CN114048473A - 针对计算机的恶意软件的处理方法 - Google Patents
针对计算机的恶意软件的处理方法 Download PDFInfo
- Publication number
- CN114048473A CN114048473A CN202110854877.7A CN202110854877A CN114048473A CN 114048473 A CN114048473 A CN 114048473A CN 202110854877 A CN202110854877 A CN 202110854877A CN 114048473 A CN114048473 A CN 114048473A
- Authority
- CN
- China
- Prior art keywords
- malware
- computer
- virtual machine
- behavior
- different
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
- 238000003672 processing method Methods 0.000 title claims description 4
- 238000000034 method Methods 0.000 claims abstract description 29
- 238000004458 analytical method Methods 0.000 claims abstract description 23
- 230000004044 response Effects 0.000 claims abstract description 6
- 230000009471 action Effects 0.000 claims description 13
- 238000012986 modification Methods 0.000 claims description 4
- 230000004048 modification Effects 0.000 claims description 4
- 230000000694 effects Effects 0.000 claims description 3
- 230000003287 optical effect Effects 0.000 claims description 2
- 230000008569 process Effects 0.000 claims description 2
- 238000012544 monitoring process Methods 0.000 claims 1
- 230000002411 adverse Effects 0.000 description 3
- 238000009434 installation Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Stored Programmes (AREA)
Abstract
一种针对计算机的恶意软件的处理方法,包括如下步骤:初始化虚拟机;将恶意软件安装到虚拟机上;将在虚拟机上分析的相同恶意软件安装到计算机上;分析计算机上的恶意软件的行为;基于对恶意软件行为的分析确定第一恶意软件在虚拟机上的行为是否不同于恶意软件在计算机上的行为;响应于确定恶意软件在虚拟机上的行为不同于恶意软件在计算机上的行为,管理计算设备生成指示恶意软件表现不同的通知;计算机管理员对通知进行响应。该方法能够有效的检测到恶意软件并能有效的保护计算机不受恶意软件的损害。
Description
技术领域
本发明涉及一种针对计算机的恶意软件的处理方法.
背景技术
恶意软件会对计算机系统和设备构成严重危害.一旦出现在计算系统或设备上,恶意软件可能会导致相应的个人、财务或其他敏感信息的损害.尽管努力阻止或从系统中删除恶意软件,例如使用防病毒软件程序,但还是有很多计算系统感染了某种形式的恶意软件.恶意软件的广泛存在部分是由于恶意软件变体的范围和多样性.事实上,恶意软件可以采用病毒、蠕虫、特洛伊木马、键盘记录器、间谍软件、广告软件和勒索软件等形式,而且每一种的新类型都在不断产生.此外,正在不断创建许多新的恶意软件变体,通常其多样性和复杂性都在不断增加.因此导致恶意软件难处理,从而危害了计算机安全.
发明内容
本发明的一个方面提供了针对计算机的恶意软件的处理方法.恶意软件的处理方法可能使用将恶意软件有意安装在安全或隔离环境中的区域,旨在保护相同或其他计算设备免受恶意软件的任何不利影响.在某些情况下,这种类型的处理可以在虚拟机环境中完成.然而,更高级的恶意软件变体可能能够检测到它们何时处于虚拟机环境或某些其他分析环境中,因此,在被分析时要么不采取任何行动,要么仅采取良性行动.因此,这些恶意软件变体可能不会被归类为恶意软件,并且只会在实际易受攻击的环境中表现出其负面和不利影响.本发明的一个方面提供了处理这些更高级的恶意软件变体的方式,即使这些变体被设计为避免在虚拟机环境中检测.
所述针对计算机的恶意软件的处理方法包括管理计算设备初始化虚拟机.然后,管理计算设备可以将第一恶意软件安装到虚拟机上.随后,管理计算设备可以分析第一恶意软件在虚拟机上的行为.之后,管理计算设备可以使计算机从不同于主引导源的辅助引导源引导,主引导源可能是计算机上的硬盘.然后,管理计算设备可以将第一恶意软件安装到计算机上.之后,管理计算设备可以分析第一恶意软件在计算机上的行为.然后,管理计算设备可以基于分析确定第一恶意软件在虚拟机上的行为是否不同于第一恶意软件在计算机上的行为.随后,管理计算设备可以响应于确定虚拟机上的第一恶意软件的行为与计算机上的第一恶意软件的行为不同,生成指示第一恶意软件的行为不同的通知.
在某一实施例中,管理计算设备可以响应于确定第一恶意软件的行为与计算机上的第一恶意软件的行为不同,使得恶意软件分析计算设备从网络引导,其中恶意软件分析计算设备可以被配置为当从网络引导时从映像安装服务器接收基本硬盘驱动器映像.然后,管理计算设备可以导致恶意软件分析计算设备对网络的访问被阻止.之后,管理计算设备可以使恶意软件分析计算设备从基础硬盘驱动器映像重新启动.在另一实施例中,管理计算设备可以将第一恶意软件安装到恶意软件分析计算设备上,然后在恶意软件分析计算设备上分析第一恶意软件的行为.
根据某些实施例的方法,管理计算设备可以使计算机从不同于主要引导源的辅助引导源引导,其中主要引导源可以是硬盘计算机.随后,管理计算设备可以将第一恶意软件安装到计算机上.管理计算设备可以分析第一恶意软件在计算机上的行为.然后,管理计算设备可以使计算机重新启动,并且计算机可以从辅助引导源重新启动,使得它可以为随后的恶意软件分析做好准备.
在各种实施例中,计算机可以使用支持IP的电源板重新启动.在某些实施例中,在安装第一恶意软件之后,管理计算设备可以使用户动作在计算机上被模仿.在各种实施例中,可以使用自动化脚本来模仿用户动作.在一些实施例中,可以从远程用户接收用户动作.
根据另外的方面,可以包括一个或多个处理器和/或存储器的一个或多个装置可以被配置为执行上述方法的一个或多个步骤.根据其他附加方面,提供了一种或多种非暂时性计算机可读介质,该介质存储计算机可读指令,当由至少一个计算设备执行时,可以使该至少一个计算设备执行一个或多个上面讨论的方法的更多步骤.
附图说明
图1是本发明的针对计算机的恶意软件的处理方法的示例流程图.
具体实施方式
图1示出了针对计算机的恶意软件的处理方法示例的流程图,在步骤1中,初始化虚拟机.例如,管理计算设备通过使远程计算设备或服务器启动虚拟机软件的执行来初始化虚拟机.在某些实施例中,虚拟机可以被配置为类似于典型的计算设备,例如使用常用的操作系统,具有流行的软件程序等.在步骤2中,管理计算设备可以将恶意软件(或一些其他新的或可疑的文件)安装到虚拟机上.一旦恶意软件出现在虚拟机上,在步骤3中,管理计算设备可以分析其行为.例如,在一些实施例中,行为分析可以包括观察由恶意软件发起的任何进程、跟踪由恶意软件创建的任何新文件(例如但不限于注册表项)、观察对现有文件的任何修改、监视任何其他潜在的恶意活动,或其组合.
在该实施例中,在管理计算设备分析了虚拟机上的恶意软件的行为之后,在步骤4中,管理计算设备使计算机从辅助引导源引导.在各种实施例中,辅助引导源包括与计算机上的硬盘不同的任何引导源(即计算设备的主要引导源).在某些实施例中,辅助引导源可以是包括操作系统的可引导映像、一个或多个应用程序和/或其他数据的光盘或例如,闪存驱动器或外部硬盘,包括操作系统的可启动映像、一个或多个应用程序和/或其他数据.在一些实施例中,辅助引导源可以是写锁定源(例如,辅助引导源存储可用于加载操作系统和/或应用程序的受保护数据,但在其上运行的计算设备和/或软件)计算设备(例如恶意软件)无法将数据写入辅助引导源或修改受保护的数据).在该实施例中,一旦计算机已经从辅助引导源引导,在步骤5中,管理计算设备将在虚拟机上分析的相同恶意软件安装到计算机上.然后,在步骤6中,管理计算设备可以分析计算机上的恶意软件的行为.如下所述,通过分析恶意软件在计算机上的行为,管理计算设备然后能够将恶意软件在计算机上的行为方式与恶意软件在虚拟机上的行为方式进行比较.
在图1中,涉及虚拟机的步骤和涉及计算机的步骤可以顺序运行.在这些实施例中,管理计算设备响应于在分析虚拟机上的恶意软件的同时确定虚拟机上存在恶意软件,可以发送已经检测到恶意软件的通知.在各种实施例中,涉及虚拟机和计算机的步骤可以并行或基本并行运行.
在步骤7中,管理计算设备然后基于对恶意软件行为的分析确定第一恶意软件在虚拟机上的行为是否不同于恶意软件在计算机上的行为.例如,管理计算设备可以确定恶意软件是否例如尝试访问或成功访问不同的文件或功能、在不同的文件位置(或什至相同的文件位置)写入不同的数据、对相同的文件进行不同的修改、调用不同操作系统的应用程序编程接口命令、发送或接收不同的网络数据等.在一些实施例中,管理计算设备可以基于分析确定恶意软件在计算机上运行时以异常方式表现或采取指示恶意软件的动作,但没有以异常方式表现或采取行动在虚拟机上运行时指示恶意软件.以这种方式,一旦在计算机上被分析,能够检测虚拟机环境并因此以良性方式行动的恶意软件可以有利地被识别为抗虚拟机的恶意软件变体.
在该实施例的步骤8中,响应于确定恶意软件在虚拟机上的行为不同于恶意软件在计算机上的行为,管理计算设备生成指示恶意软件表现不同的通知.在一些实施例中,管理计算设备生成并发送通知,而在其他附加组件中,例如另一个计算设备或服务器,发送由管理计算设备生成的通知.步骤9,计算机管理员对通知进行响应.
通知的内容及其目标可以采用多种形式.例如,在一些实施例中,通知可以通过图形用户界面发送给管理计算设备的用户,或者可以发送到不同的计算设备,发送到诸如命令和控制服务器的服务器,或者可以是直接发送给IT员工或专业人员.在一些实施例中,通知可以标记恶意软件以供IT员工或专业人员进行后续分析,无论是在计算机上还是其他方式.
可以依次分析多个不同的恶意软件,并且可以将虚拟机和计算机组件重置为其初始状态以用于每个后续样本的分析,或者,如果此时没有额外样本可用,则使用的组件可能会重置为其初始状态,以便它们可以在其他恶意软件到达时对其进行分析.例如,在某些实施例中,管理计算设备重新启动虚拟机并使计算机从辅助数据源重新启动.以这种方式,在分析第一个恶意软件之后,虚拟机和计算机都可以被快速恢复到初始的、非恶意软件感染状态,从而每个都可以完全准备好正确分析第二个恶意软件,并且可以再次被恢复到其初始状态以分析任何和所有后续恶意软件.
通过从辅助数据源启动计算机,可以消除对诸如重新安装基础映像或“清除”恶意软件影响的耗时过程的需要.这有利地允许快速重建干净的物理测试环境.结合重新启动虚拟机的能力,管理计算设备可以有利地快速重新创建两个分析环境,并且在某些实施例中可以在分析恶意软件之后由管理计算设备自动地重新创建.在各种实施例中,启用IP的电源板可用于重新启动计算机.例如,管理计算设备在对第一个恶意软件进行分析后,使启用IP的配电盘停止向计算机供电,并在适当的时间间隔后使启用IP的配电盘停止向计算机供电开始为计算机重新供电,进而导致其重新启动.
在各种实施例中,在安装恶意软件之后,可以在虚拟机、计算机或两者上模仿用户动作.通过模仿指示实际使用而不是恶意软件分析环境的动作,某些恶意软件可能会展示其真实的、不利的行为,而不是善意的表象.这可以进一步增强在虚拟机环境和计算机环境中检测和全面分析恶意软件的能力.在虚拟机环境和计算机环境依次分析恶意软件的实施例中,如果恶意软件被检测到,则通过避免对计算机执行附加分析的需要,模仿用户动作可以有利地保护资源并使方法更有效.例如,如果管理计算设备检测到在虚拟机测试中存在恶意软件,则管理计算设备可以结束恶意软件分析过程并放弃对计算机的任何测试.
在某些实施例中,可以使用自动化脚本来模仿用户动作.在一些实施例中,可以从远程用户接收用户动作.在各种实施例中,可以经由远程桌面协议或经由虚拟网络计算来接收用户动作.在一些实施例中,可以从键盘、视频、鼠标、开关接收指令.在这些实施例中,可以有利地接收用户动作而不使用可以由恶意软件检测并且向恶意软件指示它存在于恶意软件分析环境中的附加软件.此外,通过实际接收输入信号,通过更接近真实使用而不是由分析环境模拟的使用,被模仿的用户动作可能更有可能触发恶意软件的不良行为.
用户动作可以是任何表明真正使用计算机的行为.仅作为示例,模仿的用户动作可包括诸如鼠标滚动、鼠标点击或击键输入之类的常见动作.模仿的用户动作可以是与特定程序或文件类型相关的特定动作,例如在文本文档中向下滚动、改变视觉图像的大小等.
在一些实施例中,一旦安装了恶意软件,就可以模仿用户动作,而在其他实施例中,可以在适当的时间段内分析恶意软件的行为,并且响应于计算设备没有检测到指示恶意软件,可以模仿用户的操作,以查看这些操作是否会触发恶意软件的任何不良行为.
此外,恶意软件分析设备的使用可以在安装恶意软件时和在初始分析之后提供更实质性的分析.例如,生成的通知可能会提醒IT员工或专业人员在虚拟机上检测到恶意软件,或者虚拟机和计算机上的行为存在差异.随后,如果在恶意软件分析设备上分析相同的样本,IT员工或专业人员可以直接监控安装和分析.
一些实施例中,在分析恶意软件在恶意软件分析设备上的行为之后,管理计算设备使恶意软件分析计算设备对网络的访问被解锁并且可以从恶意软件分析复制受恶意软件感染的硬盘驱动器映像设备到图像采集服务器.该实施例提供了恶意软件感染在真正的物理设备上的自动保存,必要时可以将其用于后续分析.
以上描述提供了可以在一些实施例中执行的方法和/或方法步骤的示例.在其他实施例中,该方法可以包括上述步骤、组件和特征中的一些或全部的附加组合或替代.此外,本领域技术人员可以认识到用于该方法的附加的和替代的合适的变化、特征、方面和步骤.例如,一些实施例涉及仅从辅助引导源引导的计算机上的恶意软件分析,而其他实施例可以包括对虚拟机和/或如本文所述的恶意软件分析计算设备的分析,顺序地或并行地.其他实施例涉及仅使用恶意软件分析计算设备的分析,而其他实施例可以包括对虚拟机和/或计算机的分析,如本文所述,顺序地或并行地.
在一些实施例中,可能不使用虚拟机和恶意软件分析设备,并且上面讨论的方法可以替代地包括管理计算设备,其使得计算机从不同于主引导源的辅助引导源被引导;管理计算设备将第一恶意软件安装到计算机上;使用管理计算设备分析恶意软件在计算机上的行为;最后通过管理计算设备使计算机重新启动,以便它可以从辅助启动源重新启动,以便它可以为后续的恶意软件分析做好准备.
一种执行上述方法的装置,该装置包括至少一个计算机处理器、至少一个非暂时性计算机可读介质,该介质中存储有计算机可执行指令,当由该至少一个计算机处理器执行时,该指令使该装置执行一些或所有上述动作,例如由管理计算设备执行的动作.
一种存储计算机可读指令的一个或多个非暂时性计算机可读介质.在某些实施例中,一个或多个非暂时性计算机可读介质存储计算机可读指令,当由至少一个计算设备执行时,使该至少一个计算设备执行上述一些或所有动作,例如,由管理计算设备执行的操作.在提供方法的示例的实施例中讨论的任何特征可以是一个或多个非暂时性计算机可读介质的实施例的特征。
Claims (8)
1.一种针对计算机的恶意软件的处理方法,其特征是:包括如下步骤:
步骤1,初始化虚拟机,使用管理计算设备通过使远程计算设备或服务器启动虚拟机软件的执行来初始化虚拟机,虚拟机被配置为使用常用的操作系统的典型的计算机;
步骤2,管理计算设备将恶意软件安装到虚拟机上;
步骤3,分析恶意软件在虚拟机上的行为,所述行为包括观察由恶意软件发起的任何进程、跟踪由恶意软件创建的任何新文件、观察对现有文件的任何修改、监视任何其他潜在的恶意活动,或其组合;
步骤4,管理计算设备使计算机从辅助引导源引导;
步骤5,管理计算设备将在虚拟机上分析的相同恶意软件安装到计算机上;
步骤6,管理计算设备分析计算机上的恶意软件的行为;
步骤7,管理计算设备基于对恶意软件行为的分析确定第一恶意软件在虚拟机上的行为是否不同于恶意软件在计算机上的行为;
步骤8,响应于确定恶意软件在虚拟机上的行为不同于恶意软件在计算机上的行为,管理计算设备生成指示恶意软件表现不同的通知;
步骤9,计算机管理员对通知进行响应。
2.如权利要求1所述的一种针对计算机的恶意软件的处理方法,其特征是:所述辅助引导源包括与计算机上的硬盘不同的引导源。
3.如权利要求2所述的一种针对计算机的恶意软件的处理方法,其特征是:所述辅助引导源是包括操作系统的可引导映像、一个或多个应用程序和/或光盘、闪存驱动器或外部硬盘。
4.如权利要求1所述的一种针对计算机的恶意软件的处理方法,其特征是:所述步骤3中,管理计算设备确定恶意软件是否尝试访问或成功访问不同的文件或功能、在不同的文件位置写入不同的数据、对相同的文件进行不同的修改、调用不同操作系统的应用程序编程接口命令、发送或接收不同的网络数据。
5.如权利要求1所述的一种针对计算机的恶意软件的处理方法,其特征是:所述步骤3中,管理计算设备基于分析确定恶意软件在计算机上运行时以异常方式表现或采取指示恶意软件的动作,但没有以异常方式表现或采取行动在虚拟机上运行时指示恶意软件;以这种方式,一旦在计算机上被分析,能够检测虚拟机环境并因此以良性方式行动的恶意软件可以被识别为抗虚拟机的恶意软件变体。
6.如权利要求1所述的一种针对计算机的恶意软件的处理方法,其特征是:步骤8中,所述通知可以通过图形用户界面发送给管理计算机的用户,或者可以发送到不同的计算机,发送到命令和控制服务器的服务器,或者可以是直接发送给IT员工或专业人员。
7.如权利要求6所述的一种针对计算机的恶意软件的处理方法,其特征是:可以依次分析多个不同的恶意软件,并且可以将虚拟机和计算机组件重置为其初始状态以用于每个后续样本的分析,或者,如果此时没有额外样本可用,则使用的组件会重置为其初始状态,以便它们可以在其他恶意软件到达时对其进行分析。
8.如权利要求7所述的一种针对计算机的恶意软件的处理方法,其特征是:管理计算设备重新启动虚拟机并使计算机从辅助数据源重新启动,以这种方式,在分析第一个恶意软件之后,虚拟机和计算机都可以被快速恢复到初始的、非恶意软件感染状态,从而每个都可以完全准备好正确分析第二个恶意软件,并且可以再次被恢复到其初始状态以分析任何和所有后续恶意软件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110854877.7A CN114048473A (zh) | 2021-07-27 | 2021-07-27 | 针对计算机的恶意软件的处理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110854877.7A CN114048473A (zh) | 2021-07-27 | 2021-07-27 | 针对计算机的恶意软件的处理方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114048473A true CN114048473A (zh) | 2022-02-15 |
Family
ID=80204587
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110854877.7A Withdrawn CN114048473A (zh) | 2021-07-27 | 2021-07-27 | 针对计算机的恶意软件的处理方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114048473A (zh) |
-
2021
- 2021-07-27 CN CN202110854877.7A patent/CN114048473A/zh not_active Withdrawn
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9516060B2 (en) | Malware analysis methods and systems | |
| US11416612B2 (en) | Protecting against malware code injections in trusted processes | |
| JP5908132B2 (ja) | プログラムの脆弱点を用いた攻撃の探知装置および方法 | |
| US7571482B2 (en) | Automated rootkit detector | |
| US9507939B1 (en) | Systems and methods for batch processing of samples using a bare-metal computer security appliance | |
| US9471780B2 (en) | System, method, and computer program product for mounting an image of a computer system in a pre-boot environment for validating the computer system | |
| US8719935B2 (en) | Mitigating false positives in malware detection | |
| US20160224789A1 (en) | System and method for hypervisor-based security | |
| JP2018041438A (ja) | ファイル中の悪意のあるコードの検出システム及び方法 | |
| US20080016572A1 (en) | Malicious software detection via memory analysis | |
| CN109074448B (zh) | 计算装置的安全状态与额定安全状态的偏差的检测 | |
| US11797676B2 (en) | Exception handlers in a sandbox environment for malware detection | |
| US10645099B1 (en) | Malware detection facilitated by copying a memory range from an emulator for analysis and signature generation | |
| US9330260B1 (en) | Detecting auto-start malware by checking its aggressive load point behaviors | |
| US10318731B2 (en) | Detection system and detection method | |
| US20060236108A1 (en) | Instant process termination tool to recover control of an information handling system | |
| US8201253B1 (en) | Performing security functions when a process is created | |
| KR101769714B1 (ko) | Bad usb 활성화 방지 시스템 및 방법 | |
| JP2008176352A (ja) | コンピュータプログラム、コンピュータ装置、及び動作制御方法 | |
| US11227052B2 (en) | Malware detection with dynamic operating-system-level containerization | |
| EP2881883B1 (en) | System and method for reducing load on an operating system when executing antivirus operations | |
| US9342694B2 (en) | Security method and apparatus | |
| CN114048473A (zh) | 针对计算机的恶意软件的处理方法 | |
| US11914711B2 (en) | Systems and methods for automatically generating malware countermeasures | |
| CN113569239A (zh) | 恶意软件分析方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| DD01 | Delivery of document by public notice |
Addressee: Wen Yanmei Document name: Review Business Special Letter |
|
| DD01 | Delivery of document by public notice | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20220215 |
|
| WW01 | Invention patent application withdrawn after publication |