CN106919838B - 一种恶意代码加密配置定位方法及系统 - Google Patents

一种恶意代码加密配置定位方法及系统 Download PDF

Info

Publication number
CN106919838B
CN106919838B CN201610988840.2A CN201610988840A CN106919838B CN 106919838 B CN106919838 B CN 106919838B CN 201610988840 A CN201610988840 A CN 201610988840A CN 106919838 B CN106919838 B CN 106919838B
Authority
CN
China
Prior art keywords
address
information
configuration information
character string
file
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610988840.2A
Other languages
English (en)
Other versions
CN106919838A (zh
Inventor
康学斌
朱晴
肖新光
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Antan Network Security Technology Co.,Ltd.
Original Assignee
SHENZHEN ANZHITIAN INFORMATION TECHNOLOGY CO LTD
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SHENZHEN ANZHITIAN INFORMATION TECHNOLOGY CO LTD filed Critical SHENZHEN ANZHITIAN INFORMATION TECHNOLOGY CO LTD
Priority to CN201610988840.2A priority Critical patent/CN106919838B/zh
Publication of CN106919838A publication Critical patent/CN106919838A/zh
Application granted granted Critical
Publication of CN106919838B publication Critical patent/CN106919838B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种恶意代码加密配置定位方法及系统,包括:记录通过调用处理得到的包括接口函数信息、参数地址信息;标记所述接口函数中文件操作的参数地址为初始地址位置,设置位置信息为P1、...、Pn;基于文件内容读取操作,标记文件内存位置为内存起始地址X1、...、Xn;基于网络连接、设置服务和自启动、数据拷贝操作,标记内存地址传递位置的目标地址为Y1、...、Yn,并记录所述目标地址对应的字符串信息,所述字符串信息包括配置信息;基于目标地址Y1、...、Yn进行对应地址反查,判断Y1、...、Yn是否为反查操作中IP参数对应的地址,如果是则定位所述Yn的初始地址位置为Pn。解决加密的木马文件配置信息不好定位和提取的技术问题。

