CN107330328A - 防御病毒攻击的方法、装置及服务器 - Google Patents
防御病毒攻击的方法、装置及服务器 Download PDFInfo
- Publication number
- CN107330328A CN107330328A CN201710527566.3A CN201710527566A CN107330328A CN 107330328 A CN107330328 A CN 107330328A CN 201710527566 A CN201710527566 A CN 201710527566A CN 107330328 A CN107330328 A CN 107330328A
- Authority
- CN
- China
- Prior art keywords
- code
- defence
- viral
- system kernel
- virus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Computer And Data Communications (AREA)
- Pharmaceuticals Containing Other Organic And Inorganic Compounds (AREA)
Abstract
本发明提供了防御病毒攻击的方法、装置及服务器。该方法包括:确定系统内核中植入病毒代码的位置;将病毒代码替换成防御代码,以使得当执行防御代码时,与病毒代码对应的病毒程序无法运行;当执行防御代码时进行异常提醒。本发明实施例中将病毒代码进行替换,阻止了该病毒代码被执行时对系统内核的攻击,提高了系统内核的安全性;由于将病毒代码替换成防御代码,使得执行该防御代码时进行异常提醒,用户可以根据异常提醒及时地对受病毒攻击的目标程序进行全面地病毒查杀,进一步地提高了系统内核的安全性。
Description
技术领域
本发明涉及计算机技术领域,具体而言,本发明涉及防御病毒攻击的方法、装置及服务器。
背景技术
目前,随着计算机技术的不断发展,很多病毒工具(例如,后门程序、木马、间谍软件以及广告软件等)利用系统内核中的漏洞将病毒代码植入到系统程序中,从而导致系统瘫痪,给用户操作带来不便,或者导致用户私人信息泄漏,给用户的人身财产安全带来隐患,等等。
例如,目前发生一次全球大规模的勒索病毒感染事件,该事件具体为:黑客用NSA(National Security Agency,美国国家安全局)泄露的危险漏洞“EternalBlue”(永恒之蓝)进行勒索病毒的传播,在很短时间内,包括英国、俄罗斯、整个欧洲以及国内多个高校校内网、大型企业内网和政府机构专网中招;该勒索病毒针对于用户主机上的重要文件,如:照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件,对这些文件进行加密,加密文件的后缀名被统一修改为“.WNCRY”。
目前,安全业界暂未能有效破除该勒索软的恶意加密行为,用户主机一旦被勒索软件渗透,只能通过重装操作系统的方式来解除勒索行为,但用户重要数据文件不能直接恢复;如果用户想要解密这重要文件,需要向黑客支付高额的赎金后方能解密恢复文件,给用户带了极大的危害。
因此,目前需要一种防御病毒攻击的方法,对系统内核中的病毒进行有效地拦截和查杀。
发明内容
本发明针对现有技术的缺点,提出了一种防御病毒攻击的方法、装置及服务器,用于对系统内核中的病毒进行有效地查杀,并进行异常提醒。
本发明实施例提供了一种防御病毒攻击的方法,包括:
确定系统内核中植入病毒代码的位置;
将病毒代码替换成防御代码,以使得当执行防御代码时,与病毒代码对应的病毒程序无法运行;
当执行防御代码时进行异常提醒。
优选地,确定系统内核中植入病毒代码的位置的步骤,具体包括:
自动化分析系统通过指令拆解及语义分析的方式对系统内核中目标程序对应的代码进行分析;
根据分析结果,确定目标程序对应的代码中植入病毒代码的位置。
优选地,确定系统内核中植入病毒代码的位置的步骤,包括:
通过病毒防御引擎扫描系统内核中的服务函数导入导出表中空服务函数的位置,并提取各个位置处的目标代码;
将各个位置处的目标代码与预存的原始服务函数导入导出表中相应位置处的原始代码进行比对;
当比对结果为不一致时,确定相应位置为系统内核中植入病毒代码的位置。
优选地,该方法还包括:
当确定系统内核中植入病毒代码时,将服务函数导入导出表替换成原始服务函数导入导出表。
优选地,将病毒代码替换成防御代码的步骤,具体包括:
提取系统内核代码中的代码片段;
对代码片段进行拼接处理,获得防御代码;
将病毒代码替换为防御代码。
优选地,防御代码具体为钩子函数地址对应的代码;以及
提取系统内核代码中的代码片段,对代码片段进行拼接处理,获得防御代码的步骤,具体包括:
从所述系统内核代码中提取可组成钩子函数地址的各个代码片段;
对所述各个代码片段进行拼接处理,获得钩子函数地址对应的代码,并保存于防御代码应用配置文件中。
优选地,该方法还包括:
当执行防御代码时开启对系统内核进行漏洞扫描,以确定系统内核中存在的漏洞;
对漏洞进行修复。
优选地,该方法还包括:
对系统内核中目标程序的行为事件进行监控;
当监控到异常事件发生时,获取异常事件对应的处理策略;
执行处理策略以防御病毒的攻击;以及
该异常事件具体为系统内核中植入病毒代码;
该处理策略具体为将病毒代码替换成防御代码,和/或进行异常提醒。
优选地,该方法还包括:
提取系统内核中目标程序对应的目标代码中所包含的特征代码;
查询预设的病毒代码库中是否包含有特征代码;
若有,确定系统内核中植入了病毒代码。
优选地,该方法还包括:
在确定系统内核中植入病毒代码的位置之后,在位置中插入病毒破坏代码,以使得当执行插入病毒破坏代码的病毒代码时,与病毒代码对应的病毒程序无法运行。
优选地,该方法还包括:
当确定系统内核中植入病毒代码时,通知驱动防火墙开启防御病毒攻击的功能。
本发明实施例提供了一种防御病毒攻击的装置,包括:
第一确定单元、替换单元和提醒单元,其中:
第一确定单元,用于确定系统内核中植入病毒代码的位置;
替换单元,用于将病毒代码替换成防御代码,以使得当执行防御代码时,与病毒代码对应的病毒程序无法运行;
提醒单元,用于当执行防御代码时进行异常提醒。
优选地,第一确定单元确定系统内核中植入病毒代码的位置,具体包括:
通过指令拆解及语义分析的方式对所述系统内核中目标程序对应的代码进行分析;
根据分析结果,确定所述目标程序对应的代码中植入病毒代码的位置。优选地,确定单元确定系统内核中植入病毒代码的位置,具体包括:
通过病毒防御引擎扫描系统内核中的服务函数导入导出表中空服务函数的位置,并提取各个位置处的目标代码;
将各个位置处的目标代码与预存的原始服务函数导入导出表中相应位置处的原始代码进行比对;
当比对结果为不一致时,确定相应位置为系统内核中植入病毒代码的位置。
优选地,替换单元还用于:
