[發明專利]一種檢測未知惡意代碼和二進制漏洞的方法有效
| 申請號: | 201310415916.9 | 申請日: | 2013-09-13 |
| 公開(公告)號: | CN104462962B | 公開(公告)日: | 2018-07-03 |
| 發明(設計)人: | 林榆堅 | 申請(專利權)人: | 北京安賽創想科技有限公司 |
| 主分類號: | G06F21/56 | 分類號: | G06F21/56 |
| 代理公司: | 北京國昊天誠知識產權代理有限公司 11315 | 代理人: | 許志勇 |
| 地址: | 100023 北京市海淀區清*** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 未知惡意代碼 沙箱 二進制 種檢測 漏洞 內存監控單元 代碼路徑 分析系統 監控代碼 可疑代碼 強制執行 輸出報警 系統還原 準確檢測 木馬 防攻擊 還原點 檢出率 可執行 能力強 虛擬機 重置 還原 延遲 載入 病毒 檢測 記錄 應用 | ||
1.一種檢測未知惡意代碼和二進制漏洞的方法,其特征在于,包括以下步驟:
S100基礎搭建
即依次包括S101設置動態沙箱還原點;S102將代碼載入動態沙箱;
S200檢測
即依次包括S201利用路徑執行技術在可疑代碼中尋找所有的可執行路徑;S202動態強制執行所有代碼路徑;S203內存監控單元介入,監控代碼執行動作;S204分析系統狀態,記錄未知惡意代碼和漏洞路徑;S205輸出報警;
S300系統還原,即重置沙箱,還原虛擬機;
其中,所述步驟S201即指將惡意程序全部拆分為樹形結構,檢測時不受程序邏輯關系限制,獨立檢測每一個拆分的分支程序,在遇到call指令生成子進程時,將子進程標記檢測;如果判斷為混淆程序則舍棄子進程,同時加強程序為惡意代碼程序的可能性;將檢測結果與路徑樹和拆分索引比對,定位惡意代碼在程序中的位置,以便人工核實。
2.如權利要求1所述的檢測未知惡意代碼和二進制漏洞的方法,其特征在于:所述步驟S203即指將計算機操作系統在運行的過程中內容是完全一樣的一部分空間作為虛擬機使用。
3.如權利要求1所述的檢測未知惡意代碼和二進制漏洞的方法,其特征在于:所述步驟S300即指在計算機中構造一個獨立密閉的虛擬空間,空間中有真實計算機所有的全部環境,即可完整模擬一個計算機系統,使所有代碼和程序的操作都在沙箱中運行,以避免真實機器受到損害;在真實環境中的計算機操作系統仍然正常運行的情況下,將所有運行在沙箱中的代碼和程序對機器所做的所有操作都重定向到一部分特定的文件夾,模擬注冊表、端口的修改;當檢測完成后,虛擬的沙箱根據設置的還原點還原。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于北京安賽創想科技有限公司,未經北京安賽創想科技有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201310415916.9/1.html,轉載請聲明來源鉆瓜專利網。
- 上一篇:基于穿行測試技術的信息安全審計實現方法及系統
- 下一篇:控制方法及裝置
