CN101593249A - 一种可疑文件分析方法及系统 - Google Patents
一种可疑文件分析方法及系统 Download PDFInfo
- Publication number
- CN101593249A CN101593249A CN 200810067552 CN200810067552A CN101593249A CN 101593249 A CN101593249 A CN 101593249A CN 200810067552 CN200810067552 CN 200810067552 CN 200810067552 A CN200810067552 A CN 200810067552A CN 101593249 A CN101593249 A CN 101593249A
- Authority
- CN
- China
- Prior art keywords
- apocrypha
- virtual machine
- module
- analysis result
- rogue program
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000013459 approach Methods 0.000 title claims abstract description 9
- 230000003542 behavioural effect Effects 0.000 claims abstract description 38
- 238000012544 monitoring process Methods 0.000 claims abstract description 7
- 238000000034 method Methods 0.000 claims description 11
- 230000000052 comparative effect Effects 0.000 claims description 6
- 230000005540 biological transmission Effects 0.000 claims description 4
- 238000012360 testing method Methods 0.000 description 4
- 241001597008 Nomeidae Species 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 239000008186 active pharmaceutical agent Substances 0.000 description 2
- 238000002347 injection Methods 0.000 description 2
- 239000007924 injection Substances 0.000 description 2
- 238000012797 qualification Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/51—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明实施例提供一种可疑文件分析方法,包括:根据预先存储的配置文件获取一个或多个可疑文件,所述配置文件为与可疑文件相关的信息;选取其中一可疑文件传送到虚拟机并运行所述选取的可疑文件;记录所述可疑文件在所述虚拟机中运行时的行为特征并保存为日志;根据所述记录的日志分析所述可疑文件并输出分析结果。本发明实施方式还提供一种可疑文件分析系统。本发明实施例将所述一个或多个可疑文件自动传送到所述虚拟机,通过监视和分析可疑文件在虚拟机运行时的行为特征自动输出分析结果,可自动分析可疑文件并输出分析结果,提高了分析效率,节省了时间和人力成本。
Description
技术领域
本发明涉及计算机安全技术领域,尤其涉及一种可疑文件分析方法及系统。
背景技术
虚拟机(Virtual Machine)是一个虚构出来的计算机,是通过在真实的计算机上仿真模拟各种计算机功能来实现的。通过虚拟机软件可以在一台电脑(宿主机)上模拟出一个或多个台虚拟的计算机(虚拟机),且每台虚拟计算机都可以运行单独的操作系统而互不干扰,即一台虚拟机就是一台独立的计算机,拥有独立的操作系统。虚拟机使用真实系统的CPU、部分磁盘空间及内存,虚拟机完全就像真正的计算机进行工作,例如可以安装操作系统、安装应用程序、访问网络资源等。
由于虚拟机最大的优点就是方便、快捷、节省资源,所以成为很多个人或企业的必备工具,尤其是信息安全行业,由于信息安全行业工作性质的特殊性,尤其是研究或测试恶意程序的部门,在研究每一个恶意程序时都需要一个“干净”的操作系统,因为恶意程序之间会相互干扰,可能会导致操作系统紊乱,从而干扰研究人员对其行为的判断。为了得到准确的结果,研究人员必须采用“干净”的操作系统。若研究人员选择真实主机系统来研究恶意程序,恢复(重装)系统需要较长时间,从而会浪费大量时间,软件公司必须节省这个时间,另外当今流行的恶意软件大都会能在虚拟机里正常运行,和在真实主机操作系统里运行结果没有任何区别,不会影响研究人员的判断力,所以软件信息安全公司在对大部分恶意软件(Malware)的分析和测试处理时大都选用了虚拟机环境。
在实现本发明的过程中,发明人发现现有技术中至少存在如下问题:在使用虚拟机时需要手动操作,如对单一对象存储(Single Instance Storage,SIS)的创建、恢复、删除操作以及对VirtualMachine系统的启动、暂停、重启、关机等操作都需要人工参与,软件信息安全公司的分析工程师和测试工程师在对恶意软件进行分析和测试时就必须手动操作虚拟机来达到工作目的,因此,软件信息安全公司在此环节花费大量的人力物力。
发明内容
鉴于以上内容,有必要提供一种可疑文件分析方法及系统,可以自动完成对可疑文件的分析,提高分析和测试可疑文件的效率。
本发明实施方式提供一种可疑文件分析方法,包括:
根据预先存储的配置文件获取一个或多个可疑文件,所述配置文件为与可疑文件相关的信息;
选取其中一可疑文件传送到虚拟机并运行所述选取的可疑文件;
记录所述可疑文件在所述虚拟机中运行时的行为特征并保存为日志;
根据所述记录的日志分析所述可疑文件并输出分析结果。
本发明实施方式还提供一种可疑文件分析系统,包括:
文件获取模块,用于根据预先存储的配置文件获取一个或多个可疑文件,所述配置文件为与可疑文件相关的信息;
虚拟机模块,用于运行所述传送的可疑文件,记录所述可疑文件在所述虚拟机中运行时的行为特征并保存为日志;
分析模块,用于根据所述记录的日志分析所述可疑文件并输出分析结果。
本发明实施例将所述一个或多个可疑文件自动传送到所述虚拟机,通过监视和分析可疑文件在虚拟机运行时的行为特征自动输出分析结果,可自动分析可疑文件并输出分析结果,提高了分析效率,节省了时间和人力成本。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例可疑文件分析方法的流程示意图;
图2是本发明实施例一可疑文件分析系统的结构示意图;
图3是本发明实施例二可疑文件分析系统的结构示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施方式,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施方式仅仅用以解释本发明,并不用于限定本发明。
请参考图1,为本发明实施例可疑文件分析方法的流程示意图,其步骤具体包括:
步骤S10:读取配置文件;所述配置文件为预先存储的与可疑文件相关的信息,比如可疑文件的路径、用于可疑文件分析的自定义规则(包括可疑文件分析的步骤或策略)等信息。所述配置文件可根据实际需要进行修改,比如实际放置的可疑文件的路径位置改变、可疑文件分析的步骤或策略需要调整等。
步骤S12:根据所述配置文件获取一个或多个可疑文件,具体的,在读取所述配置文件后,根据所述配置文件中的相关信息,如可疑文件的路径,从可疑文件的路径获取一个或多个可疑文件。具体实现时,可将一个或多个待分析的可疑文件预先放置在所述配置文件中可疑文件的路径位置处。
步骤S14:选取一可疑文件传送到虚拟机并运行所述选取的可疑文件,所述虚拟机为一可模拟真实系统的处理器、内存,并将真实系统的硬盘的一部分模拟成自己硬盘的模拟装置,本发明实施例以初始状态的虚拟机为例进行说明;具体的,通过遍历或者随机的方式从获取的一个或多个可疑文件中选取一个可疑文件,将所述选取的可疑文件传送到一个处于初始状态的虚拟机中并运行。处于初始状态的虚拟机即表示所述虚拟机刚被创建或者初始化,没有被任何恶意程序感染过,具体实现时可创建一个初始状态的虚拟机镜像。所述初始状态的虚拟机可事先已被运行,等所述可疑文件传送过来后即运行所述可疑文件,也可等所述可疑文件传送过来后,启动所述初始状态的虚拟机开始运行,接着由虚拟机运行所述可疑文件,具体步骤顺序由所述配置文件中的可疑文件分析的自定义规则决定。
步骤S16:记录所述可疑文件在所述虚拟机中运行时的行为特征并保存为日志;具体的,目前的恶意程序运行后的行为特征主要有:修改注册表(目的让自己下次开机自启动)、发现自己不是在系统目录就将自己拷贝到系统目录(然后还会删除自己,防止用户怀疑),还包括通过挂系统钩子以获取用户键盘操作、收集用户信息,利用系统漏洞、远程注入等恶意行为特征。所述虚拟机模块监视所述可疑文件在虚拟机中运行时的行为特征,并将所述行为特征记录为日志,保存在日志记录模块中。
步骤S18:根据所述记录的日志分析所述可疑文件并输出分析结果;具体的,可根据自定义规则进行分析,比如对所述记录的日志中的行为特征进行打分,如恶意程序将自己拷贝到系统目录、修改了某个特定的注册表、释放了其它文件(衍生物)到系统目录等都进行打分,根据分值与预先设定的阈值的比较结果输出分析结果。本实施例中,当分值达到事先设置好的阈值则判定为恶意程序,即输出所述可疑文件为恶意程序文件的分析结果;若分数为零或分数较低则分别输出所述可疑文件为非恶意程序文件或需要工程师进一步确认的分析结果;另外,还可将所述记录的日志与一恶意程序数据库模块中存储的恶意程序行为特征进行比较,根据比较结果输出分析结果。本实施例中,若所述记录的日志中的行为特征全部与所述恶意程序数据库模块中存储的恶意程序行为特征相符,则输出所述可疑文件为恶意程序文件的分析结果,若不符合或部分符合,则分别输出所述可疑文件为非恶意程序文件或需要工程师进一步确认的分析结果,具体的分析规则可根据用户需要自定义,也可由所述配置文件中的可疑文件分析的自定义规则决定。
步骤S20:判断是否还有其他可疑文件,具体的,在步骤S18输出所述可疑文件的分析结果后,判断是否还有其他未传送的可疑文件,若判断为是,则执行步骤S22;若判断为否,则结束可疑文件分析。
步骤S22:恢复所述虚拟机到初始状态;具体的,通过恢复虚拟机镜像的方式将所述虚拟机恢复到初始状态,执行步骤S14以进行另一可疑文件的分析。
本发明实施例将所述一个或多个可疑文件自动传送到所述虚拟机,通过监视和分析可疑文件在虚拟机运行时的行为特征自动输出分析结果,可自动批量的分析可疑文件,提高了分析效率,节省了时间和人力成本。
请参考图2,为本发明实施例一可疑文件分析系统的结构示意图,所述可疑文件分析系统包括配置文件模块50、文件获取模块52、虚拟机模块60、分析模块54、恶意程序数据库模块56及判断模块58。
所述配置文件模块50,用于存储配置文件,所述配置文件为与可疑文件相关的信息,如可疑文件的路径、用于可疑文件分析的自定义规则(包括可疑文件分析的步骤或策略)等信息。
所述文件获取模块52,用于从所述配置文件模块50读取所述配置文件,根据所述配置文件获取一个或多个可疑文件,选取一可疑文件传送到所述虚拟机模块60中的虚拟机并运行所述选取的可疑文件。具体的,所述文件获取模块52根据所述配置文件中的可疑文件的路径获取预先放置的可疑文件,通过遍历或者随机的方式从获取的一个或多个可疑文件中选取一个可疑文件,将所述选取的可疑文件传送到所述虚拟机模块60中的一个处于初始状态的虚拟机中并运行。
所述虚拟机模块60,用于运行所述传送的可疑文件,记录所述可疑文件在所述虚拟机中运行时的行为特征并保存为日志。目前的恶意程序运行后的行为特征主要有:修改注册表(目的让自己下次开机自启动)、发现自己不是在系统目录就将自己拷贝到系统目录(然后还会删除自己,防止用户怀疑),还包括通过挂系统钩子以获取用户键盘操作、收集用户信息,利用系统漏洞、远程注入等。所述虚拟机模块监视所述可疑文件在虚拟机中运行时的行为特征,并将所述行为特征保存为日志。
所述恶意程序数据库模块56,用于存储现有的恶意程序运行时的行为特征,如修改注册表、将自身拷贝到系统目录、挂系统钩子、释放了驱动或其它文件(衍生物)到系统目录、拦截API(SSDT链)、ATTACH文件(网络、键盘驱动)等。
所述分析模块54,用于根据所述记录的日志分析所述可疑文件并输出分析结果;具体的,可根据自定义规则进行分析,比如对所述记录的日志中的行为特征进行打分,如恶意程序将自己拷贝到系统目录、修改了某个特定的注册表、释放了驱动或其它文件(衍生物)到系统目录、拦截API(SSDT链)、ATTACH文件(网络、键盘驱动)等都进行打分,当分值达到事先设置好的阈值则判定为恶意程序,即输出所述可疑文件为恶意程序文件的分析结果;若分数为零或分数较低则分别输出所述可疑文件为非恶意程序文件或需要工程师进一步确认的分析结果;另外,还可将所述记录的日志与所述恶意程序数据库模块56中存储的恶意程序行为特征进行比较,若所述记录的日志记录的行为特征全部与所述恶意程序数据库模块中存储的恶意程序行为特征相符,则输出所述可疑文件为恶意程序文件的分析结果,若不符合或部分符合,则分别输出所述可疑文件为非恶意程序文件或需要工程师进一步确认的分析结果,具体的分析规则可根据用户需要自定义,也可由所述配置文件中的可疑文件分析的自定义规则决定。
所述判断模块58,用于判断是否还有其他可疑文件,具体的,在所述分析模块54输出所述可疑文件的分析结果后,所述判断模块58判断所述文件获取模块52是否还有其他未传送的可疑文件,若判断为是,则通知所述虚拟机模块60将所述虚拟机恢复到初始状态,并通知所述文件获取模块52传送下一可疑文件到所述虚拟机;若判断为否,则结束可疑文件分析。所述判断模块58在本实施例中单独设置,在具体实现中也可与所述文件获取模块52集成在一起。
本发明实施例中所述配置文件可预先存储在所述文件获取模块52,即不需要另外设置所述配置文件模块50。
本发明实施例通过所述文件获取模块52将所述一个或多个可疑文件自动传送到所述虚拟机模块60,通过监视和分析可疑文件在虚拟机运行时的行为特征通过所述分析模块54自动输出分析结果,提高了分析效率,节省了时间和人力成本。
请参考图3,为本发明实施例二可疑文件分析系统的结构示意图,其与本发明实施例一的区别在于具体细化了所述虚拟机模块60。所述虚拟机模块60包括虚拟机62、监视模块64、日志记录模块66及虚拟机恢复模块68。
所述虚拟机62,用于接收到所述文件获取模块52传送的可疑文件后,运行所述可疑文件。具体的,所述虚拟机62为一可模拟真实系统的处理器、内存,并将真实系统的硬盘的一部分模拟成自己硬盘的模拟装置,可使所述可疑文件运行时像在真实系统运行时一样。
所述监视模块64,用于监视所述可疑文件在虚拟机62中运行时的行为特征;
所述日志记录模块66,用于记录所述监视模块64监视的可疑文件在所述虚拟机中运行时的行为特征并保存为日志。
所述虚拟机恢复模块68,用于在所述判断模块58判断所述文件获取模块52还有未传送的可疑文件后,将所述虚拟机62恢复到初始状态。
在具体实现中,所述虚拟机模块60可能有其他模块组合形式,如可将所述监视模块64及所述日志记录模块66的功能集合在一起,用一个模块实现监视和记录行为特征的功能,本发明实施例只是用来举例说明,以解释本发明,并不用于限定本发明。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述程序可以存储于一计算机可读取存储介质中,所述存储介质为ROM/RAM、磁碟、光盘等。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (15)
1、一种可疑文件分析方法,包括:
根据预先存储的配置文件获取一个或多个可疑文件,所述配置文件为与可疑文件相关的信息;
选取其中一可疑文件传送到虚拟机并运行所述选取的可疑文件;
记录所述可疑文件在所述虚拟机中运行时的行为特征并保存为日志;
根据所述记录的日志分析所述可疑文件并输出分析结果。
2、如权利要求1所述的方法,其特征在于:所述配置文件包括所述可疑文件的路径,根据预先存储的配置文件获取一个或多个可疑文件具体为:从所述可疑文件的路径获取预先放置的一个或多个可疑文件。
3、如权利要求1所述的方法,其特征在于:所述步骤根据所述记录的日志分析所述可疑文件并输出分析结果后,还包括步骤:判断是否还有其他可疑文件,若判断为是,则恢复所述虚拟机到初始状态。
4、如权利要求3所述的方法,其特征在于:所述步骤恢复所述虚拟机到初始状态后,执行步骤:选取其中一可疑文件传送到虚拟机并运行所述选取的可疑文件。
5、如权利要求1所述的方法,其特征在于:所述步骤根据所述记录的日志分析所述可疑文件并输出分析结果包括:对所述记录的日志中的行为特征进行打分,根据分值与预先设定的阈值的比较结果输出分析结果。
6、如权利要求5所述的方法,其特征在于:当分值达到事先设置好的阈值则判定为恶意程序,即输出所述可疑文件为恶意程序文件的分析结果;若分数为零或分数较低则分别输出所述可疑文件为非恶意程序文件或需要工程师进一步确认的分析结果。
7、如权利要求1所述的方法,其特征在于:所述步骤根据所述记录的日志分析所述可疑文件并输出分析结果包括:将所述记录的日志与一恶意程序数据库模块中存储的恶意程序行为特征进行比较,根据比较结果输出分析结果。
8、如权利要求7所述的方法,其特征在于:若所述记录的日志中的行为特征全部与所述恶意程序数据库模块中存储的恶意程序行为特征相符,则输出所述可疑文件为恶意程序文件的分析结果,若不符合或部分符合,则分别输出所述可疑文件为非恶意程序文件或需要工程师进一步确认的分析结果。
9、一种可疑文件分析系统,包括:
文件获取模块,用于根据预先存储的配置文件获取一个或多个可疑文件,所述配置文件为与可疑文件相关的信息;
虚拟机模块,用于运行所述传送的可疑文件,记录所述可疑文件在所述虚拟机中运行时的行为特征并保存为日志;
分析模块,用于根据所述记录的日志分析所述可疑文件并输出分析结果。
10、如权利要求9所述的系统,其特征在于:还包括配置文件模块,用于存储所述配置文件,所述文件获取模块从所述配置文件模块读取所述配置文件。
11、如权利要求9所述的系统,其特征在于:所述虚拟机模块包括:
虚拟机,用于接收所述文件获取模块传送的可疑文件后运行所述可疑文件;
监视模块,用于监视所述可疑文件在所述虚拟机中运行时的行为特征;
日志记录模块,用于记录所述监视模块监视的可疑文件在所述虚拟机中运行时的行为特征并保存为日志。
12、如权利要求11所述的系统,其特征在于:还包括判断模块,用于判断所述文件获取模块是否还有其他未传送的可疑文件,若判断为是,则通知所述虚拟机模块将所述虚拟机恢复到初始状态,并通知所述文件获取模块传送下一可疑文件到所述虚拟机。
13、如权利要求12所述的系统,其特征在于:所述虚拟机模块还包括虚拟机恢复模块,用于在所述判断模块判断所述文件获取模块还有未传送的可疑文件后,将所述虚拟机恢复到初始状态。
14、如权利要求9所述的系统,其特征在于:所述分析模块对所述记录的日志中的行为特征进行打分,根据分值与预先设定的阈值的比较结果输出分析结果。
15、如权利要求9所述的系统,其特征在于:还包括恶意程序数据库模块,用于存储现有的恶意程序运行时的行为特征,所述分析模块将所述记录的日志与所述恶意程序数据库模块中存储的恶意程序行为特征进行比较,根据比较结果输出分析结果。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200810067552 CN101593249B (zh) | 2008-05-30 | 2008-05-30 | 一种可疑文件分析方法及系统 |
| PCT/CN2009/071759 WO2009143742A1 (zh) | 2008-05-30 | 2009-05-12 | 一种可疑文件分析方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200810067552 CN101593249B (zh) | 2008-05-30 | 2008-05-30 | 一种可疑文件分析方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101593249A true CN101593249A (zh) | 2009-12-02 |
| CN101593249B CN101593249B (zh) | 2011-08-03 |
Family
ID=41376597
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200810067552 Expired - Fee Related CN101593249B (zh) | 2008-05-30 | 2008-05-30 | 一种可疑文件分析方法及系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN101593249B (zh) |
| WO (1) | WO2009143742A1 (zh) |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102754073A (zh) * | 2010-02-05 | 2012-10-24 | 微软公司 | 用于虚拟化的扩展点声明性注册 |
| CN102957667A (zh) * | 2011-08-23 | 2013-03-06 | 潘燕辉 | 一种基于云计算的智能替换文件的方法 |
| CN103106364A (zh) * | 2011-11-15 | 2013-05-15 | 株式会社日立制作所 | 程序分析系统和方法 |
| CN103150506A (zh) * | 2013-02-17 | 2013-06-12 | 北京奇虎科技有限公司 | 一种恶意程序检测的方法和装置 |
| CN103839003A (zh) * | 2012-11-22 | 2014-06-04 | 腾讯科技(深圳)有限公司 | 恶意文件检测方法及装置 |
| CN103905417A (zh) * | 2013-11-12 | 2014-07-02 | 国家计算机网络与信息安全管理中心 | 一种网络设备文件鉴定装置及方法 |
| CN103902886A (zh) * | 2014-03-04 | 2014-07-02 | 珠海市君天电子科技有限公司 | 一种检测第三方应用的方法及装置 |
| CN104504331A (zh) * | 2014-12-19 | 2015-04-08 | 北京奇虎科技有限公司 | 虚拟化安全检测方法与系统 |
| CN105809035A (zh) * | 2016-03-07 | 2016-07-27 | 南京邮电大学 | 基于安卓应用实时行为的恶意软件检测方法和系统 |
| CN106228067A (zh) * | 2016-07-15 | 2016-12-14 | 江苏博智软件科技有限公司 | 恶意代码动态检测方法及装置 |
| CN106572122A (zh) * | 2016-12-09 | 2017-04-19 | 哈尔滨安天科技股份有限公司 | 基于网络行为特征关联分析的主机安全评估方法及系统 |
| CN107004089A (zh) * | 2014-08-11 | 2017-08-01 | 森蒂内尔实验室以色列有限公司 | 恶意软件检测方法及其系统 |
| CN108038375A (zh) * | 2017-12-21 | 2018-05-15 | 北京星河星云信息技术有限公司 | 一种恶意文件检测方法及装置 |
| CN109960928A (zh) * | 2017-12-22 | 2019-07-02 | 北京安天网络安全技术有限公司 | 可疑文件的处理方法和处理系统 |
| CN110837639A (zh) * | 2019-11-08 | 2020-02-25 | 浙江军盾信息科技有限公司 | 未知威胁主动防御方法和系统 |
| CN114244599A (zh) * | 2021-12-15 | 2022-03-25 | 杭州默安科技有限公司 | 一种干扰恶意程序的方法 |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105978911B (zh) * | 2016-07-15 | 2019-05-21 | 江苏博智软件科技有限公司 | 基于虚拟执行技术的恶意代码检测方法及装置 |
| CN110889113A (zh) * | 2019-10-30 | 2020-03-17 | 泰康保险集团股份有限公司 | 一种日志分析方法、服务器、电子设备及存储介质 |
| CN111092895B (zh) * | 2019-12-23 | 2022-09-23 | 和元达信息科技有限公司 | 一种互联网敏感数据安全防护系统及方法 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1707383A (zh) * | 2004-06-10 | 2005-12-14 | 陈朝晖 | 通过进程和系统轨迹分析阻断计算机病毒方法 |
| US7908653B2 (en) * | 2004-06-29 | 2011-03-15 | Intel Corporation | Method of improving computer security through sandboxing |
| CN100547513C (zh) * | 2005-02-07 | 2009-10-07 | 福建东方微点信息安全有限责任公司 | 基于程序行为分析的计算机防护方法 |
| CN100374972C (zh) * | 2005-08-03 | 2008-03-12 | 珠海金山软件股份有限公司 | 一种检测和防御计算机恶意程序的系统和方法 |
| CN100595778C (zh) * | 2007-07-16 | 2010-03-24 | 珠海金山软件股份有限公司 | 鉴定病毒文件的方法、装置 |
| CN101154258A (zh) * | 2007-08-14 | 2008-04-02 | 电子科技大学 | 恶意程序动态行为自动化分析系统与方法 |
-
2008
- 2008-05-30 CN CN 200810067552 patent/CN101593249B/zh not_active Expired - Fee Related
-
2009
- 2009-05-12 WO PCT/CN2009/071759 patent/WO2009143742A1/zh active Application Filing
Cited By (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102754073A (zh) * | 2010-02-05 | 2012-10-24 | 微软公司 | 用于虚拟化的扩展点声明性注册 |
| US10331466B2 (en) | 2010-02-05 | 2019-06-25 | Microsoft Technology Licensing, Llc | Extension point declarative registration for virtualization |
| US9262187B2 (en) | 2010-02-05 | 2016-02-16 | Microsoft Technology Licensing, Llc | Extension point declarative registration for virtualization |
| CN102957667A (zh) * | 2011-08-23 | 2013-03-06 | 潘燕辉 | 一种基于云计算的智能替换文件的方法 |
| CN103106364A (zh) * | 2011-11-15 | 2013-05-15 | 株式会社日立制作所 | 程序分析系统和方法 |
| CN103839003A (zh) * | 2012-11-22 | 2014-06-04 | 腾讯科技(深圳)有限公司 | 恶意文件检测方法及装置 |
| CN103839003B (zh) * | 2012-11-22 | 2018-01-30 | 腾讯科技(深圳)有限公司 | 恶意文件检测方法及装置 |
| CN103150506B (zh) * | 2013-02-17 | 2016-03-30 | 北京奇虎科技有限公司 | 一种恶意程序检测的方法和装置 |
| CN103150506A (zh) * | 2013-02-17 | 2013-06-12 | 北京奇虎科技有限公司 | 一种恶意程序检测的方法和装置 |
| CN103905417A (zh) * | 2013-11-12 | 2014-07-02 | 国家计算机网络与信息安全管理中心 | 一种网络设备文件鉴定装置及方法 |
| CN103902886A (zh) * | 2014-03-04 | 2014-07-02 | 珠海市君天电子科技有限公司 | 一种检测第三方应用的方法及装置 |
| CN107004089A (zh) * | 2014-08-11 | 2017-08-01 | 森蒂内尔实验室以色列有限公司 | 恶意软件检测方法及其系统 |
| CN104504331B (zh) * | 2014-12-19 | 2017-12-08 | 北京奇安信科技有限公司 | 虚拟化安全检测方法与系统 |
| CN104504331A (zh) * | 2014-12-19 | 2015-04-08 | 北京奇虎科技有限公司 | 虚拟化安全检测方法与系统 |
| CN105809035A (zh) * | 2016-03-07 | 2016-07-27 | 南京邮电大学 | 基于安卓应用实时行为的恶意软件检测方法和系统 |
| CN105809035B (zh) * | 2016-03-07 | 2018-11-09 | 南京邮电大学 | 基于安卓应用实时行为的恶意软件检测方法和系统 |
| CN106228067A (zh) * | 2016-07-15 | 2016-12-14 | 江苏博智软件科技有限公司 | 恶意代码动态检测方法及装置 |
| CN106572122A (zh) * | 2016-12-09 | 2017-04-19 | 哈尔滨安天科技股份有限公司 | 基于网络行为特征关联分析的主机安全评估方法及系统 |
| CN108038375A (zh) * | 2017-12-21 | 2018-05-15 | 北京星河星云信息技术有限公司 | 一种恶意文件检测方法及装置 |
| CN109960928A (zh) * | 2017-12-22 | 2019-07-02 | 北京安天网络安全技术有限公司 | 可疑文件的处理方法和处理系统 |
| CN110837639A (zh) * | 2019-11-08 | 2020-02-25 | 浙江军盾信息科技有限公司 | 未知威胁主动防御方法和系统 |
| CN114244599A (zh) * | 2021-12-15 | 2022-03-25 | 杭州默安科技有限公司 | 一种干扰恶意程序的方法 |
| CN114244599B (zh) * | 2021-12-15 | 2023-11-24 | 杭州默安科技有限公司 | 一种干扰恶意程序的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101593249B (zh) | 2011-08-03 |
| WO2009143742A1 (zh) | 2009-12-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101593249B (zh) | 一种可疑文件分析方法及系统 | |
| CN104200161B (zh) | 一种实现沙箱智能检测文件的方法及其沙箱智能检测系统 | |
| CN103970585B (zh) | 创建虚拟机的方法及装置 | |
| CN103136471B (zh) | 一种恶意Android应用程序检测方法和系统 | |
| CN104685476B (zh) | 用于还原虚拟机的方法、系统和制品 | |
| US8561180B1 (en) | Systems and methods for aiding in the elimination of false-positive malware detections within enterprises | |
| US8458232B1 (en) | Systems and methods for identifying data files based on community data | |
| CN102331957B (zh) | 文件备份的方法及装置 | |
| US20140222761A1 (en) | Terminal Backup and Recovery Method | |
| CN102611745A (zh) | 文件在线迁移方法、装置和系统 | |
| CN104268473A (zh) | 应用程序检测方法和装置 | |
| CN103631573A (zh) | 可迁移函数执行时间的获得方法及系统 | |
| CN107391112A (zh) | 一种文件版本检测方法及其专用装置 | |
| CN106445643A (zh) | 克隆、升级虚拟机的方法及设备 | |
| CN113515457B (zh) | 一种物联网设备固件安全性检测方法及装置 | |
| JP6282217B2 (ja) | 不正プログラム対策システムおよび不正プログラム対策方法 | |
| TW201335779A (zh) | 檔案同步系統及方法 | |
| CN103714269A (zh) | 病毒的识别方法及设备 | |
| CN103400602B (zh) | 一种硬盘坏道自动修复方法和设备 | |
| CN110990285B (zh) | 一种ui自动化测试方法及装置 | |
| CN104346570A (zh) | 一种基于动态代码序列跟踪分析的木马判定系统 | |
| CN106649018B (zh) | 一种带扩展柜的存储系统稳定性的测试方法 | |
| CN105608150A (zh) | 一种业务数据的处理方法及系统 | |
| CN108459960A (zh) | 测试环境的自动配置方法、装置、设备及存储介质 | |
| US9946853B1 (en) | Techniques for application code obfuscation |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: HUAWEI DIGITAL TECHNOLOGY (CHENGDU) CO., LTD. Free format text: FORMER NAME: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES CO., LTD. |
|
| CP01 | Change in the name or title of a patent holder |
Address after: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee after: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd. Address before: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee before: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES Co.,Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110803 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |