CN112560018A - 样本文件检测方法、装置、终端设备以及存储介质 - Google Patents

样本文件检测方法、装置、终端设备以及存储介质 Download PDF

Info

Publication number
CN112560018A
CN112560018A CN202011557996.8A CN202011557996A CN112560018A CN 112560018 A CN112560018 A CN 112560018A CN 202011557996 A CN202011557996 A CN 202011557996A CN 112560018 A CN112560018 A CN 112560018A
Authority
CN
China
Prior art keywords
file
sample file
sample
dynamic analysis
sandbox
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202011557996.8A
Other languages
English (en)
Other versions
CN112560018B (zh
Inventor
罗曼
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Suzhou 360 Intelligent Security Technology Co Ltd
Original Assignee
Suzhou 360 Intelligent Security Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Suzhou 360 Intelligent Security Technology Co Ltd filed Critical Suzhou 360 Intelligent Security Technology Co Ltd
Priority to CN202011557996.8A priority Critical patent/CN112560018B/zh
Publication of CN112560018A publication Critical patent/CN112560018A/zh
Application granted granted Critical
Publication of CN112560018B publication Critical patent/CN112560018B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明公开一种样本文件检测方法,所述方法包括以下步骤:当样本文件在动态分析沙盒中运行时,获取所述样本文件在所述动态分析沙盒中的运行状态信息;根据所述运行状态信息,生成内存转储文件;对所述内存转储文件进行文本匹配,获得匹配结果;根据所述匹配结果,获得所述样本文件的检测结果。本发明还公开了一种样本文件检测装置、终端设备以及存储介质。由于,对内存转储文件进行文本匹配获得的匹配结果,并根据匹配结果,获得内存转储文件对应的样本文件的检测结果,不是根据样本文件运行的真实行为获得样本文件的检测结果,准确的确定样本文件中的恶意代码的病毒类型及家族属性。

Description

样本文件检测方法、装置、终端设备以及存储介质
技术领域
本发明涉及文件检测领域,特别涉及一种样本文件检测方法、装置、终端设备以及存储介质。
背景技术
随着恶意代码技术的发展,恶意代码的形态也发生了较大变化,传统的反病毒产品有时候并不能对新型的恶意代码的攻击进行防御。
相关技术中,公开了一种对样本文件的恶意代码检测方法,将样本文件投放在动态分析沙盒中运行,使用特征分析技术对样本文件的运行状态进行分析,获得分析结果,并根据所述分析结果,判断样本文件是否存在恶意代码。
由于样本文件中不同恶意代码在运行时可能存在一定共性,现有的通过对样本文件的真实行为进行分析时,难以确定样本文件中的恶意代码的病毒类型及家族属性。
发明内容
本发明的主要目的是提供一种样本文件检测方法、装置、终端设备以及存储介质,旨在解决现有技术中难以确定样本文件中的恶意代码的病毒类型及家族属性的技术问题。
为实现上述目的,本发明提出一种样本文件检测方法,所述方法包括以下步骤:
当样本文件在动态分析沙盒中运行时,获取所述样本文件在所述动态分析沙盒中的运行状态信息;
根据所述运行状态信息,生成内存转储文件;
对所述内存转储文件进行文本匹配,获得匹配结果;
根据所述匹配结果,获得所述样本文件的检测结果。
可选的,所述根据所述匹配结果,获得所述样本文件的检测结果的步骤之前,所述方法还包括:
对所述内存转储文件进行特征分析,获得内存分析日志;
根据所述匹配结果,获得所述样本文件的检测结果的步骤包括:
根据所述匹配结果和所述内存分析日志,获得所述样本文件的检测结果。
可选的,所述当样本文件在动态分析沙盒中运行时,获取所述样本文件在所述动态分析沙盒中的运行状态信息的步骤之前,所述方法还包括:
在接收到发送端发送的样本文件时,获取所述样本文件的文件类型;
将所述样本文件投放在与所述文件类型对应的选定动态分析沙盒中;
当样本文件在动态分析沙盒中运行时,获取所述样本文件在所述动态分析沙盒中的运行状态信息的步骤包括:
当样本文件在所述选定动态分析沙盒中运行时,获取所述样本文件在所述选定动态分析沙盒中的运行状态信息。
可选的,所述将所述样本文件投放在与所述文件类型对应的选定动态分析沙盒中的步骤包括:
根据所述文件类型,确定所述样本文件的运行环境;
在动态分析沙盒集群中查找与所述运行环境对应的选定动态分析沙盒;
将所述样本文件投放在所述选定动态分析沙盒中。
可选的,所述在接收到发送端发送的样本文件时,获取所述样本文件的文件类型的步骤包括:
在接收到发送端发送的样本文件时,将所述样本文件存储到存储服务器;
从所述存储服务器获取所述样本文件的文件类型;
所述将所述样本文件投放在所述选定动态分析沙盒中的步骤包括:
在获取到所述存储服务器存储的所述样本文件时,将所述样本文件投放在所述选定动态分析沙盒中。
可选的,所述对所述内存转储文件进行文本匹配,获得匹配结果的步骤包括:
利用yara规则对所述内存转储文件进行文本匹配,获得匹配结果。
可选的,所述利用yara规则对所述内存转储文件进行文本匹配,获得匹配结果的步骤之前,所述方法还包括:
获取基于yara规则的恶意文件特征码,建立yara规则库;
所述利用yara规则对所述内存转储文件进行文本匹配,获得匹配结果的步骤包括:
获取所述内存转储文件的样本特征码;
将所述样本特征码与所述yara规则库中的恶意文件特征码进行匹配,获得匹配结果。
可选的,所述对所述内存转储文件进行特征分析,获得内存分析日志的步骤包括:
利用开源内存取证工具对所述内存转储文件进行分析,获得内存分析日志。
可选的,所述利用开源内存取证工具对所述内存转储文件进行分析,获得内存分析日志的步骤包括:
在开源内存取证工具中获取与所述运行环境对应的选定插件;
利用所述选定插件对所述内存转储文件进行分析,获得内存分析日志。
可选的,所述根据所述匹配结果和所述内存分析日志,获得所述样本文件的检测结果的步骤之后,所述方法还包括:
判断所述检测结果是否满足预设条件;
若否,则对所述样本文件执行安全操作,并生成第一检测报告;
将所述第一检测报告发送至所述样本文件的发送端,以使所述样本文件的发送端根据所述第一检测报告输出第一提示信息,所述第一提示信息包括所述样本文件是威胁样本文件和所述样本文件已被执行所述安全操作。
可选的,所述判断所述检测结果是否满足预设条件的步骤之后,所述方法还包括:
若是,则生成第二检测报告,并将所述第二检测报告发送至所述样本文件的发送端,以使所述样本文件的发送端根据所述第二检测报告输出第二提示信息,所述第二提示信息包括所述样本文件不是威胁样本文件。
此外,为实现上述目的,本发明还提出了一种样本文件检测装置,所述装置包括:
获取模块,用于当样本文件在动态分析沙盒中运行时,获取所述样本文件在所述动态分析沙盒中的运行状态信息;
文件生成模块,用于根据所述运行状态信息,生成内存转储文件;
匹配模块,用于对所述内存转储文件进行文本匹配,获得匹配结果;
获得模块,用于根据所述匹配结果,获得所述样本文件的检测结果。
可选的,所述装置还包括:
特征分析模块,用于对所述内存转储文件进行特征分析,获得内存分析日志;
所述获得模块,还用于根据所述匹配结果和所述内存分析日志,获得所述样本文件的检测结果。
可选的,所述装置还包括:
接收模块,用于在接收到发送端发送的样本文件时,获取所述样本文件的文件类型;
投放模块,用于将所述样本文件投放在与所述文件类型对应的选定动态分析沙盒中;
所述获取模块,还用于当样本文件在所述选定动态分析沙盒中运行时,获取所述样本文件在所述选定动态分析沙盒中的运行状态信息。
可选的,所述投放模块,还用于根据所述文件类型,确定所述样本文件的运行环境;在动态分析沙盒集群中查找与所述运行环境对应的选定动态分析沙盒;将所述样本文件投放在所述选定动态分析沙盒中。
可选的,所述接收模块,还用于在接收到发送端发送的样本文件时,将所述样本文件存储到存储服务器;从所述存储服务器获取所述样本文件的文件类型;
所述投放模块,还用于在获取到所述存储服务器存储的所述样本文件时,将所述样本文件投放在所述选定动态分析沙盒中。
可选的,所述匹配模块,还用于利用yara规则对所述内存转储文件进行文本匹配,获得匹配结果。
可选的,所述装置还包括:
规则建立模块,用于获取基于yara规则的恶意文件特征码,建立yara规则库;
所述匹配模块,还用于获取所述内存转储文件的样本特征码;将所述样本特征码与所述yara规则库中的恶意文件特征码进行匹配,获得匹配结果。
此外,为实现上述目的,本发明还提出了一种终端设备,所述终端设备包括:存储器、处理器及存储在所述存储器上并在所述处理器上运行样本文件检测程序,所述样本文件检测程序被所述处理器执行时实现如上述任一项所述的样本文件检测方法的步骤。
此外,为实现上述目的,本发明还提出了一种存储介质,所述存储介质上存储有样本文件检测程序,所述样本文件检测程序被处理器执行时实现如上述任一项所述的样本文件检测方法的步骤。
本发明技术方案提出一种样本文件检测方法,通过当样本文件在动态分析沙盒中运行时,获取所述样本文件在所述动态分析沙盒中的运行状态信息;根据所述运行状态信息,生成内存转储文件;对所述内存转储文件进行文本匹配,获得匹配结果;根据所述匹配结果,获得所述样本文件的检测结果。由于,对内存转储文件进行文本匹配获得的匹配结果,并根据匹配结果,获得内存转储文件对应的样本文件的检测结果,不是根据样本文件运行的真实行为获得样本文件的检测结果,准确的确定样本文件中的恶意代码的病毒类型及家族属性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图示出的结构获得其他的附图。
图1为本发明实施例方案涉及的硬件运行环境的终端设备结构示意图;
图2为本发明样本文件检测方法第一实施例的流程示意图;
图3为本发明样本文件检测方法第二实施例中步骤S11之前的流程示意图;
图4为本发明样本文件检测方法第三实施例中步骤S14之后的流程示意图;
图5为本发明样本文件检测装置第一实施例的结构框图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参照图1,图1为本发明实施例方案涉及的硬件运行环境的终端设备结构示意图。
终端设备可以是移动电话、智能电话、笔记本电脑、数字广播接收器、个人数字助理(PDA)、平板电脑(PAD)等用户设备(User Equipment,UE)、手持设备、车载设备、可穿戴设备、计算设备或连接到无线调制解调器的其它处理设备、移动台(Mobile station,MS)等。终端设备可能被称为用户终端、便携式终端、台式终端等。
通常,终端设备包括:至少一个处理器301、存储器302以及存储在所述存储器上并可在所述处理器上运行的样本文件检测程序,所述样本文件检测程序配置为实现如前所述的样本文件检测方法的步骤。
处理器301可以包括一个或多个处理核心,比如4核心处理器、8核心处理器等。处理器301可以采用DSP(Digital Signal Processing,数字信号处理)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)、PLA(Programmable Logic Array,可编程逻辑阵列)中的至少一种硬件形式来实现。处理器301也可以包括主处理器和协处理器,主处理器是用于对在唤醒状态下的数据进行处理的处理器,也称CPU(CentralProcessingUnit,中央处理器);协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中,处理器301可以在集成有GPU(Graphics Processing Unit,图像处理器),GPU用于负责显示屏所需要显示的内容的渲染和绘制。处理器301还可以包括AI(Artificial Intelligence,人工智能)处理器,该AI处理器用于处理有关样本文件检测方法操作,使得样本文件检测方法模型可以自主训练学习,提高效率和准确度。
存储器302可以包括一个或多个计算机可读存储介质,该计算机可读存储介质可以是非暂态的。存储器302还可包括高速随机存取存储器,以及非易失性存储器,比如一个或多个磁盘存储设备、闪存存储设备。在一些实施例中,存储器302中的非暂态的计算机可读存储介质用于存储至少一个指令,该至少一个指令用于被处理器801所执行以实现本申请中方法实施例提供的样本文件检测方法。
在一些实施例中,终端还可选包括有:通信接口303和至少一个外围设备。处理器301、存储器302和通信接口303之间可以通过总线或信号线相连。各个外围设备可以通过总线、信号线或电路板与通信接口303相连。具体地,外围设备包括:射频电路304、显示屏305和电源306中的至少一种。
通信接口303可被用于将I/O(Input/Output,输入/输出)相关的至少一个外围设备连接到处理器301和存储器302。。在一些实施例中,处理器301、存储器302和通信接口303被集成在同一芯片或电路板上;在一些其他实施例中,处理器301、存储器302和通信接口303中的任意一个或两个可以在单独的芯片或电路板上实现,本实施例对此不加以限定。
射频电路304用于接收和发射RF(Radio Frequency,射频)信号,也称电磁信号。射频电路304通过电磁信号与通信网络以及其他通信设备进行通信。射频电路304将电信号转换为电磁信号进行发送,或者,将接收到的电磁信号转换为电信号。可选地,射频电路304包括:天线系统、RF收发器、一个或多个放大器、调谐器、振荡器、数字信号处理器、编解码芯片组、用户身份模块卡等等。射频电路304可以通过至少一种无线通信协议来与其它终端进行通信。该无线通信协议包括但不限于:城域网、各代移动通信网络(2G、3G、4G及5G)、无线局域网和/或WiFi(Wireless Fidelity,无线保真)网络。在一些实施例中,射频电路304还可以包括NFC(Near Field Communication,近距离无线通信)有关的电路,本申请对此不加以限定。
显示屏305用于显示UI(User Interface,用户界面)。该UI可以包括图形、文本、图标、视频及其它们的任意组合。当显示屏305是触摸显示屏时,显示屏305还具有采集在显示屏305的表面或表面上方的触摸信号的能力。该触摸信号可以作为控制信号输入至处理器301进行处理。此时,显示屏305还可以用于提供虚拟按钮和/或虚拟键盘,也称软按钮和/或软键盘。在一些实施例中,显示屏305可以为一个,电子设备的前面板;在另一些实施例中,显示屏305可以为至少两个,分别设置在电子设备的不同表面或呈折叠设计;在再一些实施例中,显示屏305可以是柔性显示屏,设置在电子设备的弯曲表面上或折叠面上。甚至,显示屏305还可以设置成非矩形的不规则图形,也即异形屏。显示屏305可以采用LCD(LiquidCrystal Display,液晶显示屏)、OLED(Organic Light-Emitting Diode,有机发光二极管)等材质制备。
电源306用于为电子设备中的各个组件进行供电。电源306可以是交流电、直流电、一次性电池或可充电电池。当电源306包括可充电电池时,该可充电电池可以支持有线充电或无线充电。该可充电电池还可以用于支持快充技术。
本领域技术人员可以理解,图1中示出的结构并不构成对终端设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
此外,本发明实施例还提出一种存储介质,所述存储介质上存储有样本文件检测程序,所述样本文件检测程序被处理器执行时实现如上文所述的样本文件检测方法的步骤。因此,这里将不再进行赘述。另外,对采用相同方法的有益效果描述,也不再进行赘述。对于本申请所涉及的计算机可读存储介质实施例中未披露的技术细节,请参照本申请方法实施例的描述。确定为示例,程序指令可被部署为在一个终端设备上执行,或者在位于一个地点的多个终端设备上执行,又或者,在分布在多个地点且通过通信网络互连的多个终端设备上执行。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,上述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,上述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(RandomAccessMemory,RAM)等。
基于上述硬件结构,提出本发明样本文件检测方法的实施例。
参照图2,图2为本发明样本文件检测方法第一实施例的流程示意图,所述样本文件检测方法包括以下步骤:
步骤S11:当样本文件在动态分析沙盒中运行时,获取所述样本文件在所述动态分析沙盒中的运行状态信息。
本实施例的执行主体是终端设备,该终端设备安装有样本文件检测程序,终端设备可以是移动电话、智能电话、笔记本电脑、数字广播接收器、个人数字助理(PDA)、平板电脑(PAD)等用户设备(User Equipment,UE)、手持设备、车载设备、可穿戴设备、计算设备或连接到无线调制解调器的其它处理设备、移动台(Mobile station,MS)等。终端设备可能被称为用户终端、便携式终端、台式终端等。
动态分析沙盒,即沙盒,英文:sandbox,在计算机领域指一种虚拟技术,且多用于计算机安全技术。沙盒中的所有改动对操作系统不会造成任何损失。通常这种技术被计算机技术人员广泛使用,尤其是计算机反病毒行业,沙盒是一个观察计算机病毒的重要环境。沙盒早期主要用于测试可疑软件等,比如黑客们为了试用某种病毒或者不安全产品,往往可以将它们在沙盒环境中运行。经典的沙盒系统的实现途径一般是通过拦截系统调用,监视程序行为,然后依据用户定义的策略来控制和限制程序对计算机资源的使用,比如改写注册表,读写磁盘等。沙盒的工作原理为通过重定向技术,把程序生成和修改的文件,定向到本身的文件夹中。这也包括数据的变更,包括注册表和一些系统的核心数据。通过加载自身的驱动来保护底层数据,属于驱动级别的保护。如果我们用沙盒来测试病毒的,在里面运行病毒可以说也是安全操作。所以,绝大多数的病毒软件都有沙盒的功能。
另外,在沙盒中的程序有下列限制:
1、不能运行任何本地的可执行程序。
2、不能从本地计算机文件系统中读取任何信息,也不能往本地计算机文件系统中写入任何信息。
3、不能查看除Java版本信息和少数几个无害的操作系统详细信息外的任何有关本地计算机的信息。特别是,在沙盒中的代码不能查看用户名、E-mail地址等信息。
可见,它创造了一个类似沙盒的独立作业环境,在其内部运行的程序并不能对硬盘产生永久性的影响。其为一个独立的虚拟环境,可以用来测试不受信任的应用程序或上网行为。
需要说明的是,运行状态信息是指样本文件在沙盒中运行时,沙盒中的全部状态信息,可以包括网络连接、进程、服务、驱动模块、DLL、handles、检测进程注入、检测Meterpreter、cmd历史命令、IE浏览器历史记录、启动项、用户、shimcache、userassist、部分rootkit隐藏文件、cmdliner等信息,还可以包括其他信息,本发明不做限制。
步骤S12:根据所述运行状态信息,生成内存转储文件。
内存转储文件也被称作虚拟内存,它是用硬盘里的一段空间虚拟成内存来存放程序来运行,由于硬盘的运行速度比内存慢很多,所以虚拟内存应不要很大,操作系统把虚拟内存存在一个文件里,那个文件有多大表示当前操作系统虚拟的内存有多大。
内存转储文件是基于沙盒中的样本文件运行状态信息,根据沙盒中的样本文件运行状态信息对应的数据转储保存在转储文件中。
步骤S13:对所述内存转储文件进行文本匹配,获得匹配结果。
需要说明的是,对内存转储文件进行文本匹配时,利用预设文本匹配规则与内存转储文件的数据信息进行匹配;当内存转储文件的数据信息与预设文本匹配规则存在匹配的部分时,获得的匹配结果为内存转储文件与预设文本规则匹配,当内存转储文件的数据信息与预设文本匹配规则不存在匹配的部分时,获得的匹配结果为内存转储文件与预设文本规则不匹配。
进一步的,步骤S13还包括:利用yara规则对所述内存转储文件进行文本匹配,获得匹配结果。
进一步的,步骤S13之前,所述方法还包括:获取基于yara规则的恶意文件特征码,建立yara规则库。
相应的步骤S13包括:获取所述内存转储文件的样本特征码;将所述样本特征码与所述yara规则库中的恶意文件特征码进行匹配,获得匹配结果。
需要说明的是,用户可以从互联网获取预设yara规则库,并获取最新的基于yara规则的恶意文件特征码,利用最新的基于yara规则的恶意文件特征码和预设yara规则库,建立新的yara规则库。
具体应用中,安装有样本文件检测程序的终端设备,根据样本文件在动态沙盒中的运行状态信息,获得内存转储文件时,获取所述内存转储文件的样本特征码,将所述样本特征码与所述yara规则库中的恶意文件特征码进行匹配;当样本特征码与所述yara规则库中的恶意文件特征码匹配时,获得内存转储文件与yara规则库匹配的匹配结果;当样本特征码与所述yara规则库中的恶意文件特征码均不匹配时,获得内存转储文件与yara规则库布匹配的匹配结果。
步骤S14:根据所述匹配结果,获得所述样本文件的检测结果。
当安装有样本文件检测程序的终端设备,获得内存转储文件与yara规则库匹配的匹配结果时,根据匹配结果获得样本文件为威胁样本文件的检测结果;当安装有样本文件检测程序的终端设备,获得内存转储文件与yara规则库不匹配的匹配结果时,根据匹配结果获得样本文件不是威胁样本文件的检测结果。
例如,基于Shiz/iBank源代码的新型银行木马Shifu,结合Zeus字符串混淆和反调试技术,窃取全球在线银行网站的凭据,并控制各种金融服务提供商的银行账户。Shifu的文件结构为,初级加载器包含加密二级注入程序,二级注入程序被解密到内存中,并将原始加载程序覆盖,最终解密层跳到二级注入程序的入口地址。主要有效载荷被加密并打包在第二阶段注入程序的tls节中,其中包含受害者系统上搜索的字符串、浏览器目标列表和bot指令。二级注入程序将有效载荷注入到svchost.exe进程内,并通过挂钩Winsock API,以拦截和修改入站和出站Internet流量。
安装有样本文件检测程序的终端设备,将包含有新型银行木马Shifu的样本文件放入动态沙盒中运行,根据包含有新型银行木马Shifu的样本文件在动态沙盒中的运行状态信息,获得内存转储文件,利用建立的yara规则库中的恶意文件特征码与内存转储文件中的样本特征码进行匹配,获得yara规则库与内存转储文件匹配的匹配结果,根据匹配结果获得样本文件为威胁样本文件的检测结果,其中,威胁为Shifu木马。
本发明实施例提出一种样本文件检测方法,通过当样本文件在动态分析沙盒中运行时,获取所述样本文件在所述动态分析沙盒中的运行状态信息;根据所述运行状态信息,生成内存转储文件;对所述内存转储文件进行文本匹配,获得匹配结果;根据所述匹配结果,获得所述样本文件的检测结果。由于,对内存转储文件进行文本匹配获得的匹配结果,并根据匹配结果,获得内存转储文件对应的样本文件的检测结果,不是根据样本文件运行的真实行为获得样本文件的检测结果,准确的确定样本文件中的恶意代码的病毒类型及家族属性。
进一步的,步骤S14之前,所述方法还包括:对所述内存转储文件进行特征分析,获得内存分析日志。
相应的,步骤S14包括:根据所述匹配结果和所述内存分析日志,获得所述样本文件的检测结果。
当安装有样本文件检测程序的终端设备获得内存转储文件时,利用特征分析工具对内存转储文件进行特征分析,获得分析日志;其中,分析日志包括内存转储文件包括侵入痕迹和内存转储文件不包括侵入痕迹;当内存转储文件包括侵入痕迹时,分析日志为样本文件为威胁样本文件,当内存转储文件不包括侵入痕迹时,分析日志为样本文件不是威胁样本文件。
具体应用中,安装有样本文件检测程序的终端设备对内存转储文件进行特征分析和文本匹配时,两个步骤不分先后顺序,也可同时进行,获得匹配结果和分析日志时,根据匹配结果和分析日志获得检测结果。当匹配结果和分析日志均为样本文件不是威胁样本文件时,检测结果为样本文件不是威胁样本文件,当匹配结果和分析日志任一为样本文件为威胁样本文件时,检测结果为样本文件为威胁样本文件。
例如,安装有样本文件检测程序的终端设备,将包含有新型银行木马A的样本文件放入动态沙盒中运行,根据包含有新型银行木马A的样本文件在动态沙盒中的运行状态信息,获得内存转储文件,利用建立的yara规则库中的恶意文件特征码与内存转储文件中的样本特征码进行匹配,获得yara规则库与内存转储文件匹配的匹配结果。同时,利用开源内存取证工具对内存转储文进行特征分析,获得内存转储文件包括侵入痕迹,分析日志为样本文件为威胁样本文件;根据分析日志和匹配结果,获得检测结果为样本文件为威胁样本文件,且,威胁为新型银行木马A。
又例如,安装有样本文件检测程序的终端设备,将包含有木马B的样本文件放入动态沙盒中运行,根据样本文件在动态沙盒中的运行状态信息,获得内存转储文件,利用建立的yara规则库中的恶意文件特征码与内存转储文件中的样本特征码进行匹配,获得yara规则库与内存转储文件匹配的匹配结果。同时,利用开源内存取证工具中对内存转储文进行特征分析,获得内存转储文件不包括侵入痕迹,分析日志为样本文件不是威胁样本文件;根据分析日志和匹配结果,获得检测结果为样本文件为威胁样本文件,且,威胁为木马B。
又例如,安装有样本文件检测程序的终端设备,将包含有木马C的样本文件放入动态沙盒中运行,根据样本文件在动态沙盒中的运行状态信息,获得内存转储文件,利用建立的yara规则库中的恶意文件特征码与内存转储文件中的样本特征码进行匹配,获得yara规则库与内存转储文件不匹配的匹配结果。同时,利用开源内存取证工具对内存转储文进行特征分析,获得内存转储文件包括侵入痕迹,分析日志为样本文件为威胁样本文件;根据分析日志和匹配结果,获得检测结果为样本文件为是威胁样本文件,且,威胁为木马C。
进一步的,所述利用开源内存取证工具对所述内存转储文件进行分析,获得内存分析日志的步骤包括:在开源内存取证工具中获取与所述运行环境对应的选定插件;利用所述选定插件对所述内存转储文件进行分析,获得内存分析日志。
需要说明的是,开源内存取证工具可以是volatility工具,也可以是其他开源内存取证工具,本发明不做限制;运行环境是指样本文件的运行环境,不同的运行环境对应的选定插件不同;其中,运行环境可以是windows,也可以是linux。相应的,选定插件可以是pslist、psxview、malfind、apihooks、ldrmudules、netscan、callbacks、idt、ssdt、gdt、timers、messagehooks、getsids、privs、dlllist、handles、mumantscan、devicetree、svcscan、modscan以及sockscan等,还可以包括其他插件,本发明不做限制。
具体应用中,安装有样本文件检测程序的终端设备获得内存转储文件时,利用开源内存取证工具中的选定插件对内存转储文件进行分析,以确定内存转储文件是否包括侵入痕迹。当内存转储文件包括侵入痕迹时,分析日志为样本文件为威胁样本文件,当内存转储文件不包括侵入痕迹时,分析日志为样本文件不是威胁样本文件。
例如,安装有样本文件检测程序的终端设备,将包含有新型银行木马A的样本文件放入动态沙盒中运行,根据包含有新型银行木马A的样本文件在动态沙盒中的运行状态信息,获得内存转储文件,利用建立的yara规则库中的恶意文件特征码与内存转储文件中的样本特征码进行匹配,获得yara规则库与内存转储文件匹配的匹配结果。同时,利用开源内存取证工具中的L和G插件对内存转储文进行特征分析,获得内存转储文件包括侵入痕迹,分析日志为样本文件为威胁样本文件;根据分析日志和匹配结果,获得检测结果为样本文件为威胁样本文件,且,威胁为新型银行木马A。
又例如,安装有样本文件检测程序的终端设备,将不包含有任何威胁的样本文件放入动态沙盒中运行,根据样本文件在动态沙盒中的运行状态信息,获得内存转储文件,利用建立的yara规则库中的恶意文件特征码与内存转储文件中的样本特征码进行匹配,获得yara规则库与内存转储文件不匹配的匹配结果。同时,利用开源内存取证工具中的L和G插件对内存转储文进行特征分析,获得确定内存转储文件不包括侵入痕迹,分析日志为样本文件不是威胁样本文件;根据分析日志和匹配结果,获得检测结果为样本文件不是威胁样本文件。
参照图3,图3为本发明样本文件检测方法第二实施例中步骤S11之前的流程示意图;在所述步骤S11之前,所述方法包括以下步骤:
步骤S21:在接收到发送端发送的样本文件时,获取所述样本文件的文件类型。
本实施例的发送端可以是移动电话、智能电话、笔记本电脑、数字广播接收器、个人数字助理(PDA)、平板电脑(PAD)等用户设备(User Equipment,UE)、手持设备、车载设备、可穿戴设备、计算设备或连接到无线调制解调器的其它处理设备、移动台(Mobilestation,MS)等。发送端可能被称为用户终端、便携式终端、台式终端等。
文件类型可以指样本文件的文件后缀对应的文件类型,文件类型用于确定样本文件的运行环境。
步骤S22:将所述样本文件投放在与所述文件类型对应的选定动态分析沙盒中。
不同类型的文件对应的动态分析沙盒可能不同,需要安装有样本文件检测程序的终端设备根据样本文件的类型,获得对应的动态分析沙盒,以使样本文件在动态分析沙盒中运行。
进一步的,步骤S22包括:根据所述文件类型,确定所述样本文件的运行环境;在动态分析沙盒集群中查找与所述运行环境对应的选定动态分析沙盒;将所述样本文件投放在所述选定动态分析沙盒中。
需要说明的是,运行环境可以是windows,也可以是linux。不同的运行环境对应不同的动态分析沙盒。动态分析沙盒集群包括多个运行环境分别对应的动态分析沙盒,动态分析沙盒集群可以是用户根据自己需求构建的。
安装有样本文件检测程序的终端设备,根据样本文件的文件类型,确定样本文件的运行环境,在预先构建的动态分析沙盒集群中选择样本文件可完美运行的动态分析沙盒,选择的动态分析沙盒即为选定动态分析沙盒,将样本文件投放在选定动态分析沙盒中,以使安装有样本文件检测程序的终端设备根据样本文件在选定动态分析沙盒中的运行状态信息,获得内存转储文件。
例如,A样本文件的文件类型为a,a类型的样本文件对应的运行环境为d运行环境,d运行环境对应的动态分析沙盒为m动态分析沙盒;动态分析沙盒集群包括m动态分析沙盒、n动态分析沙盒和p动态分析沙盒。安装有样本文件检测程序的终端设备接收到发送端发送的a类型的样本文件A时,根据A样本文件文件类型a,确定A样本文件的运行环境为d运行环境,根据d运行环境,在动态分析沙盒集群中查找m动态分析沙盒,将A样本文件投放到m动态分析沙盒中。
进一步的,步骤S21包括:在接收到发送端发送的样本文件时,将所述样本文件存储到存储服务器;从所述存储服务器获取所述样本文件的文件类型。
相应的,所述将所述样本文件投放在所述选定动态分析沙盒中的步骤包括:在获取到所述存储服务器存储的所述样本文件时,将所述样本文件投放在所述选定动态分析沙盒中。
需要说明的是,存储器可以是安装有样本文件检测程序的终端设备的内置存储器,也可以是安装有样本文件检测程序的终端设备的外置存储器,还可以是,与安装有样本文件检测程序的终端设备通信连接的网络共享存储器,所述网络共享存储器可以存储多个安装有样本文件检测程序的终端设备接收到的样本文件。其中,存储器的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(RandomAccessMemory,RAM)等。
例如,H样本文件的文件类型为h,h类型的样本文件对应的运行环境为y运行环境,y运行环境对应的动态分析沙盒为m动态分析沙盒;动态分析沙盒集群包括m动态分析沙盒、n动态分析沙盒和p动态分析沙盒,存储器为本地存储器z。安装有样本文件检测程序的终端设备接收到发送端发送的h类型的H样本文件时,将H样本文件存储到本地存储器z,并获取存储在本地存储器z中的H样本文件的文件类型h;获取到本地存储器z存储的H样本文件时,根据H样本文件文件类型h,确定H样本文件的运行环境为y运行环境,根据y运行环境,在动态分析沙盒集群中查找m动态分析沙盒,将H样本文件投放到m动态分析沙盒中运行。
参照图4,图4为本发明样本文件检测方法第三实施例中步骤S14之后的流程示意图,在所述步骤S14之后,所述方法包括以下步骤:
步骤S31:判断所述检测结果是否满足预设条件。
本发明的检测结果可以包括样本文件为威胁样本文件和样本文件不是威胁样本文件,样本文件检测结果还可以包括样本文件的文件名称、属性信息等其他信息,本发明不做限制。其中,预设条件为检测结果检测结果为样本文件是安全样本文件的检测结果或样本文件不是威胁样本文件的检测结果。
终端设备中的样本文件检测程序根据样本文件检测结果判断样本文件是否满足预设条件,即,判断判断样本文件是否为威胁样本文件,以根据判定结果执行相关安全操作。
步骤S32:若否,则对所述样本文件执行安全操作,并生成第一检测报告。
当终端设备中的样本文件检测程序根据样本文件检测结果判断样本文件不满足预设条件时,即样本文件为威胁样本文件时,样本文件检测程序对样本文件执行安全操作。在一实施例中,样本文件可以存储在本地存储器u,由样本文件检测程序直接对本地存储器u中的样本文件进行安全操作;在另一实施例中,样本文件存储于网路共享存储器v,由样本文件检测程序将相应的安全操作指令发送至网络共享存储器v,由网络共享存储器v对存储的样本文件进行安全操作,完成执行安全操作时,样本文件检测程序生成第一检测报告。
其中,安全操作可以包括删除样本文件、对样本文件进行漏洞修补等,本发明不做具体限制;第一检测报告可以包括当前样本文件已被安全操作。
进一步的,判断所述当前样本文件是否满足预设条件的步骤之后,所述方法还包括:若是,则生成第二检测报告,并将所述第二检测报告发送至所述样本文件的发送端,以使所述样本文件的发送端根据所述第二检测报告输出第二提示信息,所述第二提示信息包括所述样本文件不是威胁样本文件。
当样本文件的检测结果满足预设条件时,即样本文件不是威胁样本文件,终端设备的样本文件检测程序生成第二检测报告,以使发送端接收到第二检测报告时,输出第二提示信息,以使用户通过第二提示信息确定当前样本文件不是威胁样本文件。
步骤S33:将所述第一检测报告发送至所述样本文件的发送端,以使所述样本文件的发送端根据所述第一检测报告输出第一提示信息,所述第一提示信息包括所述样本文件是威胁样本文件和所述样本文件已被执行所述安全操作。
发送端根据接收的第一检测报告,输出第一提示信息,以使用户通过第一提示信息确定当前样本文件为威胁样本文件,且已被执行安全操作。
例如,H样本文件的文件类型为h,h类型的样本文件对应的运行环境为y运行环境,y运行环境对应的动态分析沙盒为m动态分析沙盒;动态分析沙盒集群包括m动态分析沙盒、n动态分析沙盒和p动态分析沙盒,存储器为本地存储器z。安装有样本文件检测程序的终端设备接收到发送端发送的h类型的H样本文件时,将H样本文件存储到本地存储器z,并获取存储在本地存储器z中的H样本文件的文件类型h;获取到本地存储器z存储的H样本文件时,根据H样本文件文件类型h,确定H样本文件的运行环境为y运行环境,根据y运行环境,在动态分析沙盒集群中查找m动态分析沙盒,将H样本文件投放到m动态分析沙盒中运行。
将包含有新型银行木马A的样本文件H放入动态沙盒中运行,根据包含有新型银行木马A的样本文件H在动态沙盒中的运行状态信息,获得内存转储文件,利用建立的yara规则库中的恶意文件特征码与内存转储文件中的样本特征码进行匹配,获得yara规则库与内存转储文件匹配的匹配结果。同时,利用开源内存取证工具中的L和G插件对内存转储文进行特征分析,获得内存转储文件包括侵入痕迹,分析日志为样本文件为威胁样本文件;根据分析日志和匹配结果,获得检测结果为样本文件为威胁样本文件,且,威胁为新型银行木马A。
判断检测结果不满足预设条件,即,样本文件H为威胁样本文件,对H样本文件进行安全操作:修复H样本文件,并生成检测报告:H样本文件为威胁样本文件,且H样本文件已被修复(删除木马A);样本文件检测程序将检测报告发送至发送端,以使发送端输出提示信息:A样本文件为威胁样本文件且A样本文件已被修复(删除木马A))。
本实施例通过采用一种样本文件检测方法。当样本文件为威胁样本文件时,终端设备的样本文件检测程序对样本文件进行安全操作,并生成检测报告,以使发送端接收检测报告时,输出提示信息,便于用户确定威胁样本文件已被进行安全操作,不需要用户单独对威胁样本文件进行安全处理,用户体验较好。
参照图4,图4为本发明样本文件检测装置第一实施例的结构框图,所述装置包括:
获取模块10,用于当样本文件在动态分析沙盒中运行时,获取所述样本文件在所述动态分析沙盒中的运行状态信息;
文件生成模块20,用于根据所述运行状态信息,生成内存转储文件;
匹配模块30,用于对所述内存转储文件进行文本匹配,获得匹配结果;
获得模块40,用于根据所述匹配结果,获得所述样本文件的检测结果。
可选的,所述装置还包括:
特征分析模块,用于对所述内存转储文件进行特征分析,获得内存分析日志;
所述获得模块,还用于根据所述匹配结果和所述内存分析日志,获得所述样本文件的检测结果。
可选的,所述装置还包括:
接收模块,用于在接收到发送端发送的样本文件时,获取所述样本文件的文件类型;
投放模块,用于将所述样本文件投放在与所述文件类型对应的选定动态分析沙盒中;
所述获取模块,还用于当样本文件在所述选定动态分析沙盒中运行时,获取所述样本文件在所述选定动态分析沙盒中的运行状态信息。
可选的,所述投放模块,还用于根据所述文件类型,确定所述样本文件的运行环境;在动态分析沙盒集群中查找与所述运行环境对应的选定动态分析沙盒;将所述样本文件投放在所述选定动态分析沙盒中。
可选的,所述接收模块,还用于在接收到发送端发送的样本文件时,将所述样本文件存储到存储服务器;从所述存储服务器获取所述样本文件的文件类型;
所述投放模块,还用于在获取到所述存储服务器存储的所述样本文件时,将所述样本文件投放在所述选定动态分析沙盒中。
可选的,所述匹配模块,还用于利用yara规则对所述内存转储文件进行文本匹配,获得匹配结果。
可选的,所述装置还包括:
规则建立模块,用于获取基于yara规则的恶意文件特征码,建立yara规则库;
所述匹配模块,还用于获取所述内存转储文件的样本特征码;将所述样本特征码与所述yara规则库中的恶意文件特征码进行匹配,获得匹配结果。
以上所述仅为本发明的可选实施例,并非因此限制本发明的专利范围,凡是在本发明的发明构思下,利用本发明说明书及附图内容所作的等效结构变换,或直接/间接运用在其他相关的技术领域均包括在本发明的专利保护范围内。

Claims (10)

1.一种样本文件检测方法,其特征在于,所述方法包括以下步骤:
当样本文件在动态分析沙盒中运行时,获取所述样本文件在所述动态分析沙盒中的运行状态信息;
根据所述运行状态信息,生成内存转储文件;
对所述内存转储文件进行文本匹配,获得匹配结果;
根据所述匹配结果,获得所述样本文件的检测结果。
2.如权利要求1所述的样本文件检测方法,其特征在于,所述根据所述匹配结果,获得所述样本文件的检测结果的步骤之前,所述方法还包括:
对所述内存转储文件进行特征分析,获得内存分析日志;
根据所述匹配结果,获得所述样本文件的检测结果的步骤包括:
根据所述匹配结果和所述内存分析日志,获得所述样本文件的检测结果。
3.如权利要求2所述的样本文件检测方法,其特征在于,所述当样本文件在动态分析沙盒中运行时,获取所述样本文件在所述动态分析沙盒中的运行状态信息的步骤之前,所述方法还包括:
在接收到发送端发送的样本文件时,获取所述样本文件的文件类型;
将所述样本文件投放在与所述文件类型对应的选定动态分析沙盒中;
当样本文件在动态分析沙盒中运行时,获取所述样本文件在所述动态分析沙盒中的运行状态信息的步骤包括:
当样本文件在所述选定动态分析沙盒中运行时,获取所述样本文件在所述选定动态分析沙盒中的运行状态信息。
4.如权利要求3所述的样本文件检测方法,其特征在于,所述将所述样本文件投放在与所述文件类型对应的选定动态分析沙盒中的步骤包括:
根据所述文件类型,确定所述样本文件的运行环境;
在动态分析沙盒集群中查找与所述运行环境对应的选定动态分析沙盒;
将所述样本文件投放在所述选定动态分析沙盒中。
5.如权利要求4所述的样本文件检测方法,其特征在于,所述在接收到发送端发送的样本文件时,获取所述样本文件的文件类型的步骤包括:
在接收到发送端发送的样本文件时,将所述样本文件存储到存储服务器;
从所述存储服务器获取所述样本文件的文件类型;
所述将所述样本文件投放在所述选定动态分析沙盒中的步骤包括:
在获取到所述存储服务器存储的所述样本文件时,将所述样本文件投放在所述选定动态分析沙盒中。
6.如权利要求5所述的样本文件检测方法,其特征在于,所述对所述内存转储文件进行文本匹配,获得匹配结果的步骤包括:
利用yara规则对所述内存转储文件进行文本匹配,获得匹配结果。
7.如权利要求6所述的样本文件检测方法,其特征在于,所述利用yara规则对所述内存转储文件进行文本匹配,获得匹配结果的步骤之前,所述方法还包括:
获取基于yara规则的恶意文件特征码,建立yara规则库;
所述利用yara规则对所述内存转储文件进行文本匹配,获得匹配结果的步骤包括:
获取所述内存转储文件的样本特征码;
将所述样本特征码与所述yara规则库中的恶意文件特征码进行匹配,获得匹配结果。
8.一种样本文件检测装置,其特征在于,所述装置包括:
获取模块,用于当样本文件在动态分析沙盒中运行时,获取所述样本文件在所述动态分析沙盒中的运行状态信息;
文件生成模块,用于根据所述运行状态信息,生成内存转储文件;
匹配模块,用于对所述内存转储文件进行文本匹配,获得匹配结果;
获得模块,用于根据所述匹配结果,获得所述样本文件的检测结果。
9.一种终端设备,其特征在于,所述终端设备包括:存储器、处理器及存储在所述存储器上并在所述处理器上运行样本文件检测程序,所述样本文件检测程序被所述处理器执行时实现如权利要求1至7中任一项所述的样本文件检测方法的步骤。
10.一种存储介质,其特征在于,所述存储介质上存储有样本文件检测程序,所述样本文件检测程序被处理器执行时实现如权利要求1至7中任一项所述的样本文件检测方法的步骤。
CN202011557996.8A 2020-12-23 2020-12-23 样本文件检测方法、装置、终端设备以及存储介质 Active CN112560018B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011557996.8A CN112560018B (zh) 2020-12-23 2020-12-23 样本文件检测方法、装置、终端设备以及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011557996.8A CN112560018B (zh) 2020-12-23 2020-12-23 样本文件检测方法、装置、终端设备以及存储介质

Publications (2)

Publication Number Publication Date
CN112560018A true CN112560018A (zh) 2021-03-26
CN112560018B CN112560018B (zh) 2023-10-31

Family

ID=75034084

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011557996.8A Active CN112560018B (zh) 2020-12-23 2020-12-23 样本文件检测方法、装置、终端设备以及存储介质

Country Status (1)

Country Link
CN (1) CN112560018B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101989322A (zh) * 2010-11-19 2011-03-23 北京安天电子设备有限公司 自动提取恶意代码内存特征的方法和系统
CN103839003A (zh) * 2012-11-22 2014-06-04 腾讯科技(深圳)有限公司 恶意文件检测方法及装置
CN103902908A (zh) * 2013-12-25 2014-07-02 武汉安天信息技术有限责任公司 一种对Android加固应用的恶意代码检测方法及系统
CN110210225A (zh) * 2019-05-27 2019-09-06 四川大学 一种智能化的Docker容器恶意文件检测方法和装置
CN110826064A (zh) * 2019-10-25 2020-02-21 腾讯科技(深圳)有限公司 一种恶意文件的处理方法、装置、电子设备以及存储介质

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101989322A (zh) * 2010-11-19 2011-03-23 北京安天电子设备有限公司 自动提取恶意代码内存特征的方法和系统
CN103839003A (zh) * 2012-11-22 2014-06-04 腾讯科技(深圳)有限公司 恶意文件检测方法及装置
CN103902908A (zh) * 2013-12-25 2014-07-02 武汉安天信息技术有限责任公司 一种对Android加固应用的恶意代码检测方法及系统
CN110210225A (zh) * 2019-05-27 2019-09-06 四川大学 一种智能化的Docker容器恶意文件检测方法和装置
CN110826064A (zh) * 2019-10-25 2020-02-21 腾讯科技(深圳)有限公司 一种恶意文件的处理方法、装置、电子设备以及存储介质

Also Published As

Publication number Publication date
CN112560018B (zh) 2023-10-31

Similar Documents

Publication Publication Date Title
Chakkaravarthy et al. A survey on malware analysis and mitigation techniques
US10291634B2 (en) System and method for determining summary events of an attack
Faruki et al. Android security: a survey of issues, malware penetration, and defenses
US8782792B1 (en) Systems and methods for detecting malware on mobile platforms
US10032026B1 (en) Static and dynamic security analysis of apps for mobile devices
JP2009521737A (ja) Javascriptプログラムの不安全動作安を検出するため、及び防止するための方法及び装置
CN111163095B (zh) 网络攻击分析方法、网络攻击分析装置、计算设备和介质
CN111163094B (zh) 网络攻击检测方法、网络攻击检测装置、电子设备和介质
Jafari et al. Designing a comprehensive security framework for smartphones and mobile devices
Walls et al. A review of free cloud-based anti-malware apps for android
Tchakounté et al. LimonDroid: a system coupling three signature-based schemes for profiling Android malware
EP3652647B1 (en) System and method for detecting a malicious file using image analysis prior to execution of the file
EP3816831A1 (en) Determining a security score in binary software code
Vella et al. Volatile memory-centric investigation of SMS-hijacked phones: a Pushbullet case study
US10275596B1 (en) Activating malicious actions within electronic documents
Lima et al. Security for mobile device assets: A survey
CN112149126A (zh) 确定文件的信任级别的系统和方法
CN112560018B (zh) 样本文件检测方法、装置、终端设备以及存储介质
US8874925B1 (en) Systems and methods to scan memory for a threat
Pattani et al. SonicEvasion: a stealthy ultrasound based invasion using covert communication in smart phones and its security
US20220318377A1 (en) Responsible parent process identification
US9672356B2 (en) Determining malware status of file
CN109933990B (zh) 基于多模式匹配的安全漏洞发现方法、装置及电子设备
CN111612450A (zh) 应用程序支付渠道的检测方法、装置、终端设备及介质
US20190334930A1 (en) Mobile device and method for isolating and protecting a computer, networks, and devices from viruses and cyber attacks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant