CN104252596A - 一种脚本病毒的监控方法及装置 - Google Patents
一种脚本病毒的监控方法及装置 Download PDFInfo
- Publication number
- CN104252596A CN104252596A CN201310269085.9A CN201310269085A CN104252596A CN 104252596 A CN104252596 A CN 104252596A CN 201310269085 A CN201310269085 A CN 201310269085A CN 104252596 A CN104252596 A CN 104252596A
- Authority
- CN
- China
- Prior art keywords
- script
- function
- action
- shell script
- entrance
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种脚本病毒的监控方法及装置。其中,所述方法包括:挂钩脚本程序运行时所必需的二进制文件内存映像的入口点函数;利用解密函数对所述脚本程序进行解密得到真实命令序列;分析所述真实命令序列对应的真实脚本动作,并根据所述真实脚本动作执行对应操作。本发明能够对脚本病毒进行有效监控,保护操作系统的安全。
Description
技术领域
本发明涉及计算机病毒分析处理技术领域,具体涉及一种脚本病毒的监控方法及装置。
背景技术
脚本病毒,是指通过脚本语言编写的具有危害或破坏计算机系统正常工作的恶意程序。常见的脚本语言包括Visual Basic Script(简称为VBScript)和javascript。脚本语言的学习和编写比较简单,并且可以利用Windows系统提供的对象和组件,操作文件、注册表和网络等,基于脚本语言编写的脚本病毒,具有破坏力大、流传范围广等特点,严重危害了用户的系统安全。
传统的安全软件对脚本病毒的监控通常基于静态分析识别,通过字符匹配敏感命令序列字符,进而进行进一步的监控。由于这些脚本语言是解释执行的,其源代码可以直接明文获得或者通过简单处理而得到,对病毒样本经过简单修改就能产生新的病毒样本,因此其变种较多。基于静态分析识别的传统安全软件,难以对变种样本进行及时准确的查杀处理。
具体的,现有技术的静态分析识别,往往采用针对脚本病毒进行脚本动作所必须的对象及命令进行字符匹配来识别,例如,当监控到字符串“Scripting.FileSystemObject”(该字符串为脚本进行文件操作所必须创建的对象)时,则进行下一步监控。而一些脚本病毒通过对上述字符串进行加密,采用加密后的字符串来避免被识别。例如,采用escape全加密或部分加密方式对字符串进行加密,上述字符串加密后被替换成了十六进制的转义序列,如“%73%63%52%69%50%74%69%4E%47%2E%66%49%4C%65%53%79%73%74%65%6D%4F%62%6A%65%63%74”(全escape加密方式)或“s%63%52%69%50%74%69%4E%47%2E%66%49%4C%65%53%79%73%74%65%6D%4F%62%6A%65%63T”(部分escape加密方式)。
可以看出,通过不同的加密方式或者对字符串中的不同字符进行加密,可以获得多种多样的加密结果,传统的基于静态分析匹配方式,很难能顾及各种情形,往往监控不到变种病毒。恶意脚本程序采用此种特殊加密可以轻松逃避安全软件监控,进而实行恶意危害系统的行为。因此,亟需一种方法,能够对变种脚本病毒进行有效监控,以保护用户系统的安全。
发明内容
本发明要解决的技术问题是提供一种脚本病毒的监控方法及装置,用于对脚本病毒进行有效监控。
为解决上述技术问题,本发明的实施例提供技术方案如下:
一方面,提供一种脚本病毒的监控方法,包括:
挂钩脚本程序运行时所必需的二进制文件内存映像的入口点函数;
利用解密函数对所述脚本程序进行解密得到真实命令序列;
分析所述真实命令序列对应的真实脚本动作,并根据所述真实脚本动作执行对应操作。
进一步地,上述方案中,所述根据所述真实脚本动作执行对应操作包括:
根据所述真实脚本动作拦截或允许所述脚本程序的继续执行。
进一步地,上述方案中,所述根据所述真实脚本动作拦截或允许所述脚本程序的继续执行包括:
在所述真实脚本动作属于预先定义的脚本病毒动作时,拦截所述脚本程序的继续执行;否则,允许所述脚本程序的继续执行。
进一步地,上述方案中,在所述挂钩脚本程序运行时所必需的二进制文件内存映像的入口点函数之前,所述方法还包括:
若待监控程序加载的二进制文件内存映像为脚本支持相关的动态链接库文件,识别待监控程序为脚本程序。
进一步地,上述方案中,所述挂钩脚本程序运行时所必需的二进制文件内存映像的入口点函数,获得解密函数对脚本程序解密后得到的真实命令序列包括:
在脚本程序加载的二进制文件内存映像的虚拟内存空间中,搜索与解密函数的内存特征相匹配的入口点;
在所述入口点挂钩一伪造函数,通过所述伪造函数调用解密函数对脚本程序进行解密,并根据解密函数及其内部处理逻辑,从内存中读取解密后的真实命令序列。
本发明实施例还提供了一种脚本病毒的监控装置,包括:
挂钩处理模块,用于挂钩脚本程序运行时所必需的二进制文件内存映像的入口点函数,并利用解密函数对所述脚本程序进行解密得到真实命令序列;
分析模块,用于分析所述真实命令序列对应的真实脚本动作;
行为处理模块,用于并根据所述分析模块获得的真实脚本动作,执行对应操作。
进一步地,上述方案中,所述行为处理模块,根据所述真实脚本动作拦截或允许所述脚本程序的继续执行。
进一步地,上述方案中,所述行为处理模块,进一步用于在所述真实脚本动作属于预先定义的脚本病毒动作时,拦截所述脚本程序的继续执行;否则,允许所述脚本程序的继续执行。
进一步地,上述方案中,所述装置还包括:
识别模块,用于在待监控程序加载的二进制文件内存映像为脚本支持相关的动态链接库文件,识别待监控程序为脚本程序。
进一步地,上述方案中,所述挂钩处理模块包括:
搜索模块,用于在脚本程序加载的二进制文件内存映像的虚拟内存空间中,搜索与解密函数的内存特征相匹配的入口点;
解密模块,用于在所述入口点挂钩一伪造函数,通过所述伪造函数调用解密函数对脚本程序进行解密,并根据解密函数及其内部处理逻辑,从内存中读取解密后的真实命令序列。
从以上所述可以看出,本发明提供的脚本病毒的监控方法及装置,至少具有以下有益效果:
本发明实施例通过挂钩脚本程序运行时所必须二进制文件内存映像的入口点函数,使得常用的脚本病毒通过字符加密变换逃避安全软件监控的方式失效,从而可以有效地对脚本病毒进行监控,保护用户系统的安全。
附图说明
图1为本发明实施例所述脚本病毒的监控方法的流程示意图;
图2为本发明实施例所述脚本病毒的监控装置的结构示意图;
图3为本发明实施例提供的脚本病毒监控示例的流程示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图及具体实施例对本发明进行详细描述。
本发明实施例提供的脚本病毒的监控方法,如图1所示,包括以下步骤:
步骤11,挂钩脚本程序运行时所必需的二进制文件内存映像的入口点函数。
这里,挂钩是指通过修改内存数据,使得程序本来的执行流程受到改变。例如,可以在原流程入口点执行之前或执行之后加入额外的函数(伪造函数)执行流程,从而可以对传递给原流程入口点的信息(函数参数)进行修改或者对原流程入口点执行的结果进行改变。上述步骤11中,通过挂钩处理,改变脚本程序的执行流程,在脚本程序的真实命令序列被执行之前对其进行截获。
步骤12,利用解密函数对脚本程序进行解密得到真实命令序列;
具体的,所述解密函数包括VbsUnescape函数和JsUnescape函数。
步骤13,分析所述真实命令序列对应的真实脚本动作,并根据所述真实脚本动作执行对应操作。
上述步骤13中,可以按照现有技术中的分析方式,分析所述真实命令序列对应的真实脚本动作,例如,可以采用基于静态分析识别的方式,通过在真实命令序列中进行字符匹配处理,查找与预先设定的敏感命令序列字符相匹配的字符,然后依据匹配处理结果确定所述真实命令序列对应的真实脚本动作,进而执行对应的操作,例如,在所述真实脚本动作属于预先定义的脚本病毒动作时,拦截所述脚本程序的继续执行;否则,允许所述脚本程序的继续执行。
具体的,敏感命令序列字符的设置,则可以根据预先获得的脚本病毒进行脚本动作所必须的对象及命令进行设置,此处不再赘述。
从以上所述可以看出,本发明实施例提供的上述方法中,通过挂钩脚本程序相关解密(Unescape)函数入口点,分析出脚本程序解密后的真实命令序列,进而准确识别出脚本程序的真正意图,据此进行对应的操作,从而实现了对脚本病毒有效监控,保护了用户操作系统的安全。
考虑到系统中的程序多种多样,本实施例在执行上述步骤11之前,可以进一步识别出待监控程序中的脚本程序,针对脚本程序执行上述步骤11~13的处理,此时,上述方法在步骤11之前,还可以包括以下步骤:
若待监控程序加载的二进制文件内存映像为脚本支持相关的动态链接库文件,识别待监控程序为脚本程序。
具体的,对于Window(视窗)操作系统,所述脚本支持相关的动态链接库文件包括vbscirpt.dll和jscript.dll。
上述步骤11~12,又具体可以包括以下步骤:
步骤111,在脚本程序加载的二进制文件内存映像的虚拟内存空间中,搜索与解密函数的内存特征相匹配的入口点;
步骤112,在所述入口点挂钩一伪造函数,通过所述伪造函数调用解密函数对脚本程序进行解密,并根据解密函数及其内部处理逻辑,从内存中读取解密后的真实命令序列。
从以上所述可以看出,本发明实施例上述方法可以应用在脚本病毒识别分析系统中,针对常见的脚本病毒为了逃避安全软件的静态监控,通常采用escape加密等方式对病毒代码及数据进行特殊处理,从而使恶意行为不被发现的问题,本发明实施例通过挂钩相关解密(Unescape)函数入口点,并分析出解密后的真实结果,准确识别脚本病毒的真正意图后执行相应的处理,因此可以作为传统基于静态脚本病毒分析的有效补充。
基于上述方法,本发明实施例还提供了一种脚本病毒的监控装置,如图2所示,该装置包括:
挂钩处理模块,用于挂钩脚本程序运行时所必需的二进制文件内存映像的入口点函数,并利用解密函数对脚本程序进行解密得到真实命令序列;
分析模块,用于分析所述真实命令序列对应的真实脚本动作;
行为处理模块,用于并根据所述分析模块获得的真实脚本动作,执行对应操作。
其中,所述行为处理模块,用于根据所述真实脚本动作拦截或允许所述脚本程序的继续执行。
所述行为处理模块进一步用于在所述真实脚本动作属于预先定义的脚本病毒动作时,拦截所述脚本程序的继续执行;否则,允许所述脚本程序的继续执行。
为识别出待监控程序中的脚本程序,上述装置还包括:
识别模块,用于在待监控程序加载的二进制文件内存映像为脚本支持相关的动态链接库文件,识别待监控程序为脚本程序。
进一步的,上述装置中,所述挂钩处理模块包括:
搜索模块,用于在脚本程序加载的二进制文件内存映像的虚拟内存空间中,搜索与解密函数的内存特征相匹配的入口点;
解密模块,用于在所述入口点挂钩一伪造函数,通过所述伪造函数调用解密函数对脚本程序进行解密,并根据解密函数及其内部处理逻辑,从内存中读取解密后的真实命令序列。
为了更容易理解本实施例的上述方案,下面以Windows操作系统为例,将通过更为详细的示例对本发明做进一步的说明。
脚本病毒通常采用VBScript、JavaScript等语言编写。在Window操作系统中,脚本病毒由脚本宿主程序wscript.exe执行,并且在执行之前会根据脚本病毒采用的语言,加载动态链接库VBScript.dll或者jscript.dll。本发明实施例通过挂钩脚本病毒运行时所必须二进制文件内存映像(VBScript.dll或jscript.dll)的入口点函数,具体针对上述的escape全加密或者部分加密的方式对应VBScript.dll的VbsUnescape函数和jscript.dll的JsUnescape函数,待其执行完毕后交给分析模块,分析模块根据函数名称和结果获取逻辑,从内存中获取解密函数得到的解密结果,然后将解密结果发送给日志记录模块和行为处理模块进行记录以及对应处理。具体的,如图3所示,该示例包括以下步骤:
步骤31,针对待监控程序,挂钩kernel32.dll导出的函数LoadLibraryA,LoadLibraryW,LoadLibraryExA和LoadLibraryExW四个函数,这四个函数功能都是用来加载动态链接库。
这里,kernel32.dll是Windows操作系统中内核级的动态链接库文件,用于控制系统的内存管理、数据的输入输出操作和中断处理。Windows系统中带有字符串参数的API函数通常都有W和A两个版本,分别对应于Unicode和ANSI版本。通过挂钩上述四个函数,可以在待监控程序加载vbscirpt.dll或jscript.dll时,确定出待监控程序为脚本程序,进而后续处理。
步骤32,判断传入上述四个函数的第一个参数是否匹配字符串“vbscirpt.dll”或“jscript.dll”,若是,则继续执行步骤33;否则,进入步骤38。
这里,上述四个函数的第一个参数都是指将要被系统加载的动态链接库的全路径,若该第一个参数中存在与字符串“vbscirpt.dll”或“jscript.dll”相匹配的字符串,则说明待监控程序是脚本程序,此时需要执行后续的步骤33以进一步判断该脚本程序是否为恶意的脚本病毒。若待监控程序非脚本程序,则进入步骤38,以进一步按照该程序的原始逻辑进行处理。
步骤33,在满足步骤32匹配的情况下,待上述四个函数被系统执行完,通过搜索加载的vbscirpt.dll或jscript.dll虚拟内存空间,匹配VbsUnescape(VBS中escape对应的解密函数)或JsUnescape(JavaScript中escape对应的解密函数)函数特征,通过内存特征搜索找到VbsUnescape或JsUnescape的入口点。
步骤34,在步骤33执行完成后,挂钩上述入口点函数,替换为自己的伪造函数,这里,伪造函数与原函数(如VbsUnescape或JsUnescape函数)声明需要保持一致。
步骤35,经过escape全加密或部分加密的脚本程序在执行前,必须走unescape的解密流程,此时伪造函数被调用,在伪造函数内调用VbsUnescape或JsUnescape原始执行逻辑流程,对程序代码进行解密,等待系统执行完,将返回结果发送给分析模块。
步骤36,分析模块根据escape函数原型,如BL_INT__stdcallfake_JsUnescape(BL_WCHAR*p,BL_INT a),以及该函数的内部处理逻辑,获得解密后的结果,本示例中该结果需要按照*((BL_PWSTR*)(*((PULONG)((ULONG)a+8))+8))的规则从内存中获取。
例如,假设经过escape加密的某个脚本病毒代码为:
"%49%66%20%46%53%4F%2E%46%69%6C%65%45%78%69%73%74%73%28%66%50%61%74%68%29%20%54%68%65%6E%20%46%53%4F%2E%44%65%6C%65%74%65%46%69%6C%65%20%66%50%61%74%68%2C%54%72%75%65%0D%0A%53%65%74%20%46%63%3D%46%53%4F%2E%4F%70%65%6E%54%65%78%74%46%69%6C%65%28%66%50%61%74%68%2C%32%2C%54%72%75%65%29%0D%0A%46%63%2E%57%72%69%74%65%20%43%6F%6E%74%65%6E%74%0D%0A%46%63%2E%43%6C%6F%73%65%0D%0A%53%65%74%20%46%63%3D%4E%6F%74%68%69%6E%67%0D%0A%53%65%74%20%46%61%3D%46%53%4F%2E%47%65%74%46%69%6C%65%28%66%50%61%74%68%29%0D%0A%46%61%2E%41%74%74%72%69%62%75%74%65%73%3D%37%0D%0A%53%65%74%20%46%61%3D%4E%6F%74%68%69%6E%67”,
此时传统的静态分析很难识别其真正的脚本动作。而经过上述处理,得到解密结果后,对解密结果分析即可得到脚本动作的真实结果为:
上述命令序列表示,如果某文件存在,首先删除该文件,然后以同样路径建立新文件,将某些内容写进去之后关闭文件,最后修改该文件属性为系统并进行隐藏。
步骤37,将步骤36中分析获取的真实结果交给日志记录模块进行行为记录,以及发送结果信息给行为处理模块,行为处理模块则根据真实的脚本动作对病毒操作进行拦截以及对非病毒操作进行放行。
步骤38,将控制权交给系统,从而继续按照上述四个函数的原始逻辑处理。
综上,脚本病毒为了逃避安全软件对敏感操作命令的追踪通常采用字符加密变换的方式,使安全软件常难以正确识别其相关脚本动作的真正意图。本发明实施例通过挂钩脚本病毒运行时所必须二进制文件内存映像的入口点函数,即使脚本病毒采用了如上所述的字符加密变换,由于在其命令序列真正交给脚本解释器解释执行前必须要经过解密函数解密,本发明实施例针对此解密函数的入口点进行有效监控,可以获取字符加密变化前的真正命令序列,从而有效监控到脚本动作的真正意图和目的。
此说明书中所描述的许多功能部件都被称为模块,以便更加特别地强调其实现方式的独立性。
本发明实施例中,模块可以用软件实现,以便由各种类型的处理器执行。举例来说,一个标识的可执行代码模块可以包括计算机指令的一个或多个物理或者逻辑块,举例来说,其可以被构建为对象、过程或函数。尽管如此,所标识模块的可执行代码无需物理地位于一起,而是可以包括存储在不同物理上的不同的指令,当这些指令逻辑上结合在一起时,其构成模块并且实现该模块的规定目的。
实际上,可执行代码模块可以是单条指令或者是许多条指令,并且甚至可以分布在多个不同的代码段上,分布在不同程序当中,以及跨越多个存储器设备分布。同样地,操作数据可以在模块内被识别,并且可以依照任何适当的形式实现并且被组织在任何适当类型的数据结构内。所述操作数据可以作为单个数据集被收集,或者可以分布在不同位置上(包括在不同存储设备上),并且至少部分地可以仅作为电子信号存在于系统或网络上。
在模块可以利用软件实现时,考虑到现有硬件工艺的水平,所以可以以软件实现的模块,在不考虑成本的情况下,本领域技术人员都可以搭建对应的硬件电路来实现对应的功能,所述硬件电路包括常规的超大规模集成(VLSI)电路或者门阵列以及诸如逻辑芯片、晶体管之类的现有半导体或者是其它分立的元件。模块还可以用可编程硬件设备,诸如现场可编程门阵列、可编程阵列逻辑、可编程逻辑设备等实现。
以上所述仅是本发明的实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种脚本病毒的监控方法,其特征在于,包括:
挂钩脚本程序运行时所必需的二进制文件内存映像的入口点函数;
利用解密函数对所述脚本程序进行解密得到真实命令序列;
分析所述真实命令序列对应的真实脚本动作,并根据所述真实脚本动作执行对应操作。
2.根据权利要求1所述的方法,其特征在于,所述根据所述真实脚本动作执行对应操作包括:
根据所述真实脚本动作拦截或允许所述脚本程序的继续执行。
3.根据权利要求2所述的方法,其特征在于,所述根据所述真实脚本动作拦截或允许所述脚本程序的继续执行包括:
在所述真实脚本动作属于预先定义的脚本病毒动作时,拦截所述脚本程序的继续执行;否则,允许所述脚本程序的继续执行。
4.根据权利要求1所述的方法,其特征在于,在所述挂钩脚本程序运行时所必需的二进制文件内存映像的入口点函数之前,所述方法还包括:
若待监控程序加载的二进制文件内存映像为脚本支持相关的动态链接库文件,识别待监控程序为脚本程序。
5.根据权利要求1-4中任一项所述的方法,其特征在于,所述挂钩脚本程序运行时所必需的二进制文件内存映像的入口点函数,获得解密函数对脚本程序解密后得到的真实命令序列包括:
在脚本程序加载的二进制文件内存映像的虚拟内存空间中,搜索与解密函数的内存特征相匹配的入口点;
在所述入口点挂钩一伪造函数,通过所述伪造函数调用解密函数对脚本程序进行解密,并根据解密函数及其内部处理逻辑,从内存中读取解密后的真实命令序列。
6.一种脚本病毒的监控装置,其特征在于,包括:
挂钩处理模块,用于挂钩脚本程序运行时所必需的二进制文件内存映像的入口点函数,并利用解密函数对所述脚本程序进行解密得到真实命令序列;
分析模块,用于分析所述真实命令序列对应的真实脚本动作;
行为处理模块,用于并根据所述分析模块获得的真实脚本动作,执行对应操作。
7.根据权利要求6所述的装置,其特征在于,所述行为处理模块用于根据所述真实脚本动作拦截或允许所述脚本程序的继续执行。
8.根据权利要求7所述的装置,其特征在于,所述行为处理模块,进一步用于在所述真实脚本动作属于预先定义的脚本病毒动作时,拦截所述脚本程序的继续执行;否则,允许所述脚本程序的继续执行。
9.根据权利要求6所述的装置,其特征在于,还包括:
识别模块,用于在待监控程序加载的二进制文件内存映像为脚本支持相关的动态链接库文件,识别待监控程序为脚本程序。
10.根据权利要求6-9中任一项所述的装置,其特征在于,所述挂钩处理模块包括:
搜索模块,用于在脚本程序加载的二进制文件内存映像的虚拟内存空间中,搜索与解密函数的内存特征相匹配的入口点;
解密模块,用于在所述入口点挂钩一伪造函数,通过所述伪造函数调用解密函数对脚本程序进行解密,并根据解密函数及其内部处理逻辑,从内存中读取解密后的真实命令序列。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310269085.9A CN104252596B (zh) | 2013-06-28 | 2013-06-28 | 一种脚本病毒的监控方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310269085.9A CN104252596B (zh) | 2013-06-28 | 2013-06-28 | 一种脚本病毒的监控方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104252596A true CN104252596A (zh) | 2014-12-31 |
| CN104252596B CN104252596B (zh) | 2019-01-25 |
Family
ID=52187482
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310269085.9A Active CN104252596B (zh) | 2013-06-28 | 2013-06-28 | 一种脚本病毒的监控方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104252596B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104537306A (zh) * | 2015-01-13 | 2015-04-22 | 百度在线网络技术(北京)有限公司 | 识别病毒文件的方法及装置 |
| CN106650426A (zh) * | 2016-12-09 | 2017-05-10 | 哈尔滨安天科技股份有限公司 | 一种动态提取可执行文件内存映像的方法及系统 |
| CN106897609A (zh) * | 2015-12-17 | 2017-06-27 | 北京奇虎科技有限公司 | 一种对动态加载的应用程序进行监控的方法及装置 |
| CN107038375A (zh) * | 2017-03-22 | 2017-08-11 | 国家计算机网络与信息安全管理中心 | 一种获取被感染的宿主程序的解密方法及系统 |
| CN108459852A (zh) * | 2018-01-30 | 2018-08-28 | 美通云动(北京)科技有限公司 | 脚本处理方法及装置、存储介质、电子设备 |
| CN108710798A (zh) * | 2018-05-18 | 2018-10-26 | 华中科技大学 | 一种Android第三方库间共谋行为检测方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040187010A1 (en) * | 2003-03-18 | 2004-09-23 | Anderson W. Kyle | Automated identification and clean-up of malicious computer code |
| CN1983295A (zh) * | 2005-12-12 | 2007-06-20 | 北京瑞星国际软件有限公司 | 病毒识别方法及装置 |
| CN101350049A (zh) * | 2007-07-16 | 2009-01-21 | 珠海金山软件股份有限公司 | 鉴定病毒文件的方法、装置及网络设备 |
| CN101359352A (zh) * | 2008-09-25 | 2009-02-04 | 中国人民解放军信息工程大学 | 分层协同的混淆后api调用行为发现及其恶意性判定方法 |
| CN101587522A (zh) * | 2009-06-17 | 2009-11-25 | 北京东方微点信息技术有限责任公司 | 识别脚本病毒的方法及系统 |
| CN101667230A (zh) * | 2008-09-02 | 2010-03-10 | 北京瑞星国际软件有限公司 | 一种监控脚本执行的方法和装置 |
-
2013
- 2013-06-28 CN CN201310269085.9A patent/CN104252596B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040187010A1 (en) * | 2003-03-18 | 2004-09-23 | Anderson W. Kyle | Automated identification and clean-up of malicious computer code |
| CN1983295A (zh) * | 2005-12-12 | 2007-06-20 | 北京瑞星国际软件有限公司 | 病毒识别方法及装置 |
| CN101350049A (zh) * | 2007-07-16 | 2009-01-21 | 珠海金山软件股份有限公司 | 鉴定病毒文件的方法、装置及网络设备 |
| CN101667230A (zh) * | 2008-09-02 | 2010-03-10 | 北京瑞星国际软件有限公司 | 一种监控脚本执行的方法和装置 |
| CN101359352A (zh) * | 2008-09-25 | 2009-02-04 | 中国人民解放军信息工程大学 | 分层协同的混淆后api调用行为发现及其恶意性判定方法 |
| CN101587522A (zh) * | 2009-06-17 | 2009-11-25 | 北京东方微点信息技术有限责任公司 | 识别脚本病毒的方法及系统 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104537306A (zh) * | 2015-01-13 | 2015-04-22 | 百度在线网络技术(北京)有限公司 | 识别病毒文件的方法及装置 |
| CN106897609A (zh) * | 2015-12-17 | 2017-06-27 | 北京奇虎科技有限公司 | 一种对动态加载的应用程序进行监控的方法及装置 |
| CN106897609B (zh) * | 2015-12-17 | 2021-03-26 | 北京奇虎科技有限公司 | 一种对动态加载的应用程序进行监控的方法及装置 |
| CN106650426A (zh) * | 2016-12-09 | 2017-05-10 | 哈尔滨安天科技股份有限公司 | 一种动态提取可执行文件内存映像的方法及系统 |
| CN107038375A (zh) * | 2017-03-22 | 2017-08-11 | 国家计算机网络与信息安全管理中心 | 一种获取被感染的宿主程序的解密方法及系统 |
| CN108459852A (zh) * | 2018-01-30 | 2018-08-28 | 美通云动(北京)科技有限公司 | 脚本处理方法及装置、存储介质、电子设备 |
| CN108710798A (zh) * | 2018-05-18 | 2018-10-26 | 华中科技大学 | 一种Android第三方库间共谋行为检测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104252596B (zh) | 2019-01-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AU2020203503B2 (en) | Automated runtime detection of malware | |
| CN104252596A (zh) | 一种脚本病毒的监控方法及装置 | |
| Lin et al. | Identifying android malicious repackaged applications by thread-grained system call sequences | |
| Caballero et al. | Input generation via decomposition and re-stitching: Finding bugs in malware | |
| JP5087661B2 (ja) | 正常プロセスに偽装挿入された悪性コード検出装置、システム及びその方法 | |
| CN105683990B (zh) | 用于保护动态库的方法和装置 | |
| KR20180120157A (ko) | 데이터세트 추출 기반 패턴 매칭 | |
| CN110417768B (zh) | 一种僵尸网络的跟踪方法及装置 | |
| WO2018131199A1 (ja) | 結合装置、結合方法および結合プログラム | |
| US10412101B2 (en) | Detection device, detection method, and detection program | |
| Soliman et al. | Taxonomy of malware analysis in the IoT | |
| Cho et al. | Anti-debugging scheme for protecting mobile apps on android platform | |
| CN109871681A (zh) | 基于混合分析面向动态代码加载安卓恶意软件检测方法 | |
| Chen et al. | Semantic-integrated software watermarking with tamper-proofing | |
| KR101557455B1 (ko) | 응용 프로그램 코드 분석 장치 및 그것을 이용한 코드 분석 방법 | |
| CN112613000A (zh) | 一种敏感信息保护方法、装置、电子设备及可读存储介质 | |
| Sun et al. | IPSpex: Enabling efficient fuzzing via specification extraction on ICS protocol | |
| Lee et al. | Classification and analysis of security techniques for the user terminal area in the internet banking service | |
| Wang et al. | TVIDS: Trusted virtual IDS with SGX | |
| A. Mawgoud et al. | A malware obfuscation AI technique to evade antivirus detection in counter forensic domain | |
| KR102358101B1 (ko) | 프로그램 보안 적용방법 | |
| JP6258189B2 (ja) | 特定装置、特定方法および特定プログラム | |
| Zheng et al. | Design of automated security assessment framework for mobile applications | |
| Chen et al. | SLAM: A smart analog module layout generator for mixed analog-digital VLSI design | |
| CN107608849A (zh) | 一种面向安卓app加密内容的快速识别方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100041 room 3, 3 West well road, Badachu hi tech park, Shijingshan District, Beijing, 1100A Patentee after: Beijing Cheetah Mobile Technology Co.,Ltd. Patentee after: Beijing Cheetah Network Technology Co.,Ltd. Patentee after: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd. Patentee after: ZHUHAI JUNTIAN ELECTRONIC TECHNOLOGY Co.,Ltd. Patentee after: CONEW NETWORK TECHNOLOGY (BEIJING) Co.,Ltd. Address before: 100041 room 3, 3 West well road, Badachu hi tech park, Shijingshan District, Beijing, 1100A Patentee before: SHELL INTERNET (BEIJING) SECURITY TECHNOLOGY Co.,Ltd. Patentee before: BEIJING KINGSOFT NETWORK TECHNOLOGY Co.,Ltd. Patentee before: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd. Patentee before: ZHUHAI JUNTIAN ELECTRONIC TECHNOLOGY Co.,Ltd. Patentee before: CONEW NETWORK TECHNOLOGY (BEIJING) Co.,Ltd. |
|
| CP01 | Change in the name or title of a patent holder |