当确定系统内核中植入病毒代码时,将服务函数导入导出表替换成原始服务函数导入导出表。
优选地,替换单元将病毒代码替换成防御代码,具体包括:
提取系统内核代码中的代码片段;
对所述代码片段进行拼接处理,获得所述防御代码;
将病毒代码替换为防御代码。
优选地,防御代码具体为钩子函数地址对应的代码;以及
替换单元提取系统内核代码中的代码片段,对代码片段进行拼接处理,获得防御代码,具体包括:
从系统内核代码中提取可组成钩子函数地址的各个代码片段;
对各个代码片段进行拼接处理,获得钩子函数地址对应的代码,并保存于防御代码应用配置文件中。
优选地,该装置还包括修复单元,修复单元具体用于:
当执行所述防御代码时开启对所述系统内核进行漏洞扫描,以确定所述系统内核中存在的漏洞;
对所述漏洞进行修复。
优选地,该装置还包括:
监控单元、获取单元和执行单元,其中:
监控单元,用于对系统内核中目标程序的行为事件进行监控;
获取单元,用于当监控到异常事件发生时,获取异常事件对应的处理策略;
执行单元,用于执行处理策略以防御病毒的攻击;以及
异常事件具体为系统内核中植入病毒代码;
处理策略具体为将病毒代码替换成防御代码,和/或进行异常提醒。
优选地,该装置还包括:
提取单元、查询单元和第二确定单元,其中:
提取单元,用于提取系统内核中目标程序对应的目标代码中所包含的特征代码;
查询单元,用于查询预设的病毒代码库中是否包含有特征代码;
第二确定单元,用于若预设的病毒代码库中包含有特征代码,确定系统内核中植入了病毒代码。
优选地,该装置还包括插入单元,插入单元具体用于:
在确定系统内核中植入病毒代码的位置之后,在位置中插入病毒破坏代码,以使得当执行插入病毒破坏代码的病毒代码时,与病毒代码对应的病毒程序无法运行。
优选地,装置还包括通知单元,通知单元具体用于:
当确定系统内核中植入病毒代码时,通知驱动防火墙开启防御病毒攻击的功能。
本发明实施例根据提供了一种服务器,包括存储器和处理器,存储器用于存储包括程序指令的信息,处理器用于控制程序指令的执行,其特征在于,程序被处理器执行时实现如权利要求上述任一所述方法的步骤。
应用本发明实施例提供的防御病毒攻击的方法所获得的有益效果为:
根据系统内核中注入病毒代码的位置,将该病毒代码替换成防御代码,使得当执行该防御代码时,与该病毒代码对应的病毒程序无法运行,并且当执行该防御代码时进行异常提醒,即本发明实施例中将病毒代码进行替换,阻止了该病毒代码被执行时对系统内核的攻击,提高了系统内核的安全性;由于将病毒代码替换成防御代码,使得执行该防御代码时进行异常提醒,用户可以根据异常提醒及时地对受病毒攻击的目标程序进行全面地病毒查杀,进一步地提高了系统内核的安全性。
附图说明
本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1为本发明实施例提供的一种防御病毒攻击的方法的流程示意图;
图2为本发明实施例1提供的一种防御病毒攻击的方法的流程示意图;
图3为本发明实施例1提供的一种防御病毒攻击的方法的实例的流程示意图;
图4为本发明实施例2提供的一种防御病毒攻击的装置的结构示意图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能解释为对本发明的限制。
本技术领域技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是,本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解,当我们称元件被“连接”或“耦接”到另一元件时,它可以直接连接或耦接到其他元件,或者也可以存在中间元件。此外,这里使用的“连接”或“耦接”可以包括无线连接或无线耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的全部或任一单元和全部组合。
本技术领域技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语),具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语,应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非像这里一样被特定定义,否则不会用理想化或过于正式的含义来解释。
本发明实施例提供了一种防御病毒攻击的方法,用于对系统内核中的病毒进行有效地查杀,并进行异常提醒。该方法的流程示意图如图1所示,具体包括以下步骤:
S101:确定系统内核中植入病毒代码的位置;
S102:将病毒代码替换成防御代码,以使得当执行防御代码时,与病毒代码对应的病毒程序无法运行;
S103:当执行防御代码时进行异常提醒。
应用本发明实施例提供的防御病毒攻击的方法所获得的有益效果为:
根据系统内核中注入病毒代码的位置,将该病毒代码替换成防御代码,使得当执行该防御代码时,与该病毒代码对应的病毒程序无法运行,并且当执行该防御代码时进行异常提醒,即本发明实施例中将病毒代码进行替换,阻止了该病毒代码被执行时对系统内核的攻击,提高了系统内核的安全性;由于将病毒代码替换成防御代码,使得执行该防御代码时进行异常提醒,用户可以根据异常提醒及时地对受病毒攻击的目标程序进行全面地病毒查杀,进一步地提高了系统内核的安全性。
以下针对以上各个步骤的具体实现做进一步的说明。在详细说明上述各个步骤之前,需要说明的是:本发明实施例提供一种防御病毒攻击的方法,在实际应用中,具体可以是杀毒软件执行的一种防御病毒攻击的方法,通常,杀毒软件的防御病毒的功能需要在系统内核的执行驱动中实现,当对目标程序中的病毒进行查杀和拦截之后,再传递给相应的应用程序进行访问,例如,当应用程序想要访问目标程序时,系统内核中的主防驱动先将该目标程序拦截下,执行扫描查毒操作;若确定目标程序中有病毒入侵,立即进行杀毒处理,待确定目标程序安全后,再将目标程序传递给应用程序,为应用程序提供一个安全的访问环境,等等。
S101:确定系统内核中植入病毒代码的位置。
具体地,确定系统内核中植入病毒代码的位置具体可以为:确定系统内核中目标程序对应目标代码中植入病毒代码的位置,其中,确定的方法具体包括:将目标代码与原始目标代码进行比对,确定该目标代码中植入病毒代码的位置。
以对比文件系统驱动为例:内存中有一份被系统开机时加载了的、不可信的、可能被木马篡改了的ntfs.sys驱动;另外,假定磁盘上的ntfs.sys是没有被篡改的、原始的、干净的驱动文件。此时,将没有被篡改的(原始的)驱动文件的原始地址与系统开机时加载的目标驱动程序的地址进行对比,并根据对比结果判定目标驱动程序的地址是否被篡改。当确定目标驱动程序的地址没有被篡改,则结束类似杀毒扫描的工作;如果确定目标驱动程序的地址已经被篡改,则可以将获取的目标驱动程序的原始地址与系统开机时加载的目标驱动程序的地址进行对比,找出篡改点,即该篡改点为病毒代码植入的位置。
在一种实施方式中,确定该目标代码中植入病毒代码的位置的方法包括:预先确定病毒的关键信息的列表,获取目标程序的运行日志,从该运行日志中筛选出关键信息的列表中存在的关键信息,并确定该关键信息的信息类型和代码片段位置;确定该信息的位置为病毒的植入位置。
在另一种实施方式中,确定该目标代码中植入病毒代码的位置的方法包括:自动化分析系统通过指令拆解及语义分析的方式对系统内核中目标程序对应的代码进行分析;根据分析结果,确定目标程序对应的代码中植入病毒代码的位置。
具体地,自动化分析系统根据指令,对系统内核中目标程序对应的代码进行拆解,获得可能被病毒入侵的代码片段,并对该代码片段进行语义分析;根据分析结果,确定出该代码片段中植入病毒代码的位置。利用自动化分析系统确定病毒代码位置所获得的有益效果为:通过自动化分析系统对目标程序对应的代码进行拆解以及语音解析,自动匹配到目标程序中植入病毒代码的位置,提供了一种自动查找病毒代码的机制,为拦截病毒提供了便利。
在一种实施方式中,本发明实施例还包括:对系统内核中目标程序的行为事件进行监控;当监控到异常事件发生时,获取异常事件对应的处理策略;执行处理策略以防御病毒的攻击。
具体地,上述行为事件具体包括:安全行为事件和不安全行为事件(即:异常事件),在一种实施方式中,系统内核中设置有监控模块,负责监控目标程序中的行为事件,当监控到有异常事件发生时,获取该异常事件对应的处理策略。例如,该异常事件具体包括:在系统内核对应的源代码中植入病毒代码,或者是替换原代码等;针对在系统内核中植入病毒代码的异常事件,相应的处理策略为下述步骤记载的将该病毒代码替换成防御代码,和/或进行异常提醒,或者是直接将病毒代码删除,等等。
在一种优选地实施方式中,目标程序中发生的行为事件可以设置不同的安全等级,相应地,对于不同等级的行为事件设置有不同的处理策略。例如,将异常事件分为高级、中级和低级三个等级。例如,在一种应用场景中,假如目标程序为待安装的应用软件,在安装前,该应用软件被主防驱动拦截,通过扫描确定该应用软件中有异常事件发生,且确定该异常事件的等级为高级,对应的处理策略可以为禁止安装该应用软件。
一种实施方式中,客户端上对目标程序进行安全监测,当监测到目标程序中有异常事件发生时,客户端向云端服务器获取该异常事件对应的安全等级,云端服务器中存储有各预设异常事件对应的安全等级。具体地,客户端将目标程序相关的匹配信息发送至云端服务器,云端服务器通过云规则进行动态匹配,从而确定出目标程序中发生的异常事件对应的安全等级。目标程序相关的匹配信息具体包括:文件名、路径、大小、FileDNA、IconDNA、MD5、ip等所有目标程序运行环境的相关的特征。
具体地,云端服务器在接收到客户端发送的目标程序相关的匹配信息后,分析待匹配目标程序需检查的程序文件信息:文件名称信息、文件大小信息(hi.DSI)、文件特征值信息、文件图标信息、产品名称信息(hi.GEN)、内部名称信息(hi.ITN)、原始文件名信息(hi.ORN),以及进程的命令行信息(hi.CLE)、进程路径信息(hi.DST)和父进程路径信息(hi.SRC)等。其中的文件特征值信息,例如可以包括文件的下载统一资源定位符(URL)、文件类型、文件DNA、下载工具、存储位置和下载时间中的任意一项或多项。
本发明实施例中确定系统内核是否被病毒入侵的方法,包括上述内容记载的将目标代码与原始目标代码进行比对,若发现不一致,确定系统内核已被病毒入侵。
本发明实施例还提供一种优选的确定系统内核是否被病毒入侵的方法:提取系统内核中目标程序对应目标代码中所包含的特征代码;查询预设的病毒代码库中是否包含有特征代码;若有,确定系统内核中植入了病毒代码。
本发明实施例还提供另一种优选的确定系统内核是否被病毒入侵的方法,该方法具体包括:主防驱动在将目标程序拦截后,将该目标程序导入沙箱运行;获取该目标程序的程序运行日志,扫描该运行日志,若有预设的异常事件发生时,确定该目标程序中有病毒入侵。由于沙箱里的资源被虚拟化,因此如果目标程序中存在病毒,可以将该病毒的恶意行为限制在沙箱中,从而避免了该病毒可能破坏其他程序的运行。
本发明实施例还包括:当确定系统内核中植入病毒代码时,通知驱动防火墙开启防御病毒攻击的功能。
S102:将病毒代码替换成防御代码,以使得当执行防御代码时,与病毒代码对应的病毒程序无法运行。
在确定该目标代码中植入病毒代码的位置后,将该病毒代码进行替换成防御代码,以使得当执行该防御代码时,与该病毒代码对应的病毒程序无法被运行,即阻止了该病毒程序对系统的攻击。
在一种实施方式中,通过在操作系统的应用层(RING3层)和/或驱动层(RING0层)部署钩子(HOOK),这里HOOK函数的地址对应的代码可以理解为本发明实施例中的“防御代码”,即将系统内核中的病毒代码替换成HOOK函数的地址对应的代码,通过执行HOOK函数地址对应的代码实现对病毒进行拦截和查杀。
另外,还可以直接利用操作系统自带的底层驱动(如文件过滤驱动)即可实现下述步骤中的病毒拦截操作。例如,使用RING0层的底层驱动来监控对注册表的读写,在写入启动项时进行判断;或如,使用RING3层的应用程序接口(API)来拦截程序发起的程序行为和/或发起该行为的程序等,所拦截的操作的位置(系统的关键位置)可以包括:注册表、系统目录、进程注入、网络访问等等。
本发明实施例一种将病毒代码替换成防御代码的方法,具体包括:提取系统内核的代码片段,对该代码片段进行拼接处理,获得防御代码,用防御代码替换系统内核中的病毒代码。
例如,HOOK函数地址对应的代码可从防御代码应用配置文件中获得,即该防御代码应用配置文件中包含有对应每一个防御代码片段信息。具体地,可以从系统内核代码中提取可组成钩子函数地址的各个代码片段;对各个代码片段进行拼接处理,获得钩子函数地址对应的代码,并保存于防御代码应用配置文件中。
在实际应用中,包含在防御代码应用配置文件中的每一个防御代码信息都是程序人员发现系统漏洞后,专门针对该漏洞所编写的信息。因此,用于对目标程序进行病毒拦截的函数地址对应的代码(防御代码)可通过查询相应的防御代码应用配置文件中获得。当然,函数地址也可存储在除所述防御代码应用配置文件以外的其他文件中,本发明实施例不作具体限制。
应用该方法获得的有益效果是:
直接利用内核系统中代码片段编写防御代码,减少编写防御代码的难度,提高防御代码在内核系统被成功执行的几率。因为在内核系统中添加的功能代码(例如,防御代码),如果想要被成功执行,通常需要该功能代码在编写时沿用该内核系统中的编码规则,而本发明实施直接利用内核系统中的代码片段,具体可直接将这些代码片段进行拼接获得防御代码,减小了编写防御代码的难度,同时,降低了防御代码的错误率,进而提高了防御代码被成功执行的几率。
本发明实施例中确定HOOK函数地址的方法,除了上述可从应用配置文件中获得以外,还可以通过其他方式获取,例如,在Windows XP系统中,可进行栈回溯,找到ntdll!LdrpCallInitRoutine的地址,找到的所述ntdll!LdrpCallInitRoutine的地址即可作为HOOK函数的地址。
在实际应用中,系统中各个CPU协同工作,当有病毒工具将病毒程序植入系统内核时,各个CPU就发现有异常事件发生,进而产生LP机制,使得至少一个CPU提取系统内核的代码片段,根据该代码片段编写防御代码,并用防御代码替换系统内核中的病毒代码。
本发明实施例提供一种优选的实施方式,具体为:根据虚拟化技术,对系统执行虚拟化操作,生成虚拟机监视器,该虚拟监视器时刻监视系统中的异常事件,正如上述内容记载,当有病毒程序植入内核时,该虚拟检测器检测到该异常情况,并根据检测结果通知至少一个CPU进行相应处理,针对本发明实施例,具体处理方法为根据监测结果执行上述编写防御代码的操作,以及用防御代码替换病毒代码的操作。
防御病毒攻击的方法除了上述将病毒代码替换成防御代码以外,还可直接将该病毒代码删除;对于一些无法删除或较难删除的病毒代码,还可以在确定系统内核中植入病毒代码的位置之后,在该位置中插入病毒破坏代码,以使得当执行插入病毒破坏代码的病毒代码时,与该病毒代码对应的病毒程序无法运行,等等。
S103:当执行防御代码时进行异常提醒。
通过上述S102将病毒代码替换成防御代码后,这样在当前系统进程的程序代码执行过程中,就可以在运行到跳转指令时,通过跳转指令跳转至防御代码,以执行相应防御代码,实现病毒的拦截和查杀。
在本发明实施例中,将病毒代码替换成防御代码,不仅阻止了该病毒代码对应病毒程序的攻击,而且当执行该防御代码时进行异常提醒;用户可以根据异常提醒及时地对受病毒攻击的目标程序进行全面地病毒查杀。由于计算机病毒通常具有传播性和繁殖性,例如,在实际应用中,在查杀当前位置的病毒代码的过程中,该病毒可能已经传播到其他位置,因此有必要再次对该目标程序进行全面地扫描,尽可能对目标程序中的所有的病毒代码进行查杀,进一步地提高了系统内核的安全性。
具体地,当执行该防御代码时,将异常提醒信息在客户端显示,比如,提醒用户系统中某应用程序有病毒,用户可以根据提醒卸载该应用程序,或者对该应用程序进行全面扫描,并根据扫描结果进行全面杀毒处理。
一种优选的实施方式中,上述异常提醒除了提醒用户目标程序存在病毒以外,还可以告知用户该目标程序的源信息;目标程序的源信息用于指示该目标程序的最初来源,则上述报警信息中携带该目标程序的源信息,使得相应的客户端的用户在接收到报警信息后,不仅能够获知一个目标程序存在病毒,也能够获知该目标程序的来源信息,以对该目标程序中的病毒有更深入的了解。
另外,上述报警信息中还可以携带具体由多少客户端对该病毒程序进行拦截和查杀,引起用户对该病毒的关注度。
在实际应用中,很多病毒工具都是利用漏洞入侵到系统内核中,因此,本发明实施例提供的一种优选的实施方式,在确定出系统内核中被植入病毒代码时,还要对该系统内核进行漏洞扫描,检测该系统内核是否存在漏洞;当确定该系统内核中确实存在漏洞时,对该漏洞进行修复,避免了病毒工具再次利用该漏洞进行入侵。
本发明实施例提供一种优选的漏洞检测方式,具体包括:当执行防御代码时开启对系统内核进行漏洞扫描,以确定系统内核中存在的漏洞,并对漏洞进行修复。即本发明实施例中用于替换病毒代码的防御代码不仅用于拦截病毒和异常提醒,而且还用于漏洞检测和修复漏洞。
本发明实施例中,在将病毒代码替换成防御代码,不仅实现了对病毒的拦截和查杀,而且实现了漏洞检测和漏洞修复。本发明实施例提供的防御病毒攻击的方法从修补漏洞和拦截病毒两方面对系统内核进行全面地保护,提高了系统内核的安全性。
实施例1
基于本发明的发明构思,本发明实施例提供一种防御病毒攻击的方法,同样用于对系统内核中的病毒进行有效地查杀,并进行异常提醒。
该方法实施例的具体应用场景为:微软公司在系统内核里设计的一张服务函数导入导出表(SSDT,System Service Dispatch Table),该服务函数导入导出表的例程涵盖了:文件操作、注册表操作、进程操作、线程操作、内存操作、对象操作等功能。该服务函数导入导出表中存储有各种功能函数,用来在实现各种功能时进行函数调用,通常该函数导数表除了有功能函数以外,还会设置有一个或多个空服务函数,用于后续功能的扩充。有些病毒工具就会利用泄露代码修改服务函数导入导出表中的内容,具体是将服务函数导入导出表中的空服务函数替换为病毒代码,例如,shellcode(填充数据);当该病毒代码被执行时,病毒工具就可以实施损坏系统的行为,或是窃取用户的私人信息,给用户的人身财产安全带来隐患,等等。
本发明实施例主要通过主动防御软件(或杀毒软件)通过对操作系统的Patch操作,对于本发明实施例,该Patch操作为替换服务函数导入导出表中的处理例程,可以达到截获病毒的目的,具体为下述S302中将病毒代码替换成防御代码,执行该防御代码,实现对病毒的拦截。
进一步地,由于功能函数的调用过程是区分进程的,因此进程的行为可以通过SSDT劫持(SSDT Hooking)来获取。
下面对本发明实施例进行详细说明,该方法的流程示意图如图2所示,具体包括以下步骤:
S201:通过病毒防御引擎扫描系统内核中的服务函数导入导出表中空服务函数的位置,以确定系统内核中植入病毒代码的位置。
具体地,首先通过病毒防御引擎扫描系统内核中服务函数导入导出表中空服务函数的位置,并提取各个空服务函数位置处的目标代码;将各个位置出的目标代码与预存的原始服务函数导入导出表中相应位置处的原始代码进行比对;当对比结果为不一致时,说明该服务函数导入导出表已被篡改(即已被病毒入侵),并且通过对比可以确定相应位置为系统内核中植入病毒代码的位置。
本发明实施例还包括:系统内核中的监控模块,对系统内核中的服务函数导入导出表的行为事件进行监控,当确定有异常事件时,获取该异常事件对应的处理策略。针对本申请实施例,该异常事件具体为服务函数导入导出表中的空服务函数被替换。
S202:将病毒代码替换成防御代码,以使得当执行防御代码时,与病毒代码对应的病毒程序无法运行。
在一种实施方式中,当系统内核中的监控模块监控到服务函数导入导出表中的空服务函数被替换时,获取该异常事件对应的处理策略。针对本申请实施例,该处理策略具体为将病毒代码替换成防御代码,以及进行异常提醒等。
根据处理策略,确定出植入病毒代码的位置,将病毒代码换成防御代码,具体地,因为各个CPU协同工作,当病毒工具将病毒代码将空服务函数替换后,各个CPU就会立即知道系统内核中发生的异常事件,进而产生LP机制,使得至少一个CPU执行编写防御代码的操作。例如,在一种实施方式中,通过前述内容记载的虚拟机监视器监测到该异常事件,这时,至少一个CPU就会提取系统内核中的代码片段,对所述代码片段进行拼接处理,获得防御代码,并将服务函数导入导出表中的病毒代码替换为该防御代码;当执行该防御代码时,与病毒代码对应的病毒程序无法运行,即对系统内核中的病毒程序实现了有效地拦截和查杀。
在前述总的发明实施例中已经记载:该防御代码可以具体为钩子(HOOK)函数地址对应的代码;该HOOK函数地址对应的代码可以从防御代码应用配置文件中获取。
具体地,从系统内核代码中提取可组成钩子函数地址的各个代码片段;对各个代码片段进行拼接处理,获得钩子函数地址对应的代码,并保存于防御代码应用配置文件中。
针对本发明实施例的应用场景,在确定出系统内核中植入病毒代码的位置后,除了将病毒代码替换成防御代码以外,还可以直接将病毒代码进行删除。
在一种优选的实施方式中,当确定系统内核的服务函数导入导出表中植入病毒代码时,直接将该服务函数导入导出表替换成原始服务函数导入导出表,即对该服务函数导入导出表进行了修复处理。因为该服务函数导入导出表中没有了病毒代码,所以病毒工具无法对系统造成损害,且病毒工具也无法再修改服务函数导入导出表,有效地实现了对病毒的拦截和查杀。
对于本申请实施例,因为病毒入侵系统内核的方式为将病毒代码放在服务函数导入导出表中的空服务函数的位置,优选地,在系统内核进行扫描杀毒时,优先扫描服务函数导入导出表中的空服务函数的位置;并将该位置处的目标代码与预存的原始服务函数导入导出表中相应位置处的原始代码进行比对,迅速地确定出空服务函数是否已经被病毒代码替换,进而可以迅速地对病毒进行查杀。
S203:当执行防御代码时进行异常提醒。
在步骤中,当执行防御代码时进行异常提醒,具体地,可以在客户端显示异常提醒信息,用于提醒用户当前扫描的应用程序或文件存在病毒。
在实际应用中,即使最初病毒工具只在服务函数导入导出表中空服务函数的位置植入了病毒程序,但由于计算机病毒通常具有较快的传播和繁殖能力,因此很有可能在对服务函数导入导出表进行病毒查杀的过程中,病毒已在其他位置上衍生繁殖;这样,即使将空服务函数位置处的病毒代码删除或替换,也并没有将病毒完全清除。
因此,本发明实施例提供的一种优选的实施方式,在客户端提醒用户当前扫描的应用程序或文件存在病毒之后,再提供全面地系统病毒查杀功能。优选地,可以优先对之前确定被病毒入侵的目标程序进行扫描,确定该目标程序是否安全。
本发明实施例提供的一种优选的实施方式,本发明实施还包括:当确定服务函数导入导出表中植入病毒代码时,对整个系统内核进行漏洞扫描,以确定系统内核中存在的漏洞;并对漏洞进行修复。
一种优选的实施漏洞修复的方式中,上述用于替换系统内核中病毒代码的防御代码,除了具有拦截病毒和异常提醒的功能以外,而且还具有漏洞检测和修复漏洞的功能。具体地,当执行该防御代码时开启对系统内核进行漏洞扫描,以确定系统内核中存在的漏洞,并对该漏洞进行修复。
上述S201~S203可以理解为通过执行Patch操作先劫持服务函数导入导出表中的处理例程,并替换服务函数导入导出表中的处理例程(即将病毒代码替换成防御代码),从而实现防御病毒攻击的目标。其中,对功能函数调用进行拦截除了采用SSDT劫持的方法之外,微软官方文档中还推荐使用回调(Callback)的方法来实现行为监控。回调机制是微软操作系统内核集成的事件通知解决方案,在某些事件发生时(如进程创建时、线程创建时、模块加载时),系统会主动通知回调的注册者,也可以获取进程的系统调用行为。
应用该实施方式所获得的有益效果为:
在实际应用中,很多病毒工具都是利用漏洞入侵到系统内核中,因此,在该实施方式中,在确定出系统内核中被植入病毒代码时,还要对该系统内核进行漏洞扫描,检测该系统内核是否存在漏洞,当确定该系统内核中确实存在漏洞时,对该漏洞进行修复,避免了病毒工具再次利用该漏洞进行入侵。
需要说明的是:本发明实施例只是重点详细地记载了部分关键步骤,其他步骤均与前述总发明实施例中步骤一致,为避免重复,这里不再赘述。
为了清楚地理解本发明实施例提供的防御病毒攻击的方法,下面通过一个完整的实例来说明本发明实施例。该实例的应用场景为:用户在客户端上安装目标应用,在安装之前,需要通过杀毒软件来对该应用软件进行安全检测。该实例的流程示意图如图3所示,具体包括以下步骤:
S301:开启客户端上的杀毒软件;
S302:当用户下载目标应用的安装包并触发安装该目标应用的功能时,系统内核中的主防驱动截获该目标应用;
S303:主防驱动将截获的目标应用导入沙箱中运行,获取该目标应用的运行日志;
S304:扫描该运行日志,在扫描的过程中,系统内核中的监控模块监测是否存在预设的异常事件,若存在,说明该目标应用中有病毒入侵,并执行S305;若不存在,则执行S307;
S305:确定该异常事件对应的处理策略,并根据该处理策略将服务函数导入导出表中空服务函数位置处的代码,与预存的原始服务函数导入导出表中相应位置处的原始代码比对,确定目标应用对应的代码中植入病毒代码的位置;
S306:将空服务函数位置处的病毒代码替换成防御代码,执行该防御代码向客户端进行异常提醒,并开启漏洞检测功能,若确定存在漏洞时,修复漏洞;
S307:当确定该目标应用安全后,允许客户端安装该目标应用。
应用本发明实施例提供的防御病毒攻击的方法所获得的有益效果为:
通过病毒防御引擎扫描出服务函数导入导出表中空服务函数的位置,有针对性地确定出病毒代码的位置,并将该病毒代码替换成防御代码,使得当执行该防御代码时,与该病毒代码对应的病毒程序无法运行,且防止病毒再次对服务函数导入导出表进行修改;另外,当执行该防御代码时进行异常提醒,即本发明实施例中将病毒代码进行替换,阻止了该病毒代码被执行时对系统内核的攻击,提高了系统内核的安全性;由于将病毒代码替换成防御代码,使得执行该防御代码时进行异常提醒,用户可以根据异常提醒及时地对受病毒攻击的目标程序进行全面地病毒查杀,进一步地提高了系统内核的安全性。
另外,在上述的实施方式中,通过对该系统内核进行漏洞扫描,确定出该病毒所利用的漏洞,并对该漏洞进行修复。本发明实施例提供防御病毒攻击的方法从修补漏洞和拦截病毒两方面对系统内核进行全面地保护,提高了系统内核的安全性。
实施例2
基于本发明的发明构思,本发明实施例提供一种防御病毒攻击的装置,同样用于对系统内核中的病毒进行有效地查杀,并进行异常提醒。该装置的结构示意图如图4所示,具体包括以下单元:
第一确定单元401、替换单元402和提醒单元403,其中:
第一确定单元401,用于确定系统内核中植入病毒代码的位置;
替换单元402,用于将病毒代码替换成防御代码,以使得当执行防御代码时,与病毒代码对应的病毒程序无法运行;
提醒单元403,用于当执行防御代码时进行异常提醒。
本装置实施例的具体工作流程是:首先,第一确定单元401确定系统内核中植入病毒代码的位置,其次,替换单元402将病毒代码替换成防御代码,以使得当执行防御代码时,与病毒代码对应的病毒程序无法运行,另外,当执行防御代码时提醒单元403进行异常提醒。
应用本发明实施例提供的防御病毒攻击的装置所获得的有益效果为:
根据系统内核中注入病毒代码的位置,将该病毒代码替换成防御代码,使得当执行该防御代码时,与该病毒代码对应的病毒程序无法运行,并且当执行该防御代码时进行异常提醒,即本发明实施例中将病毒代码进行替换,阻止了该病毒代码被执行时对系统内核的攻击,提高了系统内核的安全性;由于将病毒代码替换成防御代码,使得执行该防御代码时进行异常提醒,用户可以根据异常提醒及时地对受病毒攻击的目标程序进行全面地病毒查杀,进一步地提高了系统内核的安全性。
本装置实施例实现防御病毒攻击的方式有很多种,例如,在第一种实施方式中,第一确定单元401确定系统内核中植入病毒代码的位置,具体包括:
通过指令拆解及语义分析的方式对所述系统内核中目标程序对应的代码进行分析;
根据分析结果,确定所述目标程序对应的代码中植入病毒代码的位置。在第二种实施方式中,确定单元401确定系统内核中植入病毒代码的位置,具体包括:
通过病毒防御引擎扫描系统内核中的服务函数导入导出表中空服务函数的位置,并提取各个位置处的目标代码;
将各个位置处的目标代码与预存的原始服务函数导入导出表中相应位置处的原始代码进行比对;
当比对结果为不一致时,确定相应位置为系统内核中植入病毒代码的位置。
该实施方式针对的应用场景与实施例1的应用场景相同,对此就不再赘述。
在第三种实施方式中,替换单元402还用于:
当确定系统内核中植入病毒代码时,将服务函数导入导出表替换成原始服务函数导入导出表。
在第四种实施方式中,替换单元402将病毒代码替换成防御代码,具体包括:
提取系统内核代码中的代码片段;
对代码片段进行拼接处理,获得防御代码;
将病毒代码替换为防御代码。
在第五种实施方式中,防御代码具体为钩子函数地址对应的代码;以及
替换单元402提取系统内核代码中的代码片段,对代码片段进行拼接处理,获得防御代码,具体包括:
从系统内核代码中提取可组成钩子函数地址的各个代码片段;
对各个代码片段进行拼接处理,获得钩子函数地址对应的代码,并保存于防御代码应用配置文件中。
在第六种实施方式中,该装置还包括修复单元,修复单元具体用于:
当执行防御代码时开启对系统内核进行漏洞扫描,以确定系统内核中存在的漏洞;
对漏洞进行修复。
应用该实施方式所获得的有益效果为:
在实际应用中,很多病毒工具都是利用漏洞入侵到系统内核中,因此,在该实施方式中,在确定出系统内核中被植入病毒代码时,还要对该系统内核进行漏洞扫描,检测该系统内核是否存在漏洞,当确定该系统内核中确实存在漏洞时,对该漏洞进行修复,避免了病毒工具再次利用该漏洞进行入侵。
在第七种实施方式中,该装置还包括:
监控单元、获取单元和执行单元,其中:
监控单元,用于对系统内核中目标程序的行为事件进行监控;
获取单元,用于当监控到异常事件发生时,获取异常事件对应的处理策略;
执行单元,用于执行处理策略以防御病毒的攻击;以及
异常事件具体为系统内核中植入病毒代码;
处理策略具体为将病毒代码替换成防御代码,和/或进行异常提醒。
在第八种实施方式中,该装置还包括:
提取单元、查询单元和第二确定单元,其中:
提取单元,用于提取系统内核中目标程序对应的目标代码中所包含的特征代码;
查询单元,用于查询预设的病毒代码库中是否包含有特征代码;
第二确定单元,用于若预设的病毒代码库中包含有特征代码,确定系统内核中植入了病毒代码。
在第九种实施方式中,该装置还包括插入单元,插入单元具体用于:
在确定系统内核中植入病毒代码的位置之后,在位置中插入病毒破坏代码,以使得当执行插入病毒破坏代码的病毒代码时,与病毒代码对应的病毒程序无法运行。
在第十种实施方式中,该装置还包括通知单元,通知单元具体用于:
当确定系统内核中植入病毒代码时,通知驱动防火墙开启防御病毒攻击的功能。
基于本发明的发明构思,本发明实施例提供一种服务器,同样用于对系统内核中的病毒进行有效地查杀,并进行异常提醒,该服务器包括存储器和处理器,存储器用于存储包括程序指令的信息,处理器用于控制程序指令的执行,其特征在于,程序被处理器执行时实现上述本发明方法实施例中任一方法的步骤。
应用本服务器实施例所获得的有益效果,与应用前述方法实施例或装置实施例所获得的有益效果相同或类似,这里不再赘述。
本技术领域技术人员可以理解,本发明包括涉及用于执行本申请中所述操作中的一项或多项的设备。这些设备可以为所需的目的而专门设计和制造,或者也可以包括通用计算机中的已知设备。这些设备具有存储在其内的计算机程序,这些计算机程序选择性地激活或重构。这样的计算机程序可以被存储在设备(例如,计算机)可读介质中或者存储在适于存储电子指令并分别耦联到总线的任何类型的介质中,所述计算机可读介质包括但不限于任何类型的盘(包括软盘、硬盘、光盘、CD-ROM、和磁光盘)、ROM(Read-Only Memory,只读存储器)、RAM(Random Access Memory,随即存储器)、EPROM(Erasable ProgrammableRead-Only Memory,可擦写可编程只读存储器)、EEPROM(Electrically ErasableProgrammable Read-Only Memory,电可擦可编程只读存储器)、闪存、磁性卡片或光线卡片。也就是,可读介质包括由设备(例如,计算机)以能够读的形式存储或传输信息的任何介质。
本技术领域技术人员可以理解,可以用计算机程序指令来实现这些结构图和/或框图和/或流图中的每个框以及这些结构图和/或框图和/或流图中的框的组合。本技术领域技术人员可以理解,可以将这些计算机程序指令提供给通用计算机、专业计算机或其他可编程数据处理方法的处理器来实现,从而通过计算机或其他可编程数据处理方法的处理器来执行本发明公开的结构图和/或框图和/或流图的框或多个框中指定的方案。
本技术领域技术人员可以理解,本发明中已经讨论过的各种操作、方法、流程中的步骤、措施、方案可以被交替、更改、组合或删除。进一步地,具有本发明中已经讨论过的各种操作、方法、流程中的其他步骤、措施、方案也可以被交替、更改、重排、分解、组合或删除。进一步地,现有技术中的具有与本发明中公开的各种操作、方法、流程中的步骤、措施、方案也可以被交替、更改、重排、分解、组合或删除。
以上所述仅是本发明的部分实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种防御病毒攻击的方法,其特征在于,包括:
确定系统内核中植入病毒代码的位置;
将所述病毒代码替换成防御代码,以使得当执行所述防御代码时,与所述病毒代码对应的病毒程序无法运行;
当执行所述防御代码时进行异常提醒。
2.根据要求1所述的方法,其特征在于,所述确定系统内核中植入病毒代码的位置的步骤,具体包括:
自动化分析系统通过指令拆解及语义分析的方式对所述系统内核中目标程序对应的代码进行分析;
根据分析结果,确定所述目标程序对应的代码中植入病毒代码的位置。
3.根据权利要求1所述的方法,其特征在于,所述确定系统内核中植入病毒代码的位置的步骤,包括:
通过病毒防御引擎扫描系统内核中的服务函数导入导出表中空服务函数的位置,并提取各个位置处的目标代码;
将各个位置处的目标代码与预存的原始服务函数导入导出表中相应位置处的原始代码进行比对;
当比对结果为不一致时,确定相应位置为系统内核中植入病毒代码的位置。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
当确定所述系统内核中植入病毒代码时,将所述服务函数导入导出表替换成原始服务函数导入导出表。
5.根据权利要求1或3所述的方法,其特征在于,所述将所述病毒代码替换成防御代码的步骤,具体包括:
提取所述系统内核代码中的代码片段;
对所述代码片段进行拼接处理,获得所述防御代码;
将所述病毒代码替换为所述防御代码。
6.根据权利要求5所述的方法,其特征在于,所述防御代码具体为钩子函数地址对应的代码;以及
所述提取所述系统内核代码中的代码片段,对所述代码片段进行拼接处理,获得所述防御代码的步骤,具体包括:
从所述系统内核代码中提取可组成钩子函数地址的各个代码片段;
对所述各个代码片段进行拼接处理,获得钩子函数地址对应的代码,并保存于防御代码应用配置文件中。
7.根据权利要求1或3所述的方法,其特征在于,所述方法还包括:
当执行所述防御代码时开启对所述系统内核进行漏洞扫描,以确定所述系统内核中存在的漏洞;
对所述漏洞进行修复。
8.根据权利要求1所述的方法,其特征在于,所述方法还包括:
对所述系统内核中目标程序的行为事件进行监控;
当监控到异常事件发生时,获取所述异常事件对应的处理策略;
执行所述处理策略以防御病毒的攻击;以及
所述异常事件具体为所述系统内核中植入病毒代码;
所述处理策略具体为所述将所述病毒代码替换成防御代码,和/或进行异常提醒。
9.一种防御病毒攻击的装置,其特征在于,包括:
第一确定单元、替换单元和提醒单元,其中:
所述第一确定单元,用于确定系统内核中植入病毒代码的位置;
所述替换单元,用于将所述病毒代码替换成防御代码,以使得当执行所述防御代码时,与所述病毒代码对应的病毒程序无法运行;
所述提醒单元,用于当执行所述防御代码时进行异常提醒。
10.一种服务器,其特征在于,包括存储器和处理器,所述存储器用于存储包括程序指令的信息,所述处理器用于控制程序指令的执行,其特征在于,程序被所述处理器执行时实现如权利要求1-8任一所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710527566.3A CN107330328B (zh) | 2017-06-30 | 2017-06-30 | 防御病毒攻击的方法、装置及服务器 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710527566.3A CN107330328B (zh) | 2017-06-30 | 2017-06-30 | 防御病毒攻击的方法、装置及服务器 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107330328A true CN107330328A (zh) | 2017-11-07 |
CN107330328B CN107330328B (zh) | 2021-02-05 |
Family
ID=60198657
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710527566.3A Active CN107330328B (zh) | 2017-06-30 | 2017-06-30 | 防御病毒攻击的方法、装置及服务器 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107330328B (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109284604A (zh) * | 2018-09-10 | 2019-01-29 | 中国联合网络通信集团有限公司 | 一种基于虚拟机的软件行为分析方法和系统 |
CN111079135A (zh) * | 2019-11-27 | 2020-04-28 | 浪潮商用机器有限公司 | 一种内核访问方法、装置和介质 |
CN111967004A (zh) * | 2020-07-31 | 2020-11-20 | 深圳比特微电子科技有限公司 | 数字货币矿机的病毒扫描方法、装置和数字货币矿机 |
CN112580036A (zh) * | 2019-09-30 | 2021-03-30 | 奇安信安全技术(珠海)有限公司 | 病毒防御的优化方法及装置、存储介质、计算机设备 |
CN114154155A (zh) * | 2021-12-07 | 2022-03-08 | 北京瑞星网安技术股份有限公司 | 目标程序生成方法、勒索程序检测方法、装置、设备 |
CN115694982A (zh) * | 2022-10-30 | 2023-02-03 | 济南三泽信息安全测评有限公司 | 网络攻防虚拟仿真系统 |
CN116204892A (zh) * | 2023-05-05 | 2023-06-02 | 中国人民解放军国防科技大学 | 漏洞处理方法、装置、设备以及存储介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101599114A (zh) * | 2009-06-17 | 2009-12-09 | 北京东方微点信息技术有限责任公司 | 对病毒程序的驱动进行定位的方法及系统 |
CN104428786A (zh) * | 2012-06-29 | 2015-03-18 | 迈克菲公司 | 防止对具有多个cpu的设备的攻击 |
-
2017
- 2017-06-30 CN CN201710527566.3A patent/CN107330328B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101599114A (zh) * | 2009-06-17 | 2009-12-09 | 北京东方微点信息技术有限责任公司 | 对病毒程序的驱动进行定位的方法及系统 |
CN104428786A (zh) * | 2012-06-29 | 2015-03-18 | 迈克菲公司 | 防止对具有多个cpu的设备的攻击 |
Non-Patent Citations (3)
Title |
---|
张瑜等: "Rootkit研究综述", 《电子科技大学学报》 * |
彭飞: "基于rootkit的主动防御技术研究与实现", 《中国优秀硕士学位论文全文数据库》 * |
恽昌: "Rootkit与Anti-Rootkit软件的设计与实现", 《中国优秀硕士学位论文全文数据库》 * |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109284604A (zh) * | 2018-09-10 | 2019-01-29 | 中国联合网络通信集团有限公司 | 一种基于虚拟机的软件行为分析方法和系统 |
CN112580036A (zh) * | 2019-09-30 | 2021-03-30 | 奇安信安全技术(珠海)有限公司 | 病毒防御的优化方法及装置、存储介质、计算机设备 |
CN112580036B (zh) * | 2019-09-30 | 2024-01-30 | 奇安信安全技术(珠海)有限公司 | 病毒防御的优化方法及装置、存储介质、计算机设备 |
CN111079135A (zh) * | 2019-11-27 | 2020-04-28 | 浪潮商用机器有限公司 | 一种内核访问方法、装置和介质 |
CN111967004A (zh) * | 2020-07-31 | 2020-11-20 | 深圳比特微电子科技有限公司 | 数字货币矿机的病毒扫描方法、装置和数字货币矿机 |
CN111967004B (zh) * | 2020-07-31 | 2021-06-04 | 深圳比特微电子科技有限公司 | 数字货币矿机的病毒扫描方法、装置和数字货币矿机 |
CN114154155A (zh) * | 2021-12-07 | 2022-03-08 | 北京瑞星网安技术股份有限公司 | 目标程序生成方法、勒索程序检测方法、装置、设备 |
CN114154155B (zh) * | 2021-12-07 | 2023-11-24 | 北京瑞星网安技术股份有限公司 | 目标程序生成方法、勒索程序检测方法、装置、设备 |
CN115694982A (zh) * | 2022-10-30 | 2023-02-03 | 济南三泽信息安全测评有限公司 | 网络攻防虚拟仿真系统 |
CN115694982B (zh) * | 2022-10-30 | 2023-09-05 | 济南三泽信息安全测评有限公司 | 网络攻防虚拟仿真系统 |
CN116204892A (zh) * | 2023-05-05 | 2023-06-02 | 中国人民解放军国防科技大学 | 漏洞处理方法、装置、设备以及存储介质 |
CN116204892B (zh) * | 2023-05-05 | 2023-08-08 | 中国人民解放军国防科技大学 | 漏洞处理方法、装置、设备以及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN107330328B (zh) | 2021-02-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20220284094A1 (en) | Methods and apparatus for malware threat research | |
CN107330328A (zh) | 防御病毒攻击的方法、装置及服务器 | |
CN103620613B (zh) | 用于基于虚拟机监视器的反恶意软件安全的系统和方法 | |
US7620990B2 (en) | System and method for unpacking packed executables for malware evaluation | |
CN107851155A (zh) | 用于跨越多个软件实体跟踪恶意行为的系统及方法 | |
US20100306851A1 (en) | Method and apparatus for preventing a vulnerability of a web browser from being exploited | |
US20130246038A1 (en) | Emulator updating system and method | |
US7665139B1 (en) | Method and apparatus to detect and prevent malicious changes to tokens | |
US20070289019A1 (en) | Methodology, system and computer readable medium for detecting and managing malware threats | |
EP1760620A2 (en) | Methods and Systems for Detection of Forged Computer Files | |
CN104517054A (zh) | 一种检测恶意apk的方法、装置、客户端和服务器 | |
CN104392176A (zh) | 移动终端及其设备管理器权限的拦截方法 | |
CN104268475B (zh) | 一种运行应用程序的系统 | |
CN104268476A (zh) | 一种运行应用程序的方法 | |
CN109255235B (zh) | 基于用户态沙箱的移动应用第三方库隔离方法 | |
Hahn et al. | Robust static analysis of portable executable malware | |
US20080028462A1 (en) | System and method for loading and analyzing files | |
CN103970574B (zh) | office程序的运行方法及装置、计算机系统 | |
Bernardinetti et al. | PEzoNG: Advanced Packer For Automated Evasion On Windows | |
Gu et al. | Continuous intrusion: Characterizing the security of continuous integration services | |
US20110197253A1 (en) | Method and System of Responding to Buffer Overflow Vulnerabilities | |
US10880316B2 (en) | Method and system for determining initial execution of an attack | |
Taylor et al. | Hidden in plain sight: Filesystem view separation for data integrity and deception | |
US20080028388A1 (en) | System and method for analyzing packed files | |
Ma et al. | Active warden attack: On the (in) effectiveness of Android app repackage-proofing |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |