CN106407807A - 一种恶意线程检测方法及系统 - Google Patents
一种恶意线程检测方法及系统 Download PDFInfo
- Publication number
- CN106407807A CN106407807A CN201610791067.0A CN201610791067A CN106407807A CN 106407807 A CN106407807 A CN 106407807A CN 201610791067 A CN201610791067 A CN 201610791067A CN 106407807 A CN106407807 A CN 106407807A
- Authority
- CN
- China
- Prior art keywords
- thread
- address
- function
- malice
- pointer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及线程检测领域,尤其涉及一种恶意线程检测方法及系统。本发明通过获取中转指针的地址,得到第一地址;所述中转指针为线程在用户层和内核层间转换时的中转站;预设第一函数;所述第一函数用于检测恶意线程和初始化线程;获取所述第一函数的入口地址,得到第二地址;设置所述中转指针的地址为所述第二地址;设置所述第一函数的函数指针指向所述第一地址。实现在系统初始化线程之前,检测待测线程是否为恶意线程,有利于保护系统安全和计算机使用者的权益。
Description
技术领域
本发明涉及线程检测领域,尤其涉及一种恶意线程检测方法及系统。
背景技术
随着科学技术的发展,计算机已经成为人们生活中必不可少的日常用品。无论是工作、学习还是娱乐,计算机都给人们提供了很多的便利。但是,会有不法分子通过线程注入技术破坏我们的计算机系统,窃取计算机中的重要数据,破解受合法保护的软件产品和游戏作弊等,我们将上述对计算机系统造成损害或对计算机使用者的权益造成损害的外部线程称为恶意线程。因此,需要及时检测出恶意线程并进行拦截。
现有技术中,已存在使用HOOK技术挂钩线程初始化函数,当系统调用线程初始化函数时,转向伪线程初始化函数,所述伪线程初始化函数可先对待初始化线程进行检测,若检测到待初始化线程为恶意线程,则不创建该线程并返回警报信息,否则调用初始化函数创建该线程。但是,可通过PCHunter工具检测到上述方法中的挂钩位置,使得不法分子可定位到挂钩位置从而做出相应的应对策略。
发明内容
本发明所要解决的技术问题是:提供一种恶意线程检测方法及系统,实现可检测恶意线程的同时隐藏检测的位置。
为了解决上述技术问题,本发明采用的技术方案为:
本发明提供一种恶意线程检测方法,包括:
获取中转指针的地址,得到第一地址;所述中转指针为线程在用户层和内核层间转换时的中转站;
预设第一函数;所述第一函数用于检测恶意线程和初始化线程;
获取所述第一函数的入口地址,得到第二地址;
设置所述中转指针的地址为所述第二地址;
设置所述第一函数的函数指针指向所述第一地址。
本发明还提供一种恶意线程检测系统,包括:
第一获取模块,用于获取中转指针的地址,得到第一地址;所述中转指针为线程在用户层和内核层间转换时的中转站;
预设模块,用于预设第一函数;所述第一函数用于检测恶意线程和初始化线程;
第二获取模块,用于获取所述第一函数的入口地址,得到第二地址;
第一设置模块,用于设置所述中转指针的地址为所述第二地址;
第二设置模块,用于设置所述第一函数的函数指针指向所述第一地址。
本发明的有益效果在于:通过调换中转指针和第一函数的函数指针所指向的入口地址,实现在系统初始化线程之前,检测待测线程是否为恶意线程,若所述待测线程为恶意线程,则不初始化该线程,否则初始化该线程,有利于保护系统安全和计算机使用者的权益;其中,所述中转指针为线程在用户层和内核层间转换时的中转站,所述第一函数用于检测恶意线程和初始化线程;由于中转指针是所有函数都要经过的地址,以中转指针作为待测点可实现检测工具无法定位具体的待测点,从而避免了不法分子针对待测点做出相对应的操作破坏计算机的系统安全及计算机使用者的权益。
附图说明
图1为本发明一种恶意线程检测方法的流程框架;
图2为本发明一种恶意线程检测方法的结构框图;
图3为PCHunter检测工具检测挂钩位置的示意图;
图4为PCHunter检测工具检测挂钩位置的另一示意图;
标号说明:
1、第一获取模块;2、预设模块;3、第二获取模块;4、第一设置模块;5、第二设置模块。
具体实施方式
为详细说明本发明的技术内容、所实现目的及效果,以下结合实施方式并配合附图予以说明。
本发明最关键的构思在于:通过调换中转指针和第一函数的函数指针所指向的入口地址,实现在系统初始化线程之前,检测待测线程是否为恶意线程;其中,所述中转指针为线程在用户层和内核层间转换时的中转站,所述第一函数用于检测恶意线程和初始化线程。
如图1所示,本发明提供一种恶意线程检测方法,包括:
获取中转指针的地址,得到第一地址;所述中转指针为线程在用户层和内核层间转换时的中转站;
预设第一函数;所述第一函数用于检测恶意线程和初始化线程;
获取所述第一函数的入口地址,得到第二地址;
设置所述中转指针的地址为所述第二地址;
设置所述第一函数的函数指针指向所述第一地址。
中转指针为线程在用户层和内核层间转换时的中转站,即内核级线程的创建和调用均必须先将线程地址暂存在中转指针中,然后再进行相应的线程初始化或调用操作;通过交换中转指针的地址和第一函数的函数指针所指向的入口地址,使得当系统调用中转指针时,中转指针的地址是第一函数的入口地址,因此,执行的是第一函数的函数体。第一函数先检测待初始化的线程是否为恶意线程,若不是,则继续初始化所述待初始化的线程。
进一步地,所述检测恶意线程具体为:
获取所述中转指针中存储的线程地址;
获取安全的地址空间;
判断所述线程地址是否在所述地址空间的范围内,若是,则初始化线程,否则,返回错误信息。
由上述描述可知,通过将待初始化的线程地址与安全的地址空间进行比较,可识别出待初始化的线程是否为恶意线程。
其中,所述安全的地址空间为系统中已知安全程序的地址空间,若待初始化的线程地址不属于安全的地址空间范围内,则待初始化的线程为外来线程,可能会对系统进行恶意攻击,因此为了保障计算机系统安全需要拦截恶意线程。
进一步地,所述检测恶意线程具体为:
获取所述中转指针中存储的线程地址;
获取系统函数的索引;
根据所述系统函数的索引和线程地址识别出线程所要执行的操作,得到当前操作名;
获取危险操作表;所述危险操作表中存储对创建所述线程的进程会造成损害的操作的名称;
在所述危险操作表中搜索是否存在所述当前操作名,若是,则返回错误信息,否则,初始化线程。
由上述描述可知,可通过分析待初始化线程的地址,识别出待初始化线程所要执行的操作,并拦截会对创建所述待初始化线程的进程造成损害的待初始化线程。
每个函数都有相应的索引号,通过调用索引号获取相应函数的入口地址实现调用函数。将函数的入口地址与特征库中记录的函数地址进行比较,识别出函数所能执行的操作。所述特征库中存储了系统中各个函数的入口地址及其相对应的操作。
进一步地,所述返回错误信息之前,还包括:
存储所述线程地址至黑名单;所述黑名单用于保存已识别的恶意线程的地址。
进一步地,所述检测恶意线程具体为:
获取所述中转指针中存储的线程地址;
获取黑名单;所述黑名单用于保存已识别的恶意线程的地址;
在所述黑名单中搜索是否存在所述线程地址,若存在,则返回错误信息,否则,初始化线程。
由上述描述可知,通过在保存有已识别的恶意线程地址的黑名单中搜索是否存在当前待初始化的恶意线程,可快速识别出恶意线程。
同一恶意线程攻击一般会出现多次,当检测到恶意线程时将其记录在黑名单中,有利于相同的恶意线程再次攻击计算机系统时,可以快速识别出恶意线程并及时拦截。
如图2所示,本发明还提供一种恶意线程检测系统,包括:
第一获取模块1,用于获取中转指针的地址,得到第一地址;所述中转指针为线程在用户层和内核层间转换时的中转站;
预设模块2,用于预设第一函数;所述第一函数用于检测恶意线程和初始化线程;
第二获取模块3,用于获取所述第一函数的入口地址,得到第二地址;
第一设置模块4,用于设置所述中转指针的地址为所述第二地址;
第二设置模块5,用于设置所述第一函数的函数指针指向所述第一地址。
进一步地,还包括:
第三获取模块,用于获取所述中转指针中存储的线程地址;
第四获取模块,用于获取安全的地址空间;
第一判断模块,用于判断所述线程地址是否在所述地址空间的范围内,若是,则初始化线程,否则,返回错误信息。
进一步地,还包括:
第五获取模块,用于获取所述中转指针中存储的线程地址;
第六获取模块,用于获取系统函数的索引;
识别模块,用于根据所述系统函数的索引和线程地址识别出线程所要执行的操作,得到当前操作名;
第七获取模块,用于获取危险操作表;所述危险操作表中存储对创建所述线程的进程会造成损害的操作的名称;
第一搜索模块,用于在所述危险操作表中搜索是否存在所述当前操作名,若是,则返回错误信息,否则,初始化线程。
进一步地,还包括:
存储模块,用于存储所述线程地址至黑名单;所述黑名单用于保存已识别的恶意线程的地址。
进一步地,还包括:
第八获取模块,用于获取所述中转指针中存储的线程地址;
第九获取模块,用于获取黑名单;所述黑名单用于保存已识别的恶意线程的地址;
第二搜索模块,用于在所述黑名单中搜索是否存在所述线程地址,若存在,则返回错误信息,否则,初始化线程。
本发明的实施例一为:
获取中转指针的地址,得到第一地址;所述中转指针为线程在用户层和内核层间转换时的中转站;
预设第一函数;所述第一函数用于检测恶意线程和初始化线程;
获取所述第一函数的入口地址,得到第二地址;
设置所述中转指针的地址为所述第二地址;
设置所述第一函数的函数指针指向所述第一地址;
当系统初始化线程时,需获取中转指针中存储的线程地址,由于此时中转指针的地址为第一函数的入口地址,因此当系统调用中转指针时实际上执行第一函数的函数体;
获取所述中转指针中存储的线程地址;由于此时中转指针的地址为第一函数的入口地址,第一函数的函数指针所指向的入口地址为中转指针的地址,因此应通过调用第一函数的函数指针所指向的地址获取中转指针中存储的线程地址;
获取安全的地址空间;
判断所述线程地址是否在所述地址空间的范围内,若是,则初始化线程,否则,返回错误信息。
由上述描述可知,通过本实施例可实现拦截不属于安全地址空间的线程,且无法通过检测工具定位检测点。
优选地,可通过微软Hook库中封装好的函数DetourAttach()实现当系统调用中转指针时转向调用第一函数。
现有技术中,已存在使用HOOK技术挂钩线程初始化函数,当系统调用线程初始化函数时,转向伪线程初始化函数,所述伪线程初始化函数可先对待初始化线程进行检测,若检测到待初始化线程为恶意线程,则不创建该线程并返回警报信息,否则调用初始化函数创建该线程。但是,如图3所示可通过PCHunter工具检测到上述方法中的挂钩位置,使得不法分子可定位到挂钩位置从而做出相应的应对策略。如图4所示,当使用上述实施例检测恶意线程时,PCHunter工具无法检测到挂钩位置,只能检测到系统模块。
本发明的实施例二为:
获取中转指针的地址,得到第一地址;所述中转指针为线程在用户层和内核层间转换时的中转站;
预设第一函数;所述第一函数用于检测恶意线程和初始化线程;
获取所述第一函数的入口地址,得到第二地址;
设置所述中转指针的地址为所述第二地址;
设置所述第一函数的函数指针指向所述第一地址;
当系统初始化线程时,需获取中转指针中存储的线程地址,由于此时中转指针的地址为第一函数的入口地址,因此当系统调用中转指针时实际上执行第一函数的函数体;
获取所述中转指针中存储的线程地址;由于此时中转指针的地址为第一函数的入口地址,第一函数的函数指针所指向的入口地址为中转指针的地址,因此应通过调用第一函数的函数指针所指向的地址获取中转指针中存储的线程地址;
获取系统函数的索引;
根据所述系统函数的索引和线程地址识别出线程所要执行的操作,得到当前操作名;
获取危险操作表;所述危险操作表中存储对创建所述线程的进程会造成损害的操作的名称;
在所述危险操作表中搜索是否存在所述当前操作名,若是,则返回错误信息,否则,初始化线程。
由上述描述可知,本实施例可实现拦截可执行对计算机系统造成损害的操作的线程,且无法通过检测工具定位检测点。
本发明的实施例三为:
获取中转指针的地址,得到第一地址;所述中转指针为线程在用户层和内核层间转换时的中转站;
预设第一函数;所述第一函数用于检测恶意线程和初始化线程;
获取所述第一函数的入口地址,得到第二地址;
设置所述中转指针的地址为所述第二地址;
设置所述第一函数的函数指针指向所述第一地址;
当系统初始化线程时,需获取中转指针中存储的线程地址,由于此时中转指针的地址为第一函数的入口地址,因此当系统调用中转指针时实际上执行第一函数的函数体;
获取所述中转指针中存储的线程地址;由于此时中转指针的地址为第一函数的入口地址,第一函数的函数指针所指向的入口地址为中转指针的地址,因此应通过调用第一函数的函数指针所指向的地址获取中转指针中存储的线程地址;
获取黑名单;所述黑名单用于保存已识别的恶意线程的地址;
在所述黑名单中搜索是否存在所述线程地址,若存在,则返回错误信息,否则:
获取安全的地址空间;
判断所述线程地址是否在所述地址空间的范围内,若是,则初始化线程,否则,存储所述线程地址至黑名单,所述黑名单用于保存已识别的恶意线程的地址,返回错误信息。
由上述描述可知,本实施例先在黑名单中搜索是否存在待初始化线程,若存在,则直接返回错误信息判定待初始化线程为恶意线程,否则获取安全的地址空间,判断待初始化线程地址是否在所述安全的地址空间的范围内,若是,则初始化线程,否则判定待初始化线程为恶意线程并存储至黑名单中。可实现快速检测出已攻击过本计算机的恶意线程,拦截不属于安全地址空间的线程,且无法通过检测工具定位检测点。
本发明的实施例四为:
获取中转指针的地址,得到第一地址;所述中转指针为线程在用户层和内核层间转换时的中转站;
预设第一函数;所述第一函数用于检测恶意线程和初始化线程;
获取所述第一函数的入口地址,得到第二地址;
设置所述中转指针的地址为所述第二地址;
设置所述第一函数的函数指针指向所述第一地址;
当系统初始化线程时,需获取中转指针中存储的线程地址,由于此时中转指针的地址为第一函数的入口地址,因此当系统调用中转指针时实际上执行第一函数的函数体;
获取所述中转指针中存储的线程地址;由于此时中转指针的地址为第一函数的入口地址,第一函数的函数指针所指向的入口地址为中转指针的地址,因此应通过调用第一函数的函数指针所指向的地址获取中转指针中存储的线程地址;
获取黑名单;所述黑名单用于保存已识别的恶意线程的地址;
在所述黑名单中搜索是否存在所述线程地址,若存在,则返回错误信息,否则:
获取系统函数的索引;
根据所述系统函数的索引和线程地址识别出线程所要执行的操作,得到当前操作名;
获取危险操作表;所述危险操作表中存储对创建所述线程的进程会造成损害的操作的名称;
在所述危险操作表中搜索是否存在所述当前操作名,若是,则存储所述线程地址至黑名单,所述黑名单用于保存已识别的恶意线程的地址,返回错误信息,否则,初始化线程。
由上述描述可知,本实施例先在黑名单中搜索是否存在待初始化线程,若存在,则直接返回错误信息判定待初始化线程为恶意线程,否则获取系统函数的索引,识别出待初始化线程可执行的操作,若所述操作会对计算机系统造成损害,则判定待初始化线程为恶意线程并存储至黑名单中,否则初始化待初始化线程。可实现,快速检测出已攻击过本计算机的恶意线程,拦截可执行对计算机系统造成损害的操作的线程,且无法通过检测工具定位检测点。
本发明的实施例五为:
第一获取模块获取中转指针的地址,得到第一地址;所述中转指针为线程在用户层和内核层间转换时的中转站;
预设模块预设第一函数;所述第一函数用于检测恶意线程和初始化线程;
第二获取模块获取所述第一函数的入口地址,得到第二地址;
第一设置模块设置所述中转指针的地址为所述第二地址;
第二设置模块设置所述第一函数的函数指针指向所述第一地址;
第三获取模块获取所述中转指针中存储的线程地址;
第四获取模块获取安全的地址空间;
第一判断模块判断所述线程地址是否在所述地址空间的范围内,若是,则初始化线程,否则,存储模块存储所述线程地址至黑名单;所述黑名单用于保存已识别的恶意线程的地址;返回错误信息。
本发明的实施例六为:
第一获取模块获取中转指针的地址,得到第一地址;所述中转指针为线程在用户层和内核层间转换时的中转站;
预设模块预设第一函数;所述第一函数用于检测恶意线程和初始化线程;
第二获取模块获取所述第一函数的入口地址,得到第二地址;
第一设置模块设置所述中转指针的地址为所述第二地址;
第二设置模块设置所述第一函数的函数指针指向所述第一地址;
第五获取模块获取所述中转指针中存储的线程地址;
第六获取模块获取系统函数的索引;
识别模块根据所述系统函数的索引和线程地址识别出线程所要执行的操作,得到当前操作名;
第七获取模块获取危险操作表;所述危险操作表中存储对创建所述线程的进程会造成损害的操作的名称;
第一搜索模块在所述危险操作表中搜索是否存在所述当前操作名,若是,则存储模块存储所述线程地址至黑名单;所述黑名单用于保存已识别的恶意线程的地址;返回错误信息,否则,初始化线程。
本发明的实施例七为:
第一获取模块获取中转指针的地址,得到第一地址;所述中转指针为线程在用户层和内核层间转换时的中转站;
预设模块预设第一函数;所述第一函数用于检测恶意线程和初始化线程;
第二获取模块获取所述第一函数的入口地址,得到第二地址;
第一设置模块设置所述中转指针的地址为所述第二地址;
第二设置模块设置所述第一函数的函数指针指向所述第一地址;
第八获取模块获取所述中转指针中存储的线程地址;
第九获取模块获取黑名单;所述黑名单用于保存已识别的恶意线程的地址;
第二搜索模块在所述黑名单中搜索是否存在所述线程地址,若存在,则返回错误信息,否则,初始化线程。
综上所述,本发明提供的一种恶意线程检测方法及系统,通过调换中转指针和第一函数的函数指针所指向的入口地址,实现在系统初始化线程之前,检测待测线程是否为恶意线程,若所述待测线程为恶意线程,则不初始化该线程,否则初始化该线程,有利于保护系统安全和计算机使用者的权益;其中,所述中转指针为线程在用户层和内核层间转换时的中转站,所述第一函数用于检测恶意线程和初始化线程;以中转指针作为待测点可实现检测工具无法定位具体的待测点,从而避免了不法分子针对待测点做出相对应的操作破坏计算机的系统安全及计算机使用者的权益;通过将待初始化的线程地址与安全的地址空间进行比较,可识别出待初始化的线程是否为恶意线程;可通过分析待初始化线程的地址,识别出待初始化线程所要执行的操作,并拦截会对创建所述待初始化线程的进程造成损害的待初始化线程;通过在保存有已识别的恶意线程地址的黑名单中搜索是否存在当前待初始化的恶意线程,可快速识别出恶意线程。
以上所述仅为本发明的实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等同变换,或直接或间接运用在相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种恶意线程检测方法,其特征在于,包括:
获取中转指针的地址,得到第一地址;所述中转指针为线程在用户层和内核层间转换时的中转站;
预设第一函数;所述第一函数用于检测恶意线程和初始化线程;
获取所述第一函数的入口地址,得到第二地址;
设置所述中转指针的地址为所述第二地址;
设置所述第一函数的函数指针指向所述第一地址。
2.根据权利要求1所述的一种恶意线程检测方法,其特征在于,所述检测恶意线程具体为:
获取所述中转指针中存储的线程地址;
获取安全的地址空间;
判断所述线程地址是否在所述地址空间的范围内,若是,则初始化线程,否则,返回错误信息。
3.根据权利要求1所述的一种恶意线程检测方法,其特征在于,所述检测恶意线程具体为:
获取所述中转指针中存储的线程地址;
获取系统函数的索引;
根据所述系统函数的索引和线程地址识别出线程所要执行的操作,得到当前操作名;
获取危险操作表;所述危险操作表中存储对创建所述线程的进程会造成损害的操作的名称;
在所述危险操作表中搜索是否存在所述当前操作名,若是,则返回错误信息,否则,初始化线程。
4.根据权利要求2或3所述的一种恶意线程检测方法,其特征在于,所述返回错误信息之前,还包括:
存储所述线程地址至黑名单;所述黑名单用于保存已识别的恶意线程的地址。
5.根据权利要求1所述的一种恶意线程检测方法,其特征在于,所述检测恶意线程具体为:
获取所述中转指针中存储的线程地址;
获取黑名单;所述黑名单用于保存已识别的恶意线程的地址;
在所述黑名单中搜索是否存在所述线程地址,若存在,则返回错误信息,否则,初始化线程。
6.一种恶意线程检测系统,其特征在于,包括:
第一获取模块,用于获取中转指针的地址,得到第一地址;所述中转指针为线程在用户层和内核层间转换时的中转站;
预设模块,用于预设第一函数;所述第一函数用于检测恶意线程和初始化线程;
第二获取模块,用于获取所述第一函数的入口地址,得到第二地址;
第一设置模块,用于设置所述中转指针的地址为所述第二地址;
第二设置模块,用于设置所述第一函数的函数指针指向所述第一地址。
7.根据权利要求6所述的一种恶意线程检测系统,其特征在于,还包括:
第三获取模块,用于获取所述中转指针中存储的线程地址;
第四获取模块,用于获取安全的地址空间;
第一判断模块,用于判断所述线程地址是否在所述地址空间的范围内,若是,则初始化线程,否则,返回错误信息。
8.根据权利要求6所述的一种恶意线程检测系统,其特征在于,还包括:
第五获取模块,用于获取所述中转指针中存储的线程地址;
第六获取模块,用于获取系统函数的索引;
识别模块,用于根据所述系统函数的索引和线程地址识别出线程所要执行的操作,得到当前操作名;
第七获取模块,用于获取危险操作表;所述危险操作表中存储对创建所述线程的进程会造成损害的操作的名称;
第一搜索模块,用于在所述危险操作表中搜索是否存在所述当前操作名,若是,则返回错误信息,否则,初始化线程。
9.根据权利要求6所述的一种恶意线程检测系统,其特征在于,还包括:
存储模块,用于存储所述线程地址至黑名单;所述黑名单用于保存已识别的恶意线程的地址。
10.根据权利要求6所述的一种恶意线程检测系统,其特征在于,还包括:
第八获取模块,用于获取所述中转指针中存储的线程地址;
第九获取模块,用于获取黑名单;所述黑名单用于保存已识别的恶意线程的地址;
第二搜索模块,用于在所述黑名单中搜索是否存在所述线程地址,若存在,则返回错误信息,否则,初始化线程。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610791067.0A CN106407807B (zh) | 2016-08-31 | 2016-08-31 | 一种恶意线程检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610791067.0A CN106407807B (zh) | 2016-08-31 | 2016-08-31 | 一种恶意线程检测方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106407807A true CN106407807A (zh) | 2017-02-15 |
| CN106407807B CN106407807B (zh) | 2019-01-22 |
Family
ID=58000812
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610791067.0A Active CN106407807B (zh) | 2016-08-31 | 2016-08-31 | 一种恶意线程检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106407807B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109144616A (zh) * | 2018-09-30 | 2019-01-04 | 珠海市君天电子科技有限公司 | 一种检测反射式动态链接库文件的方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102651061A (zh) * | 2011-04-19 | 2012-08-29 | 卡巴斯基实验室封闭式股份公司 | 用于检测复杂恶意软件的系统和方法 |
| CN103065092A (zh) * | 2012-12-24 | 2013-04-24 | 公安部第一研究所 | 一种拦截可疑程序运行的方法 |
| CN103761481A (zh) * | 2014-01-23 | 2014-04-30 | 北京奇虎科技有限公司 | 一种恶意代码样本自动处理的方法及装置 |
-
2016
- 2016-08-31 CN CN201610791067.0A patent/CN106407807B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102651061A (zh) * | 2011-04-19 | 2012-08-29 | 卡巴斯基实验室封闭式股份公司 | 用于检测复杂恶意软件的系统和方法 |
| CN103065092A (zh) * | 2012-12-24 | 2013-04-24 | 公安部第一研究所 | 一种拦截可疑程序运行的方法 |
| CN103761481A (zh) * | 2014-01-23 | 2014-04-30 | 北京奇虎科技有限公司 | 一种恶意代码样本自动处理的方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 汪洋: "《文件型恶意程序的定义及防御方法研究与实现》", 《国防科学技术大学硕士论文库》 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109144616A (zh) * | 2018-09-30 | 2019-01-04 | 珠海市君天电子科技有限公司 | 一种检测反射式动态链接库文件的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106407807B (zh) | 2019-01-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2020082559A1 (zh) | 基于关联图谱的风险检测方法、装置、设备及存储介质 | |
| CN103927307B (zh) | 一种识别网站用户的方法和装置 | |
| CN104767757B (zh) | 基于web业务的多维度安全监测方法和系统 | |
| CN108123956B (zh) | 基于Petri网的密码误用漏洞检测方法及系统 | |
| KR101206853B1 (ko) | 네트워크 접근 제어시스템 및 방법 | |
| CN107659570A (zh) | 基于机器学习与动静态分析的Webshell检测方法及系统 | |
| CN105740711B (zh) | 一种基于内核对象行为本体的恶意代码检测方法及系统 | |
| CN107256357A (zh) | 基于深度学习的安卓恶意应用的检测和分析方法 | |
| CN110417778A (zh) | 访问请求的处理方法和装置 | |
| CN109766485A (zh) | 一种敏感信息检查方法及系统 | |
| CN104303189B (zh) | 用于确定应用程序漏洞的系统及方法 | |
| CN104866764B (zh) | 一种基于对象引用图的Android手机恶意软件检测方法 | |
| CN110414222A (zh) | 一种基于组件关联的应用隐私泄露问题检测方法和装置 | |
| CN107633169A (zh) | 一种终端解锁方法、终端及计算机可读存储介质 | |
| CN107958154A (zh) | 一种恶意软件检测装置及方法 | |
| CN106027528A (zh) | 一种web水平权限自动化识别的方法及装置 | |
| CN109636570A (zh) | 手机号的风险分析方法、装置、设备及可读存储介质 | |
| CN107332823A (zh) | 一种基于机器学习的服务器伪装方法和系统 | |
| CN102708043A (zh) | 静态数据竞争检测和分析 | |
| CN110457220A (zh) | 基于安卓系统的模拟器检测方法、智能终端及存储介质 | |
| CN104766016A (zh) | 一种基于系统调用短序列的软件漏洞检测方法 | |
| CN106407807A (zh) | 一种恶意线程检测方法及系统 | |
| CN107819758A (zh) | 一种网络摄像头漏洞远程检测方法及装置 | |
| CN106330811A (zh) | 域名可信度确定的方法及装置 | |
| CN107194265A (zh) | 一种基于区块链图像处理技术的库位监管的装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |