CN102768717B - 恶意文件检测的方法及装置 - Google Patents
恶意文件检测的方法及装置 Download PDFInfo
- Publication number
- CN102768717B CN102768717B CN201210222822.5A CN201210222822A CN102768717B CN 102768717 B CN102768717 B CN 102768717B CN 201210222822 A CN201210222822 A CN 201210222822A CN 102768717 B CN102768717 B CN 102768717B
- Authority
- CN
- China
- Prior art keywords
- file
- attribute
- malicious
- detected
- malicious file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Storage Device Security (AREA)
Abstract
本发明揭示了一种恶意文件检测的方法及装置。该方法可包括:获取被检测文件的文件属性;将获取的文件属性与预设的恶意文件属性类别库进行匹配,验证文件属性是否异常;当文件属性异常时,判定被检测文件为恶意文件并告警。本发明针对恶意文件,根据被检测文件自身的文件属性信息并结合预先建立的恶意文件属性类别库,对被检测文件体进行启发式的判断,准确及时的识别出恶意文件。
Description
技术领域
本发明涉及到文件检测技术,特别涉及到一种恶意文件检测的方法及装置。
背景技术
木马的发展趋势已经由以前的技术对抗逐渐演变为更多的使用欺诈、伪装等方式,且变异周期极短,可以快速做到自动化免杀。而传统的病毒查杀引擎主要依赖特征码识别、虚拟执行等技术来识别木马,在面对这些新型木马时会显得力不从心,主要体现在反应滞后、误报不可控等。
现有技术中,一些恶意木马文件使用欺诈、伪装等手段,将自身伪造成看似正规的系统文件、正常的系统目录或正规软件的主程序,通过频繁的更改文件体信息,躲避杀毒软件的特征识别,给用户造成它们就是系统上正规软件的假象。或者通过修改自身的安全属性,在用户识别到它是恶意软件时,却无法彻底删除。
现有的病毒检测方式主要有两种,包括:
一、特征码扫描,其为最传统的查毒方法,使用此种方式首先需要收集大量的恶意样本,并分析样本的指令、数据信息等,抽取出典型的指令集合或数据集合;该典型的特征信息通常都是木马所独有,而正常软件所不具备的;将上述指令和数据集合汇总成特征库,然后使用该特征库对用户系统上的文件进行扫描,如果遇到能够匹配上的特征就可以报毒。
二、虚拟机启发式扫描,此种方式主要用来应对木马加壳导致无法扫描到文件的代码特征,或者使用特征码扫描方式失效的情况;其是将待检测文件虚拟执行,跟踪执行时的指令序列和API(Application Programming Interface,应用程序编程接口)调用组合及频率等,如果执行时的动态信息符合了预定的判断条件则认为发现了可疑文件。
上面提到的两种传统技术方案在应对欺诈伪装类木马时的缺点主要有:上述特征码扫描的主要缺点是,需要预先收集大量的木马样本,然后进行特征提取,因此不能识别未知木马,即使是面对已知木马的变种也会大量出现无法识别的情况;另外,由于要对大量的木马样本进行特征信息提取,结果就是特征库体积很大,占用系统资源较多。上述虚拟机启发式扫描的主要缺点是,需要将待检测文件模拟执行,跟踪指令序列和API调用组合,一旦木马的这些动态行为组合与正常软件的行为组合相似,就会发生误报;另外,虚拟执行的方式性能较差,要耗费较长的运行时间。上述两个检测方式都需要获取被检测文件的内容本身,降低了检测效率。
发明内容
本发明的主要目的为提供一种恶意文件检测的方法,提升了恶意文件的检测效率。
本发明提出一种恶意文件检测的方法,包括:
获取被检测文件的文件属性;
将获取的文件属性与预设的恶意文件属性类别库进行匹配,验证文件属性是否异常;
当文件属性异常时,判定被检测文件为恶意文件并告警。
优选地,所述方法之前还包括:
收集恶意文件样本,根据恶意文件的文件属性进行分类,形成预设的恶意文件属性类别库。
优选地,所述安全属性异常指的是访问控制列表ACL的异常。
优选地,所述文件属性包括:
文件图标属性、文件名称属性和/或文件安全属性。
优选地,所述将获取的文件属性与预设的恶意文件属性类别库进行匹配,验证文件属性是否异常包括:
将获取的文件图标属性与恶意文件属性类别库进行匹配,验证文件图标属性是否异常;
当文件图标属性正常时,将获取的文件名称属性与恶意文件属性类别库进行匹配,验证文件名称属性是否异常;
当文件名称属性正常时,将获取的文件安全属性与恶意文件属性类别库进行匹配,验证文件安全属性是否异常;当文件名称属性正常时,判定被检测文件为非恶意文件。
优选地,所述判定被检测文件为恶意文件并告警的步骤之前还包括:
验证被检测文件是否具备相应的签名。
优选地,所述验证被检测文件是否具备相应的签名包括:
验证被检测文件是否具备正规数字签名;当具备时,判定被检测文件为非恶意文件;
当不具备时,验证被检测文件是否具备系统签名;当具备时,判定被检测文件为非恶意文件;当不具备时,判定被检测文件为恶意文件并告警。
本发明还提出一种恶意文件检测的装置,包括:
属性获取模块,用于获取被检测文件的文件属性;
异常验证模块,用于将获取的文件属性与预设的恶意文件属性类别库进行匹配,验证文件属性是否异常;
检测判定模块,用于当文件属性异常时,判定被检测文件为恶意文件并告警。
优选地,所述装置还包括:
类别建立模块,用于收集恶意文件样本,根据恶意文件的文件属性进行分类,形成预设的恶意文件属性类别库。
优选地,所述安全属性异常指的是访问控制列表ACL的异常。
优选地,所述文件属性包括:
文件图标属性、文件名称属性和/或文件安全属性。
优选地,所述异常验证模块包括:
图标验证子模块,用于将获取的文件图标属性与恶意文件属性类别库进行匹配,验证文件图标属性是否异常;
名称验证子模块,用于当文件图标属性正常时,将获取的文件名称属性与恶意文件属性类别库进行匹配,验证文件名称属性是否异常;
安全验证子模块,用于当文件名称属性正常时,将获取的文件安全属性与恶意文件属性类别库进行匹配,验证文件安全属性是否异常;当文件名称属性正常时,判定被检测文件为非恶意文件。
优选地,所述检测判定模块还用于:
验证被检测文件是否具备相应的签名。
优选地,所述检测判定模块包括:
数字签名子模块,用于验证被检测文件是否具备正规数字签名;当具备时,判定被检测文件为非恶意文件;
系统签名子模块,用于当不具备时,验证被检测文件是否具备系统签名;当具备时,判定被检测文件为非恶意文件;当不具备时,判定被检测文件为恶意文件并告警。
本发明针对恶意文件,根据被检测文件自身的文件属性信息并结合预先建立的恶意文件属性类别库,对被检测文件体进行启发式的判断,准确及时的识别出恶意文件。
附图说明
图1是本发明恶意文件检测的方法一实施例中的步骤流程示意图;
图2是本发明恶意文件检测的方法另一实施例中的步骤流程示意图;
图3是本发明恶意文件检测的方法又一实施例中的步骤流程示意图;
图4是本发明恶意文件检测的方法一实施例中的另一步骤流程示意图;
图5是本发明恶意文件检测的方法一实施例中签名验证的步骤流程示意图;
图6是本发明恶意文件检测的装置一实施例中的结构示意图;
图7是本发明恶意文件检测的装置另一实施例中的结构示意图;
图8是本发明恶意文件检测的装置一实施例中异常验证模块的结构示意图;
图9是本发明恶意文件检测的装置一实施例中检测判定模块的结构示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
参照图1,提出本发明一种恶意文件检测的方法的一实施例。该方法可包括:
步骤S11、获取被检测文件的文件属性;
步骤S12、将获取的文件属性与预设的恶意文件属性类别库进行匹配,验证文件属性是否异常;当文件属性正常时,进行步骤S13;否则,进行步骤S15;
步骤S13、判定被检测文件为非恶意文件;
步骤S15、判定被检测文件为恶意文件并告警。
鉴于现有技术中对恶意文件的检测都需涉及到文件内容本身的鉴别,而获取恶意文件内容本身将会影响检测效率。因此,在本发明中可通过检验被检测文件的文件属性,从而判断被检测文件是否属于恶意文件,可提升恶意文件检测的效率。
参照图2,在上述步骤S15之前还包括:
步骤S14、验证被检测文件是否具备相应的签名;当具备时,进行步骤S13;否则,进行步骤S15。
参照图3,在上述方法之前(即步骤S11之前)还可包括:
步骤S10、收集恶意文件样本,根据恶意文件的文件属性进行分类,形成预设的恶意文件属性类别库。
在执行具体的检测之前,可预先建立恶意文件属性类别库,在检测时使用。其可通过收集恶意文件样本,并对恶意文件样本的属性进行归类,将获取的所有恶意文件属性类别保存,形成恶意文件属性类别库,为检测提供参考。由于该恶意文件属性类别库中只需存储恶意文件属性类别,相较于存储恶意文件特征的特征库,存储量较小,耗费资源也较少。
针对现有的恶意文件(比如木马病毒)通常以欺诈伪装的方式出现,该欺诈伪装的方式较常用大致可包括:文件图标异常或文件安全属性异常等。
该文件图标异常,如文件图标是系统文件夹图标(比如Windows文件夹图标)、IE图标或者其它常用应用图标等。
该文件名称异常,如该恶意文件与同目录下的文件夹同名,且将同名的文件夹属性置为隐藏。例如,该恶意文件可在C盘下面存在Windows目录中释放一个名称为Windows.exe的文件(名称中不显示文件扩展名),且该Windows.exe文件的图标是文件夹图标,然后把Windows目录隐藏,当用户点击该看似Windows文件夹的文件时,其实是运行了伪装的Windows.exe木马文件。另,如文件名与系统文件名相同或近似,但却不在系统目录,比如rundll32.exe、rundl132(小写的“L”换成了1).exe、wininit.exe等。
该文件安全属性异常,可以是指访问控制列表ACL的异常,即与正常ACL的控制访问权限不同。正常文件的ACL(访问控制列表)里会包含当前用户、system、管理员、users等,而欺诈类木马会将自身安全属性的ACL修改为只包含everyone一个用户,且权限仅仅是只读,没有写权限和删除权限,从而无法手动删除。
本实施例中,对被检测文件的文件属性检测主要可包括:文件图标属性、文件名称属性和/或文件安全属性等。
参照图4,上述步骤S12可包括:
步骤S121、将获取的文件图标属性与恶意文件属性类别库进行匹配,验证文件图标属性是否异常;当文件图标属性异常时,进行步骤S14;当文件图标属性正常时,进行步骤S122;
步骤S122、将获取的文件名称属性与恶意文件属性类别库进行匹配,验证文件名称属性是否异常;当文件名称属性异常时,进行步骤S14;当文件名称属性正常时,进行步骤S123;
步骤S123、将获取的文件安全属性与恶意文件属性类别库进行匹配,验证文件安全属性是否异常;当文件安全属性异常时,进行步骤S14;当文件安全属性正常时,进行步骤S13。
本实施例的检测中,如果文件属性异常,比如被检测文件的图标与恶意文件属性类别库中图标一致,或者被检测文件与同目录的文件夹名称一致且同名文件夹被隐藏,或者文件名称与系统文件名称一致,或者安全属性规则与恶意文件属性类别库中的规则一致等,则进行相应的签名验证(比如正规数字签名或系统签名验证等);如果文件属性,则判定被检测文件为非恶意文件。在检测中,该文件属性可设置为一个或多个;当文件属性为多个时,可依照设定顺序,依次对多个文件属性的异常进行检测。
上述针对文件属性的检测,即使恶意文件已进行变种,仍有可能被检测到。比如,无论木马自身的动态行为如指令序列、API调用组合如何变换,只要其的自身属性是具有欺骗性质的,都可根据其自身属性被快速识别。上述方式对付免杀效果很好。同时,不需要建设庞大的特征库系统,只需根据文件属性对进行欺诈的木马按属性进行归类汇总,形成恶意文件特征的特征库即可,减少资源的耗费。
本实施例中,在进行相应的签名验证时,可包括正规数字签名和/系统签名的检测。
参照图5,上述步骤S14可包括:
步骤S141、验证被检测文件是否具备正规数字签名;当具备时,进行步骤S13;当不具备时,进行步骤S142;
步骤S142、验证被检测文件是否具备系统签名;当具备时,进行步骤S13;当不具备时,进行步骤S15。
即使被检测文件的文件属性异常,但其如果具备正规数字签名信息或者系统签名(比如Windows签名等,即被Windows编录),则还可认为该被检测文件是非恶意文件,否则可判定该被检测文件为高可疑欺诈类文件(恶意文件)。在判定为恶意文件时,可通过告警进行提醒,该告警提醒方式可包括文字、音频和/或视频等提醒方式。
上述恶意文件检测的方法,针对恶意文件(比如欺诈伪装类木马等),根据被检测文件自身的文件属性信息并结合预先建立的恶意文件属性类别库,对被检测文件体进行启发式的判断,准确及时的识别出恶意文件。
参照图6,提出本发明一种恶意文件检测的装置20的一实施例。该装置20可包括:属性获取模块21、异常验证模块22以及检测判定模块23;该属性获取模块21,用于获取被检测文件的文件属性;该异常验证模块22,用于将获取的文件属性与预设的恶意文件属性类别库进行匹配,验证文件属性是否异常;该检测判定模块23,用于当文件属性异常时,判定被检测文件为恶意文件并告警。
鉴于现有技术中对恶意文件的检测都需涉及到文件内容本身的鉴别,而获取恶意文件内容本身将会影响检测效率。因此,在本发明中可通过检验被检测文件的文件属性,从而判断被检测文件是否属于恶意文件,可提升恶意文件检测的效率。
参照图7,上述装置20还可包括:类别建立模块24,用于收集恶意文件样本,根据恶意文件的文件属性进行分类,形成预设的恶意文件属性类别库。
在执行具体的检测之前,可预先建立恶意文件属性类别库,在检测时使用。其可通过收集恶意文件样本,并对恶意文件样本的属性进行归类,将获取的所有恶意文件属性类别保存,形成恶意文件属性类别库,为检测提供参考。由于该恶意文件属性类别库中只需存储恶意文件属性类别,相较于存储恶意文件特征的特征库,存储量较小,耗费资源也较少。
针对现有的恶意文件(比如木马病毒)通常以欺诈伪装的方式出现,该欺诈伪装的方式较常用大致可包括:文件图标异常或文件安全属性异常等。
该文件图标异常,如文件图标是系统文件夹图标(比如Windows文件夹图标)、IE图标或者其它常用应用图标等。
该文件名称异常,如该恶意文件与同目录下的文件夹同名,且将同名的文件夹属性置为隐藏。例如,该恶意文件可在C盘下面存在Windows目录中释放一个名称为Windows.exe的文件(名称中不显示文件扩展名),且该Windows.exe文件的图标是文件夹图标,然后把Windows目录隐藏,当用户点击该看似Windows文件夹的文件时,其实是运行了伪装的Windows.exe木马文件。另,如文件名与系统文件名相同或近似,但却不在系统目录,比如rundll32.exe、rundl132(小写的“L”换成了1).exe、wininit.exe等。
该文件安全属性异常,正常文件的ACL(访问控制列表)里会包含当前用户、system、管理员、users等,而欺诈类木马会将自身安全属性的ACL修改为只包含everyone一个用户,且权限仅仅是只读,没有写权限和删除权限,从而无法手动删除。
本实施例中,对被检测文件的文件属性检测主要可包括:文件图标属性、文件名称属性和/或文件安全属性等。
参照图8,上述异常验证模块22可包括:图标验证子模块221、名称验证子模块222以及安全验证子模块223;该图标验证子模块221,用于将获取的文件图标属性与恶意文件属性类别库进行匹配,验证文件图标属性是否异常;当文件图标属性异常时,判断被检测文件是否具备相应的签名;该名称验证子模块222,用于当文件图标属性正常时,将获取的文件名称属性与恶意文件属性类别库进行匹配,验证文件名称属性是否异常;当文件名称属性异常时,判断被检测文件是否具备相应的签名;该安全验证子模块223,用于当文件名称属性正常时,将获取的文件安全属性与恶意文件属性类别库进行匹配,验证文件安全属性是否异常;当文件安全异常时,判断被检测文件是否具备相应的签名;当文件名称属性正常时,判定被检测文件为非恶意文件。
本实施例的检测中,如果文件属性异常,比如被检测文件的图标与恶意文件属性类别库中图标一致,或者被检测文件与同目录的文件夹名称一致且同名文件夹被隐藏,或者文件名称与系统文件名称一致,或者安全属性规则与恶意文件属性类别库中的规则一致等,则进行相应的签名验证(比如正规数字签名或系统签名验证等);如果文件属性,则判定被检测文件为非恶意文件。在检测中,该文件属性可设置为一个或多个;当文件属性为多个时,可依照设定顺序,依次对多个文件属性的异常进行检测。
上述针对文件属性的检测,即使恶意文件已进行变种,仍有可能被检测到。比如,无论木马自身的动态行为如指令序列、API调用组合如何变换,只要其的自身属性是具有欺骗性质的,都可根据其自身属性被快速识别。上述方式对付免杀效果很好。同时,不需要建设庞大的特征库系统,只需根据文件属性对进行欺诈的木马按属性进行归类汇总,形成恶意文件特征的特征库即可,减少资源的耗费。
本实施例中,在进行相应的签名验证时,可包括正规数字签名和/系统签名的检测。
参照图9,上述检测判定模块还可用于:验证被检测文件是否具备相应的签名。上述检测判定模块23可包括:数字签名子模块231以及系统签名子模块232;该数字签名子模块231,用于验证被检测文件是否具备正规数字签名;当具备时,判定被检测文件为非恶意文件;该系统签名子模块232,用于当不具备时,验证被检测文件是否具备系统签名;当具备时,判定被检测文件为非恶意文件;当不具备时,判定被检测文件为恶意文件并告警。
即使被检测文件的文件属性异常,但其如果具备正规数字签名信息或者系统签名(比如Windows签名等,即被Windows编录),则还可认为该被检测文件是非恶意文件,否则可判定该被检测文件为高可疑欺诈类文件(恶意文件)。在判定为恶意文件时,可通过告警进行提醒,该告警提醒方式可包括文字、音频和/或视频等提醒方式。
上述恶意文件检测的装置20,针对恶意文件(比如欺诈伪装类木马等),根据被检测文件自身的文件属性信息并结合预先建立的恶意文件属性类别库,对被检测文件体进行启发式的判断,准确及时的识别出恶意文件。
以上所述仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (12)
1.一种恶意文件检测的方法,其特征在于,包括:
获取被检测文件的文件属性;所述文件属性包括:文件图标属性、文件名称属性和/或文件安全属性;
将获取的文件属性与预设的恶意文件属性类别库进行匹配,所述恶意文件属性类别库中存储恶意文件属性类别,通过检验被检测文件的文件属性与所述恶意文件属性类别库中存储的对应的恶意文件属性类别是否一致来验证文件属性是否异常;
当文件属性异常时,判定被检测文件为恶意文件并告警;其中,文件名称异常包括:被检测文件与同目录的文件夹名称一致且同名文件夹被隐藏。
2.根据权利要求1所述的恶意文件检测的方法,其特征在于,所述方法之前还包括:
收集恶意文件样本,根据恶意文件的文件属性进行分类,形成预设的恶意文件属性类别库。
3.根据权利要求2所述的恶意文件检测的方法,其特征在于,所述文件安全属性异常指的是访问控制列表ACL的异常。
4.根据权利要求1所述的恶意文件检测的方法,其特征在于,所述将获取的文件属性与预设的恶意文件属性类别库进行匹配,验证文件属性是否异常包括:
将获取的文件图标属性与恶意文件属性类别库进行匹配,验证文件图标属性是否异常;
当文件图标属性正常时,将获取的文件名称属性与恶意文件属性类别库进行匹配,验证文件名称属性是否异常;
当文件名称属性正常时,将获取的文件安全属性与恶意文件属性类别库进行匹配,验证文件安全属性是否异常;当文件安全属性正常时,判定被检测文件为非恶意文件。
5.根据权利要求1至4中任一项所述的恶意文件检测的方法,其特征在于,所述判定被检测文件为恶意文件并告警的步骤之前还包括:
验证被检测文件是否具备相应的签名。
6.根据权利要求5所述的恶意文件检测的方法,其特征在于,所述验证被检测文件是否具备相应的签名包括:
验证被检测文件是否具备正规数字签名;当具备时,判定被检测文件为非恶意文件;
当不具备时,验证被检测文件是否具备系统签名;当具备时,判定被检测文件为非恶意文件;当不具备时,判定被检测文件为恶意文件并告警。
7.一种恶意文件检测的装置,其特征在于,包括:
属性获取模块,用于获取被检测文件的文件属性;所述文件属性包括:文件图标属性、文件名称属性和/或文件安全属性;
异常验证模块,用于将获取的文件属性与预设的恶意文件属性类别库进行匹配,所述恶意文件属性类别库中存储恶意文件属性类别,通过检验被检测文件的文件属性与所述恶意文件属性类别库中存储的对应的恶意文件属性类别是否一致来验证文件属性是否异常;
检测判定模块,用于当文件属性异常时,判定被检测文件为恶意文件并告警;其中,文件名称异常包括:被检测文件与同目录的文件夹名称一致且同名文件夹被隐藏。
8.根据权利要求7所述的恶意文件检测的装置,其特征在于,所述装置还包括:
类别建立模块,用于收集恶意文件样本,根据恶意文件的文件属性进行分类,形成预设的恶意文件属性类别库。
9.根据权利要求8所述的恶意文件检测的装置,其特征在于,所述文件安全属性异常指的是访问控制列表ACL的异常。
10.根据权利要求7所述的恶意文件检测的装置,其特征在于,所述异常验证模块包括:
图标验证子模块,用于将获取的文件图标属性与恶意文件属性类别库进行匹配,验证文件图标属性是否异常;
名称验证子模块,用于当文件图标属性正常时,将获取的文件名称属性与恶意文件属性类别库进行匹配,验证文件名称属性是否异常;
安全验证子模块,用于当文件名称属性正常时,将获取的文件安全属性与恶意文件属性类别库进行匹配,验证文件安全属性是否异常;当文件安全属性正常时,判定被检测文件为非恶意文件。
11.根据权利要求7至10中任一项所述的恶意文件检测的装置,其特征在于,所述检测判定模块还用于:
验证被检测文件是否具备相应的签名。
12.根据权利要求11所述的恶意文件检测的装置,其特征在于,所述检测判定模块包括:
数字签名子模块,用于验证被检测文件是否具备正规数字签名;当具备时,判定被检测文件为非恶意文件;
系统签名子模块,用于当不具备时,验证被检测文件是否具备系统签名;当具备时,判定被检测文件为非恶意文件;当不具备时,判定被检测文件为恶意文件并告警。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210222822.5A CN102768717B (zh) | 2012-06-29 | 2012-06-29 | 恶意文件检测的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210222822.5A CN102768717B (zh) | 2012-06-29 | 2012-06-29 | 恶意文件检测的方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102768717A CN102768717A (zh) | 2012-11-07 |
CN102768717B true CN102768717B (zh) | 2015-01-21 |
Family
ID=47096112
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210222822.5A Active CN102768717B (zh) | 2012-06-29 | 2012-06-29 | 恶意文件检测的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102768717B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104899509A (zh) * | 2014-03-03 | 2015-09-09 | 珠海市君天电子科技有限公司 | 文件样本属性的确定方法及装置 |
Families Citing this family (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102968589B (zh) * | 2012-11-14 | 2015-09-23 | 北京奇虎科技有限公司 | 一种应用程序安全属性的识别方法和装置 |
CN103198243B (zh) * | 2013-03-12 | 2016-06-01 | 百度在线网络技术(北京)有限公司 | 一种识别山寨应用程序的方法和装置 |
CN104346568A (zh) * | 2013-07-26 | 2015-02-11 | 贝壳网际(北京)安全技术有限公司 | 识别恶意应用程序的方法、装置及移动设备 |
CN103699838B (zh) * | 2013-12-02 | 2018-05-04 | 百度国际科技(深圳)有限公司 | 病毒的识别方法及设备 |
CN103714269A (zh) * | 2013-12-02 | 2014-04-09 | 百度国际科技(深圳)有限公司 | 病毒的识别方法及设备 |
CN103745166A (zh) * | 2013-12-27 | 2014-04-23 | 曙光云计算技术有限公司 | 文件属性值的检验方法和装置 |
CN103761483A (zh) * | 2014-01-27 | 2014-04-30 | 百度在线网络技术(北京)有限公司 | 恶意代码的检测方法及装置 |
CN104239795B (zh) * | 2014-09-16 | 2017-11-24 | 百度在线网络技术(北京)有限公司 | 文件的扫描方法及装置 |
CN104268249B (zh) * | 2014-09-30 | 2018-04-27 | 珠海市君天电子科技有限公司 | 一种系统文件的识别方法及系统 |
CN105488390B (zh) * | 2014-12-13 | 2018-05-25 | 哈尔滨安天科技股份有限公司 | 一种Linux下的可疑文件发现方法及系统 |
EP3113065B1 (en) * | 2015-06-30 | 2017-07-05 | Kaspersky Lab AO | System and method of detecting malicious files on mobile devices |
CN108171054A (zh) * | 2016-12-05 | 2018-06-15 | 中国科学院软件研究所 | 一种针对社交欺骗的恶意代码的检测方法及系统 |
CN107153792B (zh) * | 2017-04-06 | 2020-07-24 | 北京安云世纪科技有限公司 | 一种数据安全处理方法、装置及移动终端 |
CN107944265B (zh) * | 2017-11-30 | 2019-10-18 | 北京知道创宇信息技术股份有限公司 | 一种PyPI源中恶意第三方库的检测方法及计算设备 |
CN108804917B (zh) * | 2017-12-22 | 2022-03-18 | 安天科技集团股份有限公司 | 一种文件检测方法、装置、电子设备及存储介质 |
CN108108619B (zh) * | 2017-12-29 | 2021-08-31 | 安天科技集团股份有限公司 | 基于模式匹配对应关系的文件检测方法、系统及存储介质 |
CN108229171B (zh) * | 2018-02-11 | 2023-05-12 | 腾讯科技(深圳)有限公司 | 驱动程序处理方法、装置及存储介质 |
CN109033868A (zh) * | 2018-06-29 | 2018-12-18 | 北京奇虎科技有限公司 | 一种移动存储设备文件的管理方法及装置 |
CN109254827B (zh) * | 2018-08-27 | 2022-04-22 | 电子科技大学成都学院 | 一种基于大数据与机器学习的虚拟机安全防护方法及系统 |
CN111859381A (zh) * | 2019-04-29 | 2020-10-30 | 深信服科技股份有限公司 | 一种文件检测方法、装置、设备及介质 |
WO2021243716A1 (zh) * | 2020-06-05 | 2021-12-09 | 西门子股份公司 | 一种可疑软件检测方法、装置和计算机可读介质 |
CN112487432A (zh) * | 2020-12-10 | 2021-03-12 | 杭州安恒信息技术股份有限公司 | 一种基于图标匹配的恶意文件检测的方法、系统及设备 |
CN112948830B (zh) * | 2021-03-12 | 2023-11-10 | 安天科技集团股份有限公司 | 文件风险识别的方法和装置 |
CN113505099A (zh) * | 2021-05-11 | 2021-10-15 | 深圳软牛科技有限公司 | Windows系统的文件隐藏方法、装置、设备及存储介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101329711A (zh) * | 2008-07-24 | 2008-12-24 | 成都市华为赛门铁克科技有限公司 | 一种计算机文件检测的方法及装置 |
CN102243699A (zh) * | 2011-06-09 | 2011-11-16 | 深圳市安之天信息技术有限公司 | 一种恶意代码检测方法及系统 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7840573B2 (en) * | 2005-02-22 | 2010-11-23 | Trusted Computer Solutions | Trusted file relabeler |
-
2012
- 2012-06-29 CN CN201210222822.5A patent/CN102768717B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101329711A (zh) * | 2008-07-24 | 2008-12-24 | 成都市华为赛门铁克科技有限公司 | 一种计算机文件检测的方法及装置 |
CN102243699A (zh) * | 2011-06-09 | 2011-11-16 | 深圳市安之天信息技术有限公司 | 一种恶意代码检测方法及系统 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104899509A (zh) * | 2014-03-03 | 2015-09-09 | 珠海市君天电子科技有限公司 | 文件样本属性的确定方法及装置 |
CN104899509B (zh) * | 2014-03-03 | 2018-07-10 | 珠海市君天电子科技有限公司 | 文件样本属性的确定方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN102768717A (zh) | 2012-11-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102768717B (zh) | 恶意文件检测的方法及装置 | |
Mahindru et al. | Dynamic permissions based android malware detection using machine learning techniques | |
CN103839003B (zh) | 恶意文件检测方法及装置 | |
Sato et al. | Detecting android malware by analyzing manifest files | |
Lanzi et al. | Accessminer: using system-centric models for malware protection | |
KR101654099B1 (ko) | 악성 프로세스들의 비서명 기반 검출을 위한 시스템 및 방법 | |
US8479296B2 (en) | System and method for detecting unknown malware | |
Garcia et al. | Obfuscation-resilient, efficient, and accurate detection and family identification of android malware | |
CN109271780A (zh) | 机器学习恶意软件检测模型的方法、系统和计算机可读介质 | |
CN100481101C (zh) | 计算机安全启动的方法 | |
CN105956468B (zh) | 一种基于文件访问动态监控的Android恶意应用检测方法及系统 | |
CN107688743B (zh) | 一种恶意程序的检测分析方法及系统 | |
KR101132197B1 (ko) | 악성 코드 자동 판별 장치 및 방법 | |
JP2011501278A (ja) | コンピュータにおける悪意プログラム自動保護方法及び装置 | |
KR101851233B1 (ko) | 파일 내 포함된 악성 위협 탐지 장치 및 방법, 그 기록매체 | |
KR20120073018A (ko) | 악성 코드 탐지를 위한 시스템 및 방법 | |
CN113132311B (zh) | 异常访问检测方法、装置和设备 | |
CN112084497A (zh) | 嵌入式Linux系统恶意程序检测方法及装置 | |
CN103810428B (zh) | 一种宏病毒检测方法及装置 | |
KR102180098B1 (ko) | 악성코드 모니터링 및 사용자 단말 제어 기능을 수행하는 악성코드 탐지 시스템 | |
Lu et al. | A two-layered malware detection model based on permission for android | |
KR20130074224A (ko) | 악성코드의 행동 패턴 수집장치 및 방법 | |
KR20160031589A (ko) | 악성 애플리케이션 탐지 방법 및 이 방법을 실행시키는 컴퓨터프로그램 | |
CN103593614B (zh) | 一种未知病毒检索方法 | |
CN115906184A (zh) | 一种控制进程访问文件的方法、装置、介质及电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |