CN102799824B - 一种针对具有数字签名信息的病毒文件的防御方法及系统 - Google Patents

一种针对具有数字签名信息的病毒文件的防御方法及系统 Download PDF

Info

Publication number
CN102799824B
CN102799824B CN201210244405.0A CN201210244405A CN102799824B CN 102799824 B CN102799824 B CN 102799824B CN 201210244405 A CN201210244405 A CN 201210244405A CN 102799824 B CN102799824 B CN 102799824B
Authority
CN
China
Prior art keywords
digital signature
signature information
file
virus
measured
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201210244405.0A
Other languages
English (en)
Other versions
CN102799824A (zh
Inventor
苏文杰
祁伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhuhai Baoqu Technology Co Ltd
Original Assignee
Beijing Kingsoft Internet Security Software Co Ltd
Shell Internet Beijing Security Technology Co Ltd
Zhuhai Juntian Electronic Technology Co Ltd
Beijing Kingsoft Internet Science and Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Kingsoft Internet Security Software Co Ltd, Shell Internet Beijing Security Technology Co Ltd, Zhuhai Juntian Electronic Technology Co Ltd, Beijing Kingsoft Internet Science and Technology Co Ltd filed Critical Beijing Kingsoft Internet Security Software Co Ltd
Priority to CN201210244405.0A priority Critical patent/CN102799824B/zh
Publication of CN102799824A publication Critical patent/CN102799824A/zh
Application granted granted Critical
Publication of CN102799824B publication Critical patent/CN102799824B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Storage Device Security (AREA)

Abstract

本发明属于病毒防御技术领域,具体公开了一种针对具有数字签名信息的病毒文件的防御方法及系统。该方法包括以下步骤:获取待测文件的数字签名信息;查询所述数字签名信息中的签名人名称是否在黑名单数据库中,若在,则发出病毒报警提示,所述黑名单数据库中预存储有曾被病毒盗用过数字签名信息的签名人名称。该系统是包括对应的数字签名信息获取模块和查询检测模块。本发明将曾被盗用过数字签名信息的签名人名称收集起来建立一个黑名单数据库,通过查询待测文件的数字签名信息中的签名人名称是否在黑名单数据库中,以判断是否为病毒文件,从而防止曾被盗用过的数字签名信息,继续被病毒文件利用,进一步提高病毒防御的安全性能。

Description

一种针对具有数字签名信息的病毒文件的防御方法及系统
技术领域
本发明属于病毒防御技术领域,具体涉及一种针对具有数字签名信息的病毒文件的防御方法及系统。
背景技术
计算机病毒,是编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。
计算机病毒不是天然存在的,是某些人利用计算机软件和硬件所固有的脆弱性编制的一组指令集或程序代码。它能通过某种途径潜伏在计算机的存储介质(或程序)里,当达到某种条件时即被激活,通过修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中,从而感染其他程序,对计算机资源进行破坏,所谓的病毒就是人为造成的,对其他用户的危害性很大!其传播途径,主要是通过日常文件传递过程中夹带病毒文件。
文件数字签名,包括签名人姓名、版本、序列号、签名算法、签名的有效日期、终止日期等信息。统一由微软认证签发,其签发非常严格,对于验证文件的安全性非常重要,判断一个文件是否具有数字签名信息,是现有很多反病毒软件的一种常见措施。目前的反病毒软件,一旦发现文件具有有效数字签名,就会对其放行。
根据上述规律,一些病毒制造者开始盗用一些合法的数字签名信息,将其加载到病毒文件上,以逃过防毒软件的查杀,从而进入到用户电脑系统中。
发明内容
为了解决上述问题,本发明的目的在于提供针对具有数字签名信息的病毒文件的防御方法及系统,以防止曾被盗用过的数字签名信息,继续被病毒文件利用。
为实现上述目的,本发明采用的技术方案如下:
一种针对具有数字签名信息的病毒文件的防御方法,包括以下步骤:
获取待测文件的数字签名信息;
查询所述数字签名信息中的签名人名称是否在黑名单数据库中,若在,则发出病毒报警提示,所述黑名单数据库中预存储有曾被病毒盗用过数字签名信息的签名人名称。
进一步的,在所述获取待测文件的数字签名信息之前还包括:
判断待测文件是否具有数字签名信息,若有则顺序执行后续步骤。
进一步的,在判断待测文件是否具有数字签名信息之前还包括:
根据已有的病毒数据库,判断待测文件的性质;
若为病毒文件,则发出报警提示;
若为安全文件,则直接放行;
若为未知文件,则顺序执行后续步骤。
一种针对具有数字签名信息的病毒文件的防御系统,包括以下模块:
数字签名信息获取模块,获取待测文件的数字签名信息;
查询检测模块,查询所述数字签名信息中的签名人名称是否在黑名单数据库中,若在,则发出病毒报警提示;
黑名单数据库,其中预存储有曾被病毒盗用过数字签名信息的签名人名称。
进一步的,该系统还包括一判断模块,用于在执行数字签名获取信息模块之前,判断待测文件是否具有数字签名信息,若有则执行后续模块。
进一步的,该系统还包括一前置检测模块,用于执行判断模块之前,根据已有的病毒数据库,判断待测文件的性质;
若为病毒文件,则发出报警提示;
若为安全文件,则直接放行;
若为未知文件,则顺序执行后续模块。
进一步的,该系统还包括一更新模块,用于向所述黑名单数据库中添加或删除签名人名称。
本发明将曾被盗用过数字签名信息的签名人名称收集起来建立一个黑名单数据库,通过查询待测文件的数字签名信息中的签名人名称是否在黑名单数据库中,以判断是否为病毒文件,从而防止曾被盗用过的数字签名信息,继续被病毒文件利用,进一步提高病毒防御的安全性能。
附图说明
此附图说明所提供的图片用来辅助对本发明的进一步理解,构成本申请的一部分,并不构成对本发明的不当限定,在附图中:
图1是本发明方法对应的流程图;
图2是本发明系统对应的框图。
具体实施方式
如图1所示,本实施例公开了一种针对具有数字签名信息的病毒文件的防御方法,包括以下步骤:
Step1:根据已有的病毒数据库,判断待测文件的性质;具体可以采用很多常规的方法,比如:在本地病毒数据库中或者在云端服务器上进行查询验证,在本地或者云端数据库中设置病毒数据库,该病毒数据中包括已经活动验证的病毒文件名称和安全文件名称,如果待测文件已经活得过验证,则可以直接得出黑白结论,所谓的黑即是病毒文件,所谓的白是指安全文件,没有在数据库中的为未知文件;
若为病毒文件,则发出报警提示;
若为安全文件,则直接放行;
若为未知文件,则顺序执行后续步骤;
Step2:判断待测文件是否具有数字签名信息;具体可以检测该文件是否带有数字签名证书,或者检测该文件运行过程是否向注册表写入数字证书;
若无,则启用其他常规检测手段,比如常见的病毒库扫描等;
若有,则顺序执行后续步骤。
Step3:获取待测文件的数字签名信息;
Step4:查询所述数字签名信息中的签名人名称是否在黑名单数据库中,所述黑名单数据库中预存储有曾被病毒盗用过数字签名信息的签名人名称,此处所述的黑名单数据库是通过大量的病毒采集分析得来,或者是其他一些收集举报措施得来;
若在,则发出病毒报警提示;
若不在,则启用其他常规检测手段,比如常见的病毒库扫描等。
如图2所示,本实施例还公开了一种针对具有数字签名信息的病毒文件的防御系统,包括以下模块:
前置检测模块1,用于执行判断模块之前,根据已有的病毒数据库,判断待测文件的性质;若为病毒文件,则发出报警提示;若为安全文件,则直接放行;若为未知文件,则顺序执行后续模块;
判断模块2,用于在执行数字签名信息模块之前,判断待测文件是否具有数字签名信息,若有则执行后续模块;
数字签名信息获取模块3,获取待测文件的数字签名信息;
查询检测模块4,查询所述数字签名信息中的签名人名称是否在黑名单数据库中,若在,则发出病毒报警提示;
黑名单数据库5,其中预存储有曾被病毒盗用过数字签名信息的签名人名称。
更新模块6,用于向所述黑名单数据库中添加或删除签名人名称。
本实施例将曾被盗用过数字签名信息的签名人名称收集起来建立一个黑名单数据库,通过查询待测文件的数字签名信息中的签名人名称是否在黑名单数据库中,以判断是否为病毒文件,从而防止曾被盗用过的数字签名信息,继续被病毒文件利用,进一步提高病毒防御的安全性能。
以上详细描述了本发明的较佳具体实施例,应当理解,本领域的普通技术无需创造性劳动就可以根据本发明的构思做出诸多修改和变化。因此,凡本技术领域中技术人员依本发明构思在现有技术基础上通过逻辑分析、推理或者根据有限的实验可以得到的技术方案,均应该在由本权利要求书所确定的保护范围之中。

Claims (7)

1.一种针对具有数字签名信息的病毒文件的防御方法,其特征在于,包括以下步骤:
获取待测文件的数字签名信息;
查询所述数字签名信息中的签名人名称是否在黑名单数据库中,其中,所述黑名单数据库中预存储有曾被病毒盗用过数字签名信息的签名人名称;
若在,则直接发出病毒报警提示;
若不在,则启用其他常规检测手段对所述待测文件进行检测,进一步检测具有数字签名信息的文件。
2.根据权利要求1所述的防御方法,其特征在于,在所述获取待测文件的数字签名信息之前还包括:
判断待测文件是否具有数字签名信息,若有则顺序执行后续步骤。
3.根据权利要求2所述的防御方法,其特征在于,在判断待测文件是否具有数字签名信息之前还包括:
根据已有的病毒数据库,判断待测文件的性质;
若为病毒文件,则发出报警提示;
若为安全文件,则直接放行;
若为未知文件,则顺序执行后续步骤。
4.一种针对具有数字签名信息的病毒文件的防御系统,其特征在于,包括以下模块:
数字签名信息获取模块,获取待测文件的数字签名信息;
查询检测模块,查询所述数字签名信息中的签名人名称是否在黑名单数据库中,若在,则直接发出病毒报警提示;
黑名单数据库,其中预存储有曾被病毒盗用过数字签名信息的签名人名称,
启动模块,若查询所述数字签名信息不在黑名单数据库中,则启用其他常规检测手段对所述待测文件进行检测,进一步检测具有数字签名信息的文件。
5.根据权利要求4所述的防御系统,其特征在于,该系统还包括:
判断模块,用于在执行数字签名信息获取模块之前,判断待测文件是否具有数字签名信息,若有则执行后续模块。
6.根据权利要求5所述的防御系统,其特征在于,该系统还包括:
前置检测模块,用于执行判断模块之前,根据已有的病毒数据库,判断待测文件的性质;
若为病毒文件,则发出报警提示;
若为安全文件,则直接放行;
若为未知文件,则顺序执行后续模块。
7.根据权利要求4所述的防御系统,其特征在于,该系统还包括:
更新模块,用于向所述黑名单数据库中添加或删除签名人名称。
CN201210244405.0A 2012-07-13 2012-07-13 一种针对具有数字签名信息的病毒文件的防御方法及系统 Active CN102799824B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201210244405.0A CN102799824B (zh) 2012-07-13 2012-07-13 一种针对具有数字签名信息的病毒文件的防御方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201210244405.0A CN102799824B (zh) 2012-07-13 2012-07-13 一种针对具有数字签名信息的病毒文件的防御方法及系统

Publications (2)

Publication Number Publication Date
CN102799824A CN102799824A (zh) 2012-11-28
CN102799824B true CN102799824B (zh) 2015-10-21

Family

ID=47198929

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201210244405.0A Active CN102799824B (zh) 2012-07-13 2012-07-13 一种针对具有数字签名信息的病毒文件的防御方法及系统

Country Status (1)

Country Link
CN (1) CN102799824B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104200163A (zh) * 2014-08-27 2014-12-10 哈尔滨工业大学(威海) 一种病毒检测方法及病毒检测引擎
CN106934284B (zh) * 2015-12-30 2020-02-11 北京金山安全软件有限公司 一种应用程序检测方法、装置和终端
CN109472139B (zh) * 2017-12-25 2022-04-19 北京安天网络安全技术有限公司 一种防御勒索病毒对主机文档二次加密的方法及系统
CN108595956B (zh) * 2018-04-26 2023-02-17 腾讯科技(深圳)有限公司 数字签名被盗用的识别方法及装置、电子设备、存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101827096A (zh) * 2010-04-09 2010-09-08 潘燕辉 一种基于云计算的多用户协同安全防护系统和方法
CN101997832A (zh) * 2009-08-10 2011-03-30 北京多思科技发展有限公司 一种支持安全监控的安全监控装置及方法
CN102024120A (zh) * 2009-09-18 2011-04-20 无锡安腾软件开发有限公司 使用数字签名检测软件是否经过篡改
CN102549593A (zh) * 2009-10-21 2012-07-04 惠普发展公司,有限责任合伙企业 可访问的文件

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101997832A (zh) * 2009-08-10 2011-03-30 北京多思科技发展有限公司 一种支持安全监控的安全监控装置及方法
CN102024120A (zh) * 2009-09-18 2011-04-20 无锡安腾软件开发有限公司 使用数字签名检测软件是否经过篡改
CN102549593A (zh) * 2009-10-21 2012-07-04 惠普发展公司,有限责任合伙企业 可访问的文件
CN101827096A (zh) * 2010-04-09 2010-09-08 潘燕辉 一种基于云计算的多用户协同安全防护系统和方法

Also Published As

Publication number Publication date
CN102799824A (zh) 2012-11-28

Similar Documents

Publication Publication Date Title
US11188645B2 (en) Identifying whether an application is malicious
Kim et al. Certified malware: Measuring breaches of trust in the windows code-signing pki
US9910987B2 (en) Malware detection method and apparatus
US20190132273A1 (en) Analysis and reporting of suspicious email
US20120102568A1 (en) System and method for malware alerting based on analysis of historical network and process activity
US10009370B1 (en) Detection and remediation of potentially malicious files
CN110445769B (zh) 业务系统的访问方法及装置
CN102799824B (zh) 一种针对具有数字签名信息的病毒文件的防御方法及系统
US11997080B2 (en) Uniform resource locator validation
Panos et al. A security evaluation of FIDO’s UAF protocol in mobile and embedded devices
US8726377B2 (en) Malware determination
CN107431693B (zh) 消息发送方真实性验证
CN109547427B (zh) 黑名单用户识别方法、装置、计算机设备及存储介质
KR102107082B1 (ko) 블록체인 기반 모바일 위조 앱 검출 방법
CN111917760A (zh) 一种基于标识解析的网络协同制造跨域融合信任管控方法
WO2017068714A1 (ja) 不正通信制御装置および方法
CN102737203B (zh) 一种基于程序父子基因关系的病毒防御方法及系统
CN101819619A (zh) 一种防止病毒及木马的方法
GB2495648A (en) Maintaining a database of trusted public keys in a plurality of computer devices
US9984229B1 (en) Method and apparatus providing a multiple source evidence application trust model
Chhajed et al. A Critical Review on Detecting Cross-Site Scripting Vulnerability
Rizvi et al. A Hybrid Framework for Detecting Repackaged Applications on the Android Market
CN117835240A (zh) 一种定制rom识别方法、装置、电子设备及介质
CN116668121A (zh) 基于计算机终端特征识别分析并生成证书标识的方法及系统
Bona-Umeaku An Evaluation of Anti-phishing Solutions

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
ASS Succession or assignment of patent right

Owner name: KINGSOFT CORPORATION LIMITED BEIKE INTERNET (BEIJI

Effective date: 20130503

C41 Transfer of patent application or patent right or utility model
TA01 Transfer of patent application right

Effective date of registration: 20130503

Address after: Jingshan Hill Road, Lane 519015 Lianshan Jida Guangdong province Zhuhai City No. 8

Applicant after: ZHUHAI JUNTIAN ELECTRONIC TECHNOLOGY Co.,Ltd.

Applicant after: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd.

Applicant after: SHELL INTERNET (BEIJING) SECURITY TECHNOLOGY Co.,Ltd.

Applicant after: BEIJING KINGSOFT NETWORK TECHNOLOGY Co.,Ltd.

Address before: Jingshan Hill Road, Lane 519015 Lianshan Jida Guangdong province Zhuhai City No. 8

Applicant before: Zhuhai Juntian Electronic Technology Co.,Ltd.

C14 Grant of patent or utility model
GR01 Patent grant
CP03 Change of name, title or address
CP03 Change of name, title or address

Address after: 519070, six level 601F, 10 main building, science and technology road, Tangjia Bay Town, Zhuhai, Guangdong.

Co-patentee after: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd.

Patentee after: ZHUHAI JUNTIAN ELECTRONIC TECHNOLOGY Co.,Ltd.

Co-patentee after: Beijing Cheetah Mobile Technology Co.,Ltd.

Co-patentee after: Beijing Cheetah Network Technology Co.,Ltd.

Address before: 519015 8 Lanshan lane, Jida Jingshan Hill Road, Zhuhai, Guangdong

Co-patentee before: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd.

Patentee before: Zhuhai Juntian Electronic Technology Co.,Ltd.

Co-patentee before: SHELL INTERNET (BEIJING) SECURITY TECHNOLOGY Co.,Ltd.

Co-patentee before: BEIJING KINGSOFT NETWORK TECHNOLOGY Co.,Ltd.

TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20191127

Address after: Room 105-53811, No. 6 Baohua Road, Hengqin New District, Zhuhai City, Guangdong Province

Patentee after: Zhuhai Leopard Technology Co.,Ltd.

Address before: 519070, No. 10, main building, No. six, science Road, Harbour Road, Tang Wan Town, Guangdong, Zhuhai, 601F

Co-patentee before: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd.

Patentee before: Zhuhai Juntian Electronic Technology Co.,Ltd.

Co-patentee before: Beijing Cheetah Mobile Technology Co.,Ltd.

Co-patentee before: Beijing Cheetah Network Technology Co.,Ltd.