CN104123489A - 可执行程序的监控方法和装置 - Google Patents
可执行程序的监控方法和装置 Download PDFInfo
- Publication number
- CN104123489A CN104123489A CN201410315365.3A CN201410315365A CN104123489A CN 104123489 A CN104123489 A CN 104123489A CN 201410315365 A CN201410315365 A CN 201410315365A CN 104123489 A CN104123489 A CN 104123489A
- Authority
- CN
- China
- Prior art keywords
- executable program
- monitored
- file
- program
- described executable
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/51—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种可执行程序的监控方法和装置。其中,该方法包括:确定待监控的可执行程序;获取待监控的可执行程序的特征信息和待监控的可执行程序在客户端安装的文件;以及根据文件与特征信息的匹配结果确定待监控的可执行程序是否为不可信程序,并在待监控的可执行程序为不可信程序时,对待监控的可执行程序进行拦截处理。本发明实施例通过获取待监控的可执行程序的特征信息和待监控的可执行程序在客户端安装的文件,并根据两者的匹配结果确定待监控的可执行程序为不可信程序,以及对该程序进行拦截处理,摆脱了对恶意代码特征的依赖,能够及时地对不可信程序进行查杀和拦截,有效地保障了用户信息的安全。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种可执行程序的监控方法和装置。
背景技术
近年来,病毒和恶意代码的制造者开始通过利用正规软件中存在的一种漏洞来躲避现有安全软件的检测。具体原理如下:一个软件一般由可执行程序主体(exe文件)和依赖文件(dll文件)组成,exe文件会在启动后动态加载dll文件,并且执行dll中导出的功能函数。由于安全意识的缺乏以及一些先天技术上的缺陷,程序设计者一般不会验证所加载的dll是否被篡改或者替换。病毒和恶意代码的制造者可将该软件的exe文件的名字改成如:游戏加速器、修改器、小工具等具有迷惑性的名字,然后和加入病毒或恶意代码的dll文件一起打包,通过网站或者即时通讯工具发布给目标用户,引诱目标用户去使用该exe文件。由于该exe文件为正规软件的文件,一般都有安全软件认可的数字签名证书,因此可以轻松地绕过现有的黑白名单和动态防御系统。
为了防御这种攻击方式,安全软件需要收集样本,然后通过增加静态扫描特征或者黑名单的方式来进行检测。
但是,在实现本发明的过程中发明人发现现有技术至少存在以下问题:上述方法主要依赖于获取的恶意代码特征,因此存在滞后性,无法及时地对恶意代码进行检测和拦截。
发明内容
本发明旨在至少在一定程度上解决相关技术中的技术问题之一。为此,本发明的一个目的在于提出一种可执行程序的监控方法。该方法能够及时地对不可信程序进行查杀和拦截,有效地保障了用户信息的安全。
本发明的第二个目的在于提出一种可执行程序的监控装置。
为了实现上述目的,本发明第一方面实施例的可执行程序的监控方法,包括:确定待监控的可执行程序;获取所述待监控的可执行程序的特征信息和所述待监控的可执行程序在客户端安装的文件;以及根据所述文件与所述特征信息的匹配结果确定所述待监控的可执行程序是否为不可信程序,并在所述待监控的可执行程序为不可信程序时,对所述待监控的可执行程序进行拦截处理。
本发明实施例的可执行程序的监控方法,通过获取所述待监控的可执行程序的特征信息和所述待监控的可执行程序在客户端安装的文件,并根据两者的匹配结果确定待监控的可执行程序是否为不可信程序,以及在所述待监控的可执行程序为不可信程序时,对所述待监控的可执行程序进行拦截处理,分别通过特征数据库中的特征信息和病毒库中的特征对待监控的可执行程序进行确定,摆脱了对恶意代码特征的依赖,能够及时地对不可信程序进行查杀和拦截,有效地保障了用户信息的安全。
为了实现上述目的,本发明第二方面实施例的可执行程序的监控装置,包括:确定模块,用于确定待监控的可执行程序;获取模块,用于获取所述待监控的可执行程序的特征信息和所述待监控的可执行程序在客户端安装的文件;以及处理模块,用于根据所述文件与所述特征信息的匹配结果确定所述待监控的可执行程序是否为不可信程序,并在所述待监控的可执行程序为不可信程序时,对所述待监控的可执行程序进行拦截处理。
本发明实施例的可执行程序的监控装置,通过获取所述待监控的可执行程序的特征信息和所述待监控的可执行程序在客户端安装的文件,并根据两者的匹配结果确定待监控的可执行程序是否为不可信程序,以及在所述待监控的可执行程序为不可信程序时,对所述待监控的可执行程序进行拦截处理,分别通过特征数据库中的特征信息和病毒库中的特征对待监控的可执行程序进行确定,摆脱了对恶意代码特征的依赖,能够及时地对不可信程序进行查杀和拦截,有效地保障了用户信息的安全。
附图说明
图1是根据本发明一个实施例的可执行程序的监控方法的流程图。
图2是根据本发明一个具体实施例的可执行程序的监控方法的流程图。
图3是根据本发明一个实施例的可执行程序的监控装置的结构示意图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本发明,而不能理解为对本发明的限制。
下面参考附图描述本发明实施例的可执行程序的监控方法和装置。
图1是根据本发明一个实施例的可执行程序的监控方法的流程图。
如图1所示,可执行程序的监控方法包括:
S101,确定待监控的可执行程序。
在本发明的实施例中,可接收用户选择的可执行程序,并将用户选择的可执行程序作为待监控的可执行程序;也可以主动获取后台运行的可执行程序,并将获取到的可执行程序作为待监控的可执行程序。
S102,获取待监控的可执行程序的特征信息和待监控的可执行程序在客户端安装的文件。
在本发明的实施例中,可先建立特征数据库,并向服务器发送特征数据库,以使服务器保存特征数据库。具体地,可自动获取可执行文件的属性信息和可执行程序的依赖文件的属性信息,并将可执行文件的属性信息和可执行程序的依赖文件的属性信息对应保存至特征数据库中。
其中,可执行程序的属性信息包括可执行程序的原始名称、大小和数字签名信息中的一种或多种。可执行程序的依赖文件的属性信息包括可执行程序的依赖文件的名称、大小、数字签名信息和产品信息中的一种或多种。
在本发明的实施例中,可执行程序通常需要依赖于多个文件才能正常运行,这种文件可以被称为可执行程序的依赖文件。在实际应用中,这些依赖文件可包括动态链接库(通常以dll为扩展名)、数据配置文件(通常以dat等为扩展名)等。例如,某可执行程序所依赖的文件可能包括“AntiEng.dll”、“Antiext1.dll”、“BaseExamine.dll”、“LibTask.dat”等。
在本发明的实施例中,还可收集待监控的可执行程序的攻击样本,对攻击样本进行特征提取,并将提取出的特征保存至病毒库中。
在建立特征数据库和病毒库后,可从服务器的特征数据库或本地的病毒库中获取待监控的可执行程序的特征信息。
另外,还可获取待监控的可执行程序在安装目录下的文件,以获得待监控的可执行程序在客户端安装的文件。
S103,根据文件与特征信息的匹配结果确定待监控的可执行程序是否为不可信程序,并在待监控的可执行程序为不可信程序时,对待监控的可执行程序进行拦截处理。
在本发明的实施例中,在获取保存在特征数据库中的待监控的可执行程序的特征信息和待监控的可执行程序在安装目录下的文件后,可将两者进行匹配。若两者匹配,则可确定待监控的可执行程序为可信程序;若两者不匹配,则可确定待监控的可执行程序为不可信程序。
另外,还可将获取的保存在病毒库中的攻击样本的特征与待监控的可执行程序在安装目录下的文件进行匹配,若两者匹配,则可确定待监控的可执行程序为不可信程序。
当待监控的可执行程序为不可信程序时,可对待监控的可执行程序进行拦截处理。具体地,可获取待监控的可执行程序的防护级别。当防护级别为第一防护级别时,可直接拦截和查杀待监控的可执行程序;当防护级别为第二防护级别时,继续对待监控的可执行程序进行监控,当待监控的可执行程序触发预定操作时,对待监控的可执行程序进行拦截。其中,预定操作为可疑操作。
本发明实施例的可执行程序的监控方法,通过获取待监控的可执行程序的特征信息和待监控的可执行程序在客户端安装的文件,并根据两者的匹配结果确定待监控的可执行程序是否为不可信程序,以及在待监控的可执行程序为不可信程序时,对待监控的可执行程序进行拦截处理,分别通过特征数据库中的特征信息和病毒库中的特征对待监控的可执行程序进行确定,摆脱了对恶意代码特征的依赖,能够及时地对不可信程序进行查杀和拦截,有效地保障了用户信息的安全。
图2是根据本发明一个具体实施例的可执行程序的监控方法的流程图。
如图2所示,可执行程序的监控方法包括:
S201,获取正常软件程序中exe文件的特征信息及其依赖文件的特征信息。
在正常软件程序中,运行exe文件时需要一个或多个依赖文件的支持。因此,可获取正常软件程序中exe文件的特征信息和该exe文件对应的依赖文件的特征信息。其中,exe文件的特征信息可包括原始名称、大小、数字签名信息中的一种或多种。依赖文件的特征信息可包括名称、大小、数字签名信息、其他附加信息中的一种或多种。可将上述特征信息上传至服务器,同时也可将部分特征信息保存至本地病毒库。
S202,从服务器或者本地病毒库中获取待监控软件程序中exe文件的特征信息。
需要对某个exe文件进行鉴定时,可从服务器或者本地病毒库中获取该exe文件对应的特征信息。
S203,将上述两者进行比对,若至少一项信息匹配,则检查待监控软件程序中exe文件的依赖文件是否存在,当依赖文件存在时,检查依赖文件的特征信息与正常软件程序中exe文件的依赖文件的特征信息是否匹配,若不匹配则确定待监控软件程序中exe文件为可疑exe文件,即确定待监控软件程序为可疑程序,然后跳转至S204;若匹配,则操作结束。
S204,根据防护级别对可疑程序进行查杀和拦截。
当防护级别非常高时,可直接拦截和查杀可疑程序;当防护级别比较高时,可对可疑程序进行监控,当触发可疑操作时再对可疑程序进行拦截。
本发明实施例的可执行程序的监控方法,通过对exe文件及其依赖文件的特征信息进行鉴定,并根据防护级别对可疑程序进行查杀和拦截,有效地提高了识别可疑程序的成功率,及时地对可疑程序进行查杀和拦截,提高了用户信息的安全性。
为了实现上述实施例,本发明还提出一种可执行程序的监控装置。
图3是根据本发明一个实施例的可执行程序的监控装置的结构示意图。
如图3所示,可执行程序的监控装置包括:确定模块110、获取模块120和处理模块130。
确定模块110用于确定待监控的可执行程序。
具体地,确定模块110可接收用户选择的可执行程序,并将用户选择的可执行程序作为待监控的可执行程序,也可以主动获取后台运行的可执行程序,并将获取到的可执行程序作为待监控的可执行程序。
获取模块120用于获取待监控的可执行程序的特征信息和待监控的可执行程序在客户端安装的文件。
具体地,获取模块120可从服务器的特征数据库或本地的病毒库中获取待监控的可执行程序的特征信息。另外,还可获取待监控的可执行程序在安装目录下的文件,以获得待监控的可执行程序在客户端安装的文件。
处理模块130用于根据文件与特征信息的匹配结果确定待监控的可执行程序是否为不可信程序,并在待监控的可执行程序为不可信程序时,对待监控的可执行程序进行拦截处理。
在获取模块120获取保存在特征数据库中的待监控的可执行程序的特征信息和待监控的可执行程序在安装目录下的文件后,处理模块130可将两者进行匹配。若两者匹配,则可确定待监控的可执行程序为可信程序;若两者不匹配,则可确定待监控的可执行程序为不可信程序。
另外,处理模块130还可将获取模块120获取的保存在病毒库中的攻击样本的特征与待监控的可执行程序在安装目录下的文件进行匹配,若两者匹配,则可确定待监控的可执行程序为不可信程序。
当待监控的可执行程序为不可信程序时,处理模块130可对待监控的可执行程序进行拦截处理。具体地,处理模块130可获取待监控的可执行程序的防护级别。当防护级别为第一防护级别时,可直接拦截和查杀待监控的可执行程序;当防护级别为第二防护级别时,继续对待监控的可执行程序进行监控,当待监控的可执行程序触发预定操作时,对待监控的可执行程序进行拦截。其中,预定操作为可疑操作。
此外,本发明实施例的可执行程序的监控装置还可包括建立模块140。
建立模块140用于在获取模块120从服务器的特征数据库中获取待监控的可执行程序的特征信息之前,建立特征数据库,并向服务器发送特征数据库,以使服务器保存特征数据库。
具体地,建立模块140可自动获取可执行文件的属性信息和可执行程序的依赖文件的属性信息,并将可执行文件的属性信息和可执行程序的依赖文件的属性信息对应保存至特征数据库中。
其中,可执行程序的属性信息包括可执行程序的原始名称、大小和数字签名信息中的一种或多种。可执行程序的依赖文件的属性信息包括可执行程序的依赖文件的名称、大小、数字签名信息和产品信息中的一种或多种。
另外,本发明实施例的可执行程序的监控装置还可包括保存模块150。
保存模块150用于在获取模块120从本地的病毒库中获取待监控的可执行程序的特征信息之前,收集待监控的可执行程序的攻击样本,对攻击样本进行特征提取,并将提取出的特征保存至病毒库中。
本发明实施例的可执行程序的监控装置,通过获取待监控的可执行程序的特征信息和待监控的可执行程序在客户端安装的文件,并根据两者的匹配结果确定待监控的可执行程序是否为不可信程序,以及在待监控的可执行程序为不可信程序时,对待监控的可执行程序进行拦截处理,分别通过特征数据库中的特征信息和病毒库中的特征对待监控的可执行程序进行确定,摆脱了对恶意代码特征的依赖,能够及时地对不可信程序进行查杀和拦截,有效地保障了用户信息的安全。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,"计算机可读介质"可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本发明各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (20)
1.一种可执行程序的监控方法,其特征在于,包括:
确定待监控的可执行程序;
获取所述待监控的可执行程序的特征信息和所述待监控的可执行程序在客户端安装的文件;以及
根据所述文件与所述特征信息的匹配结果确定所述待监控的可执行程序是否为不可信程序,并在所述待监控的可执行程序为不可信程序时,对所述待监控的可执行程序进行拦截处理。
2.根据权利要求1所述的方法,其特征在于,所述确定待监控的可执行程序,包括:
接收用户选择的可执行程序,并将所述用户选择的可执行程序作为所述待监控的可执行程序;或者
主动获取后台运行的可执行程序,并将获取到的可执行程序作为所述待监控的可执行程序。
3.根据权利要求1所述的方法,其特征在于,所述获取所述待监控的可执行程序的特征信息,包括:
从服务器的特征数据库或本地的病毒库中获取所述待监控的可执行程序的特征信息。
4.根据权利要求1所述的方法,其特征在于,所述获取所述待监控的可执行程序在客户端安装的文件,包括:
获取所述待监控的可执行程序在安装目录下的文件。
5.根据权利要求1所述的方法,其特征在于,所述对所述待监控的可执行程序进行拦截处理,包括:
获取所述待监控的可执行程序的防护级别;
当所述防护级别为第一防护级别时,直接拦截和查杀所述待监控的可执行程序;当所述防护级别为第二防护级别时,继续对所述待监控的可执行程序进行监控,当所述待监控的可执行程序触发预定操作时,对所述待监控的可执行程序进行拦截。
6.根据权利要求3所述的方法,其特征在于,在所述从本地的病毒库中获取所述待监控的可执行程序的特征信息之前,还包括:
收集所述待监控的可执行程序的攻击样本,对所述攻击样本进行特征提取,并将提取出的特征保存至所述病毒库中。
7.根据权利要求3所述的方法,其特征在于,在所述从服务器的特征数据库中获取所述待监控的可执行程序的特征信息之前,还包括:
建立所述特征数据库,并向所述服务器发送所述特征数据库,以使所述服务器保存所述特征数据库。
8.根据权利要求7所述的方法,其特征在于,所述建立所述特征数据库,包括:
自动获取可执行文件的属性信息和所述可执行程序的依赖文件的属性信息,并将所述可执行文件的属性信息和所述可执行程序的依赖文件的属性信息对应保存至所述特征数据库中。
9.根据权利要求8所述的方法,其特征在于,所述可执行程序的属性信息包括所述可执行程序的原始名称、大小和数字签名信息中的一种或多种,所述可执行程序的依赖文件的属性信息包括所述可执行程序的依赖文件的名称、大小、数字签名信息和产品信息中的一种或多种。
10.根据权利要求9所述的方法,其特征在于,所述可执行程序的依赖文件包括动态链接库和数据配置文件。
11.一种可执行程序的监控装置,其特征在于,包括:
确定模块,用于确定待监控的可执行程序;
获取模块,用于获取所述待监控的可执行程序的特征信息和所述待监控的可执行程序在客户端安装的文件;以及
处理模块,用于根据所述文件与所述特征信息的匹配结果确定所述待监控的可执行程序是否为不可信程序,并在所述待监控的可执行程序为不可信程序时,对所述待监控的可执行程序进行拦截处理。
12.根据权利要求11所述的装置,其特征在于,所述确定模块,具体用于:
接收用户选择的可执行程序,并将所述用户选择的可执行程序作为所述待监控的可执行程序;或者
主动获取后台运行的可执行程序,并将获取到的可执行程序作为所述待监控的可执行程序。
13.根据权利要求11所述的装置,其特征在于,所述获取模块,具体用于:
从服务器的特征数据库或本地的病毒库中获取所述待监控的可执行程序的特征信息。
14.根据权利要求11所述的装置,其特征在于,所述获取模块,具体用于:
获取所述待监控的可执行程序在安装目录下的文件。
15.根据权利要求11所述的装置,其特征在于,所述处理模块,具体用于:
获取所述待监控的可执行程序的防护级别;
当所述防护级别为第一防护级别时,直接拦截和查杀所述待监控的可执行程序;当所述防护级别为第二防护级别时,继续对所述待监控的可执行程序进行监控,当所述待监控的可执行程序触发预定操作时,对所述待监控的可执行程序进行拦截。
16.根据权利要求13所述的装置,其特征在于,还包括:
保存模块,用于在所述获取模块从本地的病毒库中获取所述待监控的可执行程序的特征信息之前,收集所述待监控的可执行程序的攻击样本,对所述攻击样本进行特征提取,并将提取出的特征保存至所述病毒库中。
17.根据权利要求13所述的装置,其特征在于,还包括:
建立模块,用于在所述获取模块从服务器的特征数据库中获取所述待监控的可执行程序的特征信息之前,建立所述特征数据库,并向所述服务器发送所述特征数据库,以使所述服务器保存所述特征数据库。
18.根据权利要求17所述的装置,其特征在于,所述建立模块,具体用于:
自动获取可执行文件的属性信息和所述可执行程序的依赖文件的属性信息,并将所述可执行文件的属性信息和所述可执行程序的依赖文件的属性信息对应保存至所述特征数据库中。
19.根据权利要求18所述的装置,其特征在于,所述可执行程序的属性信息包括所述可执行程序的原始名称、大小和数字签名信息中的一种或多种,所述可执行程序的依赖文件的属性信息包括所述可执行程序的依赖文件的名称、大小、数字签名信息和产品信息中的一种或多种。
20.根据权利要求19所述的装置,其特征在于,所述可执行程序的依赖文件包括动态链接库和数据配置文件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410315365.3A CN104123489A (zh) | 2014-07-02 | 2014-07-02 | 可执行程序的监控方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410315365.3A CN104123489A (zh) | 2014-07-02 | 2014-07-02 | 可执行程序的监控方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104123489A true CN104123489A (zh) | 2014-10-29 |
Family
ID=51768898
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410315365.3A Pending CN104123489A (zh) | 2014-07-02 | 2014-07-02 | 可执行程序的监控方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104123489A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104657661A (zh) * | 2015-01-26 | 2015-05-27 | 武汉安天信息技术有限责任公司 | 移动终端中恶意代码的检测方法和装置 |
| CN105550573A (zh) * | 2015-12-23 | 2016-05-04 | 北京奇虎科技有限公司 | 拦截捆绑软件的方法和装置 |
| CN107122663A (zh) * | 2017-04-28 | 2017-09-01 | 成都梆梆信息科技有限公司 | 一种注入攻击检测方法及装置 |
| CN110737264A (zh) * | 2019-09-11 | 2020-01-31 | 北京戴纳实验科技有限公司 | 一种实验室远程监控系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101901323A (zh) * | 2010-07-22 | 2010-12-01 | 湖北盛天网络技术有限公司 | 一种监控程序模块加载活动的系统过滤方法 |
| CN102982281A (zh) * | 2012-11-09 | 2013-03-20 | 北京奇虎科技有限公司 | 程序状况检测方法和系统 |
| CN103001947A (zh) * | 2012-11-09 | 2013-03-27 | 北京奇虎科技有限公司 | 一种程序处理方法和系统 |
| CN102999720A (zh) * | 2012-11-09 | 2013-03-27 | 北京奇虎科技有限公司 | 程序鉴别方法和系统 |
| CN102999721A (zh) * | 2012-11-09 | 2013-03-27 | 北京奇虎科技有限公司 | 一种程序处理方法和系统 |
| CN103020516A (zh) * | 2013-01-17 | 2013-04-03 | 珠海市君天电子科技有限公司 | 一种防御网购木马的方法及其装置 |
| CN103077353A (zh) * | 2013-01-24 | 2013-05-01 | 北京奇虎科技有限公司 | 主动防御恶意程序的方法和装置 |
-
2014
- 2014-07-02 CN CN201410315365.3A patent/CN104123489A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101901323A (zh) * | 2010-07-22 | 2010-12-01 | 湖北盛天网络技术有限公司 | 一种监控程序模块加载活动的系统过滤方法 |
| CN102982281A (zh) * | 2012-11-09 | 2013-03-20 | 北京奇虎科技有限公司 | 程序状况检测方法和系统 |
| CN103001947A (zh) * | 2012-11-09 | 2013-03-27 | 北京奇虎科技有限公司 | 一种程序处理方法和系统 |
| CN102999720A (zh) * | 2012-11-09 | 2013-03-27 | 北京奇虎科技有限公司 | 程序鉴别方法和系统 |
| CN102999721A (zh) * | 2012-11-09 | 2013-03-27 | 北京奇虎科技有限公司 | 一种程序处理方法和系统 |
| CN103020516A (zh) * | 2013-01-17 | 2013-04-03 | 珠海市君天电子科技有限公司 | 一种防御网购木马的方法及其装置 |
| CN103077353A (zh) * | 2013-01-24 | 2013-05-01 | 北京奇虎科技有限公司 | 主动防御恶意程序的方法和装置 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104657661A (zh) * | 2015-01-26 | 2015-05-27 | 武汉安天信息技术有限责任公司 | 移动终端中恶意代码的检测方法和装置 |
| CN104657661B (zh) * | 2015-01-26 | 2018-05-22 | 武汉安天信息技术有限责任公司 | 移动终端中恶意代码的检测方法和装置 |
| CN105550573A (zh) * | 2015-12-23 | 2016-05-04 | 北京奇虎科技有限公司 | 拦截捆绑软件的方法和装置 |
| CN105550573B (zh) * | 2015-12-23 | 2019-01-15 | 北京奇虎科技有限公司 | 拦截捆绑软件的方法和装置 |
| CN107122663A (zh) * | 2017-04-28 | 2017-09-01 | 成都梆梆信息科技有限公司 | 一种注入攻击检测方法及装置 |
| CN107122663B (zh) * | 2017-04-28 | 2021-04-02 | 北京梆梆安全科技有限公司 | 一种注入攻击检测方法及装置 |
| CN110737264A (zh) * | 2019-09-11 | 2020-01-31 | 北京戴纳实验科技有限公司 | 一种实验室远程监控系统 |
| CN110737264B (zh) * | 2019-09-11 | 2022-09-06 | 北京戴纳实验科技有限公司 | 一种实验室远程监控系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9336389B1 (en) | Rapid malware inspection of mobile applications | |
| CN102081722B (zh) | 一种保护指定应用程序的方法及装置 | |
| CN102651061B (zh) | 用于检测复杂恶意软件的系统和方法 | |
| US8713680B2 (en) | Method and apparatus for modeling computer program behaviour for behavioural detection of malicious program | |
| CN102663288B (zh) | 病毒查杀方法及装置 | |
| CN104392176A (zh) | 移动终端及其设备管理器权限的拦截方法 | |
| CN103065090B (zh) | 一种应用程序恶意广告拦截方法及装置 | |
| CN111190962B (zh) | 一种文件同步方法、装置及本地终端 | |
| CN105205413B (zh) | 一种数据的保护方法及装置 | |
| CN103825780A (zh) | 外挂程序的鉴定方法、服务器和系统 | |
| CN109492406A (zh) | 监测内核漏洞攻击的方法、装置和系统 | |
| CN104123489A (zh) | 可执行程序的监控方法和装置 | |
| CN106341732B (zh) | 桌面启动器的管理方法及智能电视机 | |
| CN104123490A (zh) | 恶意捆绑软件的处理方法、装置和移动终端 | |
| US20130014260A1 (en) | Apparatus, system, and method for preventing infection by malicious code | |
| CN104361282A (zh) | 移动终端安全防护方法及装置 | |
| CN105872762A (zh) | 智能云电视应用程序的安装方法及装置 | |
| CN104217162A (zh) | 一种智能终端恶意软件的检测方法及系统 | |
| KR102180098B1 (ko) | 악성코드 모니터링 및 사용자 단말 제어 기능을 수행하는 악성코드 탐지 시스템 | |
| CN108898012B (zh) | 检测非法程序的方法和装置 | |
| CN104050257A (zh) | 钓鱼网页的检测方法和装置 | |
| CN106325993A (zh) | 一种应用程序的冻结方法以及终端 | |
| KR102213460B1 (ko) | 머신러닝을 이용한 소프트웨어 화이트리스트 생성 시스템 및 방법 | |
| CN104992116A (zh) | 基于intent sniffer的监测方法及系统 | |
| CN104426836A (zh) | 一种入侵检测方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20141029 |