CN114611105A - 一种有害脚本识别方法、装置、设备及存储介质 - Google Patents

一种有害脚本识别方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN114611105A
CN114611105A CN202210240626.4A CN202210240626A CN114611105A CN 114611105 A CN114611105 A CN 114611105A CN 202210240626 A CN202210240626 A CN 202210240626A CN 114611105 A CN114611105 A CN 114611105A
Authority
CN
China
Prior art keywords
script
action
behavior
harmful
file
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210240626.4A
Other languages
English (en)
Inventor
刘庆林
陈建
刘正伟
魏海宇
谢辉
高鹏
吴小勇
李小琼
康柏荣
王鲲
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Zorelworld Information Technology Co ltd
Original Assignee
Beijing Zorelworld Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Zorelworld Information Technology Co ltd filed Critical Beijing Zorelworld Information Technology Co ltd
Priority to CN202210240626.4A priority Critical patent/CN114611105A/zh
Publication of CN114611105A publication Critical patent/CN114611105A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本申请公开了一种有害脚本识别方法、装置、设备及存储介质。该方法包括首先通过钩挂COM对象虚函数监控脚本的动作行为,对监控到的脚本的动作行为及对应的行为描述结构进行记录;当监控到目标脚本的动作行为为危险动作时,将目标脚本的动作行为所对应的行为描述结构与预设的有害脚本行为规则进行匹配;当匹配成功时,则确定目标脚本为有害脚本,可以看出,本申请的技术方案使得在当前严峻的木马、病毒威胁环境下,提升未知脚本木马、病毒的发现及防御能力,代替传统以特征码为主的防御策略,提升终端安全软件的防御能力,保障用户电脑的安全性。

Description

一种有害脚本识别方法、装置、设备及存储介质
技术领域
本发明涉及计算机技术领域,特别涉及一种有害脚本识别方法、装置、设备及存储介质。
背景技术
由于脚本语言学习和程序编写简单,致使大量的脚本病毒出现,而脚本病毒本身就是病毒源代码或者通过简单转换很容易得到病毒源代码,所以它的传播、变种更加广泛,加之脚本病毒文件本身没有像PE等二进制文件的特定格式,所以脚本病毒更容易实自变形导致更多的变种出现,急剧增加了脚本病毒对计算机造成的危害。
目前安全软件对病毒的识别方法仍然采用特征值匹配方法:特征值匹配方法是对程序、代码、数据中的部分(或全部)程序、代码、数据信息与已有的特征数据信息进行比对来判断病毒的方法。特征匹值配是目前杀毒软件用于识别病毒的主要方法,特征值匹配对已出现的脚本病毒可以准确的匹配到,但由于脚本病毒本身就是脚本源代码或者通过简单转换很容易得到脚本源代码,再加上脚本程序致使编写简单等特点,修改病毒变得非常容易,加上脚本本身的自变形、加密,病毒的变种以及新的脚本病毒很快会大量出现,而特征匹配永远滞后于变种以及新病毒的出现。
发明内容
基于此,本申请实施例提供了一种有害脚本识别方法、装置、设备及存储介质,解决了目前杀毒软件特征值匹配滞后的问题,更好的保护了计算机不受脚本病毒的侵害。
第一方面,提供了一种有害脚本识别方法,该方法包括:
通过钩挂COM对象虚函数监控脚本的动作行为,对监控到的所述脚本的动作行为及对应的行为描述结构进行记录;
当监控到目标脚本的动作行为为危险动作时,将所述目标脚本的动作行为所对应的行为描述结构与预设的有害脚本行为规则进行匹配;
当匹配成功时,则确定所述目标脚本为有害脚本。
可选地,所述通过钩挂COM对象虚函数监控脚本的动作行为,包括:
通过钩挂COM对象虚函数监控脚本的文件操作,其中,所述文件操作至少包括自拷贝动作、删除文件动作、修改文件动作、创建文件动作;
通过钩挂COM对象虚函数监控脚本的创建进程操作,其中,所述创建进程操作至少包括执行程序动作;
通过钩挂COM对象虚函数监控脚本的注册表操作,其中,所述注册表操作至少包括写自启动项动作
通过钩挂COM对象虚函数监控脚本的邮件发送操作,其中,所述邮件发送操作至少包括发送邮件动作,添加邮件附件动作
通过钩挂COM对象虚函数监控脚本的Internet访问操作,其中,所述Internet访问操作至少包括Internet访问动作、下载程序动作。
可选地,所述脚本的动作行为包括监控动作和危险动作,其中:
所述监控动作包括:自拷贝动作、下载程序动作、添加邮件附件动作、Internet访问动作以及创建文件动作;
所述危险动作包括:写自启动项动作、发邮件动作、执行程序动作、删除文件动作、修改文件动作以及写StartPage注册表项。
可选地,,有害脚本行为规则包括:
邮件蠕虫规则一:遍历地址本,发送邮件;
邮件蠕虫规则二:添加脚本文件附件,发送邮件;
下载者木马规则一:下载程序文件并执行该程序文件;
下载者木马规则二:下载程序文件并为该程序文件添加启动项;
P2P蠕虫规则:拷贝脚本自身到P2P软件共享目录;
Autorun蠕虫规则:修改或创建磁盘根目录Autorun.inf文件启动程序;
StartPage木马规则:修改StartPage注册表项;
恶意删除、修改系统文件病毒规则:删除、修改操作系统相关文件。
可选地,所述将所述目标脚本的动作行为所对应的行为描述结构与预设的有害脚本行为规则进行匹配,包括:
发现脚本解释程序运行;
定位脚本文件,对脚本的动作行为进行监控并记录到行为描述结构;
对记录的行为描述结构与有害脚本行为规则库进行比较;
根据比较结果判断是否是有害脚本行为。
可选地,所述方法还包括:
当确定所述目标脚本为有害脚本,则报警并阻止脚本继续执行。
第二方面,提供了一种有害脚本识别装置,该装置包括:
监控模块,用于通过钩挂COM对象虚函数监控脚本的动作行为,对监控到的所述脚本的动作行为及对应的行为描述结构进行记录;
匹配模块,用于当监控到目标脚本的动作行为为危险动作时,将所述目标脚本的动作行为所对应的行为描述结构与预设的有害脚本行为规则进行匹配;
确定模块,用于当匹配成功时,则确定所述目标脚本为有害脚本。
第三方面,提供了一种电子设备,包括存储器和处理器,存储器存储有计算机程序,处理器执行计算机程序时实现上述第一方面任一所述的一种有害脚本识别方法。
第四方面,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述第一方面任一所述的一种有害脚本识别方法。
本申请实施例提供的技术方案中,首先通过钩挂COM对象虚函数监控脚本的动作行为,对监控到的脚本的动作行为及对应的行为描述结构进行记录;当监控到目标脚本的动作行为为危险动作时,将目标脚本的动作行为所对应的行为描述结构与预设的有害脚本行为规则进行匹配;当匹配成功时,则确定目标脚本为有害脚本,可以看出,本申请的技术方案使得在当前严峻的木马、病毒威胁情况下,提升未知脚本木马、病毒的发现及防御能力,代替传统以特征码为主的防御策略,提升终端安全软件的防御能力,保障用户电脑的安全性。
附图说明
为了更清楚地说明本发明的实施方式或现有技术中的技术方案,下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是示例性的,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图引伸获得其它的实施附图。
图1为本申请实施例提供的一种有害脚本识别方法的步骤流程图;
图2为本申请实施例提供的电子证据保全处理的步骤流程图;
图3为本申请实施例提供的一种有害脚本识别装置的框图;
图4为本申请实施例提供的一种电子设备的示意图。
具体实施方式
以下由特定的具体实施例说明本发明的实施方式,熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本发明的其他优点及功效,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
现有监控脚本的行为是通过对操作系统底层API的钩挂实现,这种方法实现中监控的位置是图1中API层和kernel层,虽然脚本程序对COM组件的调用最终会调用到API和Kernel层,但在这两层上的监控的行为对象是COM组件服务提供者而非执行脚本的宿主程序,也就是说此时监控的行为和脚本本身失去了联系,不能判定为脚本的行为,比如一个脚本病毒在发送邮件时,首先要创建一个”Outlook.Application”COM对象,然后启动”Outlook.Application”组件的提供者Outlook程序来发送邮件,这种监控方式只能发现Outlook进程在25端口上传输数据的行为,行为的对象是Outlook进程,不能判断是脚本病毒的行为。
而本发明中监控脚本行为的方法所采用的是对COM对象虚函数的钩挂实现的监控方法。所监控动作行为分为监控动作和危险动作,监控过程中记录脚本动作行为到行为描述结构,当监控到危险动作时把所记录的行为描述结构与有害脚本行为规则进行匹配来判断是否有害脚本。
为便于对本实施例进行理解,首先对本申请实施例所公开的一种有害脚本识别方法进行详细介绍。
请参考图2,其示出了本申请实施例提供的一种有害脚本识别方法的流程图,该方法可以包括以下步骤:
步骤101,通过钩挂COM对象虚函数监控脚本的动作行为,对监控到的脚本的动作行为及对应的行为描述结构进行记录。
其中,对于脚本的监控主要包括有:
(1)文件操作的监控
通过钩挂COM组件的文件操作虚函数实现脚本病毒文件操作监控(如Scripting.FileSystemObject对象的CopyFile虚函数监控复制文件操作),监控的动作有:自拷贝动作、删除文件动作、修改文件动作、创建文件动作。
(2)创建进程的监控
通过钩挂COM组件的进程创建虚函数监控脚本创建进程(如Shell.Application对象的ShellExecute虚函数),监控的动作:执行程序动作。
(3)注册表操作的监控
通过钩挂COM组件的注册表操作虚函数监控脚本的注册表操作(如WScript.Shell对象的RegWrite监控写注册表操作),监控的动作:写自启动项动作。
(4)邮件发送的监控
通过钩挂COM组件的邮件发送虚函数来监控脚本的邮件发送操作(如CDO.Message对象的Send函数监控邮件发送操作),监控的动作有:发送邮件动作,添加邮件附件动作。
(5)Internet访问的监控
通过钩挂COM组件的Internet访问虚函数监控脚本的Internet访问(如msxml2.XMLHTTP的send虚函数监控一个HTTP发送请求),监控的动作有:Internet访问动作、下载程序动作。
并且本申请实施例中,监控并记录的动作行为包括:
1)监控动作:指脚本的动作可能影响计算机安全,需要对其进行实时监控;
2)危险动作:该动作首先是一个监控动作,该动作可能威胁到计算机安全;
监控动作包括:
1)自拷贝动作、2)下载程序动作、3)添加邮件附件动作、4)Internet访问动作、5)创建文件动作。
危险动作包括:
1)写自启动项动作、2)发邮件动作、3)执行程序动作、4)删除文件动作、5)修改文件动作、6)写StartPage注册表项。
步骤102,当监控到目标脚本的动作行为为危险动作时,将目标脚本的动作行为所对应的行为描述结构与预设的有害脚本行为规则进行匹配。
本申请实施例中中的有害脚本行为规则包括:
邮件蠕虫规则一:遍历地址本,发送邮件;
邮件蠕虫规则二:添加脚本文件附件,发送邮件;
下载者木马规则一:下载程序文件并执行该程序文件;
下载者木马规则二:下载程序文件并为该程序文件添加启动项;
P2P蠕虫规则:拷贝脚本自身到P2P软件共享目录;
Autorun蠕虫规则:修改或创建磁盘根目录Autorun.inf文件启动程序;
StartPage木马规则:修改StartPage注册表项;
恶意删除、修改系统文件病毒规则:删除、修改操作系统相关文件;比如删除ntldr,修改system.ini文件【boot】节shell项等。
在本申请实施例中,将目标脚本的动作行为所对应的行为描述结构与预设的有害脚本行为规则进行匹配,具体包括了:
步骤1021,发现脚本解释程序运行;
步骤1022,定位脚本文件,对脚本的动作行为进行监控并记录到行为描述结构;
步骤1023,对记录的行为描述结构与有害脚本行为规则库进行比较。
步骤103,当匹配成功时,则确定目标脚本为有害脚本。
根据比较结果判断是否是有害脚本行为:是,则报警并阻止脚本继续执行;否,则继续步骤1023,即对记录的行为描述结构与有害脚本行为规则库进行比较。
以HappyTime脚本病毒来实例说明识别有害脚本行为的过程:HappyTime病毒会在Windows目录下创建Help.vbs,Untitled.html病毒文件,此动作行为是一个监控动作,记录创建文件动作到行为描述结构,然后HappyTime病毒会写注册表项HKEY_CURRENT_USER\Software\Help\Wallpaper及HKEY_CURRENT_USER\ControlPanel\desktop\wallPaper用来启动生成的脚本病毒,此动作行为是一个危险动作,记录写自启动项动作到行为描述结构,将记录的行为描述结构与有害脚本行为规则进行匹配,没有与之匹配的有害脚本行为规则,继续进行动作行为监控,病毒搜索Windows\WEB目录下的HTML,ASP等文件在文件末尾加入脚本病毒代码,此动作是一个危险动作,记录修改文件动作到行为描述结构,将记录的行为描述结构与有害脚本行为规则进行匹配,没有与之匹配的有害脚本行为规则,继续进行动作行为监控,病毒搜索邮件地址并发送病毒文件邮件,此行为会触发一个添加邮件附件的监控动作,和一个发送邮件的危险动作,记录动作行为到行为描述结构,将记录的行为描述结构与有害脚本行为规则进行匹配,与邮件蠕虫规则二(添加脚本文件附件,发送邮件)匹配,判定此脚本为邮件蠕虫型脚本病毒,报警提示用户并阻止邮件发送,恢复注册表项,恢复被修改文件,删除生成的脚本病毒文件。
请参考图3,其示出了本申请实施例提供的一种有害脚本识别装置200的框图。如图3所示,该装置200可以包括:监控模块201、匹配模块202、确定模块203。
监控模块201,用于通过钩挂COM对象虚函数监控脚本的动作行为,对监控到的脚本的动作行为及对应的行为描述结构进行记录;
匹配模块202,用于当监控到目标脚本的动作行为为危险动作时,将目标脚本的动作行为所对应的行为描述结构与预设的有害脚本行为规则进行匹配;
确定模块203,用于当匹配成功时,则确定目标脚本为有害脚本。
关于一种有害脚本识别装置的具体限定可以参见上文中对于一种有害脚本识别方法的限定,在此不再赘述。上述一种有害脚本识别装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种电子设备,该电子设备可以是计算机,其内部结构图可以如图4所示。该电子设备包括通过系统总线连接的处理器、存储器和网络接口。其中,该设备的处理器用于提供计算和控制能力。该设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于一种有害脚本识别数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种有害脚本识别方法。
本领域技术人员可以理解,如图4中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在本申请的一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述一种有害脚本识别方法的步骤。
本实施例提供的计算机可读存储介质,其实现原理和技术效果与上述方法实施例类似,在此不再赘述。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以M种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(SyMchliMk)DRAM(SLDRAM)、存储器总线(RaMbus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。

Claims (9)

1.一种有害脚本识别方法,其特征在于,所述方法包括:
通过钩挂COM对象虚函数监控脚本的动作行为,对监控到的所述脚本的动作行为及对应的行为描述结构进行记录;
当监控到目标脚本的动作行为为危险动作时,将所述目标脚本的动作行为所对应的行为描述结构与预设的有害脚本行为规则进行匹配;
当匹配成功时,则确定所述目标脚本为有害脚本。
2.根据权利要求1所述的方法,其特征在于,所述通过钩挂COM对象虚函数监控脚本的动作行为,包括:
通过钩挂COM对象虚函数监控脚本的文件操作,其中,所述文件操作至少包括自拷贝动作、删除文件动作、修改文件动作、创建文件动作;
通过钩挂COM对象虚函数监控脚本的创建进程操作,其中,所述创建进程操作至少包括执行程序动作;
通过钩挂COM对象虚函数监控脚本的注册表操作,其中,所述注册表操作至少包括写自启动项动作
通过钩挂COM对象虚函数监控脚本的邮件发送操作,其中,所述邮件发送操作至少包括发送邮件动作,添加邮件附件动作
通过钩挂COM对象虚函数监控脚本的Internet访问操作,其中,所述Internet访问操作至少包括Internet访问动作、下载程序动作。
3.根据权利要求1所述的方法,其特征在于,所述脚本的动作行为包括监控动作和危险动作,其中:
所述监控动作包括:自拷贝动作、下载程序动作、添加邮件附件动作、Internet访问动作以及创建文件动作;
所述危险动作包括:写自启动项动作、发邮件动作、执行程序动作、删除文件动作、修改文件动作以及写StartPage注册表项。
4.根据权利要求1所述的方法,其特征在于,有害脚本行为规则包括:
邮件蠕虫规则一:遍历地址本,发送邮件;
邮件蠕虫规则二:添加脚本文件附件,发送邮件;
下载者木马规则一:下载程序文件并执行该程序文件;
下载者木马规则二:下载程序文件并为该程序文件添加启动项;
P2P蠕虫规则:拷贝脚本自身到P2P软件共享目录;
Autorun蠕虫规则:修改或创建磁盘根目录Autorun.inf文件启动程序;
StartPage木马规则:修改StartPage注册表项;
恶意删除、修改系统文件病毒规则:删除、修改操作系统相关文件。
5.根据权利要求1所述的方法,其特征在于,所述将所述目标脚本的动作行为所对应的行为描述结构与预设的有害脚本行为规则进行匹配,包括:
发现脚本解释程序运行;
定位脚本文件,对脚本的动作行为进行监控并记录到行为描述结构;
对记录的行为描述结构与有害脚本行为规则库进行比较;
根据比较结果判断是否是有害脚本行为。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当确定所述目标脚本为有害脚本,则报警并阻止脚本继续执行。
7.一种有害脚本识别装置,其特征在于,所述装置包括:
监控模块,用于通过钩挂COM对象虚函数监控脚本的动作行为,对监控到的所述脚本的动作行为及对应的行为描述结构进行记录;
匹配模块,用于当监控到目标脚本的动作行为为危险动作时,将所述目标脚本的动作行为所对应的行为描述结构与预设的有害脚本行为规则进行匹配;
确定模块,用于当匹配成功时,则确定所述目标脚本为有害脚本。
8.一种电子设备,其特征在于,包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时实现如权利要求1至6任一所述的一种有害脚本识别方法。
9.一种计算机可读存储介质,其特征在于,其上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至6任一所述的一种有害脚本识别方法。
CN202210240626.4A 2022-03-10 2022-03-10 一种有害脚本识别方法、装置、设备及存储介质 Pending CN114611105A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210240626.4A CN114611105A (zh) 2022-03-10 2022-03-10 一种有害脚本识别方法、装置、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210240626.4A CN114611105A (zh) 2022-03-10 2022-03-10 一种有害脚本识别方法、装置、设备及存储介质

Publications (1)

Publication Number Publication Date
CN114611105A true CN114611105A (zh) 2022-06-10

Family

ID=81862797

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210240626.4A Pending CN114611105A (zh) 2022-03-10 2022-03-10 一种有害脚本识别方法、装置、设备及存储介质

Country Status (1)

Country Link
CN (1) CN114611105A (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101587522A (zh) * 2009-06-17 2009-11-25 北京东方微点信息技术有限责任公司 识别脚本病毒的方法及系统
CN109145598A (zh) * 2017-06-19 2019-01-04 腾讯科技(深圳)有限公司 脚本文件的病毒检测方法、装置、终端及存储介质

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101587522A (zh) * 2009-06-17 2009-11-25 北京东方微点信息技术有限责任公司 识别脚本病毒的方法及系统
CN109145598A (zh) * 2017-06-19 2019-01-04 腾讯科技(深圳)有限公司 脚本文件的病毒检测方法、装置、终端及存储介质

Similar Documents

Publication Publication Date Title
US10810164B2 (en) Securing access to functionality of a file-based write filter
US10284591B2 (en) Detecting and preventing execution of software exploits
US20100306851A1 (en) Method and apparatus for preventing a vulnerability of a web browser from being exploited
KR101122787B1 (ko) 보안관련 프로그래밍 인터페이스
US8635438B2 (en) Method and system of file manipulation during early boot time by accessing user-level data associated with a kernel-level function
WO2014071867A1 (zh) 程序处理方法和系统,用于程序处理的客户端和服务器
US10346320B2 (en) Restricting applications and users that can make persistent changes to artifacts
CN108322458B (zh) Web应用入侵检测方法、系统、计算机设备和存储介质
CN113391874A (zh) 一种虚拟机检测对抗方法、装置、电子设备及存储介质
EP1512060B1 (en) Tamper evident removable media storing executable code
US20240061933A1 (en) Systems and methods for causing nonpredictable environment states for exploit prevention and malicious code neutralization for javascript-enabled applications
US7620983B1 (en) Behavior profiling
CN114611105A (zh) 一种有害脚本识别方法、装置、设备及存储介质
CN108304699B (zh) 一种对安全软件进行保护的方法及装置
CN112241529A (zh) 恶意代码检测方法、装置、存储介质和计算机设备
US10783249B2 (en) Root virus removal method and apparatus, and electronic device
CN112464225A (zh) 一种请求处理方法、请求处理装置及计算机可读存储介质
US8225104B1 (en) Data access security
CN115859274B (zh) 一种监控Windows进程清空系统事件日志行为的方法及系统
US11507673B1 (en) Adaptive cyber-attack emulation
JP7255681B2 (ja) 実行制御システム、実行制御方法、及びプログラム
CN115080966B (zh) 动态白名单驱动方法及系统
KR20190020999A (ko) 악성프로그램 처리장치 및 처리방법
CN115185568A (zh) 一种函数Hook更新方法、装置、电子设备及存储介质
CN114254320A (zh) 网络攻击回溯方法、装置、计算机设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination