CN105760773A - 通过易受攻击的应用控制打开文件的系统和方法 - Google Patents
通过易受攻击的应用控制打开文件的系统和方法 Download PDFInfo
- Publication number
- CN105760773A CN105760773A CN201610067361.7A CN201610067361A CN105760773A CN 105760773 A CN105760773 A CN 105760773A CN 201610067361 A CN201610067361 A CN 201610067361A CN 105760773 A CN105760773 A CN 105760773A
- Authority
- CN
- China
- Prior art keywords
- file
- computer
- application
- strategy
- documents
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6281—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database at program execution time, where the protection is within the operating system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/561—Virus type analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/564—Static detection by virus signature recognition
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Bioethics (AREA)
- Databases & Information Systems (AREA)
- Computing Systems (AREA)
- Automation & Control Theory (AREA)
- Stored Programmes (AREA)
Abstract
公开了一种用于控制由易受攻击的应用打开计算机文件的系统和方法。一个示例性的方法包括:检测来自软件应用的请求,以打开用户计算机上的计算机文件;确定所述文件的一个或多个参数;基于所述文件的参数,确定文件访问策略,其中所述文件访问策略至少指定所述软件应用至所述用户计算机的资源的访问权限;识别所述软件应用的漏洞;至少基于所确定的漏洞,确定用于所述软件应用的应用启动策略,其中所述应用启动策略至少指定是否允许或禁止打开所述文件;以及基于所述文件访问策略和应用启动策略,控制打开所述用户计算机上的文件以及通过与所打开的文件一起工作的软件应用访问计算机资源。
Description
技术领域
本公开大体涉及计算机安全领域,并且更具体地涉及通过易受攻击的软件应用控制打开文件的系统和方法。
背景技术
在计算设备上使用的软件应用的数量以惊人的速度增长,这些计算设备包括个人计算机、平板电脑和智能手机(此处统称为“计算机”)。当在计算机上使用的软件应用接收或打开计算机文件时,计算机可能经常容易受到流氓软件的攻击。流氓软件或“恶意软件”,可以包括黑客开发的病毒、特洛伊木马、间谍软件、蠕虫、机器人等。由于恶意软件给计算机及其用户持续造成很多问题,已经做了很多努力来开发复杂的防病毒应用程序,以防止恶意软件。
一个问题是,防病毒应用通常扫描计算机上的每个可疑文件,并且因此该应用可能消耗的计算机资源相当大的部分。然而,由于恶意软件可能导致的潜在破坏严重性,除了将用于运行防病毒应用的资源从在计算机上执行的其他应用中转移开,计算机系统通常提供很少的选择。
计算机资源的消耗并不限于当软件最初扫描时将新的软件文件引入到计算机后紧接着的一段时间。文件的后续扫描也需要资源,因为防病毒应用会定期更新,以使它们能够防御新发现的恶意软件,其被重新扫描。也就是说,某些文件最初确定为没有恶意软件的可能在由更新的防病毒应用重新扫描后被确定为包含恶意软件。因此,需要用于多次扫描的资源,以提高防御恶意软件的保护质量。
遗憾的是,对于计算机和它们的用户来说,恶意软件继续变得更加复杂和更危险。因此,防病毒应用需要更多的计算机资源来有效运作。因此,人们希望在目前情况下,提供一种系统,该系统可以创建规则或条件,以在某种条件下限制打开计算机文件的软件应用的权限,以限制用于防御可能的恶意软件的计算机资源的数量。
发明内容
公开了一种用于控制由易受攻击的应用控制打开计算机文件的系统和方法。一个示例性的方法包括:检测来自软件应用的请求,以打开用户计算机上的计算机文件;确定所述文件的一个或多个参数;基于所述文件的参数,确定文件访问策略,其中所述文件访问策略至少指定所述软件应用至所述用户计算机的资源的访问权限;识别所述软件应用的漏洞;至少基于所确定的漏洞,确定用于所述软件应用的应用启动策略,其中所述应用启动策略至少指定是否允许或禁止打开所述文件;以及基于所述文件访问策略和应用启动策略,控制打开所述用户计算机上的文件以及通过与所打开的文件一起工作的软件应用访问计算机资源。
在另一个示例性方面中,所述软件应用包括创建所述计算机文件的源应用和请求打开所述用户计算机上的所述计算机文件的消费类应用中的一个或多个源应用。
在另一个示例性方面中,由所述源应用创建的所述计算机文件包括进程、可执行文件、脚本文件和动态库中的一种。
在另一个示例性方面中,所述方法还包括:当由所述源应用创建所述计算机文件时,确定使用文件系统过滤器驱动器、所述用户计算机上的操作系统(OS)应用程序接口(API)的调用的拦截以及由所述源应用在所述用户计算机上提供的API中的至少一种。
在另一个示例性方面中,由所述硬件处理器确定的计算机文件的参数包括所述计算机文件的类型、所述计算机文件的大小、所述计算机文件的数字签名和所述计算机文件的扩展名中的至少一种。
在另一个示例性方面中,通过所述硬件处理器确定所述计算机文件的一个或多个参数还包括:进行所述计算机文件的防病毒分析,其中所述计算机文件的参数包括所述防病毒分析的结果。
在另一个示例性方面中,识别所述软件应用的漏洞还包括:确定所述软件应用中的校正的漏洞,确定所述软件应用的先前版本中的漏洞以及确定所述软件应用的先前版本中校正的漏洞。
在另一个示例性方面中,所述方法还包括:指定所述文件访问策略和应用启动策略的优先级,由此控制打开所述计算机文件和由所述软件应用访问所述计算机资源是基于所述文件访问策略和应用启动策略的各自的优先级。
在另一个示例性方面中,其中对所述计算机资源的访问权限包括禁止所述软件应用进行以下操作中的一种或多种:至所述计算机的文件系统的低级别访问;至盘的低级别访问;在所述计算机上执行驱动器;修改所述计算机的注册表;直接访问所述计算机的存储器;获得进程描述器(descriptor);使用浏览器的API;修改目录“%SystemRoot%”和“%ProgramFiles%”及所有的子目录中具有扩展名.exe和.dll的文件;创建和修改所述计算机的Startup(启动)目录中的文件;创建和修改autorun(自动运行)键;访问用带有包括环境变量的地址的文件资源;以及访问所述计算机的用户注册表资源。
在另一个示例性方面中,所述方法还包括:基于以下中的一项或多项,通过硬件处理器确定所述软件应用是否是不受信任的文件源:搜索不受信任的文件的已知源应用的数据库、分析用于加载易受攻击的模块或不受信任的文件的源应用的行为;以及基于所述软件应用是否是不受信任的文件源的确定结果,进一步通过硬件处理器控制打开所述用户计算机上的所述计算机文件以及通过软件应用访问所述计算机资源。
在另一个示例性方面中,一种用于控制由软件应用打开用户计算机上的计算机文件的示例性的系统,所述系统包括:硬件处理器,被配置为:检测来自软件应用的请求,以打开所述用户计算机上的计算机文件;确定所述计算机文件的一个或多个参数;基于所述计算机文件的参数,确定与所请求的计算机文件相关联的文件访问策略,其中所述文件访问策略至少指定当与所请求的计算机文件一起工作时,所述软件应用至所述用户计算机的资源的访问权限;识别所述软件应用的漏洞;至少基于所确定的漏洞,确定用于所述软件应用的应用启动策略,其中所述应用启动策略至少指定是否允许或禁止打开所述文件;以及至少基于所述文件访问策略和应用启动策略,控制打开所述用户计算机上的所述计算机文件以及通过与所打开的文件一起工作的软件应用访问计算机资源。
上述实施例的方面的简述用于提供本公开的基本理解。该概述不是对所有预期方面的广泛综述,并且既不是要确定所有方面的关键或重要元素,也不希望描绘本公开的任何范围或所有方面。其唯一目的在于以简化形式呈现一个或多个方面,作为随后的本公开的更详细的说明的前序。为了实现前述内容,本公开的一个或多个方面包括在权利要求中所描述和特别指出的特征。
附图说明
以下附图,合并至本文并组成本文的一部分,示出了本公开的一个或多个示例性方面,以及与详细说明一起用于解释其原理及应用。
图1示出了用于通过易受攻击的应用控制打开文件的示例性的系统的示意图。
图2示出了用于通过易受攻击的应用控制打开文件的示例性的方法的流程图。
图3示出了可以实施所公开的系统和方法的通用计算机系统的实施例。
具体实施方式
本文在用于通过易受攻击的软件应用控制打开计算机文件的系统、方法和计算机程序产品的上下文中描述了示例性的方面。本领域的普通技术人员将认识到,以下的描述仅是说明性的并无意以任何方式进行限制。对于受益于本公开的本领域技术人员来说,其它方面就其自身而言将很容易想到。现在将参考如图附图中所示的示例方面的实施方式来详细描述。相同的编号将被尽可能地用于全部附图和下面的说明中,以指代相同或类似的项目。
图1示出用于控制打开由易受攻击的软件应用程序创建的计算机文件的系统100。术语“应用”是指计算机程序(例如,MicrosoftWord,InternetExplorer,等等)的一个或多个版本。“易受攻击(vulnerable)的应用”指的是公知的具有或已经具有漏洞的应用。术语“漏洞”包括但不限于软件代码或逻辑中的任何错误、弱点或疏忽,这可以由恶意分子利用以获得对所述软件在其上运行的计算机系统或网络的访问。此外,可以被用于传送计算机不受信任的文件或其他不需要的对象(如恶意软件)的应用也可以被认为是“易受攻击的应用”(如web浏览器,即时消息客户端)。在一个实例性的方面中,可以在防病毒应用开发者一侧预先形成易受攻击的应用的列表,并存储在用户的计算机的应用数据库106上,计算机通过这些易受攻击的应用可暴露于不受信任的文件。不受信任的文件可以包括但列表不限于可能对计算机系统造成潜在伤害的文件,诸如恶意的或易受攻击的文件。
在一个示例性方面中,系统100包括配置为识别当文件102由源应用101创建或试图由消费类应用101a打开时的监控模块103。监控模块103还配置成确定文件102的参数。系统100还包括分析模块104,配置为识别源应用101和/或消费类应用101a中的安全漏洞,以及源应用101和/或消费类应用101a是否与任何不受信任的文件源相关联。为了实现这个目标,在一个示例性方面中,分析模块104可以使用应用数据库106,其中包含的已知的易受攻击的应用列表和它们的漏洞,和已知是不受信任的文件源的应用的列表。在另一示例性方面中,分析模块104可以分析用于,例如,通过由易受攻击的模块或不受信任的对象的源应用加载的源应用101a的行为。在又一个方面中,分析模块104可以分析应用的元数据。该系统100还包括配置成确定用于文件102的文件打开策略的策略确定模块105,以及配置成通过应用101和/或101a拦截打开文件102的控制模块107。
在一个示例性方面中,监控模块103被配置为,在由源应用101创建其之时或在其由消费类应用101a打开之时,确定文件102的参数。文件102的参数可包括但不限于:文件类型(例如,文本、图像、PDF格式、宏、可执行文件等)、文件大小、呈现电子数字签名(EDS)、EDS认证机构的名称、文件的源(例如,源服务器的地址)、文件在受信任文件清单中的存在(其可以被存储在应用数据库106中)、文件扩展名等。
在一个示例性方面中,试图打开文件102的消费类应用101а可以与源应用101(例如,中已经创建了可以事后在 中打开的文本文件)相同。在另一示例性方面中,消费类应用101а可以是文件102,如果它是可执行文件、脚本文件,或者一个动态链接库(例如,可执行文件在因特网浏览器的帮助下已被下载并保存到磁盘,其将稍后在计算机上执行,而无需使用外部应用)。可以预期的是,文件打开可包括由当文件不是可执行文件时由消费类应用101a直接打开文件102,以及当文件102是可执行文件时执行文件102。
在一个示例性方面中,分析模块104还可以被配置为确定在应用101的先前版本中的漏洞的存在。所述分析模块可使用应用数据库106确定漏洞的存在,其包含在已知的应用中的漏洞列表。在又一个方面中,分析模块104可以被额外地配置为确定在应用101以及还有在应用101的之前的版本中被修补的漏洞的存在。在另一个方面中,分析模块104可配置为确定在消费应用101a中的漏洞的存在。如本文所使用的,被修补的漏洞包括软件制造商已针对其发布了校正了错误的更新(补丁)的漏洞,这些错误否则可能会由黑客、恶意软件或类似物利用。此外,这样的更新应该被安装在用户的计算机系统上。对于没有发布或安装更新的漏洞将在以下被称为“漏洞”。
在一个示例性方面中,策略确定模块105被配置成基于由监控模块103和分析模块104确定的信息,来确定用于消费类应用101a的文件102的文件打开策略。在一个示例性方面中,用于文件102的文件打开策略是基于用于消费类应用101a的文件访问策略和应用启动策略来确定的。
在一个示例性方面中,文件访问策略指定使用文件102的消费类应用101a至用户计算机的资源的访问权限,当与文件102一起工作时,应用在所述用户计算机上运行。在一个示例性方面中,访问权限可以包括在用计算机资源执行各种操作的消费类应用101a的限制(如,禁止或允许)。这样的操作包括但不限于:执行至文件系统的低级别访问;执行至硬盘驱动器的低级别访问;启动驱动器;修改OS注册表;直接访问存储器;获得进程描述器(descriptor);使用网络浏览器的应用编程接口(API);修改目录中由环境变量“%SystemRoot%”和“%ProgramFiles%”及所有的子目录中具有扩展名.exe和.dll的文件;创建和修改“Startup(启动)”目录中的文件;创建和修改autorun(自动运行)键;访问包括环境变量的地址的文件资源;以及访问用户注册表资源;以及其他操作。
在一个示例性方面中,用于消费类应用101а的应用启动策略指定启动消费类应用101а的规则(例如,允许或禁止打开文件102)。用于软件应用的应用启动策略可以至少基于消费类应用101和/或消费类应用101a的确定的漏洞,并且,具体地,基于在应用的各种版本中存在或不存在已校正的和未校正的漏洞。
在另一个方面,应用数据库106可额外含有具有相应的文件打开策略的应用列表,以及包含在应用的所有版本中的未修补和已修补的漏洞的对应列表。
在一个示例性方面中,控制模块107连接到策略确定模块105,并配置为拦截消费类应用101a打开文件102的请求。在另一示例性方面,控制模块107可以进一步被配置为基于文件打开策略控制由消费类应用101a打开文件102。
图2示出由易受攻击的软件应用控制打开文件的示例性方法。在步骤201中,监控模块103检测由源应用101创建文件102的情况。监控模块103可以使用各种已知的方法用于检测文件102的创建,诸如,例如使用控制文件打开的驱动器(例如,文件系统过滤驱动器);通过拦截系统API函数调用;使用由应用提供的API;或其它方法。在步骤202中,分析模块104确定在应用101中漏洞的存在。在一个示例性方面中,分析模块104可另外确定在源应用101的最新和先前版本中漏洞的存在,以及在在消费类应用101a中漏洞的存在。如果源应用101从未包含漏洞,分析模块104可以,例如使用应用数据库106,确定源应用101是否是不受信任的文件源。
在步骤203中,分析模块104确定所创建的文件102的各种参数,其可以包括但不限于:文件类型、文件大小、文件的ESD、EDS的认证机构的名称、文件源、在受信任的文件列表中出现的文件、文件扩展名和其他文件参数和元数据。
在一个示例性方面中,根据在步骤202中确定的信息,分析模块104可以执行文件102的防病毒扫描。如果,例如,在源应用101中发现未修补的漏洞,则可以对文件102进行防病毒扫描。文件的防病毒扫描可包括恶意软件检测的一种或多种已知的方法,例如基于签名和启发式分析、仿真以及其他方法。此外,文件102的防病毒扫描可包括针对受信任的文件列表检查文件,并使用防病毒软件制造商的用户之间的文件信誉。而且,如果源应用101不包含漏洞,文件102的防病毒扫描可以省略。防病毒扫描的结果将被视为文件的参数(例如,该文件未在恶意软件数据库中找到,该文件是广告程序等)。
在步骤204中,策略确定模块105基于在步骤202和203确定的信息确定用于文件102的文件访问策略。在一个示例性方面中,文件访问策略指定消费类应用101а至计算机资源的访问权限,这之前在图1的描述中列举过。在另一个示例性方面中,文件访问策略指定了打开文件102的规则,诸如,例如,允许或禁止由消费类应用101a打开文件102。
在一个示例性方面中,消费类应用101а可以是创建文件102的源应用程序101。同时,如果文件102本身可以是可执行文件、脚本文件或连接库,消费类应用101а可以是文件102。
在另一个方面,消费类应用101а可以根据在步骤204确定的文件打开策略执行文件102的打开。
表1示出了消费类应用101а的文件访问策略的例子。
表1
如上所示,表1的前两行包含关于在源应用101的最新版本中以及在源应用101的先前版本出现漏洞的信息。源应用101可包含重要的漏洞,其对用户的计算机系统构成实质性威胁(例如,恶意的窃取可能安装在计算机上的密码或财务信息),以及非重要的漏洞,其可能包括非常有限的权限提升漏洞以及本地可开发的(exploitable)拒绝服务漏洞。这个等级(rating)也可用于非敏感系统信息披露漏洞(例如应用安装路径的远程披露)。此外,在表1中也可考虑校正的漏洞。另外,在表1中也考虑了当源应用101是不受信任的应用源的情况。
此外,前两列包含关于文件参数的信息。在表1中所示的例子中考虑了参数“文件类型”,其可被允许或拒绝由消费类应用101a打开。例如,应用试图与文本文件一起工作,而不是与多媒体文件或可执行文件一起工作。与此同时,中可以创建含有宏的扩展名.doc的文件,即,脚本文件。在这种情况下,该文件类型可以被允许,但,由于黑客可能使用宏,当与此文件一起工作时,应用中的访问权限可受到限制。
表1还包含文件打开策略,其取决于在源应用101的漏洞的出现和文件102的参数。在示例性方面中,根据表1,如果应用的最新版本包含重要漏洞,其还没有被修补,而文件类型是允许的文件类型,不管文件102是可执行的或不可执行的,均可拒绝打开。在另一个例子中,如果应用101包含不重要的漏洞,可以拒绝打开可执行文件,而可以允许打开非可执行文件,然而,消费类应用101а可使其对于计算机资源的访问被拒绝或受到限制。可以预期的是,根据示例性方面,至计算机资源的受限制的访问包括拒绝访问一些计算机资源。例如,消费类应用101а可被限制而不能修改OS的注册表,而在图1的描述中提到的其他行动则被允许。此外,在所考虑的两个例子中,禁止类型的文件102的打开也将被拒绝。
在又一个示例中,如果在应用的最新版本中没有检测到漏洞,但应用的先前版本有漏洞且针对该漏洞的校正更新(例如,补丁)已经发布,则可以允许应用打开允许类型的非可执行文件而不受限制。与此同时,可为允许类型的可执行文件执行防病毒检查。
在表1的最后一列,根据第一规则,如果源应用101是不受信任的文件源,允许类型的可执行文件102将被拒绝访问计算机资源。
在步骤205中,控制模块107拦截由消费类应用101a打开文件102的请求。并且,在步骤206中,策略确定模块105确定用于消费类应用101a的应用启动策略。控制模块107可以使用任何已知的方法来拦截来自消费类应用101a的打开文件102的请求,包括但不限于:使用文件系统过滤器驱动器);通过拦截系统的API调用;或者使用由应用提供的API。
在步骤207,该策略确定模块105根据文件访问策略和消费类应用101a的应用启动策略通过由消费类应用101a确定文件102的文件打开策略。
表2显示了文件102的消费类应用101a的文件打开策略的实施例。
表2
在一个示例性方面,消费类应用101a的文件打开策略可以被选为消费应用101a的应用启动策略和用于文件102的文件打开策略中最严格的(禁止)的,如表2中规则1所规定的。在另一示例性方面中,文件打开策略可以被选择为文件访问策略和应用启动策略中最少限制的(即,允许访问资源),例如表2中规则2所规定的。
在另一示例性方面中,包含在表2中的策略限制可以具有不同的优先级。规则3根据用于消费类应用101a的文件访问策略和应用启动策略中指定的限制的优先级,来选择文件打开策略的一个例子。例如,具有优先级1的文件访问策略可对OS注册表的修改设置限制,而具有较高优先级2的用于消费类应用101a的应用程序启动策略可以允许注册表的修改。其结果是,用于消费类应用101a的最终文件打开策略将包含允许修改OS注册表的规则,因为将以具有较高优先级2的策略为准。此外,用于消费类应用101a的文件打开策略中的允许规则将还包含修改autorun键的权限并具有优先级2,这是从文件访问策略以及对文件资源的低级别访问权限承继的(inherit),因为这种限制只存在于消费类应用101a的应用启动策略中。生成的文件开放策略也将包含对磁盘低级别访问的禁止,其是从比在用于消费类应用101a的应用启动策略中类似的允许规则相比具有较高优先级的磁盘访问策略中承继的。无论是否是低优先级,禁止直接访问存储器只存在于文件访问策略,并且,因此,将被文件打开策略承继。
图3示出通用的计算机系统(其可以是个人计算机或服务器)的实施例,所公开的系统和方法可以在其上实施。计算机系统20包括中央处理单元21、系统存储器22和连接各系统组件的系统总线23,所述系统组件包括与中央处理单元21相关联的存储器。系统总线23实现为现有技术中已知的任何总线结构,依次包括总线存储器或总线存储器控制器,外围总线和本地总线,其能够与任何其他总线体系结构交互。系统存储器包括只读存储器(ROM)24和随机访问存储器(RAM)25。基本输入/输出系统(BIOS)26包括确保在个人计算机20的元件之间传输信息的基本进程,诸如在使用ROM24的操作系统加载之时。
相应地,个人计算机20包括用于读取和写入数据的硬盘27,用于在可移动磁盘29上读取和写入的磁盘驱动器28,和用于在可移动光盘31(如CD-ROM、DVD-ROM和其它光学信息媒体)上读取和写入的光盘驱动器30。硬盘27、磁盘驱动器28以及光盘驱动器30连接到分别横跨硬盘接口32、磁盘接口33和光盘驱动器接口34的系统总线23。驱动器和相应的计算机信息介质是电独立的模块,用于存储计算机指令、数据结构、程序模块和个人计算机20的其他数据。
本公开内容提供了使用硬盘27、可移动磁盘29和可移动光盘31的系统的实施例,但应该理解的是,也可能采用能够将数据存储为计算机可读形式的其它类型的计算机信息介质56(固态驱动器、闪存卡、数字盘、随机访问存储器(RAM)等等),它通过控制器55被连接到系统总线23。
计算机20具有文件系统36,所记录的操作系统35以及还有附加程序应用37、其它程序模块38和程序数据39被存储在其中。用户能够通过使用输入设备(键盘40、鼠标42)将命令和信息输入到个人计算机20。可以使用其它输入设备(未示出):话筒、操纵杆、游戏控制器、扫描仪等等。这样的输入设备通常通过串行端口46插入到计算机系统20,计算机系统20又被连接到系统总线,但它们可以以其他方式进行连接,例如,用并行端口、游戏端口或通用串行总线(USB)。显示器47或其它类型的显示设备也通过接口(诸如通过视频适配器48)被连接到系统总线23。除了显示器47,个人计算机可以配备有其他外围输出设备(未示出)如扬声器、打印机等。
个人计算机20能够在网络环境中运行,使用网络连接到一个或多个远程计算机49。远程计算机(或计算机)49也是具有在个人计算机20的所述描述性质中上述的元件的多数或全部的个人计算机或服务器,如图3所示。计算机网络中也可以存在其他设备,例如路由器、网络基站、对等设备或其它网络节点。
网络连接可形成局域计算机网络(LAN)50,诸如有线和/或无线网络,以及广域计算机网络(WAN)。这样的网络在企业计算机网络和公司内部网络中使用,而且它们一般可以访问互联网。在LAN或WAN网络中,个人计算机20通过网络适配器或网络接口51连接到局域网50。当使用网络时,个人计算机20可以使用调制解调器54或其它模块,用于提供与广域计算机网络,如因特网的通信。调制解调器54,其是内部或外部装置,通过串行端口46连接到系统总线23。应当注意的是,网络连接仅仅是示例,并且不需要描绘网络的具体配置,即,在现实中存在通过技术通信模块(如蓝牙)来建立从一个计算机至另一个计算机的连接的其他方式。
在各个方面中,在此描述的系统和方法可以在硬件、软件、固件或其任何组合中来实施。如果在软件中实施,该方法可被存储为在非临时性计算机可读介质上的一个或多个指令或代码。计算机可读介质包括数据存储器。以举例的方式,而非限制,这样的计算机可读介质可以包括RAM、ROM、EEPROM、CD-ROM、闪存存储器或其他类型的电、磁、或光存储介质,或者可以被用来承载或存储指令或数据结构形式的且可由通用计算机的处理器访问的所需程序代码的任何介质。
在各个方面,本公开中以模块为术语的方式描述了系统和方法。如本文所使用的,术语“模块”指的是现实世界的设备、组件,或使用硬件实现的组件的布置,例如通过应用专用集成电路(ASIC)或现场可编程门阵列(FPGA)的结构,例如,或作为硬件和软件的组合,如通过微处理器系统和一组来实现该模块的功能,其中(在执行时)将微处理器系统转换为特殊用途的设备。模块也可以被实施为所述两者的组合,其具有单独由硬件促进的某些功能,以及由硬件和软件的组合来促进的其它功能。在某些实施例中,模块的至少一部分,并且在某些情况下,模块的全部可以在通用计算机的处理器上执行(如更详细地如图3中所描述的那样)。因此,每个模块可以各种合适的配置而被实现,并且不应当限于本文列举的任何特定的实施例。
为了清楚起见,本文中并未公开所有方面的常规特征。应当理解,在本公开的任何实际实施例的开发中,为了实现开发者的具体目标,必须做出许多实施方式特定的决定,并且这些特定目标根据不同的实施例和不同的开发者而变化。应当理解,这样开发努力可能是复杂和费时的,但是对于获得本公开的益处的本领域普通技术人员来说,其仍然是所从事工程的常规任务。
此外,还应当理解,这里使用的措辞或术语是为了描述的目的,而不是限制,使得本说明书的术语或措辞应当由本领域技术人员在此处呈现的教导和指引下、结合本领域技术的相关技术(多个)中的知识而解释。此外,并没有意图将说明书或权利要求书中的任何术语解释为罕见的或特殊的含义,除非明确阐述如此。
本文所公开的包括现在和未来已知的等同于本文通过举例说明的方式所提及的已知模块的各个方面。此外,虽然各方面和应用已被图示和描述,对于获得本公开的益处的本领域普通技术人员来说,比上面所提到的更多的修改将是可能的,且不脱离本文公开的发明构思。
Claims (18)
1.一种用于控制由软件应用打开用户计算机上的计算机文件的方法,所述方法包括:
通过硬件处理器检测来自软件应用的请求,以打开所述用户计算机上的计算机文件;
通过所述硬件处理器确定所述计算机文件的一个或多个参数;
通过所述硬件处理器,基于所述计算机文件的参数,确定与所请求的计算机文件相关联的文件访问策略,其中所述文件访问策略至少指定当与所请求的计算机文件一起工作时,所述软件应用至所述用户计算机的资源的访问权限;
通过所述硬件处理器识别所述软件应用的漏洞;
通过所述硬件处理器,至少基于所确定的漏洞,确定用于所述软件应用的应用启动策略,其中所述应用启动策略至少指定是否允许或禁止打开所述文件;以及
通过所述硬件处理器,至少基于所述文件访问策略和应用启动策略,控制打开所述用户计算机上的所述计算机文件以及通过与所打开的文件一起工作的软件应用访问计算机资源。
2.根据权利要求1所述的方法,其中所述软件应用包括创建所述计算机文件的源应用和请求打开所述用户计算机上的所述计算机文件的消费类应用中的一个或多个应用。
3.根据权利要求2所述的方法,其中由所述源应用创建的所述计算机文件包括进程、可执行文件、脚本文件和动态库中的一种。
4.根据权利要求2所述的方法,还包括:当所述源应用创建所述计算机文件时,确定使用文件系统过滤器驱动器、所述用户计算机上的操作系统(OS)应用程序接口(API)的调用的拦截以及由所述源应用在所述用户计算机上提供的API中的至少一种。
5.根据权利要求1所述的方法,其中由所述硬件处理器确定的计算机文件的参数包括所述计算机文件的类型、所述计算机文件的大小、所述计算机文件的数字签名和所述计算机文件的扩展名中的至少一种。
6.根据权利要求1所述的方法,其中通过所述硬件处理器确定所述计算机文件的一个或多个参数还包括:进行所述计算机文件的防病毒分析,其中所述计算机文件的参数包括所述防病毒分析的结果。
7.根据权利要求1所述的方法,其中识别所述软件应用的漏洞还包括:确定所述软件应用中的校正的漏洞,确定所述软件应用的先前版本中的漏洞,以及确定所述软件应用的先前版本中校正的漏洞。
8.根据权利要求1所述的方法,还包括:指定所述文件访问策略和应用启动策略的优先级,由此控制打开所述计算机文件和由所述软件应用访问所述计算机资源是基于所述文件访问策略和应用启动策略的各自的优先级。
9.根据权利要求1所述的方法,其中对所述计算机资源的访问权限包括禁止所述软件应用进行以下操作中的一种或多种:至所述计算机的文件系统的低级别访问;至盘的低级别访问;在所述计算机上执行驱动器;修改所述计算机的注册表;直接访问所述计算机的存储器;获得进程描述器;使用浏览器的API;修改目录“%SystemRoot%”和“%ProgramFiles%”及所有的子目录中具有扩展名.exe和.dll的文件;创建和修改所述计算机的Startup目录中的文件;创建和修改autorun键;访问用带有包括环境变量的地址的文件资源;以及访问所述计算机的用户注册表资源。
10.根据权利要求1所述的方法,还包括:
基于以下中的一项或多项,通过硬件处理器确定所述软件应用是否是不受信任的文件源:搜索不受信任的文件的已知源应用的数据库、分析用于加载易受攻击的模块或不受信任的文件的源应用的行为;以及
分析源应用的元数据;以及
基于所述软件应用是否是不受信任的文件源的确定结果,进一步通过硬件处理器控制打开所述用户计算机上的所述计算机文件以及通过软件应用访问所述计算机资源。
11.一种用于控制由软件应用打开用户计算机上的计算机文件的系统,所述系统包括:
硬件处理器,被配置为:
检测来自软件应用的请求,以打开所述用户计算机上的计算机文件;
确定所述计算机文件的一个或多个参数;
基于所述计算机文件的参数,确定与所请求的计算机文件相关联的文件访问策略,其中所述文件访问策略至少指定当与所请求的计算机文件一起工作时,所述软件应用至所述用户计算机的资源的访问权限;
识别所述软件应用的漏洞;
至少基于所确定的漏洞,确定用于所述软件应用的应用启动策略,其中所述应用启动策略至少指定是否允许或禁止打开所述文件;以及
至少基于所述文件访问策略和应用启动策略,控制打开所述用户计算机上的所述计算机文件以及通过与所打开的文件一起工作的软件应用访问计算机资源。
12.根据权利要求11所述的系统,其中所述软件应用包括创建所述计算机文件的源应用和请求打开所述用户计算机上的所述计算机文件的消费类应用中的一个或多个应用。
13.根据权利要求12所述的系统,其中所述处理器还被配置为当由所述源应用创建所述计算机文件时,确定使用文件系统过滤器驱动器、所述用户计算机上的操作系统(OS)应用程序接口(API)的调用的拦截以及由所述源应用在所述用户计算机上提供的API中的至少一种。
14.根据权利要求11所述的系统,其中由所述硬件处理器确定的计算机文件的参数包括所述计算机文件的类型、所述计算机文件的大小、所述计算机文件的数字签名和所述计算机文件的扩展名中的至少一种。
15.根据权利要求11所述的系统,其中识别所述软件应用的漏洞还包括:确定所述软件应用中的校正的漏洞,确定所述软件应用的先前版本中的漏洞,以及确定所述软件应用的先前版本中校正的漏洞。
16.根据权利要求11所述的系统,其中所述处理器还被配置为指定所述文件访问策略和应用启动策略的优先级,由此控制打开所述计算机文件和由所述软件应用访问所述计算机资源是基于所述文件访问策略和应用启动策略的各自的优先级。
17.根据权利要求11所述的系统,其中对所述计算机资源的访问权限包括禁止所述软件应用进行以下操作中的一种或多种:至所述计算机的文件系统的低级别访问;至盘的低级别访问;在所述计算机上执行驱动器;修改所述计算机的注册表;直接访问所述计算机的存储器;获得进程描述器(descriptor);使用浏览器的API;修改目录“%SystemRoot%”和“%ProgramFiles%”及所有的子目录中具有扩展名.exe和.dll的文件;创建和修改所述计算机的Startup目录中的文件;创建和修改autorun键;访问用带有包括环境变量的地址的文件资源;以及访问所述计算机的用户注册表资源。
18.根据权利要求11所述的系统,其中所述处理器还被配置为:
基于以下中的一项或多项,确定所述软件应用是否是不受信任的文件源:搜索不受信任的文件的已知源应用的数据库、分析用于加载易受攻击的模块或不受信任的文件的源应用的行为;以及
分析源应用的元数据;以及
基于所述软件应用是否是不受信任的文件源的确定结果,进一步控制打开所述用户计算机上的所述计算机文件以及通过软件应用访问所述计算机资源。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US14/791,827 US9697361B2 (en) | 2015-07-06 | 2015-07-06 | System and method of controlling opening of files by vulnerable applications |
US14/791,827 | 2015-07-06 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105760773A true CN105760773A (zh) | 2016-07-13 |
CN105760773B CN105760773B (zh) | 2019-02-01 |
Family
ID=54106112
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610067361.7A Active CN105760773B (zh) | 2015-07-06 | 2016-01-29 | 通过易受攻击的应用控制打开文件的系统和方法 |
Country Status (4)
Country | Link |
---|---|
US (2) | US9697361B2 (zh) |
EP (1) | EP3115920B1 (zh) |
JP (1) | JP6482489B2 (zh) |
CN (1) | CN105760773B (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105956468A (zh) * | 2016-04-22 | 2016-09-21 | 中国科学院信息工程研究所 | 一种基于文件访问动态监控的Android恶意应用检测方法及系统 |
CN107798252A (zh) * | 2017-10-27 | 2018-03-13 | 维沃移动通信有限公司 | 一种文件访问方法及移动终端 |
WO2018108051A1 (zh) * | 2016-12-15 | 2018-06-21 | 腾讯科技(深圳)有限公司 | 一种系统管理方法及装置、存储介质 |
CN108292349A (zh) * | 2015-10-26 | 2018-07-17 | 亚马逊科技有限公司 | 在分布式计算环境中提供虚拟机实例的细粒度访问远程命令执行 |
CN108875356A (zh) * | 2018-05-29 | 2018-11-23 | 努比亚技术有限公司 | 一种数据访问方法、终端及计算机可读存储介质 |
CN110192195A (zh) * | 2017-01-25 | 2019-08-30 | 微软技术许可有限责任公司 | 通过任何数据通道的安全数据访问 |
Families Citing this family (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10176331B2 (en) * | 2016-06-10 | 2019-01-08 | Microsoft Technology Licensing, Llc | Enhanced metadata to authentically report the provenance of a file |
GB2563066B (en) | 2017-06-02 | 2019-11-06 | Avecto Ltd | Computer device and method for managing privilege delegation |
GB2566262B (en) | 2017-09-01 | 2020-08-26 | Avecto Ltd | Managing installation of applications on a computer device |
GB2566305B (en) | 2017-09-08 | 2020-04-15 | Avecto Ltd | Computer device and method for controlling process components |
GB2566949B (en) | 2017-09-27 | 2020-09-09 | Avecto Ltd | Computer device and method for managing privilege delegation |
GB2568919B (en) | 2017-11-30 | 2020-07-15 | Avecto Ltd | Managing removal and modification of installed programs on a computer device |
GB2570655B (en) | 2018-01-31 | 2020-12-16 | Avecto Ltd | Managing privilege delegation on a server device |
GB2573491B (en) | 2018-02-08 | 2020-07-01 | Avecto Ltd | Managing privilege delegation on a computer device |
GB2570924B (en) | 2018-02-12 | 2021-06-16 | Avecto Ltd | Managing registry access on a computer device |
GB2572977B (en) | 2018-04-18 | 2020-04-22 | Avecto Ltd | Protecting a computer device from escalation of privilege attacks |
US10749876B2 (en) | 2018-08-09 | 2020-08-18 | Cyberark Software Ltd. | Adaptive and dynamic access control techniques for securely communicating devices |
US10594694B2 (en) | 2018-08-09 | 2020-03-17 | Cyberark Software Ltd. | Secure offline caching and provisioning of secrets |
US11907354B2 (en) * | 2018-08-09 | 2024-02-20 | Cyberark Software Ltd. | Secure authentication |
CN109344611B (zh) * | 2018-09-06 | 2024-02-27 | 天翼安全科技有限公司 | 应用的访问控制方法、终端设备及介质 |
GB2577067B (en) | 2018-09-12 | 2021-01-13 | Avecto Ltd | Controlling applications by an application control system in a computer device |
JP6678798B1 (ja) | 2019-05-28 | 2020-04-08 | 株式会社ビズリーチ | 処理装置及び処理方法 |
US10642979B1 (en) * | 2019-09-19 | 2020-05-05 | Capital One Services, Llc | System and method for application tamper discovery |
US11651067B2 (en) * | 2020-06-23 | 2023-05-16 | Acronis International Gmbh | Systems and methods for detecting stored passwords vulnerable to compromise |
US20230004638A1 (en) * | 2021-06-30 | 2023-01-05 | Citrix Systems, Inc. | Redirection of attachments based on risk and context |
KR20230075777A (ko) * | 2021-11-23 | 2023-05-31 | 삼성전자주식회사 | 애플리케이션 보안을 위한 방법, 및 그 방법을 수행하는 전자 장치 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060271596A1 (en) * | 2005-05-26 | 2006-11-30 | Sabsevitz Arthur L | File access management system |
US20070028291A1 (en) * | 2005-07-29 | 2007-02-01 | Bit 9, Inc. | Parametric content control in a network security system |
US20080209138A1 (en) * | 2007-02-26 | 2008-08-28 | Microsoft Corporation | File Blocking Mitigation |
CN101578610A (zh) * | 2007-10-29 | 2009-11-11 | 株式会社东芝 | 文件访问控制装置及程序 |
EP2199939A1 (en) * | 2008-12-17 | 2010-06-23 | Symantec Corporation | Context-aware real-time computer-protection systems and methods |
US20150047046A1 (en) * | 2013-08-07 | 2015-02-12 | Kaspersky Lab Zao | System and Method for Protecting Computers from Software Vulnerabilities |
CN104657676A (zh) * | 2015-03-05 | 2015-05-27 | 北京安普诺信息技术有限公司 | 一种基于微过滤驱动的文件强制访问控制方法及其系统 |
Family Cites Families (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7185015B2 (en) | 2003-03-14 | 2007-02-27 | Websense, Inc. | System and method of monitoring and controlling application files |
US7913092B1 (en) * | 2005-12-29 | 2011-03-22 | At&T Intellectual Property Ii, L.P. | System and method for enforcing application security policies using authenticated system calls |
US20070199044A1 (en) * | 2006-02-17 | 2007-08-23 | Samsung Electronics Co., Ltd. | Systems and methods for distributed security policy management |
US20080016339A1 (en) * | 2006-06-29 | 2008-01-17 | Jayant Shukla | Application Sandbox to Detect, Remove, and Prevent Malware |
CN101350053A (zh) * | 2007-10-15 | 2009-01-21 | 北京瑞星国际软件有限公司 | 防止网页浏览器被漏洞利用的方法和装置 |
US20090138969A1 (en) * | 2007-11-26 | 2009-05-28 | Kim Yun Ju | Device and method for blocking autorun of malicious code |
US20100146589A1 (en) | 2007-12-21 | 2010-06-10 | Drivesentry Inc. | System and method to secure a computer system by selective control of write access to a data storage medium |
US8448218B2 (en) * | 2008-01-17 | 2013-05-21 | Josep Bori | Method and apparatus for a cryptographically assisted computer system designed to deter viruses and malware via enforced accountability |
KR100985074B1 (ko) | 2009-02-05 | 2010-10-04 | 주식회사 안철수연구소 | 선별적 가상화를 이용한 악성 코드 사전 차단 장치, 방법 및 그 방법을 실행하는 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체 |
US9721090B2 (en) * | 2010-04-29 | 2017-08-01 | Safend Ltd. | System and method for efficient inspection of content |
US8918874B2 (en) * | 2010-05-25 | 2014-12-23 | F-Secure Corporation | Malware scanning |
US9436826B2 (en) * | 2011-05-16 | 2016-09-06 | Microsoft Technology Licensing, Llc | Discovering malicious input files and performing automatic and distributed remediation |
US9047441B2 (en) * | 2011-05-24 | 2015-06-02 | Palo Alto Networks, Inc. | Malware analysis system |
EP2939392A1 (en) * | 2012-12-31 | 2015-11-04 | British Telecommunications Public Limited Company | Processing device and method of operation thereof |
US9614865B2 (en) * | 2013-03-15 | 2017-04-04 | Mcafee, Inc. | Server-assisted anti-malware client |
US9639693B2 (en) * | 2013-06-28 | 2017-05-02 | Symantec Corporation | Techniques for detecting a security vulnerability |
EP2835758B1 (en) * | 2013-08-07 | 2016-11-02 | Kaspersky Lab, ZAO | System and method for controlling access to encrypted files |
US20150332043A1 (en) * | 2014-05-15 | 2015-11-19 | Auckland Uniservices Limited | Application analysis system for electronic devices |
-
2015
- 2015-07-06 US US14/791,827 patent/US9697361B2/en active Active
- 2015-08-13 EP EP15180993.6A patent/EP3115920B1/en active Active
-
2016
- 2016-01-29 CN CN201610067361.7A patent/CN105760773B/zh active Active
- 2016-03-09 JP JP2016045304A patent/JP6482489B2/ja active Active
-
2017
- 2017-05-30 US US15/607,742 patent/US10621356B2/en active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060271596A1 (en) * | 2005-05-26 | 2006-11-30 | Sabsevitz Arthur L | File access management system |
US20070028291A1 (en) * | 2005-07-29 | 2007-02-01 | Bit 9, Inc. | Parametric content control in a network security system |
US20080209138A1 (en) * | 2007-02-26 | 2008-08-28 | Microsoft Corporation | File Blocking Mitigation |
CN101578610A (zh) * | 2007-10-29 | 2009-11-11 | 株式会社东芝 | 文件访问控制装置及程序 |
EP2199939A1 (en) * | 2008-12-17 | 2010-06-23 | Symantec Corporation | Context-aware real-time computer-protection systems and methods |
US20150047046A1 (en) * | 2013-08-07 | 2015-02-12 | Kaspersky Lab Zao | System and Method for Protecting Computers from Software Vulnerabilities |
CN104657676A (zh) * | 2015-03-05 | 2015-05-27 | 北京安普诺信息技术有限公司 | 一种基于微过滤驱动的文件强制访问控制方法及其系统 |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108292349A (zh) * | 2015-10-26 | 2018-07-17 | 亚马逊科技有限公司 | 在分布式计算环境中提供虚拟机实例的细粒度访问远程命令执行 |
CN108292349B (zh) * | 2015-10-26 | 2021-10-08 | 亚马逊科技有限公司 | 在分布式计算环境中提供虚拟机实例的细粒度访问远程命令执行 |
CN105956468A (zh) * | 2016-04-22 | 2016-09-21 | 中国科学院信息工程研究所 | 一种基于文件访问动态监控的Android恶意应用检测方法及系统 |
CN105956468B (zh) * | 2016-04-22 | 2018-12-28 | 中国科学院信息工程研究所 | 一种基于文件访问动态监控的Android恶意应用检测方法及系统 |
WO2018108051A1 (zh) * | 2016-12-15 | 2018-06-21 | 腾讯科技(深圳)有限公司 | 一种系统管理方法及装置、存储介质 |
CN110192195A (zh) * | 2017-01-25 | 2019-08-30 | 微软技术许可有限责任公司 | 通过任何数据通道的安全数据访问 |
CN110192195B (zh) * | 2017-01-25 | 2023-10-24 | 微软技术许可有限责任公司 | 用于安全数据访问的系统、方法和计算机存储介质 |
CN107798252A (zh) * | 2017-10-27 | 2018-03-13 | 维沃移动通信有限公司 | 一种文件访问方法及移动终端 |
CN107798252B (zh) * | 2017-10-27 | 2019-10-18 | 维沃移动通信有限公司 | 一种文件访问方法及移动终端 |
CN108875356A (zh) * | 2018-05-29 | 2018-11-23 | 努比亚技术有限公司 | 一种数据访问方法、终端及计算机可读存储介质 |
CN108875356B (zh) * | 2018-05-29 | 2020-12-01 | 杭州滚马网络有限公司 | 一种数据访问方法、终端及计算机可读存储介质 |
Also Published As
Publication number | Publication date |
---|---|
JP6482489B2 (ja) | 2019-03-13 |
US9697361B2 (en) | 2017-07-04 |
US20170011220A1 (en) | 2017-01-12 |
CN105760773B (zh) | 2019-02-01 |
JP2017016631A (ja) | 2017-01-19 |
US20170262631A1 (en) | 2017-09-14 |
EP3115920B1 (en) | 2017-11-22 |
US10621356B2 (en) | 2020-04-14 |
EP3115920A1 (en) | 2017-01-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105760773A (zh) | 通过易受攻击的应用控制打开文件的系统和方法 | |
EP3123311B1 (en) | Malicious code protection for computer systems based on process modification | |
US9407648B1 (en) | System and method for detecting malicious code in random access memory | |
RU2571723C2 (ru) | Система и способ для снижения нагрузки на операционную систему при работе антивирусного приложения | |
EP3462358B1 (en) | System and method for detection of malicious code in the address space of processes | |
US8161563B2 (en) | Running internet applications with low rights | |
US9147073B2 (en) | System and method for automatic generation of heuristic algorithms for malicious object identification | |
CN102737188A (zh) | 检测恶意网页的方法及装置 | |
RU2584507C1 (ru) | Способ обеспечения безопасного выполнения файла сценария | |
US11928206B2 (en) | Selective import/export address table filtering | |
CN102110213A (zh) | 检测计算机系统内隐藏的对象 | |
US20230185921A1 (en) | Prioritizing vulnerabilities | |
US11397812B2 (en) | System and method for categorization of .NET applications | |
US11971986B2 (en) | Self-protection of anti-malware tool and critical system resources protection | |
US9390275B1 (en) | System and method for controlling hard drive data change | |
US11170103B2 (en) | Method of detecting malicious files resisting analysis in an isolated environment | |
RU2606883C2 (ru) | Система и способ открытия файлов, созданных уязвимыми приложениями | |
RU2595510C1 (ru) | Способ исключения процессов из антивирусной проверки на основании данных о файле |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |