CN117235712B - 一种沙箱检测勒索病毒的方法及系统 - Google Patents
一种沙箱检测勒索病毒的方法及系统 Download PDFInfo
- Publication number
- CN117235712B CN117235712B CN202311507707.7A CN202311507707A CN117235712B CN 117235712 B CN117235712 B CN 117235712B CN 202311507707 A CN202311507707 A CN 202311507707A CN 117235712 B CN117235712 B CN 117235712B
- Authority
- CN
- China
- Prior art keywords
- sandbox
- system call
- call
- tested program
- hook
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 244000035744 Hura crepitans Species 0.000 title claims abstract description 144
- 238000000034 method Methods 0.000 title claims abstract description 37
- 238000004458 analytical method Methods 0.000 claims abstract description 16
- 230000006399 behavior Effects 0.000 claims abstract description 16
- 230000001960 triggered effect Effects 0.000 claims abstract description 10
- 238000001514 detection method Methods 0.000 claims description 17
- 238000012544 monitoring process Methods 0.000 claims description 3
- 241000700605 Viruses Species 0.000 abstract description 49
- 238000004590 computer program Methods 0.000 description 6
- 239000008186 active pharmaceutical agent Substances 0.000 description 3
- 230000003542 behavioural effect Effects 0.000 description 3
- 230000005856 abnormality Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000003247 decreasing effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000010998 test method Methods 0.000 description 1
Landscapes
- Debugging And Monitoring (AREA)
Abstract
本发明涉及网络安全技术领域,且公开了一种沙箱检测勒索病毒的方法及系统,该方法包括在受检程序执行汇编语言指令且进入系统调用前,沙箱创建一个增量型的沙箱快照,并对所述受检程序触发的系统调用进入沙箱hook系统;沙箱再通过递归遍历调用方式检测系统调用以及后续的系统调用;沙箱在进行递归遍历调用方式检测系统调用的过程中,也同时监控受检程序;通过行为分析的方法,检测在所述沙箱内执行的过程中是否存在疑似勒索行为的系统调用或调用组合,若存在,则进行预警。主要通过实现沙箱hook系统调用后,沙箱再通过递归遍历调用方式检测系统调用以及后续的系统调用,从而使勒索病毒的防护程序更安全,加快病毒数据库的更新速度。
Description
技术领域
本发明涉及网络安全技术领域,具体为一种沙箱检测勒索病毒的方法及系统。
背景技术
随着互联网的普及和发展,网络安全问题也越来越突出,勒索病毒就是一种常见的网络攻击手段,它是一种恶意软件,可以威胁用户删除或公开他们的私密数据,除非支付赎金。近几年,勒索病毒的攻击频率和规模都在增加,给个人和企业造成了巨大的损失和困扰。为了防范勒索病毒,市场上已经有多家反病毒机构推出了单机版的勒索病毒防护软件。但是,由于勒索病毒的多变性,以及企业办公局域网中终端PC的操作系统的多样性。目前的勒索病毒防护软件显现出了一定的局限性。特别是对于刚出现的未知勒索病毒,若勒索病毒代码中做了一些故意通过调用某些系统API产生延迟或异常的手段来阻碍基于行为特征分析的检测,则病毒防护软件的检测效果会变得较为不理想。
目前市场中的勒索病毒防护软件大多是基于勒索病毒特征库、审核运行程序的行为、动态静态文件诱捕。此类防护方式两个明显劣势:第一,此类防护方式只局限于单机,任何需要防护的计算机都必须安装相应的勒索病毒防护软件,由于勒索病毒库需要即时更新,一个局域网内,任何一台病毒库较旧或者长时间未更新的机器都有可能受到新型勒索病毒的攻击。第二,由于勒索病毒防护程序和勒索病毒运行的环境实质上位于同一台主机,若勒索病毒防护程序被勒索病毒刻意针对、被绕过或被终止,例如故意通过调用某些系统API产生延迟或异常的手段来阻碍基于行为特征分析的检测、或通过特殊手段终止病毒防护程序的进程,则勒索病毒将在主机上畅行无阻,由此存在单机版勒索病毒防护程序易被针对,病毒库数据更新不够即时的问题。
发明内容
本发明主要是提供一种沙箱检测勒索病毒的方法及系统,用于解决勒索病毒防护程序易被针对,病毒库数据更新不够即时的问题。
为了解决上述技术问题,本发明采用如下技术方案:
第一方面,一种沙箱检测勒索病毒的方法,包括,
在受检程序执行汇编语言指令且进入系统调用前,沙箱创建一个增量型的沙箱快照,并对所述受检程序触发的系统调用进入沙箱hook系统;
所述沙箱hook系统调用后,所述沙箱再通过递归遍历调用方式检测系统调用以及后续的系统调用;
所述沙箱在进行递归遍历调用方式检测系统调用的过程中,也同时监控受检程序;通过行为分析的方法,检测在所述沙箱内执行的过程中是否存在疑似勒索行为的系统调用或调用组合,若存在,则进行预警。
进一步的,所述沙箱hook系统调用后,所述沙箱再通过递归遍历调用方式检测系统调用以及后续的系统调用,包括,
当系统调用产生后,检测系统调用所有可能的返回值和对应的传出参数,按顺序选择其中一个作为被hook后系统调用的返回值和传出参数,并返回给所述受检程序;
所述沙箱通过所述递归遍历调用方式结合所述增量型的沙箱快照对所述受检程序之后进行的系统调用继续进行hook和沙箱返回,直至所述受检程序在所述沙箱中完成一条系统调用链的执行。
进一步的,所述沙箱通过所述递归遍历调用方式结合所述增量型的沙箱快照对所述受检程序之后进行的系统调用继续进行hook和沙箱返回,直至所述受检程序在所述沙箱中完成一条系统调用链的执行,还包括,
基于所述受检程序在所述沙箱中完成了一条系统调用链的执行,所述沙箱通过所述增量型的沙箱快照结合递归遍历调用方式,回退到系统调用链在即将进行最后一次系统调用时的内存状态,并重新将系统调用返回到信息库中存有的不同的信息返回结果返回到受检程序,重复操作,直到所述系统调用记录于信息库中的所有信息返回结果均被返回给受检程序。
进一步的,基于所述受检程序在所述沙箱中完成了一条系统调用链的执行,所述沙箱通过所述增量型的沙箱快照结合递归遍历调用方式,回退到系统调用链在即将进行最后一次系统调用时的内存状态,并重新将系统调用返回到信息库中存有的不同的信息返回结果返回到受检程序,重复操作,直到所述系统调用记录于信息库中的所有信息返回结果均被返回给受检程序,还包括,
在处理完最后一次系统调用后,将回退到倒数第二次的系统调用,此时仍将对受检程序继续沙箱hook系统调用并进行沙箱返回,直到递归遍历完所有系统调用链。
进一步的,所述沙箱hook系统调用后,所述沙箱再通过递归遍历调用方式检测系统调用以及后续的系统调用,还包括,
在检测分析时,对所述受检程序存在的可疑系统调用通过沙箱返回的方式进行诱饵文件投递,用以检测该诱饵文件是否被感染。
第二方面,一种沙箱检测勒索病毒的系统,包括,
沙箱快照创建及系统调用hook模块,用于在受检程序执行汇编语言指令且进入系统调用前,沙箱创建一个增量型的沙箱快照,并对所述受检程序触发的系统调用进入沙箱hook系统;
递归遍历调用模块,用于所述沙箱hook系统调用后,所述沙箱再通过递归遍历调用方式检测系统调用以及后续的系统调用;
预警模块,用于所述沙箱在进行递归遍历调用方式检测系统调用的过程中,也同时监控受检程序;通过行为分析的方法,检测在所述沙箱内执行的过程中是否存在疑似勒索行为的系统调用或调用组合,若存在,则进行预警。
进一步的,所述递归遍历调用模块,包括,
信息库信息返回子模块,用于当系统调用产生后,检测系统调用所有可能的返回值和对应的传出参数,按顺序选择其中一个作为被hook后系统调用的返回值和传出参数,并返回给所述受检程序;
第一条系统调用链的执行完成子模块,用于所述沙箱通过所述递归遍历调用方式结合所述增量型的沙箱快照对所述受检程序之后进行的系统调用继续进行hook和沙箱返回,直至所述受检程序在所述沙箱中完成一条系统调用链的执行。
进一步的,第一条系统调用链的执行完成子模块,还包括,
受检程序返回完成单元,用于基于所述受检程序在所述沙箱中完成了一条系统调用链的执行,所述沙箱通过所述增量型的沙箱快照结合递归遍历调用方式,回退到系统调用链在即将进行最后一次系统调用时的内存状态,并重新将系统调用返回到信息库中存有的不同的信息返回结果返回到受检程序,重复操作,直到所述系统调用记录于信息库中的所有返回结果均被返回给所述受检程序。
进一步的,受检程序返回完成单元,包括,
递归遍历结束子单元,用于在处理完最后一次系统调用后,将回退到倒数第二次的系统调用,此时仍将对受检程序继续hook系统调用并进行沙箱返回,直到递归遍历完所有系统调用链。
进一步的,预警模块,包括,
诱饵文件检测单元,在检测分析时,对所述受检程序存在的可疑系统调用通过沙箱返回的方式进行诱饵文件投递,用以检测该诱饵文件是否被感染。
有益效果:本发明提供的一种沙箱检测勒索病毒的方法及系统,该方法通过在受检程序执行汇编语言指令且进入系统调用前,沙箱创建一个增量型的沙箱快照,并对所述受检程序触发的系统调用进入沙箱hook系统;所述沙箱hook系统调用后,所述沙箱再通过递归遍历调用方式检测系统调用以及后续的系统调用,从而使勒索病毒的防护程序更安全,加快病毒数据库的更新速度。
附图说明
图1为沙箱检测勒索病毒的方法流程示意图;
图2为沙箱检测勒索病毒的系统分布示意图。
具体实施方式
以下将结合实施例对本发明涉及的一种沙箱检测勒索病毒的方法及系统技术方案进一步详细说明。
目前市场中的勒索病毒防护软件大多是基于勒索病毒特征库、审核运行程序的行为、动态静态文件诱捕。此类防护方式两个明显劣势:第一,此类防护方式只局限于单机,任何需要防护的计算机都必须安装相应的勒索病毒防护软件,由于勒索病毒库需要即时更新,一个局域网内,任何一台病毒库较旧或者长时间未更新的机器都有可能受到新型勒索病毒的攻击。第二,由于勒索病毒防护程序和勒索病毒运行的环境实质上位于同一台主机,若勒索病毒防护程序被勒索病毒刻意针对、被绕过或被终止,例如故意通过调用某些系统API产生延迟或异常的手段来阻碍基于行为特征分析的检测、或通过特殊手段终止病毒防护程序的进程,则勒索病毒将在主机上畅行无阻,由此存在单机版勒索病毒防护程序易被针对,病毒库数据更新不够即时的问题。
第一方面,一种沙箱检测勒索病毒的方法,包括,
S100,在受检程序执行汇编语言指令且进入系统调用前,沙箱创建一个增量型的沙箱快照,并对所述受检程序触发的系统调用进入沙箱hook系统。
具体的,当受检程序执行汇编语言例如int 0x80或syscall指令进入系统调用前沙箱创建一个增量型的沙箱快照,并对所述受检程序触发的系统调用进行hook,一旦发生已hook事件,对该事件进行hook的程序就会收到系统的通知,这时程序就能在第一时间对该事件做出响应。
S200,所述沙箱hook系统调用后,所述沙箱再通过递归遍历调用方式检测系统调用以及后续的系统调用。
在沙箱内置的信息库对所有的系统调用及这些系统调用的各种可能的返回值进行归纳和存档,所述这些系统调用的各种可能的返回值包括正常或异常的返回值,以及相对应的传出参数及参数样例进行归纳和存档。当系统调用产生后,检测系统调用所有可能的返回值和对应的传出参数,按顺序选择其中一个作为被hook后系统调用的返回值和传出参数,并返回给所述受检程序;
由于在触发了系统调用并得到了沙箱给出的沙箱返回后,受检程序在未退出前一般会进行下一次系统调用,所述沙箱通过所述递归遍历调用方式结合所述增量型的沙箱快照对所述受检程序之后进行的系统调用继续进行hook和沙箱返回,直至所述受检程序在所述沙箱中完成一条系统调用链的执行。
其中,当受检程序所进行的一条系统调用链结束时,受检程序一般会终止运行或陷入无限等待循环。受检程序从开始进行的第一次系统调用至退出或陷入无限循环时的最后一次调用,和这两次调用之间的所有系统调用,称为一条系统调用链。
进一步的,基于所述受检程序在所述沙箱中完成了一条系统调用链的执行,所述沙箱通过所述增量型的沙箱快照结合递归遍历调用方式,回退到系统调用链在即将进行最后一次系统调用时的内存状态,并重新将系统调用返回到信息库中存有的不同的信息返回结果返回到受检程序,重复操作,直到所述系统调用记录于信息库中的所有信息返回结果均被返回给受检程序。
进一步的,在处理完最后一次系统调用后,将回退到倒数第二次的系统调用,此时仍将对受检程序继续hook系统调用并进行沙箱返回,直到递归遍历完所有系统调用链。
S300,所述沙箱在进行递归遍历调用方式检测系统调用的过程中,也同时监控受检程序;通过行为分析的方法,检测在所述沙箱内执行的过程中是否存在疑似勒索行为的系统调用或调用组合,若存在,则进行预警。
进一步的,在检测分析时,对所述受检程序存在的可疑系统调用通过沙箱返回的方式进行诱饵文件投递,用以检测该诱饵文件是否被感染。通过该手段可进一步确认受检程序是否为勒索病毒。
通过在受检程序执行汇编语言指令且进入系统调用前,沙箱创建一个增量型的沙箱快照,并对所述受检程序触发的系统调用进入沙箱hook系统;所述沙箱hook系统调用后,所述沙箱再通过递归遍历调用方式检测系统调用以及后续的系统调用,从而使勒索病毒的防护程序更安全,加快病毒数据库的更新速度。
第二方面,一种沙箱检测勒索病毒的系统,包括,
沙箱快照创建及系统调用hook模块01,用于在受检程序执行汇编语言指令且进入系统调用之前,沙箱创建一个增量型的沙箱快照,并对所述受检程序触发的系统调用进入沙箱hook系统;
递归遍历调用模块02,用于所述沙箱hook系统调用后,所述沙箱再通过递归遍历调用方式检测系统调用以及后续的系统调用;所述沙箱在进行递归遍历调用方式检测系统调用的过程中也同时监控受检程序;
预警模块03,用于通过行为分析的方法,检测在所述沙箱内执行的过程中是否存在疑似勒索行为的系统调用或调用组合,若存在,则进行预警。
进一步的,所述递归遍历调用模块,包括,
信息库信息返回子模块04,用于当系统调用产生后,检测系统调用信息库中所有可能的返回值和对应的传出参数,按顺序选择其中一个作为被hook后系统调用的返回值和对应的传出参数,并返回给所述受检程序;
第一条系统调用链的执行完成子模块05,用于所述沙箱通过所述递归遍历调用方式结合所述增量型的沙箱快照对所述受检程序之后进行的系统调用继续进行hook和沙箱返回,直至所述受检程序在所述沙箱中完成一条系统调用链的执行。
进一步的,受检程序返回完成单元06,基于所述受检程序在所述沙箱中完成了一条系统调用链的执行,用于所述沙箱通过所述增量型的沙箱快照结合递归遍历调用方式,回退到系统调用链在即将进行最后一次系统调用时的内存状态,并重新将系统调用返回到信息库中存有的不同的信息返回结果返回到受检程序,重复操作,直到所述系统调用记录于信息库中的所有返回结果均被返回给所述受检程序。
进一步的,递归遍历结束子单元07,用于在处理完最后一次系统调用后,将回退到倒数第二次的系统调用,此时仍将对受检程序继续hook系统调用并进行沙箱返回,直到递归遍历完所有系统调用链。
进一步的,所述预警模块03,包括,
诱饵文件检测单元08,在检测分析时,对所述受检程序存在的可疑系统调用通过沙箱返回的方式进行诱饵文件投递,用以检测该诱饵文件是否被感染。
本技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中,上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。另外,各功能单元、模块的具体名称也只是为了便于相互区分,并不用于限制本申请的保护范围。上述系统中单元、模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本公开各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读存储介质中。基于这样的理解,本公开实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,计算机程序可以存储在计算机可读存储介质中,该计算机程序在被处理器执行时,可以实现上述各个方法实施例的步骤。计算机程序可以包括计算机程序代码,计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。计算机可读介质可以包括:能够携带计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、电载波信号、电信信号以及软件分发介质等。需要说明的是,计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如,在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
以上实施例仅用以说明本公开的技术方案,而非对其限制;尽管参照前述实施例对本公开进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本公开各实施例技术方案的精神和范围,均应包含在本公开的保护范围之内。
Claims (4)
1.一种沙箱检测勒索病毒的方法,其特征在于,包括,
在受检程序执行汇编语言指令且进入系统调用前,沙箱创建一个增量型的沙箱快照,并对所述受检程序触发的系统调用进入沙箱hook系统;
所述沙箱hook系统调用后,所述沙箱再通过递归遍历调用方式检测系统调用以及后续的系统调用;包括:当系统调用产生后,检测系统调用所有可能的返回值和对应的传出参数,按顺序选择其中一个作为被hook后系统调用的返回值和传出参数,并返回给所述受检程序;所述沙箱通过所述递归遍历调用方式结合所述增量型的沙箱快照对所述受检程序之后进行的系统调用继续进行hook和沙箱返回,直至所述受检程序在所述沙箱中完成一条系统调用链的执行;基于所述受检程序在所述沙箱中完成了一条系统调用链的执行,所述沙箱通过所述增量型的沙箱快照结合递归遍历调用方式,回退到系统调用链在即将进行最后一次系统调用时的内存状态,并重新将系统调用返回到信息库中存有的不同的信息返回结果返回到受检程序,重复操作,直到所述系统调用记录于信息库中的所有信息返回结果均被返回给受检程序;在处理完最后一次系统调用后,将回退到倒数第二次的系统调用,此时仍将对受检程序继续沙箱hook系统调用并进行沙箱返回,直到递归遍历完所有系统调用链;
所述沙箱在进行递归遍历调用方式检测系统调用的过程中,也同时监控受检程序;通过行为分析的方法,检测在所述沙箱内执行的过程中是否存在疑似勒索行为的系统调用或调用组合,若存在,则进行预警。
2.根据权利要求1所述的一种沙箱检测勒索病毒的方法,其特征在于,所述沙箱hook系统调用后,所述沙箱再通过递归遍历调用方式检测系统调用以及后续的系统调用,还包括,
在检测分析时,对所述受检程序存在的可疑系统调用通过沙箱返回的方式进行诱饵文件投递,用以检测该诱饵文件是否被感染。
3.一种沙箱检测勒索病毒的系统,其特征在于,包括,
沙箱快照创建及系统调用hook模块,用于在受检程序执行汇编语言指令且进入系统调用前,沙箱创建一个增量型的沙箱快照,并对所述受检程序触发的系统调用进入沙箱hook系统;
递归遍历调用模块,用于所述沙箱hook系统调用后,所述沙箱再通过递归遍历调用方式检测系统调用以及后续的系统调用;包括:信息库信息返回子模块,用于当系统调用产生后,检测系统调用所有可能的返回值和对应的传出参数,按顺序选择其中一个作为被hook后系统调用的返回值和传出参数,并返回给所述受检程序;第一条系统调用链的执行完成子模块,用于所述沙箱通过所述递归遍历调用方式结合所述增量型的沙箱快照对所述受检程序之后进行的系统调用继续进行hook和沙箱返回,直至所述受检程序在所述沙箱中完成一条系统调用链的执行;所述第一条系统调用链的执行完成子模块,还包括:受检程序返回完成单元,用于基于所述受检程序在所述沙箱中完成了一条调用链的执行,所述沙箱通过所述增量型的沙箱快照结合递归遍历调用方式,回退到系统调用链在即将进行最后一次系统调用时的内存状态,并重新将系统调用返回到信息库中存有的不同的信息返回结果返回到受检程序,重复操作,直到所述系统调用记录于信息库中的所有信息返回结果均被返回给受检程序;递归遍历结束子单元,用于在处理完最后一次系统调用后,将回退到倒数第二次的系统调用,此时仍将对受检程序继续沙箱hook系统调用并进行沙箱返回,直到递归遍历完所有系统调用链;
预警模块,用于所述沙箱在进行递归遍历调用方式检测系统调用的过程中,也同时监控受检程序;通过行为分析的方法,检测在所述沙箱内执行的过程中是否存在疑似勒索行为的系统调用或调用组合,若存在,则进行预警。
4.根据权利要求3所述的一种沙箱检测勒索病毒的系统,其特征在于,预警模块,包括,
诱饵文件检测单元,用于在检测分析时,对所述受检程序存在的可疑系统调用通过沙箱返回的方式进行诱饵文件投递,用以检测该诱饵文件是否被感染。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311507707.7A CN117235712B (zh) | 2023-11-14 | 2023-11-14 | 一种沙箱检测勒索病毒的方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311507707.7A CN117235712B (zh) | 2023-11-14 | 2023-11-14 | 一种沙箱检测勒索病毒的方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117235712A CN117235712A (zh) | 2023-12-15 |
CN117235712B true CN117235712B (zh) | 2024-02-02 |
Family
ID=89095239
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311507707.7A Active CN117235712B (zh) | 2023-11-14 | 2023-11-14 | 一种沙箱检测勒索病毒的方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117235712B (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108319850A (zh) * | 2017-01-16 | 2018-07-24 | 华为技术有限公司 | 沙箱检测的方法、沙箱系统和沙箱设备 |
CN109586282A (zh) * | 2018-11-29 | 2019-04-05 | 安徽继远软件有限公司 | 一种电网未知威胁检测系统及方法 |
CN109766691A (zh) * | 2018-12-20 | 2019-05-17 | 广东电网有限责任公司 | 一种勒索病毒监控方法及装置 |
US11132443B1 (en) * | 2021-01-29 | 2021-09-28 | Malwarebytes Inc. | Exception handlers in a sandbox environment for malware detection |
CN114637992A (zh) * | 2022-03-03 | 2022-06-17 | 阿里云计算有限公司 | 软件函数调用行为数据的处理方法及装置 |
CN116561744A (zh) * | 2023-03-09 | 2023-08-08 | 中科天御(苏州)科技有限公司 | 一种基于诱饵文件监控的勒索病毒行为检测方法及系统 |
-
2023
- 2023-11-14 CN CN202311507707.7A patent/CN117235712B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108319850A (zh) * | 2017-01-16 | 2018-07-24 | 华为技术有限公司 | 沙箱检测的方法、沙箱系统和沙箱设备 |
CN109586282A (zh) * | 2018-11-29 | 2019-04-05 | 安徽继远软件有限公司 | 一种电网未知威胁检测系统及方法 |
CN109766691A (zh) * | 2018-12-20 | 2019-05-17 | 广东电网有限责任公司 | 一种勒索病毒监控方法及装置 |
US11132443B1 (en) * | 2021-01-29 | 2021-09-28 | Malwarebytes Inc. | Exception handlers in a sandbox environment for malware detection |
CN114637992A (zh) * | 2022-03-03 | 2022-06-17 | 阿里云计算有限公司 | 软件函数调用行为数据的处理方法及装置 |
CN116561744A (zh) * | 2023-03-09 | 2023-08-08 | 中科天御(苏州)科技有限公司 | 一种基于诱饵文件监控的勒索病毒行为检测方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN117235712A (zh) | 2023-12-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
AU2014330136B2 (en) | Complex scoring for malware detection | |
CN106991324B (zh) | 一种基于内存保护类型监控的恶意代码跟踪识别方法 | |
KR102307534B1 (ko) | 다수 소프트웨어 개체들에 걸쳐서 악성 행동을 트래킹하기 위한 시스템들 및 방법들 | |
US9237171B2 (en) | System and method for indirect interface monitoring and plumb-lining | |
US7231637B1 (en) | Security and software testing of pre-release anti-virus updates on client and transmitting the results to the server | |
US6785820B1 (en) | System, method and computer program product for conditionally updating a security program | |
CN101373502B (zh) | 基于Win32平台下病毒行为的自动化分析系统 | |
CN111931166B (zh) | 基于代码注入和行为分析的应用程序防攻击方法和系统 | |
US20150302198A1 (en) | Detection of Malicious Code Insertion in Trusted Environments | |
US20090293103A1 (en) | Federating trust in a heterogeneous network | |
CN105408911A (zh) | 硬件和软件执行概况分析 | |
US20190147163A1 (en) | Inferential exploit attempt detection | |
CN113632432A (zh) | 一种攻击行为的判定方法、装置及计算机存储介质 | |
RU101235U1 (ru) | Система проверки на присутствие вредоносного программного обеспечения с изменяемыми настройками проверки | |
KR100745640B1 (ko) | 커널 메모리를 보호하는 방법 및 그 장치 | |
KR100745639B1 (ko) | 파일 시스템 및 레지스트리를 보호하는 방법 및 그 장치 | |
CN117235712B (zh) | 一种沙箱检测勒索病毒的方法及系统 | |
US20150199516A1 (en) | Execution profile assembly using branch records | |
KR20110087826A (ko) | 가상머신을 이용한 악성소프트웨어 탐지 방법 | |
RU96267U1 (ru) | Система пополнения антивирусных баз при обнаружении неизвестных вредоносных компонент | |
CN116204876A (zh) | 异常检测方法、设备以及存储介质 | |
CN111259392B (zh) | 一种基于内核模块的恶意软件拦截方法及装置 | |
CN117390632A (zh) | 一种对第三方开源组件漏洞的检测防御方法和系统 | |
US12019734B2 (en) | Methods and apparatus for control and detection of malicious content using a sandbox environment | |
CN115758339A (zh) | 开源组件访问检测方法、装置及计算机可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |