beijing Antiy Electronic Installation Co., Ltd. |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: Method and system for quickly detecting malicious code Effective date of registration: 20170821 Granted publication date: 20120801 Pledgee: CITIC Bank Harbin branch Pledgor: Beijing ahtech network Safe Technology Ltd Registration number: 2017990000776 |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PC01 | Cancellation of the registration of the contract for pledge of patent right |
Date of cancellation: 20180817 Granted publication date: 20120801 Pledgee: CITIC Bank Harbin branch Pledgor: Beijing ahtech network Safe Technology Ltd Registration number: 2017990000776 |
|
| PC01 | Cancellation of the registration of the contract for pledge of patent right | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: Method and system for quickly detecting malicious code Effective date of registration: 20180817 Granted publication date: 20120801 Pledgee: CITIC Bank Harbin branch Pledgor: Beijing ahtech network Safe Technology Ltd Registration number: 2018990000700 |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PC01 | Cancellation of the registration of the contract for pledge of patent right |
Date of cancellation: 20191021 Granted publication date: 20120801 Pledgee: CITIC Bank Harbin branch Pledgor: Beijing ahtech network Safe Technology Ltd Registration number: 2018990000700 |
|
| PC01 | Cancellation of the registration of the contract for pledge of patent right |