CN102819697A - 一种基于线程反编译的多平台恶意代码检测方法和系统 - Google Patents
一种基于线程反编译的多平台恶意代码检测方法和系统 Download PDFInfo
- Publication number
- CN102819697A CN102819697A CN2011104406330A CN201110440633A CN102819697A CN 102819697 A CN102819697 A CN 102819697A CN 2011104406330 A CN2011104406330 A CN 2011104406330A CN 201110440633 A CN201110440633 A CN 201110440633A CN 102819697 A CN102819697 A CN 102819697A
- Authority
- CN
- China
- Prior art keywords
- thread
- decompiling
- sequence
- malicious
- malicious code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 32
- 238000000605 extraction Methods 0.000 claims abstract description 37
- 238000001514 detection method Methods 0.000 claims abstract description 25
- 230000003068 static effect Effects 0.000 claims description 10
- 239000000284 extract Substances 0.000 claims description 9
- 230000006870 function Effects 0.000 claims description 9
- 230000003542 behavioural effect Effects 0.000 claims description 5
- 238000007689 inspection Methods 0.000 claims description 3
- 230000013011 mating Effects 0.000 claims description 3
- 238000005516 engineering process Methods 0.000 description 4
- 239000008186 active pharmaceutical agent Substances 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000000845 anti-microbial effect Effects 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 239000004599 antimicrobial Substances 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 239000012467 final product Substances 0.000 description 1
- 230000035772 mutation Effects 0.000 description 1
Images
Landscapes
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种基于线程反编译的多平台恶意代码检测方法包括:通过特征提取获取恶意指令序列;依次检测系统中的线程信息,识别线程起始数据的指令集,并根据不同指令集对每个线程起始数据进行反编译得到线程的执行指令序列;将所述线程的执行指令序列与所述恶意指令序列进行完全匹配,如果匹配成功则该所述线程为恶意线程。还公开了一种基于线程反编译的多平台恶意代码检测系统。本发明技术方案可以检测多种平台的恶意代码。同时可以检测恶意代码的线程并对线程进行处置。
Description
技术领域
本发明涉及本计算机反病毒技术领域,尤其涉及一种基于线程反编译的多平台恶意代码检测方法和系统。
背景技术
目前的恶意代码检测技术主要是针对文件为检测对象,常规的特征码检测都是基于文件的,文件特征码扫描是最早出现的恶意代码检测技术。目前依旧是反病毒的主要技术。它仅仅将文件中的数据和已知的特征串做比较来检测。该种方法配合脱壳在一定程度上达到更好的识别率,但是这种方法的检测对象是文件,加密的壳变化导致脱壳失败,就无法检测,同时其只能检测处置文件对象。
模拟技术(CN201110025547.3基于虚拟机的“In-VM”恶意代码检测系统 2011-07-13)从程度上来说处于把程序视为字节序列的技术和把程序视为行为序列的技术之间。虚拟机将程序字节代码划分为指令,并在虚拟的计算机环境中执行每一条指令。这样就可以监视程序的行为,能够分析一部分病毒事件。这种方法的需要在系统底层装置一层系统,而不是在系统上层就可以完成,多数依赖系统,而不能跨平台。
发明内容
本发明的目的在于针对现有移动平台以及PC的发展,恶意代码加密变形技术和多平台发展。针对恶意代码存在实体是线程,提出一种可多平台、抗变形的特征提取方法和检测方法。该方法可以检测多种平台的恶意代码。同时可以检测恶意代码的线程并对线程进行处置。
为解决上述问题,本发明实现方法主要包括以下步骤:
A、通过特征提取获取恶意指令序列;
所述特征提取包括静态提取或者动态提取;所述静态特征提取是指通过对恶意代码样本文件进行反编译,获取恶意程序的入口点和线程函数的起始地址的数据进行反编译得到恶意指令序列;所述动态特征提取是指在虚拟环境中执行恶意代码样本,监视创建线程,提取创建线程起始位置的数据进行反编译得到恶意指令序列。
B、依次检测系统中的线程信息,识别线程起始数据的指令集,并根据不同指令集对每个线程起始数据进行反编译得到线程的执行指令序列;
检测系统环境中线程信息,通过各平台的系统API获取系统的线程信息,包括线程所在内存起始位置,线程内存数据范围。
识别线程起始数据的指令集,包括X86、X64、ARM。根据不同指令集对数据进行反编译得到线程的执行指令序列。
C、将所述线程的执行指令序列与所述恶意指令序列进行完全匹配,如果匹配成功则该所述线程为恶意线程。
如果将所述线程的执行指令序列与所述恶意指令序列进行完全匹配不成功,则将所述线程的执行指令序列前十个操作序列内的第一个跳转后的指令序列与所述恶意指令序列进行完全匹配,如果匹配成功则该所述线程为恶意线程。
如果所述线程所在的内存加载模块属于DLL文件或属于so文件,则该所述线程为恶意线程。
关联线程所在的内存加载模块,发现该线程所在区域是属于某个DLL或so文件,还是属于进程空间。进而判定一个文件是否是恶意的。
所述方法还包括对所述恶意线程进行处置,所述处置包括挂起或终止所述恶意线程。
相应的,本发明还提供了一种基于线程反编译的多平台恶意代码检测系统,包括:
恶意指令序列模块,用于通过特征提取获取恶意指令序列;
提取指令序列模块,用于依次检测系统中的线程信息,识别线程起始数据的指令集,并根据不同指令集对每个线程起始数据进行反编译得到线程的执行指令序列;
指令序列匹配模块,用于将所述线程的执行指令序列与所述恶意指令序列进行完全匹配,如果匹配成功则该所述线程为恶意线程。
所述特征提取包括静态提取或者动态提取;所述静态特征提取是指通过对恶意代码样本文件进行反编译,获取恶意程序的入口点和线程函数的起始地址的数据进行反编译得到恶意指令序列;所述动态特征提取是指在虚拟环境中执行恶意代码样本,监视创建线程,提取创建线程起始位置的数据进行反编译得到恶意指令序列。
所述指令集包括X86、X64、ARM。
所述指令序列匹配模块具体还用于如果将所述线程的执行指令序列与所述恶意指令序列进行完全匹配不成功,则将所述线程的执行指令序列前十个操作序列内的第一个跳转后的指令序列与所述恶意指令序列进行完全匹配,如果匹配成功则该所述线程为恶意线程。
所述系统还包括关联检查模块,用于如果所述线程所在的内存加载模块属于DLL文件或属于so文件,则该所述线程为恶意线程。
所述系统还包括处置模块,用于对所述恶意线程进行处置,所述处置包括挂起或终止所述恶意线程。
本发明的有益效果是:
当前的主要恶意代码查杀是通过文件进行检测,而针对线程对象检测查杀的好处是首先木马的活动是以线程为单位,对线程的检测可以及时,有效地发现木马,对其进行处置。其次线程起始位置的代码是运行后的代码,对于加密变形的恶意代码,运行后线程的起始位置就还原为加密变形前的数据,再通过反编译就可以达到跨平台的统一的检测方法,可以以更少的特征检测更多的变种恶意代码,具有更好的检出效果。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1 为本发明基于线程反编译的多平台恶意代码检测方法的特征提取流程图;
图2 为本发明基于线程反编译的多平台恶意代码检测方法流程图;
图3为本发明基于线程反编译的多平台恶意代码检测系统模块结构图;
图4 为实施例样本反汇编线程函数起始地址;
图5 为实施例样本线程函数起始位置数据;
图6 为实施例指令序列所在地址。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
首先是本发明对恶意样本进行特征提取的流程,如图1所示,包括步骤:
S101、判断样本文件是否为可执行文件格式,如果不是则结束,否则进行S102;
S102、判断样本文件的指令集;
S103、对样本进行反编译查找入口点;
S104、获取线程函数的起始位置;
S105、提取反编译指令序列保存。
本发明基于线程反编译的多平台恶意代码检测方法,如图2所示,包括步骤:
S201、检测系统环境中线程信息;
S202、通过各平台的系统API获取系统的线程信息,包括线程所在内存起始位置,线程内存数据范围;
S203、识别线程起始数据的指令集,包括X86、X64、ARM;
S204、根据不同指令集对数据进行反编译得到线程的执行指令序列;
S205、将得到线程指令序列与恶意指令序列进行完全匹配,如果匹配到已知恶意序列则该线程为恶意线程;
S206、如果步骤S204未匹配成功,则对线程指令序列前十个操作序列内的第一个跳转后的指令序列进行匹配。
S207、关联线程所在的内存加载模块,发现该线程所在区域是属于某个DLL或so文件,还是属于进程空间。进而判定一个文件是否是恶意的;
S208、对线程进行处置。挂起或终止恶意线程。
下面我们结合准备的样本文件来进行进一步说明:
文件名:狡猾.dll
MD5:013BC5CEE562BC51307BC34A61C13C47
加壳:UPX
根据图1,对该样本进行特征提取,先进行格式识别发现该样本为PE、该样本的所属的指令集为x86,为可执行格式。对该样本进行脱壳反编译获得入口点位置和线程函数起始位置。如图4得到线程起始位置为0x3200AC8C,转换起始位置为文件位置,开始的数据如图5,下面提取这些数据:
0x55,0x8B,0xEC,0x81,0xEC,0x04,0x01,0x00,0x00,0x68,0x14,0x12,0x02,0x32,0x8D,0x85,0xFC,0xFE,0xFF,0xFF,0x68,0x30,0x1C,0x02,0x32,0x50,0xFF,0x15,0x84,0xB3,0x01,0x32,0x83,0xC4,0x0C,0x83,0x3D,0x48,0x12,0x02,0x32,0x00,0x74,0x26,0x8D,0x85,0xFC,0xFE,0xFF,0xFF,0x68,0x20,0x85,0x02,0x32,0x50,0x68,0x02,0x00,0x00,0x80,0xE8,0xD6,0xF6,0xFF,0xFF,0x83,0xC4,0x0C,0x68,0xD8,0x07,0x00,0x00,0xFF,0x15,0x9C,0xB2,0x01,0x32,0xEB,0xD1,0x33,0xC0,0xC9,0xC2,0x04,0x00,0x55,0x8B,0xEC,0x83,0xEC,0x20,0x53,0x56,0x57,0x83,0x65,0xFC,0x00,0x68,0xFF,0x01,0x0F,0x00,0xFF,0x75,0x10,0xFF,0x75,0x0C,0xFF,0x15,0x84,0xB0,0x01,0x32,0x8B,0xF8,0x85,0xFF,0x75,0x36,0xFF,0x15,0x34,0xB2,
对这些数据进行反编译得到指令序列
Push->move->sub->push->lea->push->push->call->add->cmp->jcc->lea->push->push->push->call->add->push->call->jmp->xor->lea->retn
指令序列部分实质是以二进制数据opcode方式保存,比如push实际上有0x55,0x50,0x68,所以实际的指令序列是以十六进制数据组成。
对于无法脱壳的样本则需要动态提取,动态提取的方式与检测过程类似,在系统环境中运行样本,获得新创建线程的开始位置提取数据,获得指令序列。
根据图2 在系统遍历线程信息,获得线程起始位置,对数据进行指令集判断
反编译获得线程的指令序列。通过BM算法将恶意特征指令序列与线程指令序列进行匹配。
如图3所示,为本发明基于线程反编译的多平台恶意代码检测系统模块结构图,包括:
恶意指令序列模块301,用于通过特征提取获取恶意指令序列;
提取指令序列模块302,用于依次检测系统中的线程信息,识别线程起始数据的指令集,并根据不同指令集对每个线程起始数据进行反编译得到线程的执行指令序列;
指令序列匹配模块303,用于将所述线程的执行指令序列与所述恶意指令序列进行完全匹配,如果匹配成功则该所述线程为恶意线程。
所述特征提取包括静态提取或者动态提取;所述静态特征提取是指通过对恶意代码样本文件进行反编译,获取恶意程序的入口点和线程函数的起始地址的数据进行反编译得到恶意指令序列;所述动态特征提取是指在虚拟环境中执行恶意代码样本,监视创建线程,提取创建线程起始位置的数据进行反编译得到恶意指令序列。
所述指令集包括X86、X64、ARM。
指令序列匹配模块303具体还用于如果将所述线程的执行指令序列与所述恶意指令序列进行完全匹配不成功,则将所述线程的执行指令序列前十个操作序列内的第一个跳转后的指令序列与所述恶意指令序列进行完全匹配,如果匹配成功则该所述线程为恶意线程。
所述系统还包括关联检查模块304,用于如果所述线程所在的内存加载模块属于DLL文件或属于so文件,则该所述线程为恶意线程。
所述系统还包括处置模块305,用于对所述恶意线程进行处置,所述处置包括挂起或终止所述恶意线程。
本说明书中方法的实施例采用递进的方式描述,对于系统的实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
Claims (12)
1.一种基于线程反编译的多平台恶意代码检测方法,其特征在于,包括:
通过特征提取获取恶意指令序列;
依次检测系统中的线程信息,识别线程起始数据的指令集,并根据不同指令集对每个线程起始数据进行反编译得到线程的执行指令序列;
将所述线程的执行指令序列与所述恶意指令序列进行完全匹配,如果匹配成功则该所述线程为恶意线程。
2.如权利要求1所述的基于线程反编译的多平台恶意代码检测方法,其特征在于,所述特征提取包括静态提取或者动态提取;所述静态特征提取是指通过对恶意代码样本文件进行反编译,获取恶意程序的入口点和线程函数的起始地址的数据进行反编译得到恶意指令序列;所述动态特征提取是指在虚拟环境中执行恶意代码样本,监视创建线程,提取创建线程起始位置的数据进行反编译得到恶意指令序列。
3.如权利要求1所述的基于线程反编译的多平台恶意代码检测方法,其特征在于,所述指令集包括X86、X64、ARM。
4.如权利要求1所述的基于线程反编译的多平台恶意代码检测方法,其特征在于,还包括:如果将所述线程的执行指令序列与所述恶意指令序列进行完全匹配不成功,则将所述线程的执行指令序列前十个操作序列内的第一个跳转后的指令序列与所述恶意指令序列进行完全匹配,如果匹配成功则该所述线程为恶意线程。
5.如权利要求1所述的基于线程反编译的多平台恶意代码检测方法,其特征在于,还包括:如果所述线程所在的内存加载模块属于DLL文件或属于so文件,则该所述线程为恶意线程。
6.如权利要求1至5所述的任一种基于线程反编译的多平台恶意代码检测方法,其特征在于,还包括对所述恶意线程进行处置,所述处置包括挂起或终止所述恶意线程。
7.一种基于线程反编译的多平台恶意代码检测系统,其特征在于,包括:
恶意指令序列模块,用于通过特征提取获取恶意指令序列;
提取指令序列模块,用于依次检测系统中的线程信息,识别线程起始数据的指令集,并根据不同指令集对每个线程起始数据进行反编译得到线程的执行指令序列;
指令序列匹配模块,用于将所述线程的执行指令序列与所述恶意指令序列进行完全匹配,如果匹配成功则该所述线程为恶意线程。
8.如权利要求7所述的基于线程反编译的多平台恶意代码检测系统,其特征在于,所述特征提取包括静态提取或者动态提取;所述静态特征提取是指通过对恶意代码样本文件进行反编译,获取恶意程序的入口点和线程函数的起始地址的数据进行反编译得到恶意指令序列;所述动态特征提取是指在虚拟环境中执行恶意代码样本,监视创建线程,提取创建线程起始位置的数据进行反编译得到恶意指令序列。
9.如权利要求7所述的基于线程反编译的多平台恶意代码检测系统,其特征在于,所述指令集包括X86、X64、ARM。
10.如权利要求7所述的基于线程反编译的多平台恶意代码检测系统,其特征在于,指令序列匹配模块具体还用于如果将所述线程的执行指令序列与所述恶意指令序列进行完全匹配不成功,则将所述线程的执行指令序列前十个操作序列内的第一个跳转后的指令序列与所述恶意指令序列进行完全匹配,如果匹配成功则该所述线程为恶意线程。
11.如权利要求7所述的基于线程反编译的多平台恶意代码检测系统,其特征在于,还包括关联检查模块,用于如果所述线程所在的内存加载模块属于DLL文件或属于so文件,则该所述线程为恶意线程。
12.如权利要求7至11所述的任一种基于线程反编译的多平台恶意代码检测系统,其特征在于,还包括处置模块,用于对所述恶意线程进行处置,所述处置包括挂起或终止所述恶意线程。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110440633.0A CN102819697B (zh) | 2011-12-26 | 2011-12-26 | 一种基于线程反编译的多平台恶意代码检测方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110440633.0A CN102819697B (zh) | 2011-12-26 | 2011-12-26 | 一种基于线程反编译的多平台恶意代码检测方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102819697A true CN102819697A (zh) | 2012-12-12 |
| CN102819697B CN102819697B (zh) | 2015-07-22 |
Family
ID=47303807
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110440633.0A Active CN102819697B (zh) | 2011-12-26 | 2011-12-26 | 一种基于线程反编译的多平台恶意代码检测方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102819697B (zh) |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103679024A (zh) * | 2013-11-19 | 2014-03-26 | 百度国际科技(深圳)有限公司 | 病毒的处理方法及设备 |
| CN103761479A (zh) * | 2014-01-09 | 2014-04-30 | 北京奇虎科技有限公司 | 恶意程序的扫描方法和装置 |
| CN103761475A (zh) * | 2013-12-30 | 2014-04-30 | 北京奇虎科技有限公司 | 检测智能终端中恶意代码的方法及装置 |
| CN103905419A (zh) * | 2013-12-04 | 2014-07-02 | 哈尔滨安天科技股份有限公司 | 一种文件鉴定装置及方法 |
| CN104091121A (zh) * | 2014-06-12 | 2014-10-08 | 上海交通大学 | 对Android重打包恶意软件的恶意代码的检测、切除和恢复的方法 |
| CN104134039A (zh) * | 2014-07-24 | 2014-11-05 | 北京奇虎科技有限公司 | 病毒查杀方法、客户端、服务器以及病毒查杀系统 |
| CN104657664A (zh) * | 2013-11-19 | 2015-05-27 | 百度在线网络技术(北京)有限公司 | 病毒的处理方法及设备 |
| CN106909839A (zh) * | 2015-12-22 | 2017-06-30 | 北京奇虎科技有限公司 | 一种提取样本代码特征的方法及装置 |
| CN107038375A (zh) * | 2017-03-22 | 2017-08-11 | 国家计算机网络与信息安全管理中心 | 一种获取被感染的宿主程序的解密方法及系统 |
| CN107220544A (zh) * | 2016-03-22 | 2017-09-29 | 趣斯特派普有限公司 | 用于检测感兴趣指令序列的系统和方法 |
| US9792433B2 (en) | 2013-12-30 | 2017-10-17 | Beijing Qihoo Technology Company Limited | Method and device for detecting malicious code in an intelligent terminal |
| CN109635565A (zh) * | 2018-11-28 | 2019-04-16 | 江苏通付盾信息安全技术有限公司 | 恶意程序的检测方法、装置、计算设备及计算机存储介质 |
| CN112395593A (zh) * | 2019-08-15 | 2021-02-23 | 奇安信安全技术(珠海)有限公司 | 指令执行序列的监测方法及装置、存储介质、计算机设备 |
| CN115543586A (zh) * | 2022-11-28 | 2022-12-30 | 成都安易迅科技有限公司 | 应用层系统进程的启动方法、装置、设备及可读存储介质 |
| TWI791418B (zh) * | 2015-12-08 | 2023-02-11 | 美商飛塔公司 | 用以檢測運作時期所產生碼中之惡意碼的系統及方法、與相關電腦程式產品 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101154258A (zh) * | 2007-08-14 | 2008-04-02 | 电子科技大学 | 恶意程序动态行为自动化分析系统与方法 |
| CN101989322A (zh) * | 2010-11-19 | 2011-03-23 | 北京安天电子设备有限公司 | 自动提取恶意代码内存特征的方法和系统 |
| US20110271343A1 (en) * | 2010-04-28 | 2011-11-03 | Electronics And Telecommunications Research Institute | Apparatus, system and method for detecting malicious code |
-
2011
- 2011-12-26 CN CN201110440633.0A patent/CN102819697B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101154258A (zh) * | 2007-08-14 | 2008-04-02 | 电子科技大学 | 恶意程序动态行为自动化分析系统与方法 |
| US20110271343A1 (en) * | 2010-04-28 | 2011-11-03 | Electronics And Telecommunications Research Institute | Apparatus, system and method for detecting malicious code |
| CN101989322A (zh) * | 2010-11-19 | 2011-03-23 | 北京安天电子设备有限公司 | 自动提取恶意代码内存特征的方法和系统 |
Cited By (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103679024A (zh) * | 2013-11-19 | 2014-03-26 | 百度国际科技(深圳)有限公司 | 病毒的处理方法及设备 |
| CN103679024B (zh) * | 2013-11-19 | 2015-03-25 | 百度在线网络技术(北京)有限公司 | 病毒的处理方法及设备 |
| CN104657664A (zh) * | 2013-11-19 | 2015-05-27 | 百度在线网络技术(北京)有限公司 | 病毒的处理方法及设备 |
| CN104657664B (zh) * | 2013-11-19 | 2018-02-02 | 百度在线网络技术(北京)有限公司 | 病毒的处理方法及设备 |
| CN103905419A (zh) * | 2013-12-04 | 2014-07-02 | 哈尔滨安天科技股份有限公司 | 一种文件鉴定装置及方法 |
| US9792433B2 (en) | 2013-12-30 | 2017-10-17 | Beijing Qihoo Technology Company Limited | Method and device for detecting malicious code in an intelligent terminal |
| CN103761475A (zh) * | 2013-12-30 | 2014-04-30 | 北京奇虎科技有限公司 | 检测智能终端中恶意代码的方法及装置 |
| CN103761475B (zh) * | 2013-12-30 | 2017-04-26 | 北京奇虎科技有限公司 | 检测智能终端中恶意代码的方法及装置 |
| CN103761479A (zh) * | 2014-01-09 | 2014-04-30 | 北京奇虎科技有限公司 | 恶意程序的扫描方法和装置 |
| CN104091121A (zh) * | 2014-06-12 | 2014-10-08 | 上海交通大学 | 对Android重打包恶意软件的恶意代码的检测、切除和恢复的方法 |
| CN104091121B (zh) * | 2014-06-12 | 2017-07-18 | 上海交通大学 | 对Android重打包恶意软件的恶意代码的检测、切除和恢复的方法 |
| CN104134039A (zh) * | 2014-07-24 | 2014-11-05 | 北京奇虎科技有限公司 | 病毒查杀方法、客户端、服务器以及病毒查杀系统 |
| TWI791418B (zh) * | 2015-12-08 | 2023-02-11 | 美商飛塔公司 | 用以檢測運作時期所產生碼中之惡意碼的系統及方法、與相關電腦程式產品 |
| CN106909839A (zh) * | 2015-12-22 | 2017-06-30 | 北京奇虎科技有限公司 | 一种提取样本代码特征的方法及装置 |
| CN106909839B (zh) * | 2015-12-22 | 2020-04-17 | 北京奇虎科技有限公司 | 一种提取样本代码特征的方法及装置 |
| CN107220544A (zh) * | 2016-03-22 | 2017-09-29 | 趣斯特派普有限公司 | 用于检测感兴趣指令序列的系统和方法 |
| CN107038375A (zh) * | 2017-03-22 | 2017-08-11 | 国家计算机网络与信息安全管理中心 | 一种获取被感染的宿主程序的解密方法及系统 |
| CN109635565A (zh) * | 2018-11-28 | 2019-04-16 | 江苏通付盾信息安全技术有限公司 | 恶意程序的检测方法、装置、计算设备及计算机存储介质 |
| CN112395593A (zh) * | 2019-08-15 | 2021-02-23 | 奇安信安全技术(珠海)有限公司 | 指令执行序列的监测方法及装置、存储介质、计算机设备 |
| CN112395593B (zh) * | 2019-08-15 | 2024-03-29 | 奇安信安全技术(珠海)有限公司 | 指令执行序列的监测方法及装置、存储介质、计算机设备 |
| CN115543586A (zh) * | 2022-11-28 | 2022-12-30 | 成都安易迅科技有限公司 | 应用层系统进程的启动方法、装置、设备及可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102819697B (zh) | 2015-07-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102819697A (zh) | 一种基于线程反编译的多平台恶意代码检测方法和系统 | |
| US9824212B2 (en) | Method and system for recognizing advertisement plug-ins | |
| CN106951780B (zh) | 重打包恶意应用的静态检测方法和装置 | |
| US9262296B1 (en) | Static feature extraction from structured files | |
| US10165001B2 (en) | Method and device for processing computer viruses | |
| CN103607413B (zh) | 一种网站后门程序检测的方法及装置 | |
| CN103365699B (zh) | 基于apk的系统api和运行时字符串的提取方法及系统 | |
| WO2015101097A1 (zh) | 特征提取的方法及装置 | |
| CN101441687B (zh) | 一种提取病毒文件的病毒特征的方法及其装置 | |
| US10445501B2 (en) | Detecting malicious scripts | |
| CN108734012A (zh) | 恶意软件识别方法、装置及电子设备 | |
| KR101582601B1 (ko) | 액티비티 문자열 분석에 의한 안드로이드 악성코드 검출 방법 | |
| CN103927484A (zh) | 基于Qemu模拟器的恶意程序行为捕获方法 | |
| CN112041815A (zh) | 恶意软件检测 | |
| CN102004879B (zh) | 一种识别可信任进程的方法 | |
| CN102819723A (zh) | 一种恶意二维码检测方法和系统 | |
| CN103617393A (zh) | 一种基于支持向量机的移动互联网恶意应用软件检测方法 | |
| CN102592080A (zh) | flash恶意文件检测方法及装置 | |
| Immanuel et al. | Android cache taxonomy and forensic process | |
| CN103810428A (zh) | 一种宏病毒检测方法及装置 | |
| KR101816045B1 (ko) | 악성코드 룰셋을 이용한 악성코드 탐지 시스템 및 방법 | |
| CN104217162A (zh) | 一种智能终端恶意软件的检测方法及系统 | |
| CN105550581A (zh) | 一种恶意代码检测方法及装置 | |
| CN103294953A (zh) | 一种手机恶意代码检测方法及系统 | |
| CN105718795A (zh) | Linux下基于特征码的恶意代码取证方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: Method and system for detecting multi-platform malicious codes based on thread decompiling Effective date of registration: 20170621 Granted publication date: 20150722 Pledgee: Bank of Longjiang, Limited by Share Ltd, Harbin Limin branch Pledgor: Harbin Antiy Technology Co., Ltd. Registration number: 2017110000004 |
|
| PC01 | Cancellation of the registration of the contract for pledge of patent right |
Date of cancellation: 20190614 Granted publication date: 20150722 Pledgee: Bank of Longjiang, Limited by Share Ltd, Harbin Limin branch Pledgor: Harbin Antiy Technology Co., Ltd. Registration number: 2017110000004 |
|
| PC01 | Cancellation of the registration of the contract for pledge of patent right | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 150028 Building 7, Innovation Plaza, Science and Technology Innovation City, Harbin Hi-tech Industrial Development Zone, Heilongjiang Province (838 Shikun Road) Patentee after: Harbin antiy Technology Group Limited by Share Ltd Address before: 150090 room 506, Hongqi Street, Nangang District, Harbin Development Zone, Heilongjiang, China, 162 Patentee before: Harbin Antiy Technology Co., Ltd. |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: Method and system for detecting multi-platform malicious codes based on thread decompiling Effective date of registration: 20190828 Granted publication date: 20150722 Pledgee: Bank of Longjiang, Limited by Share Ltd, Harbin Limin branch Pledgor: Harbin antiy Technology Group Limited by Share Ltd Registration number: Y2019230000002 |
|
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Heilongjiang Province (No. 838, Shikun Road) Patentee after: Antan Technology Group Co.,Ltd. Address before: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Heilongjiang Province (No. 838, Shikun Road) Patentee before: Harbin Antian Science and Technology Group Co.,Ltd. |
|
| PC01 | Cancellation of the registration of the contract for pledge of patent right | ||
| PC01 | Cancellation of the registration of the contract for pledge of patent right |
Date of cancellation: 20211119 Granted publication date: 20150722 Pledgee: Bank of Longjiang Limited by Share Ltd. Harbin Limin branch Pledgor: Harbin Antian Science and Technology Group Co.,Ltd. Registration number: Y2019230000002 |