CN106682500A - 一种目标样本文件的检测方法和装置 - Google Patents

一种目标样本文件的检测方法和装置 Download PDF

Info

Publication number
CN106682500A
CN106682500A CN201611066077.4A CN201611066077A CN106682500A CN 106682500 A CN106682500 A CN 106682500A CN 201611066077 A CN201611066077 A CN 201611066077A CN 106682500 A CN106682500 A CN 106682500A
Authority
CN
China
Prior art keywords
target sample
sample file
sandbox
token
system process
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201611066077.4A
Other languages
English (en)
Inventor
邱鹏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Qihoo Technology Co Ltd
Qizhi Software Beijing Co Ltd
Original Assignee
Beijing Qihoo Technology Co Ltd
Qizhi Software Beijing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Qihoo Technology Co Ltd, Qizhi Software Beijing Co Ltd filed Critical Beijing Qihoo Technology Co Ltd
Priority to CN201611066077.4A priority Critical patent/CN106682500A/zh
Publication of CN106682500A publication Critical patent/CN106682500A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种目标样本文件的检测方法和装置,包括:从数据源接收目标样本文件,将所述目标样本文件投放到沙箱中运行;监听所述目标样本文件在沙箱中运行的过程中是否发生系统进程令牌替换事件;是则,确定所述目标样本文件是威胁样本文件;否则,确定所述目标样本文件不是威胁样本文件。本方案以沙箱作为虚拟载体运行目标样本文件,能够清晰地检测到目标样本文件的所有运行轨迹,全面分析得到目标样本文件相关的特征信息,根据目标样本文件相关的特征信息可以更为准确地判断所述目标样本文件在虚拟机中运行的过程中是否发生系统进程令牌替换事件,进而确定出威胁样本文件,为后续信息安全防护提供参考和依据。

Description

一种目标样本文件的检测方法和装置
技术领域
本发明涉及互联网技术领域,具体涉及一种目标样本文件的检测方法和装置。
背景技术
随着互联网技术的不断发展,人们对于网络的使用愈加频繁,通过网络可以进行工作、学习、生活、娱乐等多方面的事宜,给人们带来了极大的便利。然而,当前互联网技术中存在系统级的内核漏洞,这些漏洞给恶意开发者以可乘之机,恶意开发者们通过威胁样本文件利用这些漏洞对各种客户端、服务端所在的终端进行攻击,获取用户的个人信息,威胁用户的信息安全,给用户的人身、财产等方面损失。其中特别地,恶意开发者们在通过威胁样本文件进行漏洞利用的过程中,常常采用替换系统进程令牌的手段来获取系统级权限进行执行非法操作。
因此,如何有效、全面地对互联网中进行漏洞利用攻击的可疑样本进行挖掘、检测和处理,是当前亟待解决的重要问题。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的目标样本文件的检测方法和装置。
依据本发明的一个方面,提供了一种目标样本文件的检测方法,包括:
从数据源接收目标样本文件,将所述目标样本文件投放到沙箱中运行;
监听所述目标样本文件在沙箱中运行的过程中是否发生系统进程令牌替换事件;
是则,确定所述目标样本文件是威胁样本文件;
否则,确定所述目标样本文件不是威胁样本文件。
可选地,在所述将所述目标样本文件投放到沙箱中运行之前,该方法进一步包括:
获取沙箱中具有系统级权限的各个系统进程的令牌信息。
可选地,所述监听所述目标样本文件在沙箱中运行的过程中是否发生系统进程令牌替换事件包括:
监听所述目标样本文件在沙箱中执行的指定操作事件;
当监听到指定操作事件发生时,拦截所述指定操作事件,获取当前所述目标样本文件对应的进程的令牌信息;
将当前所述目标样本文件对应的进程的令牌信息与沙箱中各个系统进程的令牌信息进行匹配,如果当前所述目标样本文件对应的进程的令牌信息命中沙箱中系统进程的令牌信息,确定所述目标样本文件在沙箱中运行的过程中发生系统进程令牌替换事件;否则,确定所述目标样本文件在沙箱中运行的过程中未发生系统进程令牌替换事件。
可选地,该方法进一步包括:
当确定所述目标样本文件在沙箱中运行的过程中发生系统进程令牌替换事件时,强制结束所述指定操作事件;
当确定所述目标样本文件在沙箱中运行的过程中未发生系统进程令牌替换事件时,允许所述指定操作事件继续执行。
可选地,所述获取沙箱中具有系统级权限的各个系统进程的令牌信息包括:
获取沙箱中具有系统级权限的各个系统进程的进程标识;
对于每个系统进程,根据该系统进程的进程标识,获取该系统进程的EPROCESS结构地址,进一步获取该系统进程的EPROCESS结构地址中的Token域的指针值。
可选地,所述获取当前所述目标样本文件对应的进程的令牌信息包括:获取当前所述目标样本文件对应的进程的EPROCESS结构地址,进一步获取所述目标样本文件对应的进程的EPROCESS结构地址中的Token域的指针值;
则所述将当前所述目标样本文件对应的进程的令牌信息与沙箱中各个系统进程的令牌信息进行匹配包括:将所述目标样本文件对应的进程的EPROCESS结构地址中的Token域的指针值与沙箱中各个系统进程的EPROCESS结构地址中的Token域的指针值进行匹配。
可选地,沙箱中具有系统级权限的系统进程包括如下一种或多种:
Idle进程、System进程、smss.exe进程、csrss.exe进程、wininit.exe进程、service.exe进程、Isass.exe进程、winlogon.exe进程。
可选地,所述指定操作事件包括:对执行指定操作的函数进行调用的事件;
所述指定操作包括:对沙箱中的内存、特权、注册表、进程、线程、和/或文件进行创建和/或读写的操作。
可选地,所述监听所述目标样本文件在沙箱中执行的指定操作事件包括:
在执行指定操作的函数上挂载钩子函数,拦截指示对执行所述指定操作的函数进行调用的消息;
判断所述指示对执行所述指定操作的函数进行调用的消息的发送者是否为所述目标样本文件;
是则,确定监听到所述目标样本文件在沙箱中执行的指定操作事件,否则放行所述指示对执行所述指令操作的函数进行调用的消息。
可选地,该方法进一步包括:
记录所述目标样本文件在沙箱中运行的运行日志;
当确定所述目标样本文件是威胁样本文件时,根据所述目标样本文件在沙箱中运行的运行日志获得所述目标样本文件相关的特征信息;
将所述目标样本文件相关的特征信息放入威胁数据库中。
可选地,所述目标样本文件相关的特征信息包括:
目标样本文件的静态特征信息,
和/或,
目标样本文件的行为特征信息。
可选地,该方法进一步包括:
将所述目标样本文件相关的特征信息反馈给数据源。
依据本发明的另一个方面,提供了一种目标样本文件的检测装置,包括:
样本接收单元,适于从数据源接收目标样本文件;
检测处理单元,适于将所述目标样本文件投放到沙箱中运行,监听所述目标样本文件在沙箱中运行的过程中是否发生系统进程令牌替换事件;是则,确定所述目标样本文件是威胁样本文件;否则,确定所述目标样本文件不是威胁样本文件。
可选地,所述检测处理单元,进一步适于在所述将所述目标样本文件投放到沙箱中运行之前,获取沙箱中具有系统级权限的各个系统进程的令牌信息。
可选地,所述检测处理单元,适于监听所述目标样本文件在沙箱中执行的指定操作事件;当监听到指定操作事件发生时,拦截所述指定操作事件,获取当前所述目标样本文件对应的进程的令牌信息;将当前所述目标样本文件对应的进程的令牌信息与沙箱中各个系统进程的令牌信息进行匹配,如果当前所述目标样本文件对应的进程的令牌信息命中沙箱中系统进程的令牌信息,确定所述目标样本文件在沙箱中运行的过程中发生系统进程令牌替换事件;否则,确定所述目标样本文件在沙箱中运行的过程中未发生系统进程令牌替换事件。
可选地,所述检测处理单元,进一步适于当确定所述目标样本文件在沙箱中运行的过程中发生系统进程令牌替换事件时,强制结束所述指定操作事件;当确定所述目标样本文件在沙箱中运行的过程中未发生系统进程令牌替换事件时,允许所述指定操作事件继续执行。
可选地,所述检测处理单元,适于获取沙箱中具有系统级权限的各个系统进程的进程标识;对于每个系统进程,根据该系统进程的进程标识,获取该系统进程的EPROCESS结构地址,进一步获取该系统进程的EPROCESS结构地址中的Token域的指针值。
可选地,所述检测处理单元,适于获取当前所述目标样本文件对应的进程的EPROCESS结构地址,进一步获取所述目标样本文件对应的进程的EPROCESS结构地址中的Token域的指针值;
所述检测处理单元,适于将所述目标样本文件对应的进程的EPROCESS结构地址中的Token域的指针值与沙箱中各个系统进程的EPROCESS结构地址中的Token域的指针值进行匹配。
可选地,沙箱中具有系统级权限的系统进程包括如下一种或多种:
Idle进程、System进程、smss.exe进程、csrss.exe进程、wininit.exe进程、service.exe进程、Isass.exe进程、winlogon.exe进程。
可选地,所述指定操作事件包括:对执行指定操作的函数进行调用的事件;
所述指定操作包括:对沙箱中的内存、特权、注册表、进程、线程、和/或文件进行创建和/或读写的操作。
可选地,所述检测处理单元,适于在执行指定操作的函数上挂载钩子函数,拦截指示对执行所述指定操作的函数进行调用的消息;判断所述指示对执行所述指定操作的函数进行调用的消息的发送者是否为所述目标样本文件;是则,确定监听到所述目标样本文件在沙箱中执行的指定操作事件,否则放行所述指示对执行所述指令操作的函数进行调用的消息。
可选地,所述检测处理单元,进一步适于记录所述目标样本文件在沙箱中运行的运行日志;当确定所述目标样本文件是威胁样本文件时,根据所述目标样本文件在沙箱中运行的运行日志获得所述目标样本文件相关的特征信息;将所述目标样本文件相关的特征信息放入威胁数据库中。
可选地,所述目标样本文件相关的特征信息包括:
目标样本文件的静态特征信息,
和/或,
目标样本文件的行为特征信息。
可选地,所述检测处理单元,进一步适于将所述目标样本文件相关的特征信息反馈给数据源。
由上述可知,本发明的技术方案将从数据源接收的目标样本文件投放到沙箱中进行检测,当检测出目标样本文件在沙箱中运行的过程中发生系统进程令牌替换事件时,确定目标样本文件为威胁样本文件。本方案以沙箱作为虚拟载体运行目标样本文件,能够清晰地检测到目标样本文件的所有运行轨迹,全面分析得到目标样本文件相关的特征信息,根据目标样本文件相关的特征信息可以更为准确地判断所述目标样本文件在虚拟机中运行的过程中是否发生系统进程令牌替换事件,进而确定出威胁样本文件,为后续信息安全防护提供参考和依据。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了根据本发明一个实施例的一种目标样本文件的检测方法的流程图;
图2示出了根据本发明一个实施例的一种目标样本文件的检测装置的示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
图1示出了根据本发明一个实施例的一种目标样本文件的检测方法的流程图。如图1所示,该方法包括:
步骤S110,从数据源接收目标样本文件。
步骤S120,将所述目标样本文件投放到沙箱中运行,监听所述目标样本文件在沙箱中运行的过程中是否发生系统进程令牌替换事件。
步骤S130,是则,确定所述目标样本文件是威胁样本文件。
步骤S140,否则,确定所述目标样本文件不是威胁样本文件。
可见,图1所示的方法将从数据源接收的目标样本文件投放到沙箱中进行检测,当检测出目标样本文件在沙箱中运行的过程中发生系统进程令牌替换事件时,确定目标样本文件为威胁样本文件。本方案以沙箱作为虚拟载体运行目标样本文件,能够清晰地检测到目标样本文件的所有运行轨迹,全面分析得到目标样本文件相关的特征信息,根据目标样本文件相关的特征信息可以更为准确地判断所述目标样本文件在虚拟机中运行的过程中是否发生系统进程令牌替换事件,进而确定出威胁样本文件,为后续信息安全防护提供参考和依据。
在本发明的一个实施例中,图1所示的方法进一步包括:记录所述目标样本文件在沙箱中运行的运行日志;当确定所述目标样本文件是威胁样本文件时,根据所述目标样本文件在沙箱中运行的运行日志获得所述目标样本文件相关的特征信息;将所述目标样本文件相关的特征信息放入威胁数据库中。
其中,通过分析目标样本文件对应的运行日志得到的目标样本文件相关的特征信息包括:目标样本文件的静态特征信息,和/或,目标样本文件的行为特征信息。也就是说,对于放入沙箱中运行的目标样本文件,无论是该目标样本文件的静态特征,还是该目标样本文件在运行过程中的动态行为特征,均可以被解构出来,均可以从本方案的视角观察到,即掌握了一个目标样本文件的完整的档案,进而对于该目标样本文件是不是具有威胁的威胁样本、如果是威胁样本如何对该可疑样本进行预防、查杀等问题均可以找到准确的答案。
随着本方案的不断实施,所掌握的目标样本文件的档案不断被完善,即威胁数据库中的数据不断被完善。在本发明的一个实施例中,上述将判定为威胁样本的目标样本文件相关的特征信息放入威胁数据库中包括:根据所述判定为威胁样本的可疑样本相关的特征信息对威胁数据库中原有的数据进行更新。
进一步地,图1所述的方法还可以将所述目标样本文件相关的特征信息反馈给数据源。可以看到,在本方案中,从数据源接收目标样本文件,对目标样本文件进行检测实现对威胁数据库的补充更新,威胁数据库向数据源推送补目标样本文件相关的特征信息,数据源根据该推送的目标样本文件相关的特征信息进行打点记录,更精确地拦截、记录目标样本文件,以及向威胁数据库反馈推送结果,形成了正反馈闭环,能够不断地扩充完善各种类型的目标样本文件的完整的特征信息的管理,目标样本文件的特征信息越完善清晰,越能够找到预防查杀威胁样本的策略,并可以及时将预防查杀威胁样本的策略统一推送到数据源中对于各个数据源的预防查杀策略进行统一的调整,建立起非常严密的安全防护机制,从更高的格局保障互联网信息安全。
在本发明的一个实施例中,在上述步骤S120将所述目标样本文件投放到沙箱中运行之前,图1所示的方法进一步包括:获取沙箱中具有系统级权限的各个系统进程的令牌信息。则步骤S120中监听所述目标样本文件在沙箱中运行的过程中是否发生系统进程令牌替换事件包括:
步骤S121,监听所述目标样本文件在沙箱中执行的指定操作事件。
步骤S122,当监听到指定操作事件发生时,拦截所述指定操作事件,获取当前所述目标样本文件对应的进程的令牌信息。
步骤S123,将当前所述目标样本文件对应的进程的令牌信息与沙箱中各个系统进程的令牌信息进行匹配,如果当前所述目标样本文件对应的进程的令牌信息命中沙箱中系统进程的令牌信息,确定所述目标样本文件在沙箱中运行的过程中发生系统进程令牌替换事件;否则,确定所述目标样本文件在沙箱中运行的过程中未发生系统进程令牌替换事件。
进一步地,上述过程还包括:
步骤S124,当确定所述目标样本文件在沙箱中运行的过程中发生系统进程令牌替换事件时,强制结束所述指定操作事件。
步骤S125,当确定所述目标样本文件在沙箱中运行的过程中未发生系统进程令牌替换事件时,允许所述指定操作事件继续执行。
其中具体地,所述指定操作事件包括:对执行指定操作的函数进行调用的事件;所述指定操作包括:对沙箱中的内存、特权、注册表、进程、线程、和/或文件进行创建和/或读写的操作。具体地,上述步骤S121监听所述目标样本文件在沙箱中执行的指定操作事件包括:在执行指定操作的函数上挂载钩子函数,拦截指示对执行所述指定操作的函数进行调用的消息;判断所述指示对执行所述指定操作的函数进行调用的消息的发送者是否为所述目标样本文件;是则,确定监听到所述目标样本文件在沙箱中执行的指定操作事件,否则放行所述指示对执行所述指令操作的函数进行调用的消息。
通过一个具体的例子来说明本方案的实施过程:基于现有技术中恶意的威胁样本文件通常采取对系统进程令牌进行替换的方式获得系统权限,进而执行恶意操作危害用户信息安全的手段,本方案旨在于服务器侧创建沙箱作为目标样本文件的虚拟运行载体,通过监控目标样本文件在沙箱中运行的过程中是否发生系统进程令牌替换事件来获知是否发生内核漏洞利用的事件,即通过威胁样本文件在沙箱中的行为特征来动态地确定目标样本文件是否为威胁样本文件。本例中,沙箱中包括4个模块:Agent.exe,虚拟机通信代理模块,负责检测模块和样本文件的接收,Analyzer进程的创建,与虚拟机外部服务器端进程实时数据交互、日志和文件传递。Analyzer.exe,内部调度管控模块,负责样本文件类型识别、LoadHP进程的创建,内部检测超时设定和限制,操作系统屏幕模拟点击实现,屏幕截取实现,与Agent的数据通信。LoadHP.exe,检测辅助操作模块,负责加载检测主模块驱动程序,通过配置文件选项控制各检测功能开关,与核心模块驱动程序之间通信和交互,样本文件进程的启动。Honeypot.sys,检测实现核心模块,驱动程序实现。在操作系统内核中设置进程创建回调通知、对指定的内核API挂钩,在HOOK处理函数中判定进程是否提权,打点并生成检测结果日志等。
在从数据源接收到目标样本本件,将目标样本文件投放到沙箱中运行,则本例在Agent.exe、Analyzer.exe和Honeypot.sys三个模块的交互下,利用Honeypot.sys驱动程序来对目标样本文件在沙箱中运行的过程中是否发生系统进程令牌替换的事件进行检测,具体流程如下:
1、Honeypot.sys驱动程序在加载时初始化驱动程序必须的相关数据结构对象和变量,获取沙箱中具有系统级权限的各个系统进程的进程标识,如记录Idle进程、System进程、smss.exe进程、csrss.exe进程、wininit.exe进程、service.exe进程、Isass.exe进程、winlogon.exe进程等系统进程的PID。
2、Honeypot.sys驱动程序进行初始化,根据用户层进程LoadHP.exe发送的IO控制码执行相关的初始化操作,创建日志记录线程。Honeypot在接收到标记为“内核利用监控”的IO控制码时,根据传入Buffer的数据,选择进入对应的分发处理例程中。监听所述目标样本文件在沙箱中执行的指定操作事件,具体方式是:HOOK SSDT中对沙箱中的内存、特权、注册表、进程、线程、和/或文件进行创建和/或读写等操作的敏感API,并设置新的进程创建通知回调例程。
3、Honeypot.sys驱动程序开启监控,根据LoadHP.exe发送的相关IOCTL开启内核层行为监控总控开关。
4.通知和记录,在系统创建新进程时,进入前面设置的进程创建通知例程。在该例程中将新进程添加进进程创建记录LIST。
5.监控和检测,检测目标样本文件在虚拟机中运行的过程中是否发生系统进程令牌替换事件:通过对前述指定操作行为的各敏感API的HOOK,当上述敏感API在新创建的进程中被调用时,拦截该调用事件,先跳转到本方案自己实现的Fake函数中,在Fake函数中判断当前进程是否在前面维护的进程LIST中,因为进程LIST中记录的均是系统创建的进程,则当前判断的目的是判断当前调用事件的发起方是否为目标样本文件对应的进程或者是否为目标样本文件所创建的进程,如果是的话,说明是目标样本文件所执行的操作,进行系统进程Token替换的检测。
具体地,在调用原API之前,根据Honeypot.sys加载阶段记录的各个系统进程的进程标识,对于每个系统进程,根据该系统进程的进程标识,获取该系统进程的EPROCESS结构地址,进一步获取该系统进程的EPROCESS结构地址中的Token域的指针值。以及,获取当前所述目标样本文件对应的进程的EPROCESS结构地址,进一步获取所述目标样本文件对应的进程的EPROCESS结构地址中的Token域的指针值;将所述目标样本文件对应的进程的EPROCESS结构地址中的Token域的指针值与沙箱中各个系统进程的EPROCESS结构地址中的Token域的指针值进行匹配,如果存在至少一项匹配相同,则判断检出该样本进程提权,即目标样本文件在沙箱中运行的过程中发生系统进程令牌替换事件,目标样本文件为威胁样本文件,打点并按照格式生成检测结果日志,将日志Buffer插入日志缓冲LIST。否则,确定目标样本文件在沙箱中运行的过程中未发生系统进程令牌替换事件,目标样本文件不是威胁样本文件;则如果检测结束后,如果目标样本数据不是威胁样本,在Fake函数中调用原敏感API继续执行,并向Caller返回其返回的值。
检测过程的最后一步,在确定目标样本文件为威胁文件时:
6.日志生成,在Honeypot日志记录线程中,持续不断地检查日志缓冲LIST中是否又新的日志Buffer插入。将新的日志Buffer追加写入到配置选项中指定路径的配置文件中,并释放日志缓冲LIST中该日志Buffer的节点。
对本例中生成检测结果日志的细节进行说明:该方案打点检出日志生成形式为缓存方式打点。检出日志被暂存于日志缓冲LIST中。日志记录线程轮询该日志缓冲LIST并依照FIFO的方式依次处理各日志节点,将检测结果日志内容追加写入日志记录文件actions.log中,在检测完成后由外部相关调度模块进程获取并处理该日志文件。其中,检测结果日志中的打点数据包括:环境和文件基本信息,检出功能点触发数据等。其中环境和文件基本信息以流水日志等形式输出,检出功能点触发数据以行为日志actions.log的形式输出。如检测结果日志中包括:1.环境和文件基本信息:样本进程文件MD5,进样本程文件路径,主要系统模块名称和文件版本等。2.检出功能点触发数据:对于系统进程Token替换检测来说,进程ID,线程ID,Token地址,命中系统进程名,检出时所在Hooked API等。
在本发明的一个实施例中,除了检测所述目标样本文件在虚拟机中运行的过程中是否发生内核漏洞利用之外,还有相关的辅助检测流程,包括检测进程保护机制和检测文件保护机制:
检测进程保护机制用于保护检测模块相关进程地址空间,防止被虚拟机沙箱逃逸的恶意样本进程访问、释放或泄漏,导致检测模块机密信息失窃。初步的准备工作包括:1.LoadHP.exe,在LoadHP进程加载驱动阶段完成后,读取Honeypot.ini配置文件中的“ourproc”等字段的值,并解析获得1个或多个检测模块的进程名,通过进程名获取检测模块各进程的PID,依次通过IO控制码方式发送给Honeypot驱动程序。2.Honeypot.sys,Honeypot在接收到标记为“进程ID过滤”的IO控制码时,从输入Buffer中获取当次传递的PID的值,并根据PID获取对应进程EPROCESS地址,将该EPROCESS指针插入进程过滤LIST。在此基础上,辅助检测过程包括:HOOK对进程、线程、内存地址空间操作的关键NTAPI,在Fake函数中针对上下背景文所在进程的EPROCESS地址和操作目标进程的EPROCESS地址,在上述进程过滤LIST中进行匹配。如果上下背景文进程EPROCESS地址不在进程过滤LIST中,而操作目标进程EPROCESS地址在进程过滤LIST中成功匹配,则可判定其他进程试图访问检测模块各进程集中的某个进程。进行阻止,返回拒绝访问的状态码,不继续向下调用,以终止当前上下背景文进程对该API的调用。如果未能成功匹配,则属于对应API正常调用的其他情况。不进行阻止,继续调用原API向下执行,并向Caller返回其返回的值。
检测文件保护机制用于保护检测模块和检测结果日志相关各文件目录,防止被某些样本进程访问、篡改、加密、损毁,造成检测失败或结果异常,影响沙箱系统稳定和性能。初步的准备工作包括:1.LoadHP.exe,在LoadHP进程加载驱动阶段完成后,读取Honeypot.ini配置文件中的“ourpath”等字段的值,并解析获得1个或多个检测结果日志的目录路径名,将各路径Buffer依次通过IO控制码方式发送给Honeypot驱动程序。2.Honeypot.sys,Honeypot在接收到标记为“私有目录”的IO控制码时,从输入Buffer中获取当次传递的目录路径的Buffer,并根据Buffer构造UNICODE_STRING字符串对象,将该字符串对象插入私有目录LIST。在此基础上,辅助检测过程包括:注册文件系统过滤,实现各主要IRP分发函数。在READ,WRITE,CREATE,SET_INFORMATION,DIRECTORY_CONTROL等分发函数的自实现函数体中,判断当前IRP中FILE_OBJECT的文件路径UNICODE_STRING对象是否能够在私有目录LIST中成功匹配。如果未能成功匹配,则当前操作不是对检测日志目录或检测模块目录进行的,跳过当前栈单元,并将IRP继续向下分发。如果成功匹配,意味着当前文件操作确实是针对检测日志目录或检测模块目录进行的。这时获取上下背景文进程的EPROCESS地址,并判断该EPROCESS地址是否能够在“检测进程保护”机制中的进程过滤LIST中成功匹配。如果成功匹配,则判定属于检测模块进程自身对检测日志目录和检测模块目录的访问,跳过当前栈单元,并将IRP继续向下分发。如果未能成功匹配,意味着属于第三方的进程访问检测日志目录或检测模块目录。赋值IRP的IO状态域拒绝访问等错误码,完成IRP的IO请求,返回当前IRP分发函数,使当前的文件访问操作失败。
图2示出了根据本发明一个实施例的一种目标样本文件的检测装置的示意图。如图2所示,目标样本文件的检测装置200包括:
样本接收单元210,适于从数据源接收目标样本文件。
检测处理单元220,适于将所述目标样本文件投放到沙箱中运行,监听所述目标样本文件在沙箱中运行的过程中是否发生系统进程令牌替换事件;是则,确定所述目标样本文件是威胁样本文件;否则,确定所述目标样本文件不是威胁样本文件。
可见,图2所示的装置将从数据源接收的目标样本文件投放到沙箱中进行检测,当检测出目标样本文件在沙箱中运行的过程中发生系统进程令牌替换事件时,确定目标样本文件为威胁样本文件。本方案以沙箱作为虚拟载体运行目标样本文件,能够清晰地检测到目标样本文件的所有运行轨迹,全面分析得到目标样本文件相关的特征信息,根据目标样本文件相关的特征信息可以更为准确地判断所述目标样本文件在虚拟机中运行的过程中是否发生系统进程令牌替换事件,进而确定出威胁样本文件,为后续信息安全防护提供参考和依据。
在本发明的一个实施例中,检测处理单元220,进一步适于在所述将所述目标样本文件投放到沙箱中运行之前,获取沙箱中具有系统级权限的各个系统进程的令牌信息。
则,检测处理单元220,适于监听所述目标样本文件在沙箱中执行的指定操作事件;当监听到指定操作事件发生时,拦截所述指定操作事件,获取当前所述目标样本文件对应的进程的令牌信息;将当前所述目标样本文件对应的进程的令牌信息与沙箱中各个系统进程的令牌信息进行匹配,如果当前所述目标样本文件对应的进程的令牌信息命中沙箱中系统进程的令牌信息,确定所述目标样本文件在沙箱中运行的过程中发生系统进程令牌替换事件;否则,确定所述目标样本文件在沙箱中运行的过程中未发生系统进程令牌替换事件。
进一步地,检测处理单元220,进一步适于当确定所述目标样本文件在沙箱中运行的过程中发生系统进程令牌替换事件时,强制结束所述指定操作事件;当确定所述目标样本文件在沙箱中运行的过程中未发生系统进程令牌替换事件时,允许所述指定操作事件继续执行。
具体地,检测处理单元220,适于获取沙箱中具有系统级权限的各个系统进程的进程标识;对于每个系统进程,根据该系统进程的进程标识,获取该系统进程的EPROCESS结构地址,进一步获取该系统进程的EPROCESS结构地址中的Token域的指针值。
检测处理单元220,适于获取当前所述目标样本文件对应的进程的EPROCESS结构地址,进一步获取所述目标样本文件对应的进程的EPROCESS结构地址中的Token域的指针值;则检测处理单元220,适于将所述目标样本文件对应的进程的EPROCESS结构地址中的Token域的指针值与沙箱中各个系统进程的EPROCESS结构地址中的Token域的指针值进行匹配。
其中,沙箱中具有系统级权限的系统进程包括如下一种或多种:Idle进程、System进程、smss.exe进程、csrss.exe进程、wininit.exe进程、service.exe进程、Isass.exe进程、winlogon.exe进程。
指定操作事件包括:对执行指定操作的函数进行调用的事件;所述指定操作包括:对沙箱中的内存、特权、注册表、进程、线程、和/或文件进行创建和/或读写的操作。
在一个具体的例子中,检测处理单元220,适于在执行指定操作的函数上挂载钩子函数,拦截指示对执行所述指定操作的函数进行调用的消息;判断所述指示对执行所述指定操作的函数进行调用的消息的发送者是否为所述目标样本文件;是则,确定监听到所述目标样本文件在沙箱中执行的指定操作事件,否则放行所述指示对执行所述指令操作的函数进行调用的消息。
在本发明的一个实施例中,检测处理单元220,进一步适于记录所述目标样本文件在沙箱中运行的运行日志;当确定所述目标样本文件是威胁样本文件时,根据所述目标样本文件在沙箱中运行的运行日志获得所述目标样本文件相关的特征信息;将所述目标样本文件相关的特征信息放入威胁数据库中。
其中,所述目标样本文件相关的特征信息包括:目标样本文件的静态特征信息,和/或,目标样本文件的行为特征信息。
进一步地,检测处理单元220,还适于将所述目标样本文件相关的特征信息反馈给数据源。
需要说明的是,图2所示装置的具体实施例与图1所示方法的各实施例对应相同,上文中已进行了详细说明,在此不再赘述。
综上所述,本发明的技术方案将从数据源接收的目标样本文件投放到沙箱中进行检测,当检测出目标样本文件在沙箱中运行的过程中发生系统进程令牌替换事件时,确定目标样本文件为威胁样本文件。本方案以沙箱作为虚拟载体运行目标样本文件,能够清晰地检测到目标样本文件的所有运行轨迹,全面分析得到目标样本文件相关的特征信息,根据目标样本文件相关的特征信息可以更为准确地判断所述目标样本文件在虚拟机中运行的过程中是否发生系统进程令牌替换事件,进而确定出威胁样本文件,为后续信息安全防护提供参考和依据。
需要说明的是:
在此提供的算法和显示不与任何特定计算机、虚拟装置或者其它设备固有相关。各种通用装置也可以与基于在此的示教一起使用。根据上面的描述,构造这类装置所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的目标样本文件的检测装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
本发明公开了A1、一种目标样本文件的检测方法,其中,包括:
从数据源接收目标样本文件,将所述目标样本文件投放到沙箱中运行;
监听所述目标样本文件在沙箱中运行的过程中是否发生系统进程令牌替换事件;
是则,确定所述目标样本文件是威胁样本文件;
否则,确定所述目标样本文件不是威胁样本文件。
A2、如A1所述的方法,其中,在所述将所述目标样本文件投放到沙箱中运行之前,该方法进一步包括:
获取沙箱中具有系统级权限的各个系统进程的令牌信息。
A3、如A2所述的方法,其中,所述监听所述目标样本文件在沙箱中运行的过程中是否发生系统进程令牌替换事件包括:
监听所述目标样本文件在沙箱中执行的指定操作事件;
当监听到指定操作事件发生时,拦截所述指定操作事件,获取当前所述目标样本文件对应的进程的令牌信息;
将当前所述目标样本文件对应的进程的令牌信息与沙箱中各个系统进程的令牌信息进行匹配,如果当前所述目标样本文件对应的进程的令牌信息命中沙箱中系统进程的令牌信息,确定所述目标样本文件在沙箱中运行的过程中发生系统进程令牌替换事件;否则,确定所述目标样本文件在沙箱中运行的过程中未发生系统进程令牌替换事件。
A4、如A3所述的方法,其中,该方法进一步包括:
当确定所述目标样本文件在沙箱中运行的过程中发生系统进程令牌替换事件时,强制结束所述指定操作事件;
当确定所述目标样本文件在沙箱中运行的过程中未发生系统进程令牌替换事件时,允许所述指定操作事件继续执行。
A5、如A3所述的方法,其中,所述获取沙箱中具有系统级权限的各个系统进程的令牌信息包括:
获取沙箱中具有系统级权限的各个系统进程的进程标识;
对于每个系统进程,根据该系统进程的进程标识,获取该系统进程的EPROCESS结构地址,进一步获取该系统进程的EPROCESS结构地址中的Token域的指针值。
A6、如A5所述的方法,其中,所述获取当前所述目标样本文件对应的进程的令牌信息包括:获取当前所述目标样本文件对应的进程的EPROCESS结构地址,进一步获取所述目标样本文件对应的进程的EPROCESS结构地址中的Token域的指针值;
则所述将当前所述目标样本文件对应的进程的令牌信息与沙箱中各个系统进程的令牌信息进行匹配包括:将所述目标样本文件对应的进程的EPROCESS结构地址中的Token域的指针值与沙箱中各个系统进程的EPROCESS结构地址中的Token域的指针值进行匹配。
A7、如A2所述的方法,其中,沙箱中具有系统级权限的系统进程包括如下一种或多种:
Idle进程、System进程、smss.exe进程、csrss.exe进程、wininit.exe进程、service.exe进程、Isass.exe进程、winlogon.exe进程。
A8、如A3所述的方法,其中,所述指定操作事件包括:对执行指定操作的函数进行调用的事件;
所述指定操作包括:对沙箱中的内存、特权、注册表、进程、线程、和/或文件进行创建和/或读写的操作。
A9、如A8所述的方法,其中,所述监听所述目标样本文件在沙箱中执行的指定操作事件包括:
在执行指定操作的函数上挂载钩子函数,拦截指示对执行所述指定操作的函数进行调用的消息;
判断所述指示对执行所述指定操作的函数进行调用的消息的发送者是否为所述目标样本文件;
是则,确定监听到所述目标样本文件在沙箱中执行的指定操作事件,否则放行所述指示对执行所述指令操作的函数进行调用的消息。
A10、如A1所述的方法,其中,该方法进一步包括:
记录所述目标样本文件在沙箱中运行的运行日志;
当确定所述目标样本文件是威胁样本文件时,根据所述目标样本文件在沙箱中运行的运行日志获得所述目标样本文件相关的特征信息;
将所述目标样本文件相关的特征信息放入威胁数据库中。
A11、如A10所述的方法,其中,所述目标样本文件相关的特征信息包括:
目标样本文件的静态特征信息,
和/或,
目标样本文件的行为特征信息。
A12、如A10所述的方法,其中,该方法进一步包括:
将所述目标样本文件相关的特征信息反馈给数据源。
本发明还公开了B13、一种目标样本文件的检测装置,其中,包括:
样本接收单元,适于从数据源接收目标样本文件;
检测处理单元,适于将所述目标样本文件投放到沙箱中运行,监听所述目标样本文件在沙箱中运行的过程中是否发生系统进程令牌替换事件;是则,确定所述目标样本文件是威胁样本文件;否则,确定所述目标样本文件不是威胁样本文件。
B14、如B13所述的装置,其中,
所述检测处理单元,进一步适于在所述将所述目标样本文件投放到沙箱中运行之前,获取沙箱中具有系统级权限的各个系统进程的令牌信息。
B15、如B14所述的装置,其中,
所述检测处理单元,适于监听所述目标样本文件在沙箱中执行的指定操作事件;当监听到指定操作事件发生时,拦截所述指定操作事件,获取当前所述目标样本文件对应的进程的令牌信息;将当前所述目标样本文件对应的进程的令牌信息与沙箱中各个系统进程的令牌信息进行匹配,如果当前所述目标样本文件对应的进程的令牌信息命中沙箱中系统进程的令牌信息,确定所述目标样本文件在沙箱中运行的过程中发生系统进程令牌替换事件;否则,确定所述目标样本文件在沙箱中运行的过程中未发生系统进程令牌替换事件。
B16、如B15所述的装置,其中,
所述检测处理单元,进一步适于当确定所述目标样本文件在沙箱中运行的过程中发生系统进程令牌替换事件时,强制结束所述指定操作事件;当确定所述目标样本文件在沙箱中运行的过程中未发生系统进程令牌替换事件时,允许所述指定操作事件继续执行。
B17、如B15所述的装置,其中,
所述检测处理单元,适于获取沙箱中具有系统级权限的各个系统进程的进程标识;对于每个系统进程,根据该系统进程的进程标识,获取该系统进程的EPROCESS结构地址,进一步获取该系统进程的EPROCESS结构地址中的Token域的指针值。
B18、如B17所述的装置,其中,所述检测处理单元,适于获取当前所述目标样本文件对应的进程的EPROCESS结构地址,进一步获取所述目标样本文件对应的进程的EPROCESS结构地址中的Token域的指针值;
所述检测处理单元,适于将所述目标样本文件对应的进程的EPROCESS结构地址中的Token域的指针值与沙箱中各个系统进程的EPROCESS结构地址中的Token域的指针值进行匹配。
B19、如B14所述的装置,其中,沙箱中具有系统级权限的系统进程包括如下一种或多种:
Idle进程、System进程、smss.exe进程、csrss.exe进程、wininit.exe进程、service.exe进程、Isass.exe进程、winlogon.exe进程。
B20、如B15所述的装置,其中,所述指定操作事件包括:对执行指定操作的函数进行调用的事件;
所述指定操作包括:对沙箱中的内存、特权、注册表、进程、线程、和/或文件进行创建和/或读写的操作。
B21、如B20所述的装置,其中,
所述检测处理单元,适于在执行指定操作的函数上挂载钩子函数,拦截指示对执行所述指定操作的函数进行调用的消息;判断所述指示对执行所述指定操作的函数进行调用的消息的发送者是否为所述目标样本文件;是则,确定监听到所述目标样本文件在沙箱中执行的指定操作事件,否则放行所述指示对执行所述指令操作的函数进行调用的消息。
B22、如B13所述的装置,其中,
所述检测处理单元,进一步适于记录所述目标样本文件在沙箱中运行的运行日志;当确定所述目标样本文件是威胁样本文件时,根据所述目标样本文件在沙箱中运行的运行日志获得所述目标样本文件相关的特征信息;将所述目标样本文件相关的特征信息放入威胁数据库中。
B23、如B22所述的装置,其中,所述目标样本文件相关的特征信息包括:
目标样本文件的静态特征信息,
和/或,
目标样本文件的行为特征信息。
B24、如B22所述的装置,其中,
所述检测处理单元,进一步适于将所述目标样本文件相关的特征信息反馈给数据源。

Claims (10)

1.一种目标样本文件的检测方法,其中,包括:
从数据源接收目标样本文件,将所述目标样本文件投放到沙箱中运行;
监听所述目标样本文件在沙箱中运行的过程中是否发生系统进程令牌替换事件;
是则,确定所述目标样本文件是威胁样本文件;
否则,确定所述目标样本文件不是威胁样本文件。
2.如权利要求1所述的方法,其中,在所述将所述目标样本文件投放到沙箱中运行之前,该方法进一步包括:
获取沙箱中具有系统级权限的各个系统进程的令牌信息。
3.如权利要求2所述的方法,其中,所述监听所述目标样本文件在沙箱中运行的过程中是否发生系统进程令牌替换事件包括:
监听所述目标样本文件在沙箱中执行的指定操作事件;
当监听到指定操作事件发生时,拦截所述指定操作事件,获取当前所述目标样本文件对应的进程的令牌信息;
将当前所述目标样本文件对应的进程的令牌信息与沙箱中各个系统进程的令牌信息进行匹配,如果当前所述目标样本文件对应的进程的令牌信息命中沙箱中系统进程的令牌信息,确定所述目标样本文件在沙箱中运行的过程中发生系统进程令牌替换事件;否则,确定所述目标样本文件在沙箱中运行的过程中未发生系统进程令牌替换事件。
4.如权利要求3所述的方法,其中,该方法进一步包括:
当确定所述目标样本文件在沙箱中运行的过程中发生系统进程令牌替换事件时,强制结束所述指定操作事件;
当确定所述目标样本文件在沙箱中运行的过程中未发生系统进程令牌替换事件时,允许所述指定操作事件继续执行。
5.如权利要求3所述的方法,其中,所述获取沙箱中具有系统级权限的各个系统进程的令牌信息包括:
获取沙箱中具有系统级权限的各个系统进程的进程标识;
对于每个系统进程,根据该系统进程的进程标识,获取该系统进程的EPROCESS结构地址,进一步获取该系统进程的EPROCESS结构地址中的Token域的指针值。
6.一种目标样本文件的检测装置,其中,包括:
样本接收单元,适于从数据源接收目标样本文件;
检测处理单元,适于将所述目标样本文件投放到沙箱中运行,监听所述目标样本文件在沙箱中运行的过程中是否发生系统进程令牌替换事件;是则,确定所述目标样本文件是威胁样本文件;否则,确定所述目标样本文件不是威胁样本文件。
7.如权利要求6所述的装置,其中,
所述检测处理单元,进一步适于在所述将所述目标样本文件投放到沙箱中运行之前,获取沙箱中具有系统级权限的各个系统进程的令牌信息。
8.如权利要求7所述的装置,其中,
所述检测处理单元,适于监听所述目标样本文件在沙箱中执行的指定操作事件;当监听到指定操作事件发生时,拦截所述指定操作事件,获取当前所述目标样本文件对应的进程的令牌信息;将当前所述目标样本文件对应的进程的令牌信息与沙箱中各个系统进程的令牌信息进行匹配,如果当前所述目标样本文件对应的进程的令牌信息命中沙箱中系统进程的令牌信息,确定所述目标样本文件在沙箱中运行的过程中发生系统进程令牌替换事件;否则,确定所述目标样本文件在沙箱中运行的过程中未发生系统进程令牌替换事件。
9.如权利要求8所述的装置,其中,
所述检测处理单元,进一步适于当确定所述目标样本文件在沙箱中运行的过程中发生系统进程令牌替换事件时,强制结束所述指定操作事件;当确定所述目标样本文件在沙箱中运行的过程中未发生系统进程令牌替换事件时,允许所述指定操作事件继续执行。
10.如权利要求8所述的装置,其中,
所述检测处理单元,适于获取沙箱中具有系统级权限的各个系统进程的进程标识;对于每个系统进程,根据该系统进程的进程标识,获取该系统进程的EPROCESS结构地址,进一步获取该系统进程的EPROCESS结构地址中的Token域的指针值。
CN201611066077.4A 2016-11-28 2016-11-28 一种目标样本文件的检测方法和装置 Pending CN106682500A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201611066077.4A CN106682500A (zh) 2016-11-28 2016-11-28 一种目标样本文件的检测方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201611066077.4A CN106682500A (zh) 2016-11-28 2016-11-28 一种目标样本文件的检测方法和装置

Publications (1)

Publication Number Publication Date
CN106682500A true CN106682500A (zh) 2017-05-17

Family

ID=58867316

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201611066077.4A Pending CN106682500A (zh) 2016-11-28 2016-11-28 一种目标样本文件的检测方法和装置

Country Status (1)

Country Link
CN (1) CN106682500A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110427758A (zh) * 2019-08-08 2019-11-08 北京智游网安科技有限公司 位置欺骗检测方法、智能终端及存储介质
CN114969723A (zh) * 2022-05-30 2022-08-30 北京天融信网络安全技术有限公司 沙箱防御方法、装置、电子设备和计算机可读存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104200161A (zh) * 2014-08-05 2014-12-10 杭州安恒信息技术有限公司 一种实现沙箱智能检测文件的方法及其沙箱智能检测系统
CN105117645A (zh) * 2015-07-29 2015-12-02 杭州安恒信息技术有限公司 基于文件系统过滤驱动实现沙箱虚拟机多样本运行的方法
CN106055975A (zh) * 2016-05-16 2016-10-26 杭州华三通信技术有限公司 文件检测方法及沙箱

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104200161A (zh) * 2014-08-05 2014-12-10 杭州安恒信息技术有限公司 一种实现沙箱智能检测文件的方法及其沙箱智能检测系统
CN105117645A (zh) * 2015-07-29 2015-12-02 杭州安恒信息技术有限公司 基于文件系统过滤驱动实现沙箱虚拟机多样本运行的方法
CN106055975A (zh) * 2016-05-16 2016-10-26 杭州华三通信技术有限公司 文件检测方法及沙箱

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
APPALL: "手动调试感受一下提权过程", 《HTTP://APPALL.LOFTER.COM/POST/46A9F7_6D8CEAC》 *
ASHFAQ ANSARI: "Windows 内核攻击", 《HTTP://DROPS.XMD5.COM/STATIC/DROPS/PAPERS-6095.HTML》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110427758A (zh) * 2019-08-08 2019-11-08 北京智游网安科技有限公司 位置欺骗检测方法、智能终端及存储介质
CN114969723A (zh) * 2022-05-30 2022-08-30 北京天融信网络安全技术有限公司 沙箱防御方法、装置、电子设备和计算机可读存储介质

Similar Documents

Publication Publication Date Title
CN103559446B (zh) 一种基于安卓系统的设备的动态病毒检测方法和装置
Jiang et al. Android malware detection using fine‐grained features
US7587724B2 (en) Kernel validation layer
Zhauniarovich et al. Stadyna: Addressing the problem of dynamic code updates in the security analysis of android applications
US8402547B2 (en) Apparatus and method for detecting, prioritizing and fixing security defects and compliance violations in SAP® ABAP™ code
Pietraszek et al. Defending against injection attacks through context-sensitive string evaluation
Lin et al. Automated forensic analysis of mobile applications on Android devices
US10839077B2 (en) Detecting malicious software
US10733296B2 (en) Software security
US20080015808A1 (en) Methods and system for program execution integrity measurement
CN109255235B (zh) 基于用户态沙箱的移动应用第三方库隔离方法
US20120311709A1 (en) Automatic management system for group and mutant information of malicious codes
Luo et al. System service call-oriented symbolic execution of android framework with applications to vulnerability discovery and exploit generation
CN106713277A (zh) 一种目标样本文件的检测方法和装置
CN106650423A (zh) 一种目标样本文件的检测方法和装置
CN106682513A (zh) 一种目标样本文件的检测方法和装置
US20130103924A1 (en) Exploit nonspecific host intrusion prevention/detection methods and systems and smart filters therefor
Talukder et al. Droidpatrol: a static analysis plugin for secure mobile software development
CN106650424A (zh) 一种目标样本文件的检测方法和装置
El-Rewini et al. Dissecting residual APIs in custom android ROMs
CN106682500A (zh) 一种目标样本文件的检测方法和装置
CN110502892A (zh) 一种异常测试进程的确定方法、装置及系统
Jang et al. Function‐Oriented Mobile Malware Analysis as First Aid
Pouryousef et al. Let me join two worlds! analyzing the integration of web and native technologies in hybrid mobile apps
CN112632547A (zh) 一种数据处理方法和相关装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20170517

RJ01 Rejection of invention patent application after publication