CN111881449B - 恶意代码辅助分析方法及装置 - Google Patents
恶意代码辅助分析方法及装置 Download PDFInfo
- Publication number
- CN111881449B CN111881449B CN202010762280.5A CN202010762280A CN111881449B CN 111881449 B CN111881449 B CN 111881449B CN 202010762280 A CN202010762280 A CN 202010762280A CN 111881449 B CN111881449 B CN 111881449B
- Authority
- CN
- China
- Prior art keywords
- script
- malicious
- code
- decrypted
- hook
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/70—Software maintenance or management
- G06F8/74—Reverse engineering; Extracting design information from source code
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种恶意代码辅助分析方法及装置,该恶意代码辅助分析方法包括:对相关脚本引擎进行逆向分析,并对分析出的命令执行处理函数进行HOOK;加载恶意脚本到脚本引擎;解密被混淆的恶意脚本;调用HOOK函数,对解密后的混淆代码进行拦截,并输出所述解密后的混淆代码;调用原始的命令执行函数执行。本发明利用HOOK技术能够实现恶意代码的快速去混淆,降低人工分析脚本型恶意代码的难度。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及一种恶意代码辅助分析方法及装置。
背景技术
恶意代码对计算机系统的安全构成了严重的威胁,需要及时分析、识别,但是新的恶意代码层出不穷,且许多恶意代码还在不停衍生出新的变种,对恶意代码分析带来了挑战。
现有的反混淆产品或者恶意代码辅助分析方法主要依赖于静态规则和固定的解密计算方法。依赖于静态规则的方法中,静态规则的提取需要依赖已知的混淆方法和方式,而混淆的方法和方式改变起来很容易,无法应对这些混淆方法的快速变化,并且静态规则的提取会受分析人员的分析经验等主观因素的影响,会导致规则的大量误报或者漏报问题。固定的解密计算方法中,脚本恶意代码作为APT组织的常用攻击方式,版本更新迭代速度会非常之高,解密计算方法需要人工分析后再进行编写,非常耗费分析人员的时间成本,并且其时效性也非常之低。
发明内容
鉴于现有技术存在的上述问题,本发明的目的在于提供一种恶意代码辅助分析方法及装置,其能够实现恶意代码的快速去混淆功能,降低人工分析脚本型恶意代码的难度。
为了实现上述目的,本发明实施例提供一种恶意代码辅助分析方法,包括:
对相关脚本引擎进行逆向分析,并对分析出的命令执行处理函数进行HOOK;
加载恶意脚本到脚本引擎;
解密被混淆的恶意脚本;
调用HOOK函数,对解密后的混淆代码进行拦截,并输出所述解密后的混淆代码;
调用原始的命令执行函数执行。
在一些实施例中,对相关脚本引擎进行逆向分析,并对分析出的命令执行处理函数进行HOOK,包括:
对相关脚本引擎进行逆向分析,分析出命令执行处理函数;
编写DLL程序并将所述命令执行处理函数进行HOOK。
在一些实施例中,在脚本引擎装载恶意代码之前,还包括:将编写的DLL程序注入到脚本引擎进程中。
在一些实施例中,输出所述解密后的混淆代码,包括:将所述解密后的混淆代码打印或者保存到本地输出。
在一些实施例中,调用HOOK函数,对解密后的混淆代码进行拦截,并输出所述解密后的混淆代码之后,还包括:
根据读取的解密后的混淆代码输出解密完成的脚本;
对所述解密完成的脚本进行特征匹配,识别病毒家族。
在一些实施例中,利用本地规则或沙箱对所述解密完成后的脚本进行特征匹配,识别所述解密完成后的脚本的病毒家族。
在一些实施例中,所述恶意脚本的混淆方法包括:重命名混淆、脚本块、字符串处理、编码、自构造关键字替换或虚拟代码插入。
本发明实施例还提供一种恶意代码辅助分析装置,包括:
分析模块,其配置为对相关脚本引擎进行逆向分析,并对分析出的命令执行处理函数进行HOOK;
加载模块,其配置为加载恶意脚本到脚本引擎;
解密模块,其配置为解密被混淆的恶意脚本;
HOOK模块,其配置为调用HOOK函数,对解密后的混淆代码进行拦截,并输出所述解密后的混淆代码;
执行模块,其配置为调用原始的命令执行函数执行。
在一些实施例中,所述分析模块包括:
逆向分析单元,其配置为对相关脚本引擎进行逆向分析,分析出命令执行处理函数;
HOOK处理单元,其配置为编写DLL程序并将所述命令执行处理函数进行HOOK。
本发明实施例还提供一种终端设备,包括存储器和处理器,所述存储器用于存储可执行程序代码;所述处理器通过读取所述存储器中存储的可执行程序代码来运行与所述可执行程序代码对应的程序,以用于执行上述的恶意代码辅助分析方法。
与现有技术相比较,本发明实施例提供的恶意代码辅助分析方法及装置通过HOOK技术,利用混淆代码本身需要进行解密的特性对混淆代码进行解密,然后在特定的命令执行函数进行数据读取,利用混淆代码本身的解密算法还原它原本加密前的代码,由于加密前的代码可读性较高,可以实现脚本型恶意代码的辅助分析,从而实现脚本型恶意代码的快速去混淆,并降低人工分析脚本型恶意代码的难度。另外,HOOK技术为动态技术,可以及时应对混淆方法的快速变化,实现快速去混淆。
附图说明
在不一定按比例绘制的附图中,相同的附图标记可以在不同的视图中描述相似的部件。具有字母后缀或不同字母后缀的相同附图标记可以表示相似部件的不同实例。附图大体上通过举例而不是限制的方式示出各种实施例,并且与说明书以及权利要求书一起用于对所发明的实施例进行说明。在适当的时候,在所有附图中使用相同的附图标记指代同一或相似的部分。这样的实施例是例证性的,而并非旨在作为本装置或方法的穷尽或排他实施例。
图1为本发明实施例的恶意代码辅助分析方法的流程图;
图2为本发明实施例的恶意代码辅助分析方法另一实施例的流程图;
图3为本发明实施例的恶意代码辅助分析方法又一实施例的流程图;
图4为本发明实施例的恶意代码辅助分析装置的结构示意图。
具体实施方式
下面,结合附图对本发明的具体实施例进行详细的描述,但不作为本发明的限定。
应理解的是,可以对此处公开的实施例做出各种修改。因此,上述说明书不应该视为限制,而仅是作为实施例的范例。本领域的技术人员将想到在本发明的范围和精神内的其他修改。
包含在说明书中并构成说明书的一部分的附图示出了本发明的实施例,并且与上面给出的对本发明的大致描述以及下面给出的对实施例的详细描述一起用于解释本发明的原理。
通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述,本发明的这些和其它特征将会变得显而易见。
还应当理解,尽管已经参照一些具体实例对本发明进行了描述,但本领域技术人员能够确定地实现本发明的很多其它等效形式,它们具有如权利要求所述的特征并因此都位于借此所限定的保护范围内。
当结合附图时,鉴于以下详细说明,本发明的上述和其他方面、特征和优势将变得更为显而易见。
此后参照附图描述本发明的具体实施例;然而,应当理解,所公开的实施例仅仅是本发明的实例,其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以避免不必要或多余的细节使得本发明模糊不清。因此,本文所公开的具体的结构性和功能性细节并非意在限定,而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本发明。
脚本型恶意代码能够在计算机系统中进行非授权操作,包括窃取数据、破坏计算机、恶意传播等行为。脚本型恶意代码是主要采用脚本语言设计的计算机病毒,现在流行的脚本病毒大都是利用PowerShell、JavaScript和VBScript脚本语言编写,具备代码混淆程度高、难以查杀等特点。例如,PowerShell灵活的语言特性使其能够轻易的被混淆处理,混淆代码通过混淆计算和数据加工隐藏起来,形成恶意代码对计算机网络进行攻击。
有鉴于此,本发明实施例提供一种恶意代码辅助分析方法对混淆的脚本型恶意代码进行去混淆。图1为本发明实施例的恶意代码辅助分析方法的流程图。如图1所示,本发明实施例提供的恶意代码辅助分析方法,包括:
步骤S1、对相关脚本引擎进行逆向分析,并对分析出的命令执行处理函数进行HOOK。
其中,相关脚本引擎为与恶意代码相关的脚本引擎,脚本引擎实时解析脚本。例如,PowerShell是一种命令行外壳程序和脚本环境,使命令行用户和脚本编写者可以编写调用Window强大功能的脚本代码。当恶意代码为PowerShell恶意脚本的恶意代码时,对PowerShell脚本引擎进行逆向分析。
脚本混淆的方法可以包括重命名混淆(例如,转义符、简写与通配符)、脚本块、字符串处理(例如字符串加密)、编码、自构造关键字替换、虚拟代码插入等,本发明实施例中,脚本混淆以脚本字符串加密为例进行说明。
具体地,如图2所示,对相关脚本引擎进行逆向分析,并对分析出的命令执行处理函数进行HOOK,包括:
步骤S11、对相关脚本引擎进行逆向分析,分析出命令执行处理函数;
步骤S12、编写DLL程序并将所述命令执行处理函数进行HOOK。
PowerShell恶意脚本的核心恶意代码需要配合IEX才能实现。IEX是指PowerShell中的Invoke-Expression命令,该命令会将传入的字符串当作代码执行。在脚本混淆中一般是将解密完成的字符串传入执行,例如:IEX“解密完成的字符串代码”;当去掉IEX执行,执行后就会显示原本的字符串。
对PowerShell脚本引擎进行逆向分析,分析出IEX命令实际处理函数“Invoke-Expression Command”,编写DLL程序并且将实际处理函数“Invoke-Expression Command”进行HOOK。
Hook技术又叫做钩子函数,被挂钩的函数在执行之前会先调用钩子函数,钩子函数先得到控制权,这时钩子函数既可以读取修改参数数据,也可以强制结束函数的调用。简单来说,就是在系统的程序执行前先执行自己的代码。由于大多数的PowerShell脚本是从命令行执行的,因此,可以安装自定义的钩子,对逆向分析出的命令执行处理函数进行Hook,以检测出可疑的PowerShell脚本。
编写的DLL程序用于执行脚本,DLL(动态链接库)是包含共享函数库的二进制文件,可以被多个应用程序同时使用。建立应用程序的可执行文件时,不必将DLL连接到应用程序中,而是在运行时动态装载DLL,装载时DLL被映射到调用进程的地址空间中。
编写DLL程序时,可以将要执行的函数封装在DLL中,同时把Hook函数也写入同一个DLL中,使得多个应用程序共享一段代码,从而可以更方便的共享数据和代码,同时,可以显著节省磁盘空间。此外,由于应用程序使用了动态链接的方式,可以在不需重新改写甚至编译应用程序的基础上更新应用程序的某些组件。
步骤S2、加载恶意脚本到脚本引擎。
将恶意脚本装载到脚本引擎,以对恶意脚本中的恶意代码进行分析。
进一步地,在将恶意脚本装载到脚本引擎之前还包括:将编写的DLL程序注入到脚本引擎进程中。编写的DLL程序可以实现跨平台的数据传输。
步骤S3、解密被混淆的恶意脚本。
利用混淆代码本身需要进行解密的特性对混淆代码进行解密,即利用“脚本无论怎样混淆,最终都会执行它原本的代码”的特性进行解密。
步骤S4、调用HOOK函数,对解密后的混淆代码进行拦截,并输出解密后的混淆代码。
其中,解密后的混淆代码为恶意代码加密前的混淆代码。本实施例中,使用字符串加密的方式对脚本字符串进行代码混淆(将清晰可读的脚本字符串加密),相应的,解密后的混淆代码为解密的脚本字符串,具体地,通过HOOK函数将解密后的参数字符串拦截,并将该参数字符串读取后输出,例如,可以将传入的字符串打印或者保存到本地输出,从而获取加密前的混淆代码。
在步骤S3解密被混淆的恶意脚本之后、在步骤S4调用HOOK函数之前,还包括:调用命令执行函数执行。通过调用命令执行函数可以保证HOOK函数的顺利调用。即,在每次调用HOOK函数之前,先调用命令执行函数。
步骤S5、调用原始的命令执行函数执行。
通过步骤S4调用HOOK函数进行处理后,需要保证整个运行过程的功能完整,因此,调用原始的命令执行函数执行,从而完成整个解密过程。
具体来说,通过步骤S3解密完成的脚本字符串会通过调用IEX执行,本申请中,通过步骤S4的HOOK函数先于IEX执行将传入的字符串拦截,以读取解密的脚本字符串,从而获取可读性较高的加密前的代码,输出解密结果。
在一些实施例中,当恶意代码中存在多重混淆时,单次执行无法全部解密恶意脚本中的混淆代码,重复步骤S3至步骤S5,直至恶意脚本中全部的解密字符串被拦截并读取。通过步骤S4可以调用HOOK函数将恶意脚本中所有的解密字符串打印到本地输出,以便进行恶意代码分析。
本发明实施例提供的恶意代码辅助分析方法,通过HOOK技术,利用混淆代码本身需要进行解密的特性对混淆代码进行解密,然后在特定的命令执行函数进行数据读取,利用混淆代码本身的解密算法还原它原本加密前的代码,由于加密前的代码可读性较高,可以实现脚本型恶意代码的辅助分析,从而实现脚本型恶意代码的快速去混淆,并降低人工分析脚本型恶意代码的难度。另外,HOOK技术为动态技术,可以及时应对混淆方法的快速变化,实现快速去混淆。
在一些实施例中,如图3所示,利用步骤S4,调用HOOK函数,对解密后的混淆代码进行拦截,并输出解密后的混淆代码之后,还包括:
步骤S41、根据读取的解密后的混淆代码输出解密完成后的脚本;
步骤S42、对所述解密完成后的脚本进行特征匹配,识别病毒家族。
特征匹配在恶意样本分析中主要是提取已知家族的某些字符串或者二进制数据,在后续自动化或者半自动化分析的时候能够识别出同类家族。常用的特征匹配包括Yara规则。
解密完成后的脚本可以和本地规则进行特征匹配,以识别所述解密完成后的脚本的病毒家族。
解密完成后的脚本也可以通过沙箱进行特征匹配,具体地,可以将执行上述方法的装置置于沙箱(沙箱环境)中。沙箱是一个虚拟的操作系统,内置多种动态和静态规则,协助安全分析师快速分析各类疑似的攻击和样本,包括鱼叉式钓鱼邮件附件、事件应急响应中的木马样本等。通过沙箱进行特征匹配可以提高脚本型恶意样本家族识别率。
对所述解密完成后的脚本进行特征匹配时,可以提取解密完成后的脚本的静态特征;将所述解密完成后的脚本的静态特征与静态特征库中的已知静态特征进行匹配,从而得到恶意代码的病毒家族,并输出病毒家族的名称。
对所述解密完成后的脚本进行特征匹配时也可以提取解密完成后的脚本的动态特征进行匹配,或者同时提取静态特征和动态特征,本发明不具体限定。
图4为本发明实施例的恶意代码辅助分析装置的结构示意图。如图4所示,基于同一发明构思,本发明实施例提供一种恶意代码辅助分析装置,该恶意代码辅助分析装置包括:
分析模块401,其配置为对相关脚本引擎进行逆向分析,并对分析出的命令执行处理函数进行HOOK;
加载模块402,其配置为加载恶意脚本到脚本引擎;
解密模块403,其配置为解密被混淆的恶意脚本;
HOOK模块404,其配置为调用HOOK函数,对解密后的混淆代码进行拦截,并输出所述解密后的混淆代码;
执行模块405,其配置为调用原始的命令执行函数执行。
在一些实施例中,所述分析模块包括:
逆向分析单元,其配置为对相关脚本引擎进行逆向分析,分析出命令执行处理函数;
HOOK处理单元,其配置为编写DLL程序并将所述命令执行处理函数进行HOOK。
该恶意代码辅助分析装置对应于上述实施例的恶意代码辅助分析方法,恶意代码辅助分析方法实施例中的任何可选项也适用于本实施例,这里不再详述。
本发明实施例还提供一种终端设备,包括存储器和处理器,存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,以用于执行上述的恶意代码辅助分析方法。其中,存储器例如可以包括系统存储器、固定非易失性存储介质等。系统存储器例如存储有操作系统、应用程序、引导装载程序(Boot Loader)以及其他程序等。
本发明实施例还提供一种计算机可读存储介质,该存储介质用于存储计算机程序,所述计算机程序被处理器执行时实现上述的恶意代码辅助分析方法。
以上实施例仅为本发明的示例性实施例,不用于限制本发明,本发明的保护范围由权利要求书限定。本领域技术人员可以在本发明的实质和保护范围内,对本发明做出各种修改或等同替换,这种修改或等同替换也应视为落在本发明的保护范围内。
Claims (8)
1.一种恶意代码辅助分析方法,其特征在于,包括:
对相关脚本引擎进行逆向分析,并对分析出的命令执行处理函数进行HOOK;
加载恶意脚本到脚本引擎;
解密被混淆的恶意脚本;
调用HOOK函数,对解密后的混淆代码进行拦截,并输出所述解密后的混淆代码;
调用原始的命令执行函数执行;
其中,对相关脚本引擎进行逆向分析,并对分析出的命令执行处理函数进行HOOK,包括:
对相关脚本引擎进行逆向分析,分析出命令执行处理函数;
编写DLL程序并将所述命令执行处理函数进行HOOK,其中,所述命令执行处理函数和对应的Hook函数封装于同一DLL中;
其中,在解密被混淆的恶意脚本之后、调用HOOK函数之前,所述方法还包括:调用命令执行函数执行。
2.根据权利要求1所述的恶意代码辅助分析方法,其特征在于,在脚本引擎装载恶意代码之前,还包括:将编写的DLL程序注入到脚本引擎进程中。
3.根据权利要求1所述的恶意代码辅助分析方法,其特征在于,输出所述解密后的混淆代码,包括:将所述解密后的混淆代码打印或者保存到本地输出。
4.根据权利要求1所述的恶意代码辅助分析方法,其特征在于,调用HOOK函数,对解密后的混淆代码进行拦截,并输出所述解密后的混淆代码之后,还包括:
根据读取的解密后的混淆代码输出解密完成后的脚本;
对所述解密完成后的脚本进行特征匹配,识别病毒家族。
5.根据权利要求4所述的恶意代码辅助分析方法,其特征在于,利用本地规则或沙箱对所述解密完成后的脚本进行特征匹配,识别所述解密完成后的脚本的病毒家族。
6.根据权利要求1所述的恶意代码辅助分析方法,其特征在于,所述恶意脚本的混淆方法包括:重命名混淆、脚本块、字符串处理、编码、自构造关键字替换或虚拟代码插入中的一种或多种。
7.一种恶意代码辅助分析装置,其特征在于,包括:
分析模块,其配置为对相关脚本引擎进行逆向分析,并对分析出的命令执行处理函数进行HOOK;
加载模块,其配置为加载恶意脚本到脚本引擎;
解密模块,其配置为解密被混淆的恶意脚本;
HOOK模块,其配置为调用HOOK函数,对解密后的混淆代码进行拦截,并输出所述解密后的混淆代码;
执行模块,其配置为调用原始的命令执行函数执行;其中,所述分析模块包括:
逆向分析单元,其配置为对相关脚本引擎进行逆向分析,分析出命令执行处理函数;
HOOK处理单元,其配置为编写DLL程序并将所述命令执行处理函数进行HOOK,其中,所述命令执行处理函数和对应的Hook函数封装于同一DLL中;
其中,在解密被混淆的恶意脚本之后、调用HOOK函数之前,所述执行模块还配置为调用命令执行函数执行。
8.一种终端设备,其特征在于,包括存储器和处理器,所述存储器用于存储可执行程序代码;所述处理器通过读取所述存储器中存储的可执行程序代码来运行与所述可执行程序代码对应的程序,以用于执行根据权利要求1至6中任一项所述的恶意代码辅助分析方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010762280.5A CN111881449B (zh) | 2020-07-31 | 2020-07-31 | 恶意代码辅助分析方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010762280.5A CN111881449B (zh) | 2020-07-31 | 2020-07-31 | 恶意代码辅助分析方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111881449A CN111881449A (zh) | 2020-11-03 |
| CN111881449B true CN111881449B (zh) | 2022-02-18 |
Family
ID=73204357
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010762280.5A Active CN111881449B (zh) | 2020-07-31 | 2020-07-31 | 恶意代码辅助分析方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111881449B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11921850B2 (en) * | 2021-06-23 | 2024-03-05 | Acronis International Gmbh | Iterative memory analysis for malware detection |
| CN113886774B (zh) * | 2021-12-07 | 2022-02-11 | 北京微步在线科技有限公司 | 一种反调试方法及装置 |
| CN114707150B (zh) * | 2022-03-21 | 2023-05-09 | 安芯网盾(北京)科技有限公司 | 一种恶意代码检测方法、装置、电子设备和存储介质 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10742725B2 (en) * | 2018-05-04 | 2020-08-11 | Citrix Systems, Inc. | Detection and repainting of semi-transparent overlays |
| CN108959925A (zh) * | 2018-06-22 | 2018-12-07 | 珠海市君天电子科技有限公司 | 一种恶意脚本的检测方法、装置、电子设备及存储介质 |
| CN111368303B (zh) * | 2020-03-12 | 2023-12-29 | 深信服科技股份有限公司 | 一种PowerShell恶意脚本的检测方法及装置 |
-
2020
- 2020-07-31 CN CN202010762280.5A patent/CN111881449B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN111881449A (zh) | 2020-11-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111881449B (zh) | 恶意代码辅助分析方法及装置 | |
| US10181026B2 (en) | Methods, media, and systems for detecting attack on a digital processing device | |
| Xu et al. | Controlled-channel attacks: Deterministic side channels for untrusted operating systems | |
| US7739737B2 (en) | Method and apparatus to detect malicious software | |
| Banescu et al. | A tutorial on software obfuscation | |
| US8307435B1 (en) | Software object corruption detection | |
| EP2115653B1 (en) | File conversion in restricted process | |
| EP3779745B1 (en) | Code pointer authentication for hardware flow control | |
| EP3028212B1 (en) | Irrelevant code identification | |
| US9038161B2 (en) | Exploit nonspecific host intrusion prevention/detection methods and systems and smart filters therefor | |
| Liţă et al. | Anti-emulation trends in modern packers: a survey on the evolution of anti-emulation techniques in UPA packers | |
| CN110717181B (zh) | 基于新型程序依赖图的非控制数据攻击检测方法及装置 | |
| Ruan et al. | Survey of return‐oriented programming defense mechanisms | |
| Tyagi et al. | Malware Detection in PE files using Machine Learning | |
| EP3574425B1 (en) | Method to secure a software code | |
| WO2023031679A1 (en) | Systems and methods for inhibiting exploitations in runtime environments | |
| Kim et al. | Defeating anti-debugging techniques for malware analysis using a debugger | |
| Hajarnis et al. | A comprehensive solution for obfuscation detection and removal based on comparative analysis of deobfuscation tools | |
| Alrehily et al. | Software watermarking based on return-oriented programming for computer security | |
| Mohanta et al. | Antivirus Engines | |
| Visaggio | The state of the malware: What can we defend against? | |
| Saleh | Detection and classification of obfuscated malware | |
| Schultz et al. | Towards a framework for preprocessing analysis of adversarial windows malware | |
| Hussein et al. | A proposed approach to detect and thwart previously unknown code injection attacks | |
| Chuan et al. | Design and development of a new scanning core engine for malware detection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |