CN106560831B - 一种恶意代码绕过主动防御的发现方法及系统 - Google Patents

一种恶意代码绕过主动防御的发现方法及系统 Download PDF

Info

Publication number
CN106560831B
CN106560831B CN201511015285.7A CN201511015285A CN106560831B CN 106560831 B CN106560831 B CN 106560831B CN 201511015285 A CN201511015285 A CN 201511015285A CN 106560831 B CN106560831 B CN 106560831B
Authority
CN
China
Prior art keywords
initiative defense
newly
code
key assignments
core position
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201511015285.7A
Other languages
English (en)
Other versions
CN106560831A (zh
Inventor
康学斌
周奋彦
肖新光
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Antiy Technology Group Co Ltd
Original Assignee
Harbin Antiy Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Harbin Antiy Technology Co Ltd filed Critical Harbin Antiy Technology Co Ltd
Priority to CN201511015285.7A priority Critical patent/CN106560831B/zh
Publication of CN106560831A publication Critical patent/CN106560831A/zh
Application granted granted Critical
Publication of CN106560831B publication Critical patent/CN106560831B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computer And Data Communications (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明提出一种恶意代码绕过主动防御的发现方法及系统,包括:开启主动防御,并同时扫描系统关键位置;记录可疑代码运行前系统关键位置的内容及键值;运行可疑代码,得到主动防御的监控结果;再次扫描系统关键位置,记录可疑代码运行后系统关键位置的内容及键值;对比可疑代码运行前与运行后系统关键位置的内容及键值变化情况,得到新增威胁;比较主动防御的检测结果与新增威胁,判断两者是否相同,如果相同,则不存在新增的绕过主动防御的恶意代码,否则自动化发现新增的绕过主动防御的恶意代码。通过本发明的方法实现了将人工才能够发现的绕过主动防御的情况自动化检测。

Description

一种恶意代码绕过主动防御的发现方法及系统
技术领域
本发明涉及计算机网络安全技术领域,特别涉及一种恶意代码绕过主动防御的发现方法及系统。
背景技术
主动防御是基于程序行为自主分析判断的实时防护技术,解决传统安全软件无法防御未知恶意代码的问题。如今,大多数杀毒软件均具备主动防御的功能。未知的恶意代码要在用户机器上运行,须绕过杀毒软件的主动防御。由于主动防御技术是根据已发现的恶意代码行为,来判断未知程序行为恶意与否。所以,新型的恶意代码可利用未被识别为恶意的程序行为,绕过主动防御,实现自己的恶意目的。
目前的检测方法存在一定弊端,现今,对于恶意代码绕过主动防御的行为,主要依靠人工逆向分析发现,这种方式产出效率低,发现不及时。
发明内容
本发明提出了一种恶意代码绕过主动防御的发现方法及系统,可以通过对系统的监控及比较,自动化发现恶意代码绕过主动防御的行为。
一种恶意代码绕过主动防御的发现方法,包括:
开启主动防御,并同时扫描系统关键位置;
记录可疑代码运行前系统关键位置的内容及键值;
运行可疑代码,得到主动防御的监控结果;
再次扫描系统关键位置,记录可疑代码运行后系统关键位置的内容及键值;
对比可疑代码运行前与运行后系统关键位置的内容及键值变化情况,得到新增威胁;
比较主动防御的检测结果与新增威胁,判断两者是否相同,如果相同,则不存在新增的绕过主动防御的恶意代码,否则自动化发现新增的绕过主动防御的恶意代码。
所述的方法中,所述系统关键位置包括:重要系统文件夹路径及注册表。
所述的方法中,所述记录可疑代码运行前系统关键位置的内容及键值具体为:记录可疑代码运行前重要系统文件夹路径下的文件名称、文件大小、MD5值以及注册表键值。
一种恶意代码绕过主动防御的发现系统,包括:
检测模块,用于开启主动防御,并同时扫描系统关键位置;
第一扫描模块,用于记录可疑代码运行前系统关键位置的内容及键值;
执行模块,用于运行可疑代码,得到主动防御的监控结果;
第二扫描模块,用于再次扫描系统关键位置,记录可疑代码运行后系统关键位置的内容及键值;
新增威胁获取模块,用于对比可疑代码运行前与运行后系统关键位置的内容及键值变化情况,得到新增威胁;
结果判定模块,用于比较主动防御的检测结果与新增威胁,判断两者是否相同,如果相同,则不存在新增的绕过主动防御的恶意代码,否则自动化发现新增的绕过主动防御的恶意代码。
所述的系统中,所述系统关键位置包括:重要系统文件夹路径及注册表。
所述的系统中,所述记录可疑代码运行前系统关键位置的内容及键值具体为:记录可疑代码运行前重要系统文件夹路径下的文件名称、文件大小、MD5值以及注册表键值。
本发明的优势在于,结合主动防御技术,以及对系统关键位置的监控扫描,确定新增威胁,通过新增威胁与主动防御的监控结果,自动化的发现恶意代码绕过主动防御的行为。当主动防御未发现威胁,而对系统关键位置的监控扫描发现新增威胁,则可以判断可疑代码存在绕过主动防御的行为。
本发明提出一种恶意代码绕过主动防御的发现方法及系统,包括:开启主动防御,并同时扫描系统关键位置;记录可疑代码运行前系统关键位置的内容及键值;运行可疑代码,得到主动防御的监控结果;再次扫描系统关键位置,记录可疑代码运行后系统关键位置的内容及键值;对比可疑代码运行前与运行后系统关键位置的内容及键值变化情况,得到新增威胁;比较主动防御的检测结果与新增威胁,判断两者是否相同,如果相同,则不存在新增的绕过主动防御的恶意代码,否则自动化发现新增的绕过主动防御的恶意代码。通过本发明的方法实现了将人工才能够发现的绕过主动防御的情况自动化检测。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一种恶意代码绕过主动防御的发现方法实施例流程图;
图2为本发明一种恶意代码绕过主动防御的发现系统实施例结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
本发明提出了一种恶意代码绕过主动防御的发现方法及系统,可以通过对系统的监控及比较,自动化发现恶意代码绕过主动防御的行为。
常见具有主动防御功能的杀毒软件会内置一份白名单与一组判别恶意行为的规则。其判别规则是反病毒工程师分析了大量恶意代码的代码特征和行为特征总结出来的。这些规则分为三类,应用程序防御、注册表防御、文件防御;同时,也会被分为不同的危害等级,分别对应不同的处理方式。举例来说,当有未知程序想调用IE浏览器弹出恶意网页,写入注册表的自启动项,并将自身复制到系统盘的system32目录下。首先判断这个未知程序不在白名单里,则开启防御机制判别行为;应用程序防御认为调用IE浏览器存在少许恶意,则提醒用户是否继续操作;注册表防御认为写入自启动项存在恶意,则提醒用户,默认操作为拒绝;文件防御认为写入文件到system32目录下是严重恶意行为,则直接拒绝其操作。
由于防御机制是基于一定数量的规则进行行为判别,而对于不属于规则里的行为,通常情况下默认允许。所以恶意代码可以使用一些方法绕过这些规则,使主动防御无法发现其恶意行为。常见的绕过方法有,一、不使用被主动防御系统Hook过的函数;二、拆分恶意行为步骤;三、利用白名单程序加载执行恶意DLL。
本发明针对上述的情况,提出一种恶意代码绕过主动防御的发现方法,如图1所示,包括:
S101:开启主动防御,并同时扫描系统关键位置;
S102:记录可疑代码运行前系统关键位置的内容及键值;
S103:运行可疑代码,得到主动防御的监控结果;
S104:再次扫描系统关键位置,记录可疑代码运行后系统关键位置的内容及键值;
S105:对比可疑代码运行前与运行后系统关键位置的内容及键值变化情况,得到新增威胁;如对比扫描结果,发现自启动目录下有新增文件或注册表自启动项有新增键值,便可认为是新增威胁。
S106:比较主动防御的检测结果与新增威胁,判断两者是否相同,如果相同,则不存在新增的绕过主动防御的恶意代码,否则自动化发现新增的绕过主动防御的恶意代码。如,扫描发现恶意代码在自启动目录下新建了文件,即新增威胁,而主动防御却没有监控到这一行为,对比两者结果之间的差异,则可发现该可疑代码绕过了主动防御。
所述的方法中,所述系统关键位置包括:重要系统文件夹路径及注册表。
所述的方法中,所述记录可疑代码运行前系统关键位置的内容及键值具体为:记录可疑代码运行前重要系统文件夹路径下的文件名称、文件大小、MD5值以及注册表键值。
本发明主要利用了恶意代码绕过了主动防御后,仍将对系统进行修改。因此,可对系统关键位置在可疑代码运行前后分别进行扫描,发现新增威胁。对比运行前后的情况,得出新增威胁。最后,通过比较扫描发现的新增威胁与主动防御的监控结果,从中发现恶意代码绕过主动防御。
一种恶意代码绕过主动防御的发现系统,如图2所示,包括:
检测模块201,用于开启主动防御,并同时扫描系统关键位置;
第一扫描模块202,用于记录可疑代码运行前系统关键位置的内容及键值;
执行模块203,用于运行可疑代码,得到主动防御的监控结果;
第二扫描模块204,用于再次扫描系统关键位置,记录可疑代码运行后系统关键位置的内容及键值;
新增威胁获取模块205,用于对比可疑代码运行前与运行后系统关键位置的内容及键值变化情况,得到新增威胁;
结果判定模块206,用于比较主动防御的检测结果与新增威胁,判断两者是否相同,如果相同,则不存在新增的绕过主动防御的恶意代码,否则自动化发现新增的绕过主动防御的恶意代码。
所述的系统中,所述系统关键位置包括:重要系统文件夹路径及注册表。
所述的系统中,所述记录可疑代码运行前系统关键位置的内容及键值具体为:记录可疑代码运行前重要系统文件夹路径下的文件名称、文件大小、MD5值以及注册表键值。
本发明的优势在于,结合主动防御技术,以及对系统关键位置的监控扫描,确定新增威胁,通过新增威胁与主动防御的监控结果,自动化的发现恶意代码绕过主动防御的行为。当主动防御未发现威胁,而对系统关键位置的监控扫描发现新增威胁,则可以判断可疑代码存在绕过主动防御的行为。
通过该方法已经发现了包括设备名替代路径、分步写入重启等绕过主动防御实现自启动的方法。
主动防御会对写入自启动目录的操作进行监控。而设备名代替路径绕过主动防御实现自启动的方法,是将自启动路径定义为一个本地设备名称,再通过这个设备名称进行写文件写操作,将自身写入自启动目录;
而分步写入重启绕过主动防御实现自启动的方法,主要是绕过对RegSetValue、MoveFile的检查。如果直接使用RegSetValue向注册表的自启动项添加路径或使用MoveFile将自身移动到自启动目录下都会触发主动防御。该方法先向注册表延迟重命名项写入自身路径,然后用MoveFile再向该注册表项写入自启动路径,实现延迟移动到自启动目录。
这两个方法虽成功绕过主动防御,但通过本发明的方法进行扫描依然可发现其新增威胁,便可通过最终比较,实现自动化发现恶意代码绕过主动防御的技术。对于发现新的恶意威胁,完善主动防御具有良好的效果。
本发明提出一种恶意代码绕过主动防御的发现方法及系统,包括:开启主动防御,并同时扫描系统关键位置;记录可疑代码运行前系统关键位置的内容及键值;运行可疑代码,得到主动防御的监控结果;再次扫描系统关键位置,记录可疑代码运行后系统关键位置的内容及键值;对比可疑代码运行前与运行后系统关键位置的内容及键值变化情况,得到新增威胁;比较主动防御的检测结果与新增威胁,判断两者是否相同,如果相同,则不存在新增的绕过主动防御的恶意代码,否则自动化发现新增的绕过主动防御的恶意代码。通过本发明的方法实现了将人工才能够发现的绕过主动防御的情况自动化检测。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。

Claims (6)

1.一种恶意代码绕过主动防御的发现方法,其特征在于,包括:
开启主动防御,并同时扫描系统关键位置;
记录可疑代码运行前系统关键位置的内容及键值;
运行可疑代码,得到主动防御的监控结果;
再次扫描系统关键位置,记录可疑代码运行后系统关键位置的内容及键值;
对比可疑代码运行前与运行后系统关键位置的内容及键值变化情况,得到新增威胁;
比较主动防御的检测结果与新增威胁,判断两者是否相同,如果相同,则不存在新增的绕过主动防御的恶意代码,否则自动化发现新增的绕过主动防御的恶意代码。
2.如权利要求1所述的方法,其特征在于,所述系统关键位置包括:重要系统文件夹路径及注册表。
3.如权利要求2所述的方法,其特征在于,所述记录可疑代码运行前系统关键位置的内容及键值具体为:记录可疑代码运行前重要系统文件夹路径下的文件名称、文件大小、MD5值以及注册表键值。
4.一种恶意代码绕过主动防御的发现系统,其特征在于,包括:
检测模块,用于开启主动防御,并同时扫描系统关键位置;
第一扫描模块,用于记录可疑代码运行前系统关键位置的内容及键值;
执行模块,用于运行可疑代码,得到主动防御的监控结果;
第二扫描模块,用于再次扫描系统关键位置,记录可疑代码运行后系统关键位置的内容及键值;
新增威胁获取模块,用于对比可疑代码运行前与运行后系统关键位置的内容及键值变化情况,得到新增威胁;
结果判定模块,用于比较主动防御的检测结果与新增威胁,判断两者是否相同,如果相同,则不存在新增的绕过主动防御的恶意代码,否则自动化发现新增的绕过主动防御的恶意代码。
5.如权利要求4所述的系统,其特征在于,所述系统关键位置包括:重要系统文件夹路径及注册表。
6.如权利要求5所述的系统,其特征在于,所述记录可疑代码运行前系统关键位置的内容及键值具体为:记录可疑代码运行前重要系统文件夹路径下的文件名称、文件大小、MD5值以及注册表键值。
CN201511015285.7A 2015-12-31 2015-12-31 一种恶意代码绕过主动防御的发现方法及系统 Active CN106560831B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201511015285.7A CN106560831B (zh) 2015-12-31 2015-12-31 一种恶意代码绕过主动防御的发现方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201511015285.7A CN106560831B (zh) 2015-12-31 2015-12-31 一种恶意代码绕过主动防御的发现方法及系统

Publications (2)

Publication Number Publication Date
CN106560831A CN106560831A (zh) 2017-04-12
CN106560831B true CN106560831B (zh) 2019-07-02

Family

ID=58485472

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201511015285.7A Active CN106560831B (zh) 2015-12-31 2015-12-31 一种恶意代码绕过主动防御的发现方法及系统

Country Status (1)

Country Link
CN (1) CN106560831B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110554942A (zh) * 2018-05-31 2019-12-10 北京京东尚科信息技术有限公司 一种监控代码执行的方法和装置

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101304409B (zh) * 2008-06-28 2011-04-13 成都市华为赛门铁克科技有限公司 恶意代码检测方法及系统
CN101304321B (zh) * 2008-07-09 2010-06-02 南京邮电大学 基于信任的对等网络病毒防御方法
US8572740B2 (en) * 2009-10-01 2013-10-29 Kaspersky Lab, Zao Method and system for detection of previously unknown malware
CN103516727A (zh) * 2013-09-30 2014-01-15 重庆电子工程职业学院 网络主动防御系统及其更新方法
CN104008038B (zh) * 2014-05-08 2017-06-20 百度在线网络技术(北京)有限公司 软件的评测方法及装置

Also Published As

Publication number Publication date
CN106560831A (zh) 2017-04-12

Similar Documents

Publication Publication Date Title
KR102612500B1 (ko) 로깅을 통한 민감 데이터 노출 탐지
Maiorca et al. A pattern recognition system for malicious pdf files detection
Sato et al. Detecting android malware by analyzing manifest files
US8925076B2 (en) Application-specific re-adjustment of computer security settings
TWI396995B (zh) 惡意軟體清除方法、系統及電腦程式產品與儲存媒體
US8161552B1 (en) White list creation in behavior monitoring system
EP3420489B1 (en) Cybersecurity systems and techniques
US8566943B2 (en) Asynchronous processing of events for malware detection
US20090044272A1 (en) Resource-reordered remediation of malware threats
Zhao et al. Malicious executables classification based on behavioral factor analysis
KR101230271B1 (ko) 악성 코드 탐지를 위한 시스템 및 방법
US10255434B2 (en) Detecting software attacks on processes in computing devices
CN101013461A (zh) 基于程序行为分析的计算机防护方法
CN110119619A (zh) 创建防病毒记录的系统和方法
Sajid et al. Soda: A system for cyber deception orchestration and automation
US8370941B1 (en) Rootkit scanning system, method, and computer program product
CN111435391A (zh) 自动确定gui中待交互的交互式gui元素的方法和设备
CN103699837B (zh) 一种扫描文件的方法和终端设备
Lê et al. A Machine Learning Approach for Real Time Android Malware Detection
CN106560831B (zh) 一种恶意代码绕过主动防御的发现方法及系统
KR100959276B1 (ko) 커널계층에서 통제리스트를 이용한 악성프로세스 설치차단 시스템 및 그 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체
RU2514137C1 (ru) Способ автоматической настройки средства безопасности
US20230205877A1 (en) System and method of synthesizing potential malware for predicting a cyberattack
CN111259392A (zh) 一种基于内核模块的恶意软件拦截方法及装置
Teufl et al. Android-On-device detection of SMS catchers and sniffers

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP03 Change of name, title or address

Address after: 150028 Building 7, Innovation Plaza, Science and Technology Innovation City, Harbin Hi-tech Industrial Development Zone, Harbin, Heilongjiang Province (838 Shikun Road)

Patentee after: Harbin antiy Technology Group Limited by Share Ltd

Address before: 506 room 162, Hongqi Avenue, Nangang District, Harbin Development Zone, Heilongjiang, 150090

Patentee before: Harbin Antiy Technology Co., Ltd.

CP03 Change of name, title or address
CP01 Change in the name or title of a patent holder

Address after: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Harbin, Heilongjiang Province (No. 838, Shikun Road)

Patentee after: Antan Technology Group Co.,Ltd.

Address before: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Harbin, Heilongjiang Province (No. 838, Shikun Road)

Patentee before: Harbin Antian Science and Technology Group Co.,Ltd.

CP01 Change in the name or title of a patent holder