CN109918907A - Linux平台进程内存恶意代码取证方法、控制器及介质 - Google Patents
Linux平台进程内存恶意代码取证方法、控制器及介质 Download PDFInfo
- Publication number
- CN109918907A CN109918907A CN201910094079.1A CN201910094079A CN109918907A CN 109918907 A CN109918907 A CN 109918907A CN 201910094079 A CN201910094079 A CN 201910094079A CN 109918907 A CN109918907 A CN 109918907A
- Authority
- CN
- China
- Prior art keywords
- memory
- file
- dynamic library
- malicious code
- program
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Debugging And Monitoring (AREA)
Abstract
本发明涉及一种Linux平台进程内存恶意代码取证方法、控制器及介质,所述方法包括遍历Linux系统所有进程,读取所有进程的内存映射文件;基于每一进程内存映射文件获取该进程对应的所有内存片段数据、程序文件路径信息和动态库文件路径信息中的一种或多种,根据每一进程对应的所有内存片段数据和程序文件路径信息,或者,所有内存片段数据和内存映射文件中包含的动态库文件路径信息,或者,程序文件对应的动态库文件路径信息检测该进程的恶意代码。本发明利用Linux操作系统的进程内存映射文件,确定进程的内存地址布局,准确的获取系统内每个进程的完整内存,有效发现Linux系统内存中的恶意代码,提高了系统Linux的安全性,在内存取证方法上具有通用性和稳定性。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种Linux平台进程内存恶意代码取证方法、控制器及介质。
背景技术
Linux系统是一款广泛应用的计算机操作系统,国家重要机构、银行、运营商、互联网行业等众多领域都有大量部署和使用。黑客组织长久以来一直重视对Linux系统的渗透和控制,Linux服务器也是高级持久性威胁(APT)的重要目标。目前在Linux系统恶意代码取证方面,主要存在两个瓶颈:第一、恶意程序利用高级隐藏技术和编码技术,使得其难以被发现和分析,而这些恶意程序对整个信息系统带来的威胁和危害是无法估量的;第二、目前针对Linux服务器系统的攻击取证技术尚不成熟,没有成熟的工具或者系统可以帮助业务人员对可疑服务器进行高效的取证分析工作。面对被攻击的Linux服务器,对其系统进程内存进行高效的安全取证,从中提取关键的恶意代码,是安全事件响应中的重要部分之一。
现有的针对Linux系统进行安全检测方法包括:病毒扫描检测、通用rootkit检测类、主机入侵检测、日志分析检测和特定检测等,但上述方法都是针对系统文件特征检测或部分特定内容的检测(如隐藏进程、隐藏连接),缺少一套完整的针对Linux系统进程内存的恶意代码检测技术。而在实际取证中,运行在Linux系统内存中的恶意代码是整个恶意攻击中的核心部分,因此,如何有效发现Linux系统内存中的恶意代码,及时阻断恶意攻击,降低攻击带来的损失,提高系统安全性,成为亟待解决的技术问题。
发明内容
本发明所要解决的技术问题在于,提供一种Linux平台进程内存恶意代码取证方法、控制器及介质,利用Linux操作系统的进程内存映射文件,确定进程的内存地址布局,从而准确的获取系统内每个进程的完整内存,有效发现Linux系统内存中的恶意代码,提高了系统Linux的安全性,在内存取证方法上具有通用性和稳定性。
为了解决上述技术问题,本发明提供了一种Linux平台进程内存恶意代码取证方法,包括:
遍历Linux系统所有进程,读取所有进程的内存映射文件;
基于所述每一进程内存映射文件获取该进程对应的所有内存片段数据、程序文件路径信息和动态库文件路径信息中的一种或多种,所述动态库文件路径信息包括内存映射文件中包含的程序文件对应的动态库文件路径信息和程序文件对应的动态库文件路径信息;
根据每一进程对应的所有内存片段数据和程序文件路径信息,或者,所有内存片段数据和内存映射文件中包含的动态库文件路径信息,或者,程序文件对应的动态库文件路径信息检测该进程的恶意代码。
进一步的,所述遍历Linux系统所有进程,读取所有进程的内存映射文件,包括:
获取Linux系统进程号最大值;
以进程号1为起点,以所述进程号最大值为终点,遍历进程目录/proc下的进程子目录/proc/pid/,获取系统所有进程;
针对每个进程子目录/proc/pid/,获取该进程对应的内存映射文件。
进一步的,所述遍历进程目录/proc下的进程子目录/proc/pid/过程中,若遍历至预设进程,则直接跳过,继续遍历下一进程,所述预设进程包括内核线程和内存取证进程。
进一步的,基于所述进程内存映射文件获取每一进程的所有内存数据,包括:
以当前进行获取内存信息的进程为目标进程,读取所述目标进程对应的内存映射文件,对其中全部内存片段信息进行解析,获取每一内存片段的起始地址和结束地址;
调用系统调试函数ptrace读取每一内存片段从起始地址到结束地址之间的内存数据;
调用系统文件操作函数open/write存储所读取到的每个内存片段对应的内存数据,直至所述目标进程的所有内存片段读取完毕,所述目标进程的内存数据单独存放一个目录。
进一步的,根据每一进程对应的所有内存片段数据和程序文件路径信息检测该进程的恶意代码,包括:
根据每一进程对应的所有内存片段数据获取进程内存中的预设代码段;
根据所述程序文件路径信息获取程序文件;
分析所述程序文件对应的程序头结构,得到该程序文件对应的预设代码段;
将所述进程内存中的预设代码段和程序文件对应的预设代码段进行对比,若存在不同,则表示存在恶意代码,输出该程序文件及对应的内存片段数据。
进一步的,根据每一进程对应的所有内存片段数据和内存映射文件中包含的动态库文件路径信息检测该进程的恶意代码,包括:
根据每一进程对应的所有内存片段数据获取进程内存中的预设代码段;
根据内存映射文件中包含的动态库文件路径信息获取动态库文件;
分析所述动态库文件对应的程序头文件,得到该动态库文件对应的预设代码段;
将所述进程内存中的预设代码段和动态库文件对应的预设代码段进行对比,若存在不同,则表示存在恶意代码,输出动态库文件及对应的内存片段数据。
进一步的,所述预设代码段为.text段数据。
进一步的,根据每一进程对应的程序文件对应的动态库文件路径信息检测该进程的恶意代码,包括:
根据每一进程对应的程序文件对应的动态库文件路径信息,获取该进程对应的动态库文件列表;
获取该进程对应的内存映射文件中包含的动态库文件信息;
将所述内存映射文件中包含的动态文件信息与所述动态库文件列表进行对比;
若所述内存映射文件中包含一个或多个不在所述动态库文件列表中的动态文件,则表示存在恶意代码,输出该动态库文件路径以及对应的内存片段数据。
根据本发明又一方面,提供一种控制器,其包括存储器与处理器,所述存储器存储有计算机程序,所述程序在被所述处理器执行时能够实现所述方法的步骤。
根据本发明又一方面,提供一种计算机可读存储介质,用于存储计算机指令,所述指令在由一计算机或处理器执行时实现所述方法的步骤。
本发明与现有技术相比具有明显的优点和有益效果。借由上述技术方案,本发明一种Linux平台进程内存恶意代码取证方法、控制器及介质可达到相当的技术进步性及实用性,并具有产业上的广泛利用价值,其至少具有下列优点:
本发明利用Linux操作系统的进程内存映射文件,确定进程的内存地址布局,从而准确的获取系统内每个进程的完整内存,每个进程之间的内存信息相互独立,进而有效发现Linux系统内存中的恶意代码,方法简单准确,提高了系统Linux的安全性。本发明较传统的系统原始内存取证,避免了每个进程内存的完整获取以及独立获取,在内存取证方法上具有通用性和稳定性。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其他目的、特征和优点能够更明显易懂,以下特举较佳实施例,并配合附图,详细说明如下。
附图说明
图1为本发明一实施例提供Linux平台进程内存恶意代码取证方法示意图;
图2为本发明一实施例基于进程内存映射文件获取进程的所有内存数据示意图。
具体实施方式
为更进一步阐述本发明为达成预定发明目的所采取的技术手段及功效,以下结合附图及较佳实施例,对依据本发明提出的一种Linux平台进程内存恶意代码取证方法、控制器及介质的具体实施方式及其功效,详细说明如后。
本发明实施例提供了一种Linux平台进程内存恶意代码取证方法,如图1所示,包括以下步骤:
步骤S1、遍历Linux系统所有进程,读取所有进程的内存映射文件;
步骤S2、基于所述每一进程内存映射文件(maps文件)获取该进程对应的所有内存片段数据、程序文件路径信息和动态库文件路径信息中的一种或多种,所述动态库文件路径信息包括内存映射文件中包含的程序文件对应的动态库文件路径信息和程序文件对应的动态库文件路径信息;
其中,根据进程maps文件中包含的文件名字符串,即可获取进程对应的程序文件路径信息和依赖的动态库文件路径信息。
步骤S3、根据每一进程对应的所有内存片段数据和程序文件路径信息,或者,所有内存片段数据和内存映射文件中包含的动态库文件路径信息,或者,程序文件对应的动态库文件路径信息,检测该进程的恶意代码。
循环遍历,直至检测完所有取证的进程内存。
作为一种示例,所述步骤S1包括:
步骤S11、获取Linux系统进程号最大值;
具体地,可通过获取Linux系统内核配置参数(/proc/sys/kernel/pid_max),来获取系统进程号的最大值。
步骤S12、利用Linux文件目录访问特性,以进程号1为起点,以所述进程号最大值为终点,遍历进程目录/proc下的进程子目录/proc/pid/,获取系统所有进程;
由于系统中运行的进程数有限,该方式针对隐藏进程同样有效。同时针对Linux系统中的线程,也同样有效。将每个遍历过程中有效的进程号pid与maps文件一一对应起来。
步骤S13、针对每个进程子目录/proc/pid/,获取该进程对应的内存映射文件,此外,还可同时获取进程打开文件,进程参数文件等信息。
在遍历取证的整个过程中,内存取证程序运行,也会生成一个系统进程,即内存取证进程,而该进程一定不是恶意进程,此外,内核线程也不是恶意进程,从而不需要对内存取证进程以及内核线程进行内存取证,以提高程序运行的效率。因此,在所述遍历进程目录/proc下的进程子目录/proc/pid/过程中,若遍历至预设进程,则直接跳过,继续遍历下一进程,所述预设进程包括内核线程和内存取证进程。
maps文件中每行代表一个内存片段,后面对应有文件路径,即程序文件路径和动态库文件路径。每个程序文件或动态库文件包含数个内存片段,其中.text段数据位于每个文件所包含的内存片段中的第一行。每个进程的全部内存片段信息都包含在进程maps文件中,根据进程的maps文件中的每一行,对每个进程的内存片段数据进行读取,然后按照内存片段的起始地址逐一存储到磁盘中,以内存起始地址命名。作为一种示例,所述步骤S2中,基于所述进程内存映射文件获取每一进程的所有内存数据,可通过系统应用程序接口API来获取每个集成的所有分段内存,如图2所示,具体可包括以下步骤:
步骤S21、以当前进行获取内存信息的进程为目标进程,读取所述目标进程对应的内存映射文件,对其中全部内存片段信息进行解析,获取每一内存片段的起始地址和结束地址;
步骤S22、调用系统调试函数ptrace读取每一内存片段从起始地址到结束地址之间的内存数据;
步骤S23、调用系统文件操作函数open/write存储所读取到的每个内存片段对应的内存数据,直至所述目标进程的所有内存片段读取完毕,所述目标进程的内存数据单独存放一个目录。
其中,内存数据可包括程序代码段内存、程序数据段内存、动态库内存、堆栈内存、匿名映射内存等。
作为示例,根据步骤S21中得到的进程内存片段的起始地址和长度(结束地址-起始地址),以二进制方式获取进程每个内存片段的内容,并分别保存到文件,文件名以内存片段的起始地址命名。文件名以内存片段的起始地址命名。循环遍历,将所有进程的内存数据按步骤S21-步骤S23获取完毕。
以下通过一具体示例来进一步描述步骤S21-步骤S23,利用系统函数ptrace的进程附加功能参数(PTRACE_ATTACH),附加到目标进程,使目标进程进入调试状态,暂停运行,等待ptrace的后续操作。如果某个pid的maps文件读取失败,表示该进程是内核线程,或者进程不存在等,则遍历下一个进程pid;如果成功,则开始调用ptrace的内存读取功能参数(PTRACE_PEEKTEXT),根据maps文件中的每个内存片段的起始地址和长度,按照4字节为单位,顺序读取相应长度的内存数据。每个pid单独创建一个目录,目录下存放所有以内存片段地址命名的内存数据文件。当maps文件中所有的内存片段读取完毕,调用ptrace函数的进程脱离功能参数(PTRACE_DETACH),从目标进程脱离,使目标进程恢复运行。
每个系统内的进程内存读取完毕后,则通过步骤S3进行恶意代码检测,步骤S3中包括多种检测方式,以下通过三个实施例进行说明:
实施例一、
根据每一进程对应的所有内存片段数据和程序文件路径信息检测该进程的恶意代码,包括:
步骤S301、根据每一进程对应的所有内存片段数据获取进程内存中的预设代码段;
步骤S302、根据所述程序文件路径信息获取程序文件;
步骤S303、分析所述程序文件对应的程序头结构,得到该程序文件对应的预设代码段;
具体通过分析程序文件elf结构,获取对应的程序头结构,程序头包含了该文件运行时,在内存中的布局情况,程序连接器(代码编译过程中的一个必要工具)将很多程序段(即sections)连接为一个内存段(即segment),每个segment的用途和内存权限不同,具有读执行(rx)权限的segment包括动态可重定位段(.rela.dyn)、程序链接可重定位段(.rela.plt)、代码段(.text)等sections,这个segment包含的内容是程序的代码汇编指令部分。作为一种示例,所述预设代码段为.text段数据。
步骤S304、将所述进程内存中的预设代码段和程序文件对应的预设代码段进行对比,若存在不同,则表示存在恶意代码,输出该程序文件及对应的内存片段数据。
实施例二、
根据每一进程对应的所有内存片段数据和内存映射文件中包含的动态库文件路径信息检测该进程的恶意代码,包括:
步骤S311、根据每一进程对应的所有内存片段数据获取进程内存中的预设代码段;
步骤S312、根据内存映射文件中包含的动态库文件路径信息获取动态库文件;
步骤S313、分析所述动态库文件对应的程序头文件,得到该动态库文件对应的预设代码段;
具体通过分析动态库文件elf结构,获取对应的程序头结构,作为一种示例,所述预设代码段为.text段数据。
步骤S314、将所述进程内存中的预设代码段和动态库文件对应的预设代码段进行对比,若存在不同,则表示存在恶意代码,输出动态库文件及对应的内存片段数据。
实施例三、
根据每一进程对应的程序文件对应的动态库文件路径信息检测该进程的恶意代码,包括:
步骤S321、根据每一进程对应的程序文件对应的动态库文件路径信息,获取该进程对应的动态库文件列表;
步骤S322、获取该进程对应的内存映射文件中包含的动态库文件信息;
步骤S323、将所述内存映射文件中包含的动态文件信息与所述动态库文件列表进行对比;
步骤S324、若所述内存映射文件中包含一个或多个不在所述动态库文件列表中的动态文件,则表示存在恶意代码,输出该动态库文件路径以及对应的内存片段数据。
需要说明的是,以上三个实施例仅为示例,实际使用中,在获取所有进程的所有内存片段数据,即内存取证的基础上,也可采用其他恶意检测方法进行恶意代码检测。
本发明实施例还提供一种控制器,其包括存储器与处理器,所述存储器存储有计算机程序,所述程序在被所述处理器执行时能够实现所述Linux平台进程内存恶意代码取证方法的步骤。
本发明实施例还提供一种计算机可读存储介质,用于存储计算机指令,所述指令在由一计算机或处理器执行时实现所述Linux平台进程内存恶意代码取证方法的步骤。
本发明实施例利用Linux操作系统的进程内存映射文件,确定进程的内存地址布局,从而准确的获取系统内每个进程的完整内存,每个进程之间的内存信息相互独立,进而有效发现Linux系统内存中的恶意代码,方法简单准确,提高了系统Linux的安全性。本发明较传统的系统原始内存取证,避免了每个进程内存的完整获取以及独立获取,在内存取证方法上具有通用性和稳定性。
以上所述,仅是本发明的较佳实施例而已,并非对本发明作任何形式上的限制,虽然本发明已以较佳实施例揭露如上,然而并非用以限定本发明,任何熟悉本专业的技术人员,在不脱离本发明技术方案范围内,当可利用上述揭示的技术内容作出些许更动或修饰为等同变化的等效实施例,但凡是未脱离本发明技术方案的内容,依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与修饰,均仍属于本发明技术方案的范围内。
Claims (10)
1.一种Linux平台进程内存恶意代码取证方法,其特征在于,包括:
遍历Linux系统所有进程,读取所有进程的内存映射文件;
基于所述每一进程内存映射文件获取该进程对应的所有内存片段数据、程序文件路径信息和动态库文件路径信息中的一种或多种,所述动态库文件路径信息包括内存映射文件中包含的程序文件对应的动态库文件路径信息和程序文件对应的动态库文件路径信息;
根据每一进程对应的所有内存片段数据和程序文件路径信息,或者,所有内存片段数据和内存映射文件中包含的动态库文件路径信息,或者,程序文件对应的动态库文件路径信息检测该进程的恶意代码。
2.根据权利要求1所述的Linux平台进程内存恶意代码取证方法,其特征在于,
所述遍历Linux系统所有进程,读取所有进程的内存映射文件,包括:
获取Linux系统进程号最大值;
以进程号1为起点,以所述进程号最大值为终点,遍历进程目录/proc下的进程子目录/proc/pid/,获取系统所有进程;
针对每个进程子目录/proc/pid/,获取该进程对应的内存映射文件。
3.根据权利要求2所述的Linux平台进程内存恶意代码取证方法,其特征在于,
所述遍历进程目录/proc下的进程子目录/proc/pid/过程中,若遍历至预设进程,则直接跳过,继续遍历下一进程,所述预设进程包括内核线程和内存取证进程。
4.根据权利要求1所述的Linux平台进程内存恶意代码取证方法,其特征在于,
基于所述进程内存映射文件获取每一进程的所有内存数据,包括:
以当前进行获取内存信息的进程为目标进程,读取所述目标进程对应的内存映射文件,对其中全部内存片段信息进行解析,获取每一内存片段的起始地址和结束地址;
调用系统调试函数ptrace读取每一内存片段从起始地址到结束地址之间的内存数据;
调用系统文件操作函数open/write存储所读取到的每个内存片段对应的内存数据,直至所述目标进程的所有内存片段读取完毕,所述目标进程的内存数据单独存放一个目录。
5.根据权利要求4所述的Linux平台进程内存恶意代码取证方法,其特征在于,
根据每一进程对应的所有内存片段数据和程序文件路径信息检测该进程的恶意代码,包括:
根据每一进程对应的所有内存片段数据获取进程内存中的预设代码段;
根据所述程序文件路径信息获取程序文件;
分析所述程序文件对应的程序头结构,得到该程序文件对应的预设代码段;
将所述进程内存中的预设代码段和程序文件对应的预设代码段进行对比,若存在不同,则表示存在恶意代码,输出该程序文件及对应的内存片段数据。
6.根据权利要求4所述的Linux平台进程内存恶意代码取证方法,其特征在于,
根据每一进程对应的所有内存片段数据和内存映射文件中包含的动态库文件路径信息检测该进程的恶意代码,包括:
根据每一进程对应的所有内存片段数据获取进程内存中的预设代码段;
根据内存映射文件中包含的动态库文件路径信息获取动态库文件;
分析所述动态库文件对应的程序头文件,得到该动态库文件对应的预设代码段;
将所述进程内存中的预设代码段和动态库文件对应的预设代码段进行对比,若存在不同,则表示存在恶意代码,输出动态库文件及对应的内存片段数据。
7.根据权利要求5或6所述的Linux平台进程内存恶意代码取证方法,其特征在于,
所述预设代码段为.text段数据。
8.根据权利要求4所述的Linux平台进程内存恶意代码取证方法,其特征在于,
根据每一进程对应的程序文件对应的动态库文件路径信息检测该进程的恶意代码,包括:
根据每一进程对应的程序文件对应的动态库文件路径信息,获取该进程对应的动态库文件列表;
获取该进程对应的内存映射文件中包含的动态库文件信息;
将所述内存映射文件中包含的动态文件信息与所述动态库文件列表进行对比;
若所述内存映射文件中包含一个或多个不在所述动态库文件列表中的动态文件,则表示存在恶意代码,输出该动态库文件路径以及对应的内存片段数据。
9.一种控制器,其包括存储器与处理器,其特征在于,
所述存储器存储有计算机程序,所述程序在被所述处理器执行时能够实现权利要求1至8中任意一项权利要求所述的方法的步骤。
10.一种计算机可读存储介质,用于存储计算机指令,其特征在于,
所述指令在由一计算机或处理器执行时实现如权利要求1至8中任意一项权利要求所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910094079.1A CN109918907B (zh) | 2019-01-30 | 2019-01-30 | Linux平台进程内存恶意代码取证方法、控制器及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910094079.1A CN109918907B (zh) | 2019-01-30 | 2019-01-30 | Linux平台进程内存恶意代码取证方法、控制器及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109918907A true CN109918907A (zh) | 2019-06-21 |
| CN109918907B CN109918907B (zh) | 2021-05-25 |
Family
ID=66961167
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910094079.1A Active CN109918907B (zh) | 2019-01-30 | 2019-01-30 | Linux平台进程内存恶意代码取证方法、控制器及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109918907B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110321703A (zh) * | 2019-07-02 | 2019-10-11 | 北京智游网安科技有限公司 | 一种检测应用程序非法入侵的方法、存储介质及终端设备 |
| CN110543765A (zh) * | 2019-08-28 | 2019-12-06 | 南京市晨枭软件技术有限公司 | 一种恶意软件检测方法 |
| CN110611659A (zh) * | 2019-08-21 | 2019-12-24 | 南瑞集团有限公司 | 一种电力监控系统业务本质保护方法、装置及系统 |
| CN110909352A (zh) * | 2019-11-26 | 2020-03-24 | 杭州安恒信息技术股份有限公司 | Linux服务器下的恶意进程检测方法 |
| CN111008378A (zh) * | 2019-11-29 | 2020-04-14 | 四川效率源信息安全技术股份有限公司 | 一种清洗希捷硬盘固件区恶意代码的方法 |
| CN111240949A (zh) * | 2020-01-13 | 2020-06-05 | 奇安信科技集团股份有限公司 | 一种确定国产操作系统中的软件使用频率的方法及装置 |
| CN111309396A (zh) * | 2020-02-14 | 2020-06-19 | 北京字节跳动网络技术有限公司 | 一种系统库的访问方法、装置以及计算机可读存储介质 |
| CN113742002A (zh) * | 2021-09-10 | 2021-12-03 | 上海达梦数据库有限公司 | 一种动态库依赖关系获取方法、装置、设备及存储介质 |
Citations (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1987717A (zh) * | 2005-12-23 | 2007-06-27 | 联想(北京)有限公司 | 实时检查进程完整性的方法与系统 |
| CN101154258A (zh) * | 2007-08-14 | 2008-04-02 | 电子科技大学 | 恶意程序动态行为自动化分析系统与方法 |
| CN101414339A (zh) * | 2007-10-15 | 2009-04-22 | 北京瑞星国际软件有限公司 | 保护进程内存及确保驱动程序加载的安全性的方法 |
| CN102054149A (zh) * | 2009-11-06 | 2011-05-11 | 中国科学院研究生院 | 一种恶意代码行为特征提取方法 |
| CN102609649A (zh) * | 2012-02-06 | 2012-07-25 | 北京百度网讯科技有限公司 | 一种自动采集恶意软件的方法和装置 |
| CN102622536A (zh) * | 2011-01-26 | 2012-08-01 | 中国科学院软件研究所 | 一种恶意代码捕获方法 |
| CN102902914A (zh) * | 2012-09-05 | 2013-01-30 | 福建伊时代信息科技股份有限公司 | 一种实现终端无痕的方法及装置 |
| CN104077522A (zh) * | 2014-06-30 | 2014-10-01 | 江苏华大天益电力科技有限公司 | 一种操作系统进程完整性检测方法 |
| CN104376261A (zh) * | 2014-11-27 | 2015-02-25 | 南京大学 | 一种在取证场景下自动检测恶意进程的方法 |
| CN104715191A (zh) * | 2015-03-26 | 2015-06-17 | 广州快飞计算机科技有限公司 | 一种嵌入式主程序的启动检测与保护的方法及系统 |
| CN104714831A (zh) * | 2015-03-31 | 2015-06-17 | 北京奇虎科技有限公司 | 一种检测虚拟机中的寄生进程的方法和装置 |
| CN105868632A (zh) * | 2016-04-20 | 2016-08-17 | 北京金山安全软件有限公司 | 一种拦截释放dhcp的方法及装置 |
| CN106096391A (zh) * | 2016-06-02 | 2016-11-09 | 北京金山安全软件有限公司 | 一种进程控制方法及用户终端 |
| CN106096410A (zh) * | 2016-06-02 | 2016-11-09 | 北京金山安全软件有限公司 | 一种进程控制方法及用户终端 |
| CN106295319A (zh) * | 2016-08-02 | 2017-01-04 | 中标软件有限公司 | 操作系统安全防护方法 |
| CN106778276A (zh) * | 2016-12-29 | 2017-05-31 | 北京安天网络安全技术有限公司 | 一种检测无实体文件恶意代码的方法及系统 |
| CN106874761A (zh) * | 2016-12-30 | 2017-06-20 | 北京邮电大学 | 一种安卓系统恶意应用检测方法及系统 |
| CN106919837A (zh) * | 2016-10-20 | 2017-07-04 | 深圳市安之天信息技术有限公司 | 一种恶意代码未知自启动识别方法及系统 |
| CN108156175A (zh) * | 2018-01-22 | 2018-06-12 | 成都汇智远景科技有限公司 | 云计算平台下对共享存储信息的访问方法 |
| CN108200106A (zh) * | 2018-04-02 | 2018-06-22 | 浙江九州量子信息技术股份有限公司 | 一种物联网安全检测防护方法 |
| CN109033828A (zh) * | 2018-07-25 | 2018-12-18 | 山东省计算中心(国家超级计算济南中心) | 一种基于计算机内存分析技术的木马检测方法 |
| CN109063471A (zh) * | 2018-07-17 | 2018-12-21 | 广州大学 | 一种sgx运行的保护方法 |
-
2019
- 2019-01-30 CN CN201910094079.1A patent/CN109918907B/zh active Active
Patent Citations (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1987717A (zh) * | 2005-12-23 | 2007-06-27 | 联想(北京)有限公司 | 实时检查进程完整性的方法与系统 |
| CN101154258A (zh) * | 2007-08-14 | 2008-04-02 | 电子科技大学 | 恶意程序动态行为自动化分析系统与方法 |
| CN101414339A (zh) * | 2007-10-15 | 2009-04-22 | 北京瑞星国际软件有限公司 | 保护进程内存及确保驱动程序加载的安全性的方法 |
| CN102054149A (zh) * | 2009-11-06 | 2011-05-11 | 中国科学院研究生院 | 一种恶意代码行为特征提取方法 |
| CN102622536A (zh) * | 2011-01-26 | 2012-08-01 | 中国科学院软件研究所 | 一种恶意代码捕获方法 |
| CN102609649A (zh) * | 2012-02-06 | 2012-07-25 | 北京百度网讯科技有限公司 | 一种自动采集恶意软件的方法和装置 |
| CN102902914A (zh) * | 2012-09-05 | 2013-01-30 | 福建伊时代信息科技股份有限公司 | 一种实现终端无痕的方法及装置 |
| CN104077522A (zh) * | 2014-06-30 | 2014-10-01 | 江苏华大天益电力科技有限公司 | 一种操作系统进程完整性检测方法 |
| CN104376261A (zh) * | 2014-11-27 | 2015-02-25 | 南京大学 | 一种在取证场景下自动检测恶意进程的方法 |
| CN104715191A (zh) * | 2015-03-26 | 2015-06-17 | 广州快飞计算机科技有限公司 | 一种嵌入式主程序的启动检测与保护的方法及系统 |
| CN104714831A (zh) * | 2015-03-31 | 2015-06-17 | 北京奇虎科技有限公司 | 一种检测虚拟机中的寄生进程的方法和装置 |
| CN105868632A (zh) * | 2016-04-20 | 2016-08-17 | 北京金山安全软件有限公司 | 一种拦截释放dhcp的方法及装置 |
| CN106096391A (zh) * | 2016-06-02 | 2016-11-09 | 北京金山安全软件有限公司 | 一种进程控制方法及用户终端 |
| CN106096410A (zh) * | 2016-06-02 | 2016-11-09 | 北京金山安全软件有限公司 | 一种进程控制方法及用户终端 |
| CN106295319A (zh) * | 2016-08-02 | 2017-01-04 | 中标软件有限公司 | 操作系统安全防护方法 |
| CN106919837A (zh) * | 2016-10-20 | 2017-07-04 | 深圳市安之天信息技术有限公司 | 一种恶意代码未知自启动识别方法及系统 |
| CN106778276A (zh) * | 2016-12-29 | 2017-05-31 | 北京安天网络安全技术有限公司 | 一种检测无实体文件恶意代码的方法及系统 |
| CN106874761A (zh) * | 2016-12-30 | 2017-06-20 | 北京邮电大学 | 一种安卓系统恶意应用检测方法及系统 |
| CN108156175A (zh) * | 2018-01-22 | 2018-06-12 | 成都汇智远景科技有限公司 | 云计算平台下对共享存储信息的访问方法 |
| CN108200106A (zh) * | 2018-04-02 | 2018-06-22 | 浙江九州量子信息技术股份有限公司 | 一种物联网安全检测防护方法 |
| CN109063471A (zh) * | 2018-07-17 | 2018-12-21 | 广州大学 | 一种sgx运行的保护方法 |
| CN109033828A (zh) * | 2018-07-25 | 2018-12-18 | 山东省计算中心(国家超级计算济南中心) | 一种基于计算机内存分析技术的木马检测方法 |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110321703A (zh) * | 2019-07-02 | 2019-10-11 | 北京智游网安科技有限公司 | 一种检测应用程序非法入侵的方法、存储介质及终端设备 |
| CN110611659A (zh) * | 2019-08-21 | 2019-12-24 | 南瑞集团有限公司 | 一种电力监控系统业务本质保护方法、装置及系统 |
| CN110611659B (zh) * | 2019-08-21 | 2022-08-09 | 南瑞集团有限公司 | 一种电力监控系统业务本质保护方法、装置及系统 |
| CN110543765A (zh) * | 2019-08-28 | 2019-12-06 | 南京市晨枭软件技术有限公司 | 一种恶意软件检测方法 |
| CN110909352A (zh) * | 2019-11-26 | 2020-03-24 | 杭州安恒信息技术股份有限公司 | Linux服务器下的恶意进程检测方法 |
| CN111008378A (zh) * | 2019-11-29 | 2020-04-14 | 四川效率源信息安全技术股份有限公司 | 一种清洗希捷硬盘固件区恶意代码的方法 |
| CN111008378B (zh) * | 2019-11-29 | 2023-08-01 | 四川效率源信息安全技术股份有限公司 | 一种清洗硬盘固件区恶意代码的方法 |
| CN111240949A (zh) * | 2020-01-13 | 2020-06-05 | 奇安信科技集团股份有限公司 | 一种确定国产操作系统中的软件使用频率的方法及装置 |
| CN111240949B (zh) * | 2020-01-13 | 2024-04-26 | 奇安信科技集团股份有限公司 | 一种确定国产操作系统中的软件使用频率的方法及装置 |
| CN111309396A (zh) * | 2020-02-14 | 2020-06-19 | 北京字节跳动网络技术有限公司 | 一种系统库的访问方法、装置以及计算机可读存储介质 |
| CN111309396B (zh) * | 2020-02-14 | 2023-08-15 | 北京字节跳动网络技术有限公司 | 一种系统库的访问方法、装置以及计算机可读存储介质 |
| CN113742002A (zh) * | 2021-09-10 | 2021-12-03 | 上海达梦数据库有限公司 | 一种动态库依赖关系获取方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109918907B (zh) | 2021-05-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109918907A (zh) | Linux平台进程内存恶意代码取证方法、控制器及介质 | |
| US11625485B2 (en) | Method of malware detection and system thereof | |
| US10165001B2 (en) | Method and device for processing computer viruses | |
| CN106462703B (zh) | 补丁文件分析系统与分析方法 | |
| CN104346148B (zh) | 获取程序性能消耗信息的方法、装置及系统 | |
| US20130247198A1 (en) | Emulator updating system and method | |
| CN107004088B (zh) | 确定装置、确定方法及记录介质 | |
| CN105138916B (zh) | 基于数据挖掘的多轨迹恶意程序特征检测方法 | |
| WO2007056933A1 (fr) | Procede pour identifier des virus inconnus et les supprimer | |
| CN101183414A (zh) | 一种程序检测的方法、装置及程序分析的方法 | |
| CN106203116A (zh) | 一种恶意软件的检测方法及装置 | |
| CN103294951B (zh) | 一种基于文档型漏洞的恶意代码样本提取方法及系统 | |
| CN105653949B (zh) | 一种恶意程序检测方法及装置 | |
| WO2019047442A1 (zh) | 一种ios应用中绕过函数调用链检测的方法及系统 | |
| CN110414236A (zh) | 一种恶意进程的检测方法及装置 | |
| CN108898012B (zh) | 检测非法程序的方法和装置 | |
| CN113132311A (zh) | 异常访问检测方法、装置和设备 | |
| CN113312615A (zh) | 一种终端检测与响应系统 | |
| KR101327740B1 (ko) | 악성코드의 행동 패턴 수집장치 및 방법 | |
| CN105550573B (zh) | 拦截捆绑软件的方法和装置 | |
| KR101308866B1 (ko) | 공개형 악성코드 관리 및 분석 시스템 | |
| CN102222201A (zh) | 一种文件扫描方法及装置 | |
| Tan et al. | Attack provenance tracing in cyberspace: Solutions, challenges and future directions | |
| CN117478373B (zh) | 基于内存取证的无文件攻击调查方法及系统 | |
| Quante | Online construction of dynamic object process graphs |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |