CN103049696A - 一种虚拟机躲避识别的方法及装置 - Google Patents
一种虚拟机躲避识别的方法及装置 Download PDFInfo
- Publication number
- CN103049696A CN103049696A CN2012104776281A CN201210477628A CN103049696A CN 103049696 A CN103049696 A CN 103049696A CN 2012104776281 A CN2012104776281 A CN 2012104776281A CN 201210477628 A CN201210477628 A CN 201210477628A CN 103049696 A CN103049696 A CN 103049696A
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- characteristic parameter
- described virtual
- machine characteristic
- internal memory
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Stored Programmes (AREA)
Abstract
本发明公开了一种虚拟机躲避识别的方法及装置。其方法包括:获取虚拟机特征参数,该虚拟机特征参数为被用来识别虚拟机的参数,修改所述虚拟机特征参数。本发明提供的技术方案,通过修改所述虚拟机特征参数,从而躲避恶意软件通过虚拟机特征参数对虚拟机的识别,提供了一种有效的虚拟机躲避识别方案,从而增加对恶意软件的监测和捕捉的有效性。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种虚拟机躲避识别的方法及装置。
背景技术
蜜罐(Honeypot)系统是一种在互联网上运行的、包含漏洞的计算机系统。其通过模拟一个或多个易受攻击的主机,给攻击者提供一个容易攻击的目标,吸引并诱骗那些试图非法闯入他人计算机系统的人(如电脑黑客),从而检测和捕捉恶意软件攻击。
通常,部署的蜜罐为虚拟机。部分恶意软件为了躲避蜜罐系统的监测和捕捉,会对虚拟机系统进行识别,从而绕过监测。那么,作为蜜罐的虚拟机就需要进行反识别操作。
目前还没有很好地实现虚拟机躲避识别的方案。
发明内容
本发明的目的是提供一种虚拟机躲避识别的方法及装置,以解决恶意软件识别虚拟机从而绕过监测的问题。
本发明的目的是通过以下技术方案实现的:
一种虚拟机躲避识别的方法,包括:
获取虚拟机特征参数,所述虚拟机特征参数为被用来识别虚拟机的参数;
修改所述虚拟机特征参数。
一种虚拟机躲避识别的装置,包括:
虚拟机特征参数获取模块,用于获取虚拟机特征参数,所述虚拟机特征参数为被用来识别虚拟机的参数;
躲避识别执行模块,用于修改所述虚拟机特征参数。
本发明提供的技术方案,通过修改虚拟机特征参数,从而躲避恶意软件通过虚拟机特征参数对虚拟机的识别,提供了一种有效的虚拟机躲避识别方案,从而增加对恶意软件的监测和捕捉的有效性。
附图说明
图1为本发明实施例提供的方法流程图;
图2为本发明实施例提供的装置结构示意图。
具体实施方式
本发明提供了一种虚拟机躲避识别的方法,其实现方式如图1所示,具体实现方式如下:
步骤100、获取虚拟机特征参数,该虚拟机特征参数为被用来识别虚拟机的参数;
步骤110、修改上述虚拟机特征参数。
其中,修改虚拟机特征参数可以但不仅限于:删除虚拟机特征参数,将虚拟机特征参数修改为非虚拟机特征参数等等。
对于虚拟机的识别,通常是对虚拟机特征参数进行识别。本发明提供的技术方案,通过删除虚拟机特征参数,从而躲避恶意软件通过用于虚拟机识别的参数对虚拟机的识别,提供了一种有效的虚拟机躲避识别方案,从而增加对恶意软件的监测和捕捉的有效性。
应当指出的是,本发明提供的方法不仅适用于蜜罐系统,还适用于其他需要进行虚拟机躲避识别的应用。
对虚拟机的识别,具体可以是对虚拟机的虚拟设备特征进行识别。
对虚拟机的虚拟设备特征进行识别可以是:通过检测MAC(Media AccessControl,媒体访问控制)地址,判断MAC地址的前三位是否是VMware(虚拟机)的OUI(组织唯一标识符),如果是,则为虚拟机,否则为物理机。具体的,如果MAC地址的前三位为00-0c-29或00-50-56,则为虚拟机的OUI。相应的,虚拟机特征参数为MAC地址中的虚拟机标识位,则步骤110的具体实现方式可以是:将MAC地址中的虚拟机标识位修改为非虚拟机标识位。其中,虚拟机标识位即上述的虚拟机的OUI。
对虚拟机的虚拟设备特征进行识别也可以是:通过检测设备制造商的标识信息,判断设备的制造商是否是虚拟机制造商,如果是,则为虚拟机,否则为物理机。通常,虚拟机制造商的标识信息中会携带虚拟机标识。相应的,虚拟机特征参数为设备制造商的标识信息,则步骤110的具体实现方式可以是:将虚拟机设备制造商的标识信息修改为非虚拟机设备制造商的标识信息。
优选的,对于修改虚拟设备特征来躲避虚拟机识别的实现方式,具体可以通过打补丁的方式,修改上述虚拟机特征参数。例如,通过安装补丁,将MAC地址中的虚拟机标识位修改为非虚拟机标识位。或者,通过安装补丁,将虚拟机设备制造商的标识信息修改为非虚拟机设备制造商的标识信息。
通过修改虚拟设备特征,使得恶意软件无法通过检测虚拟设备特征识别出虚拟机。
对虚拟机的识别,具体还可以是对虚拟机的内存特征进行识别。
对虚拟机的内存特征进行识别可以是:通过检测BIOS(Basic Input OutputSystem,基本输入输出系统)-ROM(Read-Only Memory,只读存储器)区域是否有字符串‘VMware’,来判断设备是否为虚拟机,如果包含字符串‘VMware’,则为虚拟机,否则为物理机。相应的,虚拟机特征参数为BIOS-ROM中的字符串‘VMware’,则步骤110的具体实现方式可以是:删除BIOS-ROM中的字符串‘VMware’,或者,将BIOS-ROM中的字符串‘VMware’替换为其他字符串。
对虚拟机的内存特征进行识别也可以是:检测IDT(中断描述符表)在内存中的基地址位置是否在目标地址段的范围内,如果在则为虚拟机,否则为物理机。检测IDT在内存中的基地址时,目标地址段是指0x80XXXXXX。如果IDT在内存中的基地址在目标地址段,则IDT在内存中的基地址表征了虚拟机特征。相应的,虚拟机特征参数为表征虚拟机特性的IDT在内存中的基地址,步骤110的具体实现方式可以是:关闭虚拟机加速选项,使得IDT在内存中的基地址不在目标地址段。
对虚拟机的内存特征进行识别也可以是:检测GDT(全局描述符表)在内存中的基地址是否在目标地址段的范围内,如果在则为虚拟机,否则为物理机。检测GDT在内存中的基地址时,目标地址段是指,0x80XXXXXX。如果GDT在内存中的基地址在目标地址段,则GDT在内存中的基地址表征了虚拟机特征。相应的,虚拟机特征参数为表征虚拟机特征的GDT在内存中的基地址,步骤110的具体实现方式可以是:关闭虚拟机加速选项,使得GDT在内存中的基地址不在目标地址段。
对虚拟机的内存特征进行识别也可以是:检测LDT(局部描述符表)在内存中的基地址位置是否在目标地址段的范围内,如果在则为虚拟机,否则为物理机。检测LDT在内存中的基地址时,目标地址段是指,LDT在内存中的基地址非零。如果LDT在内存中的基地址位于目标地址段,则LDT在内存中的基地址表征了虚拟机特征。相应的,虚拟机特征参数为表征虚拟机特征的LDT在内存中的基地址,步骤110的具体实现方式可以是:关闭虚拟机加速选项,使得LDT在内存中的基地址不在目标地址段。
对虚拟机的内存特征进行识别也可以是:检测TR(任务寄存器)指向的TSS(Task-State Segment,任务状态段)的在内存中的基地址位置是否在目标地址段的范围内,如果是则为虚拟机,否则为物理机。检测TR指向的TSS的在内存中的基地址时,目标地址段是指,0x0040XXXX。如果TR指向的TSS的在内存中的基地址位于目标地址段,则TR指向的TSS的在内存中的基地址表征了虚拟机特征。相应的,虚拟机特征参数为表征虚拟机特征的TR指向的TSS在内存中的基地址,则步骤110的具体实现方式可以是:关闭虚拟机加速选项,使得TR指向的TSS在内存中的基地址不在目标地址段。
通过修改BIOS-ROM中的虚拟机字符串,或者关闭虚拟机加速,使得恶意软件无法通过检测虚拟机的内存特征识别出虚拟机。
对虚拟机的识别,具体还可以是对虚拟机的CPU(Central Processing Unit,中央处理器)特征进行检测。
对虚拟机的CPU特征进行检测可以是:通过进行RDTSC(用于得到CPU自启动以后的运行周期)检测,对比RDTSC平均指令执行时间间隔来判断设备是否为虚拟机,如果RDTSC平均指令执行时间间隔大于256时钟周期,则为虚拟机,如果RDTSC平均指令执行时间间隔小于256时钟周期,则为物理机。相应的,虚拟机特征参数为大于256时钟周期的平均RDTSC指令周期(即RDTSC平均指令执行时间间隔),则步骤110的具体实现方式可以是:关闭虚拟机加速选项,使得RDTSC平均指令执行时间间隔小于256时钟周期。
对于虚拟机的CPU特征进行检测也可以是:通过进行SMSW(用于保存状态字)检测,对比指令调用后,目标寄存器的高16位是否改变来判断设备是否为虚拟机。如果目标寄存器的高16位不变,则为虚拟机,如果目标寄存器的高16位为不确定值,则为物理机。即,进行SMSW检测后,目标寄存器的高16位值不变表征了虚拟机特征。相应的,虚拟机特征参数为进行SMSW检测后表征虚拟机特征的目标寄存器的高16位值,则步骤110的具体实现方式可以是:关闭虚拟机加速选项,使得进行SMSW检测后,目标寄存器的高16位为不确定数值。那么,恶意软件就无法通过CPU特征来识别虚拟机。
对虚拟机的识别,具体还可以是对虚拟机的系统特征信息进行检测。例如,通过是否检测到虚拟机辅助工具对应的进程、文件或注册表项,来判断设备是否为虚拟机。相应的,虚拟机特征参数为虚拟机辅助工具对应的进程、文件或注册表项,则步骤110的具体实现方式可以是:关闭所述虚拟机辅助工具。通过关闭虚拟机辅助工具,则恶意软件无法在进程、文件、或注册表项中检测到虚拟机辅助工具对应的进程、文件、或注册表项,从而无法识别出虚拟机。
对虚拟机的识别,具体还可以是对虚拟机的IO(输入输出)特征进行检测。例如,检测是否有虚拟机后门选项来判断设备是否为虚拟机。具体的,向0x5658号IO端口请求0x0A号功能,并判断是否触发异常,当没有开启虚拟机后门选项时,触发异常,否则,在EBX寄存器返回‘VMXh’字符串。相应的,虚拟机特征参数为虚拟机后门选项,则步骤110的具体实现方式可以是:关闭虚拟机后门选项。从而使恶意软件在向0x5658号IO端口请求0x0A号功能时,触发异常,达到躲避识别的目的。
当需要对虚拟机进行更新或管理操作时,本发明还可以包括:恢复被修改的虚拟机特征参数。
本发明还提供了一种虚拟机躲避识别的装置,其实现结构如图2所示,具体实现结构如下:
虚拟机特征参数获取模块1001,用于获取虚拟机特征参数,该虚拟机特征参数为被用来识别虚拟机的参数。
躲避识别执行模块1002,用于修改上述虚拟机特征参数。
对于虚拟机的识别,通常是对虚拟机特征参数进行识别。本发明提供的技术方案,通过删除虚拟机特征参数,从而躲避恶意软件通过用于虚拟机识别的参数对虚拟机的识别,提供了一种有效的虚拟机躲避识别方案,从而增加对恶意软件的监测和捕捉的有效性。
本发明提供的装置还可以包括躲避识别关闭模块,用于当需要对虚拟机进行更新或管理操作时,恢复被修改的虚拟机特征参数。
为了便于工程化系统维护管理,可以通过躲避识别模块实现对虚拟机的躲避识别功能。相应的,躲避识别模块的实现结构可以是上述本发明提供的装置,其可动态开启或关闭躲避识别模块。当开启躲避识别模块后,躲避识别模块执行上述躲避识别操作。通过关闭躲避识别模块,触发躲避识别关闭模块恢复被修改的虚拟机特征参数。具体的,当需要对虚拟机进行更新或管理操作时,关闭上述躲避识别模块;以及,当对虚拟机更新或管理操作完毕,开启上述躲避识别模块。例如在蜜罐系统中,当蜜罐更新或者对蜜罐进行管理操作(如定时恢复快照)时,需要使用到虚拟机的相关特征。
本发明提供的方法及装置适用于各种虚拟机,尤其适用于VMware虚拟机。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种虚拟机躲避识别的方法,其特征在于,包括:
获取虚拟机特征参数,所述虚拟机特征参数为被用来识别虚拟机的参数;
修改所述虚拟机特征参数。
2.根据权利要求1所述的方法,其特征在于,所述虚拟机特征参数为媒体访问控制MAC地址中的虚拟机标识位,则修改所述虚拟机特征参数,包括:将MAC地址中的虚拟机标识位修改为非虚拟机标识位;
或者,
所述虚拟机特征参数为虚拟机设备制造商的标识信息,则修改所述虚拟机特征参数,包括:将虚拟机设备制造商的标识信息修改为非虚拟机设备制造商的标识信息。
3.根据权利要求2所述的方法,其特征在于,修改所述虚拟机特征参数,包括:
通过打补丁的方式,修改所述虚拟机特征参数。
4.根据权利要求1所述的方法,其特征在于,所述虚拟机特征参数为基本输入输出系统-只读存储器BIOS-ROM中的字符串‘VMware’,则修改所述虚拟机特征参数,包括:删除BIOS-ROM中的字符串‘VMware’,或者,将BIOS-ROM中的字符串‘VMware’替换为其他字符串;
或者,
所述虚拟机特征参数为表征虚拟机特性的中断描述符表IDT在内存中的基地址,则修改所述虚拟机特征参数,包括:关闭虚拟机加速选项,使得IDT在内存中的基地址不在目标地址段;
或者,
所述虚拟机特征参数为表征虚拟机特征的全局描述符表GDT在内存中的基地址,则修改所述虚拟机特征参数,包括:关闭虚拟机加速选项,使得GDT在内存中的基地址不在目标地址段;
或者,
所述虚拟机特征参数为表征虚拟机特征的局部描述符表LDT在内存中的基地址、则修改所述虚拟机特征参数,包括:关闭虚拟机加速选项,使得LDT在内存中的基地址不在目标地址段;
或者,
所述虚拟机特征参数为表征虚拟机特征的任务寄存器TR指向的任务状态段TSS在内存中的基地址,则修改所述虚拟机特征参数,包括:关闭虚拟机加速选项,使得TR指向的TSS在内存中的基地址不在目标地址段。
5.根据权利要求1所述的方法,其特征在于,所述虚拟机特征参数为大于256时钟周期的RDTSC平均指令执行时间间隔,则修改虚拟机特征参数,包括:关闭虚拟机加速选项,使得RDTSC平均指令执行时间间隔小于256时钟周期;
或者,
所述虚拟机特征参数为进行SMSW检测后表征虚拟机特征的目标寄存器的高16位值,则修改所述虚拟机特征参数,包括:关闭虚拟机的加速选项,使得进行SMSW检测后,目标寄存器的高16位为不确定数值。
6.根据权利要求1所述的方法,其特征在于,所述虚拟机特征参数为虚拟机辅助工具对应的进程、文件或注册表项,则修改所述虚拟机特征参数,包括:关闭所述虚拟机辅助工具。
7.根据权利要求1所述的方法,其特征在于,所述虚拟机特征参数为虚拟机后门选项,则修改所述虚拟机特征参数,包括:关闭虚拟机后门选项。
8.根据权利要求1~7任意一项所述的方法,其特征在于,该方法还包括:
当需要对虚拟机进行更新或管理操作时,恢复被修改的虚拟机特征参数。
9.一种虚拟机躲避识别的装置,其特征在于,包括:
虚拟机特征参数获取模块,用于获取虚拟机特征参数,所述虚拟机特征参数为被用来识别虚拟机的参数;
躲避识别执行模块,用于修改所述虚拟机特征参数。
10.根据权利要求9所述的装置,其特征在于,该装置还包括:
躲避识别关闭模块,用于当需要对虚拟机进行更新或管理操作时,恢复被修改的虚拟机特征参数。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012104776281A CN103049696A (zh) | 2012-11-21 | 2012-11-21 | 一种虚拟机躲避识别的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012104776281A CN103049696A (zh) | 2012-11-21 | 2012-11-21 | 一种虚拟机躲避识别的方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103049696A true CN103049696A (zh) | 2013-04-17 |
Family
ID=48062329
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2012104776281A Pending CN103049696A (zh) | 2012-11-21 | 2012-11-21 | 一种虚拟机躲避识别的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103049696A (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103077351A (zh) * | 2012-12-20 | 2013-05-01 | 北京奇虎科技有限公司 | 虚拟机系统的反检测系统 |
| CN104049969A (zh) * | 2014-05-29 | 2014-09-17 | 汉柏科技有限公司 | 一种基于设备描述符识别软件运行平台的方法及装置 |
| CN104348671A (zh) * | 2013-07-26 | 2015-02-11 | 中国电信股份有限公司 | IPv6网络中识别虚拟主机的方法和DPI设备 |
| CN104951355A (zh) * | 2015-07-03 | 2015-09-30 | 北京数字联盟网络科技有限公司 | 识别应用程序虚拟运行环境的方法和装置 |
| CN105162799A (zh) * | 2015-09-24 | 2015-12-16 | 北京奇虎科技有限公司 | 检验客户端是否为合法移动终端的方法以及服务器 |
| CN105488414A (zh) * | 2015-09-25 | 2016-04-13 | 深圳市安之天信息技术有限公司 | 一种防止恶意代码探测虚拟环境的方法及系统 |
| CN105718793A (zh) * | 2015-09-25 | 2016-06-29 | 哈尔滨安天科技股份有限公司 | 基于修改沙箱环境防止恶意代码识别沙箱的方法及系统 |
| CN106161344A (zh) * | 2014-09-30 | 2016-11-23 | 瞻博网络公司 | 基于行为增量标识躲避的恶意对象 |
| CN106709352A (zh) * | 2015-11-12 | 2017-05-24 | 阿里巴巴集团控股有限公司 | 样本处理方法、装置及系统 |
| CN107124327A (zh) * | 2017-04-11 | 2017-09-01 | 千寻位置网络有限公司 | Jt808车载终端模拟器反检测的方法 |
| CN107741872A (zh) * | 2016-09-13 | 2018-02-27 | 腾讯科技(深圳)有限公司 | 一种虚拟机识别的审计方法、装置及虚拟机识别系统 |
| CN112333157A (zh) * | 2020-10-20 | 2021-02-05 | 陈赛花 | 基于大数据的网络安全防护方法和网络安全防护平台 |
| GB2601231A (en) * | 2020-10-09 | 2022-05-25 | Sophos Ltd | Dynamic sandbox scarecrow for malware management |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060010440A1 (en) * | 2004-07-07 | 2006-01-12 | Anderson Andrew V | Optimizing system behavior in a virtual machine environment |
| CN101944042A (zh) * | 2010-09-01 | 2011-01-12 | 深圳市拜特科技股份有限公司 | 一种Java程序的运行方法及电子终端 |
| US20110016290A1 (en) * | 2009-07-14 | 2011-01-20 | Arie Chobotaro | Method and Apparatus for Supporting Address Translation in a Multiprocessor Virtual Machine Environment |
| CN102750484A (zh) * | 2012-06-28 | 2012-10-24 | 腾讯科技(深圳)有限公司 | 一种防止病毒样本自检的方法及装置 |
-
2012
- 2012-11-21 CN CN2012104776281A patent/CN103049696A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060010440A1 (en) * | 2004-07-07 | 2006-01-12 | Anderson Andrew V | Optimizing system behavior in a virtual machine environment |
| US20110016290A1 (en) * | 2009-07-14 | 2011-01-20 | Arie Chobotaro | Method and Apparatus for Supporting Address Translation in a Multiprocessor Virtual Machine Environment |
| CN101944042A (zh) * | 2010-09-01 | 2011-01-12 | 深圳市拜特科技股份有限公司 | 一种Java程序的运行方法及电子终端 |
| CN102750484A (zh) * | 2012-06-28 | 2012-10-24 | 腾讯科技(深圳)有限公司 | 一种防止病毒样本自检的方法及装置 |
Cited By (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103077351A (zh) * | 2012-12-20 | 2013-05-01 | 北京奇虎科技有限公司 | 虚拟机系统的反检测系统 |
| CN103077351B (zh) * | 2012-12-20 | 2016-06-01 | 北京奇虎科技有限公司 | 虚拟机系统的反检测系统 |
| CN104348671A (zh) * | 2013-07-26 | 2015-02-11 | 中国电信股份有限公司 | IPv6网络中识别虚拟主机的方法和DPI设备 |
| CN104049969A (zh) * | 2014-05-29 | 2014-09-17 | 汉柏科技有限公司 | 一种基于设备描述符识别软件运行平台的方法及装置 |
| CN104049969B (zh) * | 2014-05-29 | 2017-09-29 | 汉柏科技有限公司 | 一种基于设备描述符识别软件运行平台的方法及装置 |
| CN106161344A (zh) * | 2014-09-30 | 2016-11-23 | 瞻博网络公司 | 基于行为增量标识躲避的恶意对象 |
| CN106161344B (zh) * | 2014-09-30 | 2018-03-30 | 瞻博网络公司 | 基于行为增量标识躲避的恶意对象 |
| US10210332B2 (en) | 2014-09-30 | 2019-02-19 | Juniper Networks, Inc. | Identifying an evasive malicious object based on a behavior delta |
| US9922193B2 (en) | 2014-09-30 | 2018-03-20 | Juniper Networks, Inc. | Identifying an evasive malicious object based on a behavior delta |
| CN104951355B (zh) * | 2015-07-03 | 2019-02-26 | 北京数字联盟网络科技有限公司 | 识别应用程序虚拟运行环境的方法和装置 |
| CN104951355A (zh) * | 2015-07-03 | 2015-09-30 | 北京数字联盟网络科技有限公司 | 识别应用程序虚拟运行环境的方法和装置 |
| CN105162799A (zh) * | 2015-09-24 | 2015-12-16 | 北京奇虎科技有限公司 | 检验客户端是否为合法移动终端的方法以及服务器 |
| CN105488414A (zh) * | 2015-09-25 | 2016-04-13 | 深圳市安之天信息技术有限公司 | 一种防止恶意代码探测虚拟环境的方法及系统 |
| CN105718793A (zh) * | 2015-09-25 | 2016-06-29 | 哈尔滨安天科技股份有限公司 | 基于修改沙箱环境防止恶意代码识别沙箱的方法及系统 |
| CN106709352B (zh) * | 2015-11-12 | 2019-09-24 | 阿里巴巴集团控股有限公司 | 样本处理方法、装置及系统 |
| CN106709352A (zh) * | 2015-11-12 | 2017-05-24 | 阿里巴巴集团控股有限公司 | 样本处理方法、装置及系统 |
| CN107741872A (zh) * | 2016-09-13 | 2018-02-27 | 腾讯科技(深圳)有限公司 | 一种虚拟机识别的审计方法、装置及虚拟机识别系统 |
| CN107741872B (zh) * | 2016-09-13 | 2020-08-11 | 腾讯科技(深圳)有限公司 | 一种虚拟机识别的审计方法、装置及虚拟机识别系统 |
| CN107124327A (zh) * | 2017-04-11 | 2017-09-01 | 千寻位置网络有限公司 | Jt808车载终端模拟器反检测的方法 |
| CN107124327B (zh) * | 2017-04-11 | 2019-04-02 | 千寻位置网络有限公司 | Jt808车载终端模拟器反检测的方法 |
| GB2601231A (en) * | 2020-10-09 | 2022-05-25 | Sophos Ltd | Dynamic sandbox scarecrow for malware management |
| GB2601231B (en) * | 2020-10-09 | 2023-04-12 | Sophos Ltd | Dynamic sandbox scarecrow for malware management |
| US11853425B2 (en) | 2020-10-09 | 2023-12-26 | Sophos Limited | Dynamic sandbox scarecrow for malware management |
| CN112333157A (zh) * | 2020-10-20 | 2021-02-05 | 陈赛花 | 基于大数据的网络安全防护方法和网络安全防护平台 |
| CN112333157B (zh) * | 2020-10-20 | 2021-07-09 | 深圳格隆汇信息科技有限公司 | 基于大数据的网络安全防护方法和网络安全防护平台 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103049696A (zh) | 一种虚拟机躲避识别的方法及装置 | |
| US20110154489A1 (en) | System for analyzing malicious botnet activity in real time | |
| CN102622536B (zh) | 一种恶意代码捕获方法 | |
| Lindorfer et al. | Lines of malicious code: Insights into the malicious software industry | |
| US9917855B1 (en) | Mixed analysys-based virtual machine sandbox | |
| EP2701092A1 (en) | Method for identifying malicious executables | |
| CN107609396B (zh) | 一种基于沙箱虚拟机的逃逸检测方法 | |
| US11070570B2 (en) | Methods and cloud-based systems for correlating malware detections by endpoint devices and servers | |
| EP3039608A1 (en) | Hardware and software execution profiling | |
| TW201629832A (zh) | 一種識別病毒變種的方法及裝置 | |
| WO2013026320A1 (zh) | 一种网页挂马检测方法及系统 | |
| Bing | Analysis and research of system security based on android | |
| CN103218561B (zh) | 一种保护浏览器的防篡改方法和装置 | |
| CN103294951B (zh) | 一种基于文档型漏洞的恶意代码样本提取方法及系统 | |
| CA2674327C (en) | Exploit nonspecific host intrusion prevention/detection methods and systems and smart filters therefor | |
| KR102005107B1 (ko) | Api 호출 시퀀스를 이용한 악성코드의 기능 분석 방법 및 장치 | |
| CN101902481A (zh) | 一种网页木马实时监测方法及其装置 | |
| EP3127036B1 (en) | Systems and methods for identifying a source of a suspect event | |
| US9959406B2 (en) | System and method for zero-day privilege escalation malware detection | |
| Pandey et al. | Performance of malware detection tools: A comparison | |
| CN105488414A (zh) | 一种防止恶意代码探测虚拟环境的方法及系统 | |
| CN105718793A (zh) | 基于修改沙箱环境防止恶意代码识别沙箱的方法及系统 | |
| CN104636661A (zh) | 一种分析Android应用程序的方法和系统 | |
| WO2020134033A1 (zh) | 用于确定应用程序在运行时的安全性的方法及其装置 | |
| CN106169054A (zh) | 一种基于可信状态的访问控制方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20130417 |