CN102394859B - 基于线程行为的木马窃取文件检测方法和系统 - Google Patents

基于线程行为的木马窃取文件检测方法和系统 Download PDF

Info

Publication number
CN102394859B
CN102394859B CN201110211059.1A CN201110211059A CN102394859B CN 102394859 B CN102394859 B CN 102394859B CN 201110211059 A CN201110211059 A CN 201110211059A CN 102394859 B CN102394859 B CN 102394859B
Authority
CN
China
Prior art keywords
thread
file
network
behavior
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201110211059.1A
Other languages
English (en)
Other versions
CN102394859A (zh
Inventor
康学斌
肖新光
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Antiy Technology Group Co Ltd
Original Assignee
Harbin Antiy Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Harbin Antiy Technology Co Ltd filed Critical Harbin Antiy Technology Co Ltd
Priority to CN201110211059.1A priority Critical patent/CN102394859B/zh
Publication of CN102394859A publication Critical patent/CN102394859A/zh
Application granted granted Critical
Publication of CN102394859B publication Critical patent/CN102394859B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)

Abstract

本发明提供了一种基于线程行为的木马窃取文件检测方法,包括:监视线程的文件操作和网络操作;将监视的线程和线程所属的进程以及截获的文件操作及文件读取数据和网络操作及网络发送数据形成行为序列缓冲队列;根据缓冲队列中的行为序列判断线程读取的文件是否为网络发送的文件;如果线程读取的文件为网络发送的文件,并且检查该线程及线程所属的进程具有隐蔽性,则有木马窃取文件行为。本发明还提供了一种基于线程行为的木马窃取文件检测系统。本方法和系统极大减少对正常文件传输的误报,提高对木马窃取文件的检测。

Description

基于线程行为的木马窃取文件检测方法和系统
技术领域
本发明涉及计算机恶意软件的恶意行为检测领域,特别涉及一种基于线程行为的木马窃取文件检测方法和系统。
背景技术
利用木马传输文件的行为来保护文档安全的技术目前尚未在主流杀软中出现。目前的针对木马检测行为监视主要是通过木马的创建远程线程、服务、等异常动作,而非数据安全方面的监视。
现有专利《基于进程关联的文件传输监控方法》中采用常规的网络协议HTTP、FTP、SMTP的数据内容来判断是否进程文件传输,这种方法较为准确的识别常规的正常程序的文件传输,但由于大部分木马采用的协议是非标准的应用协议进行文件传输,所以标准的协议解析匹配数据无法检测到大部分的木马窃取文件行为。同时在应用上该方法目的是防止信息泄漏但是对于用户主动的IE邮件上传、FTP等工具上传文件产生误报,而对于木马却无法检测产生漏报。另外该专利实现技术中需要用文件访问时间与数据包发送时间一致来判断文件传输,这个方式会导致一部分木马在读取文件后进行压缩处理和特别变换后再发送导致读取文件时间与网络发送时间并不一致。
发明内容
针对以上不足,本发明要解决的技术问题是提供一种基于线程行为的木马窃取文件检测方法和系统。
解决进程、线程的文件传输的准确识别方法,常规的采用NDIS的网络监视方法过于底层导致无法直接获取传输数据的进程和线程,即使通过时间IP关联也只能得到与进程的关联。
为了准确获得线程读取文件、网络发送序列,采用内核inline hook方式对于线程的内核API调用过程进行记录,找出符合发送文件的模型,同时由于木马采用非标准应用协议传输文件,通过线程读取文件数据内容与网络发送内容进行应用层协议无关性的BM匹配方式进行特征匹配,以及大小及压缩格式变换匹配达到更加准确的文件传输特征识别。
对于传输文件主体的进程、线程的发送文件过程的隐蔽性的识别用于识别是木马窃取文档而非普通正常文件操作。窃取文件方式隐蔽性主要体现在主体的窗口属性、进程属性和利用傀儡进程的性质。通过检测这些主体的隐蔽性来判断是否是木马窃取,极大减少对正常文件传输的误报,提高对木马窃取文件的检测。
为了解决上述技术问题,本发明提供一种基于线程行为的木马窃取文件检测方法,包括:
监视线程的文件操作和网络操作;所述文件操作包括打开文件路径和读取文件数据;
将监视的线程和线程所属的进程以及截获的文件操作及文件读取数据和网络操作及网络发送数据形成行为序列缓冲队列;
根据缓冲队列中的行为序列判断线程读取的文件是否为网络发送的文件;
如果线程读取的文件为网络发送的文件,并且检查该线程及线程所属的进程具有隐蔽性,则有木马窃取文件行为。
其中,线程是依赖进程存在的,一个进程包括多个线程,进程和线程一起作为动作执行的主体。
进一步的,安装内核驱动程序,通过对内核导出函数进行Inline Hook内联挂钩监视线程的文件操作和网络操作。
进一步的,进行Inline Hook内联挂钩监视线程的文件操作和网络操作的内核函数包括文件打开函数NtOpenFile、文件读取函数NtReadFile、和网络发送的函数NtDeviceIoControlFile。
Inline-hook内联挂钩,通过改写目标函数的头部为jmp指令而完成挂钩,在修改的过程中需要将原来的指令复制到新的位置用于hook函数执行完毕后调用,为防止指令截断也就是复制的指令不完整需要进行反汇编得到要复制的指令地长度。复制原有指令后即可覆盖函数头部跳转到监视程序从而得到监视的API调用和参数。
进一步的,根据缓冲队列中的行为序列判断线程读取的文件是否为网络发送的文件,包括:
用缓冲队列中的行为序列与发送文件模型进行模式匹配,如果匹配成功,并且线程读取文件数据的总大小与线程所访问的文件大小相差不超过文件大小的30%,则确认该线程在进行文件发送;
将网络发送数据与线程进行文件发送的数据进行协议无关性匹配,如果匹配成功,则线程读取的文件为网络操作发送的文件。
进一步的,将网络发送数据与线程进行文件发送的数据进行协议无关性匹配,采用串匹配的快速 Boyer-Moore 算法。
针对相同进程或线程传输的数据与读取文件进行特征匹配,特征匹配过程对网络数据不进行应用层协议解析,而是直接与文件数据进行串匹配的快速 Boyer-Moore 算法(BM算法),判断读取文件数据与网络数据是否相同。
进一步的,满足隐蔽性条件之一即可判别该线程及线程所属的进程具有隐蔽性,隐蔽性条件包括:进程无窗口、有窗口但是隐藏、后台服务进程、浏览器进程无常规主线程、线程仅包含一个远程注入的线程。
隐蔽性与显示性是对比的,当线程和线程所属进程有下列其中一项即可认为是隐蔽性的:进程无窗口、有窗口但是隐藏、服务进程、傀儡进程比如IE等浏览器正常启动又很多线程和窗口,而作为木马的傀儡进程是挂起方式启动,并且窗口被隐藏、或者无窗口。傀儡进程另一个特征是线程只有一个远程注入的线程。
本发明还提供了一种基于线程行为的木马窃取文件检测系统,包括:
内核监视模块,用于监视线程的文件操作和网络操作;所述文件操作包括打开文件路径和读取文件数据;
行为序列维护模块,用于将监视的线程和线程所属的进程以及截获的文件操作及文件读取数据和网络操作及网络发送数据形成行为序列缓冲队列;
逻辑判断模块,用于根据缓冲队列中的行为序列判断线程读取的文件是否为网络发送的文件;
如果线程读取的文件为网络发送的文件,并且检查该线程及线程所属的进程具有隐蔽性,则有木马窃取文件行为。
进一步的,内核监视模块具体用于安装内核驱动程序,通过对内核导出函数进行Inline Hook内联挂钩监视线程的文件操作和网络操作。
进一步的,进行Inline Hook内联挂钩监视线程的文件操作和网络操作的内核函数包括文件打开函数NtOpenFile、文件读取函数NtReadFile、和网络发送的函数NtDeviceIoControlFile。
进一步的,逻辑判断模块具体包括:
模式匹配模块,用于用缓冲队列中的行为序列与发送文件模型进行模式匹配,如果匹配成功,并且线程读取文件数据的总大小与线程所访问的文件大小相差不超过文件大小的30%,则确认该线程在进行文件发送;
数据匹配模块,将网络发送数据与线程进行文件发送的数据进行协议无关性匹配,如果匹配成功,则线程读取的文件为网络操作发送的文件;
隐蔽性检测模块,用于判别线程及线程所属的进程具有隐蔽性。
进一步的,将网络操作发送的应用层数据与线程读取的文件数据进行协议无关性匹配,采用串匹配的快速 Boyer-Moore 算法。
进一步的,满足隐蔽性条件之一即可判别该线程及线程所属的进程具有隐蔽性,隐蔽性条件包括:进程无窗口、有窗口但是隐藏、后台服务进程、浏览器进程无常规主线程、线程仅包含一个远程注入的线程。
本发明的有益效果是:
本发明通过线程行为序列和发送数据无协议匹配可准确识别线程文件传输行为,同时通过隐蔽性判断,对木马传输文件具有准确的识别率,测试流行的超过二十款远程控制工具进行文件窃取均可检测,包括灰鸽子、红狼、彩虹桥、流萤、小牛、暗组、pcshare、野兽、zxshell、PoisonIvy、网络人、网络神偷以及一些开源工具的变种。同时对正常的浏览器、即时通讯工具、FTP等传输文件不会产生误报,可作为终端文件保护的方法。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明基于线程行为的木马窃取文件检测方法流程图;
图2为本发明基于线程行为的木马窃取文件检测方法具体实施例流程图;
图3为本发明基于线程行为的木马窃取文件检测系统模块结构图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
本发明提供一种基于线程行为的木马窃取文件检测方法和系统,该方法和系统极大减少对正常文件传输的误报,提高对木马窃取文件的检测。
首先介绍本发明提供的一种基于线程行为的木马窃取文件检测方法,具体实施步骤如图1所示,包括:
S101、监视线程的文件操作和网络操作;所述文件操作包括打开文件路径和读取文件数据;
安装内核驱动程序,通过对内核导出函数进行Inline Hook内联挂钩监视线程的文件操作和网络操作。
进行Inline Hook 内联挂钩监视线程的文件操作和网络操作的内核函数包括文件打开函数NtOpenFile、文件读取函数NtReadFile、和网络发送的函数NtDeviceIoControlFile。
S102、将监视的线程和线程所属的进程以及截获的文件操作及文件读取数据和网络操作及网络发送数据形成行为序列缓冲队列;
S103、根据缓冲队列中的行为序列判断线程读取的文件是否为网络发送的文件;
用缓冲队列中的行为序列与发送文件模型进行模式匹配,模型可以匹配多个文件读取的操作,实际中函数有多个读取文件的API操作,这个操作可以抽象为一个逻辑文件读取;
其中,每当获得网络发送行为,对行为序列进行模式匹配,识别打开文件->逻辑读取文件-> 逻辑发送数据->逻辑读取文件->逻辑发送数据,这个模型中读取文件的操作是逻辑读取,实际API可能是多个数据处理抽象为一个读取文件逻辑操作,同样发送数据的API也可能是多个,抽象为一个发送,如果匹配成功,并且线程读取文件数据的总大小与线程所访问的文件大小相差不超过文件大小的30%,则确认该线程在进行文件发送;其中,文件读取总大小和文件相差不超过30%即大小相当,可以更准确的确认线程是在读取整个文件发送,而不是进行其它的文件操作,减少误报。
将网络发送数据与线程进行文件发送的数据进行协议无关性匹配,如果匹配成功,则线程读取的文件为网络操作发送的文件。
将网络操作发送的应用层数据与线程读取的文件数据进行协议无关性匹配,采用串匹配的快速 Boyer-Moore 算法。
其中,对网络发送的应用层数据和文件读取数据进行协议无关性匹配,匹配过程不解析应用协议,直接采用串匹配的快速 Boyer-Moore 算法(BM算法匹配 )。这样无论木马传输的协议是HTTP、FTP、还是木马程序自定义的协议都可以通过BM算法搜索读取的文件数据与传输的数据进行匹配判断是否是发送的文件。
S104、如果线程读取的文件为网络发送的文件,并且检查该线程及线程所属的进程具有隐蔽性,则有木马窃取文件行为。
满足隐蔽性条件之一即可判别该线程及线程所属的进程具有隐蔽性,隐蔽性条件包括:进程无窗口、有窗口但是隐藏、后台服务进程、浏览器进程无常规主线程、线程仅包含一个远程注入的线程,通过识别服务后台、识别傀儡进程,无窗口浏览器进程、判断是否是非联网的系统进程等进程、线程隐蔽性。
下面给出本发明基于线程行为的木马窃取文件检测方法的具体实施方式,如图2所示,包括:
S201、安装驱动HOOK文件,找到内核导出函数中的文件打开函数NtOpenFile、文件读取函数NtReadFile、和网络发送的函数NtDeviceIoControlFile;
安装内核驱动用于步骤S202中讲述的挂钩内核函数的驱动。
S202、通过对内核导出函数进行Inline Hook,反汇编指令,覆盖入口,内联挂钩监视线程的文件操作和网络操作;
所述文件操作包括打开文件路径和读取文件数据。
S203、将监视的线程和线程所属的进程以及截获的文件操作及文件读取数据和网络操作及网络发送数据形成行为序列缓冲队列。
S204、获取最近线程产生行为数据,遇到当序列里最后一个操作为发送数据时,进行步骤S205。
S205、识别初步发送文件模型。
判断当序列里最后一个操作为发送数据时候,用缓冲队列中的行为序列与发送文件模型进行模式匹配;
具体来说,每当获得网络发送行为,对行为序列进行模式匹配,识别打开文件->逻辑读取文件-> 逻辑发送数据->逻辑读取文件->逻辑发送数据,这个模型中读取文件的操作是逻辑读取,实际API可能是多个数据处理抽象为一个读取文件逻辑操作,同样发送数据的API也可能是多个,抽象为一个发送,如果匹配成功,并且线程读取文件数据的总大小与线程所访问的文件大小相差不超过文件大小的30%,则确认该线程在进行文件发送,转入步骤S206,否则回到步骤S204,继续等待序列里最后一个操作为发送数据。
S206、将网络发送数据与线程进行文件发送的数据进行协议无关性匹配;
将网络操作发送的应用层数据与线程读取的文件数据进行协议无关性匹配,采用串匹配的快速 Boyer-Moore 算法。如果匹配成功,则线程读取的文件为网络操作发送的文件,转入步骤S207,否则回到步骤S204。
S207、检查该线程及线程所属的进程是否具有隐蔽性,如果该线程及线程所属的进程具有隐蔽性,转入步骤S208,否则回到步骤S204;
通常满足隐蔽性条件之一即可判别该线程及线程所属的进程具有隐蔽性,隐蔽性条件包括:进程无窗口、有窗口但是隐藏、后台服务进程、浏览器进程无常规主线程、线程仅包含一个远程注入的线程,通过识别服务后台、识别傀儡进程,无窗口浏览器进程、判断是否是非联网的系统进程等进程、线程隐蔽性。
S208、有木马窃取文件行为。
下面举例说明:安装监视驱动,对文件与网络操作进行监视,驱动中获取的信息与上层通信, 获取到的一个动作信息包括如下 <进程ID、线程ID、进程镜像、动作、 数据信息>,将动作信息保存到缓冲列表供模型匹配和BM匹配。
其中远程控制接收指令发送文件的序列如下:
<进程ID、线程ID、进程镜像、接收、接收数据>
<进程ID、线程ID、进程镜像、打开文件、读取文件数据>
<进程ID、线程ID、进程镜像、读取文件、读取文件数据>
<进程ID、线程ID、进程镜像、发送、发送数据>
<进程ID、线程ID、进程镜像、读取文件、读取文件数据>
<进程ID、线程ID、进程镜像、发送、发送数据>
按照上述步骤,通过对上述缓冲列表的模型匹配可以初步认定线程在发送文件,然后再对线程所属进程等环境检测其隐蔽性即可判断是否是木马窃取文件。
本发明还提供了一种基于线程行为的木马窃取文件检测系统,如图3所示,该系统包括:
内核监视模块301,用于监视线程的文件操作和网络操作;所述文件操作包括打开文件路径和读取文件数据;
行为序列维护模块302,用于将监视的线程和线程所属的进程以及截获的文件操作及文件读取数据和网络操作及网络发送数据形成行为序列缓冲队列;
逻辑判断模块303,用于根据缓冲队列中的行为序列判断线程读取的文件是否为网络发送的文件;
如果线程读取的文件为网络发送的文件,并且检查该线程及线程所属的进程具有隐蔽性,则有木马窃取文件行为。
内核监视模块301具体用于安装内核驱动程序,通过对内核导出函数进行Inline Hook内联挂钩监视线程的文件操作和网络操作。
进行Inline Hook内联挂钩监视线程的文件操作和网络操作的内核函数包括文件打开函数NtOpenFile、文件读取函数NtReadFile、和网络发送的函数NtDeviceIoControlFile。
逻辑判断模块303具体包括:
模式匹配模块3031,用于用缓冲队列中的行为序列与发送文件模型进行模式匹配,如果匹配成功,并且线程读取文件数据的总大小与线程所访问的文件大小相差不超过文件大小的30%,则确认该线程在进行文件发送。
数据匹配模块3032,将网络发送数据与线程进行文件发送的数据进行协议无关性匹配,如果匹配成功,则线程读取的文件为网络操作发送的文件;
将网络操作发送的应用层数据与线程读取的文件数据进行协议无关性匹配,采用串匹配的快速 Boyer-Moore 算法。
隐蔽性检测模块3033,用于判别线程及线程所属的进程具有隐蔽性;
满足隐蔽性条件之一即可判别该线程及线程所属的进程具有隐蔽性,隐蔽性条件包括:进程无窗口、有窗口但是隐藏、后台服务进程、浏览器进程无常规主线程、线程仅包含一个远程注入的线程。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。

Claims (10)

1.一种基于线程行为的木马窃取文件检测方法,其特征在于,包括:
监视线程的文件操作和网络操作;所述文件操作包括打开文件路径和读取文件数据;
将监视的线程和线程所属的进程以及截获的文件操作及文件读取数据和网络操作及网络发送数据形成行为序列缓冲队列;
根据缓冲队列中的行为序列判断线程读取的文件是否为网络发送的文件:
用缓冲队列中的行为序列与发送文件模型进行模式匹配,如果匹配成功,并且线程读取文件数据的总大小与线程所访问的文件大小相差不超过文件大小的30%,则确认该线程在进行文件发送;
将网络发送数据与线程进行文件发送的数据进行协议无关性匹配,如果匹配成功,则线程读取的文件为网络操作发送的文件;
如果线程读取的文件为网络发送的文件,并且检查该线程及线程所属的进程具有隐蔽性,则有木马窃取文件行为。
2.如权利要求1所述的基于线程行为的木马窃取文件检测方法,其特征在于,安装内核驱动程序,通过对内核导出函数进行Inline Hook内联挂钩监视线程的文件操作和网络操作。
3.如权利要求2所述的基于线程行为的木马窃取文件检测方法,其特征在于,进行Inline Hook 内联挂钩监视线程的文件操作和网络操作的内核函数包括文件打开函数NtOpenFile、文件读取函数NtReadFile、和网络发送的函数NtDeviceIoControlFile。
4.如权利要求1所述的基于线程行为的木马窃取文件检测方法,其特征在于,将网络发送数据与线程进行文件发送的数据进行协议无关性匹配,采用串匹配的快速 Boyer-Moore 算法。
5.如权利要求1所述的基于线程行为的木马窃取文件检测方法,其特征在于,满足隐蔽性条件之一即可判别该线程及线程所属的进程具有隐蔽性,隐蔽性条件包括:进程无窗口、有窗口但是隐藏、后台服务进程、浏览器进程无常规主线程、线程仅包含一个远程注入的线程。
6.一种基于线程行为的木马窃取文件检测系统,其特征在于,包括:
内核监视模块,用于监视线程的文件操作和网络操作;所述文件操作包括打开文件路径和读取文件数据;
行为序列维护模块,用于将监视的线程和线程所属的进程以及截获的文件操作及文件读取数据和网络操作及网络发送数据形成行为序列缓冲队列;
逻辑判断模块,用于根据缓冲队列中的行为序列判断线程读取的文件是否为网络发送的文件;逻辑判断模块具体还包括:
模式匹配模块,用于用缓冲队列中的行为序列与发送文件模型进行模式匹配,如果匹配成功,并且线程读取文件数据的总大小与线程所访问的文件大小相差不超过文件大小的30%,则确认该线程在进行文件发送;
数据匹配模块,将网络发送数据与线程进行文件发送的数据进行协议无关性匹配,如果匹配成功,则线程读取的文件为网络操作发送的文件;
隐蔽性检测模块,用于判别线程及线程所属的进程具有隐蔽性;
如果线程读取的文件为网络发送的文件,并且检查该线程及线程所属的进程具有隐蔽性,则有木马窃取文件行为。
7.如权利要求6所述的基于线程行为的木马窃取文件检测系统,其特征在于,内核监视模块具体用于安装内核驱动程序,通过对内核导出函数进行Inline Hook内联挂钩监视线程的文件操作和网络操作。
8.如权利要求7所述的基于线程行为的木马窃取文件检测系统,其特征在于,进行Inline Hook内联挂钩监视线程的文件操作和网络操作的内核函数包括文件打开函数NtOpenFile、文件读取函数NtReadFile、和网络发送的函数NtDeviceIoControlFile。
9.如权利要求6所述的基于线程行为的木马窃取文件检测系统,其特征在于,将网络发送数据与线程进行文件发送的数据进行协议无关性匹配,采用串匹配的快速 Boyer-Moore 算法。
10.如权利要求6所述的基于线程行为的木马窃取文件检测系统,其特征在于,满足隐蔽性条件之一即可判别该线程及线程所属的进程具有隐蔽性,隐蔽性条件包括:进程无窗口、有窗口但是隐藏、后台服务进程、浏览器进程无常规主线程、线程仅包含一个远程注入的线程。
CN201110211059.1A 2011-07-27 2011-07-27 基于线程行为的木马窃取文件检测方法和系统 Active CN102394859B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201110211059.1A CN102394859B (zh) 2011-07-27 2011-07-27 基于线程行为的木马窃取文件检测方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201110211059.1A CN102394859B (zh) 2011-07-27 2011-07-27 基于线程行为的木马窃取文件检测方法和系统

Publications (2)

Publication Number Publication Date
CN102394859A CN102394859A (zh) 2012-03-28
CN102394859B true CN102394859B (zh) 2014-05-14

Family

ID=45862068

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201110211059.1A Active CN102394859B (zh) 2011-07-27 2011-07-27 基于线程行为的木马窃取文件检测方法和系统

Country Status (1)

Country Link
CN (1) CN102394859B (zh)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102629308B (zh) * 2012-03-09 2015-02-18 北京奇虎科技有限公司 一种防止登录信息被盗取的方法及装置
CN102662591B (zh) 2012-04-13 2014-11-05 华为终端有限公司 数据处理方法和装置
CN103455757B (zh) * 2012-05-31 2016-08-17 北京金山安全软件有限公司 一种识别病毒的方法及装置
US9323925B2 (en) 2013-05-30 2016-04-26 Trusteer, Ltd. Method and system for prevention of windowless screen capture
US10083296B2 (en) * 2015-06-27 2018-09-25 Mcafee, Llc Detection of malicious thread suspension
CN105718495A (zh) * 2015-08-21 2016-06-29 哈尔滨安天科技股份有限公司 一种数据库层次化html报表导出方法及系统
CN106022111B (zh) * 2016-07-13 2019-01-22 北京金山安全软件有限公司 隐藏弹出式窗口的处理方法、装置及电子设备
CN108363921A (zh) * 2017-07-05 2018-08-03 北京安天网络安全技术有限公司 一种基于进程行为特征发现窃密木马的方法及系统
CN109472140B (zh) * 2017-12-29 2021-11-12 北京安天网络安全技术有限公司 基于窗体标题校验阻止勒索软件加密的方法及系统
CN108762826B (zh) * 2018-04-23 2021-09-28 厦门市美亚柏科信息股份有限公司 进程隐藏方法及计算机可读存储介质
CN110855705A (zh) * 2019-11-23 2020-02-28 赣南师范大学 面向网络攻击与防护的无端口隐蔽通信方法
CN113779583B (zh) * 2021-11-10 2022-02-22 北京微步在线科技有限公司 一种行为检测方法、装置、存储介质及电子设备
CN114070634B (zh) * 2021-11-22 2024-02-27 安天科技集团股份有限公司 一种基于smtp协议的窃密行为检测方法、装置及电子设备
CN115543586B (zh) * 2022-11-28 2023-03-17 成都安易迅科技有限公司 应用层系统进程的启动方法、装置、设备及可读存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1818822A (zh) * 2005-02-07 2006-08-16 福建东方微点信息安全有限责任公司 缓冲区溢出攻击的检测方法
CN101098226A (zh) * 2006-06-27 2008-01-02 飞塔信息科技(北京)有限公司 一种病毒在线实时处理系统及其方法
CN102004882A (zh) * 2010-11-26 2011-04-06 北京安天电子设备有限公司 远程线程注入型木马的检测和处理的方法和装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1818822A (zh) * 2005-02-07 2006-08-16 福建东方微点信息安全有限责任公司 缓冲区溢出攻击的检测方法
CN101098226A (zh) * 2006-06-27 2008-01-02 飞塔信息科技(北京)有限公司 一种病毒在线实时处理系统及其方法
CN102004882A (zh) * 2010-11-26 2011-04-06 北京安天电子设备有限公司 远程线程注入型木马的检测和处理的方法和装置

Also Published As

Publication number Publication date
CN102394859A (zh) 2012-03-28

Similar Documents

Publication Publication Date Title
CN102394859B (zh) 基于线程行为的木马窃取文件检测方法和系统
CN103391216B (zh) 一种违规外联报警及阻断方法
US8566934B2 (en) Apparatus and method for enhancing security of data on a host computing device and a peripheral device
US20120240234A1 (en) Usb firewall apparatus and method
CN108931968A (zh) 一种应用于工业控制系统中的网络安全防护系统及其防护方法
CN102546624A (zh) 一种网络多路入侵检测防御方法及系统
CN101257678A (zh) 一种实现移动终端软件安全检测的方法、终端及系统
CN111314381A (zh) 安全隔离网关
CN110351237B (zh) 用于数控机床的蜜罐方法及装置
CN108449310B (zh) 一种国产网络安全隔离与单向导入系统及方法
CN106791627A (zh) 网络视频监控和安防报警集成系统及其安全访问鉴权方法
CN109165508A (zh) 一种外部设备访问安全控制系统及其控制方法
WO2024012135A1 (zh) 基于接口检测的外接式防护设备和方法
EP2950502B1 (en) Apparatus and method for preventing leakage of vehicle information
JP2006094258A (ja) 端末装置、そのポリシー強制方法およびそのプログラム
CN112231679B (zh) 一种终端设备验证方法、装置及存储介质
CN103824014A (zh) 一种局域网内的usb端口设备的隔离认证及监控方法
CN110049015A (zh) 网络安全态势感知系统
CN103078813A (zh) 基于snmp协议的终端安全接入的控制方法
CN108683644A (zh) 一种计算机网络安全检测方法
JP2003152806A (ja) 通信路のスイッチ接続制御システム
CN202050425U (zh) 一种内网设备非法外联监控系统
CN107395643B (zh) 一种基于扫描探针行为的源ip保护方法
CN114401103B (zh) Smb远程传输文件检测方法及装置,电子设备,存储介质
CN107908935A (zh) 一种基于可见光通信的在线学习方法及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: Method and system for detecting file stealing Trojan based on thread behavior

Effective date of registration: 20170621

Granted publication date: 20140514

Pledgee: Bank of Longjiang, Limited by Share Ltd, Harbin Limin branch

Pledgor: Harbin Antiy Technology Co., Ltd.

Registration number: 2017110000004

PE01 Entry into force of the registration of the contract for pledge of patent right
PC01 Cancellation of the registration of the contract for pledge of patent right
PC01 Cancellation of the registration of the contract for pledge of patent right

Date of cancellation: 20190614

Granted publication date: 20140514

Pledgee: Bank of Longjiang, Limited by Share Ltd, Harbin Limin branch

Pledgor: Harbin Antiy Technology Co., Ltd.

Registration number: 2017110000004

CP03 Change of name, title or address

Address after: 150028 Building 7, Innovation Plaza, Science and Technology Innovation City, Harbin Hi-tech Industrial Development Zone, Harbin, Heilongjiang Province (838 Shikun Road)

Patentee after: Harbin antiy Technology Group Limited by Share Ltd

Address before: 150090 room 506, Hongqi Street, Nangang District, Harbin Development Zone, Heilongjiang, China, 162

Patentee before: Harbin Antiy Technology Co., Ltd.

CP03 Change of name, title or address
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: Method and system for detecting file stealing Trojan based on thread behavior

Effective date of registration: 20190828

Granted publication date: 20140514

Pledgee: Bank of Longjiang, Limited by Share Ltd, Harbin Limin branch

Pledgor: Harbin antiy Technology Group Limited by Share Ltd

Registration number: Y2019230000002

PE01 Entry into force of the registration of the contract for pledge of patent right
CP01 Change in the name or title of a patent holder

Address after: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Harbin, Heilongjiang Province (No. 838, Shikun Road)

Patentee after: Antan Technology Group Co.,Ltd.

Address before: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Harbin, Heilongjiang Province (No. 838, Shikun Road)

Patentee before: Harbin Antian Science and Technology Group Co.,Ltd.

CP01 Change in the name or title of a patent holder
PC01 Cancellation of the registration of the contract for pledge of patent right

Date of cancellation: 20211119

Granted publication date: 20140514

Pledgee: Bank of Longjiang Limited by Share Ltd. Harbin Limin branch

Pledgor: Harbin Antian Science and Technology Group Co.,Ltd.

Registration number: Y2019230000002

PC01 Cancellation of the registration of the contract for pledge of patent right