CN112818348B - 一种勒索病毒文件识别与检测方法及系统 - Google Patents
一种勒索病毒文件识别与检测方法及系统 Download PDFInfo
- Publication number
- CN112818348B CN112818348B CN202110207155.2A CN202110207155A CN112818348B CN 112818348 B CN112818348 B CN 112818348B CN 202110207155 A CN202110207155 A CN 202110207155A CN 112818348 B CN112818348 B CN 112818348B
- Authority
- CN
- China
- Prior art keywords
- file
- byte
- judging
- byte code
- virus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种勒索病毒文件识别与检测方法及系统,用于检测计算机是否存在勒索病毒。该方法采用文件驱动进行至少两次计算机磁盘的检索,生成计算机磁盘中各被检索文件的检索结果以及各被检索文件对应的hash文件;通过对比同一被检索文件的各单次检索结果,判断检索结果是否一致;如果否,对比同一被检索文件各单次检索生成的hash文件,读取hash文件中发生变化的文件的字节码,并判断所述字节码是否正常;对不正常的字节码所对应的被检索文件进行加密特征检测,确定是否存在勒索病毒。本发明能够较为全面、准确地对计算机中的文件进行勒索病毒的识别与检测,为用户提供可靠的安全防护。
Description
技术领域
本发明涉及计算机安全技术领域,特别是涉及一种勒索病毒文件识别与检测方法及系统。
背景技术
勒索病毒是近两年比较流行的病毒,尤其是在2016年中国勒索软件成爆发式增长。主要以邮件、程序木马、网页挂马等形式进行传播,利用各种非对称加密算法对电脑磁盘的文档文件、图片文件、文本文件、数据库、源代码、压缩文件等进行加密,加密成功后会通过网页文件、TXT文件、屏幕保护图片等方式来通知用户在一定时间内支付赎金后才会给予解密的方式。勒索病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。
现有技术中,检测未知恶意代码、识别勒索病毒的方法有很多,例如:基于未知文件行为检测的方案,通过沙箱技术对恶意程序进行模拟执行,通过对程序的行为分析和评估来判断未知文件是否存在恶意威胁;基于终端应用监控的方案,采用文件信誉与黑白名单技术在终端上检测应用和进程;基于大数据分析,通过网路取证,将大数据分析技术和沙箱技术结合全面分析勒索病毒攻击。但是这些检测方法存在着一些局限性,比如:检测的范围不够全面,有时会遗漏勒索病毒,甚至有时检测不出来勒索病毒的存在,因此,有必要提供一种检测结果较为准确、检测范围较为全面的勒索病毒识别与检测方法。
发明内容
本发明的目的是提供一种勒索病毒文件识别与检测方法及系统,能够较为全面、准确地对计算机磁盘中的文件进行勒索病毒的识别与检测。
为实现上述目的,本发明提供了如下方案:
一种勒索病毒文件识别与检测方法,用于检测计算机是否存在勒索病毒,所述勒索病毒文件识别与检测方法包括:
采用文件驱动进行至少两次计算机磁盘的检索,生成计算机磁盘中各被检索文件的检索结果以及各被检索文件对应的hash文件;
对比同一被检索文件的各单次检索结果,判断检索结果是否一致;
如果否,对比同一被检索文件各单次检索生成的hash文件,读取hash文件中发生变化的文件的字节码,并判断所述字节码是否正常;
对不正常的字节码所对应的被检索文件进行加密特征检测,确定是否存在勒索病毒。
可选地,所述采用文件驱动进行至少两次计算机磁盘的检索之前,还包括:
安装客户端程序Agent;
通过所述客户端程序Agent访问操作系统,调用操作系统中的文件驱动。
可选地,所述判断所述字节码是否正常具体包括:
采用勒索检测引擎读取hash文件中发生变化的文件的字节码,判断所述发生变化的文件的字节码是否正常;
若所述字节码为8位,则判定所述字节码正常;
若所述字节码大于8位,则判定所述字节码不正常。
可选地,所述对不正常的字节码所对应的被检索文件进行加密特征检测,确定是否存在勒索病毒,具体包括:
采用勒索检测引擎对不正常的字节码所对应的被检索文件前后的字节填充方式进行检测,判断所述文件前后的字节填充方式是零字节填充还是分字节填充;
若所述不正常的字节码所对应的被检索文件前后是零字节填充,则所述被检索文件正常未加密;
若所述不正常的字节码所对应的被检索文件前后是分字节填充,则识别所述产生变化的文件为密文,判定存在勒索病毒。
为了实现上述目的,本发明还提供了如下方案,
一种勒索病毒文件识别与检测系统,所述勒索病毒文件识别与检测系统包括:
检索模块,用于采用文件驱动进行至少两次计算机磁盘的检索,生成计算机磁盘中各被检索文件的检索结果以及各被检索文件对应的hash文件;
检索结果判断模块,用于对比同一被检索文件的各单次检索结果,判断检索结果是否一致;
字节码读取判断模块,用于在所述检索结果不一致时,对比同一被检索文件各单次检索生成的hash文件,读取hash文件中发生变化的文件的字节码,并判断所述字节码是否正常;
勒索病毒确定模块,用于对不正常的字节码所对应的被检索文件进行加密特征检测,确定是否存在勒索病毒。
可选地,所述勒索病毒文件识别与检测系统还包括:
安装模块,用于安装客户端程序Agent;
文件驱动调用模块,用于通过所述客户端程序Agent访问操作系统,调用操作系统中的文件驱动。
可选地,所述字节码读取判断模块,具体包括:
字节码读取单元,用于采用勒索检测引擎读取hash文件中发生变化的文件的字节码;
字节码判断单元,用于判断所述发生变化的文件的字节码是否正常,若所述字节码为8位,则判定所述字节码为正常,若所述字节码大于8位,则判定所述字节码为不正常。
可选地,所述勒索病毒确定模块,具体包括:
字节填充检测单元,用于采用勒索检测引擎对所述字节码不正常的文件前后的字节填充方式进行检测,判断所述文件前后的字节填充方式是零字节填充还是分字节填充;
勒索病毒确定单元,用于在所述产生变化的文件前后是零字节填充时,判定所述产生变化的文件正常未加密;在所述产生变化的文件前后是分字节填充时,识别所述产生变化的文件为密文,判定存在勒索病毒。
根据本发明提供的具体实施例,本发明公开了以下技术效果:
本发明提供的勒索病毒文件识别与检测方法及系统,用于检测计算机是否存在勒索病毒。采用文件驱动对计算机全部磁盘进行至少两次检索,生成计算机磁盘中各被检索文件的检索结果,并判断检索结果是否发生变化,使得检索范围更加全面;通过生成各被检索文件对应的hash文件,并对比各单次检索生成的hash文件,对hash文件中发生变化的文件进行字节码检测,对不正常的字节码所对应的被检索文件进行加密特征检测,检测到加密文件即判定存在勒索病毒,通过hash文件的对比、字节码的检测及加密特征的检测,提高了检索结果的准确性。因此本发明能够较为全面、准确地对计算机中的文件进行勒索病毒的识别与检测,帮助用户发现利用勒索病毒、未知恶意代码对计算机进行等攻击行为,能检测到传统安全设备无法检测的攻击,为用户提供可靠的安全防护。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明勒索病毒文件识别与检测方法的流程图;
图2为发明勒索病毒文件识别与检测系统的模块结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的目的是提供一种勒索病毒文件识别与检测方法及系统,较为全面、准确地对计算机中的文件进行勒索病毒的识别与检测。
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
本发明的第一方面提供了一种勒索病毒文件识别与检测方法,如图1所示,该方法包括以下步骤:
步骤101:采用文件驱动进行至少两次计算机磁盘的检索,生成计算机磁盘中各被检索文件的检索结果以及各被检索文件对应的hash文件;
步骤102:对比同一被检索文件的各单次检索结果,判断检索结果是否一致;
步骤103:如果否,对比同一被检索文件各单次检索生成的hash文件,读取hash文件中发生变化的文件的字节码,并判断字节码是否正常;
步骤104:对不正常的字节码所对应的被检索文件进行加密特征检测,确定是否存在勒索病毒。
此外,采用文件驱动进行至少两次计算机磁盘的检索之前,还包括:
安装客户端程序Agent;
通过所述客户端程序Agent访问操作系统,调用操作系统中的文件驱动。