Description

一种恶意代码加密配置定位方法及系统
技术领域
本发明涉及计算机安全技术领域,更具体地涉及一种恶意代码加密配置定位方法及系统。
背景技术
互联网技术的发展进步给人们的生活生产带来了诸多的益处,社交、金融、媒体、购物等各个方面都依托互联网技术进行运作,产生效益。在互联网创造巨大的经济效益的大环境下,有价值的数据、各种竞争关系诱发了通过互联网的窃密、控制、破坏的恶意行为。木马程序便是当下比较流行的窃密、控制、破坏手段。网络黑客通过一段特定的程序(木马程序)来控制另一台计算机。木马通常有两个可执行程序:一个是控制端,另一个是被控制端。植入电脑的是被控制端部分,黑客正是利用控制端进入运行了被控制端的电脑。
当下的木马程序为了隐蔽自身不被发现,在程序运行后,会删除隐蔽自身,而为了对抗杀软和安全人员的检测,一些木马甚至会加密自身相关的配置信息,使得木马程序的发现与检测变得困难。木马文件配置信息位置有了各种加密和隐藏处理,传统的方法不好定位配置信息的位置,通过尝试各种算法定位查找配置信息位置,工作量大,难度大,耗时长。
发明内容
为了解决上述技术问题,提供了根据本发明的一种恶意代码加密配置定位方法及系统。
根据本发明的第一方面,提供了一种恶意代码加密配置定位方法,包括:记录通过调用处理得到的包括接口函数信息、参数地址信息;标记所述接口函数中文件操作的参数地址为初始地址位置,设置初始地址位置的信息为P1、...、Pn;其中,所述初始地址位置为文件读取位置的字符串路径,而n为任意正整数,为路径相关的内容;基于文件内容读取操作,标记文件内存位置为内存起始地址X1、...、Xn;基于网络连接、设置服务和自启动、数据拷贝操作,标记内存地址传递位置的目标地址为Y1、...、Yn,并记录所述目标地址对应的字符串信息,所述字符串信息包括配置信息;基于目标地址Y1、...、Yn进行对应地址反查,通过反查操作来查找到对应相同sokcet的connect、判断Y1、...、Yn是否为connect中IP参数对应的地址,如果是则定位所述Yn的初始地址位置为Pn
在一些实施例中,包括:提取包含恶意数据的所述Pn对应的配置信息,所述恶意数据包括终端配置信息。
在一些实施例中,所述提取包含恶意数据的Pn对应的配置信息,包括:基于所述配置信息进行判断,如果所述配置信息中的配置信息包括终端配置信息,则通过程序脚本对配置信息进行提取。
在一些实施例中,所述配置信息包括终端CPU运算速度、终端名称、内存大小、IP及端口地址信息。
根据本发明的第二方面,提供一种恶意代码加密配置定位系统,包括:记录模块,用于记录通过调用处理得到的包括接口函数信息、参数地址信息;第一标记模块,用于标记所述接口函数中文件操作的参数地址为初始地址位置,设置初始地址位置的信息为P1、...、Pn,其中,所述初始地址位置为文件读取位置的字符串路径,而n为任意正整数,为路径相关的内容;第二标记模块,用于基于文件内容读取操作,标记文件内存位置为内存起始地址X1、...、Xn;第三标记模块,用于基于网络连接、设置服务和自启动、数据拷贝操作,标记内存地址传递位置的目标地址为Y1、...、Yn,并记录所述目标地址对应的字符串信息,所述字符串信息包括配置信息;判断模块,用于基于目标地址Y1、...、Yn进行对应地址反查,通过反查操作来查找到对应相同sokcet的connect、判断Y1、...、Yn是否为connect中IP参数对应的地址,如果是则定位所述Yn的初始地址位置为Pn
在一些实施例中,包括:提取模块,用于提取包含恶意数据的所述Pn对应的配置信息,所述恶意数据包括终端配置信息。
在一些实施例中,所述提取模块包括:用于基于所述字符串信息进行判断,如果所述字符串信息中的配置信息包括终端配置信息,则通过程序脚本对配置信息进行提取。
在一些实施例中,所述配置信息包括终端CPU运算速度、终端名称、内存大小、IP及端口地址信息。
通过使用本发明的方法和系统,记录调用处理得到的包括接口函数信息、参数地址信息,在文件操作、内容读取、网络连接、设置服务和自启动、数据拷贝操作过程中,进行关联API参数内存地址传递跟踪标记,回溯定位。快速准确定位恶意代码文件配置信息位置,不需要进行各种解密方法的尝试也能达到获取文件内容中配置信息的目的,免去了人工定位解密工作量大,难度大,耗时长的困难。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为根据本发明实施例的一种恶意代码加密配置定位方法的流程图;
图2为根据本发明实施例的一种恶意代码加密配置定位系统的框图。
具体实施方式
下面参照附图对本发明的优选实施例进行详细说明,在描述过程中省略了对于本发明来说是不必要的细节和功能,以防止对本发明的理解造成混淆。虽然附图中显示了示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本发明的范围完整的传达给本领域的技术人员。
本发明中将使用HOOK记录木马调用的API(应用程序编程接口)以及参数地址信息,而HOOK是一个消息的拦截机制,是消息处理中的一个环节,用于监控消息在系统中的传递,并在这些消息到达最终的消息处理过程前,处理某些特定的消息,实际上这个技术在操作系统里面被广泛使用。
图1示出了根据本发明实施例的一种恶意代码加密配置定位方法的流程图。如图1所示,方法包括如下步骤:
S110,记录通过调用处理得到的包括接口函数信息、参数地址信息。
通过HOOK WINDOWS API的调用,处理得到API信息以及参数地址信息,其中,地址信息可以是将API的参数处理为16进制的地址形式(比如:0x1EFFC220)保存下来的信息。
S120,标记接口函数中文件操作的参数地址为初始地址位置,设置位置信息为P1、...、Pn
首先监控文件操作一类的API,监控到打开配置文件动作。接口函数中的文件操作相关函数(比如:CreateFile、WriteFile、ReadFile、SetFiltPoint)对文件进行对应操作时,文件操作相关函数的参数为初始地址位置,将参数初始地址位置放入一个以文件操作函数命名的列表中,单独保存并进行标记,设置为P1、...、Pn,其中,n为任意正整数,一般为路径相关的内容。其中,初始地址位置为文件读取位置的字符串路径。
S130,基于文件内容读取操作,标记文件内存位置为内存起始地址X1、...、Xn
通过文件内容读取函数读取到文件在内存中的位置,作为起始内存地址,被处理为16进制数据形式(比如:0x1EFFC220),并标记X1、...、Xn,其中,n为任意正整数。
S140,基于网络连接、设置服务和自启动、数据拷贝操作,标记内存地址传递位置的目标地址为Y1、...、Yn,并记录目标地址对应的字符串信息。
木马配置信息中有被感染的机器需要连接的IP和端口信息,但是是加密的,文件位置也不清楚。木马程序要传递信息需要调用相关的拷贝函数将配置内容拷贝出来到一个变量中,把IP和端口信息传递给网络连接相关的函数,同时在这个过程中也会收集被感染的终端配置信息。
通过木马网络连接需要调用的网络信息查询、连接、发送等函数(gethostbyname、connect、send等),设置服务和自启动需要调用的注册表项值、打开注册表项等函数(RegSetValue、RegOpenKey等),拷贝数据调用的标准库复制、内存拷贝等函数(strcpy、memcpy、strncpy等),进行内存地址传递位置的标记,一直跟踪拷贝操作的目标地址,并标记为Y1、...、Yn,其中,n为任意正整数,记录目标地址对应的字符串信息,其中包括配置信息。
S150,基于目标地址Y1、...、Yn进行对应地址反查,判断Y1、...、Yn是否为反查操作中IP参数对应的地址,如果是则定位Yn的初始地址位置为Pn
在木马程序数据的传递过程中,地址都是可以被记录下来的,并且关联着。具体的,地址传递关联方法如下描述:
strcpy数据:{"RetAddr":"004059ba","Process":"wine","Module":"ntdll.dll","Details":{"dest":"0091e918",
"src":"0091dea8\"Win 2003SP2\""},"ApiName":"strcpy","RetVal":"0091e918"}
其中,包含终端操作系统版本的信息被拷贝到了0091e918的地址中,接下来:
{"RetAddr":"00405a8f","Process":"wine","Module":"ntdll.dll","Details":{"dest":"0091e978",
"src":"0091df9c\"1*3491MHz\""},"ApiName":"strcpy","RetVal":"0091e978"}
其中,包含CPU处理速度的信息被拷贝了到了0091e978的地址中。
{"RetAddr":"00403685","Process":"wine","Module":"msvcrt.dll","Details":{"dest":"0091e418","src":"0091e914","count":"000000b0"},"ApiName":"memcpy","RetVal":"0091e418"}
使用memcpy将地址0091e914地址,长度为000000b0的信息拷贝到了0091e418的内存地址中。0091e914----0091e914+000000b0(0091e9c4)之间的信息都被拷贝到了0091e418中。而0091e914----0091e9c4中间包含了0091e918、0091e9178中的内容。所以相应的终端配置信息也是被拷贝到了内存地址中。最后我们找到send的地址:
{"RetAddr":"004036a6","Process":"wine","Module":"ws2_32.dll","Details":{"flags":"00000000","buf":"0091e410","socket":"00000068","len":"000000b8"},"ApiName":"send","RetVal":"000000b8"}
可以清楚的看到send buf的地址为0091e410 send的len为000000b8,也就是包含了终端配置信息地址0091e418在0091e410--0091e410+000000b8中,全被发出去了。至此就可以判断样本发送了终端配置信息。而这种行为是DDOS回传终端配置信息的典型操作。通过对应的socket地址,反查connect的对应地址。
最终地址指的是在send函数中buf参数对应的地址。如果拷贝操作的参数地址,在buf对应的地址范围内。就可以通过send函数中的socket找到connect中对应相同的sokcet,connet函数中除了sokcet这个参数外,还有IP和端口信息。
判断Yn是否为connect中的IP相关参数对应的地址,如果是就可以定位到Yn的初始地址位置为Pn,如否,则没有提取到相关信息。在跟踪过程中根据地址对应得到字符串相关的信息,包括终端配置信息(如cpu运算速度,计算机名,计算机内存大小)都可以记录下来。通过这个过程把IP和端口信息与配置信息关联起来。比如connect链接的是192.168.50.45:8080,那配置信息中就应该有这个信息。
在一些方面,进一步还包括:
S160,提取包含恶意数据的Pn对应的配置信息。
在提取过程中,首先需要确定哪些数据是恶意数据,即判断看是否可以为污点数据(包含有终端配置的信息),基于字符串信息中的配置信息进行判断,如果字符串信息包括终端配置信息,则该字符串信息中包含恶意数据,然后,利用程序脚本对配置信息进行提取,其内容中含有IP及端口地址等相关信息。
其中,配置信息包括终端CPU运算速度、终端名称、内存大小、IP及端口地址信息。
图2为根据本发明实施例的一种恶意代码加密配置定位系统的框图。如图2所述,系统可以包括:记录模块210、第一标记模块220、第二标记模块230、第三标记模块240、判断模块250、提取模块260。
记录模块210,用于记录通过调用处理得到的包括接口函数信息、参数地址信息。
第一标记模块220,用于标记接口函数中文件操作的参数地址为初始地址位置,设置位置信息为P1、...、Pn
其中,以上涉及到的n为任意正整数,初始地址位置为文件读取位置的字符串路径。
第二标记模块230,用于基于文件内容读取操作,标记文件内存位置为内存起始地址X1、...、Xn(n为任意正整数)。
第三标记模块240,用于基于网络连接、设置服务和自启动、数据拷贝操作,标记内存地址传递位置的目标地址为Y1、...、Yn,记录目标地址对应的字符串信息,字符串信息包括配置信息。
其中,n为任意正整数,配置信息包括终端CPU运算速度、终端名称、内存大小、IP及端口地址信息。
判断模块250,用于基于目标地址Y1、...、Yn进行对应地址反查,判断Y1、...、Yn是否为反查操作中IP参数对应的地址,如果是则定位Yn的初始地址位置为Pn
在一些实施例中,系统还包括:
提取模块260,用于提取包含恶意数据的Pn对应的配置信息,恶意数据包括终端配置信息。
进一步,提取模块260还包括:用于基于字符串信息进行判断,如果字符串信息中的配置信息包括终端配置信息,则通过程序脚本对配置信息进行提取。
通过使用本发明的方法和系统,记录调用处理得到的包括接口函数信息、参数地址信息,在文件操作、内容读取、网络连接、设置服务和自启动、数据拷贝操作过程中,进行关联API参数内存地址传递跟踪标记,回溯定位。快速准确定位恶意代码文件配置信息位置,不需要进行各种解密方法的尝试也能达到获取文件内容的目的,免去了人工定位解密工作量大,难度大,耗时长的困难。
至此已经结合优选实施例对本发明进行了描述。应该理解,本领域技术人员在不脱离本发明的精神和范围的情况下,可以进行各种其它的改变、替换和添加。因此,本发明的范围不局限于上述特定实施例,而应由所附权利要求所限定。

Claims (8)

1.一种恶意代码加密配置定位方法,其特征在于,包括:
记录通过调用处理得到的包括接口函数、参数地址;
标记所述接口函数中文件操作的参数地址为初始地址位置,设置初始地址位置的信息为P1、...、Pn,其中,所述初始地址位置为文件读取位置的字符串路径,而n为任意正整数,为路径相关的内容;
基于文件内容读取操作,标记文件内存位置为内存起始地址X1、...、Xn
基于网络连接、设置服务和自启动、数据拷贝操作,标记内存地址传递位置的目标地址为Y1、...、Yn,并记录所述目标地址对应的字符串信息,所述字符串信息包括配置信息;
基于目标地址Y1、...、Yn进行对应地址反查,通过反查操作来查找到对应相同sokcet的connect、判断Y1、...、Yn是否为connect中的IP参数对应的地址,如果是则定位所述Yn的初始地址位置为Pn
2.根据权利要求1所述的方法,其特征在于,包括:
提取包含恶意数据的所述Pn对应的配置信息,所述恶意数据包括终端配置信息。
3.根据权利要求2所述的方法,其特征在于,所述提取包含恶意数据的Pn对应的配置信息,包括:基于所述字符串信息进行判断,如果所述字符串信息中的配置信息包括终端配置信息,则通过程序脚本对配置信息进行提取。
4.根据权利要求1至3任一项所述的方法,其特征在于,所述配置信息包括终端CPU运算速度、终端名称、内存大小、IP及端口地址信息。
5.一种恶意代码加密配置定位系统,其特征在于,包括:
记录模块,用于记录通过调用处理得到的包括接口函数信息、参数地址信息;
第一标记模块,用于标记所述接口函数中文件操作的参数地址为初始地址位置,设置初始地址位置的信息为P1、...、Pn,其中,所述初始地址位置为文件读取位置的字符串路径,而n为任意正整数,为路径相关的内容;
第二标记模块,用于基于文件内容读取操作,标记文件内存位置为内存起始地址X1、...、Xn
第三标记模块,用于基于网络连接、设置服务和自启动、数据拷贝操作,标记内存地址传递位置的目标地址为Y1、...、Yn,并记录所述目标地址对应的字符串信息,所述字符串信息包括配置信息;
判断模块,用于基于目标地址Y1、...、Yn进行对应地址反查,通过反查操作来查找到对应相同sokcet的connect、判断Y1、...、Yn是否为connect中IP参数对应的地址,如果是则定位所述Yn的初始地址位置为Pn
6.根据权利要求5所述的系统,其特征在于,包括:
提取模块,用于提取包含恶意数据的所述Pn对应的配置信息,所述恶意数据包括终端配置信息。
7.根据权利要求6所述的系统,其特征在于,所述提取模块包括:用于基于所述字符串信息进行判断,如果所述字符串信息中的配置信息包括终端配置信息,则通过程序脚本对配置信息进行提取。
8.根据权利要求5至7任一项所述的系统,其特征在于,所述配置信息包括终端CPU运算速度、终端名称、内存大小、IP及端口地址信息。
CN201610988840.2A 2016-11-10 2016-11-10 一种恶意代码加密配置定位方法及系统 Active CN106919838B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610988840.2A CN106919838B (zh) 2016-11-10 2016-11-10 一种恶意代码加密配置定位方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610988840.2A CN106919838B (zh) 2016-11-10 2016-11-10 一种恶意代码加密配置定位方法及系统

Publications (2)

Publication Number Publication Date
CN106919838A CN106919838A (zh) 2017-07-04
CN106919838B true CN106919838B (zh) 2020-11-03

Family

ID=59453250

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610988840.2A Active CN106919838B (zh) 2016-11-10 2016-11-10 一种恶意代码加密配置定位方法及系统

Country Status (1)

Country Link
CN (1) CN106919838B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113625995A (zh) * 2020-05-07 2021-11-09 武汉斗鱼网络科技有限公司 一种自适应获取数据的方法和装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102422299A (zh) * 2009-04-27 2012-04-18 株式会社一四四零技术研究所 信息设备、程序、防止执行不正当程序代码的方法、及计算机能够读取的记录介质
CN102592078A (zh) * 2011-12-23 2012-07-18 中国人民解放军国防科学技术大学 一种提取函数调用序列特征识别恶意软件自主传播的方法
CN105550585A (zh) * 2016-03-02 2016-05-04 腾讯科技(深圳)有限公司 一种应用程序安全性测试方法、装置和系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8943592B1 (en) * 2013-07-15 2015-01-27 Eset, Spol. S.R.O. Methods of detection of software exploitation

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102422299A (zh) * 2009-04-27 2012-04-18 株式会社一四四零技术研究所 信息设备、程序、防止执行不正当程序代码的方法、及计算机能够读取的记录介质
CN102592078A (zh) * 2011-12-23 2012-07-18 中国人民解放军国防科学技术大学 一种提取函数调用序列特征识别恶意软件自主传播的方法
CN105550585A (zh) * 2016-03-02 2016-05-04 腾讯科技(深圳)有限公司 一种应用程序安全性测试方法、装置和系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
面向开源程序的特征码免杀与主动防御突破研究;蒋晓峰;《万方学位论文库》;20150925;全文 *

Also Published As

Publication number Publication date
CN106919838A (zh) 2017-07-04

Similar Documents

Publication Publication Date Title
CN105409164B (zh) 通过使用硬件资源来检测网络业务中的矛盾的根套件检测
JP2020095753A (ja) マルウェアのランタイム中の自動検出
Binsalleeh et al. On the analysis of the zeus botnet crimeware toolkit
US20170034189A1 (en) Remediating ransomware
CN105024976B (zh) 一种高级持续威胁攻击识别方法及装置
US10867049B2 (en) Dynamic security module terminal device and method of operating same
US9407644B1 (en) Systems and methods for detecting malicious use of digital certificates
CN113141335B (zh) 网络攻击检测方法及装置
US20140026217A1 (en) Methods for identifying key logging activities with a portable device and devices thereof
Anwar et al. Android botnets: a serious threat to android devices.
Sasi et al. A comprehensive survey on IoT attacks: Taxonomy, detection mechanisms and challenges
Atapour et al. Modeling Advanced Persistent Threats to enhance anomaly detection techniques
CN113726825B (zh) 一种网络攻击事件反制方法、装置及系统
US20200099715A1 (en) Method and Mechanism for Detection of Pass-the-Hash Attacks
CN106919838B (zh) 一种恶意代码加密配置定位方法及系统
CN114172720A (zh) 一种密文攻击流量的检测方法及相关装置
CN104660584B (zh) 基于网络会话的木马病毒分析技术
KR100571695B1 (ko) 키보드와 마우스 및 영상의 해킹 방지 방법
Jarvis et al. Inside a targeted point-of-sale data breach
US11038844B2 (en) System and method of analyzing the content of encrypted network traffic
CN109274676B (zh) 基于自学习方式获取木马控制端ip地址的方法、系统和存储设备
Shabtai et al. Evaluation of security solutions for Android systems
TW201633205A (zh) 用於惡意程式碼檢測之系統及方法
Hindocha Threats to instant messaging
Müller Evaluating the Security and Resilience of Typical off the Shelf CoAP IoT Devices: Assessing CoAP and Wi-Fi vulnerabilities

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP01 Change in the name or title of a patent holder

Address after: 518000 Shenzhen, Baoan District, Guangdong Xixiang Baoan District street, the source of excellent industrial products display procurement center, block B, 7 floor, No.

Patentee after: Shenzhen Antan Network Security Technology Co.,Ltd.

Address before: 518000 Shenzhen, Baoan District, Guangdong Xixiang Baoan District street, the source of excellent industrial products display procurement center, block B, 7 floor, No.

Patentee before: SHENZHEN ANZHITIAN INFORMATION TECHNOLOGY Co.,Ltd.

CP01 Change in the name or title of a patent holder