CN103475671B - 恶意程序检测方法 - Google Patents

恶意程序检测方法 Download PDF

Info

Publication number
CN103475671B
CN103475671B CN201310447159.3A CN201310447159A CN103475671B CN 103475671 B CN103475671 B CN 103475671B CN 201310447159 A CN201310447159 A CN 201310447159A CN 103475671 B CN103475671 B CN 103475671B
Authority
CN
China
Prior art keywords
program
behavior
white list
feature
legal procedure
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201310447159.3A
Other languages
English (en)
Other versions
CN103475671A (zh
Inventor
周鸿祎
齐向东
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Qihoo Technology Co Ltd
Original Assignee
Beijing Qihoo Technology Co Ltd
Qizhi Software Beijing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Qihoo Technology Co Ltd, Qizhi Software Beijing Co Ltd filed Critical Beijing Qihoo Technology Co Ltd
Priority to CN201310447159.3A priority Critical patent/CN103475671B/zh
Priority claimed from CN2010102569733A external-priority patent/CN101924761B/zh
Publication of CN103475671A publication Critical patent/CN103475671A/zh
Application granted granted Critical
Publication of CN103475671B publication Critical patent/CN103475671B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Stored Programmes (AREA)

Abstract

本发明公开了一种恶意程序检测方法,包括:服务器端的数据库建立合法程序的白名单并进行收集更新;客户端对一程序的程序特征和/或程序行为进行收集并发送到服务器端进行查询,服务器端根据所述程序特征和/或程序行为在所述白名单中进行分析比对,根据比对结果对所述程序的合法性或信任值进行判定并反馈给所述客户端。本发明通过使用白名单对合法程序进行判定,从而将不属于白名单范畴的非合法程序判定为恶意程序,从另一角度进行恶意程序的判定查杀。

Description

恶意程序检测方法
本发明专利申请是申请日为2010年8月18日、申请号为201010256973.3、名称为“一种依据白名单进行恶意程序检测的方法”的中国发明专利申请的分案申请。
技术领域
本发明属于网络安全领域,具体地说,涉及一种恶意程序检测方法。
背景技术
传统的恶意程序防杀主要依赖于特征库模式。特征库是由厂商收集到的恶意程序样本的特征码组成,而特征码则是分析工程师从恶意程序中找到和正当软件的不同之处,截取一段类似于“搜索关键词”的程序代码。当查杀过程中,引擎会读取文件并与特征库中的所有特征码“关键词”进行匹配,如果发现文件程序代码被命中,就可以判定该文件程序为恶意程序。
之后又衍生出了在本地启发式杀毒的方式,是以特定方式实现的动态高度器或反编译器,通过对有关指令序列的反编译逐步理解和确定其蕴藏的真正动机。恶意程序和正常程序的区别可以体现在许多方面,比如:通常一个应用程序在最初的指令,是检查命令行输入有无参数项、清屏和保存原来屏幕显示等,而恶意程序通常最初的指令则是直接写盘操作、解码指令,或搜索某路径下的可执行程序等相关操作指令序列。这些显著的不同之处,一个熟练的程序员在调试状态下只需一瞥便可一目了然。启发式代码扫描技术实际上就是把这种经验和知识移植到一个查杀病毒软件中的具体程序体现。
但是上述查杀恶意软件的方法都是基于恶意行为和/或恶意特征,先对一个程序判定其是否为恶意程序,然后再决定是否进行查杀或者清理。这就不可避免导致出现了如下弊端。
据统计,现今全球恶意程序数量呈几何级增长,基于这种爆发式的增速,特征库的生成与更新往往是滞后的,特征库中恶意程序的特征码的补充跟不上层出不穷的未知恶意程序。
另外,近年来,随着恶意程序制作者对免杀技术的应用,通过对恶意程序加壳或修改该恶意程序的特征码的手法越来越多的出现;以及许多木马程序采用了更多更频繁快速的自动变形,这些都导致通过恶意行为和/或恶意特征对恶意程序进行判定的难度越来越大,从而引起对恶意程序的查杀或清理的困难。
发明内容
有鉴于此,本发明所要解决的技术问题是提供了一种依据白名单进行恶意程序检测的方法,不依赖于本地数据库,并且基于对合法程序的认定来反向判定恶意程序。
为了解决上述技术问题,本发明公开了一种依据白名单进行恶意程序检测的方法,包括:服务器端的数据库建立合法程序的白名单并进行收集更新;客户端对一程序的程序特征和/或程序行为进行收集并发送到服务器端进行查询,服务器端根据所述程序特征和/或程序行为在所述白名单中进行分析比对,根据比对结果对所述程序的合法性或信任值进行判定并反馈给所述客户端。
进一步地,所述服务器端根据所述程序特征和/或程序行为,与所述白名单中保存的合法程序特征和/或合法程序行为进行比对,如果命中,则判定所述程序为合法程序,并反馈给所述客户端;如果没有命中,则判定所述程序为恶意程序,并反馈给所述客户端。
进一步地,所述服务器端根据程序的一组程序特征和/或一组程序行为,与所述白名单中保存的合法程序特征和/或合法程序行为进行比对,根据命中的程度,对所述程序赋予一信任值,并将所述信任值反馈给所述客户端;所述客户端预设一阈值,根据所述信任值与所述阈值进行比对,如果所述信任值不小于所述阈值,则判定所述所述程序为合法程序,如果所述信任值小于所述阈值,则判定所述程序为恶意程序。
进一步地,如果所述一组程序特征和/或一组程序行为在所述白名单中全部命中,则所述服务器端对所述程序赋予一最高信任值;如果所述一组程序特征和/或一组程序行为在所述白名单中全部未命中,则所述服务器端对所述程序赋予一最低信任值。
进一步地,还包括:所述客户端根据所述判定结果决定对恶意程序行为进行拦截、终止执行该恶意程序和/或清理该恶意程序,恢复系统环境。
进一步地,还包括:所述客户端根据所述判定结果并结合所述恶意程序的属性,决定是否对该恶意程序行为进行拦截、终止执行该恶意程序和/或清理该恶意程序。
进一步地,所述属性,包括:所述恶意程序是否为自启动程序和/或所述恶意程序是否存在于系统目录内。
进一步地,所述服务器端的数据库对合法程序的白名单进行收集更新的步骤,包括:周期性通过手工、利用蜘蛛或网络爬虫和/或用户上传对合法程序进行收集;通过手工或通过工具自动甄别所述合法程序的程序特征和或程序行为并保存在所述白名单中。
进一步地,所述服务器端的数据库对合法程序的白名单进行收集更新的步骤,包括:根据现有已知白名单中的合法程序特征及其对应的程序行为,对未知程序特征及程序行为进行分析,以更新白名单。
进一步地,所述程序特征,包括:程序文件内的静态特征和/或静态特征串。
进一步地,所述对未知程序特征及其程序行为进行分析的步骤,包括:如果未知程序特征与现有白名单中的已知程序特征相同,则将该未知程序特征及其程序行为列入白名单;如果未知程序行为与现有白名单中的已知程序行为相同或近似,则将该未知程序行为及其程序特征列入白名单;当某程序行为被列入白名单时,在数据库中将该程序行为对应的程序特征列入白名单,并将与该程序行为有关联关系的其他程序行为和程序特征也列入白名单;和/或当某程序特征被列入白名单时,在数据库中将该程序特征对应的程序行为列入白名单,并将与该程序特征有关联关系的其他程序行为和程序特征也列入白名单。
进一步地,还包括:在具有相同或近似行为的程序之间建立行为与特征的关联关系,根据所述具有相同或近似行为的程序之间的关联关系,对未知程序特征及程序行为进行分析,以更新白名单。
与现有的方案相比,本发明所获得的技术效果:
本发明通过使用白名单对合法程序进行判定,从而将不属于白名单范畴的非合法程序判定为恶意程序,从另一角度进行恶意程序的判定查杀;
同时引入云安全架构,将所有“云安全”客户端与“云安全”服务器实时连接,将合法程序的判定分析放在服务器端完成;
另外,本发明还通过客户端收集程序行为并关联到程序特征,从而在数据库中记录程序特征及其对应的程序行为,根据收集到的程序行为和程序特征的关联关系,可以在数据库中对样本进行分析归纳,从而有助于对软件或程序进行合法判别。
附图说明
图1为本发明的实施模式示意图;
图2本发明的依据白名单进行恶意程序检测的方法流程图;
图3为根据本发明实施例所述的关联关系示意图。
具体实施方式
以下将配合图式及实施例来详细说明本发明的实施方式,藉此对本发明如何应用技术手段来解决技术问题并达成技术功效的实现过程能充分理解并据以实施。
本发明的核心构思在于:服务器端的数据库建立合法程序的白名单并进行收集更新;客户端对一程序的程序特征和/或程序行为进行收集并发送到服务器端进行查询,服务器端根据所述程序特征和/或程序行为在所述白名单中进行分析比对,根据比对结果对所述程序进行判定并反馈给所述客户端。
下面对于由大量客户端计算机102-服务器端104构成的云安全模式下的白名单检测恶意程序方法进行说明。云结构就是一个大型的客户端/服务器(CS)架构,如图1所示,为本发明的实施模式示意图。
参考图2为本发明的依据白名单进行恶意程序检测的方法流程图,包括:
S1,服务器端的数据库建立合法程序的白名单并进行收集更新;
S2,客户端对一程序的程序特征和/或程序行为进行收集并发送到服务器端进行查询;
S3,服务器端根据所述程序特征和/或程序行为在所述白名单中进行分析比对,根据比对结果对所述程序进行判定并反馈给所述客户端;
S4,所述客户端根据所述判定结果决定对恶意程序行为进行拦截、终止执行该恶意程序和/或清理该恶意程序,恢复系统环境;或者
所述客户端根据所述判定结果并结合所述恶意程序的属性,决定是否对该恶意程序行为进行拦截、终止执行该恶意程序和/或清理该恶意程序;
所述属性,包括:所述恶意程序是否为自启动程序和/或所述恶意程序是否存在于系统目录内。
对于步骤S3,可以具体由以下方式实现。
第一方式:所述服务器端根据所述程序特征和/或程序行为,与所述白名单中保存的合法程序特征和/或合法程序行为进行比对,如果命中,则判定所述程序为合法程序,并反馈给所述客户端;如果没有命中,则判定所述程序为恶意程序,并反馈给所述客户端。
第二方式:所述服务器端根据程序的一组程序特征和/或一组程序行为,与所述白名单中保存的合法程序特征和/或合法程序行为进行比对,根据命中的程度,对所述程序赋予一信任值,并将所述信任值反馈给所述客户端;所述客户端预设一阈值,根据所述信任值与所述阈值进行比对,如果所述信任值不小于所述阈值,则判定所述所述程序为合法程序,如果所述信任值小于所述阈值,则判定所述程序为恶意程序。
对于信任值的设定,如果所述一组程序特征和/或一组程序行为在所述白名单中全部命中,则所述服务器端对所述程序赋予一最高信任值;如果所述一组程序特征和/或一组程序行为在所述白名单中全部未命中,则所述服务器端对所述程序赋予一最低信任值;处于上述两命中率之间的程序按所述上述趋势设定。
对于步骤S1,所述服务器端的数据库对合法程序的白名单进行收集更新的步骤,可以由以下方式实现。
第一方式:由技术人员周期性通过手工、利用蜘蛛或网络爬虫和/或用户上传对合法程序进行收集;通过手工或通过工具自动甄别所述合法程序的程序特征和或程序行为并保存在所述白名单中。
第二方式:根据现有已知白名单中的合法程序特征及其对应的程序行为,对未知程序特征及程序行为进行分析,以更新白名单。
所述程序特征,可以是程序文件内的静态特征,如经由MD5(Message-DigestAlgorithm5,信息-摘要算法)运算得出的MD5验证码,或SHA1码,或CRC(Cyclic RedundancyCheck,循环冗余校验)码等可唯一标识原程序的特征码;也可以是程序文件内的静态特征串。
下面对于第二方式中服务器端的数据库白名单的构建及动态维护进行下说明。
其处理思路主要是:根据现有已知白名单中的程序特征及其对应的程序行为,对未知程序特征及程序行为进行分析,以更新白名单。这种对比分析有时候不需要对程序的行为本身做追踪分析,只需要简单的与现有白名单中的已知程序行为做比对即可判定未知程序的性质。
由于在数据库中记录了程序特征及该特征对应的行为记录,因此可以结合已知白名单对未知程序进行分析。
例如,如果未知程序特征与现有白名单中的已知程序特征相同,则将该未知程序特征及其程序行为都列入白名单。
如果未知程序行为与现有白名单中的已知程序行为相同或近似,则将该未知程序行为及其程序特征都列入白名单。
通过数据库中的记录分析,我们可以发现,有一些程序的行为相同或近似,但程序特征不同,这时,只要我们在具有相同或近似行为的程序之间建立行为与特征的关联关系,并根据这种关联关系,就可以更便捷的对未知程序特征及程序行为进行分析,以更新白名单。
如图3所示,为根据本发明实施例所述的关联关系示意图。假设未知程序A、B和C的特征分别为A、B和C,其各自对应的程序行为为A1~A4,B1~B4,C1~C4。如果经过分析发现程序行为A1~A4,B1~B4,C1~C4之间实质上相同或非常近似,那么就可以在特征A、B、C和行为A1~A4,B1~B4,C1~C4之间建立特征与行为的关联关系。
通过这种关联关系,在某些条件下可以更加快捷的自扩展的对数据库进行维护。例如,当程序B的程序行为B1~B4被确认为合法程序行为并被列入白名单时,可以在数据库中自动将与该程序行为对应的程序特征B列入白名单,同时,根据关联关系,可以自动将与该程序行为有关联关系的程序行为A1~A4,C1~C4及对应的程序特征A,特征C也列入白名单。
再例如,如果最初时程序A、B和C都属于黑白未知的程序,而经由其他病毒查杀途径,程序特征B首先被确认为属于合法程序的特征,则在数据库中可以自动将行为B1~B4的组合列入白名单,还可以根据关联关系,将具有相同或近似行为的特征A和C也列入白名单,并将程序行为A1~A4,C1~C4也列入白名单。
本发明由于在数据库中记录了程序特征对应的行为,这就使得对未知程序的行为分析提供了很大的便利。本发明上述分析方法不限于此,还可以利用类似于决策树,贝叶斯算法,神经网域计算等方法,或者使用简单的阈值分析,都可以在本发明的数据库基础上得到很好的应用。
上述说明示出并描述了本发明的若干优选实施例,但如前所述,应当理解本发明并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、修改和环境,并能够在本文所述发明构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发明所附权利要求的保护范围内。

Claims (7)

1.一种恶意程序检测方法,其包括:
建立合法程序的白名单并对所述白名单进行更新,其中,所述白名单保存合法程序行为,或者,合法程序特征和合法程序行为;
收集一程序的合法程序行为,或者,程序特征和程序行为;
将收集的所述程序的合法程序行为,或者,程序特征和程序行为与所述白名单中的合法程序行为,或者,合法程序特征和合法程序行为进行比对并根据比对结果判断所述程序是否为恶意程序;
根据判定结果并结合所述恶意程序的属性,决定是否对该恶意程序行为进行拦截、终止执行该恶意程序和/或清理该恶意程序;其中所述属性包括:所述恶意程序是否为自启动程序和/或所述恶意程序是否存在于系统目录内;
所述建立合法程序的白名单并对所述白名单进行更新进一步包括:根据现有已知白名单中的合法程序特征及其对应的程序行为,对未知程序特征及程序行为进行分析,以更新白名单。
2.如权利要求1所述的方法,其中,将收集的所述程序的合法程序行为,或者,程序特征和程序行为与所述白名单中的合法程序行为,或者,合法程序特征和合法程序行为进行比对并根据比对结果判断所述程序是否为恶意程序,进一步包括:将所述合法程序行为,或者,所述程序特征和程序行为与所述白名单中保存的合法程序行为,或者,合法程序特征和合法程序行为进行比对,如果命中,则判定所述程序为合法程序;如果没有命中,则判定所述程序为恶意程序。
3.如权利要求2所述的方法,其中,将收集的所述程序的合法程序行为,或者,程序特征和程序行为与所述白名单中的合法程序行为,或者,合法程序特征和合法程序行为进行比对并根据比对结果判断所述程序是否为恶意程序,进一步包括:将所述程序的一组合法程序行为,或者,一组程序特征和一组程序行为与所述白名单中保存的合法程序行为,或者,合法程序特征和合法程序行为进行比对,根据命中的程度,对所述程序赋予一信任值;
如果所述信任值小于预定阈值,则判定所述程序为恶意程序。
4.如权利要求3所述的方法,其中,所述信任值按下面进行赋予:
如果所述一组合法程序行为,或者,所述一组程序特征和一组程序行为在所述白名单中全部命中,则对所述程序赋予一最高信任值;
如果所述一组合法程序行为,或者,所述一组程序特征和一组程序行为在所述白名单中全部未命中,则对所述程序赋予一最低信任值。
5.如权利要求1所述的方法,其中,所述程序特征包括程序文件内的静态特征和/或静态特征串。
6.如权利要求1所述的方法,其中,所述对未知程序特征及其程序行为进行分析的步骤包括:
如果未知程序特征与现有白名单中的已知程序特征相同,则将该未知程序特征及其程序行为列入白名单;
如果未知程序行为与现有白名单中的已知程序行为相同或近似,则将该未知程序行为及其程序特征列入白名单;
当某程序行为被列入白名单时,将该程序行为对应的程序特征列入白名单,并将与该程序行为有关联关系的其他程序行为和程序特征也列入白名单;和/或
当某程序特征被列入白名单时,将该程序特征对应的程序行为列入白名单,并将与该程序特征有关联关系的其他程序行为和程序特征也列入白名单。
7.如权利要求6所述的方法,其中,所述建立合法程序的白名单并对所述白名单进行更新进一步包括:
在具有相同或近似行为的程序之间建立行为与特征的关联关系,根据所述具有相同或近似行为的程序之间的关联关系,对未知程序特征及程序行为进行分析,以更新白名单。
CN201310447159.3A 2010-08-18 2010-08-18 恶意程序检测方法 Active CN103475671B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201310447159.3A CN103475671B (zh) 2010-08-18 2010-08-18 恶意程序检测方法

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201310447159.3A CN103475671B (zh) 2010-08-18 2010-08-18 恶意程序检测方法
CN2010102569733A CN101924761B (zh) 2010-08-18 2010-08-18 一种依据白名单进行恶意程序检测的方法

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
CN2010102569733A Division CN101924761B (zh) 2010-08-18 2010-08-18 一种依据白名单进行恶意程序检测的方法

Publications (2)

Publication Number Publication Date
CN103475671A CN103475671A (zh) 2013-12-25
CN103475671B true CN103475671B (zh) 2017-12-29

Family

ID=49800367

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310447159.3A Active CN103475671B (zh) 2010-08-18 2010-08-18 恶意程序检测方法

Country Status (1)

Country Link
CN (1) CN103475671B (zh)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104978179B (zh) * 2014-04-22 2020-01-14 腾讯科技(深圳)有限公司 一种应用管理方法及装置
CN104134143B (zh) * 2014-07-15 2017-05-03 北京奇付通科技有限公司 移动支付安全的保护方法、装置及云服务器
CN104462989A (zh) * 2014-12-25 2015-03-25 宇龙计算机通信科技(深圳)有限公司 多系统间应用程序的安装方法、安装系统和终端
CN106934286B (zh) * 2015-12-31 2020-02-04 北京金山安全软件有限公司 一种安全诊断方法、装置及电子设备
CN106803037A (zh) * 2016-11-28 2017-06-06 全球能源互联网研究院 一种软件安全防护方法及装置
CN107729753A (zh) * 2017-09-22 2018-02-23 郑州云海信息技术有限公司 一种计算机未知病毒的防御方法及系统
CN109558731B (zh) * 2017-09-26 2022-04-08 腾讯科技(深圳)有限公司 特征码处理方法、装置及存储介质
CN110866253B (zh) * 2018-12-28 2022-05-27 北京安天网络安全技术有限公司 一种威胁分析方法、装置、电子设备及存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1766778A (zh) * 2004-10-29 2006-05-03 微软公司 用户可修改文件的有效白名单
US7640589B1 (en) * 2009-06-19 2009-12-29 Kaspersky Lab, Zao Detection and minimization of false positives in anti-malware processing
CN101667232A (zh) * 2009-07-13 2010-03-10 北京中软华泰信息技术有限责任公司 基于可信计算的终端可信保障系统与方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101388056B (zh) * 2008-10-20 2010-06-02 成都市华为赛门铁克科技有限公司 一种预防恶意程序的方法、系统及装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1766778A (zh) * 2004-10-29 2006-05-03 微软公司 用户可修改文件的有效白名单
US7640589B1 (en) * 2009-06-19 2009-12-29 Kaspersky Lab, Zao Detection and minimization of false positives in anti-malware processing
CN101667232A (zh) * 2009-07-13 2010-03-10 北京中软华泰信息技术有限责任公司 基于可信计算的终端可信保障系统与方法

Also Published As

Publication number Publication date
CN103475671A (zh) 2013-12-25

Similar Documents

Publication Publication Date Title
CN101924761B (zh) 一种依据白名单进行恶意程序检测的方法
CN103475671B (zh) 恶意程序检测方法
US10110619B2 (en) Method and product for providing a predictive security product and evaluating existing security products
CN103078864B (zh) 一种基于云安全的主动防御文件修复方法
Galal et al. Behavior-based features model for malware detection
CN103607381B (zh) 白名单生成及恶意程序检测方法、客户端和服务器
US8762948B1 (en) System and method for establishing rules for filtering insignificant events for analysis of software program
Rieck et al. Automatic analysis of malware behavior using machine learning
Alsulami et al. Behavioral malware classification using convolutional recurrent neural networks
CN104573515A (zh) 一种病毒处理方法、装置和系统
RU2427890C2 (ru) Система и способ сравнения файлов на основе шаблонов функциональности
Huang et al. Android malware development on public malware scanning platforms: A large-scale data-driven study
KR102120200B1 (ko) 악성 코드 수집 방법 및 시스템
CN102867038A (zh) 文件类型的确定方法和装置
Eskandari et al. To incorporate sequential dynamic features in malware detection engines
CN103501294B (zh) 判断程序是否恶意的方法
Gonzalez et al. Measuring code reuse in Android apps
Lee et al. Toward machine learning based analyses on compressed firmware
Ahmad et al. Next generation malware analysis techniques and tools
Bayer Large-scale dynamic malware analysis
CN117610001A (zh) 针对物联网恶意软件中细粒度恶意行为的自动分析方法
Umar et al. Analysis of Behavioral Artifacts of Malware for its Detection using Machine Learning
KR20170018791A (ko) 악성코드 배양을 통한 악성코드 탐지 장치 및 방법
Niu et al. Feature Code Based Android Malware Detection Method
Matin Ransomware Extraction Using Static Portable Executable (PE) Feature-Based Approach

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20220714

Address after: Room 801, 8th floor, No. 104, floors 1-19, building 2, yard 6, Jiuxianqiao Road, Chaoyang District, Beijing 100015

Patentee after: BEIJING QIHOO TECHNOLOGY Co.,Ltd.

Address before: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park)

Patentee before: BEIJING QIHOO TECHNOLOGY Co.,Ltd.

Patentee before: Qizhi software (Beijing) Co.,Ltd.