CN106022124A - 针对恶意软件分析受口令保护的文件 - Google Patents
针对恶意软件分析受口令保护的文件 Download PDFInfo
- Publication number
- CN106022124A CN106022124A CN201510634688.3A CN201510634688A CN106022124A CN 106022124 A CN106022124 A CN 106022124A CN 201510634688 A CN201510634688 A CN 201510634688A CN 106022124 A CN106022124 A CN 106022124A
- Authority
- CN
- China
- Prior art keywords
- password
- file
- context entry
- equipment
- password protection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/629—Protecting access to data via a platform, e.g. using keys or access control rules to features or functions of an application
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Virology (AREA)
- Bioethics (AREA)
- Storage Device Security (AREA)
- Information Transfer Between Computers (AREA)
Abstract
一种设备可以接收将被访问用于分析的受口令保护的文件。该设备可以识别将被使用作为用以尝试访问受口令保护的文件的口令的、与受口令保护的文件相关联的上下文项。该上下文项可以基于以下各项中的至少一项而被识别:与受口令保护的文件相关联的元数据,与受口令保护的文件从其被接收的源相关联的元数据,或者与受口令保护的文件从其被接收的源相关联的文本。该设备可以应用该上下文项作为用以尝试访问受口令保护的文件的口令。
Description
背景技术
恶意软件(“malware”)可以指代用来扰乱计算机操作、收集敏感信息、取得对私有计算机系统的访问等的任何软件。恶意软件可以指代各种类型的敌对性或者侵入性软件,包括计算机病毒、蠕虫、特洛伊木马、勒索软件、间谍软件、广告软件、恐吓软件、或者其他恶意软件。
发明内容
根据一些可能的实施方式,一种设备可以接收将被访问用于分析的受口令保护的文件。该设备可以识别将被使用作为用以尝试访问该受口令保护的文件的口令的、与该受口令保护的文件相关联的上下文项。该上下文项可以基于以下各项中的至少一项而被识别:与该受口令保护的文件相关联的元数据,与该受口令保护的文件从其被接收的源相关联的元数据,或者与该受口令保护的文件从其被接收的源相关联的文本。该设备可以应用该上下文项作为用以尝试访问该受口令保护的文件的口令。
根据一些可能的实施方式,一种计算机可读介质可以存储一个或多个指令,该一个或多个指令在由一个或多个处理器执行时促使该一个或多个处理器接收受口令保护的文件。该一个或多个指令可以促使该一个或多个处理器识别将被使用作为用以尝试访问该受口令保护的文件的口令的、与该受口令保护的文件相关联的上下文项。该上下文项可以基于以下各项中的至少一项而被识别:与该受口令保护的文件相关联的第一未加密文本,与该受口令保护的文件从其被接收的源相关联的第二未加密文本,或者与另一文件相关联的第三未加密文本,该另一文件与该受口令保护的文件共享一定程度的相似性。该一个或多个指令可以促使该一个或多个处理器应用该上下文项作为用以尝试访问该受口令保护的文件的口令。
根据一些可能的实施方式,一种方法可以包括:由设备接收将被访问用于分析的受口令保护的文件。该方法可以包括:由该设备识别将被使用作为用以尝试访问该受口令保护的文件的口令的、与该受口令保护的文件相关联的上下文项。该上下文项可以基于以下各项中的至少一项而被识别:与该受口令保护的文件相关联的第一文本,或者与该受口令保护的文件从其被获得的源相关联的第二文本。该方法可以包括:由该设备应用该上下文项作为用以尝试访问该受口令保护的文件的口令。该方法可以包括:由该设备基于应用该上下文项或者非上下文项作为口令,来确定该受口令保护的文件已经成功地被访问。该方法可以包括:由该设备访问该受口令保护的文件用于分析。
附图说明
图1是本文所描述的一种示例实施方式的概览的示图;
图2是本文所描述的系统和/或方法可以在其中被实施的示例环境的示图;
图3是图2的一个或多个设备的示例组件的示图;
图4是用于访问受口令保护的文件从而可以针对恶意软件来分析该受口令保护的文件的示例过程的流程图;以及
图5A-5E是与图4中所示出的示例过程有关的一种示例实施方式的示图。
具体实施方式
对多种示例实施方式的以下详细描述参考了附图。不同附图中的相同参考标号可以识别相同或相似的元件。
反恶意软件的应用可以能够分析文件(例如,二进制文件)以确定该文件是否为恶意软件。然而,恶意用户可以使用口令来保护恶意软件文件,由此防止反恶意软件的应用分析该文件,因为反恶意软件的应用可能不具有访问该文件的口令。本文所描述的实施方式可以协助访问受口令保护的文件,以针对恶意软件来分析该文件。
图1是本文所描述的一种示例实施方式100的概览的示图。如图1中所示出的,安全设备(例如,服务器、防火墙、网关等)可以接收将针对恶意软件而被分析的受口令保护的文件。如进一步所示出的,安全设备可以识别将被使用作为用以尝试访问该文件的口令的、与该文件相关联的上下文项。例如,安全设备可以分析包括该文件的电子邮件、可以分析托管该文件的网站、可以分析文件元数据等等,以识别上下文项。本文的其他地方更详细地描述了用于识别上下文项的其他技术。
如图1中进一步所示出的,安全设备可以将上下文项存储在口令字典中,并且可以将非上下文项存储在该口令字典中。在一些实施方式中,安全设备可以对口令字典中的这些项进行优先级化,并且可以给予上下文项比非上下文项更高的优先级。安全设备然后可以使用经优先级化的项作为用以尝试访问该文件的口令,从而可以针对恶意软件来分析该文件。通过对上下文项进行优先级化,安全设备可以确保上下文项(它们比非上下文项更有可能是用于该文件的口令)在非上下文项之前被应用作为口令。以这种方式,安全设备可以节约处理资源。此外,在受口令保护的文件是被能够基于该文件的上下文(例如,基于包括该文件的电子邮件消息、包括该文件的网站等中所包括的文本)来确定的口令所保护时,安全设备可以允许受口令保护的文件针对恶意软件而被分析。
图2是本文所描述的系统和/或方法可以在其中被实施的示例环境200的示图。如图2中所示出的,环境200可以包括一个或多个客户端设备210-1至210-N(N≥1)(下文统称为“多个客户端设备210”,并且个体地称为“客户端设备210”)、安全设备220、客户网络230和网络240。环境200的设备可以经由有线连接、无线连接、或者有线连接和无线连接的组合进行互连。
客户端设备210可以包括能够访问和/或执行文件的一个或多个设备。例如,客户端设备210可以包括台式计算机、膝上型计算机、平板计算机、移动电话(例如,智能电话、无线电电话等)、服务器、或者类似类型的设备。在一些实施方式中,客户端设备210可能是恶意软件攻击的目标,并且可能接收到包括恶意软件的文件。当被执行时,恶意软件可能对客户端设备210和/或由客户端设备210存储的信息是有害的。在一些实施方式中,客户端设备210可以位于客户网络230。
安全设备220可以包括一个或多个如下的设备,这些设备能够处理和/或传送与客户端设备210相关联的网络流量,和/或能够为客户端设备210和/或客户网络230提供安全服务(例如,恶意软件检测服务)。例如,安全设备220可以包括网关、防火墙、路由器、桥接器、集线器、交换机、负载平衡器、反向代理、接入点、服务器(例如,代理服务器)、或者类似类型的设备。安全设备220可以被使用在与单个客户端设备210或者一组客户端设备210(例如,与私有网络、数据中心等相关联的客户端设备210)的连接中。在一些实施方式中,通信可以通过安全设备220而被路由,以到达该组客户端设备210。例如,安全设备220可以被定位在网络内,作为通向包括该组客户端设备210的客户网络230的网关。附加地或替换地,来自客户端设备210的通信可以被编码,以使得通信在被路由到其他地方之前被路由至安全设备220。
在一些实施方式中,安全设备220可以接收受口令保护的文件,可以识别与该文件相关联的上下文项,并且可以将上下文项存储在口令字典中。安全设备220可以使用口令字典来尝试访问受口令保护的文件。附加地或替换地,安全设备220可以执行反恶意软件的检测应用,以确定该文件是否为恶意软件(例如,在使用口令字典中的项已经访问了该文件之后)。作为示例,安全设备220可以访问和/或分析由客户端设备210请求的和/或被提供至客户端设备210的受口令保护的文件(例如,在该文件被提供至客户端设备210之前,在该文件被提供至客户端设备210之后,等等)。在一些实施方式中,安全设备220可以在沙盒环境中访问和/或分析该文件。
客户网络230可以包括一个或多个有线网络和/或无线网络。例如,客户网络230可以包括局域网(LAN)、私有网络、内联网、云计算网络、蜂窝网络(例如,长期演进(LTE)网络、3G网络、码分多址(CDMA)网络等)、公共陆地移动网络(PLMN)、广域网(WAN)、城域网(MAN)、电话网络(例如,公共交换电话网络(PSTN))、自组织(ad hoc)网络、互联网、基于光纤的网络等等、和/或这些或其他类型的网络的组合。在一些实施方式中,客户网络230可以是与客户端设备210相关联的私有网络。
网络240可以包括一个或多个有线网络和/或无线网络。例如,网络240可以包括蜂窝网络、PLMN、LAN、WAN、MAN、电话网络(例如,PSTN)、私有网络、自组织网络、内联网、互联网、基于光纤的网络、云计算网络等等、和/或这些或其他类型的网络的组合。在一些实施方式中,安全设备220可以尝试访问和/或分析由客户端设备210从与网络240相关联的设备(例如,服务器)请求的受口令保护的文件,以确定该文件是否为恶意软件。附加地或替换地,受口令保护的文件可以被推送至客户端设备210(例如,从与网络240相关联的设备),并且安全设备220可以尝试访问和/或分析受口令保护的文件,以确定该文件是否为恶意软件。
图2中所示出的设备和网络的数目和布置被提供作为一个示例。在实践中,可以存在另外的设备和/或网络,更少的设备和/或网络,不同的设备和/或网络,或者与图2中所示出的这些设备和/或网络不同地进行布置的设备和/或网络。此外,图2中所示出的两个或更多设备可以被实施在单个设备内,或者图2中所示出的单个设备可以被实施为多个分布式设备。附加地或替换地,环境200的设备集合(例如,一个或多个设备)可以执行被描述为由环境200的另一设备集合所执行的一个或多个功能。
图3是设备300的示例组件的示图。设备300可以对应于客户端设备210和/或安全设备220。在一些实施方式中,客户端设备210和/或安全设备220可以包括一个或多个设备300、和/或设备300的一个或多个组件。如图3中所示出的,设备300可以包括总线310、处理器320、存储器330、存储组件340、输入组件350、输出组件360、以及通信接口370。
总线310可以包括允许在设备300的组件之间的通信的组件。处理器320以硬件、固件、或者硬件和软件的组合来实施。处理器320可以包括处理器(例如,中央处理单元(CPU)、图形处理单元(GPU)、加速处理单元(APU)等)、微处理器、和/或解译和/或执行指令的任何处理组件(例如,现场可编程门阵列(FPGA)、专用集成电路(ASIC)等)。存储器330可以包括随机访问存储器(RAM)、只读存储器(ROM)、和/或存储用于由处理器320使用的信息和/或指令的另一类型的动态或静态存储设备(例如,闪存、磁存储器、光存储器等)。
存储组件340可以存储与设备300的操作和使用有关的信息和/或软件。例如,存储组件340可以包括与对应的驱动器一起的硬盘(例如,磁盘、光盘、磁光盘、固态盘等)、压缩盘(CD)、数字化通用磁盘(DVD)、软盘、磁带盒(cartridge)、磁带、和/或另一类型的计算机可读介质。
输入组件350可以包括允许设备300诸如经由用户输入(例如,触摸屏显示器、键盘、小键盘(keypad)、鼠标、按钮、开关、麦克风等)来接收信息的组件。附加地或替换地,输入组件350可以包括用于感测信息的传感器(例如,全球定位系统(GPS)组件、加速计、陀螺仪、致动器等)。输出组件360可以包括从设备300提供输出信息的组件(例如,显示器、扬声器、一个或多个发光二极管(LED)等)。
通信接口370可以包括使得设备300能够诸如经由有线连接、无线连接、或者有线连接和无线连接的组合来与其他设备进行通信的类似于收发器的组件(例如,收发器、分离的接收器和发射器等)。通信接口370可以允许设备300从另一设备接收信息和/或向另一设备提供信息。例如,通信接口370可以包括以太网接口、光接口、同轴接口、红外接口、射频(RF)接口、通用串行总线(USB)接口、Wi-Fi接口、蜂窝网络接口,等等。
设备300可以执行本文所描述的一个或多个过程。设备300可以响应于处理器320执行由计算机可读介质(诸如存储器330和/或存储组件340)所存储的软件指令来执行这些过程。计算机可读介质在本文中被定义为非瞬态存储器设备。存储器设备包括单个物理存储设备内的存储器空间或者跨越多个物理存储设备而扩展的存储器空间。
软件指令可以经由通信接口370从另一计算机可读介质或者从另一设备被读取到存储器330和/或存储组件340中。在被执行时,存储器330和/或存储组件340中存储的软件指令可以促使处理器320执行本文所描述的一个或多个过程。附加地或替换地,硬接线电路可以取代软件指令或者与软件指令结合在一起用以执行本文所描述的一个或多个过程。因此,本文所描述的实施方式不限于硬件电路和软件的任何特定组合。
图3中所示出的组件的数目和布置被提供为一个示例。在实践中,设备300可以包括另外的组件,更少的组件,不同的组件,或者与图3中所示出的这些组件不同地进行布置的组件。附加地或替换地,设备300的组件的集合(例如,一个或多个组件)可以执行被描述为由设备300的组件的另一集合所执行的一个或多个功能。
图4是用于访问受口令保护的文件从而可以针对恶意软件来分析该受口令保护的文件的示例过程400的流程图。在一些实施方式中,图4的一个或多个过程框可以由安全设备220来执行。在一些实施方式中,图4的一个或多个过程框可以由与安全设备220分离或者包括安全设备220的另一设备或者设备的集合(诸如客户端设备210)来执行。
如图4中所示出的,过程400可以包括接收将针对恶意软件而被分析的受口令保护的文件(框410)。例如,安全设备220可以接收(例如,一个或多个)受口令保护的文件的集合(例如,受一个口令保护的单个文件,受一个口令保护的多个文件,受多个口令保护的单个文件,受多个口令保护的多个文件,等等)。在一些实施方式中,该文件可以是档案文件,档案文件包括文件集合以及与该档案文件和/或文件集合相关联的元数据。该文件集合可以受口令保护,从而该文件集合不使用口令就不可以被访问。
在一些实施方式中,文件集合可能包括恶意软件,并且安全设备220和/或另一设备可以包括反恶意软件的应用,以针对恶意软件来分析该文件集合。然而,如果该文件集合是受口令保护的,则反恶意软件的应用可能不能访问该文件集合用于分析。本文所描述的实施方式可以允许安全设备220(和/或另一设备)通过使用与该文件集合相关联的上下文信息来识别用于该文件集合的口令,以访问该受口令保护的文件集合用于分析。
在一些实施方式中,受口令保护的文件集合可以与客户端设备210相关联。例如,该文件集合可以由客户端设备210存储,可以在客户端设备210上被执行或被访问,可以由客户端设备210请求,等等。在一些实施方式中,客户端设备210可以从与网络240相关联的设备(例如,web服务器、主机服务器等)请求该文件集合。在这种情况下,安全设备220可以接收该请求、可以从该设备请求该文件集合、可以从该设备接收该文件集合、可以访问该受口令保护的文件集合、并且可以在向客户端设备210发送该文件集合之前确定该文件集合是否包括恶意软件。如果安全设备220(例如,基于执行本文所描述的操作中的一个或多个操作)确定该文件集合包括恶意软件,则安全设备220可以防止该文件集合被提供至客户端设备210。如果安全设备220确定该文件集合不包括恶意软件,则安全设备220可以将该文件集合提供至客户端设备210。
附加地或替换地,受口令保护的文件集合可以由与网络240相关联的设备推送至客户端设备210。在这种情况下,安全设备220可以接收该受口令保护的文件集合(例如,可以在该文件集合由客户端设备210接收之前拦截该文件集合,可以在该文件集合由客户端设备210接收之后获得该文件集合,等等),可以访问该受口令保护的文件集合,并且可以在向客户端设备210发送该文件集合之前确定该文件集合是否包括恶意软件。如果安全设备220(例如,基于执行本文所描述的操作中的一个或多个操作)确定该文件集合包括恶意软件,则安全设备220可以防止该文件集合被提供至客户端设备210。如果安全设备220确定该文件集合不包括恶意软件,则安全设备220可以将该文件集合提供至客户端设备210。附加地或替换地,安全设备220可以向客户端设备210提供关于该文件集合是否包括恶意软件的通知。
如图4中进一步所示出的,过程400可以包括识别与该文件相关联的上下文项(框420)。例如,安全设备220可以识别与文件集合相关联的一个或多个上下文项。上下文项可以包括与该文件集合相关联的项、与包括该文件集合的档案文件相关联的项、与该文件集合从其被访问的源(例如,该文件集合从其被访问的电子邮件,该文件集合从其被访问的网站,该文件集合从其被访问的文本消息等)相关联的项,等等。如本文中所使用的,项可以指代字符的特定组合,诸如一个词、多个词(例如,词组、句子等)、一个字符、多个字符(例如,字符串)等。
在一些实施方式中,安全设备220可以识别与文件集合相关联的上下文项。例如,上下文项可以是与该文件集合中包括的一个或多个文件相关联的元数据(例如,文件的文件名、文件的文件属性、文件的文件类型、与文件相关联的公司名、与文件相关联的产品名、与文件相关的用户名、与文件相关联的注释等等)中包括的项。在一些实施方式中,安全设备220可以基于与该文件集合相关联的未加密信息(例如,未加密的元数据)来识别上下文项。
附加地或替换地,安全设备220可以识别与包括该文件集合的档案文件相关联的上下文项。例如,上下文项可以是与该档案文件相关联的元数据(例如,档案文件的档案名、档案文件的档案属性、档案文件的档案类型、与档案文件相关联的公司名、与档案文件相关联的产品名、与档案文件相关联的用户名、与档案文件相关联的注释等等)中包括的项。在一些实施方式中,安全设备220可以基于与该档案文件相关联的未加密信息(例如,未加密的元数据)来识别上下文项。
附加地或替换地,安全设备220可以识别与文件集合从其被访问(例如,被接收、被获得、被下载、被加载等)的源相关联的上下文项。该源可以包括例如电子邮件消息、网站、文本消息(例如,短消息服务(SMS)文本消息、多媒体消息传送服务(MMS)文本消息等)、社交媒体消息等。在一些实施方式中,上下文项可以是与该源相关联的元数据(例如,与该源相关联的源名称,诸如网站名;该源的源属性,诸如与该源相关联的文本的语言;与该源相关联的源类型;与该源相关联的公司名;与该源相关联的产品名;与该源相关联的用户名,诸如发布该文件的用户的用户名、下载该文件的用户的用户名等;与用于从该源访问该文件集合的应用相关联的信息,诸如应用名称、浏览器名称、电子邮件应用名称、文本消息应用名称等;等等)中包括的项。
在一些实施方式中,该源可以与文本相关联,诸如电子邮件消息中包括的文本、网站中包括的文本(例如,该网站的网页中包括的文本)、文本消息中包括的文本、社交媒体消息中包括的文本,等等。安全设备220可以分析该文本以识别上下文项。例如,安全设备220可以(例如,使用词法分析)对文本进行标记化(tokenize)以形成上下文项(例如,通过将该文本分割成上下文项)。
附加地或替换地,该源可以与识别资源的链接相关联,诸如统一资源识别符(URL)。例如,电子邮件消息可以包括通向资源(例如,网站)的链接,网站可以包括通向资源(例如,另一网站)的链接,文本消息可以包括通向资源(例如,网站)的链接,社交媒体消息可以包括通向资源(例如,网站)的链接,等等。在这种情况下,安全设备220可以(例如,通过跟随该链接)访问该资源,并且可以基于访问该资源来识别上下文项。例如,该资源可以包括网站,并且安全设备220可以确定与该网站相关联的一个或多个上下文项(例如,基于与该网站相关联的元数据,基于对该网站的文本中包括的项进行标记化,等等)。
在一些实施方式中,安全设备220可以分析受口令保护的文件集合(例如,受口令保护的档案文件),以识别先前(例如,由安全设备220)分析的类似的文件集合。例如,安全设备220可以确定与第一文件集合相关联的元数据和与第二的先前分析的文件集合相关联的元数据之间的差异满足一个阈值(例如,该差异小于一个阈值)。基于这个确定,安全设备220可以基于被使用用于第二文件集合的口令字典中包括的上下文项和/或项来针对第一文件集合而识别上下文项。在一些实施方式中,第二文件集合可以与第一文件集合共享一定程度的相似性。
在一些实施方式中,安全设备220可以对上下文项应用一个或多个变换技术以识别一个或多个另外的上下文项。例如,安全设备220可以改变一个或多个字符的顺序(例如,以创建上下文项的排列),可以改变上下文项的格(case)(例如,可以将字符改变为大写字母的字符,可以将字符改变为小写字母的字符,可以执行数学运算等),等等。
如图4中进一步所示出的,过程400可以包括将上下文项存储在口令字典中(框430)。例如,安全设备220可以将如上面所描述的那样被识别的一个或多个上下文项存储在口令字典中。口令字典可以指代可以被用来尝试访问受口令保护的文件集合的项的集合(例如,一个或多个项的列表)。例如,口令字典中包括的项可以依次地被应用作为用以访问受口令保护的文件的口令,直至成功的口令被用来成功地访问文件集合,和/或直至口令字典中包括的所有项已经被应用。
在一些实施方式中,安全设备220可以将一个或多个非上下文项存储在口令字典中(例如,除了上下文项之外的一个或多个项)。例如,口令字典可以包括基于所存储的字典(例如,标准字典、默认字典等)而识别的非上下文项。
如图4中进一步所示出的,过程400可以包括对口令字典中包括的上下文项和/或非上下文项进行优先级化,以形成经优先级化的项的集合(框440)。例如,安全设备220可以对口令字典中包括的项(例如,上下文项和/或非上下文项)进行优先级化,以形成经优先级化的项的集合。经优先级化的项的集合中的经优先级化的项可以与如下的优先级相关联,该优先级确定了经优先级化的项将被应用作为用以尝试访问受口令保护的文件集合的口令的顺序(例如,相对于经优先级化的项的集合中包括的其他经优先级化的项而言的顺序)。例如,具有较高优先级的项可以在具有较低优先级的项之前被应用。
在一些实施方式中,相比于非上下文项,安全设备220可以向上下文项指配更高的优先级。类似地,相比于上下文项,安全设备220可以向非上下文项指配更低的优先级。附加地或替换地,安全设备220可以基于上下文项被识别的方式来向上下文项指配不同的优先级。例如,从与文件集合相关联的元数据中识别的上下文项可以被指配第一优先级(例如,高于、低于、或者与另一优先级相同),从与档案文件相关联的元数据中识别的上下文项可以被指配第二优先级(例如,高于、低于、或者与另一优先级相同),从与文件集合从其被访问的源相关联的元数据中识别的上下文项可以被指配第三优先级(例如,高于、低于、或者与另一优先级相同),基于对源中包括的文本进行标记化而识别的上下文项可以被指配第四优先级(例如,高于、低于、或者与另一优先级相同),基于类似文件而识别的上下文项可以被指配第五优先级(例如,高于、低于、或者与另一优先级相同),等等。
在一些实施方式中,安全设备220可以基于口令词典中包括的项在过去是否被使用作为用以访问受口令保护的文件集合的成功口令,来对该项进行优先级化。例如,相比尚未被识别为成功口令的项而言,(例如,基于在过去成功地应用该项来访问受口令保护的文件集合)已经被识别为成功口令的第一项可以被指配更高的优先级。以这种方式,安全设备220通过在应用较不可能是口令的项之前应用更可能是口令的项,可以节约处理资源。在一些实施方式中,安全设备220可以基于配置信息来指配一个或多个优先级,配置信息可以由用户输入。
在一些实施方式中,如果一个项多次被包括在口令字典中,则安全设备220可以移除该项的除了一个实例之外的所有实例。例如,如果上下文项也被包括在标准字典中,则安全设备220可以从标准字典中移除该项,并且在将项存储在口令字典中时可以将该项保持为上下文项。
如图4中进一步所示出的,过程400可以包括应用经优先级化的项的集合中的经优先级化的项作为口令以用于尝试访问受口令保护的文件(框450),以及确定该经优先级化的项是否成功地被使用作为口令(框460)。例如,安全设备220可以按优先级顺序应用来自经优先级化的项的集合中的经优先级化的项作为口令来尝试访问受口令保护的文件集合。安全设备220可以应用一个项作为口令,并且可以确定该项是否曾经成功地被使用作为用以访问受口令保护的文件集合的口令。在一些实施方式中,安全设备220和/或多个安全设备220可以(例如,使用并行处理技术、使用GPU、使用FPGA、使用专用硬件,等等)并行地应用多个项。
在一些实施方式中,安全设备220可以通过确定与一个或多个文件相关联的校验和是否为有效的,来确定该项是否曾经成功地被使用作为口令。附加地或替换地,安全设备220可以通过确定一个或多个文件是否曾经成功地被访问(例如,被提取),来确定该项是否曾经成功地被使用作为口令。附加地或替换地,安全设备220可以通过确定一个或多个文件是否根据可辨识的文件结构而被组织,来确定该项是否曾经成功地被使用作为口令。附加地或替换地,安全设备220可以通过使用文件识别符应用来确定一个或多个文件是否具有特定文件类型(例如,.exe、.dll、.doc等),以确定该项是否曾经成功地被使用作为口令。例如,安全设备220可以确定在应用该项作为口令之后识别的被访问的信息是表示任意二进制数据还是可辨识的文件类型。
如图4中进一步所示出的,如果经优先级化的项未成功地被使用作为口令(框460—否),则过程400可以包括返回到框450。例如,如果第一项未成功地被使用作为用以访问(例如,提取)文件集合的口令,则安全设备220可以返回到框450来应用经优先级化的项的集合中(例如,具有比第一项低的优先级)的第二项作为用于尝试访问受口令保护的文件集合的口令。在一些实施方式中,如果安全设备220已经应用了经优先级化的项的集合中的每个项而没有识别出成功的口令,则安全设备220可以防止受口令保护的文件集合被(例如,客户端设备210)访问。在一些实施方式中,如果安全设备220已经应用了经优先级化的项的集合中的每个项而没有识别出成功的口令,则安全设备220可以允许(例如,安全设备210)访问受口令保护的文件集合。
如图4中进一步所示出的,如果经优先级化的项成功地被使用作为口令(框460—是),则过程400可以包括在经优先级化的项的集合中更新被使用作为用以访问受口令保护的文件的成功口令的经优先级化的项的优先级(框470)。例如,如果安全设备220成功地应用一个项作为用以访问受口令保护的文件集合的口令,则安全设备220可以更新该项的优先级。在一些实施方式中,相比先前与该项相关联的优先级而言,安全设备220可以将该项与更高的优先级相关联。附加地或替换地,安全设备220在后来的时间尝试访问受口令保护的文件集合时,可以重新使用上下文项、非上下文项、口令字典、经优先级化的项的集合、和/或成功地被使用的项。以这种方式,曾经成功地被使用作为口令的项可以更早地被尝试,由此减少了处理时间并且节约了计算资源。
如图4中进一步所示出的,过程400可以包括访问和/或分析受口令保护的文件(框480)。例如,安全设备220可以基于成功地应用一个项作为口令来访问(例如,提取)受口令保护的文件集合。在一些实施方式中,安全设备220可以针对恶意软件来分析该文件集合。附加地或替换地,安全设备220可以向另一设备提供该文件集合以用于恶意软件分析。以这种方式,安全设备220可以允许受口令保护的文件针对恶意软件而被分析,由此增加了数据安全性。
尽管多种技术在本文中被描述为可应用于访问由单个口令保护的受口令保护的文件集合,但是这些技术可以被应用于访问由多个口令保护、由用户名和口令保护、或者由凭证的某种其他组合保护的受口令保护的文件集合。在这种情况下,在一些实施方式中,安全设备220可以针对不同的凭证使用相同的上下文项、非上下文项、口令字典、经优先级化的项的集合,等等。在一些实施方式中,安全设备220可以针对不同的凭证使用不同的上下文项、非上下文项、口令字典、经优先级化的项的集合,等等。
尽管图4示出了过程400的示例框,但是在一些实施方式中,过程400可以包括另外的框、更少的框、不同的框、或者与图4中所描绘的这些框不同地被布置的框。附加地或替换地,过程400的两个或更多框可以并行地被执行。
图5A-5E是与图4中所示出的示例过程400有关的一种示例实施方式500的示图。图5A-5E示出了访问受口令保护的文件从而该受口令保护的文件可以针对恶意软件而被分析的示例。
如图5A所示出的,假设用户与客户端设备210进行交互,以请求被包括作为该用户所接收的电子邮件的附件的档案文件。进一步假设该档案文件(被示出为“PFinanceFile.archive”)受口令保护。如由参考标号502所示出的,假设安全设备220在档案文件被提供给客户端设备210之前接收到该档案文件,并且在该档案文件被提供给客户端设备210之前尝试访问该档案文件并且针对恶意软件来分析该档案文件。如由参考标号504所示出的,假设安全设备220识别来自该电子邮件的上下文项并且将它们存储在口令字典中。
例如,并且如由参考标号506所示出的,假设安全设备220识别并且存储与电子邮件消息的发送方相关联的上下文项(例如,发送方的电子邮件地址中包括的文本)。作为另一示例,并且如由参考标号508所示出的,假设安全设备220识别并且存储与电子邮件消息的接收方相关联的上下文项(例如,接收方的电子邮件地址中包括的文本)。作为另一示例,并且如由参考标号510所示出的,假设安全设备220识别并且存储与电子邮件消息的主题相关联的上下文项(例如,该电子邮件消息的主题行中包括的文本)。作为另一示例,并且如由参考标号512所示出的,假设安全设备220识别并且存储与电子邮件消息的正文相关联的上下文项(例如,该电子邮件消息的正文中包括的文本)。作为另一示例,并且如参考标号514所示出的,假设安全设备220识别并且存储与电子邮件消息的附件相关联的上下文项(例如,附件或者正在被分析的档案文件的文件名中包括的文本)。进一步地,假设该电子邮件消息包括通向网站的链接,示出为“www.password.com”。
如在图5B中并且由参考标号516所示出的,假设安全设备220从电子邮件消息中识别出网站(例如,www.password.com)。如由参考标号518所示出的,假设安全设备220从该网站中识别出上行文项并且将它们存储在口令字典中。作为一个示例,并且如由参考标号520所示出的,假设安全设备220识别并且存储来自该网站的web地址中包括的文本、该网站中包括的文本等等的上下文项。
如在图5C中并且由参考标号522所示出的,假设安全设备220对口令字典中包括的项进行优先级化,以形成经优先级化的项的集合。作为一个示例,并且如由参考标号524所示出的,假设安全设备220向基于网站确定的上下文项指配第一优先级(例如,高优先级)。作为另一示例,并且如由参考标号526所示出的,假设安全设备220向基于电子邮件确定的上下文项指配第二优先级(例如,中等优先级)。作为另一示例,并且如由参考标号528所示出的,假设安全设备220向非上下文项(例如,来自标准字典的项)指配第三优先级(例如,低优先级)。
如进一步所示出的,安全设备220可以进一步对基于电子邮件确定的上下文项进行优先级化。作为一个示例,并且如由参考标号530所示出的,假设安全设备220向基于电子邮件的正文确定的上下文项指配第四优先级(例如,中高优先级)。作为另一示例,并且如由参考标号532所示出的,假设安全设备220向基于电子邮件的接收方确定的上下文项指配第五优先级(例如,中中优先级)。作为另一示例,并且如由参考标号534所示出的,假设安全设备220向基于电子邮件确定的其他上下文项指配第六优先级(例如,中低优先级)。
如在图5D中并且由参考标号536所示出的,安全设备220可以应用经优先级化的项的集合作为用于档案文件“PFinanceFile.archive”的口令。作为一个示例,并且如由参考标号538所示出的,安全设备220可以首先应用具有最高优先级的项,被示出为“www.password.com”。如所示出的,假设这个项未成功地作为用于访问档案文件的口令。作为另一示例,并且如由参考标号540所示出的,安全设备220接下来可以应用具有次高优先级的项,被示出为“open”。如所示出的,假设这个项未成功地作为用于访问档案文件的口令。安全设备220可以继续以这种方式来应用项,直至档案文件被访问。例如,并且如由参考标号542所示出的,安全设备220可以对档案文件应用被示出为“xyz123”的项。如所示出的,假设这个项成功地作为用于访问档案文件的口令。
如在图5E中并且由参考标号544所示出的,基于使用口令“xyz123”成功地访问档案文件,安全设备220可以针对恶意软件来分析文件档案中包括的一个或多个文件。此外,如由参考标号546所示出的,安全设备220可以将成功地被使用作为口令的项“xyz123”的优先级更新为在口令字典中(例如,在经优先级化的项的集合中)具有最高优先级。安全设备220可以在后来的时间使用这个口令字典来尝试访问另一受口令保护的文件。以这种方式,安全设备220可以允许对以其他方式不可访问的文件的恶意软件分析,由此增加了数据安全性。此外,通过对将被应用作为口令的项进行优先级化,安全设备220可以节约计算资源(例如,存储器、处理能力等)。
如上面所指出的,图5A-5E被提供仅作为示例。其他示例是可能的并且可以不同于关于图5A-5E所描述的示例。
前述公开内容提供了说明和描述,但是并非意图为穷尽性的或者将实施方式限制为所公开的精确形式。根据上述公开内容,修改和变化是可能的或者可以从实施方式的实践来获取。
如本文中所使用的,术语组件意图为宽泛地被解释为硬件、固件、和/或硬件和软件的组合。
一些实施方式在本文中与阈值有关地被描述。如本文中所使用的,满足一个阈值可以是指一个值比该阈值大、比该阈值多、比该阈值高、大于或等于该阈值、比该阈值小、比该阈值少、比该阈值低、小于或等于该阈值、等于该阈值,等等。
将明显的是,本文所描述的系统和/或方法可以采用不同形式的硬件、固件、或硬件和软件的组合来实施。用于实施这些系统和/或方法的实际的专门控制硬件或软件代码并非是对实施方式的限制。因此,本文在没有参考具体软件代码的情况下描述了这些系统和/或方法的操作和行为—所理解的是,基于本文中的描述,能够设计软件和硬件来实施这些系统和/或方法。
即使在权利要求书中记载了和/或在说明书中公开了特征的特定组合,但是这些组合不意图为限制可能的实施方式的公开内容。事实上,这些特征中的许多特征可以按没有在权利要求书中具体记载和/或在说明书中具体公开的方式进行组合。尽管下面所列出的每个从属权利要求可以直接地从属于仅一个权利要求,但是可能的实施方式的公开内容包括每个从属权利要求与权利要求集合中的每个其他权利要求的组合。
本文中使用的元件、动作或指令不应当被解释为是关键的或者是必不可少的,除非明确地如此描述。此外,如本文中所使用的,冠词“一”和“一种”意图为包括一个或多个项目,并且可以与“一个或多个”可互换地使用。此外,如本文中所使用的,术语“组”和“集合”意图为包括一个或多个项目(例如,相关的项目、不相关的项目、相关项目和不相关项目的组合,等等),并且可以与“一个或多个”可互换地使用。在意图为仅一个项目的场合,使用术语“一个”或者类似的语言。此外,如本文中所使用的,术语“有”、“具有”、“具有的”等意图为是开放性术语。进一步地,短语“基于”意图为意指“至少部分地基于”,除非明确地另外陈述。
Claims (13)
1.一种设备,包括:
用于接收将被访问用于分析的受口令保护的文件的装置;
用于识别将被使用作为用以尝试访问所述受口令保护的文件的口令的、与所述受口令保护的文件相关联的上下文项的装置,
所述上下文项基于以下各项中的至少一项而被识别:
与所述受口令保护的文件相关联的元数据,
与所述受口令保护的文件从其被接收的源相关联的元数据,或者
与所述受口令保护的文件从其被接收的所述源相关联的文本;以及
用于应用所述上下文项作为用以尝试访问所述受口令保护的文件的所述口令的装置。
2.根据权利要求1所述的设备,进一步包括:
用于对上下文项的集合进行优先级化以形成经优先级化的项的集合的装置,所述上下文项的集合包括所述上下文项,
所述上下文项与如下优先级相关联:所述优先级指示所述上下文项相对于所述经优先级化的项的集合中包括的其他上下文项而言将被应用作为所述口令的顺序;并且
其中用于应用所述上下文项作为所述口令的所述装置包括:
用于基于所述优先级来应用所述上下文项作为所述口令的装置。
3.根据权利要求2所述的设备,进一步包括:
用于确定所述上下文项曾经成功地被应用作为用以访问所述受口令保护的文件的所述口令的装置;以及
用于基于确定所述上下文项曾经成功地被应用作为所述口令来更新与所述上下文项相关联的所述优先级以改变如下顺序的装置:所述上下文项将以所述顺序被应用作为用以尝试访问另一受口令保护的文件的另一口令。
4.根据权利要求1所述的设备,进一步包括:
用于确定所述上下文项曾经成功地被应用作为用以访问所述受口令保护的文件的所述口令的装置;以及
用于提供所述受口令保护的文件以基于确定所述上下文项曾经成功地被应用作为所述口令来确定所述受口令保护的文件是否包括恶意软件的装置。
5.根据权利要求1所述的设备,其中用于识别所述上下文项的所述装置包括:
用于基于与所述受口令保护的文件相关联的所述元数据来识别所述上下文项的装置,
所述元数据包括未加密的文本。
6.根据权利要求1所述的设备,其中用于识别所述上下文项的所述装置包括:
用于基于与所述受口令保护的文件从其被接收的所述源相关联的所述元数据来识别所述上下文项的装置,
所述元数据包括未加密的文本。
7.根据权利要求1所述的设备,其中用于识别所述上下文项的装置包括:
用于基于与所述受口令保护的文件从其被接收的所述源相关联的所述文本来识别所述上下文项的装置,
所述源包括以下各项中的至少一项:
电子邮件消息,
网站,
文本消息,或者
社交媒体消息。
8.一种方法,包括:
由设备接收将被访问用于分析的受口令保护的文件;
由所述设备识别将被使用作为用以尝试访问所述受口令保护的文件的口令的、与所述受口令保护的文件相关联的上下文项,
所述上下文项基于以下各项中的至少一项而被识别:
与所述受口令保护的文件相关联的第一文本,或者
与所述受口令保护的文件从其被获得的源相关联的第二文本;
由所述设备应用所述上下文项作为用以尝试访问所述受口令保护的文件的所述口令;
由所述设备基于应用所述上下文项或者非上下文项作为所述口令来确定所述受口令保护的文件已经成功地被访问;以及
由所述设备访问所述受口令保护的文件以用于所述分析。
9.根据权利要求8所述的方法,进一步包括:
对所述上下文项和所述非上下文项进行优先级化以形成经优先级化的项的集合,
所述非上下文项基于项的字典而被识别,
所述上下文项与第一优先级相关联,所述第一优先级高于与所述非上下文项相关联的第二优先级,从而指示所述上下文项将在所述非上下文项之前被应用作为所述口令;并且
其中应用所述上下文项作为所述口令进一步包括:
基于所述上下文项与高于所述第二优先级的所述第一优先级相关联,在应用所述非上下文项作为所述口令之前应用所述上下文项作为所述口令。
10.根据权利要求9所述的方法,进一步包括:
确定所述上下文项曾经成功地被应用作为用以访问所述受口令保护的文件的所述口令;以及
基于确定所述上下文项曾经成功地被应用作为所述口令来更新与所述上下文项相关联的所述第一优先级以改变如下顺序:所述上下文项将以所述顺序被应用作为用以尝试访问另一受口令保护的文件的另一口令。
11.根据权利要求8所述的方法,进一步包括:
分析用于恶意软件的所述受口令保护的文件。
12.根据权利要求8所述的方法,其中识别所述上下文项进一步包括:
对与所述受口令保护的文件从其被获得的所述源相关联的所述第二文本进行标记化以形成经标记化的文本;以及
从所述经标记化的文本中识别所述上下文项。
13.根据权利要求8所述的方法,其中所述源包括以下各项中的至少一项:
所述文件从其被获得的电子邮件,
所述文件从其被获得的网站,
所述文件从其被获得的社交媒体消息,或者
所述文件从其被获得的文本消息。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US14/674,262 | 2015-03-31 | ||
US14/674,262 US9594902B2 (en) | 2015-03-31 | 2015-03-31 | Analyzing a password-protected file for malware |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106022124A true CN106022124A (zh) | 2016-10-12 |
CN106022124B CN106022124B (zh) | 2018-05-04 |
Family
ID=54252010
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510634688.3A Active CN106022124B (zh) | 2015-03-31 | 2015-09-29 | 针对恶意软件分析受口令保护的文件 |
Country Status (3)
Country | Link |
---|---|
US (2) | US9594902B2 (zh) |
EP (2) | EP3428829B1 (zh) |
CN (1) | CN106022124B (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9594902B2 (en) | 2015-03-31 | 2017-03-14 | Juniper Networks, Inc. | Analyzing a password-protected file for malware |
IL251999B (en) * | 2017-04-27 | 2019-08-29 | Shaked Chen | Methods and systems for controlling file exchange between an organization and a network |
US11100225B2 (en) * | 2018-12-28 | 2021-08-24 | Mcafee, Llc | Scanning of encrypted zip files |
US11711347B2 (en) * | 2019-04-12 | 2023-07-25 | Zafar Khan | Registered encrypted electronic message and redacted reply system |
US11057324B1 (en) | 2020-07-02 | 2021-07-06 | Saudi Arabian Oil Company | System and method of secure analysis for encrypted electronic mail attachments |
US20220188273A1 (en) * | 2020-12-14 | 2022-06-16 | Dropbox, Inc. | Per-node metadata for custom node behaviors across platforms |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060015747A1 (en) * | 2004-07-16 | 2006-01-19 | Red Hat, Inc. | System and method for detecting computer virus |
US7730540B1 (en) * | 2004-12-08 | 2010-06-01 | Symantec Corporation | Method for scanning protected components of electronic messages |
US20110083181A1 (en) * | 2009-10-01 | 2011-04-07 | Denis Nazarov | Comprehensive password management arrangment facilitating security |
US20120216046A1 (en) * | 2011-02-22 | 2012-08-23 | Raytheon Company | System and Method for Decrypting Files |
US20150281210A1 (en) * | 2014-03-31 | 2015-10-01 | Bank Of America Corporation | Password-protected application data file with decoy content |
Family Cites Families (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8769680B2 (en) | 2003-06-12 | 2014-07-01 | International Business Machines Corporation | Alert passwords for detecting password attacks on systems |
EP1574929A1 (en) * | 2004-03-05 | 2005-09-14 | Sap Ag | Technique for evaluating computer system passwords |
JP4466583B2 (ja) * | 2006-02-18 | 2010-05-26 | コニカミノルタビジネステクノロジーズ株式会社 | アクセス制御装置及びアクセス制御プログラム |
US8108683B2 (en) | 2006-08-10 | 2012-01-31 | International Business Machines Corporation | Mitigating dictionary attacks on password-protected local storage |
US8042184B1 (en) | 2006-10-18 | 2011-10-18 | Kaspersky Lab, Zao | Rapid analysis of data stream for malware presence |
US7797746B2 (en) * | 2006-12-12 | 2010-09-14 | Fortinet, Inc. | Detection of undesired computer files in archives |
US8204809B1 (en) * | 2008-08-27 | 2012-06-19 | Accenture Global Services Limited | Finance function high performance capability assessment |
RU92550U1 (ru) * | 2009-10-01 | 2010-03-20 | ЗАО "Лаборатория Касперского" | Система управления паролями для зашифрованных файлов и архивов (варианты) |
US8745094B2 (en) * | 2010-03-01 | 2014-06-03 | Protegrity Corporation | Distributed tokenization using several substitution steps |
US20110296174A1 (en) * | 2010-06-01 | 2011-12-01 | Toshiba Tec Kabushiki Kaisha | Communication apparatus and communication method |
US9245114B2 (en) | 2010-08-26 | 2016-01-26 | Verisign, Inc. | Method and system for automatic detection and analysis of malware |
US8959644B2 (en) * | 2010-10-27 | 2015-02-17 | Microsoft Corporation | Use of popularity information to reduce risk posed by guessing attacks |
US8724795B1 (en) * | 2011-03-09 | 2014-05-13 | Sprint Communications Company L.P. | Problem centric knowledge management tool for call center |
WO2013154350A1 (en) * | 2012-04-13 | 2013-10-17 | Samsung Electronics Co., Ltd. | Receiving apparatus for providing hybrid service, and hybrid service providing method thereof |
CN103856472B (zh) * | 2012-12-06 | 2017-08-18 | 阿里巴巴集团控股有限公司 | 一种账户登录的方法及装置 |
TW201427366A (zh) * | 2012-12-28 | 2014-07-01 | Ibm | 企業網路中為了資料外洩保護而解密檔案的方法與資訊裝置 |
US9594902B2 (en) | 2015-03-31 | 2017-03-14 | Juniper Networks, Inc. | Analyzing a password-protected file for malware |
-
2015
- 2015-03-31 US US14/674,262 patent/US9594902B2/en active Active
- 2015-09-28 EP EP18188663.1A patent/EP3428829B1/en active Active
- 2015-09-28 EP EP15187074.8A patent/EP3076327B1/en active Active
- 2015-09-29 CN CN201510634688.3A patent/CN106022124B/zh active Active
-
2017
- 2017-03-03 US US15/449,342 patent/US9990496B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060015747A1 (en) * | 2004-07-16 | 2006-01-19 | Red Hat, Inc. | System and method for detecting computer virus |
US7730540B1 (en) * | 2004-12-08 | 2010-06-01 | Symantec Corporation | Method for scanning protected components of electronic messages |
US20110083181A1 (en) * | 2009-10-01 | 2011-04-07 | Denis Nazarov | Comprehensive password management arrangment facilitating security |
US20120216046A1 (en) * | 2011-02-22 | 2012-08-23 | Raytheon Company | System and Method for Decrypting Files |
US20150281210A1 (en) * | 2014-03-31 | 2015-10-01 | Bank Of America Corporation | Password-protected application data file with decoy content |
Also Published As
Publication number | Publication date |
---|---|
EP3076327A1 (en) | 2016-10-05 |
EP3428829B1 (en) | 2022-12-07 |
US20160292415A1 (en) | 2016-10-06 |
CN106022124B (zh) | 2018-05-04 |
EP3428829A1 (en) | 2019-01-16 |
US9990496B2 (en) | 2018-06-05 |
US20170177864A1 (en) | 2017-06-22 |
US9594902B2 (en) | 2017-03-14 |
EP3076327B1 (en) | 2018-08-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11188650B2 (en) | Detection of malware using feature hashing | |
CN106022124A (zh) | 针对恶意软件分析受口令保护的文件 | |
US8479296B2 (en) | System and method for detecting unknown malware | |
EP3471008B1 (en) | De-obfuscating scripted language for network intrusion detection using a regular expression signature | |
JP6155521B2 (ja) | インターネット上のコンテンツの違法購入の検出および防止 | |
CN106161342B (zh) | 安全应用的动态优化 | |
US9317679B1 (en) | Systems and methods for detecting malicious documents based on component-object reuse | |
EP3335145B1 (en) | Using multiple layers of policy management to manage risk | |
EP4097944B1 (en) | Metadata-based detection and prevention of phishing attacks | |
US9973525B1 (en) | Systems and methods for determining the risk of information leaks from cloud-based services | |
KR101860546B1 (ko) | 파일 내 포함된 콘텐츠 무력화 장치 및 방법, 그 기록매체 | |
CN104980404B (zh) | 保护账号信息安全的方法和系统 | |
US8490861B1 (en) | Systems and methods for providing security information about quick response codes | |
CN106030527B (zh) | 将可供下载的应用程序通知用户的系统和方法 | |
JP6450022B2 (ja) | 解析装置、解析方法、および、解析プログラム | |
EP3076322B1 (en) | Determining internet-based object information using public internet search | |
US20210165904A1 (en) | Data loss prevention | |
RU2660643C1 (ru) | Система и способ выявления вредоносного CIL-файла | |
Kazimierczak et al. | Enhancing Security in WhatsApp: A System for Detecting Malicious and Inappropriate Content | |
Kan et al. | An Efficient Detecting Mechanism for Cross-Site Script Attacks in the Cloud | |
Almin et al. | Android Application Analyzer |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |