CN102314561B - 基于api hook的恶意代码自动分析方法和系统 - Google Patents
基于api hook的恶意代码自动分析方法和系统 Download PDFInfo
- Publication number
- CN102314561B CN102314561B CN201010215067.9A CN201010215067A CN102314561B CN 102314561 B CN102314561 B CN 102314561B CN 201010215067 A CN201010215067 A CN 201010215067A CN 102314561 B CN102314561 B CN 102314561B
- Authority
- CN
- China
- Prior art keywords
- sample
- function
- monitoring
- malicious code
- samples
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Abstract
本发明利用API钩子技术和远线程注入技术,对样本进行监控。记录恶意代码运行过程中对整个系统的影响,并自动生成动态分析报告,记录恶意代码样本对文件,网络,注册表,进程所产生的影响,当样本运行结束后,将系统恢复到样本执行前的状态。整个监控、记录和还原的过程不需要人工的干预,自动完成。监控软件每次只运行一个样本,对样本主进程及其创建的进程线程进行监控,监控完毕后,恢复系统到样本运行前的状态。检测恶意代码样本对文件的创建,删除,修改等行为;检测恶意代码样本对网络的操作行为;检测恶意代码样本对注册表添加,删除和修改等行为。检测恶意代码样本创建进程的操作行为。最终提交恶意代码样本动态监控报告。监控完成后,监控软件按照样本对操作系统的操作和影响,进行逆操作,恢复系统到运行样本前的状态。本发明提到的恶意代码智能分析技术,适用于大量样本的无人工干预的分析,分析速度比较快,分析报告中的无用信息比较少。
Description
技术领域
本发明涉及恶意代码。
背景技术
本发明是利用API钩子技术和远程线程注入技术,对样本进行监控。本发明记录恶意代码运行过程中对整个系统的影响,并自动生成动态分析报告,记录恶意代码样本对文件,网络,注册表,进程所产生的影响,当样本运行结束后,将系统恢复到样本执行前的状态。它不但具有自动分析功能(整个监控、记录和还原的过程不需要人工的干预),并且还适用于大量样本的无人工干预的分析,分析速度比较快,分析报告中的无用信息比较少。
目前也有一些相关的专利,以下做些介绍:
专利200610080454.X“一种恶意代码自动分析系统及方法”含有多个相对独立的模块构成,恶意代码运行模块,文件监视模块,注册表监视模块,函数调用监视模块,网络数据监视模块,程序内部行为监视模块,恶意代码行为自动分析模块,方法含有以下步骤:加载文件监视和注册表监视的驱动程序,加载预定义要记录的敏感函数,在恶意代码运行的过程,同步记录应用程序接口调用,文件,注册表的访问,网络操作;当恶意代码进程结束而自动退出,系统对这些行为进行自动分析,输出自动分析结果;本发明提供的自动分析方法,完全记录恶意代码运行的行为,并对于恶意代码使用的未知壳或变形壳不受影响。大幅度地提高了恶意代码分析人员的工作效率。专利200610080454.X在每运行一个样本后,对系统进行恢复,没有解决不在人工干预的情况下,自动分析大量样本的问题。而且监控了整个系统的API调用,可能会有很多无用信息。
专利200310106551.8“一种分层协同的网络病毒和恶意代码识别方法”,是分层协同的网络病毒和恶意代码识别方法,特征是借鉴生物免疫强大的自我保护机制,将网络病毒和恶意代码识别技术和生物免疫系统的多层保护机制对应起来,通过统计分析关键词词频判断待检测脚本的危险度,基于注册表操作“自我集”的角度来分析判断注册表写入表项路径的异常行为,以及对应用程序编程接口执行序列进行非我识别,最终将全部异常行为信息通过网络发送到网络控制台,较好地解决了未知网络病毒和恶意代码的异常行为识别问题,对未知网络病毒和恶意代码的具较好的识别能力,实现了对单个系统及整个子网中的网络病毒和恶意代码异常行为的监控和管理。如果对大量的恶意代码样本采用该方法进行识别,分析和检测的速度会很慢。
本发明与以上两个专利相比,不仅在监控完成后,监控软件按照样本对操作系统的操作和影响,进行逆操作,恢复系统到运行样本前的状态。还完成了恶意代码智能分析技术,适用于大量样本的无人工干预的分析,分析速度比较快,分析报告中的无用信息比较少。
本发明的困难性在两个地方。第一在本发明中,检测恶意代码样本对文件,网络,注册表,进程所产生的影响是最重要的功能。必须在恶意代码调用API的时候,对API的调用进行拦截,提取出API调用的参数,对这些参数进行解析,然后把这些信息传送到监控中心,最终生成恶意代码样本分析报告。第二本发明必须不需要人工的干预,自动监测恶意代码样本。在每个样本运行结束后,智能分析系统必须能够恢复系统,然后自动运行下一个样本,自动生成恶意代码样本动态监控报告。
发明内容
本发明是通过修改可执行文件在内存中映像的有关代码,实现对API调用的动态拦截,获取代码的API调用序列和参数,从而达到监控恶意代码对系统影响的目的。拦截API的调用序列前需要安装API钩子(API Hook)。API钩子由两个模块组成,一个是钩子服务器(HookServer)模块,为EXE的形式;一个是钩子驱动器(Hook Driver)模块,为DLL的形式。钩子服务器负责向目标进程注入钩子驱动器,使得钩子驱动器运行在目标进程的地址空间中。而钩子驱动器则负责实际的API拦截处理工作,并返回拦截结果,以便后续分析。
在注入方式上,我们没有采用注册表注入和系统范围的Windows钩子,因为这两种方式会使我们的系统性能严重下降,所以我们使用了CreateRemoteThread函数在目标进程中建立并运行一个远程线程的动态链接库(DLL)注入方式。首先得到远程进程的句柄,在远程进程中为我们自己的动态链接库文件名分配内存,然后使用CreateRemoteThread函数和LoadLibrary函数把我们的动态链接库映射进远程进程,这样就实现了注入。在拦截机制上,我们先找到原先的API函数的地址,然后把该函数开始的几个字节用一个JMP指令代替,从而使得对该API函数的调用能够转向我们自己的函数调用。
本发明首先采用挂起的方式启动恶意代码样本程序。这样恶意代码进程已经创建,但是并没有运行。然后将网络监控模块,注册表监控模块,进程监控模块和文件监控模块采用远程线程注入的方法注入到样本进程中去,对其进行监控。然后将恶意代码进程唤醒,让其继续运行。恶意代码对文件,网络,注册表,进程等的操作,会被网络监控模块,注册表监控模块,进程监控模块和文件监控模块拦截。各个模块拦截到API后,对参数进行解析,然后让样本调用真正的API执行。监控模块将监控信息通过socket发送到监控中心,监控中心整理所有的信息,最终生成分析报告,并恢复系统到运行样本前的状态。
本专利系统主要包括监控中心、4个监控模块和系统恢复模块:
样本监控中心:从收集到的数据中提取出一个样本进行运行,实现dll的注入,对样本主进程及其创建的进程线程进行监控,对监控中反馈的信息进行记录,最终提交恶意代码样本动态监控报告,通过分析样本动态监控报告中记录的样本对系统产生的影响情况,将系统恢复到运行样本前的状态。
监控模块:
(1)文件监控模块:该模块监控样本在系统中创建新的文件,修改文件,删除文件的各种行为。将监控模块的dll注入到样本进程中,监控CreateFileA(),WriteFile(),ReadFile(),DeleteFile()等文件操作API的调用情况,将样本要删除和修改的文件拷贝到系统备份目录下,记录样本所创建的文件的完整路径,将获取的信息传送给日志记录模块。
(2)网络监控模块:监控样本对外连接的IP或URL,获取发送或接收的数据,将从网络上下载的文件存放在样本监控中心的目录下,以便以后进一步的分析处理。监控socket建立的函数,以及send()函数,监控样本对外连接的网络地址端口等信息,以及发送的数据内容。并把收集的内容发送给日志记录模块。
(3)注册表监控模块:监控样本对注册表的添加,删除,修改等情况,监控RegOpenEx(),RegDeleteKey(),RegSetValueEx(),RegCreateKeyEx()等注册表操作API的调用情况,并把获取的修改信息发送给日志模块。
(4)进程监控模块:监控样本是否创建新的进程,或注入远线程到其他进程中,监控CreateProcess(),ResumeProcess(),CreateRemoteThread()等进程或线程操作API的调用情况,进一步检测子线程或子进程的运行情况,并把获取的信息发送给日志模块。
系统恢复模块:
(1)文件系统恢复:通过分析日志报告将样本在系统中创建的文件删除,将样本修改、删除的文件从备份位置拷贝回原位置,使文件系统恢复到样本运行前的状态。
(2)注册表恢复:通过分析日志报告将样本在系统注册表中添加的表项删除、将样本修改、删除的表项恢复成原键值,使系统注册表恢复到样本运行前的状态。
(3)网络端口恢复:通过分析日志报告将样本打开的端口关闭。
(4)进程恢复:通过分析日志报告将样本创建的进程、线程结束,将样本加载的dll库卸载。
附图说明
图1为本专利的具体流程图;
图2为文件监控模块流程图;
图3为系统恢复流程图;
具体实施方式
下面结合附图对本发明的技术方案作详细说明。
图1显示了具体执行本发明的步骤图,为了清楚地描述本发明,下面描述一个具体的实施例,细化图1各步骤如下:
S101枚举系统进程,找到样本进程,采用远程线程注入的方式启动恶意代码监控系统,注册和加载各个模块
S102当一个样本运行完毕,分析完日志报告,系统还原后,检测样本集目录中是否还有样本,如果没有则结束
S103以suspend状态启动样本进程,此时样本进程已经创建,但是并没有运行
S104通过使用远程线程注入的方式把文件监控模块,网络监控模块,注册表监控模块,进程监控模块注入到样本进程中
S105当样本进程调用被监控的创建文件、修改文件和删除文件函数时,自动启动文件监控模块
S106当样本进程调用被监控的网络数据接收和发送函数,对外连接IP和URL函数时,自动启动网络监控模块
S107当样本进程调用被监控的注册表添加、修改和删除函数时,自动启动注册表监控模块
S108当样本进程调用被监控的进程、线程创建函数、内存修改函数时,自动启动进程监控模块
S109解析监控模块发送过来的函数调用和参数信息,将信息以层次关系的方式记录到日志报告中,日志报告格式为XML。
S110分析日志报告,将样本对系统产生的影响以逆序的方式使系统还原到样本运行前的状态
不难发现本发明专利中主要使用由恶意代码自动分析系统从收集到的大量样本中,分析出样本对系统的影响,最终生成样本分析报告。最终的分析报告保存在样本报告库中。
图2显示了监控模块的具体工作过程,下面描述一个具体的实施例,细化图2各步骤如下:
S201根据被监控函数的函数原型,创建需要被监控的函数的监控函数
S202通过解析样本进程调用的动态链接库,获取我们需要监控的函数的地址
S203获得我们自己编写的监控函数的地址
S204初始化钩子函数的时候,读取并保存该函数的头5个字节
S205将被监控函数的头5个字节修改成jump汇编指令,使该函数能跳到我们自己编写的监控函数
S206调用被hook的函数时,程序会转到并执行我们自己编写的监控函数
S207记录传入被监控函数的各项参数
S208解析各项参数值,并保存到日志报告
S209将被监控函数的头5个字节重新恢复成原值,使钩子函数中可以正常使用该函数。
S210调用被监控的函数,记录返回值
S211将被监控函数的头5个字节改回成jump汇编指令,以便当该函数再次被调用时能够
再一次被挂钩
图3表示系统恢复功能的具体过程,主要是要消除恶意代码样本运行后对系统的影响,使下一个样本的监控信息更加准确。它包含了以下步骤:
S301当检测到样本进程退出时,或者样本运行15分钟后,将监控完成标志置为真,此时监控完成
S302卸载注入的监控模块
S303终止样本创建的进程和线程、卸载dll库
S304分析日志报告,将样本在系统中创建的文件删除,将样本修改、删除的文件从备份位置拷贝回原位置,使文件系统恢复到样本运行前的状态
S305分析日志报告,将样本在系统注册表中添加的表项删除、将样本修改、删除的表项恢复成原键值,使系统注册表恢复到样本运行前的状态
S306分析日志报告,将样本打开的端口关闭
S307查找样本集目录,找到创建时间最早的一个样本,以suspend状态启动样本进程并进行监控
虽然本说明书只描述了所述方法的细节,而未更多地谈及本发明的应用,但由于基于APIHOOK的恶意代码自动分析方法和系统在恶意代码研究中的重要价值,其应用面是非常广泛的,所以,本发明的精神和范围不应该局限于此处所描述的实施例。
Claims (8)
1.一种基于API HOOK的恶意代码自动分析系统,利用API HOOK技术和远程线程注入技术,对样本进行监控;记录恶意代码运行过程中对整个系统的影响,并自动生成动态分析报告,记录恶意代码样本对文件,网络,注册表,进程所产生的影响,当样本运行结束后,将系统恢复到样本执行前的状态;这种基于API HOOK的恶意代码自动分析系统主要使用由恶意代码自动分析系统从收集到的大量样本中,分析出样本对系统的影响,最终生成样本分析报告,最终的分析报告保存在样本报告库中;这个系统包括以下模块:监控中心、监控模块和系统恢复模块;其中,所述监控模块包括文件监控、网络监控、注册表监控、进程监控;
所述基于API HOOK的恶意代码自动分析系统的工作过程:枚举系统进程,找到样本进程采用远程线程注入的方式启动恶意代码自动分析系统,注册和加载各个模块;当一个样本运行完毕,分析完日志报告,系统还原后,检测样本集目录中是否还有样本,如果没有则结束;以suspend状态启动样本进程,此时样本进程已经创建,但是并没有运行;通过使用远程线程注入的方式把文件监控模块,网络监控模块,注册表监控模块,进程监控模块注入到样本进程中;当样本进程调用被监控的创建文件、修改文件和删除文件函数时,自动启动文件监控模块;当样本进程调用被监控的网络数据接收和发送函数,对外连接IP和URL函数时,自动启动网络监控模块;当样本进程调用被监控的注册表添加、修改和删除函数时,自动启动注册表监控模块;当样本进程调用被监控的进程、线程创建函数、内存修改函数时,自动启动进程监控模块;解析监控模块发送过来的函数调用和参数信息,将信息以层次关系的方式记录到日志报告中,日志报告格式为XML;分析日志报告,将样本对系统产生的影响以逆序的方式使系统还原到样本运行前的状态;
其中,所述监控模块的具体工作过程为:根据被监控函数的函数原型,创建需要被监控的函数的监控函数;通过解析样本进程调用的动态链接库,获取需要监控的函数的地址;获得监控函数的地址;初始化钩子函数的时候,读取并保存该函数的头5个字节;将被监控函数的头5个字节修改成jump汇编指令,使该函数能跳到监控函数;调用被hook的函数时,程序会转到并执行监控函数;记录传入被监控函数的各项参数;解析各项参数值,并保存到日志报告;将被监控函数的头5个字节重新恢复成原值,使钩子函数中可以正常使用该函数;调用被监控的函数,记录返回值;将被监控函数的头5个字节改回成jump汇编指令,以便当该函数再次被调用时能够再一次被挂钩。
2.如权利要求1所述的基于API HOOK的恶意代码自动分析系统,其特征在于,监控软件每次只运行一个样本,对样本主进程及其创建的进程线程进行监控,监控完毕后,恢复系统到样本运行前的状态;不需要人工的干预,自动监测恶意代码样本。
3.如权利要求1所述的基于API HOOK的恶意代码自动分析系统,其特征在于,需要检测恶意代码样本对文件,网络,注册表,进程所产生的影响;检测恶意代码样本对文件的创建,删除,修改行为;检测恶意代码样本对网络的操作行为;检测恶意代码样本对注册表添加,删除和修改行为;检测恶意代码样本创建进程的操作行为;最终提交样本分析报告。
4.如权利要求1所述的基于API HOOK的恶意代码自动分析系统,其特征在于,适用于大量样本的无人工干预的分析,分析速度快,分析报告中的无用信息少。
5.如权利要求2所述的基于API HOOK的恶意代码自动分析系统,其特征在于,监控完成后,监控软件按照样本对操作系统的操作和影响,进行逆操作,恢复系统到运行样本前的状态。
6.如权利要求3所述的基于API HOOK的恶意代码自动分析系统,其特征在于,要能智能的监控样本文件的行为特征,即文件操作行为,注册表操作行为,网络操作行为和进程操作行为,并自动生成样本分析报告;通过对动态报告的分析,判断出样本是否为恶意代码。
7.如权利要求3所述的基于API HOOK的恶意代码自动分析系统,其特征在于,由于检测恶意代码样本对文件,网络,注册表,进程所产生的影响是最重要的功能,所以必须在恶意代码调用API的时候,对API的调用进行拦截,提取出API调用的参数,对这些参数进行解析,然后把这些参数传送到监控中心,最终生成样本分析报告。
8.如权利要求5所述的基于API HOOK的恶意代码自动分析系统,其特征在于,必须在不需要人工干预的情况下,自动监测恶意代码样本;在每个样本运行结束后,智能分析系统必须能够恢复系统,然后自动运行下一个样本,自动生成样本分析报告。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010215067.9A CN102314561B (zh) | 2010-07-01 | 2010-07-01 | 基于api hook的恶意代码自动分析方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010215067.9A CN102314561B (zh) | 2010-07-01 | 2010-07-01 | 基于api hook的恶意代码自动分析方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102314561A CN102314561A (zh) | 2012-01-11 |
| CN102314561B true CN102314561B (zh) | 2014-07-23 |
Family
ID=45427719
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010215067.9A Expired - Fee Related CN102314561B (zh) | 2010-07-01 | 2010-07-01 | 基于api hook的恶意代码自动分析方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102314561B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104200161A (zh) * | 2014-08-05 | 2014-12-10 | 杭州安恒信息技术有限公司 | 一种实现沙箱智能检测文件的方法及其沙箱智能检测系统 |
Families Citing this family (37)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8539506B2 (en) * | 2012-02-09 | 2013-09-17 | Microsoft Corporation | Dynamic injection of code into running process |
| CN103383720B (zh) * | 2012-05-03 | 2016-03-09 | 北京金山安全软件有限公司 | 一种api日志的循环逻辑的识别方法及装置 |
| CN102831021A (zh) * | 2012-07-27 | 2012-12-19 | 腾讯科技(深圳)有限公司 | 插件拦截或清理的方法及装置 |
| US8869274B2 (en) * | 2012-09-28 | 2014-10-21 | International Business Machines Corporation | Identifying whether an application is malicious |
| CN103839003B (zh) * | 2012-11-22 | 2018-01-30 | 腾讯科技(深圳)有限公司 | 恶意文件检测方法及装置 |
| CN103150513B (zh) * | 2013-03-20 | 2015-12-09 | 北京奇虎科技有限公司 | 拦截应用程序中的植入信息的方法及装置 |
| CN104252594B (zh) * | 2013-06-27 | 2019-04-02 | 贝壳网际(北京)安全技术有限公司 | 病毒检测方法和装置 |
| US9507847B2 (en) * | 2013-09-27 | 2016-11-29 | International Business Machines Corporation | Automatic log sensor tuning |
| CN104572394B (zh) * | 2013-10-29 | 2018-04-27 | 腾讯科技(深圳)有限公司 | 进程监控方法及装置 |
| CN103559446B (zh) * | 2013-11-13 | 2017-02-08 | 厦门市美亚柏科信息股份有限公司 | 一种基于安卓系统的设备的动态病毒检测方法和装置 |
| CN103679030B (zh) * | 2013-12-12 | 2017-01-11 | 中国科学院信息工程研究所 | 一种基于动态语义特征的恶意代码分析检测方法 |
| TWI553503B (zh) | 2014-02-27 | 2016-10-11 | 國立交通大學 | 產生候選鈎點以偵測惡意程式之方法及其系統 |
| CN104156662B (zh) * | 2014-08-28 | 2017-10-27 | 北京奇虎科技有限公司 | 进程监控的方法、装置和智能终端 |
| CN104766007B (zh) * | 2015-03-27 | 2017-07-21 | 杭州安恒信息技术有限公司 | 一种基于文件系统过滤驱动实现沙箱快速恢复的方法 |
| WO2017003580A1 (en) * | 2015-06-27 | 2017-01-05 | Mcafee, Inc. | Mitigation of malware |
| CN105068916B (zh) * | 2015-08-28 | 2017-12-08 | 福建六壬网安股份有限公司 | 一种基于内核hook的进程行为监控方法 |
| CN105975856B (zh) * | 2015-09-25 | 2019-03-08 | 武汉安天信息技术有限责任公司 | 一种移动终端病毒动态检测方法及系统 |
| CN106789837B (zh) * | 2015-11-20 | 2019-11-15 | 腾讯科技(深圳)有限公司 | 网络异常行为检测方法及检测装置 |
| CN105487885B (zh) * | 2015-11-23 | 2018-10-19 | 盛趣信息技术(上海)有限公司 | 手游热更新方法 |
| CN105893847B (zh) * | 2016-04-22 | 2019-01-25 | 珠海豹趣科技有限公司 | 一种保护安全防护应用程序文件的方法、装置及电子设备 |
| CN107330320B (zh) * | 2016-04-29 | 2020-06-05 | 腾讯科技(深圳)有限公司 | 应用进程监控的方法和装置 |
| CN105956470A (zh) * | 2016-05-03 | 2016-09-21 | 北京金山安全软件有限公司 | 一种拦截应用程序行为的方法及终端 |
| CN106020874A (zh) * | 2016-05-13 | 2016-10-12 | 北京金山安全软件有限公司 | 数据上报方法、装置及终端设备 |
| WO2018023705A1 (zh) * | 2016-08-05 | 2018-02-08 | 深圳中兴力维技术有限公司 | 一种应用程序编程接口异常使用的检测方法和装置 |
| CN106294166B (zh) * | 2016-08-16 | 2018-07-06 | 腾讯科技(深圳)有限公司 | 一种游戏数据监控方法和装置 |
| CN108062475A (zh) * | 2016-11-08 | 2018-05-22 | 武汉安天信息技术有限责任公司 | 一种恶意代码识别装置及方法 |
| CN108256325A (zh) * | 2016-12-29 | 2018-07-06 | 中移(苏州)软件技术有限公司 | 一种恶意代码变种的检测的方法和装置 |
| CN107239703B (zh) * | 2017-04-21 | 2020-05-22 | 中国科学院软件研究所 | 一种动态链接库缺失的可执行程序的动态分析方法 |
| CN109726067B (zh) * | 2017-10-30 | 2021-08-24 | 腾讯科技(深圳)有限公司 | 一种进程监控方法以及客户端设备 |
| CN108038378A (zh) * | 2017-12-28 | 2018-05-15 | 厦门服云信息科技有限公司 | 云端检测函数被恶意修改的方法、终端设备及存储介质 |
| CN108446216A (zh) * | 2018-02-05 | 2018-08-24 | 捷开通讯(深圳)有限公司 | 跟踪流程轨迹的方法、装置以及存储装置 |
| CN110555308B (zh) * | 2018-06-01 | 2021-11-12 | 北京安天网络安全技术有限公司 | 一种终端应用行为跟踪和威胁风险评估方法及系统 |
| CN110673899B (zh) * | 2018-07-03 | 2022-06-21 | 武汉斗鱼网络科技有限公司 | 一种程序处理方法及相关设备 |
| CN109753799B (zh) * | 2018-12-14 | 2021-01-15 | 厦门安胜网络科技有限公司 | 一种Android应用程序防篡改的方法、系统及计算机存储介质 |
| CN110210213B (zh) * | 2019-04-26 | 2021-04-27 | 奇安信科技集团股份有限公司 | 过滤恶意样本的方法及装置、存储介质、电子装置 |
| CN111026599A (zh) * | 2019-07-24 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | 一种基于api调用的数据收集方法、装置及存储设备 |
| CN114077735A (zh) * | 2020-08-10 | 2022-02-22 | 华为技术有限公司 | 一种恶意软件的防御方法、防御装置以及防御系统 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101458754A (zh) * | 2009-01-09 | 2009-06-17 | 清华大学 | 一种监控应用程序行为的方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU2006100099A4 (en) * | 2006-02-08 | 2006-03-16 | Pc Tools Technology Pty Limited | Automated Threat Analysis System |
-
2010
- 2010-07-01 CN CN201010215067.9A patent/CN102314561B/zh not_active Expired - Fee Related
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101458754A (zh) * | 2009-01-09 | 2009-06-17 | 清华大学 | 一种监控应用程序行为的方法及装置 |
Non-Patent Citations (2)
| Title |
|---|
| 《恶意代码行为自动化分析的研究与实现》;梁晓;《中国优秀硕士学位论文全文数据库信息科技辑》;20090430(第4期);第18-59页 * |
| 梁晓.《恶意代码行为自动化分析的研究与实现》.《中国优秀硕士学位论文全文数据库信息科技辑》.2009,(第4期),第18-59页. |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104200161A (zh) * | 2014-08-05 | 2014-12-10 | 杭州安恒信息技术有限公司 | 一种实现沙箱智能检测文件的方法及其沙箱智能检测系统 |
| CN104200161B (zh) * | 2014-08-05 | 2017-01-25 | 杭州安恒信息技术有限公司 | 一种实现沙箱智能检测文件的方法及其沙箱智能检测系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102314561A (zh) | 2012-01-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102314561B (zh) | 基于api hook的恶意代码自动分析方法和系统 | |
| CN108133139B (zh) | 一种基于多运行环境行为比对的安卓恶意应用检测系统 | |
| CN103927484B (zh) | 基于Qemu模拟器的恶意程序行为捕获方法 | |
| CN101923617B (zh) | 一种基于云的样本数据库动态维护方法 | |
| JP5011436B2 (ja) | コンピュータプログラムの悪意ある行為を見つける方法及び装置 | |
| CN100595778C (zh) | 鉴定病毒文件的方法、装置 | |
| CN104598823A (zh) | 一种安卓系统中内核级rootkit检测方法及其系统 | |
| CN107688743B (zh) | 一种恶意程序的检测分析方法及系统 | |
| CA2883090A1 (en) | Systems and methods for automated memory and thread execution anomaly detection in a computer network | |
| CN101788915A (zh) | 基于可信进程树的白名单更新方法 | |
| CN111291384B (zh) | 漏洞扫描方法、装置及电子设备 | |
| CN104766007A (zh) | 一种基于文件系统过滤驱动实现沙箱快速恢复的方法 | |
| CN102841824B (zh) | 一种回滚方法和回滚装置 | |
| CN105095759A (zh) | 文件的检测方法及装置 | |
| US20160156645A1 (en) | Method and apparatus for detecting macro viruses | |
| CN103942491A (zh) | 一种互联网恶意代码处置方法 | |
| CN103428212A (zh) | 一种恶意代码检测及防御的方法 | |
| CN111191243A (zh) | 一种漏洞检测方法、装置和存储介质 | |
| CN111813774B (zh) | 一种基于sysdig系统监控获取溯源信息的方法 | |
| KR101974989B1 (ko) | 위험 파일에 대응하는 행위 정보를 결정하는 방법 및 장치 | |
| CN102917056A (zh) | 一种移动学习系统及使用方法 | |
| CN107231364B (zh) | 一种网站漏洞检测方法及装置、计算机装置及存储介质 | |
| CN105630636A (zh) | 一种智能电子设备操作系统的动态恢复方法及其装置 | |
| Liu et al. | A system call analysis method with mapreduce for malware detection | |
| CN108228319B (zh) | 一种基于多桥的语义重构方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20140723 Termination date: 20180701 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |