CN116561744A - 一种基于诱饵文件监控的勒索病毒行为检测方法及系统 - Google Patents
一种基于诱饵文件监控的勒索病毒行为检测方法及系统 Download PDFInfo
- Publication number
- CN116561744A CN116561744A CN202310224980.2A CN202310224980A CN116561744A CN 116561744 A CN116561744 A CN 116561744A CN 202310224980 A CN202310224980 A CN 202310224980A CN 116561744 A CN116561744 A CN 116561744A
- Authority
- CN
- China
- Prior art keywords
- file
- bait
- module
- files
- leucavirus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 37
- 238000001514 detection method Methods 0.000 title claims description 16
- 241000700605 Viruses Species 0.000 claims abstract description 48
- 238000000034 method Methods 0.000 claims abstract description 30
- 238000010276 construction Methods 0.000 claims abstract description 11
- 238000012986 modification Methods 0.000 claims abstract description 10
- 230000004048 modification Effects 0.000 claims abstract description 10
- 238000011897 real-time detection Methods 0.000 claims abstract description 10
- 230000008569 process Effects 0.000 claims abstract description 9
- 238000004458 analytical method Methods 0.000 claims abstract description 6
- 238000012550 audit Methods 0.000 claims description 7
- 230000008859 change Effects 0.000 claims description 6
- 238000012545 processing Methods 0.000 claims description 6
- 230000000903 blocking effect Effects 0.000 claims description 5
- 230000006399 behavior Effects 0.000 abstract description 32
- 230000000694 effects Effects 0.000 abstract description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004140 cleaning Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000001902 propagating effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开了一种基于诱饵文件监控的勒索病毒行为检测方法及系统,系统包括:诱饵文件构造模块、诱饵文件生成模块、诱饵文件部署模块、诱饵文件监控模块、勒索病毒实时检测模块、日志记录模块和勒索病毒分析模块,1)按照一定的规则构造一定数量的诱饵文件;2)将诱饵文件部署到系统指定位置上;3)监控所部署的诱饵文件的变化,以便准确及时检测出勒索病毒;4)在此过程中完整记录日志,总结出勒索病毒的行为;5)根据总结出的行为完善诱饵文件构造、部署和检测的规则。本发明提出一种有效地检测勒索病毒行为的方法及系统,利用监控自行构造的诱饵文件,可以在最小化系统修改的基础上达成最好的效果。
Description
技术领域
本发明涉及信息安全技术隐私保护和数据安全领域,具体涉及一种基于诱饵文件监控的勒索病毒行为检测方法及系统。
背景技术
随着计算机网络的不断发展和数据价值的不断提高,出现了许多用于窃取或者损坏数据的攻击方式,甚至以此来勒索受害者。勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。
目前针对勒索病毒的检测主要有两种方式:一种是静态检测,通过分析不同勒索病毒的特征总结勒索病毒和正常软件的操作序列区别进行检测,一旦勒索病毒加壳就无法处理;另外一种是动态检测,对操作系统中的文件读写操作、加密和网络通信进行监控,但是这种监控必须捕捉足够多的信息才能判定这是否是勒索病毒,此时可能已经造成了许多重要文件的损失,不能够及时地阻断勒索病毒。
诱饵文件是一种人为构造的文件,模拟系统中已经存在的文件,通过部署不同类型的诱饵文件到系统关键目录下面,可以第一时间检测出勒索病毒,本发明在勒索病毒检测的及时性和准确性方面有诸多创新,可以有效地应对此种类型的攻击。
发明内容
本发明公开了一种基于诱饵文件监控的勒索病毒行为检测方法及系统,系统包括:诱饵文件构造模块、诱饵文件生成模块、诱饵文件部署模块、诱饵文件监控模块、勒索病毒实时检测模块、日志记录模块和勒索病毒分析模块,1)按照一定的规则构造一定数量的诱饵文件;2)将诱饵文件部署到系统指定位置上;3)监控所部署的诱饵文件的变化,以便准确及时检测出勒索病毒;4)在此过程中完整记录日志,总结出勒索病毒的行为;5)根据总结出的行为完善诱饵文件构造、部署和检测的规则。本发明提出一种有效地检测勒索病毒行为的方法及系统,利用监控自行构造的诱饵文件,可以在最小化系统修改的基础上达成最好的效果。
本发明的技术方案如下:一种基于文件诱饵监控的勒索病毒行为检测方法,其步骤为:
步骤1)管理员制定构造不同类型诱饵文件的基本规则,并按照规则生成不同类型、大小、创建时间、修改时间等若干诱饵文件;
步骤2)设置利用诱饵文件检测勒索病毒行为的处理方式,并将生成的诱饵文件部署到系统指定位置上;
步骤3)监控所部署的诱饵文件的变化,排除用户误操作的可能,可以准确及时检测出勒索病毒;
步骤4)记录监控到的勒索病毒访问系统API的操作到日志中,可以用于评估该勒索病毒的行为,并完善诱饵文件构造、部署和检测的规则。
更进一步,所述诱饵文件,指的是安置在系统中的模拟真实存在文件的文件;所述构造不同类型诱饵文件的基本规则指的是如何从零打造诱饵文件的基本规则,在本系统中主要包括:诱饵文件的文件名应该尽量保证勒索病毒在遍历文件夹时第一个就会遍历到诱饵文件,按照系统API惯例一般是文件名按照Unicode排序的最前面和最后面,每个文件夹部署两个诱饵文件也减少了对原有系统的更改和影响;诱饵文件的类型应该与当前文件夹中多数文件的类型相同,或者构造为常见的类型,比如word文档或源代码文件;诱饵文件应该填充对应文件类型的内容,一般包括该类型文件的文件头和符合该类型文件的文件内容;按照一般文件的创建和使用惯例,生成的诱饵文件的创建时间、访问时间、最后修改时间等信息也应该符合逻辑。
更进一步,所述利用诱饵文件检测勒索病毒行为的处理方式主要包括以下两种:审计模式和实时检测模式;其中审计模式监测并记录勒索病毒的行为,但并不阻断其操作,一般是在实验环境中进行;实时检测模式在实际系统中进行应用,采用检测并阻断的模式,第一时间检测到勒索病毒就及时清理勒索病毒的进程,使其对系统造成最小的伤害;所述的诱饵文件部署位置,一般参考以下几类位置:一种是自己确认的敏感文件的保存位置,比如自己的代码文件和文档等等;第二种是我的文档、下载、图片、音乐、视频、桌面等常用文件夹;第三种是系统和各类应用最近访问的文件所在的位置,这些位置一般是可变的,因此此类诱饵文件对应的部署位置也是动态变化的。
更进一步,所述的监控所部署的诱饵文件的变化,由于勒索病毒的目的就是加密系统中的文件或者加密后删除系统中的文件,因此这里我们只监控针对所部署的诱饵文件进行的写入事件和删除事件。
更进一步,所述记录监控到的勒索病毒访问系统API的操作到日志中,指的是记录日志粒度应该至少达到系统API的调用细节,这样就能够对勒索病毒的行为进行一个详细的了解。
更进一步,所述完善诱饵文件构造、部署和检测的规则指的是利用权利要求7中所述的方法总结出勒索病毒的特征,将之前规则没有覆盖到的特征进行完善的过程。
本发明还公开了一种基于文件诱饵监控的勒索病毒行为检测系统,其特征在于,基于诱饵文件的生成、部署和监控进行勒索病毒行为检测的系统;其中,核心模块包括:诱饵文件构造模块、诱饵文件生成模块、诱饵文件部署模块、诱饵文件监控模块、勒索病毒实时检测模块、日志记录模块和勒索病毒分析模块;其中,
所述诱饵文件构造模块,用于制定构造诱饵文件的基本规则,后续诱饵文件生成都是依据这些基本规则;
所述诱饵文件生成模块,用于按照事先制定的诱饵文件构造规则和勒索软件分析模块分析出的新规则生成相应的诱饵文件;
所述诱饵文件部署模块,用于将诱饵文件生成模块生成的诱饵文件部署到系统中制定的位置中;
所述诱饵文件监控模块,用于监控针对诱饵文件部署模块部署的诱饵文件的写入事件和删除事件;
所述勒索病毒实时检测模块,用于根据诱饵文件监控模块的给出信息检测勒索病毒,并结束勒索病毒进程;
所述日志记录模块,用于在审计模式下面记录勒索病毒访问各个文件的顺序和访问系统API的详细日志;
所述勒索病毒分析模块,用于根据日志记录模块记录的日志信息,完善诱饵文件构造模块的规则、诱饵文件部署模块的部署位置和诱饵文件监控模块的监控方法。
本发明有益性效果在于:
(1)提出基于诱饵文件检测勒索病毒的方法,可以第一时间的检测出勒索病毒,使其无法对系统造成真正的威胁;
(2)提出使用少数量诱饵文件同时覆盖关键位置的部署模式,使得对系统的开销最小,同时又能覆盖所有的关键位置,最大化的检测勒索病毒,同时部署方式简单快捷,对用户使用几乎没有影响;
(3)提出两种运行模式,既可以研究已知勒索病毒的攻击行为,又可以部署到真实的系统上面进行勒索病毒防护,而且前者研究的行为规则可以为后者所用。
附图说明
附图1是本发明一种基于诱饵文件监控的勒索病毒行为检测方法及系统的示意。
附图2是本发明一种基于诱饵文件监控的勒索病毒行为检测方法及系统的流程图。
实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明包括:管理员制定构造不同类型诱饵文件的基本规则,并设置利用诱饵文件检测勒索病毒行为的处理方式,包括审计和实时拦截模式。然后生成不同类型、大小、创建时间、访问时间、修改时间的若干诱饵文件,并将其部署到系统指定位置上,一般包括常用的文件夹,如桌面、我的文档、下载、图片、视频文件夹等等,还包括重要的代码和文档所在的文件夹和最近访问的文件所在的位置。监控所部署的诱饵文件的写入事件和删除事件,排除用户误操作的可能,可以准确及时检测出勒索病毒。记录监控到的勒索病毒访问系统API的操作到日志中,可以用于评估该勒索病毒的行为,总结出的勒索病毒行为完善诱饵文件构造、部署和检测的规则。
图2显示了本发明一种基于诱饵文件监控的勒索病毒行为检测方法的一个实施例的流程图,主要包括以下步骤:
S101,管理员制定构造不同类型诱饵文件的基本规则;
S102,根据步骤S101制定的规则生成不同类型、大小、创建时间、修改时间等若干诱饵文件,并设置利用诱饵文件检测勒索病毒行为的处理方式;
S103,将步骤S102生成的诱饵文件部署到系统指定位置上;
S104,监控所部署的诱饵文件的变化,排除用户误操作的可能,可以准确及时检测出勒索病毒;
S201,记录监控到的勒索病毒访问系统API的操作到日志中,可以用于评估该勒索病毒的行为;
S202,根据步骤S201总结出的勒索病毒行为完善诱饵文件构造、部署和检测的规则。
具体来讲,本发明在步骤S101中,管理员制定构造不同类型诱饵文件的基本规则,具体包括:诱饵文件的文件名按照默认排序应该在当前文件夹的最前和最后,这样勒索病毒在遍历的时候第一个就会遍历到诱饵文件,同时减少了对原有系统的更改和影响;诱饵文件的类型应该与当前文件夹中多数文件的类型相同,或者构造为常见的类型,比如word文档或源代码文件;诱饵文件应该填充对应文件类型的内容,最少应该包含该类型文件的文件头(文本文件除外);按照一般文件的创建和使用惯例,尝试修改诱饵文件的创建时间、访问时间、最后修改时间等信息符合逻辑。基本原则就是不能让勒索病毒轻易地识破诱饵文件从而实施绕过。
在步骤S102中,系统根据步骤S101中的构造规则生成具体的诱饵文件。在这里有两种检测勒索病毒的处理方式:默认的是监控并记录勒索病毒的行为,但并不阻断其操作,一般是在实验环境中进行,所有的数据都已经备份或者并不怕泄漏;在实际应用的系统中采用阻断的模式,第一时间检测到勒索病毒就记录并及时清理勒索病毒的进程,使其对系统造成的伤害最小。
在步骤S103中,将步骤S102中生成的诱饵文件部署到合适的位置。位置一般选择在特殊需要保护的文件夹下面,除去个人常用的文件夹之外,根据勒索病毒的特性在windows环境下面一般选择各个盘符或者我的文档文件夹、下载文件夹、照片文件夹、视频文件夹、每个用户的桌面文件夹等等,因此可以在这些位置进行部署。还有一些勒索病毒会选择从用户经常访问的文件所在文件夹开始遍历,这些位置的获取根据不同的应用有所不同,可以根据系统中安装的软件进行个性化位置生成,然后再这些目录下面部署生成的诱饵文件。
在步骤S104中,用程序监控所有生成的诱饵文件,因为勒索病毒的目的是加密系统文件或者加密后删除系统文件,因此只需要监控针对诱饵文件的写入事件和删除事件即可。固定位置的诱饵文件可以直接进行监控,最近访问文件所在位置是动态变化的,这样对应监控的诱饵文件也是动态变化的。由于一般的用户是不会更改或者删除这类文件的,因此就可以拦截第一次尝试修改或者删除诱饵文件的进程,继而停止进程或者继续监控其操作。
在步骤S201中,所有针对诱饵文件的操作都会被记录下来,除了在实时阻断拦截模式下,一般情况下会持续检测勒索病毒的行为,包括但不限于勒索病毒遍历的文件目录、目录下面文件遍历的顺序、针对每个文件进行的操作、传播或隐藏自己的方式等等,以便后续的方法总结。
在步骤S202中,根据步骤S201中的总结出的勒索病毒的行为,不断的更新步骤S101- S104中的勒索病毒检测方法,主要应用到实时拦截防护模式下面。
举例来讲,在windows系统下面,开启审计模式,只记录日志,不阻断勒索病毒的操作,监控我的文档、下载、图片、音乐、视频、桌面等文件夹,详细记录勒索病毒是否会遍历这些文件夹,以及遍历这些文件夹的顺序和遍历这些文件夹下文件的顺序,多测试几种不同类型的勒索病毒,每类勒索病毒的行为都详细记录日志,根据这些日志提炼出共性的部分供实时拦截模式使用;开启实时拦截模式,检测并阻断勒索病毒的运行,在我的文档、下载、图片、音乐、视频、桌面等文件夹,以及系统、office、文本编辑器、代码编辑器最近打开的文件列表所在的目录下面,按照之前总结的规则生成对应于当前目录的诱饵文件,一般情况下每个目录部署2个诱饵文件,无论勒索病毒以什么顺序遍历都可以先访问到诱饵文件。监控针对诱饵文件的写入或者删除事件,如果监控到此类事件,则第一时间终止进行此操作的进程,并记录相关信息。
提供以上实施例仅仅是为了描述本发明的目的,而并非要限制本发明的范围。本发明的范围由所附权利要求限定。不脱离本发明的精神和原理而做出的各种等同替换和修改,均应涵盖在本发明的范围之内。
Claims (7)
1.一种基于文件诱饵监控的勒索病毒行为检测方法,其步骤为:
步骤1)管理员制定构造不同类型诱饵文件的基本规则,并按照规则生成不同类型、大小、创建时间、修改时间等若干诱饵文件;
步骤2)设置利用诱饵文件检测勒索病毒行为的处理方式,并将生成的诱饵文件部署到系统指定位置上;
步骤3)监控所部署的诱饵文件的变化,排除用户误操作的可能,可以准确及时检测出勒索病毒;
步骤4)记录监控到的勒索病毒访问系统API的操作到日志中,可以用于评估该勒索病毒的行为,并完善诱饵文件构造、部署和检测的规则。
2.如权利要求1所述的方法,其特征在于,步骤1)中,所述诱饵文件,指的是安置在系统中的模拟真实存在文件的文件;所述构造不同类型诱饵文件的基本规则指的是如何从零打造诱饵文件的基本规则,在本系统中主要包括:诱饵文件的文件名应该尽量保证勒索病毒在遍历文件夹时第一个就会遍历到诱饵文件,按照系统API惯例一般是文件名按照Unicode排序的最前面和最后面,每个文件夹部署两个诱饵文件也减少了对原有系统的更改和影响;诱饵文件的类型应该与当前文件夹中多数文件的类型相同,或者构造为常见的类型,比如word文档或源代码文件;诱饵文件应该填充对应文件类型的内容,一般包括该类型文件的文件头和符合该类型文件的文件内容;按照一般文件的创建和使用惯例,生成的诱饵文件的创建时间、访问时间、最后修改时间等信息也应该符合逻辑。
3.如权利要求1所述的方法,其特征在于,步骤2)中,所述利用诱饵文件检测勒索病毒行为的处理方式主要包括以下两种:审计模式和实时检测模式;其中审计模式监测并记录勒索病毒的行为,但并不阻断其操作,一般是在实验环境中进行;实时检测模式在实际系统中进行应用,采用检测并阻断的模式,第一时间检测到勒索病毒就及时清理勒索病毒的进程,使其对系统造成最小的伤害;所述的诱饵文件部署位置,一般参考以下几类位置:一种是自己确认的敏感文件的保存位置,比如自己的代码文件和文档等等;第二种是我的文档、下载、图片、音乐、视频、桌面等常用文件夹;第三种是系统和各类应用最近访问的文件所在的位置,这些位置一般是可变的,因此此类诱饵文件对应的部署位置也是动态变化的。
4.如权利要求1所述的方法,其特征在于,步骤3)中,所述的监控所部署的诱饵文件的变化,由于勒索病毒的目的就是加密系统中的文件或者加密后删除系统中的文件,因此这里我们只监控针对所部署的诱饵文件进行的写入事件和删除事件。
5.如权利要求1所述的方法,其特征在于,步骤4)中,所述记录监控到的勒索病毒访问系统API的操作到日志中,指的是记录日志粒度应该至少达到系统API的调用细节,这样就能够对勒索病毒的行为进行一个详细的了解。
6.如权利要求1所述的方法,其特征在于,步骤5)中,所述完善诱饵文件构造、部署和检测的规则指的是利用权利要求7中所述的方法总结出勒索病毒的特征,将之前规则没有覆盖到的特征进行完善的过程。
7.一种基于文件诱饵监控的勒索病毒行为检测系统,其特征在于,基于诱饵文件的生成、部署和监控进行勒索病毒行为检测的系统;其中,核心模块包括:诱饵文件构造模块、诱饵文件生成模块、诱饵文件部署模块、诱饵文件监控模块、勒索病毒实时检测模块、日志记录模块和勒索病毒分析模块;其中,
所述诱饵文件构造模块,用于制定构造诱饵文件的基本规则,后续诱饵文件生成都是依据这些基本规则;
所述诱饵文件生成模块,用于按照事先制定的诱饵文件构造规则和勒索软件分析模块分析出的新规则生成相应的诱饵文件;
所述诱饵文件部署模块,用于将诱饵文件生成模块生成的诱饵文件部署到系统中制定的位置中;
所述诱饵文件监控模块,用于监控针对诱饵文件部署模块部署的诱饵文件的写入事件和删除事件;
所述勒索病毒实时检测模块,用于根据诱饵文件监控模块的给出信息检测勒索病毒,并结束勒索病毒进程;
所述日志记录模块,用于在审计模式下面记录勒索病毒访问各个文件的顺序和访问系统API的详细日志;
所述勒索病毒分析模块,用于根据日志记录模块记录的日志信息,完善诱饵文件构造模块的规则、诱饵文件部署模块的部署位置和诱饵文件监控模块的监控方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310224980.2A CN116561744A (zh) | 2023-03-09 | 2023-03-09 | 一种基于诱饵文件监控的勒索病毒行为检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310224980.2A CN116561744A (zh) | 2023-03-09 | 2023-03-09 | 一种基于诱饵文件监控的勒索病毒行为检测方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116561744A true CN116561744A (zh) | 2023-08-08 |
Family
ID=87486801
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310224980.2A Pending CN116561744A (zh) | 2023-03-09 | 2023-03-09 | 一种基于诱饵文件监控的勒索病毒行为检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116561744A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117235712A (zh) * | 2023-11-14 | 2023-12-15 | 北京网藤科技有限公司 | 一种沙箱检测勒索病毒的方法及系统 |
-
2023
- 2023-03-09 CN CN202310224980.2A patent/CN116561744A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117235712A (zh) * | 2023-11-14 | 2023-12-15 | 北京网藤科技有限公司 | 一种沙箱检测勒索病毒的方法及系统 |
| CN117235712B (zh) * | 2023-11-14 | 2024-02-02 | 北京网藤科技有限公司 | 一种沙箱检测勒索病毒的方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3107024B1 (en) | System and method of restoring modified data | |
| EP3616115B1 (en) | Endpoint detection and response system event characterization data transfer | |
| US10154066B1 (en) | Context-aware compromise assessment | |
| US10685111B2 (en) | File-modifying malware detection | |
| US10079835B1 (en) | Systems and methods for data loss prevention of unidentifiable and unsupported object types | |
| US10509905B2 (en) | Ransomware mitigation system | |
| KR101201118B1 (ko) | 바이러스 방지 소프트웨어 어플리케이션들의 지식 베이스를모으는 시스템 및 방법 | |
| EP3756121B1 (en) | Anti-ransomware systems and methods using a sinkhole at an electronic device | |
| US20240048571A1 (en) | Endpoint security architecture with programmable logic engine | |
| US10783041B2 (en) | Backup and recovery of data files using hard links | |
| US20210182392A1 (en) | Method for Detecting and Defeating Ransomware | |
| US8108935B1 (en) | Methods and systems for protecting active copies of data | |
| CN116561744A (zh) | 一种基于诱饵文件监控的勒索病毒行为检测方法及系统 | |
| KR20190080446A (ko) | 랜섬웨어 탐지 방법, 이를 수행하기 위한 기록매체 및 램섬웨어 탐지 시스템 | |
| CN108038380B (zh) | 用于计算机安全的接种器和抗体 | |
| RU2622630C2 (ru) | Система и способ восстановления модифицированных данных | |
| Verma et al. | Preserving dates and timestamps for incident handling in android smartphones | |
| Lemmou et al. | Inside gandcrab ransomware | |
| JP2008234539A (ja) | 情報処理装置及びファイル処理方法並びにプログラム | |
| Bui et al. | Issues in computer forensics | |
| JP2007249304A (ja) | 情報処理装置、機密データ監視方法およびプログラム | |
| KR102678389B1 (ko) | 포렌식 분석 기반 사이버 침해사고 분석 시스템 및 방법 | |
| US20230036599A1 (en) | System context database management | |
| KR20230159185A (ko) | 포렌식 분석 기반 사이버 침해사고 분석 시스템 및 방법 | |
| WO2023229822A1 (en) | System for analytic data memorialization, data science, and validation |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |