CN115758351B - 一种php内存马的检测方法及装置 - Google Patents
一种php内存马的检测方法及装置 Download PDFInfo
- Publication number
- CN115758351B CN115758351B CN202211419861.4A CN202211419861A CN115758351B CN 115758351 B CN115758351 B CN 115758351B CN 202211419861 A CN202211419861 A CN 202211419861A CN 115758351 B CN115758351 B CN 115758351B
- Authority
- CN
- China
- Prior art keywords
- function
- file
- php
- judging
- memory
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例涉及一种PHP内存马的检测方法及装置,所述方法包括:响应于PHP文件启动PHP进程;采用钩子函数挂钩该PHP文件中的第一函数和第二函数;针对第一函数的执行请求,若该执行请求中程序执行时间的参数值设置为0,则判定该PHP文件满足第一判定条件;针对第二函数的执行请求,若该执行请求中文件删除操作的参数值设置为该PHP文件本身,则判定该PHP文件满足第二判定条件;将同时满足第一判定条件和第二判定条件的PHP文件判定为内存马文件。本发明实施例的技术方案,通过挂钩方式监控当前执行的PHP文件对文件删除、设置执行时间等操作,当有PHP内存马文件尝试利用两种操作维持自身权限和隐藏自身时,能够实时被监测并且具有较高的准确率。
Description
技术领域
本发明实施例涉及计算机网络信息安全技术领域,尤其涉及一种PHP内存马的检测方法及装置。
背景技术
PHP内存马PHP“不死马”也叫PHP“不死马”,通过webshell文件启动后删除文件本身之前,使代码在内存中执行死循环,造成无法删除该内存马文件,以达到权限维持的目的。PHP内存马会一直占用用户的进程资源且通常会创建后门文件,方便后续的入侵操作。目前缺乏针对PHP内存马实时检测的有效手段。
发明内容
基于现有技术的上述情况,本发明实施例的目的在于提供一种PHP内存马的检测方法及装置,通过挂钩方式监控当前执行的PHP文件对文件删除、设置执行时间等操作,实现了对PHP内存马实时和有效地检测。
为达到上述目的,根据本发明的一个方面,提供了一种PHP内存马的检测方法,所述方法包括:
响应于PHP文件启动PHP进程;
采用钩子函数挂钩该PHP文件中的第一函数和第二函数;所述第一函数包括程序执行时间设置相关的函数,所述第二函数包括文件删除操作相关的函数;
针对第一函数的执行请求,若该执行请求中程序执行时间的参数值设置为0,则判定该PHP文件满足第一判定条件;
针对第二函数的执行请求,若该执行请求中文件删除操作的参数值设置为该PHP文件本身,则判定该PHP文件满足第二判定条件;
将同时满足第一判定条件和第二判定条件的PHP文件判定为内存马文件。
进一步的,所述第一函数包括set_time_limit()函数;所述第二函数包括unlink()函数。
进一步的,所述方法还包括:
针对第一函数的执行请求,获取程序执行时间的参数值,若该参数值为0,则判定该PHP文件满足第一判定条件;
针对第二函数的执行请求,获取文件的绝对路径参数值,若该绝对路径参数值与当前正在执行的文件的绝对路径相同,则判定该PHP文件满足第二判定条件。
进一步的,所述方法还包括:
在所述PHP文件的拓展中,采用钩子函数挂钩所述第一函数和第二函数。
根据本发明的第二个方面,提供了一种PHP内存马的检测装置,所述装置包括:
PHP进程启动模块,用于响应于PHP文件启动PHP进程;
挂钩模块,用于采用钩子函数挂钩该PHP文件中的第一函数和第二函数;所述第一函数包括程序执行时间设置相关的函数,所述第二函数包括文件删除操作相关的函数;
第一判定条件判定模块,用于针对第一函数的执行请求,若该执行请求中程序执行时间的参数值设置为0,则判定该PHP文件满足第一判定条件;
第二判定条件判定模块,用于针对第二函数的执行请求,若该执行请求中文件删除操作的参数值设置为该PHP文件本身,则判定该PHP文件满足第二判定条件;
内存马文件判定模块,用于将同时满足第一判定条件和第二判定条件的PHP文件判定为内存马文件。
进一步的,所述第一函数包括set_time_limit()函数;所述第二函数包括unlink()函数。
进一步的,所述第一判定条件判定模块,针对第一函数的执行请求,获取程序执行时间的参数值,若该参数值为0,则判定该PHP文件满足第一判定条件;
所述第二判定条件判定模块,针对第二函数的执行请求,获取文件的绝对路径参数值,若该绝对路径参数值与当前正在执行的文件的绝对路径相同,则判定该PHP文件满足第二判定条件。
进一步的,所述挂钩模块,在所述PHP文件的拓展中,采用钩子函数挂钩所述第一函数和第二函数。
根据本发明第三个方面,提供了一种电子设备,包括:
处理器;和
存储器,其上存储有可执行代码,当所述可执行代码被处理器执行时,执行如本发明第一个方面所述的方法。
根据本发明第四个方面,提供了一个或多个机器可读存储介质,其上存储有可执行代码,其特征在于,当所述可执行代码被处理器执行时,执行如本发明第一个方面所述的方法。
综上所述,本发明实施例提供了一种PHP内存马的检测方法及装置,所述方法包括:响应于PHP文件启动PHP进程;采用钩子函数挂钩该PHP文件中的第一函数和第二函数;所述第一函数包括程序执行时间设置相关的函数,所述第二函数包括文件删除操作相关的函数;针对第一函数的执行请求,若该执行请求中程序执行时间的参数值设置为0,则判定该PHP文件满足第一判定条件;针对第二函数的执行请求,若该执行请求中文件删除操作的参数值设置为该PHP文件本身,则判定该PHP文件满足第二判定条件;将同时满足第一判定条件和第二判定条件的PHP文件判定为内存马文件。本发明实施例的技术方案,通过挂钩方式监控当前执行的PHP文件对文件删除、设置执行时间等操作,当有PHP内存马文件尝试利用两种操作维持自身权限和隐藏自身时,能够实时被监测并且具有较高的准确率;并且通过挂钩方式实施的监控,不会过多占用内存资源。
附图说明
图1是本发明实施例提供的PHP内存马的检测方法的流程图;
图2是本发明实施例提供的PHP内存马的检测装置的构成框图;
图3是本发明实施例提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明了,下面结合具体实施方式并参照附图,对本发明进一步详细说明。应该理解,这些描述只是示例性的,而并非要限制本发明的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明的概念。
需要说明的是,除非另外定义,本发明一个或多个实施例使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本发明一个或多个实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同,而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电性的连接,不管是直接的还是间接的。
PHP内存马也叫PHP“不死马”,通过webshell文件启动后删除文件本身之前,使代码在内存中执行死循环,造成管理员无法删除该内存马文件,以达到权限维持的目的。PHP内存马会一直占用用户的进程资源且通常会创建后门文件,方便后续的入侵操作。webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作。使用方法简单,只需上传一个代码文件,通过网址访问,便可进行很多日常操作,极大地方便了使用者对网站和服务器的管理。正因如此,也有小部分使用者将代码修改后当作后门程序使用,以达到控制网站服务器的目的。
下面结合附图对本发明的技术方案进行详细说明。图1是本发明实施例提供的一种PHP内存马的检测方法的流程图,如图1所示,所述方法包括如下步骤:
S102、响应于PHP文件启动PHP进程。
S104、采用钩子函数挂钩该PHP文件中的第一函数和第二函数;所述第一函数包括程序执行时间设置相关的函数,所述第二函数包括文件删除操作相关的函数。该第一函数例如为set_time_limit()函数;第二函数例如为unlink()函数。
因为PHP文件(或脚本)的默认执行时间是30秒,超过该时间PHP服务器会自动中断文件执行,为了达到长时间的权限维持,PHP内存文件中需要使用设置程序执行时间的函数,例如set_time_limit()函数,来进行程序执行时间的设置,以使得PHP服务器不限制PHP文件的运行时间。在set_time_limit()函数中,括号里边的数字表示程序执行时间,如果将程序执行时间参数设置为零,并表示将该文件永久执行直到程序结束;如果为大于零的数字,则不管程序是否执行完成,到了设定的时间,程序结束。同时为了隐藏自身,PHP内存马文件还会使用文件删除操作相关的函数,例如unlink(__FILE__),来删除PHP内存马文件自身。基于PHP内存马文件的以上行为,本发明实施例中通过在PHP文件的扩展中采用钩子(hook)函数,来挂钩上述PHP内存马文件用于隐藏自身的设置程序执行时间的函数和文件删除操作相关的函数,当有请求尝试执行set_time_limit()和unlink()两种函数,并且对于上述两种函数的相关参数的设定满足预设的条件时,即可判断出该文件为PHP内存马文件。本发明实施例中,在执行PHP文件的过程中,通过上一步骤中挂钩的第一函数和第二函数,对该PHP文件是否为内存马文件进行判定,判定其是否满足第一判定条件和第二判定条件,包括如下步骤:
S106、针对第一函数的执行请求,若该执行请求中程序执行时间的参数值设置为0,则判定该PHP文件满足第一判定条件。具体判定方法包括:针对第一函数的执行请求,获取程序执行时间的参数值,若该参数值为0,则判定该PHP文件满足第一判定条件。
S108、针对第二函数的执行请求,若该执行请求中文件删除操作的参数值设置为该PHP文件本身,则判定该PHP文件满足第二判定条件。具体判定方法包括:针对第二函数的执行请求,获取文件的绝对路径参数值,若该绝对路径参数值与当前正在执行的文件的绝对路径相同,则判定该PHP文件满足第二判定条件。
S110、将同时满足第一判定条件和第二判定条件的PHP文件判定为内存马文件。对于只满足第一判定条件和第二判定条件中任意一个条件的文件,可认定不是PHP内存马文件,因为无法达到维持权限和驻留内存的目的,该类文件经过判定后可以进行正常执行程序。
在上述判定结束后,继续执行PHP文件,直至文件执行结束。之后,将进入下一PHP文件执行的循环,返回步骤S106处,重新开始下一轮的判定。
本发明的实施例,还提供了一种PHP内存马的检测装置,图2中示出了该PHP内存马的检测装置的构成框图,该装置包括:
PHP进程启动模块201,用于响应于PHP文件启动PHP进程;
挂钩模块202,用于采用钩子函数挂钩该PHP文件中的第一函数和第二函数;所述第一函数包括程序执行时间设置相关的函数,所述第二函数包括文件删除操作相关的函数;
第一判定条件判定模块203,用于针对第一函数的执行请求,若该执行请求中程序执行时间的参数值设置为0,则判定该PHP文件满足第一判定条件;
第二判定条件判定模块204,用于针对第二函数的执行请求,若该执行请求中文件删除操作的参数值设置为该PHP文件本身,则判定该PHP文件满足第二判定条件;
内存马文件判定模块205,用于将同时满足第一判定条件和第二判定条件的PHP文件判定为内存马文件。
本发明上述实施例提供的PHP内存马的检测装置中各个模块实现其功能的具体过程与本发明上述实施例提供的PHP内存马的检测方法的各步骤相同,因此,此处将省略其重复描述。
图3所示为本发明一实施例提供的电子设备的结构示意图。如图3所示,该电子设备300包括:一个或多个处理器301和存储器302;以及存储在存储器302中的计算机程序指令,计算机程序指令在被处理器301运行时使得处理器301执行如上述任一实施例的PHP内存马的检测方法。处理器301可以是中央处理单元(CPU)或者具有数据处理能力和/或指令执行能力的其他形式的处理单元,并且可以控制电子设备中的其他组件以执行期望的功能。
存储器302可以包括一个或多个计算机程序产品,计算机程序产品可以包括各种形式的计算机可读存储介质,例如易失性存储器和/或非易失性存储器。易失性存储器例如可以包括随机存取存储器(RAM)和/或高速缓冲存储器(cache)等。非易失性存储器例如可以包括只读存储器(ROM)、硬盘、闪存等。在计算机可读存储介质上可以存储一个或多个计算机程序指令,处理器301可以运行程序指令,以实现上文的本发明的各个实施例的PHP内存马的检测方法中的步骤以及/或者其他期望的功能。
在一些实施例中,电子设备300还可以包括:输入装置303和输出装置304,这些组件通过总线系统和/或其他形式的连接机构(图3中未示出)互连。例如,在该电子设备是单机设备时,该输入装置303可以是通信网络连接器,用于从外部的可移动设备接收所采集的输入信号。此外,该输入设备303还可以包括例如键盘、鼠标、麦克风等。该输出装置304可以向外部输出各种信息,例如可以包括例如显示器、扬声器、打印机、以及通信网络及其所连接的远程输出设备等。
除了上述方法和设备以外,本发明的实施例还可以是计算机程序产品,包括计算机程序指令,计算机程序指令在被处理器运行时使得处理器执行如上述任一实施例的PHP内存马的检测方法中的步骤。
计算机程序产品可以以一种或多种程序设计语言的任意组合来编写用于执行本发明实施例操作的程序代码,程序设计语言包括面向对象的程序设计语言,诸如Java、C++等,还包括常规的过程式程序设计语言,诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。
此外,本发明的实施例还可以是计算机可读存储介质,其上存储有计算机程序指令,计算机程序指令在被处理器运行时使得处理器执行本发明的各个实施例的PHP内存马的检测方法中的步骤。
计算机可读存储介质可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以包括但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
应理解,本发明实施例中的处理器可以为中央处理单元(Central ProcessingUnit,CPU),该处理器还可以是其他通用处理器、数字信号处理器(Digital SignalProcessor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
综上所述,本发明实施例涉及一种PHP内存马的检测方法及装置,所述方法包括:响应于PHP文件启动PHP进程;采用钩子函数挂钩该PHP文件中的第一函数和第二函数;所述第一函数包括程序执行时间设置相关的函数,所述第二函数包括文件删除操作相关的函数;针对第一函数的执行请求,若该执行请求中程序执行时间的参数值设置为0,则判定该PHP文件满足第一判定条件;针对第二函数的执行请求,若该执行请求中文件删除操作的参数值设置为该PHP文件本身,则判定该PHP文件满足第二判定条件;将同时满足第一判定条件和第二判定条件的PHP文件判定为内存马文件。本发明实施例的技术方案,通过挂钩方式监控当前执行的PHP文件对文件删除、设置执行时间等操作,当有PHP内存马文件尝试利用两种操作维持自身权限和隐藏自身时,能够实时被监测并且具有较高的准确率;并且通过挂钩方式实施的监控,不会过多占用内存资源。
应当理解的是,以上任何实施例的讨论仅为示例性的,并非旨在暗示本发明的范围(包括权利要求)被限于这些例子;在本发明的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本发明一个或多个实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理,而不构成对本发明的限制。因此,在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。此外,本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。
Claims (6)
1.一种PHP内存马的检测方法,其特征在于,所述方法包括:
响应于PHP文件启动PHP进程;
采用钩子函数挂钩该PHP文件中的第一函数和第二函数;所述第一函数包括程序执行时间设置相关的函数,所述第二函数包括文件删除操作相关的函数;
针对第一函数的执行请求,若该执行请求中程序执行时间的参数值设置为0,则判定该PHP文件满足第一判定条件;
针对第二函数的执行请求,若该执行请求中文件删除操作的参数值设置为该PHP文件本身,则判定该PHP文件满足第二判定条件;
将同时满足第一判定条件和第二判定条件的PHP文件判定为内存马文件;
所述方法还包括:
针对第一函数的执行请求,获取程序执行时间的参数值,若该参数值为0,则判定该PHP文件满足第一判定条件;
针对第二函数的执行请求,获取文件的绝对路径参数值,若该绝对路径参数值与当前正在执行的文件的绝对路径相同,则判定该PHP文件满足第二判定条件;以及,
在所述PHP文件的拓展中,采用钩子函数挂钩所述第一函数和第二函数。
2.根据权利要求1所述的方法,其特征在于,所述第一函数包括set_time_limit()函数;所述第二函数包括unlink()函数。
3.一种PHP内存马的检测装置,其特征在于,所述装置包括:
PHP进程启动模块,用于响应于PHP文件启动PHP进程;
挂钩模块,用于采用钩子函数挂钩该PHP文件中的第一函数和第二函数;所述第一函数包括程序执行时间设置相关的函数,所述第二函数包括文件删除操作相关的函数;在所述PHP文件的拓展中,采用钩子函数挂钩所述第一函数和第二函数;
第一判定条件判定模块,用于针对第一函数的执行请求,若该执行请求中程序执行时间的参数值设置为0,则判定该PHP文件满足第一判定条件;针对第一函数的执行请求,获取程序执行时间的参数值,若该参数值为0,则判定该PHP文件满足第一判定条件;
第二判定条件判定模块,用于针对第二函数的执行请求,若该执行请求中文件删除操作的参数值设置为该PHP文件本身,则判定该PHP文件满足第二判定条件;针对第二函数的执行请求,获取文件的绝对路径参数值,若该绝对路径参数值与当前正在执行的文件的绝对路径相同,则判定该PHP文件满足第二判定条件;
内存马文件判定模块,用于将同时满足第一判定条件和第二判定条件的PHP文件判定为内存马文件。
4.根据权利要求3所述的装置,其特征在于,所述第一函数包括set_time_limit()函数;所述第二函数包括unlink()函数。
5.一种电子设备,其特征在于,包括:
处理器;和
存储器,其上存储有可执行代码,当所述可执行代码被处理器执行时,执行如权利要求1或2所述的方法。
6.一个或多个机器可读存储介质,其上存储有可执行代码,其特征在于,当所述可执行代码被处理器执行时,执行如权利要求1或2所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211419861.4A CN115758351B (zh) | 2022-11-14 | 2022-11-14 | 一种php内存马的检测方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211419861.4A CN115758351B (zh) | 2022-11-14 | 2022-11-14 | 一种php内存马的检测方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115758351A CN115758351A (zh) | 2023-03-07 |
CN115758351B true CN115758351B (zh) | 2023-06-30 |
Family
ID=85370416
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211419861.4A Active CN115758351B (zh) | 2022-11-14 | 2022-11-14 | 一种php内存马的检测方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115758351B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116318941B (zh) * | 2023-03-09 | 2023-10-10 | 安芯网盾(北京)科技有限公司 | 检测注入TomcatUpgrade内存马的方法及装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114065196A (zh) * | 2021-09-30 | 2022-02-18 | 奇安信科技集团股份有限公司 | Java内存马检测方法、装置、电子设备与存储介质 |
CN114826787A (zh) * | 2022-06-29 | 2022-07-29 | 北京长亭未来科技有限公司 | 一种针对后门攻击的主动对抗方法、系统、设备及介质 |
CN115033879A (zh) * | 2022-06-08 | 2022-09-09 | 南京邮电大学 | 一种针对物联网恶意木马的检测方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20220092170A1 (en) * | 2020-09-21 | 2022-03-24 | Yazamtech Ltd. | Malicious files detection and disarming |
-
2022
- 2022-11-14 CN CN202211419861.4A patent/CN115758351B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114065196A (zh) * | 2021-09-30 | 2022-02-18 | 奇安信科技集团股份有限公司 | Java内存马检测方法、装置、电子设备与存储介质 |
CN115033879A (zh) * | 2022-06-08 | 2022-09-09 | 南京邮电大学 | 一种针对物联网恶意木马的检测方法 |
CN114826787A (zh) * | 2022-06-29 | 2022-07-29 | 北京长亭未来科技有限公司 | 一种针对后门攻击的主动对抗方法、系统、设备及介质 |
Also Published As
Publication number | Publication date |
---|---|
CN115758351A (zh) | 2023-03-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20150371040A1 (en) | Method, Device And System For Processing Notification Bar Message | |
EP3712764B1 (en) | Fpga cloud host development method and system | |
JP2012507778A (ja) | ブラウザベースの不正行為防止方法およびシステム | |
US8813229B2 (en) | Apparatus, system, and method for preventing infection by malicious code | |
CN115758351B (zh) | 一种php内存马的检测方法及装置 | |
WO2020000747A1 (zh) | 一种反爬虫方法、终端及计算机可读存储介质 | |
US20170286670A1 (en) | Malware detection and identification using deviations in one or more operating parameters | |
KR101974989B1 (ko) | 위험 파일에 대응하는 행위 정보를 결정하는 방법 및 장치 | |
WO2020077681A1 (zh) | 一种延迟加载js脚本的方法和装置 | |
US9842018B2 (en) | Method of verifying integrity of program using hash | |
CN104573496A (zh) | 一种禁止启动项启动的方法和装置 | |
EP4030280A1 (en) | Seamless lifecycle stability for extensible software features | |
CN116318941B (zh) | 检测注入TomcatUpgrade内存马的方法及装置 | |
KR101310070B1 (ko) | 프로그램간의 충돌을 예방하는 방법 및 그 방법이 기록된 기록매체 | |
CN110442380B (zh) | 一种数据预热方法及计算设备 | |
Sutter | Simple spyware: Androids invisible foreground services and how to (ab) use them | |
CN112286876A (zh) | 日志文件抓取方法、设备及计算机可读存储介质 | |
US20210240364A1 (en) | Storing new settings for write-protected systems on non-write-protected storage | |
CN116049817B (zh) | 基于Linux内核的实时检测与阻断进程提权方法及装置 | |
CN116186699A (zh) | Php文件访问检测方法及装置 | |
KR101572665B1 (ko) | 정보유출에 대응하기 위한 화면감시정보를 제공하는 보안시스템 및 그 방법 | |
CN116028929B (zh) | 基于Linux内核的无文件攻击的检测方法及装置 | |
JP7255681B2 (ja) | 実行制御システム、実行制御方法、及びプログラム | |
KR101384929B1 (ko) | 사용자 단말의 저장 매체를 위한 미디어 스캐닝 방법 및 미디어 스캐닝 장치 | |
CN112395521B (zh) | 页面处理方法、装置、电子设备及计算机可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |