CN115544504B - 一种检测恶意代码的方法和装置 - Google Patents
一种检测恶意代码的方法和装置 Download PDFInfo
- Publication number
- CN115544504B CN115544504B CN202211163157.7A CN202211163157A CN115544504B CN 115544504 B CN115544504 B CN 115544504B CN 202211163157 A CN202211163157 A CN 202211163157A CN 115544504 B CN115544504 B CN 115544504B
- Authority
- CN
- China
- Prior art keywords
- system information
- malicious
- application program
- code
- information content
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 143
- 230000008569 process Effects 0.000 claims abstract description 110
- 238000001514 detection method Methods 0.000 claims abstract description 51
- 238000012544 monitoring process Methods 0.000 claims abstract description 8
- 230000003068 static effect Effects 0.000 claims description 35
- 238000004364 calculation method Methods 0.000 claims description 13
- 238000004590 computer program Methods 0.000 claims description 13
- 238000007635 classification algorithm Methods 0.000 claims description 5
- 230000002159 abnormal effect Effects 0.000 claims description 4
- 238000012986 modification Methods 0.000 abstract description 4
- 230000004048 modification Effects 0.000 abstract description 4
- 238000005516 engineering process Methods 0.000 description 11
- 238000004458 analytical method Methods 0.000 description 5
- 230000006399 behavior Effects 0.000 description 5
- 230000008859 change Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 244000035744 Hura crepitans Species 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000005284 excitation Effects 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/561—Virus type analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开一种恶意代码的检测方法,评估向系统请求查询系统信息的进程是否为恶意应用程序,设置监测点从所述进程处接收系统信息的查询请求,恶意代码检测装置根据所述查询请求优先查询系统信息,根据请求查询的系统信息项的类型来确定所述进程的评分,判断所述评分是否满足预定条件,当所述得分满足预定条件时,修改该进程所查询的系统信息内容,所述修改该进程所查询的系统信息内容包括对系统信息进行虚拟设置,然后将所述虚拟设置后的系统信息发送到所述进程;若所述进程不执行接收到的虚拟设置的系统信息对应的操作,则判断该进程对应的应用程序存在潜在恶意;进行白名单匹配若存在于白名单,则判断所述存在潜在恶意的应用程序为正常应用。
Description
技术领域
本发明涉及计算机安全技术领域,尤其涉及一种检测恶意代码的方法和装置。
背景技术
互联网技术的蓬勃发展使人们的生活和工作方式发生了巨大变革,人们在享受着因特网提供便利的同时,也遭受着恶意程序带来的安全威胁,在数字化时代的今天,与恶意代码的对抗已成为信息领域的焦点。
传统的恶意代码检测技术是基于静态特征码的检测,而恶意程序采用的混淆、加密、加壳等技术,使得基于静态特征码的检测技术变得无能为力。恶意程序的动态分析技术解决了混淆、加密、加壳等技术问题,但恶意程序的变种及多态性却是动态分析无法解决的问题。
现有的恶意代码变种在实现上可大致分为两类:一类是基于基础技术的共用,恶意代码开发人员通过重用基础代码实现变种;一类是恶意代码专门针对现有防范技术而设计开发的混淆技术。混淆技术按实现机理可分为两类:一类是干扰反汇编的混淆,使反汇编无法得到正确结果,从而阻碍进一步分析;另一类是指令/控制流混淆,此类混淆技术通常采用垃圾代码插入、寄存器重分配、等价指令替换及代码变化等方式,改变代码的语法特征,隐藏其内部逻辑关系。目前已提出检测恶意代码变种的不同检测方法,当更复杂的恶意代码仍然层出不穷。
恶意代码变种的检测通常是基于一个特征向量,该向量标识了恶意代码的内在特征,良好的特征抽取算法是变种检测的关键环节。目前,主流的检测恶意代码的方法主要分为两类:基于恶意代码二进制的静态特征检测方法和基于恶意代码运行行为的动态检测方法。
基于静态特征的检测方法首先将可移植的执行体(PE,PortableExecute)文件转变为汇编文件,再通过分析恶意代码的静态文件结构、二进制字节码、反汇编后的代码、反汇编后的静态系统调用等获取恶意代码的静态特征,利用分类算法区分正常代码与恶意代码,实现已知和未知恶意代码的检测。基于静态特征的恶意代码检测通常容易受代码混淆技术(如加壳、变形、多态技术等)的影响,提高逆向(即将PE文件转变为汇编文件)的难度,使其几乎很难逆向或是不可能,而且静态检测方法没有真实地运行软件,判断是否为恶意代码的行为没有展现,误报和漏报的情况比较明显。基于动态特征的检测方法是将待检测目标程序放置在一个沙箱环境(如虚拟机)中,通过监控目标程序运行过程的行为来判断是否为恶意程序。动态检测方法又分为粗粒度方法和细粒度方法。粗粒度方法通过运行恶意代码分析其行为所对应的应用程序接口(API,ApplicationProgramInterface)调用序列来进行恶意代码检测,细粒度方法通过恶意代码的运行动态指令序列来进行检测。然而,动态检测方法是时间密集型和资源消耗型的方法,虚拟机执行包括2、执行、全路径探索来捕捉调用序列、退出等过程,动态检测方法的平均分析时间为3-5分钟。因此,动态检测方法可扩展性不足。而且,由于激发条件不能满足,一些恶意代码的行为不能表现出来。
同时,由于恶意代码具有在虚拟环境中不执行的反虚拟机技术,因此实际系统在未被恶意代码感染的状态下,也无法实现仅在虚拟环境中执行恶意代码来分析恶意代码的特征的方法。因此,需要能够弥补与恶意代码相关的局限性的研究。
例如现有技术ZL200810029174.5公开了一种恶意代码检测方法及系统,采用的恶意代码检测方法为:获得难以被恶意代码修改的第一系统信息,以及容易被恶意代码修改的第二系统信息;通过识别所述第一系统信息与第二系统信息的差异,检测出所述恶意代码。其中,所述系统信息包括进程信息、端口信息、文件信息、注册表信息、系统服务信息、服务提供商接口信息中一种或多种的组合。
显然,针对于反动态或者反静态检测,再或者是针对于反虚拟机的恶意代码现有技术都缺少一种对应性的检测方法。
发明内容
本发明旨在至少解决现有技术中存在的技术问题之一。为此,本发明公开一种恶意代码的检测方法,所述检测方法包括如下步骤:
步骤1,评估向系统请求查询系统信息的进程是否为恶意应用程序,设置监测点从所述进程处接收系统信息的查询请求,恶意代码检测装置根据所述查询请求优先查询系统信息;
步骤2,根据请求查询的系统信息项的类型来确定所述进程的评分,判断所述评分是否满足预定条件,当所述得分满足预定条件时,修改该进程所查询的系统信息内容,其中,所述修改该进程所查询的系统信息内容包括对系统信息进行虚拟设置,然后将所述虚拟设置后的系统信息发送到所述进程;
步骤3,若所述进程不执行接收到的虚拟设置的系统信息对应的操作,则判断该进程对应的应用程序存在潜在恶意;
步骤4,将判断为存在潜在恶意的应用程序与对应的程序白名单进行比较,若存在于所述白名单上,则判断所述存在潜在恶意的应用程序为正常应用,若不存在所述于所述白名单上时,则对所述存在潜在恶意的应用程序进行静态代码检测。
更进一步地,确定所述进程的评分进一步包括:对进程所请求查询的系统信息内容与参考系统信息内容之间进行相似度计算,并根据相似度计算结果确定所述进程的评分。
更进一步地,所述修改该进程所查询的系统信息内容包括对系统信息进行虚拟设置进一步包括:当对所述进程的评分大于或等于预定阈值时,则初步评估请求查询所述系统信息内容的所述进程是恶意代码,然后将所查询的系统信息虚拟配置为表示虚拟环境的系统信息内容。
更进一步地,所述对进程所请求查询的系统信息内容与参考系统信息内容之间进行相似度计算进一步包括:基于请求查看的系统信息内容与参考系统信息内容之间的相同内容的数量或百分比来确定相似度,其中,所述参考系统信息内容为硬盘信息、文件路径、进程和网络信息中的一种或者多种的组合。
更进一步地,系统信息还包括进程信息、端口信息、文件信息、注册表信息、系统服务信息、服务提供商接口信息中一种或多种的组合。
更进一步地,所述步骤4中的所述对所述存在潜在恶意的应用程序进行静态代码检测进一步包括:首先将存在潜在恶意的应用程序转变为汇编文件,若转变的所述汇编文件可读性正常,则通过分析恶意代码的静态文件结构、二进制字节码、反汇编后的代码、反汇编后的静态系统调用获取恶意代码的静态特征,利用分类算法区分正常代码与恶意代码,若转变的所述汇编文件可读性为非正常,则直接判定存在潜在恶意的应用程序为恶意程序。
本发明进一步公开了一种恶意代码的检测装置,通过恶意代码检测装置评估向系统请求查询系统信息的进程是否为恶意应用程序,所述检测装置包括如下模块:
进程信息获取模块,所述进程信息获取模块设置监测点从所述进程处接收系统信息的查询请求,恶意代码检测装置根据所述查询请求优先查询系统信息;
进程评分模块,根据请求查询的系统信息项的类型来确定所述进程的评分,判断所述评分是否满足预定条件,当所述得分满足预定条件时,修改该进程所查询的系统信息内容,其中,所述修改该进程所查询的系统信息内容包括对系统信息进行虚拟设置,然后将所述虚拟设置后的系统信息发送到所述进程;
第一判断模块,若所述进程不执行接收到的虚拟设置的系统信息对应的操作,则判断该进程对应的应用程序存在潜在恶意;
第二判断模块,将判断为存在潜在恶意的应用程序与对应的程序白名单进行比较,若存在于所述白名单上,则判断所述存在潜在恶意的应用程序为正常应用,若不存在所述于所述白名单上时,则对所述存在潜在恶意的应用程序进行静态代码检测。
更进一步地,确定所述进程的评分进一步包括:对进程所请求查询的系统信息内容与参考系统信息内容之间进行相似度计算,并根据相似度计算结果确定所述进程的评分。
本发明还公开了一种电子设备,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述的恶意代码的检测方法中的步骤。
本发明还公开了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述的恶意代码的检测方法中的步骤。
本发明与现有技术相比,本发明的有益效果是:本发明针对于应用程序的进程调用进行检测,设置多级检测方法,结合了针对于反虚拟机和反混淆的恶意代码的特点,首先进行动态检测的评分,若评分符合要求则进行反虚拟机的检测,若再符合要求,则进行静态检测,若程序同时具有反静态检测和反虚拟机检测的功能则直接认定为恶意代码,这是现有技术中不存在的,经过发明人的调查发现,正常的程序是不会同时具有反静态检测和反虚拟机检测的功能,基于此种特性,本发明可以极大的减少系统检测的运算量,并且识别出更多的恶意代码。
附图说明
从以下结合附图的描述可以进一步理解本发明。图中的部件不一定按比例绘制,而是将重点放在示出实施例的原理上。在图中,在不同的视图中,相同的附图标记指定对应的部分。
图1是本发明的一种恶意代码的检测方法的流程图。
具体实施方式
下面将结合附图及实施例对本发明的技术方案进行更详细的说明。
现在将参考附图描述实现本发明各个实施例的移动终端。在后续的描述中,使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本发明的说明,其本身并没有特定的意义。因此,"模块"与"部件"可以混合地使用。
移动终端可以以各种形式来实施。例如,本发明中描述的终端可以包括诸如移动电话、智能电话、笔记本电脑、数字广播接收器、PDA(个人数字助理)、PAD(平板电脑)、PMP(便携式多媒体播放器)、导航装置等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。下面,假设终端是移动终端。然而,本领域技术人员将理解的是,除了特别用于移动目的的元件之外,根据本发明的实施方式的构造也能够应用于固定类型的终端。
如图1所示的一种恶意代码的检测方法,所述检测方法包括如下步骤:
步骤1,评估向系统请求查询系统信息的进程是否为恶意应用程序,设置监测点从所述进程处接收系统信息的查询请求,恶意代码检测装置根据所述查询请求优先查询系统信息;
步骤2,根据请求查询的系统信息项的类型来确定所述进程的评分,判断所述评分是否满足预定条件,当所述得分满足预定条件时,修改该进程所查询的系统信息内容,其中,所述修改该进程所查询的系统信息内容包括对系统信息进行虚拟设置,然后将所述虚拟设置后的系统信息发送到所述进程;
步骤3,若所述进程不执行接收到的虚拟设置的系统信息对应的操作,则判断该进程对应的应用程序存在潜在恶意;
步骤4,将判断为存在潜在恶意的应用程序与对应的程序白名单进行比较,若存在于所述白名单上,则判断所述存在潜在恶意的应用程序为正常应用,若不存在所述于所述白名单上时,则对所述存在潜在恶意的应用程序进行静态代码检测。
更进一步地,确定所述进程的评分进一步包括:对进程所请求查询的系统信息内容与参考系统信息内容之间进行相似度计算,并根据相似度计算结果确定所述进程的评分。
更进一步地,所述修改该进程所查询的系统信息内容包括对系统信息进行虚拟设置进一步包括:当对所述进程的评分大于或等于预定阈值时,则初步评估请求查询所述系统信息内容的所述进程是恶意代码,然后将所查询的系统信息虚拟配置为表示虚拟环境的系统信息内容。
更进一步地,所述对进程所请求查询的系统信息内容与参考系统信息内容之间进行相似度计算进一步包括:基于请求查看的系统信息内容与参考系统信息内容之间的相同内容的数量或百分比来确定相似度,其中,所述参考系统信息内容为硬盘信息、文件路径、进程和网络信息中的一种或者多种的组合。
更进一步地,系统信息还包括进程信息、端口信息、文件信息、注册表信息、系统服务信息、服务提供商接口信息中一种或多种的组合。
更进一步地,所述步骤4中的所述对所述存在潜在恶意的应用程序进行静态代码检测进一步包括:首先将存在潜在恶意的应用程序转变为汇编文件,若转变的所述汇编文件可读性正常,则通过分析恶意代码的静态文件结构、二进制字节码、反汇编后的代码、反汇编后的静态系统调用获取恶意代码的静态特征,利用分类算法区分正常代码与恶意代码,若转变的所述汇编文件可读性为非正常,则直接判定存在潜在恶意的应用程序为恶意程序。
本发明进一步公开了一种恶意代码的检测装置,通过恶意代码检测装置评估向系统请求查询系统信息的进程是否为恶意应用程序,所述检测装置包括如下模块:
进程信息获取模块,所述进程信息获取模块设置监测点从所述进程处接收系统信息的查询请求,恶意代码检测装置根据所述查询请求优先查询系统信息;
进程评分模块,根据请求查询的系统信息项的类型来确定所述进程的评分,判断所述评分是否满足预定条件,当所述得分满足预定条件时,修改该进程所查询的系统信息内容,其中,所述修改该进程所查询的系统信息内容包括对系统信息进行虚拟设置,然后将所述虚拟设置后的系统信息发送到所述进程;
第一判断模块,若所述进程不执行接收到的虚拟设置的系统信息对应的操作,则判断该进程对应的应用程序存在潜在恶意;
第二判断模块,将判断为存在潜在恶意的应用程序与对应的程序白名单进行比较,若存在于所述白名单上,则判断所述存在潜在恶意的应用程序为正常应用,若不存在所述于所述白名单上时,则对所述存在潜在恶意的应用程序进行静态代码检测。
更进一步地,确定所述进程的评分进一步包括:对进程所请求查询的系统信息内容与参考系统信息内容之间进行相似度计算,并根据相似度计算结果确定所述进程的评分。
本发明还公开了一种电子设备,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述的恶意代码的检测方法中的步骤。
本发明还公开了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述的恶意代码的检测方法中的步骤。还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
虽然上面已经参考各种实施例描述了本发明,但是应当理解,在不脱离本发明的范围的情况下,可以进行许多改变和修改。因此,其旨在上述详细描述被认为是例示性的而非限制性的,并且应当理解,以下权利要求(包括所有等同物)旨在限定本发明的精神和范围。以上这些实施例应理解为仅用于说明本发明而不用于限制本发明的保护范围。在阅读了本发明的记载的内容之后,技术人员可以对本发明作各种改动或修改,这些等效变化和修饰同样落入本发明权利要求所限定的范围。
Claims (6)
1.一种恶意代码的检测方法,其特征在于,所述检测方法包括如下步骤:
步骤1,向系统请求查询系统信息的进程是否为恶意应用程序,设置监测点从所述进程处接收系统信息的查询请求,恶意代码检测装置根据所述查询请求优先查询系统信息;
步骤2,根据请求查询的系统信息项的类型来确定所述进程的评分,判断所述评分是否满足预定条件,当所述评分满足预定条件时,修改该进程所查询的系统信息内容,其中,所述修改该进程所查询的系统信息内容包括对系统信息进行虚拟设置,然后将所述虚拟设置后的系统信息发送到所述进程,其中,确定所述进程的评分进一步包括:对进程所请求查询的系统信息内容与参考系统信息内容之间进行相似度计算,并根据相似度计算结果确定所述进程的评分,所述修改该进程所查询的系统信息内容包括对系统信息进行虚拟设置进一步包括:当对所述进程的评分大于或等于预定阈值时,则初步评估请求查询所述系统信息内容的所述进程是恶意代码,然后将所查询的系统信息虚拟配置为表示虚拟环境的系统信息内容;
步骤3,若所述进程不执行接收到的虚拟设置的系统信息对应的操作,则判断该进程对应的应用程序存在潜在恶意;
步骤4,将判断为存在潜在恶意的应用程序与对应的程序白名单进行比较,若存在于所述白名单上,则判断所述存在潜在恶意的应用程序为正常应用,若不存在所述于所述白名单上时,则对所述存在潜在恶意的应用程序进行静态代码检测,其中,所述对所述存在潜在恶意的应用程序进行静态代码检测进一步包括:首先将存在潜在恶意的应用程序转变为汇编文件,若转变的所述汇编文件可读性正常,则通过分析恶意代码的静态文件结构、二进制字节码、反汇编后的代码、反汇编后的静态系统调用获取恶意代码的静态特征,利用分类算法区分正常代码与恶意代码,若转变的所述汇编文件可读性为非正常,则直接判定存在潜在恶意的应用程序为恶意程序。
2.如权利要求1所述的一种恶意代码的检测方法,其特征在于,所述对进程所请求查询的系统信息内容与参考系统信息内容之间进行相似度计算进一步包括:基于请求查看的系统信息内容与参考系统信息内容之间的相同内容的数量或百分比来确定相似度,其中,所述参考系统信息内容为硬盘信息、文件路径、进程和网络信息中的一种或者多种的组合。
3.如权利要求2所述的一种恶意代码的检测方法,其特征在于,系统信息还包括进程信息、端口信息、文件信息、注册表信息、系统服务信息、服务提供商接口信息中一种或多种的组合。
4.一种恶意代码的检测装置,通过恶意代码检测装置向系统请求查询系统信息的进程是否为恶意应用程序,其特征在于,所述检测装置包括如下模块:
进程信息获取模块,所述进程信息获取模块设置监测点从所述进程处接收系统信息的查询请求,恶意代码检测装置根据所述查询请求优先查询系统信息;
进程评分模块,根据请求查询的系统信息项的类型来确定所述进程的评分,判断所述评分是否满足预定条件,当所述评分满足预定条件时,修改该进程所查询的系统信息内容,其中,所述修改该进程所查询的系统信息内容包括对系统信息进行虚拟设置,然后将所述虚拟设置后的系统信息发送到所述进程,其中,确定所述进程的评分进一步包括:对进程所请求查询的系统信息内容与参考系统信息内容之间进行相似度计算,并根据相似度计算结果确定所述进程的评分,所述修改该进程所查询的系统信息内容包括对系统信息进行虚拟设置进一步包括:当对所述进程的评分大于或等于预定阈值时,则初步评估请求查询所述系统信息内容的所述进程是恶意代码,然后将所查询的系统信息虚拟配置为表示虚拟环境的系统信息内容;
第一判断模块,若所述进程不执行接收到的虚拟设置的系统信息对应的操作,则判断该进程对应的应用程序存在潜在恶意;
第二判断模块,将判断为存在潜在恶意的应用程序与对应的程序白名单进行比较,若存在于所述白名单上,则判断所述存在潜在恶意的应用程序为正常应用,若不存在所述于所述白名单上时,则对所述存在潜在恶意的应用程序进行静态代码检测,其中,所述对所述存在潜在恶意的应用程序进行静态代码检测进一步包括:首先将存在潜在恶意的应用程序转变为汇编文件,若转变的所述汇编文件可读性正常,则通过分析恶意代码的静态文件结构、二进制字节码、反汇编后的代码、反汇编后的静态系统调用获取恶意代码的静态特征,利用分类算法区分正常代码与恶意代码,若转变的所述汇编文件可读性为非正常,则直接判定存在潜在恶意的应用程序为恶意程序。
5.一种电子设备,其特征在于,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如权利要求1至3中任一项所述的恶意代码的检测方法中的步骤。
6.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至3中任一项所述的恶意代码的检测方法中的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211163157.7A CN115544504B (zh) | 2022-09-23 | 2022-09-23 | 一种检测恶意代码的方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211163157.7A CN115544504B (zh) | 2022-09-23 | 2022-09-23 | 一种检测恶意代码的方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115544504A CN115544504A (zh) | 2022-12-30 |
CN115544504B true CN115544504B (zh) | 2023-12-29 |
Family
ID=84729557
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211163157.7A Active CN115544504B (zh) | 2022-09-23 | 2022-09-23 | 一种检测恶意代码的方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115544504B (zh) |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101154258A (zh) * | 2007-08-14 | 2008-04-02 | 电子科技大学 | 恶意程序动态行为自动化分析系统与方法 |
CN107590388A (zh) * | 2017-09-12 | 2018-01-16 | 南方电网科学研究院有限责任公司 | 恶意代码检测方法和装置 |
CN107609396A (zh) * | 2017-09-22 | 2018-01-19 | 杭州安恒信息技术有限公司 | 一种基于沙箱虚拟机的逃逸检测方法 |
KR102023746B1 (ko) * | 2019-03-26 | 2019-09-20 | 넷마블 주식회사 | 악성코드 탐지 방법 및 장치 |
CN111460445A (zh) * | 2020-03-04 | 2020-07-28 | 奇安信科技集团股份有限公司 | 样本程序恶意程度自动识别方法及装置 |
CN112580041A (zh) * | 2019-09-30 | 2021-03-30 | 奇安信安全技术(珠海)有限公司 | 恶意程序检测方法及装置、存储介质、计算机设备 |
CN113688391A (zh) * | 2021-08-31 | 2021-11-23 | 南方电网科学研究院有限责任公司 | 一种电力软件恶意代码监测方法、系统、设备和介质 |
CN114637990A (zh) * | 2020-12-15 | 2022-06-17 | 网神信息技术(北京)股份有限公司 | 文件恶意度的评估方法、装置、电子设备和介质 |
-
2022
- 2022-09-23 CN CN202211163157.7A patent/CN115544504B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101154258A (zh) * | 2007-08-14 | 2008-04-02 | 电子科技大学 | 恶意程序动态行为自动化分析系统与方法 |
CN107590388A (zh) * | 2017-09-12 | 2018-01-16 | 南方电网科学研究院有限责任公司 | 恶意代码检测方法和装置 |
CN107609396A (zh) * | 2017-09-22 | 2018-01-19 | 杭州安恒信息技术有限公司 | 一种基于沙箱虚拟机的逃逸检测方法 |
KR102023746B1 (ko) * | 2019-03-26 | 2019-09-20 | 넷마블 주식회사 | 악성코드 탐지 방법 및 장치 |
CN112580041A (zh) * | 2019-09-30 | 2021-03-30 | 奇安信安全技术(珠海)有限公司 | 恶意程序检测方法及装置、存储介质、计算机设备 |
CN111460445A (zh) * | 2020-03-04 | 2020-07-28 | 奇安信科技集团股份有限公司 | 样本程序恶意程度自动识别方法及装置 |
CN114637990A (zh) * | 2020-12-15 | 2022-06-17 | 网神信息技术(北京)股份有限公司 | 文件恶意度的评估方法、装置、电子设备和介质 |
CN113688391A (zh) * | 2021-08-31 | 2021-11-23 | 南方电网科学研究院有限责任公司 | 一种电力软件恶意代码监测方法、系统、设备和介质 |
Also Published As
Publication number | Publication date |
---|---|
CN115544504A (zh) | 2022-12-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8713680B2 (en) | Method and apparatus for modeling computer program behaviour for behavioural detection of malicious program | |
KR101337874B1 (ko) | 파일 유전자 지도를 이용하여 파일의 악성코드 포함 여부를 판단하는 방법 및 시스템 | |
US10505960B2 (en) | Malware detection by exploiting malware re-composition variations using feature evolutions and confusions | |
US20090133126A1 (en) | Apparatus and method for detecting dll inserted by malicious code | |
US8661543B2 (en) | Mobile terminal having security diagnosis functionality and method of making diagnosis on security of mobile terminal | |
JP2015511047A (ja) | マルウェアを検出するコンピューティングデバイス | |
CN114500043A (zh) | 基于同源性分析的物联网固件漏洞检测方法及系统 | |
KR101421136B1 (ko) | 악성 프로그램을 검사하기 위하여 컴퓨터 프로그램의행동을 모델링하는 방법 및 장치 | |
CN115544504B (zh) | 一种检测恶意代码的方法和装置 | |
CN111460448B (zh) | 一种恶意软件家族检测方法及装置 | |
US11361077B2 (en) | Kernel-based proactive engine for malware detection | |
CN113706158A (zh) | 一种基于云支付的大数据入侵防护分析方法及系统 | |
CN111460449A (zh) | 应用程序识别方法、系统、存储介质以及电子设备 | |
CN110611675A (zh) | 向量级检测规则生成方法、装置、电子设备及存储介质 | |
CN116595523A (zh) | 基于动态编排的多引擎文件检测方法、系统、设备及介质 | |
CN112347479B (zh) | 恶意软件检测的误报纠正方法、装置、设备和存储介质 | |
CN112632548B (zh) | 一种恶意安卓程序检测方法、装置,电子设备及存储介质 | |
CN111240696A (zh) | 移动恶意程序相似模块提取方法 | |
CN110175453B (zh) | 一种判断作弊操作的方法和装置 | |
CN110069926B (zh) | Android重打包应用的恶意代码定位方法、存储介质和终端 | |
CN108958929B (zh) | 应用算法库的方法、装置、存储介质及电子设备 | |
CN113094709B (zh) | 风险应用的检测方法、装置和服务器 | |
CN113051560B (zh) | 终端行为的安全识别方法和装置 | |
CN112380530B (zh) | 一种同源apk检测方法、终端设备及存储介质 | |
Zhan et al. | DroidExaminer: An Android Malware Hybrid Detection System Based on Ensemble Learning |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |