CN103455757A - 一种识别病毒的方法及装置 - Google Patents
一种识别病毒的方法及装置 Download PDFInfo
- Publication number
- CN103455757A CN103455757A CN2012101777333A CN201210177733A CN103455757A CN 103455757 A CN103455757 A CN 103455757A CN 2012101777333 A CN2012101777333 A CN 2012101777333A CN 201210177733 A CN201210177733 A CN 201210177733A CN 103455757 A CN103455757 A CN 103455757A
- Authority
- CN
- China
- Prior art keywords
- content
- unloading
- viral
- file
- character string
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明提供一种识别病毒的方法及装置,其中方法包括:获取用户访问在线支付网站时的内存中的原始内存信息,并对所述原始内存信息进行转存;对转存后的所述原始内存信息进行分析,获得访问所述在线支付网站中被访问过程中运行的进程的相关信息;根据所述进程的相关信息,对当前运行的进程是否是病毒样本对应的进程进行识别。本发明的方案可以准确快速识别盗取网银账号信息的木马病毒。
Description
技术领域
本发明涉及计算机安全领域,特别是指一种识别病毒的方法及装置。
背景技术
目前网购木马猖獗,经常出现新的对抗杀毒软件的手法,人工的方式进行病毒识别速度已经跟不上病毒的更新速度,因此自动准确识别支付网站木马病毒的亟待解决的问题。
目前已有的网购木马的识别方法可以分为三类:
(1)人工分析的方法进行识别:通过反汇编代码分析、文件静态内容比对以及一系列启发式规则对比来给样本文件定性。这种方法的优点是:识别准确;缺点是:低速,无法处理大量样本。
(2)动态分析的方法进行识别:通过动态执行网购样本文件,并记录运行过程中进行动态行为分析,并对文件定性。这种方法的优点是:精准度高;缺点是:低速,吞吐量低,且受到运行环境限制。
(3)静态识别的方法:通过总结网购木马的静态文件特征,识别网购木马。这种方法的优点是:速度快;缺点是:准确性低。
发明内容
本发明要解决的技术问题是提供一种识别病毒的方法及装置,通过对木马病毒运行过程中的内存内容进行转存,从而可以从内存中获得木马病毒运行过程中使用的数据,根据这些数据识别网购木马,避免由于病毒样本文件被加密处理,通过数字签名软件加载的木马病毒无法被正确识别的问题。
为解决上述技术问题,本发明的实施例提供一种识别病毒的方法,包括:
获取用户访问在线支付网站时的内存中的原始内存信息,并对所述原始内存信息进行转存;
对转存后的所述原始内存信息进行分析,获得访问所述在线支付网站中被访问过程中运行的进程的相关信息;
根据所述进程的相关信息,对当前运行的进程是否是病毒样本对应的进程进行识别。
其中,所述获取用户访问在线支付网站时的内存中的原始内存信息,并对所述原始内存信息进行转存的步骤包括:
提高查看系统权限的权限值;
基于提高后的权限值,获得要转存的进程的内存空间地址;其中所述要转存的进程为访问所述在线支付网站中被访问过程;
根据所述内存空间地址,对所述内存空间中的内容进行转存,并将转存的内容保存为一个文件。
其中,对转存后的所述原始内存信息进行分析,获得访问所述在线支付网站中被访问过程中运行的进程的相关信息的步骤包括:
对所述文件进行分析,获得访问所述在线支付网站中被访问过程中运行的病毒进程要使用的数据以及调用的函数。
其中,对所述文件进行分析,获得访问所述在线支付网站中被访问过程中运行的病毒进程要使用的数据以及调用的函数的步骤包括:
根据字符编码集或者病毒特征库,对所述文件进行全文字符串匹配,获得匹配不成功的无效字符串,并过滤掉所述无效字符串
过滤掉所述无效字符串,得到匹配成功的字符串对应的文件;
根据所述匹配成功的字符串对应的文件,获得病毒进程要使用的数据以及调用的函数。
其中,根据所述进程的相关信息,对当前运行的进程是否是病毒样本对应的进程进行识别的步骤包括:
根据病毒进程要使用的数据以及调用的函数,在所述匹配成功的字符串对应的文件中查找若有与所述数据以及调用的函数相匹配的:节点IE的内容、节点Patch的内容和节点TargetAddr的内容,则确定该进程为病毒进程;其中,所述节点IE的内容为搜索IE窗口控件时使用的内容,所述节点Patch的内容为修改IE网页内容时使用的内容,所述TargetAddr的内容为网购木马病毒要盗取的对应网购地址。
本发明的实施例还提供一种识别病毒的装置,包括:
内存截取模块,用于获取用户访问在线支付网站时的内存中的原始内存信息,并对所述原始内存信息进行转存;
获取模块,用于对转存后的所述原始内存信息进行分析,获得访问所述在线支付网站中被访问过程中运行的进程的相关信息;
识别模块,用于根据所述进程的相关信息,对当前运行的进程是否是病毒样本对应的进程进行识别。
其中,所述内存截取模块包括:
设置模块,用于提高查看系统权限的权限值;
获得模块,用于基于提高后的权限值,获得要转存的进程的内存空间地址;其中所述要转存的进程为访问所述在线支付网站中被访问过程;
转存模块,用于根据所述内存空间地址,对所述内存空间中的内容进行转存,并将转存的内容保存为一个文件。
其中,所述获得模块具体用于:对转存后的所述文件进行分析,获得访问所述在线支付网站中被访问过程中运行的病毒进程要使用的数据以及调用的函数。
其中,所述获得模块还用于:根据字符编码集或者病毒特征库,对所述文件进行全文字符串匹配,获得匹配不成功的无效字符串,并过滤掉所述无效字符串;过滤掉所述无效字符串,得到匹配成功的字符串对应的文件;根据所述匹配成功的字符串对应的文件,获得病毒进程要使用的数据以及调用的函数。
其中,所述识别模块具体用于:根据病毒进程要使用的数据以及调用的函数,在所述匹配成功的字符串对应的文件中查找若有与所述数据以及调用的函数相匹配的:节点IE的内容、节点Patch的内容和节点TargetAddr的内容,则确定该进程为病毒进程;其中,所述节点IE的内容为搜索IE窗口控件时使用的内容,所述节点Patch的内容为修改IE网页内容时使用的内容,所述TargetAddr的内容为网购木马病毒要盗取的对应网购地址。
本发明的上述技术方案的有益效果如下:
上述方案中,通过对木马病毒运行过程中的内存内容进行转存,从而可以从内存中获得木马病毒运行过程中使用的数据,根据这些数据识别网购木马,避免由于病毒样本文件被加密处理,通过数字签名软件加载的木马病毒无法被正确识别的问题。
附图说明
图1为本发明的实施例识别病毒的方法的流程图;
图2为本发明的实施例识别病毒的装置的结构示意图。
具体实施方式
为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
如图1所示,本发明的实施例提供一种识别病毒的方法,包括:
步骤11,获取用户访问在线支付网站时的内存中的原始内存信息,并对所述原始内存信息进行转存;
步骤12,对转存后的所述原始内存信息进行分析,获得访问所述在线支付网站中被访问过程中运行的进程的相关信息;
步骤13,根据所述进程的相关信息,对当前运行的进程是否是病毒样本对应的进程进行识别。
本发明的该实施例通过对木马病毒运行过程中的内存内容进行转存,从而可以从内存中获得木马病毒运行过程中使用的数据,根据这些数据识别网购木马,从而可以在木马病毒样本被解密完就能被识别出来,避免由于病毒样本文件被加密处理,通过数字签名软件加载的木马病毒无法被正确识别的问题。
在本发明的另一实施例中,包括上述步骤11-13的基础上,其中,所述步骤11包括:
步骤111,提高查看系统权限的权限值;
步骤112,基于提高后的权限值,获得要转存的进程的内存空间地址;其中所述要转存的进程为访问所述在线支付网站中被访问过程;
步骤113,根据所述内存空间地址,对所述内存空间中的内容进行转存,并将转存的内容保存为一个文件。
具体实现过程如下:得到进程令牌句柄,根据进程令牌句柄,查看系统权限的特权值,提升进程权限为SeDubegPrivilege;
获取要转存的进程的内存空间起始地址,为转存内存做准备;
对当前系统进程做一个进程的快照,根据起始地址读取内存内容,获取第一个模块的信息,如果失败就退出;
遍历系统进程找到pModuleName指定的进程,并遍历它的模块信息得到模块的内存起始地址,按照上述过程对所有进程进行遍历。
在上述实施列中,步骤12具体包括:对所述文件进行分析,获得访问所述在线支付网站中被访问过程中运行的病毒进程要使用的数据以及调用的函数。如此可以得到动态分析由于环境原因得不到的信息。
具体实现过程包括:根据字符编码集或者病毒特征库,对所述文件进行全文字符串匹配,获得匹配不成功的无效字符串,并过滤掉所述无效字符串;过滤掉所述无效字符串,得到匹配成功的字符串对应的文件;根据所述匹配成功的字符串对应的文件,获得病毒进程要使用的数据以及调用的函数。
相应地,步骤13可以包括:根据病毒进程要使用的数据以及调用的函数,在所述匹配成功的字符串对应的文件中查找若有与所述数据以及调用的函数相匹配的:节点IE((Internet Explore,即IE浏览器))的内容、节点Patch(补丁)的内容和节点TargetAddr(目标地址)的内容,则确定该进程为病毒进程;其中,所述节点IE的内容为搜索IE窗口控件时使用的内容,所述节点Patch的内容为修改IE网页内容时使用的内容,所述TargetAddr的内容为网购木马病毒要盗取的对应网购地址。当然这里的浏览器还可以是其它内核的浏览器,如搜狗浏览器等。
如在下述的XML文件中,包括了:节点IE的内容(如<IE id="1000"description="搜索IE窗口控件"><Substr1 crc="aad4b9f0"descrip="搜索IE窗口控件"><![CDATA[INTERNET EXPLORER_SERVER]]></Substr1>)、节点Patch的内容(如<PatchIE id="1001″description="疑似修改网页">
<Substr1 crc=""descrip="修改网页"><![CDATA[DOCUMENT.WRITE]]></Substr1>
<Substr2 crc=""descrip=获取网页输入内容"><![CDATA[DOCUMENT.GETELEMENTBYID]]></Substr2>
<Substr3 crc=″″descrip="获取网页输入内容"><![CDATA[DOCUMENT.EBANKDEPOSITFORM.GETELEMENTSBYTAGNAME]]>)和节点TargetAddr(如</TargetAddr>)的内容,因此,可断定该进程为网购木马病毒。
XML样本文件如下:
本发明的识别病毒方法的实施例通过对木马病毒运行过程中的内存内容进行转存,从而可以从内存中获得木马病毒运行过程中使用的数据,根据这些数据识别网购木马,从而可以在木马病毒样本被解密完就能被识别出来,避免由于病毒样本文件被加密处理,通过数字签名软件加载的木马病毒无法被正确识别的问题。且分析速度快,不需要等病毒样本运行完,只要在样本完全解密完成后,就可以分析并给出结果。结果准确,不受系统环境限制,由于系统环境目前已有技术无法完全满足病毒的运行环境,但是分析内存信息可以得到没有执行的流程信息。有效避免由于样本加密对分析的干扰,在样本完成解密过程之后,得到的内存信息也都是解密以后的结果,总之,本发明的方案可以准确快速识别盗取网银账号信息的木马病毒。
与上述方法相应地,本发明的实施例还提供一种识别病毒的装置,包括:
内存截取模块21,用于获取用户访问在线支付网站时的内存中的原始内存信息;
获取模块22,用于对所述原始内存信息进行分析,获得访问所述在线支付网站中被访问过程中运行的进程的相关信息;
识别模块23,用于根据所述进程的相关信息,对当前运行的进程是否是病毒样本对应的进程进行识别。
本发明的该实施例通过对木马病毒运行过程中的内存内容进行转存,从而可以从内存中获得木马病毒运行过程中使用的数据,根据这些数据识别网购木马,从而可以在木马病毒样本被解密完就能被识别出来,避免由于病毒样本文件被加密处理,通过数字签名软件加载的木马病毒无法被正确识别的问题。
其中,所述内存截取模块包括:
设置模块,用于提高查看系统权限的权限值;
获得模块,用于基于提高后的权限值,获得要转存的进程的内存空间地址;其中所述要转存的进程为访问所述在线支付网站中被访问过程;
转存模块,用于根据所述内存空间地址,对所述内存空间中的内容进行转存,并将转存的内容保存为一个文件。
其中,所述获得模块具体用于:对所述文件进行分析,获得访问所述在线支付网站中被访问过程中运行的病毒进程要使用的数据以及调用的函数。
其中,所述获得模块还用于:根据字符编码集或者病毒特征库,对所述文件进行全文字符串匹配,获得匹配不成功的无效字符串,并过滤掉所述无效字符串;过滤掉所述无效字符串,得到匹配成功的字符串对应的文件;根据所述匹配成功的字符串对应的文件,获得病毒进程要使用的数据以及调用的函数。
其中,所述识别模块具体用于:根据病毒进程要使用的数据以及调用的函数,在所述匹配成功的字符串对应的文件中查找若有与所述数据以及调用的函数相匹配的:节点IE的内容、节点Patch的内容和节点TargetAddr的内容,则确定该进程为病毒进程;其中,所述节点IE的内容为搜索IE窗口控件时使用的内容,所述节点Patch的内容为修改IE网页内容时使用的内容,所述TargetAddr的内容为网购木马病毒要盗取的对应网购地址。
本发明的该装置实施例同样通过对木马病毒运行过程中的内存内容进行转存,从而可以从内存中获得木马病毒运行过程中使用的数据,根据这些数据识别网购木马,从而可以在木马病毒样本被解密完就能被识别出来,避免由于病毒样本文件被加密处理,通过数字签名软件加载的木马病毒无法被正确识别的问题。且分析速度快,不需要等病毒样本运行完,只要在样本完全解密完成后,就可以分析并给出结果。结果准确,不受系统环境限制,由于系统环境目前已有技术无法完全满足病毒的运行环境,但是分析内存信息可以得到没有执行的流程信息。有效避免由于样本加密对分析的干扰,在样本完成解密过程之后,得到的内存信息也都是解密以后的结果。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种识别病毒的方法,其特征在于,包括:
获取用户访问在线支付网站时的内存中的原始内存信息,并对所述原始内存信息进行转存;
对转存后的所述原始内存信息进行分析,获得访问所述在线支付网站中被访问过程中运行的进程的相关信息;
根据所述进程的相关信息,对当前运行的进程是否是病毒样本对应的进程进行识别。
2.根据权利要求1所述的识别病毒的方法,其特征在于,所述获取用户访问在线支付网站时的内存中的原始内存信息,并对所述原始内存信息进行转存的步骤包括:
提高查看系统权限的权限值;
基于提高后的权限值,获得要转存的进程的内存空间地址;其中所述要转存的进程为访问所述在线支付网站中被访问过程;
根据所述内存空间地址,对所述内存空间中的内容进行转存,并将转存的内容保存为一个文件。
3.根据权利要求2所述的识别病毒的方法,其特征在于,对转存后的所述原始内存信息进行分析,获得访问所述在线支付网站中被访问过程中运行的进程的相关信息的步骤包括:
对转存后的所述文件进行分析,获得访问所述在线支付网站中被访问过程中运行的病毒进程要使用的数据以及调用的函数。
4.根据权利要求3所述的识别病毒的方法,其特征在于,对所述文件进行分析,获得访问所述在线支付网站中被访问过程中运行的病毒进程要使用的数据以及调用的函数的步骤包括:
根据字符编码集或者病毒特征库,对所述文件进行全文字符串匹配,获得匹配不成功的无效字符串,并过滤掉所述无效字符串
过滤掉所述无效字符串,得到匹配成功的字符串对应的文件;
根据所述匹配成功的字符串对应的文件,获得病毒进程要使用的数据以及调用的函数。
5.根据权利要求4所述的识别病毒的方法,其特征在于,根据所述进程的相关信息,对当前运行的进程是否是病毒样本对应的进程进行识别的步骤包括:
根据病毒进程要使用的数据以及调用的函数,在所述匹配成功的字符串对应的文件中查找若有与所述数据以及调用的函数相匹配的:节点IE的内容、节点Patch的内容和节点TargetAddr的内容,则确定该进程为病毒进程;其中,所述节点IE的内容为搜索IE窗口控件时使用的内容,所述节点Patch的内容为修改IE网页内容时使用的内容,所述TargetAddr的内容为网购木马病毒要盗取的对应网购地址。
6.一种识别病毒的装置,其特征在于,包括:
内存截取模块,用于获取用户访问在线支付网站时的内存中的原始内存信息,并对所述原始内存信息进行转存;
获取模块,用于对转存后的所述原始内存信息进行分析,获得访问所述在线支付网站中被访问过程中运行的进程的相关信息;
识别模块,用于根据所述进程的相关信息,对当前运行的进程是否是病毒样本对应的进程进行识别。
7.根据权利要求6所述的识别病毒的装置,其特征在于,所述内存截取模块包括:
设置模块,用于提高查看系统权限的权限值;
获得模块,用于基于提高后的权限值,获得要转存的进程的内存空间地址;其中所述要转存的进程为访问所述在线支付网站中被访问过程;
转存模块,用于根据所述内存空间地址,对所述内存空间中的内容进行转存,并将转存的内容保存为一个文件。
8.根据权利要求7所述的识别病毒的装置,其特征在于,所述获得模块具体用于:对转存后的所述文件进行分析,获得访问所述在线支付网站中被访问过程中运行的病毒进程要使用的数据以及调用的函数。
9.根据权利要求8所述的识别病毒的装置,其特征在于,所述获得模块还用于:根据字符编码集或者病毒特征库,对所述文件进行全文字符串匹配,获得匹配不成功的无效字符串,并过滤掉所述无效字符串;过滤掉所述无效字符串,得到匹配成功的字符串对应的文件;根据所述匹配成功的字符串对应的文件,获得病毒进程要使用的数据以及调用的函数。
10.根据权利要求9所述的识别病毒的装置,其特征在于,所述识别模块具体用于:根据病毒进程要使用的数据以及调用的函数,在所述匹配成功的字符串对应的文件中查找若有与所述数据以及调用的函数相匹配的:节点IE的内容、节点Patch的内容和节点TargetAddr的内容,则确定该进程为病毒进程;其中,所述节点IE的内容为搜索IE窗口控件时使用的内容,所述节点Patch的内容为修改IE网页内容时使用的内容,所述TargetAddr的内容为网购木马病毒要盗取的对应网购地址。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210177733.3A CN103455757B (zh) | 2012-05-31 | 2012-05-31 | 一种识别病毒的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210177733.3A CN103455757B (zh) | 2012-05-31 | 2012-05-31 | 一种识别病毒的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103455757A true CN103455757A (zh) | 2013-12-18 |
| CN103455757B CN103455757B (zh) | 2016-08-17 |
Family
ID=49738107
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210177733.3A Active CN103455757B (zh) | 2012-05-31 | 2012-05-31 | 一种识别病毒的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103455757B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105550580A (zh) * | 2015-12-09 | 2016-05-04 | 珠海市君天电子科技有限公司 | 一种窗口搜索方法和装置 |
| CN106845222A (zh) * | 2016-12-02 | 2017-06-13 | 哈尔滨安天科技股份有限公司 | 一种勒索者病毒的检测方法及系统 |
| CN107133517A (zh) * | 2017-05-08 | 2017-09-05 | 成都德涵信息技术有限公司 | 一种基于内存中数据加密和计算的数据还原方法 |
| WO2018000605A1 (zh) * | 2016-06-30 | 2018-01-04 | 乐视控股(北京)有限公司 | 一种安全支付方法及电子设备 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1409222A (zh) * | 2001-09-14 | 2003-04-09 | 北京瑞星科技股份有限公司 | 计算机内存病毒监控和带毒运行方法 |
| CN1980237A (zh) * | 2005-12-09 | 2007-06-13 | 北京瑞星国际软件有限公司 | 识别访问网络的模块的方法及装置 |
| CN101098226A (zh) * | 2006-06-27 | 2008-01-02 | 飞塔信息科技(北京)有限公司 | 一种病毒在线实时处理系统及其方法 |
| WO2008043976A1 (en) * | 2006-10-10 | 2008-04-17 | Umu Limited | Virus detection method |
| CN101673326A (zh) * | 2008-09-11 | 2010-03-17 | 北京理工大学 | 基于程序执行特征的网页木马检测方法 |
| CN102394859A (zh) * | 2011-07-27 | 2012-03-28 | 哈尔滨安天科技股份有限公司 | 基于线程行为的木马窃取文件检测方法和系统 |
| CN102402620A (zh) * | 2011-12-26 | 2012-04-04 | 余姚市供电局 | 一种恶意网页防御方法和系统 |
-
2012
- 2012-05-31 CN CN201210177733.3A patent/CN103455757B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1409222A (zh) * | 2001-09-14 | 2003-04-09 | 北京瑞星科技股份有限公司 | 计算机内存病毒监控和带毒运行方法 |
| CN1980237A (zh) * | 2005-12-09 | 2007-06-13 | 北京瑞星国际软件有限公司 | 识别访问网络的模块的方法及装置 |
| CN101098226A (zh) * | 2006-06-27 | 2008-01-02 | 飞塔信息科技(北京)有限公司 | 一种病毒在线实时处理系统及其方法 |
| WO2008043976A1 (en) * | 2006-10-10 | 2008-04-17 | Umu Limited | Virus detection method |
| CN101673326A (zh) * | 2008-09-11 | 2010-03-17 | 北京理工大学 | 基于程序执行特征的网页木马检测方法 |
| CN102394859A (zh) * | 2011-07-27 | 2012-03-28 | 哈尔滨安天科技股份有限公司 | 基于线程行为的木马窃取文件检测方法和系统 |
| CN102402620A (zh) * | 2011-12-26 | 2012-04-04 | 余姚市供电局 | 一种恶意网页防御方法和系统 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105550580A (zh) * | 2015-12-09 | 2016-05-04 | 珠海市君天电子科技有限公司 | 一种窗口搜索方法和装置 |
| CN105550580B (zh) * | 2015-12-09 | 2019-04-26 | 珠海豹趣科技有限公司 | 一种窗口搜索方法和装置 |
| WO2018000605A1 (zh) * | 2016-06-30 | 2018-01-04 | 乐视控股(北京)有限公司 | 一种安全支付方法及电子设备 |
| CN106845222A (zh) * | 2016-12-02 | 2017-06-13 | 哈尔滨安天科技股份有限公司 | 一种勒索者病毒的检测方法及系统 |
| CN107133517A (zh) * | 2017-05-08 | 2017-09-05 | 成都德涵信息技术有限公司 | 一种基于内存中数据加密和计算的数据还原方法 |
| CN107133517B (zh) * | 2017-05-08 | 2020-01-07 | 成都德涵信息技术有限公司 | 一种基于内存中数据加密和计算的数据还原方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103455757B (zh) | 2016-08-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8856937B1 (en) | Methods and systems for identifying fraudulent websites | |
| RU2610254C2 (ru) | Система и способ определения измененных веб-страниц | |
| KR101724307B1 (ko) | 악성코드를 검출하는 방법 및 시스템 | |
| US20100122313A1 (en) | Method and system for restricting file access in a computer system | |
| KR101051722B1 (ko) | 모니터 장치, 모니터링 방법 및 그에 관한 하드웨어용 컴퓨터 프로그램 산출물 | |
| CN107659570A (zh) | 基于机器学习与动静态分析的Webshell检测方法及系统 | |
| US9552272B1 (en) | Utility to instantly protect sensitive information for an application log at runtime | |
| US11568044B2 (en) | Method and apparatus for vetting universal serial bus device firmware | |
| US20120239540A1 (en) | Systems, devices and methods for automatic detection and masking of private data | |
| CN104508672B (zh) | 程序执行装置以及程序分析装置 | |
| US9575793B1 (en) | Identifying kernel data structures | |
| CN113312624A (zh) | 一种Java Web应用内存木马检测方法、终端设备及存储介质 | |
| WO2017167208A1 (zh) | 识别恶意网站的方法、装置及计算机存储介质 | |
| CN103631904A (zh) | 反病毒分析期间选择同或异步文件访问方法的系统和方法 | |
| CN110213255B (zh) | 一种对主机进行木马检测的方法、装置及电子设备 | |
| CN104769598A (zh) | 用于检测非法应用程序的系统和方法 | |
| CN103455757A (zh) | 一种识别病毒的方法及装置 | |
| US20210342447A1 (en) | Methods and apparatus for unknown sample classification using agglomerative clustering | |
| US20160092313A1 (en) | Application Copy Counting Using Snapshot Backups For Licensing | |
| CN111125704B (zh) | 一种网页挂马识别方法及系统 | |
| US10318745B2 (en) | Access control system and access control method | |
| WO2017054731A1 (zh) | 处理被劫持浏览器的方法及设备 | |
| CN111460448A (zh) | 一种恶意软件家族检测方法及装置 | |
| JP2020109611A (ja) | コンピュータシステム内の悪意のあるアクティビティの源を検出するシステムおよび方法 | |
| Cheng et al. | Automatic inference of taint sources to discover vulnerabilities in soho router firmware |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100085 Beijing City, Haidian District Road 33, Jinshan building Xiaoying Co-patentee after: CONEW NETWORK TECHNOLOGY (BEIJING) Co.,Ltd. Patentee after: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd. Co-patentee after: Beijing Cheetah Mobile Technology Co.,Ltd. Address before: 100085 Beijing City, Haidian District Road 33, Jinshan building Xiaoying Co-patentee before: CONEW NETWORK TECHNOLOGY (BEIJING) Co.,Ltd. Patentee before: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd. Co-patentee before: SHELL INTERNET (BEIJING) SECURITY TECHNOLOGY Co.,Ltd. |
|
| CP01 | Change in the name or title of a patent holder |