CN106650447A - 一种防御PowerShell恶意代码执行的方法及系统 - Google Patents
一种防御PowerShell恶意代码执行的方法及系统 Download PDFInfo
- Publication number
- CN106650447A CN106650447A CN201611238998.4A CN201611238998A CN106650447A CN 106650447 A CN106650447 A CN 106650447A CN 201611238998 A CN201611238998 A CN 201611238998A CN 106650447 A CN106650447 A CN 106650447A
- Authority
- CN
- China
- Prior art keywords
- exe
- powershell
- chain
- processes
- explorer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种防御PowerShell恶意代码执行的方法及系统,包括:获取系统内与PowerShell.exe相关的进程链;将所述进程链与进程链白名单匹配,若匹配成功则允许操作执行;将所述进程链与进程链黑名单匹配,若匹配成功则阻止操作执行;若所述进程链与进程链白名单和进程链黑名单均匹配失败,则由用户决定是否允许操作执行。本发明所述技术方案能够克服传统检测方法无法有效防御PowerShell恶意代码执行的问题。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种防御PowerShell恶意代码执行的方法及系统。
背景技术
目前使用PowerShell编写的恶意脚本具有无实体文件的特点,这种特点可以突破传统反病毒产品的检测,并被越来越多的攻击者所使用。近年来,更被APT(高级可持续威胁)和勒索软件频繁使用。
目前大部分反病毒软件是基于对实体文件进行提取特征的检测,对无实体恶意代码的检测存在一定程度上的局限性。现有的内存检测更是基于代码基因特征的形式对恶意代码进行检测,而加密型PowerShell脚本并不能使用这种提取代码基因特征的方法进行检测。
发明内容
针对上述技术问题,本发明通过对Powershell恶意代码进行分析,预先生成进程链白名单和进程链黑名单,进而基于进程链关系的匹配,主动防御利用PowerShell执行恶意操作的行为,弥补了传统反病毒产品无法有效检测PowerShell恶意代码的空白。
本发明采用如下方法来实现:一种防御PowerShell恶意代码执行的方法,包括:
获取系统内与PowerShell.exe相关的进程链;
将所述进程链与进程链白名单匹配,若匹配成功则允许操作执行;
将所述进程链与进程链黑名单匹配,若匹配成功则阻止操作执行;
若所述进程链与进程链白名单和进程链黑名单均匹配失败,则由用户决定是否允许操作执行。
进一步地,所述获取系统内与PowerShell.exe相关的进程链,具体为:
利用进程快照将系统内所有进程记录到进程列表中;
获取进程列表中每个进程的父进程,若无父进程则判定为根进程,进而形成二节点的进程关系;
基于二节点的进程关系得到多节点的进程关系,进而得到系统内各进程链;
筛选与PowerShell.exe相关的进程链。
上述方法中,所述进程链白名单,包括:Explorer.exe->PowerShell.exe;Explorer.exe->cmd.exe->PowerShell.exe。
上述方法中,所述进程链黑名单中存储有利用其它程序间接调用PowerShell.exe的所有进程链,包括:
Explorer.exe->WINWORD.EXE->cmd.exe->PowerShell.exe;
Explorer.exe->EXCEL.EXE->cmd.exe->PowerShell.exe;
Explorer.exe->POWERPNT.EXE->cmd.exe->PowerShell.exe;
Explorer.exe-> Wscript.exe->cmd.exe->PowerShell.exe;
Explorer.exe->*.EXE->cmd.exe->PowerShell.exe;
Explorer.exe->WINWORD.EXE->PowerShell.exe;
Explorer.exe->EXCEL.EXE->PowerShell.exe;
Explorer.exe->POWERPNT.EXE->PowerShell.exe;
Explorer.exe-> Wscript.exe->PowerShell.exe;
Explorer.exe->*.EXE->PowerShell.exe;其中,所述*.EXE为除cmd.exe之外的其他进程。
本发明可以采用如下系统来实现:一种防御PowerShell恶意代码执行的系统,包括:
进程链获取模块,用于获取系统内与PowerShell.exe相关的进程链;
白名单匹配模块,用于将所述进程链与进程链白名单匹配,若匹配成功则允许操作执行;
黑名单匹配模块,用于将所述进程链与进程链黑名单匹配,若匹配成功则阻止操作执行;
弹窗提示模块,用于若所述进程链与进程链白名单和进程链黑名单均匹配失败,则由用户决定是否允许操作执行。
进一步地,所述进程链获取模块,具体用于:
利用进程快照将系统内所有进程记录到进程列表中;
获取进程列表中每个进程的父进程,若无父进程则判定为根进程,进而形成二节点的进程关系;
基于二节点的进程关系得到多节点的进程关系,进而得到系统内各进程链;
筛选与PowerShell.exe相关的进程链。
上述系统中,所述进程链白名单,包括:Explorer.exe->PowerShell.exe;Explorer.exe->cmd.exe->PowerShell.exe。
上述系统中,所述进程链黑名单中存储有利用其它程序间接调用PowerShell.exe的所有进程链,包括:
Explorer.exe->WINWORD.EXE->cmd.exe->PowerShell.exe;
Explorer.exe->EXCEL.EXE->cmd.exe->PowerShell.exe;
Explorer.exe->POWERPNT.EXE->cmd.exe->PowerShell.exe;
Explorer.exe-> Wscript.exe->cmd.exe->PowerShell.exe;
Explorer.exe->*.EXE->cmd.exe->PowerShell.exe;
Explorer.exe->WINWORD.EXE->PowerShell.exe;
Explorer.exe->EXCEL.EXE->PowerShell.exe;
Explorer.exe->POWERPNT.EXE->PowerShell.exe;
Explorer.exe-> Wscript.exe->PowerShell.exe;
Explorer.exe->*.EXE->PowerShell.exe;其中,所述*.EXE为除cmd.exe之外的其他进程。
综上,本发明通过分析PowerShell恶意代码的特点,使用进程链关系进行主动防御,将用户常规场景下使用PowerShell的进程链作为进程链白名单,将利用其它应用程序间接调用PowerShell的进程链关系作为进程链黑名单,进而及时有效地阻止非法进程的执行。
有益效果为:本发明所述技术方案能够克服传统检测工具需要依赖于已知特征的缺陷,本发明所述方法及系统不仅可供个人使用,同时可供企业内部使用,不仅能够有效阻止已知的基于PowerShell恶意代码的执行,而且能够有效防御未知的基于PowerShell恶意代码的执行,进而能够阻止利用PowerShell进行的APT攻击和勒索软件的入侵。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的一种防御PowerShell恶意代码执行的方法实施例流程图;
图2为本发明提供的一种防御PowerShell恶意代码执行的系统实施例结构图。
具体实施方式
本发明给出了一种防御PowerShell恶意代码执行的方法及系统实施例,为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明:
目前PowerShell恶意代码被多种恶意程序利用,来传播和执行具有实际恶意功能的程序。主要包括APT和勒索软件,例如:office宏代码中嵌入PowerShell代码、安装包程序嵌入PowerShell代码、数据库文件嵌入PowerShell代码等等。由于将脚本代码嵌入其他程序的方法免杀能力强,且代码隐蔽性功能好,被诸多恶意代码作者利用。而正常使用PowerShell脚本的用户不会将代码嵌入到其他应用程序中。基于此,本发明提供如下实施例在无特征的情况下有效阻止PowerShell恶意代码的执行。
本发明首先提供了一种防御PowerShell恶意代码执行的方法实施例,如图1所示,包括:
S101:获取系统内与PowerShell.exe相关的进程链;
具体为:利用进程快照将系统内所有进程记录到进程列表中;
获取进程列表中每个进程的父进程,若无父进程则判定为根进程,进而形成二节点的进程关系;
基于二节点的进程关系得到多节点的进程关系,进而得到系统内各进程链;
筛选与PowerShell.exe相关的进程链。
其中,可以利用CreateToolhelp32Snapshot()函数获取进程快照。
S102:将所述进程链与进程链白名单匹配,若匹配成功则允许操作执行,否则执行S103;
其中,正常用户在使用PowerShell.exe时,其进程链关系中的父进程为Explorer.exe或者cmd.exe;因此,所述进程链白名单,包括:Explorer.exe->PowerShell.exe;Explorer.exe->cmd.exe->PowerShell.exe。
S103:将所述进程链与进程链黑名单匹配,若匹配成功则阻止操作执行,否则执行S104;
其中,所述进程链黑名单中存储有利用其它程序间接调用PowerShell.exe的所有进程链,包括:
Explorer.exe->WINWORD.EXE->cmd.exe->PowerShell.exe;
Explorer.exe->EXCEL.EXE->cmd.exe->PowerShell.exe;
Explorer.exe->POWERPNT.EXE->cmd.exe->PowerShell.exe;
Explorer.exe-> Wscript.exe->cmd.exe->PowerShell.exe;
Explorer.exe->*.EXE->cmd.exe->PowerShell.exe;
Explorer.exe->WINWORD.EXE->PowerShell.exe;
Explorer.exe->EXCEL.EXE->PowerShell.exe;
Explorer.exe->POWERPNT.EXE->PowerShell.exe;
Explorer.exe-> Wscript.exe->PowerShell.exe;
Explorer.exe->*.EXE->PowerShell.exe;其中,所述*.EXE为除cmd.exe之外的其他进程。
S104:弹窗给用户,由用户决定是否允许操作执行。
其中,若当前的进程链关系与进程链白名单和进程链黑名单均匹配失败,则弹窗给用户,如果不是用户在使用PowerShell则用户会选择阻止操作执行。而上述进程链白名单和进程链黑名单基本包含了所有进程链关系,因此,除非特殊情况,基本不需要用户去主动干预,本发明所述方法实施例可以自动完成对PowerShell恶意代码执行的阻止操作。
本发明其次提供了一种防御PowerShell恶意代码执行的系统实施例,如图2所示,包括:
进程链获取模块201,用于获取系统内与PowerShell.exe相关的进程链;
白名单匹配模块202,用于将所述进程链与进程链白名单匹配,若匹配成功则允许操作执行;
黑名单匹配模块203,用于将所述进程链与进程链黑名单匹配,若匹配成功则阻止操作执行;
弹窗提示模块204,用于若所述进程链与进程链白名单和进程链黑名单均匹配失败,则由用户决定是否允许操作执行。
优选地,所述进程链获取模块,具体用于:
利用进程快照将系统内所有进程记录到进程列表中;
获取进程列表中每个进程的父进程,若无父进程则判定为根进程,进而形成二节点的进程关系;
基于二节点的进程关系得到多节点的进程关系,进而得到系统内各进程链;
筛选与PowerShell.exe相关的进程链。
上述系统实施例中,所述进程链白名单,包括:Explorer.exe->PowerShell.exe;Explorer.exe->cmd.exe->PowerShell.exe。
上述系统实施例中,所述进程链黑名单中存储有利用其它程序间接调用PowerShell.exe的所有进程链,包括:
Explorer.exe->WINWORD.EXE->cmd.exe->PowerShell.exe;
Explorer.exe->EXCEL.EXE->cmd.exe->PowerShell.exe;
Explorer.exe->POWERPNT.EXE->cmd.exe->PowerShell.exe;
Explorer.exe-> Wscript.exe->cmd.exe->PowerShell.exe;
Explorer.exe->*.EXE->cmd.exe->PowerShell.exe;
Explorer.exe->WINWORD.EXE->PowerShell.exe;
Explorer.exe->EXCEL.EXE->PowerShell.exe;
Explorer.exe->POWERPNT.EXE->PowerShell.exe;
Explorer.exe-> Wscript.exe->PowerShell.exe;
Explorer.exe->*.EXE->PowerShell.exe;其中,所述*.EXE为除cmd.exe之外的其他进程。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同或相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
如上所述,上述实施例给出了一种防御PowerShell恶意代码执行的方法及系统实施例,首先获取系统内与PowerShell.exe相关的进程链,并与预先准备的进程链白名单和进程链黑名单匹配,若匹配成功则按照预设操作执行,否则弹窗提示用户,由用户选择如何操作。上述实施例利用与PowerShell相关的进程链关系进而判定是否是PowerShell相关的恶意代码,进而弥补了反病毒软件对PowerShell恶意代码检测的空白。
以上实施例用以说明而非限制本发明的技术方案。不脱离本发明精神和范围的任何修改或局部替换,均应涵盖在本发明的权利要求范围当中。
Claims (8)
1.一种防御PowerShell恶意代码执行的方法,其特征在于,包括:
获取系统内与PowerShell.exe相关的进程链;
将所述进程链与进程链白名单匹配,若匹配成功则允许操作执行;
将所述进程链与进程链黑名单匹配,若匹配成功则阻止操作执行;
若所述进程链与进程链白名单和进程链黑名单均匹配失败,则由用户决定是否允许操作执行。
2.如权利要求1所述的方法,其特征在于,所述获取系统内与PowerShell.exe相关的进程链,具体为:
利用进程快照将系统内所有进程记录到进程列表中;
获取进程列表中每个进程的父进程,若无父进程则判定为根进程,进而形成二节点的进程关系;
基于二节点的进程关系得到多节点的进程关系,进而得到系统内各进程链;
筛选与PowerShell.exe相关的进程链。
3.如权利要求1或2所述的方法,其特征在于,所述进程链白名单,包括:Explorer.exe->PowerShell.exe;Explorer.exe->cmd.exe->PowerShell.exe。
4.如权利要求1或2所述的方法,其特征在于,所述进程链黑名单中存储有利用其它程序间接调用PowerShell.exe的所有进程链,包括:
Explorer.exe->WINWORD.EXE->cmd.exe->PowerShell.exe;
Explorer.exe->EXCEL.EXE->cmd.exe->PowerShell.exe;
Explorer.exe->POWERPNT.EXE->cmd.exe->PowerShell.exe;
Explorer.exe-> Wscript.exe->cmd.exe->PowerShell.exe;
Explorer.exe->*.EXE->cmd.exe->PowerShell.exe;
Explorer.exe->WINWORD.EXE->PowerShell.exe;
Explorer.exe->EXCEL.EXE->PowerShell.exe;
Explorer.exe->POWERPNT.EXE->PowerShell.exe;
Explorer.exe-> Wscript.exe->PowerShell.exe;
Explorer.exe->*.EXE->PowerShell.exe;其中,所述*.EXE为除cmd.exe之外的其他进程。
5.一种防御PowerShell恶意代码执行的系统,其特征在于,包括:
进程链获取模块,用于获取系统内与PowerShell.exe相关的进程链;
白名单匹配模块,用于将所述进程链与进程链白名单匹配,若匹配成功则允许操作执行;
黑名单匹配模块,用于将所述进程链与进程链黑名单匹配,若匹配成功则阻止操作执行;
弹窗提示模块,用于若所述进程链与进程链白名单和进程链黑名单均匹配失败,则由用户决定是否允许操作执行。
6.如权利要求5所述的系统,其特征在于,所述进程链获取模块,具体用于:
利用进程快照将系统内所有进程记录到进程列表中;
获取进程列表中每个进程的父进程,若无父进程则判定为根进程,进而形成二节点的进程关系;
基于二节点的进程关系得到多节点的进程关系,进而得到系统内各进程链;
筛选与PowerShell.exe相关的进程链。
7.如权利要求5或6所述的系统,其特征在于,所述进程链白名单,包括:Explorer.exe->PowerShell.exe;Explorer.exe->cmd.exe->PowerShell.exe。
8.如权利要求5或6所述的系统,其特征在于,所述进程链黑名单中存储有利用其它程序间接调用PowerShell.exe的所有进程链,包括:
Explorer.exe->WINWORD.EXE->cmd.exe->PowerShell.exe;
Explorer.exe->EXCEL.EXE->cmd.exe->PowerShell.exe;
Explorer.exe->POWERPNT.EXE->cmd.exe->PowerShell.exe;
Explorer.exe-> Wscript.exe->cmd.exe->PowerShell.exe;
Explorer.exe->*.EXE->cmd.exe->PowerShell.exe;
Explorer.exe->WINWORD.EXE->PowerShell.exe;
Explorer.exe->EXCEL.EXE->PowerShell.exe;
Explorer.exe->POWERPNT.EXE->PowerShell.exe;
Explorer.exe-> Wscript.exe->PowerShell.exe;
Explorer.exe->*.EXE->PowerShell.exe;其中,所述*.EXE为除cmd.exe之外的其他进程。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611238998.4A CN106650447A (zh) | 2016-12-28 | 2016-12-28 | 一种防御PowerShell恶意代码执行的方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611238998.4A CN106650447A (zh) | 2016-12-28 | 2016-12-28 | 一种防御PowerShell恶意代码执行的方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN106650447A true CN106650447A (zh) | 2017-05-10 |
Family
ID=58835791
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201611238998.4A Pending CN106650447A (zh) | 2016-12-28 | 2016-12-28 | 一种防御PowerShell恶意代码执行的方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106650447A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107506645A (zh) * | 2017-08-30 | 2017-12-22 | 北京明朝万达科技股份有限公司 | 一种勒索病毒的检测方法和装置 |
CN108121913A (zh) * | 2017-09-26 | 2018-06-05 | 江苏神州信源系统工程有限公司 | 一种操作管理方法及装置 |
CN110691083A (zh) * | 2019-09-26 | 2020-01-14 | 杭州安恒信息技术股份有限公司 | 一种基于进程的外联阻断方法 |
CN110955894A (zh) * | 2019-11-22 | 2020-04-03 | 深信服科技股份有限公司 | 一种恶意内容检测方法、装置、电子设备及可读存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101984692A (zh) * | 2010-11-15 | 2011-03-09 | 中兴通讯股份有限公司 | 一种防止恶意软件发送数据的方法及装置 |
CN102231745A (zh) * | 2011-07-08 | 2011-11-02 | 盛大计算机(上海)有限公司 | 一种网络应用的安全系统及方法 |
CN102916937A (zh) * | 2012-09-11 | 2013-02-06 | 北京奇虎科技有限公司 | 一种拦截网页攻击的方法、装置和客户端设备 |
-
2016
- 2016-12-28 CN CN201611238998.4A patent/CN106650447A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101984692A (zh) * | 2010-11-15 | 2011-03-09 | 中兴通讯股份有限公司 | 一种防止恶意软件发送数据的方法及装置 |
CN102231745A (zh) * | 2011-07-08 | 2011-11-02 | 盛大计算机(上海)有限公司 | 一种网络应用的安全系统及方法 |
CN102916937A (zh) * | 2012-09-11 | 2013-02-06 | 北京奇虎科技有限公司 | 一种拦截网页攻击的方法、装置和客户端设备 |
Non-Patent Citations (1)
Title |
---|
ANTIY CERT: "多起利用Powershell传播恶意代码的事件分析", 《网页在线公开:HTTPS://WWW.ANTIY.COM/RESPONSE/ANALYSIS_OF_SEVERAL_EVENTS_THAT_USE_POWERSHELL_TO_TRANSMIT_MALWARE.HTML》 * |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107506645A (zh) * | 2017-08-30 | 2017-12-22 | 北京明朝万达科技股份有限公司 | 一种勒索病毒的检测方法和装置 |
CN108121913A (zh) * | 2017-09-26 | 2018-06-05 | 江苏神州信源系统工程有限公司 | 一种操作管理方法及装置 |
CN110691083A (zh) * | 2019-09-26 | 2020-01-14 | 杭州安恒信息技术股份有限公司 | 一种基于进程的外联阻断方法 |
CN110691083B (zh) * | 2019-09-26 | 2021-07-23 | 杭州安恒信息技术股份有限公司 | 一种基于进程的外联阻断方法 |
CN110955894A (zh) * | 2019-11-22 | 2020-04-03 | 深信服科技股份有限公司 | 一种恶意内容检测方法、装置、电子设备及可读存储介质 |
CN110955894B (zh) * | 2019-11-22 | 2022-09-30 | 深信服科技股份有限公司 | 一种恶意内容检测方法、装置、电子设备及可读存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Tao et al. | MalPat: Mining patterns of malicious and benign Android apps via permission-related APIs | |
US11188650B2 (en) | Detection of malware using feature hashing | |
EP3420489B1 (en) | Cybersecurity systems and techniques | |
US8479276B1 (en) | Malware detection using risk analysis based on file system and network activity | |
US8505099B2 (en) | Machine-implemented method and system for determining whether a to-be-analyzed software is a known malware or a variant of the known malware | |
US10581887B1 (en) | Employing a relatively simple machine learning classifier to explain evidence that led to a security action decision by a relatively complex machine learning classifier | |
Singhal et al. | Malware detection module using machine learning algorithms to assist in centralized security in enterprise networks | |
CN109829307A (zh) | 进程行为识别方法及装置 | |
US8732831B2 (en) | Detection of rogue software applications | |
CN106650447A (zh) | 一种防御PowerShell恶意代码执行的方法及系统 | |
US9288226B2 (en) | Detection of rogue software applications | |
EP3270319B1 (en) | Method and apparatus for generating dynamic security module | |
US9659173B2 (en) | Method for detecting a malware | |
Li et al. | Opcode sequence analysis of Android malware by a convolutional neural network | |
KR20120073018A (ko) | 악성 코드 탐지를 위한 시스템 및 방법 | |
Martinelli et al. | I find your behavior disturbing: Static and dynamic app behavioral analysis for detection of android malware | |
CN107103240A (zh) | 一种基于上下文信息的Android组件间隐私泄露行为识别方法及系统 | |
Gyamfi et al. | Survey of mobile malware analysis, detection techniques and tool | |
CN106682493B (zh) | 一种防止进程被恶意结束的方法、装置及电子设备 | |
US9959406B2 (en) | System and method for zero-day privilege escalation malware detection | |
CN105488414A (zh) | 一种防止恶意代码探测虚拟环境的方法及系统 | |
Faruki et al. | Droidolytics: robust feature signature for repackaged android apps on official and third party android markets | |
Kandukuru et al. | Android malicious application detection using permission vector and network traffic analysis | |
CN112395603B (zh) | 基于指令执行序列特征的漏洞攻击识别方法、装置及计算机设备 | |
Khan et al. | A dynamic method of detecting malicious scripts using classifiers |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
CB02 | Change of applicant information |
Address after: 100080 Beijing city Haidian District minzhuang Road No. 3, Tsinghua Science Park Building 1 Yuquan Huigu a Applicant after: Beijing ahtech network Safe Technology Ltd Address before: 100080 Zhongguancun Haidian District street, No. 14, layer, 1 1415-16 Applicant before: Beijing Antiy Electronic Installation Co., Ltd. |
|
CB02 | Change of applicant information | ||
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20170510 |
|
WD01 | Invention patent application deemed withdrawn after publication |