CN103810222A - 样本文件的处理方法及装置 - Google Patents
样本文件的处理方法及装置 Download PDFInfo
- Publication number
- CN103810222A CN103810222A CN201210460672.1A CN201210460672A CN103810222A CN 103810222 A CN103810222 A CN 103810222A CN 201210460672 A CN201210460672 A CN 201210460672A CN 103810222 A CN103810222 A CN 103810222A
- Authority
- CN
- China
- Prior art keywords
- sample file
- file
- virtual machine
- instruction
- sample
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/561—Virus type analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供一种样本文件的处理方法及装置,属于病毒分析技术领域。其中,该样本文件的处理方法包括:接收样本文件,确定包含有所述样本文件运行所需环境信息的配置文件;解析所述配置文件,获取所述样本文件运行所需的环境信息;根据所述环境信息发送控制指令至虚拟机,指示虚拟机配置样本文件运行所需环境信息;将所述样本文件发送至虚拟机,以便所述样本文件在所述虚拟机配置的环境中运行。本发明的技术方案能够通过虚拟机环境的模拟配置,完全触发样本文件的行为。
Description
技术领域
本发明涉及病毒分析技术领域,特别是指一种样本文件的处理方法及装置。
背景技术
现有技术在判断样本文件是否有害时,如果该样本文件中的病毒程序运行需要特定的环境,而样本文件当前并不处于该特定环境中,那么病毒行为分析系统可能捕获不到病毒程序的行为。比如一些盗号木马,当发现目标程序未运行时便退出不继续向下执行,从而其危害行为便不会被病毒行为分析系统捕获到;还有一些恶意程序安装,在安装过程中会触发其一些危害行为,有些时候需要人的点击才能进行这个安装过程(比如“下一步”按钮),如果安装过程没有进行下去,其危害行为也不会被捕捉到。
当遇到这样的样本文件时,现有的病毒行为分析系统无法捕获病毒程序的后续行为,有可能判定样本文件无害,而给计算机安全带来隐患。
发明内容
本发明要解决的技术问题是提供一种样本文件的处理方法及装置,能够通过虚拟机环境的模拟配置,完全触发样本文件的行为。
为解决上述技术问题,本发明的实施例提供技术方案如下:
一方面,提供一种样本文件的处理方法,包括:
接收样本文件,确定包含有所述样本文件运行所需环境信息的配置文件;
解析所述配置文件,获取所述样本文件运行所需的环境信息;
根据所述环境信息发送控制指令至虚拟机,指示虚拟机配置样本文件运行所需环境信息;
将所述样本文件发送至虚拟机,以便所述样本文件在所述虚拟机配置的环境中运行。
进一步地,上述方案中,所述接收样本文件之前还包括:
创建与样本文件对应的配置文件,将样本文件运行所需环境信息保存在所述配置文件中。
进一步地,上述方案中,所述确定包含有所述样本文件运行所需环境信息的配置文件包括:
计算出样本文件的哈希值,根据所述哈希值查找出与所述样本文件对应的配置文件。
进一步地,上述方案中,所述确定包含有所述样本文件运行所需环境信息的配置文件还包括:
在查找不到与样本文件对应的配置文件时,确定预设的默认环境配置文件为与所述样本文件对应的配置文件。
进一步地,上述方案中,所述根据所述环境信息发送控制指令至虚拟机包括:
在需要创建预设文件时,发送创建预设文件指令至虚拟机;和/或
在需要创建注册表键时,发送注册表创建键指令至虚拟机;和/或
在需要创建注册表值时,发送注册表创建值指令至虚拟机;和/或
在需要创建预设进程时,发送创建预设进程指令至虚拟机;和/或
在需要模拟窗口时,发送模拟窗口指令至虚拟机;和/或
在需要运行预设程序时,发送运行预设程序指令至虚拟机;和/或
在需要点击指定按钮时,发送点击指定按钮指令至虚拟机。
本发明实施例还提供了一种样本文件的处理装置,包括:
接收模块,用于接收样本文件,确定包含有所述样本文件运行所需环境信息的配置文件;
解析模块,用于解析所述配置文件,获取所述样本文件运行所需的环境信息;
通信模块,用于根据所述环境信息发送控制指令至虚拟机,指示虚拟机配置样本文件运行所需环境信息;并将所述样本文件发送至虚拟机,以便所述样本文件在所述虚拟机配置的环境中运行。
进一步地,上述方案中,所述处理装置还包括:
创建模块,用于创建与样本文件对应的配置文件,将样本文件运行所需环境信息保存在所述配置文件中。
进一步地,上述方案中,所述接收模块具体用于计算出样本文件的哈希值,根据所述哈希值查找出与所述样本文件对应的配置文件。
进一步地,上述方案中,所述接收模块还用于在查找不到与样本文件对应的配置文件时,确定预设的默认环境配置文件为与所述样本文件对应的配置文件。
进一步地,上述方案中,所述通信模块具体用于在需要创建预设文件时,发送创建预设文件指令至虚拟机;和/或
在需要创建注册表键时,发送注册表创建键指令至虚拟机;和/或
在需要创建注册表值时,发送注册表创建值指令至虚拟机;和/或
在需要创建预设进程时,发送创建预设进程指令至虚拟机;和/或
在需要模拟窗口时,发送模拟窗口指令至虚拟机;和/或
在需要运行预设程序时,发送运行预设程序指令至虚拟机;和/或
在需要点击指定按钮时,发送点击指定按钮指令至虚拟机。
本发明的实施例具有以下有益效果:
上述方案中,在接收到样本文件后,通过配置文件中包含的样本文件运行所需环境信息,发送控制指令给虚拟机,可以使虚拟机配置出样本文件运行所需环境,以便样本文件在虚拟机配置的环境中运行,这样可以完全触发样本文件的行为,从而使病毒行为分析系统更准确全面的捕获样本文件的行为,并作出其是否有害的断定。
附图说明
图1为本发明实施例的样本文件的处理方法的流程示意图;
图2为本发明实施例的样本文件的处理装置的结构示意图;
图3为本发明实施例的样本文件的处理方法的另一流程示意图。
具体实施方式
为使本发明的实施例要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
本发明的实施例提供一种样本文件的处理方法及装置,能够通过虚拟机环境的模拟配置,完全触发样本文件的行为。
图1为本发明实施例的样本文件的处理方法的流程示意图,如图1所示,本实施例包括:
步骤101:接收样本文件,确定包含有样本文件运行所需环境信息的配置文件;
步骤102:解析配置文件,获取样本文件运行所需的环境信息;
步骤103:根据环境信息发送控制指令至虚拟机,指示虚拟机配置样本文件运行所需环境信息;
步骤104:将样本文件发送至虚拟机,以便样本文件在虚拟机配置的环境中运行。
进一步地,本发明的另一实施例中,包括上述步骤101~104的基础上,步骤101之前还包括:创建与样本文件对应的配置文件,将样本文件运行所需环境信息保存在所述配置文件中。
进一步地,步骤101中,确定包含有样本文件运行所需环境信息的配置文件包括:计算出样本文件的哈希值,根据哈希值查找出与样本文件对应的配置文件。在查找不到与样本文件对应的配置文件时,确定预设的默认环境配置文件为与样本文件对应的配置文件。
进一步地,样本文件运行所需的环境信息包括是否需要创建预设文件、是否需要创建注册表键、是否需要创建注册表值、是否需要创建预设进程、是否需要模拟窗口、是否需要运行预设程序、是否需要点击指定按钮,步骤103具体包括:
在需要创建预设文件时,发送创建预设文件指令至虚拟机;和/或
在需要创建注册表键时,发送注册表创建键指令至虚拟机;和/或
在需要创建注册表值时,发送注册表创建值指令至虚拟机;和/或
在需要创建预设进程时,发送创建预设进程指令至虚拟机;和/或
在需要模拟窗口时,发送模拟窗口指令至虚拟机;和/或
在需要运行预设程序时,发送运行预设程序指令至虚拟机;和/或
在需要点击指定按钮时,发送点击指定按钮指令至虚拟机。
本发明的样本文件的处理方法,在接收到样本文件后,通过配置文件中包含的样本文件运行所需环境信息,发送控制指令给虚拟机,可以使虚拟机配置出样本文件运行所需环境,以便样本文件在虚拟机配置的环境中运行,这样可以完全触发样本文件的行为,从而使病毒行为分析系统更准确全面的捕获样本文件的行为,并作出其是否有害的断定。
图2为本发明实施例的样本文件的处理装置的结构示意图,如图2所示,本实施例包括:
接收模块20,用于接收样本文件,确定包含有样本文件运行所需环境信息的配置文件;
解析模块21,用于解析配置文件,获取样本文件运行所需的环境信息;
通信模块22,用于根据环境信息发送控制指令至虚拟机,指示虚拟机配置样本文件运行所需环境信息;并将样本文件发送至虚拟机,以便样本文件在虚拟机配置的环境中运行。
进一步地,处理装置还包括:
创建模块23,用于创建与样本文件对应的配置文件,将样本文件运行所需环境信息保存在配置文件中。
进一步地,接收模块21具体用于计算出样本文件的哈希值,根据哈希值查找出与样本文件对应的配置文件。
进一步地,接收模块21还用于在查找不到与样本文件对应的配置文件时,确定预设的默认环境配置文件为与样本文件对应的配置文件。
进一步地,通信模块22具体用于在需要创建预设文件时,发送创建预设文件指令至虚拟机;和/或
在需要创建注册表键时,发送注册表创建键指令至虚拟机;和/或
在需要创建注册表值时,发送注册表创建值指令至虚拟机;和/或
在需要创建预设进程时,发送创建预设进程指令至虚拟机;和/或
在需要模拟窗口时,发送模拟窗口指令至虚拟机;和/或
在需要运行预设程序时,发送运行预设程序指令至虚拟机;和/或
在需要点击指定按钮时,发送点击指定按钮指令至虚拟机。
本发明的样本文件的处理装置,在接收到样本文件后,通过配置文件中包含的样本文件运行所需环境信息,发送控制指令给虚拟机,可以使虚拟机配置出样本文件运行所需环境,以便样本文件在虚拟机配置的环境中运行,这样可以完全触发样本文件的行为,从而使病毒行为分析系统更准确全面的捕获样本文件的行为,并作出其是否有害的断定。
下面结合图3以及具体的实施例对本发明的样本文件的处理方法进行详细介绍:
现有技术中,当一个样本文件运行需要特定环境时,可能在病毒行为分析系统中捕获不到其行为。这样的例子很多,比如一些盗号木马,当发现目标程序未运行时便退出不继续向下执行,从而其危害行为便不会被病毒行为分析系统捕获到。还有一些恶意程序安装,在安装过程中可能会触发其一些危害行为,但是有时候需要点击指定按钮才能进行这个安装过程(比如“下一步”按钮),如果没有点击指定按钮安装过程便不会继续下去,从而其危害行为也不会被病毒行为分析系统捕获到。当遇到这样的样本文件时,现有的病毒分析系统是捕获不到其危害行为的,这样未发现样本文件的危害特征,就有可能会鉴定该样本文件是安全的,从而给计算机安全带来隐患。
本发明提供了一种样本文件的处理方法及装置,能够完全触发样本文件的行为。首先,对于不同类型的样本文件,创建与样本文件对应的配置文件,在配置文件中保存对应类型样本文件运行所需的环境信息;还可以创建默认环境配置文件,该默认环境配置文件中保存有样本文件运行所需的一些通用的环境信息。
如图3所示,在样本文件的处理装置接收到新的样本文件时,首先查找是否有与所述样本文件对应的配置文件,具体地,可以计算出样本文件的哈希值,通过样本文件的哈希值查找出与样本文件对应的配置文件,如果存在与样本文件对应的配置文件,则读取该配置文件;如果不存在与样本文件对应的配置文件,则读取默认环境配置文件。
之后对配置文件进行解析,获取配置文件中含有的样本文件运行所需的环境信息,样本文件运行所需的环境信息可以包括是否需要创建预设文件、是否需要创建注册表键、是否需要创建注册表值、是否需要创建预设进程、是否需要模拟窗口、是否需要运行预设程序、是否需要点击指定按钮等等。在解析获得环境信息之后,样本文件的处理装置根据环境信息生成控制指令,通过与虚拟机之间的通信模块将控制指令发送给虚拟机。通信模块具体用于在需要创建预设文件时,发送创建预设文件指令至虚拟机;和/或在需要创建注册表键时,发送注册表创建键指令至虚拟机;和/或在需要创建注册表值时,发送注册表创建值指令至虚拟机;和/或在需要创建预设进程时,发送创建预设进程指令至虚拟机;和/或在需要模拟窗口时,发送模拟窗口指令至虚拟机;和/或在需要运行预设程序时,发送运行预设程序指令至虚拟机;和/或在需要点击指定按钮时,发送点击指定按钮指令至虚拟机。
虚拟机内部配置有指令执行模块,指令执行模块在接收到控制指令后,根据控制指令配置虚拟机内相应的环境,比如特定文件、窗口、注册表键值等。在配置完虚拟机内部环境之后,样本文件的处理装置将样本文件发送至虚拟机,使得样本文件在虚拟机内部配置好的环境中运行。样本文件运行过程中,解析模块还会根据配置文件的不同去获得样本文件运行所需环境信息,由通信模块生成控制指令控制样本文件的行为,比如模拟点击按钮、在样本文件运行到某个阶段的时候创建某个信息等,以便样本文件的行为更大化的被触发。
比如,一些木马程序需要特定的“逻辑”才能触发,具体地一个盗QQ号的木马程序,其首先会检测当前QQ是否在运行,通过本发明的技术方案就可以在该木马程序运行前给其创建一个QQ进程,另外在木马程序运行过程中可能会结束QQ进程然后等待其重新登录,此时通过本发明的技术方案还可以完成模拟QQ重新登录的操作,以继续触发木马程序的行为。
再比如,MD5值为7d181fe4b18b247da8d6212673f41cc7的外挂程序,它在运行前会先检测计算机系统中是否存在DNF.exe(地下城与勇士游戏)进程,若不存在,则会提示用户开启游戏。现有的病毒分析系统,由于不能够触发病毒后续的行为,只能分析到这里,外挂程序就退出了。而本发明实施例会根据配置文件的设置,通过虚拟机模拟出一个虚假的DNF.exe进程来欺骗被分析的该外挂程序。在该外挂程序成功检测到存在DNF.exe进程后,会继续加载驱动程序,显示界面。这样,本发明实施例通过虚拟机环境的模拟配置,能够完全触发样本文件的行为。
进一步地,本发明的样本文件处理装置还可以在样本文件运行时,记录样本文件的行为信息,并在样本文件运行结束后对其行为日志进行过滤,去除环境模拟所产生而非样本文件本身的行为信息。
本发明的技术方案在样本文件运行之前,会首先在虚拟机中配置样本文件运行所需的环境,之后将样本文件拷贝到虚拟机中运行,此时样本文件运行所需要的环境已经准备好,样本文件便可以充分运行,如果其产生危害行为的话,危害行为就能够被病毒分析系统捕获到,从而确定其有害性。本发明的技术方案可以应用于病毒行为的分析系统中,可以模拟病毒/木马运行时需要的特定环境,为病毒/木马运行配置其需要的文件、进程、注册表等信息,最大化触发病毒/木马的危险行为,从而使病毒分析系统更准确全面的捕获其危险行为,并作出其是否有害的断定。
此说明书中所描述的许多功能部件都被称为模块,以便更加特别地强调其实现方式的独立性。
本发明实施例中,模块可以用软件实现,以便由各种类型的处理器执行。举例来说,一个标识的可执行代码模块可以包括计算机指令的一个或多个物理或者逻辑块,举例来说,其可以被构建为对象、过程或函数。尽管如此,所标识模块的可执行代码无需物理地位于一起,而是可以包括存储在不同物理上的不同的指令,当这些指令逻辑上结合在一起时,其构成模块并且实现该模块的规定目的。
实际上,可执行代码模块可以是单条指令或者是许多条指令,并且甚至可以分布在多个不同的代码段上,分布在不同程序当中,以及跨越多个存储器设备分布。同样地,操作数据可以在模块内被识别,并且可以依照任何适当的形式实现并且被组织在任何适当类型的数据结构内。所述操作数据可以作为单个数据集被收集,或者可以分布在不同位置上(包括在不同存储设备上),并且至少部分地可以仅作为电子信号存在于系统或网络上。
在模块可以利用软件实现时,考虑到现有硬件工艺的水平,所以可以以软件实现的模块,在不考虑成本的情况下,本领域技术人员都可以搭建对应的硬件电路来实现对应的功能,所述硬件电路包括常规的超大规模集成(VLSI)电路或者门阵列以及诸如逻辑芯片、晶体管之类的现有半导体或者是其它分立的元件。模块还可以用可编程硬件设备,诸如现场可编程门阵列、可编程阵列逻辑、可编程逻辑设备等实现。
在本发明各方法实施例中,所述各步骤的序号并不能用于限定各步骤的先后顺序,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,对各步骤的先后变化也在本发明的保护范围之内。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种样本文件的处理方法,其特征在于,包括:
接收样本文件,确定包含有所述样本文件运行所需环境信息的配置文件;
解析所述配置文件,获取所述样本文件运行所需的环境信息;
根据所述环境信息发送控制指令至虚拟机,指示虚拟机配置样本文件运行所需环境信息;
将所述样本文件发送至虚拟机,以便所述样本文件在所述虚拟机配置的环境中运行。
2.根据权利要求1所述的样本文件的处理方法,其特征在于,所述接收样本文件之前还包括:
创建与样本文件对应的配置文件,将样本文件运行所需环境信息保存在所述配置文件中。
3.根据权利要求2所述的样本文件的处理方法,其特征在于,所述确定包含有所述样本文件运行所需环境信息的配置文件包括:
计算出样本文件的哈希值,根据所述哈希值查找出与所述样本文件对应的配置文件。
4.根据权利要求3所述的样本文件的处理方法,其特征在于,所述确定包含有所述样本文件运行所需环境信息的配置文件还包括:
在查找不到与样本文件对应的配置文件时,确定预设的默认环境配置文件为与所述样本文件对应的配置文件。
5.根据权利要求1所述的样本文件的处理方法,其特征在于,所述根据所述环境信息发送控制指令至虚拟机包括:
在需要创建预设文件时,发送创建预设文件指令至虚拟机;和/或
在需要创建注册表键时,发送注册表创建键指令至虚拟机;和/或
在需要创建注册表值时,发送注册表创建值指令至虚拟机;和/或
在需要创建预设进程时,发送创建预设进程指令至虚拟机;和/或
在需要模拟窗口时,发送模拟窗口指令至虚拟机;和/或
在需要运行预设程序时,发送运行预设程序指令至虚拟机;和/或
在需要点击指定按钮时,发送点击指定按钮指令至虚拟机。
6.一种样本文件的处理装置,其特征在于,包括:
接收模块,用于接收样本文件,确定包含有所述样本文件运行所需环境信息的配置文件;
解析模块,用于解析所述配置文件,获取所述样本文件运行所需的环境信息;
通信模块,用于根据所述环境信息发送控制指令至虚拟机,指示虚拟机配置样本文件运行所需环境信息;并将所述样本文件发送至虚拟机,以便所述样本文件在所述虚拟机配置的环境中运行。
7.根据权利要求6所述的样本文件的处理装置,其特征在于,所述处理装置还包括:
创建模块,用于创建与样本文件对应的配置文件,将样本文件运行所需环境信息保存在所述配置文件中。
8.根据权利要求7所述的样本文件的处理装置,其特征在于,所述接收模块具体用于计算出样本文件的哈希值,根据所述哈希值查找出与所述样本文件对应的配置文件。
9.根据权利要求8所述的样本文件的处理装置,其特征在于,所述接收模块还用于在查找不到与样本文件对应的配置文件时,确定预设的默认环境配置文件为与所述样本文件对应的配置文件。
10.根据权利要求6所述的样本文件的处理装置,其特征在于,
所述通信模块具体用于在需要创建预设文件时,发送创建预设文件指令至虚拟机;和/或
在需要创建注册表键时,发送注册表创建键指令至虚拟机;和/或
在需要创建注册表值时,发送注册表创建值指令至虚拟机;和/或
在需要创建预设进程时,发送创建预设进程指令至虚拟机;和/或
在需要模拟窗口时,发送模拟窗口指令至虚拟机;和/或
在需要运行预设程序时,发送运行预设程序指令至虚拟机;和/或
在需要点击指定按钮时,发送点击指定按钮指令至虚拟机。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210460672.1A CN103810222A (zh) | 2012-11-15 | 2012-11-15 | 样本文件的处理方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210460672.1A CN103810222A (zh) | 2012-11-15 | 2012-11-15 | 样本文件的处理方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN103810222A true CN103810222A (zh) | 2014-05-21 |
Family
ID=50707005
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210460672.1A Pending CN103810222A (zh) | 2012-11-15 | 2012-11-15 | 样本文件的处理方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103810222A (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106557701A (zh) * | 2016-11-28 | 2017-04-05 | 北京奇虎科技有限公司 | 基于虚拟机的内核漏洞检测方法及装置 |
CN106650424A (zh) * | 2016-11-28 | 2017-05-10 | 北京奇虎科技有限公司 | 一种目标样本文件的检测方法和装置 |
CN106682513A (zh) * | 2016-11-28 | 2017-05-17 | 北京奇虎科技有限公司 | 一种目标样本文件的检测方法和装置 |
CN108363919A (zh) * | 2017-10-19 | 2018-08-03 | 北京安天网络安全技术有限公司 | 一种病毒专杀工具生成方法及系统 |
CN109815703A (zh) * | 2018-12-29 | 2019-05-28 | 360企业安全技术(珠海)有限公司 | 计算机病毒运行的演示方法及服务器、终端、系统 |
CN113656799A (zh) * | 2021-08-18 | 2021-11-16 | 浙江国利网安科技有限公司 | 一种工控病毒的分析方法、装置、存储介质和设备 |
CN115871691A (zh) * | 2023-01-19 | 2023-03-31 | 禾多科技(北京)有限公司 | 车辆行驶控制方法、装置、电子设备和计算机可读介质 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101154258A (zh) * | 2007-08-14 | 2008-04-02 | 电子科技大学 | 恶意程序动态行为自动化分析系统与方法 |
CN101655798A (zh) * | 2008-08-18 | 2010-02-24 | 联想(北京)有限公司 | 一种计算机和虚拟机环境中应用程序部署和运行的方法 |
US7797748B2 (en) * | 2007-12-12 | 2010-09-14 | Vmware, Inc. | On-access anti-virus mechanism for virtual machine architecture |
CN101977188A (zh) * | 2010-10-14 | 2011-02-16 | 中国科学院计算技术研究所 | 恶意程序检测系统 |
CN102088379A (zh) * | 2011-01-24 | 2011-06-08 | 国家计算机网络与信息安全管理中心 | 基于沙箱技术的客户端蜜罐网页恶意代码检测方法与装置 |
CN102427481A (zh) * | 2012-01-12 | 2012-04-25 | 易云捷讯科技(北京)有限公司 | 用于对云计算服务进行管理的系统及云计算管理方法 |
CN102592078A (zh) * | 2011-12-23 | 2012-07-18 | 中国人民解放军国防科学技术大学 | 一种提取函数调用序列特征识别恶意软件自主传播的方法 |
US20120278892A1 (en) * | 2011-04-28 | 2012-11-01 | F-Secure Corporation | Updating anti-virus software |
-
2012
- 2012-11-15 CN CN201210460672.1A patent/CN103810222A/zh active Pending
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101154258A (zh) * | 2007-08-14 | 2008-04-02 | 电子科技大学 | 恶意程序动态行为自动化分析系统与方法 |
US7797748B2 (en) * | 2007-12-12 | 2010-09-14 | Vmware, Inc. | On-access anti-virus mechanism for virtual machine architecture |
CN101655798A (zh) * | 2008-08-18 | 2010-02-24 | 联想(北京)有限公司 | 一种计算机和虚拟机环境中应用程序部署和运行的方法 |
CN101977188A (zh) * | 2010-10-14 | 2011-02-16 | 中国科学院计算技术研究所 | 恶意程序检测系统 |
CN102088379A (zh) * | 2011-01-24 | 2011-06-08 | 国家计算机网络与信息安全管理中心 | 基于沙箱技术的客户端蜜罐网页恶意代码检测方法与装置 |
US20120278892A1 (en) * | 2011-04-28 | 2012-11-01 | F-Secure Corporation | Updating anti-virus software |
CN102592078A (zh) * | 2011-12-23 | 2012-07-18 | 中国人民解放军国防科学技术大学 | 一种提取函数调用序列特征识别恶意软件自主传播的方法 |
CN102427481A (zh) * | 2012-01-12 | 2012-04-25 | 易云捷讯科技(北京)有限公司 | 用于对云计算服务进行管理的系统及云计算管理方法 |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106557701A (zh) * | 2016-11-28 | 2017-04-05 | 北京奇虎科技有限公司 | 基于虚拟机的内核漏洞检测方法及装置 |
CN106650424A (zh) * | 2016-11-28 | 2017-05-10 | 北京奇虎科技有限公司 | 一种目标样本文件的检测方法和装置 |
CN106682513A (zh) * | 2016-11-28 | 2017-05-17 | 北京奇虎科技有限公司 | 一种目标样本文件的检测方法和装置 |
CN106557701B (zh) * | 2016-11-28 | 2019-09-06 | 北京奇虎科技有限公司 | 基于虚拟机的内核漏洞检测方法及装置 |
CN108363919A (zh) * | 2017-10-19 | 2018-08-03 | 北京安天网络安全技术有限公司 | 一种病毒专杀工具生成方法及系统 |
CN108363919B (zh) * | 2017-10-19 | 2021-04-20 | 北京安天网络安全技术有限公司 | 一种病毒专杀工具生成方法及系统 |
CN109815703A (zh) * | 2018-12-29 | 2019-05-28 | 360企业安全技术(珠海)有限公司 | 计算机病毒运行的演示方法及服务器、终端、系统 |
CN113656799A (zh) * | 2021-08-18 | 2021-11-16 | 浙江国利网安科技有限公司 | 一种工控病毒的分析方法、装置、存储介质和设备 |
CN113656799B (zh) * | 2021-08-18 | 2024-05-28 | 浙江国利网安科技有限公司 | 一种工控病毒的分析方法、装置、存储介质和设备 |
CN115871691A (zh) * | 2023-01-19 | 2023-03-31 | 禾多科技(北京)有限公司 | 车辆行驶控制方法、装置、电子设备和计算机可读介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103810222A (zh) | 样本文件的处理方法及装置 | |
JP5087661B2 (ja) | 正常プロセスに偽装挿入された悪性コード検出装置、システム及びその方法 | |
US10055585B2 (en) | Hardware and software execution profiling | |
CN102622536B (zh) | 一种恶意代码捕获方法 | |
CN102203792A (zh) | 启发式代码分析方法 | |
US10248424B2 (en) | Control flow integrity | |
CN106778247B (zh) | 应用程序动态分析的方法及装置 | |
KR101325954B1 (ko) | 코드분석과 화면분석을 이용한 안드로이드 어플의 자동실행 방법, 및 이를 위한 안드로이드 어플 자동실행 프로그램을 기록한 컴퓨터로 판독가능한 기록매체 | |
RU2748518C1 (ru) | Способ противодействия вредоносному программному обеспечению (ВПО) путем имитации проверочной среды | |
TWI656453B (zh) | 檢測系統及檢測方法 | |
CN108572892B (zh) | 一种基于PowerPC多核处理器的离线测试方法和装置 | |
CN103902901A (zh) | 一种基于编译器识别的apt检测方法及系统 | |
US9613212B2 (en) | Execution profile assembly using branch records | |
EP3504597B1 (en) | Identification of deviant engineering modifications to programmable logic controllers | |
US20160092313A1 (en) | Application Copy Counting Using Snapshot Backups For Licensing | |
CN103971055A (zh) | 一种基于程序切片技术的安卓恶意软件检测方法 | |
CN111783094A (zh) | 一种数据分析方法、装置、服务器及可读存储介质 | |
EP2854065B1 (en) | A system and method for evaluating malware detection rules | |
Jurn et al. | A survey of automated root cause analysis of software vulnerability | |
CN113569240B (zh) | 恶意软件的检测方法、装置及设备 | |
CN106445807B (zh) | 用于智能终端的应用安装包检测方法及装置 | |
CN104008336A (zh) | 一种ShellCode检测方法和装置 | |
CN111931161B (zh) | 基于risc-v处理器的芯片验证方法、设备及存储介质 | |
CN111382416B (zh) | 应用程序的运行识别方法、装置,终端设备及存储介质 | |
CN113721960A (zh) | 基于rpa和ai的应用程序漏洞修复方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140521 |
|
RJ01 | Rejection of invention patent application after publication |