CN103559438A - 进程识别方法及系统 - Google Patents
进程识别方法及系统 Download PDFInfo
- Publication number
- CN103559438A CN103559438A CN201310530137.3A CN201310530137A CN103559438A CN 103559438 A CN103559438 A CN 103559438A CN 201310530137 A CN201310530137 A CN 201310530137A CN 103559438 A CN103559438 A CN 103559438A
- Authority
- CN
- China
- Prior art keywords
- file
- legal
- target process
- value
- identifier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/51—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明适用于计算机技术领域,提供了一种进程识别方法,包括如下步骤:信息采集步骤,采集目标进程的PE文件所述PE文件的属性信息;加密计算步骤,对所述PE文件和所述属性信息进行加密算法计算,获得对应的特征值;进程识别步骤,将所述特征值与预存的效验值进行比较,以识别所述目标进程是否为合法进程。相应地,本发明还提供一种进程识别系统。借此,本发明具有识别准确性高、识别效率高、安全性强的优点。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种进程识别方法及系统。
背景技术
进程在启动过程中,要经过系统的多次检查,比如进程映像文件的完整性、可运行系统的子系统环境、需要导入的外部动态链接库、安全描述符、系统资源等,然后才能向系统申请到所需的各类资源(内存、外设等),并建立该进程的主线程来完成具体的工作。
系统如对运行在内部的所有线程行为不再做任何管控,其中一些非法的线程就可能会进行破坏系统的稳定性、干扰其他线程的正常运行、盗取用户电脑上的资料等程序。因此,需要对线程所属的进程身份进行鉴定,确保对非法的进程进行处理。
在当下经济的高速发展下,企业的信息越来越重要,为防止非法进程,比如:病毒、木马等,窃取企业机密,提出了一些解决方案:
一、依靠进程名来识别进程,但该方法无法有效识别伪造进程名的非法进程。
二、通过校验进程映像文件的杂凑值,比如:MD5(Message-Digestalgorithm5,信息摘要算法)值等识别进程,但当进程映像文件过大时会导致计算时间过长,效率低下。
综上可知,现有技术在实际使用上显然存在不便与缺陷,所以有必要加以改进。
发明内容
针对上述的缺陷,本发明的目的在于提供一种进程识别方法及系统,其具有识别准确性高、识别效率高、安全性强的优点。
为了实现上述目的,本发明提供一种进程识别方法,包括如下步骤:
信息采集步骤,采集目标进程的PE文件所述PE文件的属性信息;
加密计算步骤,对所述PE文件和所述属性信息进行加密算法计算,获得对应的特征值;
进程识别步骤,将所述特征值与预存的效验值进行比较,以识别所述目标进程是否为合法进程。
根据本发明所述的进程识别方法,所述信息采集步骤进一步包括:
获取所述目标进程的所述PE文件的文件大小数值;
将所述文件大小数值与一预存的阈值进行比较;
若所述文件大小数值大于所述阈值,则采集所述目标进程的所述PE文件的预定部分内容和所述属性信息,否则采集所述目标进程的整个所述PE文件和所述属性信息。
根据本发明所述的进程识别方法,所述PE文件的所述预定部分内容包括:固定大小数值的一头部文件段、一中部文件段和一尾部文件段。
根据本发明所述的进程识别方法,所述属性信息包括所述PE文件的版本号、文件大小和/或数字签名;和/或
所述加密算法计算采用SHA1值计算。
根据本发明所述的进程识别方法,所述进程识别步骤进一步包括:
将所述特征值与预存的白名单进程的所述效验值进行比较;
若所述特征值与所述效验值相符,则将所述目标进程识别为合法进程,否则将所述目标进程识别为非法进程。
根据本发明所述的进程识别方法,所述信息采集步骤之前还包括:
获取所述目标进程的进程标识符;
判断所述目标进程的所述进程标识符是否存在于一合法进程标识符数据库中,若存在则判定所述目标进程合法,否则继续进行所述信息采集步骤;
在所述进程识别步骤中,若所述目标进程判断为合法进程,则还包括步骤有:
将所述目标进程的所述进程标识符存入所述合法进程标识符数据库。
本发明还提供一种进程识别系统,包括有:
信息采集模块,用于采集目标进程的PE文件所述PE文件的属性信息;
加密计算模块,用于对所述PE文件和所述属性信息进行加密算法计算,获得对应的特征值;
进程识别模块,用于将所述特征值与预存的效验值进行比较,以识别所述目标进程是否为合法进程。
根据本发明所述的进程识别系统,所述信息采集模块进一步包括:
数值获取子模块,用于获取所述目标进程的所述PE文件的文件大小数值;
数值比较子模块,用于将所述文件大小数值与一预存的阈值进行比较;
信息采集子模块,用于若所述文件大小数值大于所述阈值,则采集所述目标进程的所述PE文件的预定部分内容和所述属性信息,否则采集所述目标进程的整个所述PE文件和所述属性信息。
根据本发明所述的进程识别系统,所述PE文件的所述预定部分内容包括:固定大小数值的一头部文件段、一中部文件段和一尾部文件段。
根据本发明所述的进程识别系统,所述属性信息包括所述PE文件的版本号、文件大小和/或数字签名;和/或
所述加密算法计算采用SHA1值计算。
根据本发明所述的进程识别系统,所述进程识别模块进一步包括:
特征值比较子模块,用于将所述特征值与预存的白名单进程的所述效验值进行比较;
进程识别子模块,用于若所述特征值与所述效验值相符,则将所述目标进程识别为合法进程,否则将所述目标进程识别为非法进程。
根据本发明所述的进程识别系统,还包括有:
标识符获取模块,用于在执行所述信息采集模块之前,获取所述目标进程的进程标识符;
标识符判断模块,用于判断所述目标进程的所述进程标识符是否存在于一合法进程标识符数据库中,若存在则判定所述目标进程合法,否则交由所述信息采集模块处理;
标识符存储模块,用于若所述进程识别模块判断出所述目标进程判断为合法进程时,则将所述目标进程的所述进程标识符存入所述合法进程标识符数据库。
本发明提供一种基于信息摘要的进程识别技术,采集PE文件及其属性信息进行加密算法计算,获得对应的特征值,再将所述特征值与预存的效验值进行比较并识别目标进程是合法进程或是非法进程,其并不只依靠进程名进行进程识别,可有效识别伪造进程名的非法进程,使得进程识别的准确性更高。本发明优选在采集PE文件时先进行PE文件大小的判断,对于大于设定范围的PE文件只采集预定部分内容,在保证识别精准度的前提下,大幅度减少了检验时间,加快了整个识别过程的速度。本发明优选采用SHA1值计算,SHA1值具有唯一性,不可伪造,从而提高了进程识别的安全性。更好的是,本发明将判定为合法进程的进程标识符存入一合法进程标识符数据库,使得下一次对同一目标进程进行识别时可直接根据进程标识符进行识别,省去了对同一进程进行重复判断的过程,避免了识别的重复性,从而减少了识别进程所需的时间,加快了识别速度。
附图说明
图1是本发明进程识别系统的结构示意图;
图2是本发明优选进程识别系统的结构示意图;
图3是本发明进程识别方法的流程图;
图4是本发明第一实施例中进程识别方法的流程图;
图5是本发明第二实施例中进程识别方法的流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
图1是本发明进程识别系统的结构示意图,所述进程识别系统100包括有信息采集模块10、加密计算模块20以及进程识别模块30,其中:
所述信息采集模块10,用于采集目标进程的PE文件(PortableExecute,可移植执行文件)所述PE文件的属性信息。优选的是,所述属性信息包括所述PE文件的版本号、文件大小和/或数字签名等。
所述加密计算模块20,用于对所述PE文件和属性信息进行加密算法计算,获得对应的特征值。优选的是,所述加密算法计算采用SHA1(Secure Hash Algorithm,安全哈希算法)值计算,SHA1值具有唯一性,不可伪造,从而提高了进程识别的安全性。
所述进程识别模块30,用于将所述特征值与预存的效验值进行比较,以识别所述目标进程是否为合法进程。
本发明优选采用的是文件过滤驱动,采用微软封装的Minifilter的框架实现,在所有线程通过CreateFile函数打开文件或设备时,在PreCreate回调函数中可以对要访问的目的文件及发起访问的线程和进程等信息进行信息采集分析,从而完成进程身份的识别过程。
图2是本发明优选进程识别系统的结构示意图,所述进程识别系统100包括有信息采集模块10、加密计算模块20以及进程识别模块30,其中:
所述信息采集模块10,用于采集目标进程的PE文件所述PE文件的属性信息。所述属性信息优选包括所述PE文件的版本号、文件大小和/或数字签名等。优选的是,所述信息采集模块10进一步包括:
数值获取子模块11,用于获取所述目标进程的PE文件的文件大小数值。
数值比较子模块12,用于将所述文件大小数值与一预存的阈值进行比较。本实施例中所述阈值优选为10MB。
信息采集子模块13,用于若所述文件大小数值大于所述阈值,则采集所述目标进程的所述PE文件的预定部分内容和所述属性信息,否则采集所述目标进程的整个所述PE文件和属性信息。优选的是,所述PE文件的预定部分内容包括:固定大小数值的一头部文件段、一中部文件段和一尾部文件段。本实施例中固定大小数值为4KB。
本实施例在采集PE文件时先进行PE文件大小的判断,对于大于设定范围的PE文件只采集预定部分内容,在保证识别精准度的前提下,大幅度减少了检验时间,加快了整个识别过程的速度。
所述加密计算模块20,用于对所述PE文件和属性信息进行加密算法计算,获得对应的特征值。所述加密算法计算采用SHA1值计算。
所述进程识别模块30,用于将所述特征值与预存的效验值进行比较,以识别所述目标进程是否为合法进程。所述预存的效验值优选为预存白名单进程的效验值。更好的是,所述进程识别模块30进一步包括:
特征值比较子模块31,用于将所述特征值与预存的白名单进程的效验值进行比较。
进程识别子模块32,用于若特征值与效验值相符,则将目标进程识别为合法进程,否则将目标进程识别为非法进程。
更好的是,所述进程识别系统100还包括:
标识符获取模块40,用于在执行信息采集模块10之前,获取目标进程的进程标识符(PID)。
标识符判断模块50,用于判断目标进程的进程标识符是否存在于一合法进程标识符数据库中,若存在则判定所述目标进程合法,否则交由信息采集模块10继续处理。
标识符存储模块60,用于若进程识别模块30判断出目标进程判断为合法进程时,则将所述目标进程的所述进程标识符存入所述合法进程标识符数据库。
本实施例将判定为合法进程的进程标识符存入一合法进程标识符数据库,使得下一次对同一目标进程进行识别时可直接根据进程标识符进行识别,省去了对同一进程进行重复判断的过程,避免了识别的重复性,从而减少了识别进程所需的时间,加快了识别速度。
图3是本发明进程识别方法的流程图,其可通过如图1或图2所示的进程识别系统100实现,所述方法包括如下步骤:
步骤S301,信息采集步骤,采集目标进程的PE文件和PE文件的属性信息。优选的是,所述属性信息包括PE文件的版本号、文件大小和/或数字签名等。
步骤S302,加密计算步骤,对PE文件和属性信息进行加密算法计算,获得对应的特征值。优选的是,所述加密算法计算采用SHA1值计算,SHA1值具有唯一性,不可伪造,从而提高了进程识别的安全性。
步骤S303,进程识别步骤,将特征值与预存的效验值进行比较,以识别目标进程是否为合法进程。
图4是本发明第一实施例中进程识别方法的流程图,其可通过如图2所示的进程识别系统100实现,所述方法包括如下步骤:
步骤S401,获取目标进程的进程标识符(PID)。
步骤S402,判断目标进程的进程标识符是否存在于一合法进程标识符数据库中,若存在则执行步骤S403,否则执行步骤S404。
步骤S403,判定目标进程合法。
步骤S404,采集目标进程的PE文件和PE文件的属性信息。优选的是,所述属性信息包括PE文件的版本号、文件大小和/或数字签名等。
步骤S405,对PE文件和属性信息进行SHA1值计算,获得对应的特征值。
步骤S406,判断特征值与预存的效验值是否相符,若是则执行步骤S408,否则执行步骤S407。所述预存的效验值优选为预存白名单进程的效验值。
步骤S407,若特征值与效验值不相符,则将目标进程识别为非法进程。
步骤S408,若特征值与效验值相符,则将目标进程识别为合法进程。
步骤S409,将目标进程的进程标识符存入合法进程标识符数据库。
本实施例将判定为合法进程的进程标识符存入一合法进程标识符数据库,使得下一次对同一目标进程进行识别时可直接根据进程标识符进行识别,省去了对同一进程进行重复判断的过程,避免了识别的重复性,从而减少了识别进程所需的时间,加快了识别速度。
图5是本发明第二实施例中进程识别方法的流程图,其可通过如图2所示的进程识别系统100实现,所述方法包括如下步骤:
步骤S501,获取目标进程的进程标识符(PID)。
步骤S502,判断目标进程的进程标识符是否存在于一合法进程标识符数据库中,若存在则执行步骤S503,否则执行步骤S504。
步骤S503,判定目标进程合法。
步骤S504,获取目标进程的PE文件的文件大小数值。
步骤S505,将文件大小数值与一预存的阈值进行比较,判断文件大小数值是否大于阈值,若是则执行步骤S506,否则执行步骤S507。本实施例中所述阈值优选为10MB。
步骤S506,若文件大小数值大于阈值,则采集目标进程的PE文件的预定部分内容和属性信息。优选的是,所述固定大小数值的一头部文件段、一中部文件段和一尾部文件段。本实施例中固定大小数值优选为4KB。
本实施例在采集PE文件时先进行PE文件大小的判断,对于大于设定范围的PE文件只采集预定部分内容,在保证识别精准度的前提下,大幅度减少了检验时间,加快了整个识别过程的速度。
步骤S507,若文件大小数值小于或等于阈值,则采集目标进程的整个PE文件和属性信息。优选的是,所述属性信息包括PE文件的版本号、文件大小和/或数字签名等。
步骤S508,对PE文件(或PE文件的预定部分内容)和属性信息进行加密算法计算,获得对应的特征值。优选的是,所述加密算法计算采用SHA1值计算。
步骤S509,将特征值与预存的白名单进程的效验值进行比较是否相符,若是则执行步骤S511,否则执行步骤S510。
步骤S510,若特征值与效验值不相符,则将目标进程识别为非法进程。
步骤S511,若特征值与效验值相符,则将目标进程识别为合法进程。
步骤S512,将目标进程的进程标识符存入合法进程标识符数据库。
综上所述,本发明提供一种基于信息摘要的进程识别技术,采集PE文件及其属性信息进行加密算法计算,获得对应的特征值,再将所述特征值与预存的效验值进行比较并识别目标进程是合法进程或是非法进程,其并不只依靠进程名进行进程识别,可有效识别伪造进程名的非法进程,使得进程识别的准确性更高。本发明优选在采集PE文件时先进行PE文件大小的判断,对于大于设定范围的PE文件只采集预定部分内容,在保证识别精准度的前提下,大幅度减少了检验时间,加快了整个识别过程的速度。本发明优选采用SHA1值计算,SHA1值具有唯一性,不可伪造,从而提高了进程识别的安全性。更好的是,本发明将判定为合法进程的进程标识符存入一合法进程标识符数据库,使得下一次对同一目标进程进行识别时可直接根据进程标识符进行识别,省去了对同一进程进行重复判断的过程,避免了识别的重复性,从而减少了识别进程所需的时间,加快了识别速度。
当然,本发明还可有其它多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
Claims (12)
1.一种进程识别方法,其特征在于,包括如下步骤:
信息采集步骤,采集目标进程的PE文件所述PE文件的属性信息;
加密计算步骤,对所述PE文件和所述属性信息进行加密算法计算,获得对应的特征值;
进程识别步骤,将所述特征值与预存的效验值进行比较,以识别所述目标进程是否为合法进程。
2.根据权利要求1所述的进程识别方法,其特征在于,所述信息采集步骤进一步包括:
获取所述目标进程的所述PE文件的文件大小数值;
将所述文件大小数值与一预存的阈值进行比较;
若所述文件大小数值大于所述阈值,则采集所述目标进程的所述PE文件的预定部分内容和所述属性信息,否则采集所述目标进程的整个所述PE文件和所述属性信息。
3.根据权利要求2所述的进程识别方法,其特征在于,所述PE文件的所述预定部分内容包括:固定大小数值的一头部文件段、一中部文件段和一尾部文件段。
4.根据权利要求1所述的进程识别方法,其特征在于,所述属性信息包括所述PE文件的版本号、文件大小和/或数字签名;和/或
所述加密算法计算采用SHA1值计算。
5.根据权利要求1所述的进程识别方法,其特征在于,所述进程识别步骤进一步包括:
将所述特征值与预存的白名单进程的所述效验值进行比较;
若所述特征值与所述效验值相符,则将所述目标进程识别为合法进程,否则将所述目标进程识别为非法进程。
6.根据权利要求1~5任一项所述的进程识别方法,其特征在于,所述信息采集步骤之前还包括:
获取所述目标进程的进程标识符;
判断所述目标进程的所述进程标识符是否存在于一合法进程标识符数据库中,若存在则判定所述目标进程合法,否则继续进行所述信息采集步骤;
在所述进程识别步骤中,若所述目标进程判断为合法进程,则还包括步骤有:
将所述目标进程的所述进程标识符存入所述合法进程标识符数据库。
7.一种进程识别系统,其特征在于,包括有:
信息采集模块,用于采集目标进程的PE文件所述PE文件的属性信息;
加密计算模块,用于对所述PE文件和所述属性信息进行加密算法计算,获得对应的特征值;
进程识别模块,用于将所述特征值与预存的效验值进行比较,以识别所述目标进程是否为合法进程。
8.根据权利要求7所述的进程识别系统,其特征在于,所述信息采集模块进一步包括:
数值获取子模块,用于获取所述目标进程的所述PE文件的文件大小数值;
数值比较子模块,用于将所述文件大小数值与一预存的阈值进行比较;
信息采集子模块,用于若所述文件大小数值大于所述阈值,则采集所述目标进程的所述PE文件的预定部分内容和所述属性信息,否则采集所述目标进程的整个所述PE文件和所述属性信息。
9.根据权利要求8所述的进程识别系统,其特征在于,所述PE文件的所述预定部分内容包括:固定大小数值的一头部文件段、一中部文件段和一尾部文件段。
10.根据权利要求7所述的进程识别系统,其特征在于,所述属性信息包括所述PE文件的版本号、文件大小和/或数字签名;和/或
所述加密算法计算采用SHA1值计算。
11.根据权利要求7所述的进程识别系统,其特征在于,所述进程识别模块进一步包括:
特征值比较子模块,用于将所述特征值与预存的白名单进程的所述效验值进行比较;
进程识别子模块,用于若所述特征值与所述效验值相符,则将所述目标进程识别为合法进程,否则将所述目标进程识别为非法进程。
12.根据权利要求7~11任一项所述的进程识别系统,其特征在于,还包括有:
标识符获取模块,用于在执行所述信息采集模块之前,获取所述目标进程的进程标识符;
标识符判断模块,用于判断所述目标进程的所述进程标识符是否存在于一合法进程标识符数据库中,若存在则判定所述目标进程合法,否则交由所述信息采集模块处理;
标识符存储模块,用于若所述进程识别模块判断出所述目标进程判断为合法进程时,则将所述目标进程的所述进程标识符存入所述合法进程标识符数据库。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310530137.3A CN103559438A (zh) | 2013-10-31 | 2013-10-31 | 进程识别方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310530137.3A CN103559438A (zh) | 2013-10-31 | 2013-10-31 | 进程识别方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103559438A true CN103559438A (zh) | 2014-02-05 |
Family
ID=50013684
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310530137.3A Pending CN103559438A (zh) | 2013-10-31 | 2013-10-31 | 进程识别方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103559438A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103886258A (zh) * | 2014-03-10 | 2014-06-25 | 珠海市君天电子科技有限公司 | 一种病毒检测方法及装置 |
| CN103886229A (zh) * | 2014-03-10 | 2014-06-25 | 珠海市君天电子科技有限公司 | 一种提取pe文件特征的方法及装置 |
| CN106878240A (zh) * | 2015-12-14 | 2017-06-20 | 阿里巴巴集团控股有限公司 | 僵尸主机识别方法及装置 |
| CN110443050A (zh) * | 2019-07-26 | 2019-11-12 | 武汉天喻软件股份有限公司 | 一种文件透明加解密系统中的伪造进程的处理方法和系统 |
| CN111310180A (zh) * | 2020-02-18 | 2020-06-19 | 上海迅软信息科技有限公司 | 一种企业信息安全用计算机进程防冒充方法 |
| CN111931192A (zh) * | 2020-09-10 | 2020-11-13 | 杭州海康威视数字技术股份有限公司 | rootkit检测方法、装置及电子设备 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102004879A (zh) * | 2010-11-22 | 2011-04-06 | 北京北信源软件股份有限公司 | 一种识别可信任进程的方法 |
| CN102609664A (zh) * | 2012-01-19 | 2012-07-25 | 杭州万用密宝科技有限公司 | 基于可执行体的进程指纹智能识别与模糊采集系统及其方法 |
| CN102664875A (zh) * | 2012-03-31 | 2012-09-12 | 华中科技大学 | 基于云模式的恶意代码类别检测方法 |
| CN102855274A (zh) * | 2012-07-17 | 2013-01-02 | 北京奇虎科技有限公司 | 一种可疑进程检测的方法和装置 |
| CN103065092A (zh) * | 2012-12-24 | 2013-04-24 | 公安部第一研究所 | 一种拦截可疑程序运行的方法 |
| CN103235912A (zh) * | 2013-04-12 | 2013-08-07 | 福建伊时代信息科技股份有限公司 | 可信进程识别装置和可信进程识别方法 |
-
2013
- 2013-10-31 CN CN201310530137.3A patent/CN103559438A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102004879A (zh) * | 2010-11-22 | 2011-04-06 | 北京北信源软件股份有限公司 | 一种识别可信任进程的方法 |
| CN102609664A (zh) * | 2012-01-19 | 2012-07-25 | 杭州万用密宝科技有限公司 | 基于可执行体的进程指纹智能识别与模糊采集系统及其方法 |
| CN102664875A (zh) * | 2012-03-31 | 2012-09-12 | 华中科技大学 | 基于云模式的恶意代码类别检测方法 |
| CN102855274A (zh) * | 2012-07-17 | 2013-01-02 | 北京奇虎科技有限公司 | 一种可疑进程检测的方法和装置 |
| CN103065092A (zh) * | 2012-12-24 | 2013-04-24 | 公安部第一研究所 | 一种拦截可疑程序运行的方法 |
| CN103235912A (zh) * | 2013-04-12 | 2013-08-07 | 福建伊时代信息科技股份有限公司 | 可信进程识别装置和可信进程识别方法 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103886258A (zh) * | 2014-03-10 | 2014-06-25 | 珠海市君天电子科技有限公司 | 一种病毒检测方法及装置 |
| CN103886229A (zh) * | 2014-03-10 | 2014-06-25 | 珠海市君天电子科技有限公司 | 一种提取pe文件特征的方法及装置 |
| CN103886229B (zh) * | 2014-03-10 | 2017-01-04 | 珠海市君天电子科技有限公司 | 一种提取pe文件特征的方法及装置 |
| CN106878240A (zh) * | 2015-12-14 | 2017-06-20 | 阿里巴巴集团控股有限公司 | 僵尸主机识别方法及装置 |
| CN106878240B (zh) * | 2015-12-14 | 2020-06-02 | 阿里巴巴集团控股有限公司 | 僵尸主机识别方法及装置 |
| CN110443050A (zh) * | 2019-07-26 | 2019-11-12 | 武汉天喻软件股份有限公司 | 一种文件透明加解密系统中的伪造进程的处理方法和系统 |
| CN110443050B (zh) * | 2019-07-26 | 2021-02-09 | 武汉天喻软件股份有限公司 | 一种文件透明加解密系统中的伪造进程的处理方法和系统 |
| CN111310180A (zh) * | 2020-02-18 | 2020-06-19 | 上海迅软信息科技有限公司 | 一种企业信息安全用计算机进程防冒充方法 |
| CN111931192A (zh) * | 2020-09-10 | 2020-11-13 | 杭州海康威视数字技术股份有限公司 | rootkit检测方法、装置及电子设备 |
| CN111931192B (zh) * | 2020-09-10 | 2021-01-26 | 杭州海康威视数字技术股份有限公司 | rootkit检测方法、装置及电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8739287B1 (en) | Determining a security status of potentially malicious files | |
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| CN103559438A (zh) | 进程识别方法及系统 | |
| CN110138669B (zh) | 接口访问处理方法、装置、计算机设备及存储介质 | |
| US20130283377A1 (en) | Detection and prevention of installation of malicious mobile applications | |
| CN112214781B (zh) | 一种基于区块链的遥感影像大数据处理方法及系统 | |
| CN113190838A (zh) | 一种基于表达式的web攻击行为检测方法及系统 | |
| US20160335433A1 (en) | Intrusion detection system in a device comprising a first operating system and a second operating system | |
| CN113779545A (zh) | 数据跨进程共享的方法、终端设备及计算机可读存储介质 | |
| US11251976B2 (en) | Data security processing method and terminal thereof, and server | |
| CN110381114B (zh) | 接口请求参数的处理方法、装置、终端设备及介质 | |
| CN108829534B (zh) | 数据问题修复方法、装置、计算机设备和存储介质 | |
| CN116226865A (zh) | 云原生应用的安全检测方法、装置、服务器、介质及产品 | |
| CN115378806A (zh) | 流量分配方法、装置、计算机设备及存储介质 | |
| US11436331B2 (en) | Similarity hash for android executables | |
| CN114398678A (zh) | 电子文件防篡改的登记验证方法、装置、电子设备及介质 | |
| CN111159714B (zh) | 一种访问控制中主体运行时可信验证方法及系统 | |
| CN114218577A (zh) | 一种api的风险确定方法、装置、设备及介质 | |
| US10599845B2 (en) | Malicious code deactivating apparatus and method of operating the same | |
| CN107612763B (zh) | 元数据管理方法、应用服务器、业务系统、介质及控制器 | |
| CN107103254B (zh) | 加密程序识别方法及装置、电子设备 | |
| US20230244786A1 (en) | File integrity monitoring | |
| CN110569646B (zh) | 文件识别方法及介质 | |
| CN117290823B (zh) | 一种app智能检测与安全防护方法、计算机设备及介质 | |
| US20230094066A1 (en) | Computer-implemented systems and methods for application identification and authentication |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C53 | Correction of patent of invention or patent application | ||
| CB02 | Change of applicant information |
Address after: 201203, 18 building, 88 Darwin Road, Zhangjiang hi tech park, Shanghai, Pudong New Area, 1 Applicant after: The upper marine infotech share company limited of interrogating Address before: 201203, 18 building, 88 Darwin Road, Zhangjiang hi tech park, Shanghai, Pudong New Area, 1 Applicant before: Shanghai Suninfo Technology Co., Ltd. |
|
| COR | Change of bibliographic data |
Free format text: CORRECT: APPLICANT; FROM: SHANGHAI SUNINFO TECHNOLOGY LTD. TO: SHANGHAI SUNINFO TECHNOLOGY CO., LTD. |
|
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140205 |
|
| RJ01 | Rejection of invention patent application after publication |