其中,操作系统的驱动层能够实时监测磁盘中文件的变化情况,且能够对产生变化的文件进行定位;当对比各单次检索结果,发现不一致时,文件驱动会实时发现该变化并且定位到发生该变化的文件。在执行步骤102时,对比同一被检索文件的各单次检索结果,检索结果一致时,则判定计算机磁盘中不存在勒索病毒。生成hash文件是用于对文件进行完整性检测,若文件发生变化,文件的完整性势必会遭到破坏。在执行步骤103时,对比同一被检索文件各单次检索生成的hash文件,读取hash文件中发生变化的文件的字节码,当文件的字节码正常时,则判定文件中不存在勒索病毒。
进一步地,判断字节码是否正常,具体包括:
采用勒索检测引擎读取hash文件中发生变化的文件的字节码,判断发生变化的文件的字节码是否正常;
若字节码为8位,则判定字节码为正常;
若字节码大于8位,则判定字节码为不正常。
一般情况下,在计算机中,文件的字节码为8位是正常的,当文件的字节码为16位、64位时都属于不正常,很可能是处于加密状态。
进一步地,所述对不正常的字节码所对应的被检索文件进行加密特征检测,确定是否存在勒索病毒,具体包括:
采用勒索检测引擎对不正常的字节码所对应的被检索文件前后的字节填充方式进行检测,判断所述文件前后的字节填充方式是零字节填充还是分字节填充;
若所述不正常的字节码所对应的被检索文件前后是零字节填充,则所述被检索文件正常未加密;
若所述不正常的字节码所对应的被检索文件前后是分字节填充,则识别所述产生变化的文件为密文,判定存在勒索病毒。
以检索两次为例,首先通过客户端程序Agent访问计算机的操作系统,调用操作系统中的文件驱动对全部磁盘文件进行第一次检索,生成各被检索文件对应的第一检索结果以及第一hash文件;之后再利用文件驱动对全部磁盘文件进行第二次检索,生成各被检索文件对应的第二检索结果以及第二hash文件,对同一被检索文件的第一检索结果和第二检索结果进行对比,判断两次检索结果是否一致;若不一致,则对发生变化的文件进行定位,并获取发生变化的文件所对应的第一hash文件和第二hash文件,将第一hash文件和第二hash文件进行对比,判断两次hash文件是否一致;若不一致,则采用勒索检测引擎读取hash文件中发生变化的文件的字节码,判断字节码是否正常;若字节码为8位,判定字节码正常,该文件不存在勒索病毒;若字节码大于8位,则判定字节码不正常。对不正常的字节码所对应的被检索文件进行加密特征检测,采用勒索检测引擎对不正常的字节码所对应的被检索文件前后的字节填充方式进行检测,判断所述文件前后的字节填充方式是零字节填充还是分字节填充;若所述不正常的字节码所对应的被检索文件前后是零字节填充,则判定所述被检索文件未加密,不存在勒索病毒;若所述不正常的字节码所对应的被检索文件前后是分字节填充,则识别所述产生变化的文件被加密,判定该文件存在勒索病毒。
为了实现上述目的,本发明还提供了一种勒索病毒文件识别与检测系统,图2为本发明勒索病毒文件识别与检测系统的模块结构示意图,如图2所示,所述系统包括:检索模块202、检索结果判断模块203、字节码读取判断模块204及勒索病毒确定模块205。
检索模块202用于采用文件驱动进行至少两次计算机磁盘的检索,生成计算机磁盘中各被检索文件的检索结果以及各被检索文件对应的hash文件;
检索结果判断模块203用于对比同一被检索文件的各单次检索结果,判断检索结果是否一致;
字节码读取判断模块204用于在所述检索结果不一致时,对比同一被检索文件各单次检索生成的hash文件,读取hash文件中发生变化的文件的字节码,并判断字节码是否正常;
勒索病毒确定模块205用于对不正常的字节码所对应的被检索文件进行加密特征检测,确定是否存在勒索病毒。
此外,本发明勒索病毒文件识别与检测系统还包括:安装模块200和文件驱动调用模块201。
安装模块200用于安装客户端程序Agent;
文件驱动调用模块201用于通过客户端程序Agent访问操作系统,调用操作系统中的文件驱动。
其中,字节码读取判断模块204,具体包括:字节码读取单元和字节码判断单元。
字节码读取单元用于采用勒索检测引擎读取hash文件中发生变化的文件的字节码;
字节码判断单元用于判断发生变化的文件的字节码是否正常,若发生变化的文件的字节码为8位,则判定字节码正常,若发生变化的文件的字节码大于8位,则判定字节码不正常。
其中,勒索病毒确定模块205,具体包括:字节填充检测单元和勒索病毒确定单元。
字节填充检测单元用于采用勒索检测引擎对所述字节码不正常的文件前后的字节填充方式进行检测,判断文件前后的字节填充方式是零字节填充还是分字节填充;
勒索病毒确定单元用于在产生变化的文件前后是零字节填充时,判定产生变化的文件正常未加密;在产生变化的文件前后是分字节填充时,识别产生变化的文件为密文,判定存在勒索病毒。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处。综上所述,本说明书内容不应理解为对本发明的限制。
Claims (4)
1.一种勒索病毒文件识别与检测方法,其特征在于,所述勒索病毒文件识别与检测方法包括:
采用文件驱动进行至少两次计算机磁盘的检索,生成计算机磁盘中各被检索文件的检索结果以及各被检索文件对应的hash文件;
对比同一被检索文件的各单次检索结果,判断检索结果是否一致;
如果否,对比同一被检索文件各单次检索生成的hash文件,读取hash文件中发生变化的文件的字节码,并判断所述字节码是否正常;
对不正常的字节码所对应的被检索文件进行加密特征检测,确定是否存在勒索病毒;
所述判断所述字节码是否正常具体包括:
采用勒索检测引擎读取hash文件中发生变化的文件的字节码,判断所述发生变化的文件的字节码是否正常;
若所述字节码为8位,则判定所述字节码正常;
若所述字节码大于8位,则判定所述字节码不正常;
所述对不正常的字节码所对应的被检索文件进行加密特征检测,确定是否存在勒索病毒,具体包括:
采用勒索检测引擎对不正常的字节码所对应的被检索文件的前后字节填充方式进行检测,并判断所述文件前后的字节填充方式是零字节填充还是分字节填充;
若所述不正常的字节码所对应的被检索文件前后是零字节填充,则所述被检索文件正常未加密;
若所述不正常的字节码所对应的被检索文件前后是分字节填充,则识别产生所述变化的文件为密文,判定存在勒索病毒。
2.根据权利要求1所述的勒索病毒文件识别与检测方法,其特征在于,所述采用文件驱动进行至少两次计算机磁盘的检索之前,还包括:
安装客户端程序Agent;
通过所述客户端程序Agent访问操作系统,调用操作系统中的文件驱动。
3.一种勒索病毒文件识别与检测系统,其特征在于,所述勒索病毒文件识别与检测系统包括:
检索模块,用于采用文件驱动进行至少两次计算机磁盘的检索,生成计算机磁盘中各被检索文件的检索结果以及各被检索文件对应的hash文件;
检索结果判断模块,用于对比同一被检索文件的各单次检索结果,判断检索结果是否一致;
字节码读取判断模块,用于在所述检索结果不一致时,对比同一被检索文件各单次检索生成的hash文件,读取hash文件中发生变化的文件的字节码,并判断所述字节码是否正常;
勒索病毒确定模块,用于对不正常的字节码所对应的被检索文件进行加密特征检测,确定是否存在勒索病毒;
所述字节码读取判断模块,具体包括:
字节码读取单元,用于采用勒索检测引擎读取hash文件中发生变化的文件的字节码;
字节码判断单元,用于判断所述发生变化的文件的字节码是否正常,若所述字节码为8位,则判定所述字节码为正常,若所述字节码大于8位,则判定所述字节码为不正常;
所述勒索病毒确定模块,具体包括:
字节填充检测单元,用于采用勒索检测引擎对所述字节码不正常的文件前后的字节填充方式进行检测,判断所述文件前后的字节填充方式是零字节填充还是分字节填充;
勒索病毒确定单元,用于在产生所述变化的文件前后是零字节填充时,判定产生所述变化的文件正常未加密;在产生所述变化的文件前后是分字节填充时,识别产生所述变化的文件为密文,判定存在勒索病毒。
4.根据权利要求3所述的勒索病毒文件识别与检测系统,其特征在于,所述勒索病毒文件识别与检测系统还包括:
安装模块,用于安装客户端程序Agent;
文件驱动调用模块,用于通过所述客户端程序Agent访问操作系统,调用操作系统中的文件驱动。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110207155.2A CN112818348B (zh) | 2021-02-24 | 2021-02-24 | 一种勒索病毒文件识别与检测方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110207155.2A CN112818348B (zh) | 2021-02-24 | 2021-02-24 | 一种勒索病毒文件识别与检测方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112818348A CN112818348A (zh) | 2021-05-18 |
CN112818348B true CN112818348B (zh) | 2023-09-08 |
Family
ID=75865377
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110207155.2A Active CN112818348B (zh) | 2021-02-24 | 2021-02-24 | 一种勒索病毒文件识别与检测方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112818348B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115329332B (zh) * | 2022-08-18 | 2023-03-10 | 广西飞创信息科技有限公司 | 基于磁盘块底层的防勒索病毒保护和快速恢复方法及系统 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103761476A (zh) * | 2013-12-30 | 2014-04-30 | 北京奇虎科技有限公司 | 特征提取的方法及装置 |
CN104317599A (zh) * | 2014-10-30 | 2015-01-28 | 北京奇虎科技有限公司 | 检测安装包是否被二次打包的方法和装置 |
KR101518689B1 (ko) * | 2014-10-20 | 2015-05-12 | 숭실대학교산학협력단 | 핵심 코드를 이용하여 응용 프로그램의 위변조 여부를 탐지하는 사용자 단말기 및 그것을 이용한 위변조 탐지 방법 |
CN109359467A (zh) * | 2018-10-10 | 2019-02-19 | 杭州安恒信息技术股份有限公司 | 针对未知勒索病毒的精准识别与全网联动防御方法和系统 |
US10432648B1 (en) * | 2017-08-28 | 2019-10-01 | Palo Alto Networks, Inc. | Automated malware family signature generation |
CN110363000A (zh) * | 2019-07-10 | 2019-10-22 | 深圳市腾讯网域计算机网络有限公司 | 识别恶意文件的方法、装置、电子设备及存储介质 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20190188384A1 (en) * | 2017-12-19 | 2019-06-20 | Crowdstrike, Inc. | Detecting script-based malware |
US20200074084A1 (en) * | 2018-08-29 | 2020-03-05 | Microsoft Technology Licensing, Llc | Privacy-preserving component vulnerability detection and handling |
-
2021
- 2021-02-24 CN CN202110207155.2A patent/CN112818348B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103761476A (zh) * | 2013-12-30 | 2014-04-30 | 北京奇虎科技有限公司 | 特征提取的方法及装置 |
KR101518689B1 (ko) * | 2014-10-20 | 2015-05-12 | 숭실대학교산학협력단 | 핵심 코드를 이용하여 응용 프로그램의 위변조 여부를 탐지하는 사용자 단말기 및 그것을 이용한 위변조 탐지 방법 |
CN104317599A (zh) * | 2014-10-30 | 2015-01-28 | 北京奇虎科技有限公司 | 检测安装包是否被二次打包的方法和装置 |
US10432648B1 (en) * | 2017-08-28 | 2019-10-01 | Palo Alto Networks, Inc. | Automated malware family signature generation |
CN109359467A (zh) * | 2018-10-10 | 2019-02-19 | 杭州安恒信息技术股份有限公司 | 针对未知勒索病毒的精准识别与全网联动防御方法和系统 |
CN110363000A (zh) * | 2019-07-10 | 2019-10-22 | 深圳市腾讯网域计算机网络有限公司 | 识别恶意文件的方法、装置、电子设备及存储介质 |
Non-Patent Citations (1)
Title |
---|
Simon Parkinson.Identifying File Interaction Patterns in Ransomware Behaviour.SPRINGER LINK.2018,第1-18页. * |
Also Published As
Publication number | Publication date |
---|---|
CN112818348A (zh) | 2021-05-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100938672B1 (ko) | 악성 코드에 의해 삽입된 동적 연결 라이브러리 검출 장치 및 방법 | |
US10019573B2 (en) | System and method for detecting executable machine instructions in a data stream | |
US20170208093A1 (en) | Detection of Vulnerabilities in Computer Systems | |
JP5852676B2 (ja) | 権限昇格攻撃へのコンピュータ・ソフトウェア・アプリケーションの脆弱性を判定するための方法、コンピュータ・プログラム、およびシステム | |
US20090133125A1 (en) | Method and apparatus for malware detection | |
CN110955893A (zh) | 一种恶意文件威胁分析平台及恶意文件威胁分析方法 | |
CN111783096B (zh) | 检测安全漏洞的方法和装置 | |
CN107689940B (zh) | WebShell检测方法及装置 | |
CN110929264B (zh) | 漏洞检测方法、装置、电子设备及可读存储介质 | |
CN110879889A (zh) | Windows平台的恶意软件的检测方法及系统 | |
JP6000465B2 (ja) | プロセス検査装置、プロセス検査プログラムおよびプロセス検査方法 | |
CN114386032A (zh) | 电力物联网设备的固件检测系统及方法 | |
CN105404816A (zh) | 基于内容的漏洞检测方法及装置 | |
CN112818348B (zh) | 一种勒索病毒文件识别与检测方法及系统 | |
CN113656809A (zh) | 镜像的安全检测方法、装置、设备及介质 | |
CN116450533B (zh) | 用于应用程序的安全检测方法、装置、电子设备和介质 | |
CN106650439A (zh) | 检测可疑应用程序的方法及装置 | |
EP3945441A1 (en) | Detecting exploitable paths in application software that uses third-party libraries | |
CN108573148B (zh) | 一种基于词法分析的混淆加密脚本识别方法 | |
CN106778276B (zh) | 一种检测无实体文件恶意代码的方法及系统 | |
Ravula et al. | Learning attack features from static and dynamic analysis of malware | |
CN113901460A (zh) | 云盘非法文件检测方法、装置、计算机设备和存储介质 | |
CN111027052A (zh) | 基于应用程序版本虚拟机文档判别方法、装置及存储设备 | |
JP2016122262A (ja) | 特定装置、特定方法および特定プログラム | |
CN117290823B (zh) | 一种app智能检测与安全防护方法、计算机设备及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |