CN103632093A - 木马检测方法 - Google Patents
木马检测方法 Download PDFInfo
- Publication number
- CN103632093A CN103632093A CN201310425258.1A CN201310425258A CN103632093A CN 103632093 A CN103632093 A CN 103632093A CN 201310425258 A CN201310425258 A CN 201310425258A CN 103632093 A CN103632093 A CN 103632093A
- Authority
- CN
- China
- Prior art keywords
- file
- dll
- function
- dll file
- fingerprint
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 title claims abstract description 24
- 238000001514 detection method Methods 0.000 title abstract description 10
- 238000000034 method Methods 0.000 claims description 62
- 230000026676 system process Effects 0.000 claims description 10
- 238000012544 monitoring process Methods 0.000 claims description 7
- 238000012806 monitoring device Methods 0.000 claims description 3
- 238000012545 processing Methods 0.000 claims description 2
- 230000006870 function Effects 0.000 description 64
- 230000008569 process Effects 0.000 description 21
- 230000007246 mechanism Effects 0.000 description 15
- 230000002155 anti-virotic effect Effects 0.000 description 9
- 230000002147 killing effect Effects 0.000 description 9
- 230000004048 modification Effects 0.000 description 9
- 238000012986 modification Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 6
- 241000700605 Viruses Species 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000007613 environmental effect Effects 0.000 description 3
- 238000002513 implantation Methods 0.000 description 3
- 230000035945 sensitivity Effects 0.000 description 3
- 101150060512 SPATA6 gene Proteins 0.000 description 2
- 230000009471 action Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 230000007812 deficiency Effects 0.000 description 2
- 239000007943 implant Substances 0.000 description 2
- 230000003542 behavioural effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000013404 process transfer Methods 0.000 description 1
- 238000012163 sequencing technique Methods 0.000 description 1
- 239000000243 solution Substances 0.000 description 1
- 230000007480 spreading Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000003612 virological effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明实施例提供一种木马检测方法,该方法包括:扫描设定系统目录下的动态链接库DLL文件,判断所述DLL文件的文件指纹是否发生变化;若所述DLL文件的文件指纹发生变化,判断系统更新函数是否被调用;若所述系统更新函数未被调用,确定所述DLL文件为DLL木马。本发明实施例提供的方法可检测出通过修改系统DLL文件而植入的DLL木马。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种木马检测方法。
背景技术
随着互联网技术的不断发展,网络安全问题日益凸显,特别是木马程序的日益泛滥,直接导致用户重要数据资料,如账户、密码等信息的非法窃取或破坏。
传统的木马检测技术多采用特征码匹配技术。由于特征码匹配技术依赖于病毒库的更新完善,在应对新型病毒、木马和自变形的恶意文件时表现不佳。针对特征码匹配技术的滞后性,现有的木马检测方法多采用主动防御技术,通过监控病毒、木马常用的行为特征,如注册表文件修改、注册未知服务、实体进程运行等,识别大部分未知的病毒和木马。
木马开发者为躲避现有杀毒软件的查杀,开发了一种动态链接库(Dynamic Link Library,简称DLL)木马。所谓的DDL木马,指通过篡改系统的DLL文件,使得在系统文件运行时,系统本身的进程便会自动调用预先存储在某个目录下的远程控制实体。DLL木马由于是通过系统本身进程调用而触发,因此不需要注册服务,不需要修改注册文件,也不存在额外的运行进程。现有的木马检测方法对于该种DLL木马存在漏报现象。
发明内容
本发明提供一种木马检测方法,以检测通过修改系统DLL文件植入的DLL木马。
本发明实施例一种木马检测方法,包括:
扫描设定系统目录下的动态链接库DLL文件,判断所述DLL文件的文件指纹是否发生变化;
若所述DLL文件的文件指纹发生变化,判断系统更新函数是否被调用;
若所述系统更新函数未被调用,确定所述DLL文件为DLL木马。
本发明提供一种木马检测方法,通过扫描设定操作系统目录下的所有DLL文件,判断DLL文件的文件指纹是否发生变化,并判断文件指纹的发生变化的原因,便可检测出通过修改系统DLL文件植入的DLL木马,弥补了现有杀毒软件的不足,更好地保证用户操作系统的正常运行。
附图说明
图1为本发明实施例一所提供的木马检测方法的流程图;
图2为本发明实施例二所提供的木马检测方法的流程图;
图3为本发明实施例三所提供的木马检测方法的流程图。
具体实施方式
实施例一
本发明实施例一所提供一种木马检测方法,该方法的技术方案可作为独立的杀毒软件的程序主体,也可作为现有杀毒软件的插件,还可作为客户端浏览器的植入插件。图1为本发明实施例一提供的木马检测方法的流程图。该方法的步骤,具体包括:
步骤101、扫描设定系统目录下的DLL文件,判断所述DLL文件的文件指纹是否发生变化。若是,则执行步骤102,若否,则不进行处理,继续扫描下一个文件。
文件指纹,包括采用设定函数对文件内容计算得到散列序号、文件名时间戳的标识信息等。文件内容即该文件所包括的具体内容数据,只要文件中的某一位二进制数据发生变化,即便是微小的变化,该文件对应的文件指纹也会发生变化。
扫描该设定目录下的所有DLL文件,同时计算每个DLL文件对应的文件指纹,将计算得到每个DLL文件对应的文件指纹与预先存在的上一时刻文件指纹进行比较,继而判断DLL文件的文件指纹是否发生变化。
对于DLL木马来说,其木马的植入过程中,需要通过修改系统的DLL文件,以使得修改后的DLL文件,变为DLL木马,该修改后的DLL文件还具有原系统DLL文件的功能,以执行原系统DLL文件所对应的系统进程。因此,要检测该DLL木马,需要检测系统的DLL文件是否被修改。
然而由于DLL木马在植入过程中,通常为了隐蔽,将自身的文件名称及文件修订时间等信息,刻意的伪装成与原系统DLL文件名称、修订时间等外在的信息。但,由于文件指纹的特殊性,使得,即便外在信息与原系统DLL文件相同,但其对应的文件指纹还是发生了变化。因此,需要扫描设定系统目录下的DLL文件,判断其文件指纹是否发生变化。
需要说明的是,扫描设定系统目下DLL文件的操作可以是由用户通过杀毒软件的操作显示界面,点击“开始查杀”等操作按钮来触发,或是,还可以是根据预设的查杀时间或频率自启动扫描过程,本发明实施例不以此为限。
步骤102、若所述DLL文件的文件指纹发生变化,判断系统更新函数是否被调用。若否,则执行步骤103,若是,则表明该DLL不是木马,不进行额外处理。
步骤103、若所述系统更新函数未被调用,确定所述DLL文件为DLL木马。
具体来说,DLL文件作为被封装的操作系统可运行运用程序的可执行文件,通常不会作随意修改。
为修复原有操作系统的漏洞,以避免病毒的攻击,或提供新的具有更多实现功能的操作系统,为用户提供更好、更便捷的体验,需要对现有操作系统进行漏洞修复或者操作系统的升级。而无论是修复漏洞还是升级,无疑会造成操作系统内DLL文件的修改。当发现某个系统目录下DLL文件被修改,而此时系统更新函数也未被调用,也就是说该DLL文件的指纹变化并非是由于系统更新,那么该DLL文件则很有可能是被恶意篡改,便可以确定该DLL文件为DLL木马。
本发明实施例提供一种木马检测方法,通过扫描设定操作系统目录下的所有DLL文件,判断DLL文件的文件指纹是否发生变化,并判断文件指纹的发生变化的原因,便可检测出通过修改系统DLL文件植入的DLL木马,弥补了现有杀毒软件的不足,更好地保证用户操作系统的正常运行。
实施例二
本发明实施例二还提供一种木马检测方法,在上述实施例技术方案的基础上,该方法中所述设定系统目录为System32目录、Windows目录和系统环境变量目录中至少一个。
具体来说,对于现有Window操作系统,如Windows XP、Windows7和Windows Vista等,其大部分的系统DLL文件,也是操作系统关键进程的DLL文件被存放在System32目录下。
System32目录下的DLL文件,如Winsock.dll、Shdoclc.dll、Comres.dll由于其属于操作系统最常用的一些DLL文件,被注入修改成为DLL木马的可能性便越大。Winsock.dll为Windows操作系统的应用程序接口文件,支持很多与网络相关应用程序;Shdoclc.dll为Windows操作系统窗口及对话框设置的文件;Comres.dll为Windows操作系统的服务网络支撑文件。
System32目录下的DLL文件,如Sfc.dll、Sfc_os.dll负责系统文件的检测,可对系统的DLL文件进行自检测,因此成为DLL木马的篡改的目标文件的可能性很大。
基于上述,需扫描System32目录下的所有DLL文件,也就扫描了操作系统的大部分的DLL文件,也扫描了影响操作系统关键进程的DLL文件。而通过修改系统DLL文件注入的DLL木马,要想通过系统进程的启动而被调用,修改System32目录下的DLL文件的可能性比较大些。通过扫描System32目录下的所有DLL文件,便可检测出被篡改之后的DLL文件,从而可确定DLL木马。
System32目录位于Windows目录下,还可以扩大扫描范围,而扫描Windows目录,其检测木马的概率更高。
系统环境变量目录下存储了运行操作系统进程所需要使用到的信息。系统环境变量目录例如可以是存储应用程序的位置或路径信息的Path环境变量目录,系统进程启动之前通过该目录下的DLL文件查找需要的路径信息,进而调用对应的DLL文件来启动进程。系统环境变量目录还可以是OS环境变量目录、也可以是存储可执行命令处理程序路径的ComSpec环境变量目录等。
由于System32目录、Windows目录和系统环境变量目录作为操作系统的关键目录,是最有可能成为DLL木马的植入目标,因此,通过扫描System32目录、Windows目录和系统环境变量目录至少一个,便可检测出植入在该些目录下的DLL木马。
在上述技术方案中,所述文件指纹为DLL文件中的数据采用消息摘要算法计算得到的文件特征值。
消息摘要算法(Message-Digest Algorithm,简称MD),又称摘要算法、哈希算法。本实施例采用MD5作为特征值来检验DLL文件是否被修改。
在上述方案的基础上,该方法还包括:当在设定系统目录下初次存储DLL文件时,为所述DLL文件生成对应的文件指纹;
当所述DLL文件的数据被修改时,根据修改后的DLL文件数据产生新的文件指纹,并将原文件指纹作为历史信息。
具体而言,可以是在新安装操作系统之后,便对设定目录下的所有的DLL文件都进行文件指纹的计算,并作为系统初始的文件特征值进行存储。
图2为本发明实施例二所提供的木马检测方法的流程图。如图2所示,该方法,在上述技术方案中步骤101中扫描设定系统目录下的DLL文件,步骤具体包括:
步骤201、监测设定系统函数是否被调用,当所述设定系统函数被调用时判断所述设定系统函数的操作对象是否为所述系统目录下的DLL文件。
步骤202、当所述设定系统函数的操作对象为所述系统目录下的DLL文件时,确定所述设定系统函数所操作的DLL文件,并扫描所述DLL文件。
步骤101具体还包括:
步骤203、判断所述DLL文件的文件指纹是否发生变化。
具体而言,对设定系统函数的检测可以是通过设置钩子(HOOK)函数对该设定系统函数进行监视,当该设定系统函数发生动作变化,即事件发生,如被调用、调用其他函数等操作,该HOOK函数就会返回对应时间的消息位。从而根据返回的消息位便可以监测该设定系统是否被调用。
现有的操作系统为保证系统运行的稳定性,均存在一个操作系统的安全保护机制,在Windows XP系统中为该安全保护机制为系统文件检查(System File Check,简称SFC)机制,在Windows7系统和Windows Vista系统中该安全保护机制为用户帐户控制(User Account Control,简称UAC)机制。操作系统的安全保护机制,使得当系统的DLL文件被修改后,验证修改后的DLL文件的数字证书,若验证不通过,则将缓存的原系统DLL文件恢复并删除修改的DLL文件。安全保护机制的存在,使得系统的DLL文件无法被轻易的修改。
通过修改系统的DLL文件的注入的DLL木马,要成功植入系统,需要先破解或者绕开系统的安全保护机制。
操作系统的安全保护机制要破解或绕开,需要调用设定的系统函数,来实现。因此当监测到设定系统函数被调用时,则可确定操作系统的安全保护机制已被破解。当操作系统的安全保护机制被破解,且设定系统目录下的DLL文件由于非系统更新导致的文件指纹发生变化,便可确定文件指纹发生变化的DLL文件为DLL木马。
需要说明的是,监测设定系统函数,判断安全保护机制是否被破解,与扫描设定系统目录下的DLL文件,判断DLL文件的文件指纹是否发生变化,并无绝对的时间顺序关系,可以同时执行,也可以先判断安全保护机制知否被破解,再扫描设定系统目录下的DLL文件,判断DLL文件的文件指纹是否发生变化,还可以先扫描设定系统目录下的DLL文件,判断DLL文件的文件指纹是否发生变化,再判断安全保护机制是否被破解。
本发明实施例的方法在安全保护机制被破解且DLL文件的文件指纹发生变化,对DLL木马的检测更准确。
在上述方案的基础中,所述设定系统函数为应用处理接口API函数,包括:地址获取函数、远程线程创建函数和文件时间设置函数中至少一个。
具体来说,设定系统函数指的是一些系统的敏感函数,如地址获取函数GetProcAddress、远程线程创建函数CreateRemoteThread、文件时间设置函数SetFileTime等。
GetProcAddress函数用来检索某个DLL中的输出函数地址。需要说明的是,直接使用GetProcAddress对敏感DLL文件进行函数地址查询通常会被普通杀毒软件即可查出并报警,因此当GetProcAddress常与LoadLibrary函数配合使用,先由LoadLibrary函数取得DLL文件的地址,再将该地址作为参数代入GetProcAddress进行文件中的接口函数地址检索。DLL木马通过调用GetProcAddress函数及Load Library函数,获取系统DLL文件中的函数地址,进而直接通过接口地址对DLL文件进行修改,如此很有可能绕开已有杀毒软件的查杀。
调用CreateRemoteThread函数可在另一个进程内创建新线程,被创建的远程线程同样可以共享远程进程的地址空间。通过一个远程线程,进入了远程进程的内存地址空间,也就拥有远程进程相当的权限,继而使得系统进程启动即可调用远控实体。若该函数未被调用,那么当系统进程启动时,便无法调用远控实体,实现对应的木马功能。
调用SetFileTime函数可对DLL木马的文件名及修改时间等信息进行修改,以伪装成与原系统DLL文件类似。如该函数未被调用,修改后的DLL文件也可以被普通杀毒软件直接检测发现,进而进行查杀。
综上,GetProcAddress函数、LoadLibrary函数、CreateRemoteThread函数及SetFileTime函数均需作为敏感函数,监控敏感函数是否被调用,以检测通过修改系统DLL的DLL木马。
进一步地,在上述方案的基础上,步骤103中的判断DLL文件的文件指纹发生变化的原因是否属于系统更新,包括:
当所述DLL文件的文件指纹发生变化,读取系统进程监控器存储的所述DLL文件对应的文件读写记录;
根据所述DLL文件对应的文件读写记录确定所述DLL文件的文件指纹发生变化的原因是否属于系统更新。
具体来说,系统进程监控器结合文件监视器和注册表监视器两个功能,其可记录当前操作系统下所有文件的读写记录,及所有进程的注册表。因此,可通过读取得到的系统进程监控器中DLL文件对应的读写记录,确定DLL文件的文件指纹发生变化的原因。
本发明实施例二在上述实施例一方案的基础上,提供的木马检测方法,其对于DLL木马的查杀概率更高,查杀更准确。
实施例三
本发明实施例三提供一种木马检测方法,通过具体实例进行解释说明。图3为本发明实施例三所提供的木马检测方法的流程图。如图3所示,该方法包括:
步骤301、监测API函数,具体是监测地址获取函数、库下载函数、远程线程创建函数和文件时间设置函数中至少一个是否被调用。若是,则执行步骤302。若否,则执行步骤307,该操作系统安全。
步骤302、当API函数被调用时,判断该API函数的操作对象是否为系统目录下的DLL文件。
步骤303、当该API函数的操作对象为系统目录下的DLL文件,确定该API函数所操作的DLL文件,判断该DLL文件的MD5值是否发生变化。若是,则执行步骤304。若否,则执行步骤307,该操作系统安全。
步骤304、当DLL文件的MD5值发生变化,判断系统更新函数是否被调用。若是,则执行步骤307,该操作系统安全。如否,则执行步骤305。
步骤305、当所述系统更新函数未被调用,确定该DLL文件为DLL木马。
步骤306、提示用户当前操作系统存在DLL木马。
提示用户可以是通过发送报警声音,也可以是通过显示界面告知用户,以等待用户进一步地操作,如立刻查杀、忽略或稍后执行查杀等。
步骤307、提示用户操作系统未检测到DLL木马。
本发明实施例是在上述实施例的基础上,通过具体的实例进行解释说明,其具体的实现过程和有益效果与上述实施例类似,在此不再赘述。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (7)
1.一种木马检测方法,其特征在于,包括:
扫描设定系统目录下的动态链接库DLL文件,判断所述DLL文件的文件指纹是否发生变化;
若所述DLL文件的文件指纹发生变化,判断系统更新函数是否被调用;
若所述系统更新函数未被调用,确定所述DLL文件为DLL木马。
2.根据权利要求1所述的方法,其特征在于,所述设定系统目录为System32目录、Windows目录和系统环境变量目录中至少一个。
3.根据权利要求1所述的方法,其特征在于,所述文件指纹为DLL文件中的数据采用消息摘要算法计算得到的文件特征值。
4.根据权利要求1-3任一所述的方法,其特征在于,所述扫描设定系统目录下的DLL文件,包括:
监测设定系统函数是否被调用,当所述设定系统函数被调用时判断所述设定系统函数的操作对象是否为所述系统目录下的DLL文件;
当所述设定系统函数的操作对象为所述系统目录下的DLL文件时,确定所述设定系统函数所操作的DLL文件,并扫描所述DLL文件。
5.根据权利要求4所述的方法,其特征在于,所述设定系统函数为应用处理接口API函数,包括:地址获取函数、库下载函数、远程线程创建函数和文件时间设置函数中至少一个。
6.根据权利要求1所述的方法,其特征在于,还包括:
当在设定系统目录下初次存储DLL文件时,为所述DLL文件生成对应的文件指纹;
当所述DLL文件的数据被修改时,根据修改后的DLL文件数据产生新的文件指纹,并将原文件指纹作为历史信息。
7.根据权利要求1所述的方法,其特征在于,判断所述DLL文件的文件指纹发生变化的原因是否属于系统更新,包括:
当所述DLL文件的文件指纹发生变化,读取系统进程监控器存储的所述DLL文件对应的文件读写记录;
根据所述DLL文件对应的文件读写记录确定所述DLL文件的文件指纹发生变化的原因是否属于系统更新。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310425258.1A CN103632093B (zh) | 2013-09-17 | 木马检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310425258.1A CN103632093B (zh) | 2013-09-17 | 木马检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103632093A true CN103632093A (zh) | 2014-03-12 |
CN103632093B CN103632093B (zh) | 2016-11-30 |
Family
ID=
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103944757A (zh) * | 2014-04-11 | 2014-07-23 | 珠海市君天电子科技有限公司 | 网络异常检测的方法和装置 |
CN104200164A (zh) * | 2014-09-10 | 2014-12-10 | 北京金山安全软件有限公司 | 一种加载器Loader病毒的查杀方法、装置及终端 |
CN104751058A (zh) * | 2015-03-16 | 2015-07-01 | 联想(北京)有限公司 | 一种文件扫描方法及电子设备 |
CN106991328A (zh) * | 2017-03-30 | 2017-07-28 | 兴华永恒(北京)科技有限责任公司 | 一种基于动态内存指纹异常分析的漏洞利用检测识别方法 |
CN110795733A (zh) * | 2019-10-12 | 2020-02-14 | 苏州浪潮智能科技有限公司 | 管理主机中文件方法和装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1155700A (zh) * | 1996-09-08 | 1997-07-30 | 周跃平 | 计算机软件保护方法 |
CN1512355A (zh) * | 2002-12-30 | 2004-07-14 | 成都三零盛安信息系统有限公司 | 一种elf文件格式的代码签名验证方法 |
CN101520832A (zh) * | 2008-12-22 | 2009-09-02 | 康佳集团股份有限公司 | 一种文件代码签名验证系统及其方法 |
CN102750476A (zh) * | 2012-06-07 | 2012-10-24 | 腾讯科技(深圳)有限公司 | 鉴定文件安全性的方法和系统 |
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1155700A (zh) * | 1996-09-08 | 1997-07-30 | 周跃平 | 计算机软件保护方法 |
CN1512355A (zh) * | 2002-12-30 | 2004-07-14 | 成都三零盛安信息系统有限公司 | 一种elf文件格式的代码签名验证方法 |
CN101520832A (zh) * | 2008-12-22 | 2009-09-02 | 康佳集团股份有限公司 | 一种文件代码签名验证系统及其方法 |
CN102750476A (zh) * | 2012-06-07 | 2012-10-24 | 腾讯科技(深圳)有限公司 | 鉴定文件安全性的方法和系统 |
Non-Patent Citations (1)
Title |
---|
洪帆等: "《基于完整性的文件保护》", 《华中理工大学学报》, vol. 22, no. 1, 31 January 1994 (1994-01-31) * |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103944757A (zh) * | 2014-04-11 | 2014-07-23 | 珠海市君天电子科技有限公司 | 网络异常检测的方法和装置 |
CN103944757B (zh) * | 2014-04-11 | 2017-11-10 | 珠海市君天电子科技有限公司 | 网络异常检测的方法和装置 |
CN104200164A (zh) * | 2014-09-10 | 2014-12-10 | 北京金山安全软件有限公司 | 一种加载器Loader病毒的查杀方法、装置及终端 |
CN104200164B (zh) * | 2014-09-10 | 2017-07-25 | 北京金山安全软件有限公司 | 一种加载器Loader病毒的查杀方法、装置及终端 |
CN104751058A (zh) * | 2015-03-16 | 2015-07-01 | 联想(北京)有限公司 | 一种文件扫描方法及电子设备 |
CN104751058B (zh) * | 2015-03-16 | 2018-08-31 | 联想(北京)有限公司 | 一种文件扫描方法及电子设备 |
CN106991328A (zh) * | 2017-03-30 | 2017-07-28 | 兴华永恒(北京)科技有限责任公司 | 一种基于动态内存指纹异常分析的漏洞利用检测识别方法 |
CN106991328B (zh) * | 2017-03-30 | 2019-11-29 | 兴华永恒(北京)科技有限责任公司 | 一种基于动态内存指纹异常分析的漏洞利用检测识别方法 |
CN110795733A (zh) * | 2019-10-12 | 2020-02-14 | 苏州浪潮智能科技有限公司 | 管理主机中文件方法和装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3036623B1 (en) | Method and apparatus for modifying a computer program in a trusted manner | |
US9280664B2 (en) | Apparatus and method for blocking activity of malware | |
CN107038045B (zh) | 加载库文件的方法及装置 | |
US7478431B1 (en) | Heuristic detection of computer viruses | |
US8443354B1 (en) | Detecting new or modified portions of code | |
US20160142437A1 (en) | Method and system for preventing injection-type attacks in a web based operating system | |
CN103390130A (zh) | 基于云安全的恶意程序查杀的方法、装置和服务器 | |
KR20150134679A (ko) | 패치파일 분석시스템과 분석방법 | |
CN107908958B (zh) | SELinux安全标识符防篡改检测方法及系统 | |
CN102999720A (zh) | 程序鉴别方法和系统 | |
CN102882875A (zh) | 主动防御方法及装置 | |
CN113391874A (zh) | 一种虚拟机检测对抗方法、装置、电子设备及存储介质 | |
US8959640B2 (en) | Controlling anti-virus software updates | |
JP5736335B2 (ja) | アプリケーション解析装置、アプリケーション解析システム、およびプログラム | |
CN102999721A (zh) | 一种程序处理方法和系统 | |
US20200244461A1 (en) | Data Processing Method and Apparatus | |
WO2020233044A1 (zh) | 一种插件校验方法、设备、服务器及计算机可读存储介质 | |
CN108959915B (zh) | 一种rootkit检测方法、装置及服务器 | |
JP6885255B2 (ja) | フロー生成プログラム、フロー生成装置及びフロー生成方法 | |
CN112241529A (zh) | 恶意代码检测方法、装置、存储介质和计算机设备 | |
CN103632093A (zh) | 木马检测方法 | |
US20190266329A1 (en) | Root Virus Removal Method and Apparatus, and Electronic Device | |
CN103632093B (zh) | 木马检测方法 | |
US8832838B2 (en) | Computer worm curing system and method and computer readable storage medium for storing computer worm curing method | |
CN103632086A (zh) | 修复基本输入输出系统bios恶意程序的方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20161130 |