CN103065092A - 一种拦截可疑程序运行的方法 - Google Patents
一种拦截可疑程序运行的方法 Download PDFInfo
- Publication number
- CN103065092A CN103065092A CN2012105666645A CN201210566664A CN103065092A CN 103065092 A CN103065092 A CN 103065092A CN 2012105666645 A CN2012105666645 A CN 2012105666645A CN 201210566664 A CN201210566664 A CN 201210566664A CN 103065092 A CN103065092 A CN 103065092A
- Authority
- CN
- China
- Prior art keywords
- file
- black
- suspicious
- white lists
- white list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种拦截可疑程序运行的方法,其在被保护计算机上没有木马病毒的前提下系统第一次运行并记录下该计算机上已存在的所有PE文件信息并生成白名单,之后在操作系统内核中拦截所有文件加载申请内存的请求,并筛选出其中的PE文件,然后与黑白名单对比判断该文件是否可疑;本发明的优点是通过拦截操作系统加载的所有PE文件,并采取白名单比对的方式对其加以判断,有效地实现了对可疑程序启动的拦截和对病毒木马样本的获取,并通过定制黑名单的方式拦截已知的病毒木马,同时提供详细的日志报告以分析监控当前系统上所有进程的运行状态,大大提高了系统的安全性,解决了目前的杀毒软件采用特征比对的方式无法拦截未知病毒木马的重大缺陷。
Description
技术领域
本发明涉及一种拦截可疑程序运行的方法,属于信息安全技术领域。
背景技术
目前,根据中国国家计算机网络应急技术处理协调中心发布的网络安全信息与动态显示,中国感染网络病毒的主机的数量呈大幅上升趋势。例如,现在病毒木马变种和传播的速度是广大杀毒软件厂商应接不暇的。并且当前在主机环境上病毒木马能够做到杀毒软件无法查杀、主机防火墙无法封堵、反隐藏工具无法发现,一旦系统感染了病毒木马,就长期潜伏,对信息安全造成巨大损失。
目前在现有技术中对于可疑程序运行的检测主要使用的技术和方法包括:主动防御检测、启发式查杀等方法,这些检测方法有明显的缺陷。例如,主动防御的检测方法会频繁询问用户,使得用户不知所措,虽然,使用高级内核rootkit技术能躲避主动防御的监控;启发式查杀方式能够通过编写自定义系统函数等方法加以绕过,但是,上述这些现有技术中的检测方法都以病毒木马的恶意行为作为检测依据,因此,在没有捕获新木马样本的情况下,对未知的新木马没有查杀能力。
发明内容
本发明的目的在于提供一种能够克服上述技术问题的拦截可疑程序运行的方法,本发明不依赖于检测可疑程序的诸如修改操作系统注册表、修改系统服务、向外传输文件等恶意行为特征作为判断该程序是否可疑的标准,本发明在被保护计算机上没有木马病毒的前提下(例如,新装操作系统等情况),系统第一次运行并记录下该计算机上已存在的所有PE文件信息并生成白名单,之后在操作系统内核中拦截所有文件加载申请内存的请求,并筛选出其中的PE文件,然后与黑白名单对比判断该文件是否可疑。本发明从功能结构上划分为驱动层和应用层。驱动层用来判断、拦截所有程序的启动和保护自身文件及黑白名单不被篡改;应用层用来生成及配置黑白名单、查看拦截日志等。
本发明的核心是在操作系统内核中拦截所有程序启动时加载文件申请内存的请求并判断该程序是否为可疑程序,本发明的判断方法采用了加速的哈希比对算法。
本发明包括以下步骤:
1.生成被保护计算机的白名单;
在本程序第一次启动时遍历计算机本地硬盘上所有文件,并筛选出其中的PE文件以及计算所述PE文件的特征值,最后将所述PE文件特征记录在白名单中。
具体计算PE文件的特征值的步骤如下:
1)将PE文件内容使用SHA计算哈希值并保存;
2)获取PE文件大小并保存;
3)获取PE文件内容中居中的8 BYTE作为快速索引保存。
2.拦截所有启动的进程;
通过驱动程序在操作系统内核级利用SSDT的HOOK技术实现拦截NtCreateSection函数,通过其参数中的SectionPageProtection和AllocationAttributes能够判断操作系统正要加载的文件是不是PE文件,并从参数FileHandle中获取将要被加载的PE文件路径。
3.判断进程是否可疑;
在通过驱动程序从操作系统内核级获取到将要加载的PE文件后,首先判断该PE文件的大小和居中的8字节是否在黑白名单中,如果该PE文件不在黑白名单中则继续验证该PE文件的数字签名,如果其数字签名有效则允许该PE文件加载,如果其数字签名验证失败则阻止该PE文件加载;如果在黑白名单中,则根据PE文件大小计算相应的SHA值,对于在黑名单中且SHA值也相等的PE文件直接阻止其加载运行,对于在白名单中且SHA值也相等的PE文件则放行允许其加载。
4.黑白名单文件保护;
通过驱动程序在操作系统内核级利用SSDT的HOOK技术实现拦截打开文件操作的函数NtCreateFile和NtOpenFile,以及修改文件操作的NtSetInformationFile函数,从其参数ObjectAttributes->RootDirectory和ObjectAttributes->ObjectName中获取目标文件是否为黑白名单文件,并通过函数IoGetCurrentProcess得到操作目标文件的进程名,从而检测出试图修改黑白名单的其他进程,最终通过向函数NtCreateFile、NtOpenFile和NtSetInformationFile返回调用失败来实现拦截其他进程修改黑白名单以保护黑白名单的可靠性。
5.生成报告日志;
对于操作系统加载的所有PE文件在拦截或放行后,生成一份日志报表,用以监控目前计算机上运行进程的状态。
6.上报样本;
对于检测过程中发现的既不在白名单也不在黑名单中的PE文件,则将该文件保存一份样本并上报给样本服务器以供后续分析试用。
本发明的优点是通过拦截操作系统加载的所有PE文件,并采取白名单比对的方式对其加以判断,有效地实现了对可疑程序启动的拦截和对病毒木马样本的获取,并通过定制黑名单的方式拦截已知的病毒木马,同时提供详细的日志报告以分析监控当前系统上所有进程的运行状态,大大提高了系统的安全性,解决了目前的杀毒软件采用特征比对的方式无法拦截未知病毒木马的重大缺陷。
附图说明
图1是本发明所述一种拦截可疑程序运行的方法的功能结构框图;
图2是本发明所述一种拦截可疑程序运行的方法的步骤流程图。
具体实施方式
下面结合附图和实施例对本发明进行详细描述。如图1所示,本发明的实施方式为以软件的形式直接在要保护的计算机上运行,具体拦截步骤如下:
1.生成本计算机的白名单:在被保护计算机上没有木马病毒的前提下(如新装操作系统等情况),系统第一次运行时使用多线程对计算机全盘进行扫描,并计算生成对应该计算机上所有PE文件的白名单。
2.拦截进程启动:通过加载驱动程序实现HOOK进程启动时操作系统为其加载文件所要调用的函数NtCreateSection,从中判断操作系统将要加载的文件是否为PE文件,并获取该文件的文件路径。
3.判断进程是否可疑:对于在黑名单中的PE文件则阻止其加载;对于在白名单中的PE文件则允许其加载;对于不在黑白名单中的PE文件则验证其数字签名,如果其数字签名有效则允许其加载,对于验证数字签名失败的PE文件则阻止其加载。
4.黑白名单文件保护:通过加载驱动程序实现HOOK操作系统打开修改文件时所要调用的函数NtCreateFile、NtOpenFile和NtSetInformationFile,从中得到系统将要打开或修改的文件路径,并通过调用IoGetCurrentProcess得到修改该文件的进程名,从而判断是否有其他进程试图修改黑白名单,如果有则通过返回调用失败来阻止其修改黑白名单。
5.生成报告日志:对于从NtCreateSection中拦截到的PE文件,在判断它是否可疑后生成一份日志报告,以供分析监视当前系统加载PE文件的情况。同时日志中还要记录试图修改黑白名单的进程信息。
6.上报样本:对于检测过程中发现的既不在白名单也不在黑名单中的PE文件,则将该文件保存一份样本并上报给样本服务器以供后续分析试用。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明公开的范围内,能够轻易想到的变化或替换,都应涵盖在本发明权利要求的保护范围内。
Claims (3)
1.一种拦截可疑程序运行的方法,其特征在于,包括以下步骤:
(1).生成被保护计算机的白名单;
在本程序第一次启动时遍历计算机本地硬盘上所有文件,并筛选出其中的PE文件以及计算所述PE文件的特征值,最后将所述PE文件特征记录在白名单中;
(2).拦截所有启动的进程;
通过驱动程序在操作系统内核级利用SSDT的HOOK技术实现拦截NtCreateSection函数,通过其参数中的SectionPageProtection和AllocationAttributes能够判断操作系统加载的文件是不是PE文件,并从参数FileHandle中获取将要被加载的PE文件路径;
(3).判断进程是否可疑;
在通过驱动程序从操作系统内核级获取到将要加载的PE文件后,首先判断该PE文件的大小和居中的8字节是否在黑白名单中,如果该PE文件不在黑白名单中则继续验证该PE文件的数字签名,如果其数字签名有效则允许该PE文件加载,如果其数字签名验证失败则阻止该PE文件加载;如果在黑白名单中,则根据PE文件大小计算相应的SHA值,对于在黑名单中且SHA值也相等的PE文件直接阻止其加载运行,对于在白名单中且SHA值也相等的PE文件则放行允许其加载;
(4).黑白名单文件保护;
通过驱动程序在操作系统内核级利用SSDT的HOOK技术实现拦截打开文件操作的函数NtCreateFile和NtOpenFile,以及修改文件操作的NtSetInformationFile函数,从其参数ObjectAttributes->RootDirectory和ObjectAttributes->ObjectName中获取目标文件是否为黑白名单文件,并通过函数IoGetCurrentProcess得到操作目标文件的进程名,从而检测出试图修改黑白名单的其他进程,最终通过向函数NtCreateFile、NtOpenFile和NtSetInformationFile返回调用失败来实现拦截其他进程修改黑白名单以保护黑白名单的可靠性;
(5).生成报告日志;
对于操作系统加载的所有PE文件在拦截或放行后,生成一份日志报表,用以监控目前计算机上运行进程的状态;
(6).上报样本;
对于检测过程中发现的既不在白名单也不在黑名单中的PE文件,则将该文件保存一份样本并上报给样本服务器以供后续分析试用。
2.根据权利要求1所述的一种拦截可疑程序运行的方法,其特征在于,所述步骤(1)中采用了加速的哈希比对算法。
3.根据权利要求1所述的一种拦截可疑程序运行的方法,其特征在于,所述计算PE文件的特征值的具体步骤如下:
1)将PE文件内容使用SHA计算哈希值并保存;
2)获取PE文件大小并保存;
3)获取PE文件内容中居中的8BYTE作为快速索引保存。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210566664.5A CN103065092B (zh) | 2012-12-24 | 2012-12-24 | 一种拦截可疑程序运行的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210566664.5A CN103065092B (zh) | 2012-12-24 | 2012-12-24 | 一种拦截可疑程序运行的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103065092A true CN103065092A (zh) | 2013-04-24 |
CN103065092B CN103065092B (zh) | 2016-04-27 |
Family
ID=48107720
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210566664.5A Active CN103065092B (zh) | 2012-12-24 | 2012-12-24 | 一种拦截可疑程序运行的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103065092B (zh) |
Cited By (31)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103530561A (zh) * | 2013-10-21 | 2014-01-22 | 北京奇虎科技有限公司 | 防止木马程序基于社会工程学攻击方法和装置 |
CN103559438A (zh) * | 2013-10-31 | 2014-02-05 | 上海上讯信息技术有限公司 | 进程识别方法及系统 |
CN103927486A (zh) * | 2014-05-06 | 2014-07-16 | 珠海市君天电子科技有限公司 | 一种黑特征库中失效特征的确定方法及系统 |
CN104008337A (zh) * | 2014-05-07 | 2014-08-27 | 广州华多网络科技有限公司 | 一种基于Linux系统的主动防御方法及装置 |
CN104123498A (zh) * | 2014-07-18 | 2014-10-29 | 广州金山网络科技有限公司 | 一种安卓系统Activity的安全性确定方法及装置 |
WO2015184752A1 (zh) * | 2014-06-06 | 2015-12-10 | 中兴通讯股份有限公司 | 一种异常进程检测方法及装置 |
CN105868640A (zh) * | 2016-04-04 | 2016-08-17 | 张曦 | 一种防范硬盘固件攻击的系统和方法 |
CN105893846A (zh) * | 2016-04-22 | 2016-08-24 | 北京金山安全软件有限公司 | 一种保护目标应用程序的方法、装置及电子设备 |
CN105893845A (zh) * | 2016-04-05 | 2016-08-24 | 北京金山安全软件有限公司 | 一种数据处理方法及装置 |
CN105975860A (zh) * | 2016-04-26 | 2016-09-28 | 北京金山安全软件有限公司 | 一种信任文件管理方法、装置及设备 |
CN106022117A (zh) * | 2016-05-18 | 2016-10-12 | 北京金山安全软件有限公司 | 防止系统环境变量修改的方法、装置及电子设备 |
CN106156628A (zh) * | 2015-04-16 | 2016-11-23 | 阿里巴巴集团控股有限公司 | 一种用户行为分析方法及装置 |
CN106169048A (zh) * | 2016-06-29 | 2016-11-30 | 北京金山安全软件有限公司 | 文件删除方法、装置及电子设备 |
CN106203108A (zh) * | 2016-06-29 | 2016-12-07 | 北京市国路安信息技术股份有限公司 | 基于内核模块的Linux白名单系统保护方法和装置 |
CN106407807A (zh) * | 2016-08-31 | 2017-02-15 | 福建省天奕网络科技有限公司 | 一种恶意线程检测方法及系统 |
CN106936768A (zh) * | 2015-12-29 | 2017-07-07 | 大唐高鸿信安(浙江)信息科技有限公司 | 基于可信芯片的白名单网络管控系统及方法 |
CN107066884A (zh) * | 2017-02-21 | 2017-08-18 | 郑州云海信息技术有限公司 | 一种Linux系统软件白名单兼容性处理方法 |
CN108170253A (zh) * | 2017-12-28 | 2018-06-15 | 中国科学院计算技术研究所 | 含哈希分区加速器和内存的组合装置 |
CN108549809A (zh) * | 2018-04-02 | 2018-09-18 | 郑州云海信息技术有限公司 | 一种基于数字证书的应用程序进程控制方法与系统 |
CN109726547A (zh) * | 2019-01-28 | 2019-05-07 | 北京和利时工业软件有限公司 | 一种文件执行管理方法及相关装置 |
CN110232276A (zh) * | 2019-06-03 | 2019-09-13 | 浙江大华技术股份有限公司 | 一种程序运行的拦截方法、终端设备以及计算机存储介质 |
CN110417771A (zh) * | 2019-07-25 | 2019-11-05 | 福建天晴在线互动科技有限公司 | 一种通过驱动自动化拦截Windows自动更新的方法 |
CN110519270A (zh) * | 2019-08-27 | 2019-11-29 | 杭州安恒信息技术股份有限公司 | 基于文件来源快速检测WebShell的方法及装置 |
CN110674499A (zh) * | 2019-08-27 | 2020-01-10 | 成都网思科平科技有限公司 | 一种识别计算机威胁的方法、装置及存储介质 |
CN111368299A (zh) * | 2020-03-02 | 2020-07-03 | 西安四叶草信息技术有限公司 | 动态链接库文件劫持检测方法、设备及存储介质 |
CN111428234A (zh) * | 2020-03-27 | 2020-07-17 | 深圳融安网络科技有限公司 | 应用程序的进程拦截方法、终端及存储介质 |
CN113010481A (zh) * | 2021-03-18 | 2021-06-22 | 成都欧珀通信科技有限公司 | 文件捕获方法、装置、终端和存储介质 |
CN113569242A (zh) * | 2021-07-28 | 2021-10-29 | 中国南方电网有限责任公司 | 违规软件识别方法 |
CN113806714A (zh) * | 2020-06-14 | 2021-12-17 | 武汉斗鱼鱼乐网络科技有限公司 | 一种应用程序的白名单信息安全传输方法与装置 |
CN114070624A (zh) * | 2021-11-16 | 2022-02-18 | 北京天融信网络安全技术有限公司 | 一种报文监测的方法、装置、电子设备及介质 |
CN116842505A (zh) * | 2023-04-13 | 2023-10-03 | 博智安全科技股份有限公司 | 基于windows操作系统进程可信域构建方法、装置及存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100031361A1 (en) * | 2008-07-21 | 2010-02-04 | Jayant Shukla | Fixing Computer Files Infected by Virus and Other Malware |
CN101788915A (zh) * | 2010-02-05 | 2010-07-28 | 北京工业大学 | 基于可信进程树的白名单更新方法 |
CN102306254A (zh) * | 2011-08-29 | 2012-01-04 | 奇智软件(北京)有限公司 | 一种病毒或恶意程序的防御方法和系统 |
-
2012
- 2012-12-24 CN CN201210566664.5A patent/CN103065092B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100031361A1 (en) * | 2008-07-21 | 2010-02-04 | Jayant Shukla | Fixing Computer Files Infected by Virus and Other Malware |
CN101788915A (zh) * | 2010-02-05 | 2010-07-28 | 北京工业大学 | 基于可信进程树的白名单更新方法 |
CN102306254A (zh) * | 2011-08-29 | 2012-01-04 | 奇智软件(北京)有限公司 | 一种病毒或恶意程序的防御方法和系统 |
Cited By (43)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103530561A (zh) * | 2013-10-21 | 2014-01-22 | 北京奇虎科技有限公司 | 防止木马程序基于社会工程学攻击方法和装置 |
CN103559438A (zh) * | 2013-10-31 | 2014-02-05 | 上海上讯信息技术有限公司 | 进程识别方法及系统 |
CN103927486A (zh) * | 2014-05-06 | 2014-07-16 | 珠海市君天电子科技有限公司 | 一种黑特征库中失效特征的确定方法及系统 |
CN103927486B (zh) * | 2014-05-06 | 2018-03-06 | 珠海市君天电子科技有限公司 | 一种黑特征库中失效特征的确定方法及系统 |
CN104008337B (zh) * | 2014-05-07 | 2019-08-23 | 广州华多网络科技有限公司 | 一种基于Linux系统的主动防御方法及装置 |
CN104008337A (zh) * | 2014-05-07 | 2014-08-27 | 广州华多网络科技有限公司 | 一种基于Linux系统的主动防御方法及装置 |
WO2015184752A1 (zh) * | 2014-06-06 | 2015-12-10 | 中兴通讯股份有限公司 | 一种异常进程检测方法及装置 |
CN105303107A (zh) * | 2014-06-06 | 2016-02-03 | 中兴通讯股份有限公司 | 一种异常进程检测方法及装置 |
WO2016008414A1 (zh) * | 2014-07-18 | 2016-01-21 | 广州金山网络科技有限公司 | 一种安卓系统Activity的安全性确定方法及装置 |
CN104123498A (zh) * | 2014-07-18 | 2014-10-29 | 广州金山网络科技有限公司 | 一种安卓系统Activity的安全性确定方法及装置 |
CN104123498B (zh) * | 2014-07-18 | 2017-12-05 | 广州猎豹网络科技有限公司 | 一种安卓系统Activity的安全性确定方法及装置 |
CN106156628A (zh) * | 2015-04-16 | 2016-11-23 | 阿里巴巴集团控股有限公司 | 一种用户行为分析方法及装置 |
CN106936768A (zh) * | 2015-12-29 | 2017-07-07 | 大唐高鸿信安(浙江)信息科技有限公司 | 基于可信芯片的白名单网络管控系统及方法 |
CN105868640A (zh) * | 2016-04-04 | 2016-08-17 | 张曦 | 一种防范硬盘固件攻击的系统和方法 |
CN105893845A (zh) * | 2016-04-05 | 2016-08-24 | 北京金山安全软件有限公司 | 一种数据处理方法及装置 |
CN105893846A (zh) * | 2016-04-22 | 2016-08-24 | 北京金山安全软件有限公司 | 一种保护目标应用程序的方法、装置及电子设备 |
CN105975860A (zh) * | 2016-04-26 | 2016-09-28 | 北京金山安全软件有限公司 | 一种信任文件管理方法、装置及设备 |
CN105975860B (zh) * | 2016-04-26 | 2019-04-05 | 珠海豹趣科技有限公司 | 一种信任文件管理方法、装置及设备 |
CN106022117A (zh) * | 2016-05-18 | 2016-10-12 | 北京金山安全软件有限公司 | 防止系统环境变量修改的方法、装置及电子设备 |
CN106169048B (zh) * | 2016-06-29 | 2019-03-12 | 珠海豹趣科技有限公司 | 文件删除方法、装置及电子设备 |
CN106169048A (zh) * | 2016-06-29 | 2016-11-30 | 北京金山安全软件有限公司 | 文件删除方法、装置及电子设备 |
CN106203108A (zh) * | 2016-06-29 | 2016-12-07 | 北京市国路安信息技术股份有限公司 | 基于内核模块的Linux白名单系统保护方法和装置 |
CN106407807A (zh) * | 2016-08-31 | 2017-02-15 | 福建省天奕网络科技有限公司 | 一种恶意线程检测方法及系统 |
CN106407807B (zh) * | 2016-08-31 | 2019-01-22 | 福建省天奕网络科技有限公司 | 一种恶意线程检测方法及系统 |
CN107066884A (zh) * | 2017-02-21 | 2017-08-18 | 郑州云海信息技术有限公司 | 一种Linux系统软件白名单兼容性处理方法 |
CN108170253A (zh) * | 2017-12-28 | 2018-06-15 | 中国科学院计算技术研究所 | 含哈希分区加速器和内存的组合装置 |
CN108549809A (zh) * | 2018-04-02 | 2018-09-18 | 郑州云海信息技术有限公司 | 一种基于数字证书的应用程序进程控制方法与系统 |
CN109726547A (zh) * | 2019-01-28 | 2019-05-07 | 北京和利时工业软件有限公司 | 一种文件执行管理方法及相关装置 |
CN110232276A (zh) * | 2019-06-03 | 2019-09-13 | 浙江大华技术股份有限公司 | 一种程序运行的拦截方法、终端设备以及计算机存储介质 |
CN110417771A (zh) * | 2019-07-25 | 2019-11-05 | 福建天晴在线互动科技有限公司 | 一种通过驱动自动化拦截Windows自动更新的方法 |
CN110417771B (zh) * | 2019-07-25 | 2021-07-09 | 福建天晴在线互动科技有限公司 | 一种通过驱动自动化拦截Windows自动更新的方法 |
CN110674499A (zh) * | 2019-08-27 | 2020-01-10 | 成都网思科平科技有限公司 | 一种识别计算机威胁的方法、装置及存储介质 |
CN110519270A (zh) * | 2019-08-27 | 2019-11-29 | 杭州安恒信息技术股份有限公司 | 基于文件来源快速检测WebShell的方法及装置 |
CN110519270B (zh) * | 2019-08-27 | 2022-01-28 | 杭州安恒信息技术股份有限公司 | 基于文件来源快速检测WebShell的方法及装置 |
CN111368299A (zh) * | 2020-03-02 | 2020-07-03 | 西安四叶草信息技术有限公司 | 动态链接库文件劫持检测方法、设备及存储介质 |
CN111428234B (zh) * | 2020-03-27 | 2023-07-04 | 深圳融安网络科技有限公司 | 应用程序的进程拦截方法、终端及存储介质 |
CN111428234A (zh) * | 2020-03-27 | 2020-07-17 | 深圳融安网络科技有限公司 | 应用程序的进程拦截方法、终端及存储介质 |
CN113806714A (zh) * | 2020-06-14 | 2021-12-17 | 武汉斗鱼鱼乐网络科技有限公司 | 一种应用程序的白名单信息安全传输方法与装置 |
CN113010481A (zh) * | 2021-03-18 | 2021-06-22 | 成都欧珀通信科技有限公司 | 文件捕获方法、装置、终端和存储介质 |
CN113569242A (zh) * | 2021-07-28 | 2021-10-29 | 中国南方电网有限责任公司 | 违规软件识别方法 |
CN114070624A (zh) * | 2021-11-16 | 2022-02-18 | 北京天融信网络安全技术有限公司 | 一种报文监测的方法、装置、电子设备及介质 |
CN114070624B (zh) * | 2021-11-16 | 2024-01-23 | 北京天融信网络安全技术有限公司 | 一种报文监测的方法、装置、电子设备及介质 |
CN116842505A (zh) * | 2023-04-13 | 2023-10-03 | 博智安全科技股份有限公司 | 基于windows操作系统进程可信域构建方法、装置及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN103065092B (zh) | 2016-04-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103065092A (zh) | 一种拦截可疑程序运行的方法 | |
US12019734B2 (en) | Methods and apparatus for control and detection of malicious content using a sandbox environment | |
US9565214B2 (en) | Real-time module protection | |
Martignoni et al. | A layered architecture for detecting malicious behaviors | |
US9165142B1 (en) | Malware family identification using profile signatures | |
US9679136B2 (en) | Method and system for discrete stateful behavioral analysis | |
US9032525B2 (en) | System and method for below-operating system trapping of driver filter attachment | |
RU2571723C2 (ru) | Система и способ для снижения нагрузки на операционную систему при работе антивирусного приложения | |
US9792430B2 (en) | Systems and methods for virtualized malware detection | |
US8752180B2 (en) | Behavioral engine for identifying patterns of confidential data use | |
US20120255003A1 (en) | System and method for securing access to the objects of an operating system | |
US11176247B2 (en) | System and method for container assessment using sandboxing | |
JP6909770B2 (ja) | ウィルス対策レコードを作成するシステムと方法 | |
US11909761B2 (en) | Mitigating malware impact by utilizing sandbox insights | |
US20130275945A1 (en) | System, method, and computer program product for simulating at least one of a virtual environment and a debugging environment to prevent unwanted code from executing | |
RU2724790C1 (ru) | Система и способ формирования журнала при исполнении файла с уязвимостями в виртуальной машине | |
US20190138715A1 (en) | Post sandbox methods and systems for detecting and blocking zero-day exploits via api call validation | |
Monnappa | Automating linux malware analysis using limon sandbox | |
CN105956461A (zh) | 一种拦截驱动加载的方法及终端 | |
TWI515599B (zh) | Computer program products and methods for monitoring and defending security | |
KR20110087826A (ko) | 가상머신을 이용한 악성소프트웨어 탐지 방법 | |
US20240211597A1 (en) | Apparatus and methods for an application programming interface to detect and locate malware in memory | |
US20230394146A1 (en) | Analyzing files using a kernel mode of a virtual machine | |
US20230325501A1 (en) | Heidi: ml on hypervisor dynamic analysis data for malware classification | |
Cui et al. | A less resource-consumed security architecture on cloud platform |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |