[發(fā)明專利]一種目標(biāo)樣本文件的檢測(cè)方法和裝置在審
| 申請(qǐng)?zhí)枺?/td> | 201611065436.4 | 申請(qǐng)日: | 2016-11-28 |
| 公開(公告)號(hào): | CN106650423A | 公開(公告)日: | 2017-05-10 |
| 發(fā)明(設(shè)計(jì))人: | 邱鵬 | 申請(qǐng)(專利權(quán))人: | 北京奇虎科技有限公司;奇智軟件(北京)有限公司 |
| 主分類號(hào): | G06F21/53 | 分類號(hào): | G06F21/53 |
| 代理公司: | 北京市隆安律師事務(wù)所11323 | 代理人: | 權(quán)鮮枝,何立春 |
| 地址: | 100088 北京市西城區(qū)新*** | 國(guó)省代碼: | 北京;11 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 一種 目標(biāo) 樣本 文件 檢測(cè) 方法 裝置 | ||
1.一種目標(biāo)樣本文件的檢測(cè)方法,其中,包括:
從數(shù)據(jù)源接收目標(biāo)樣本文件,將所述目標(biāo)樣本文件投放到沙箱中運(yùn)行;
監(jiān)聽所述目標(biāo)樣本文件在沙箱中運(yùn)行的過程中是否發(fā)生進(jìn)程屬性修改事件;
是則,確定所述目標(biāo)樣本文件是威脅樣本文件;
否則,確定所述目標(biāo)樣本文件不是威脅樣本文件。
2.如權(quán)利要求1所述的方法,其中,所述將所述目標(biāo)樣本文件投放到沙箱中運(yùn)行包括:
在沙箱中創(chuàng)建所述目標(biāo)樣本文件對(duì)應(yīng)的進(jìn)程,通過該進(jìn)程執(zhí)行所述目標(biāo)樣本文件在沙箱中的運(yùn)行;
在創(chuàng)建所述目標(biāo)樣本文件對(duì)應(yīng)的進(jìn)程時(shí),記錄所述目標(biāo)樣本文件對(duì)應(yīng)的進(jìn)程的初始屬性值。
3.如權(quán)利要求2所述的方法,其中,所述監(jiān)聽所述目標(biāo)樣本文件在沙箱中運(yùn)行的過程中是否發(fā)生進(jìn)程屬性修改事件包括:
監(jiān)聽所述目標(biāo)樣本文件在沙箱中執(zhí)行的指定操作事件;
當(dāng)監(jiān)聽到指定操作事件發(fā)生時(shí),攔截所述指定操作事件,獲取當(dāng)前所述目標(biāo)樣本文件對(duì)應(yīng)的進(jìn)程的指定屬性值;
將當(dāng)前所述目標(biāo)樣本文件對(duì)應(yīng)的進(jìn)程的指定屬性值與所述目標(biāo)樣本文件對(duì)應(yīng)的進(jìn)程的初始屬性值進(jìn)行匹配,如果至少一項(xiàng)匹配不成功,確定所述目標(biāo)樣本文件在沙箱中運(yùn)行的過程中發(fā)生進(jìn)程屬性修改事件;否則,確定所述目標(biāo)樣本文件在沙箱中運(yùn)行的過程中未發(fā)生進(jìn)程屬性修改事件。
4.如權(quán)利要求3所述的方法,其中,所述目標(biāo)樣本文件對(duì)應(yīng)的進(jìn)程的初始屬性值包括如下一種或多種:Privileges屬性值、UserSID屬性值、OwnerSID屬性值;
所述當(dāng)前所述目標(biāo)樣本文件對(duì)應(yīng)的進(jìn)程的指定屬性值包括如下一種或多種:所述目標(biāo)樣本文件對(duì)應(yīng)的進(jìn)程的令牌中的Privileges屬性值、TokenUser屬性值、TokenOwner屬性值。
5.如權(quán)利要求1所述的方法,其中,所述監(jiān)聽所述目標(biāo)樣本文件在沙箱中運(yùn)行的過程中是否發(fā)生進(jìn)程屬性修改事件包括:
監(jiān)聽所述目標(biāo)樣本文件在沙箱中執(zhí)行的指定操作事件;
當(dāng)監(jiān)聽到指定操作事件發(fā)生時(shí),攔截所述指定操作事件;
判斷當(dāng)前所述目標(biāo)樣本文件對(duì)應(yīng)的進(jìn)程的令牌的訪問控制列表是否處于置空狀態(tài),是則,確定所述目標(biāo)樣本文件在沙箱中運(yùn)行的過程中發(fā)生進(jìn)程屬性修改事件;否則,確定所述目標(biāo)樣本文件在沙箱中運(yùn)行的過程中未發(fā)生進(jìn)程屬性修改事件。
6.一種目標(biāo)樣本文件的檢測(cè)裝置,其中,包括:
樣本接收單元,適于從數(shù)據(jù)源接收目標(biāo)樣本文件;
檢測(cè)處理單元,適于將所述目標(biāo)樣本文件投放到沙箱中運(yùn)行,監(jiān)聽所述目標(biāo)樣本文件在沙箱中運(yùn)行的過程中是否發(fā)生進(jìn)程屬性修改事件;是則,確定所述目標(biāo)樣本文件是威脅樣本文件;否則,確定所述目標(biāo)樣本文件不是威脅樣本文件。
7.如權(quán)利要求6所述的裝置,其中,
所述檢測(cè)處理單元,適于在沙箱中創(chuàng)建所述目標(biāo)樣本文件對(duì)應(yīng)的進(jìn)程,通過該進(jìn)程執(zhí)行所述目標(biāo)樣本文件在沙箱中的運(yùn)行;在創(chuàng)建所述目標(biāo)樣本文件對(duì)應(yīng)的進(jìn)程時(shí),記錄所述目標(biāo)樣本文件對(duì)應(yīng)的進(jìn)程的初始屬性值。
8.如權(quán)利要求7所述的裝置,其中,
所述檢測(cè)處理單元,適于監(jiān)聽所述目標(biāo)樣本文件在沙箱中執(zhí)行的指定操作事件;當(dāng)監(jiān)聽到指定操作事件發(fā)生時(shí),攔截所述指定操作事件,獲取當(dāng)前所述目標(biāo)樣本文件對(duì)應(yīng)的進(jìn)程的指定屬性值;將當(dāng)前所述目標(biāo)樣本文件對(duì)應(yīng)的進(jìn)程的指定屬性值與所述目標(biāo)樣本文件對(duì)應(yīng)的進(jìn)程的初始屬性值進(jìn)行匹配,如果至少一項(xiàng)匹配不成功,確定所述目標(biāo)樣本文件在沙箱中運(yùn)行的過程中發(fā)生進(jìn)程屬性修改事件;否則,確定所述目標(biāo)樣本文件在沙箱中運(yùn)行的過程中未發(fā)生進(jìn)程屬性修改事件。
9.如權(quán)利要求8所述的裝置,其中,所述目標(biāo)樣本文件對(duì)應(yīng)的進(jìn)程的初始屬性值包括如下一種或多種:Privileges屬性值、UserSID屬性值、OwnerSID屬性值;
所述當(dāng)前所述目標(biāo)樣本文件對(duì)應(yīng)的進(jìn)程的指定屬性值包括如下一種或多種:所述目標(biāo)樣本文件對(duì)應(yīng)的進(jìn)程的令牌中的Privileges屬性值、TokenUser屬性值、TokenOwner屬性值。
10.如權(quán)利要求6所述的裝置,其中,
所述檢測(cè)處理單元,適于監(jiān)聽所述目標(biāo)樣本文件在沙箱中執(zhí)行的指定操作事件;當(dāng)監(jiān)聽到指定操作事件發(fā)生時(shí),攔截所述指定操作事件;判斷當(dāng)前所述目標(biāo)樣本文件對(duì)應(yīng)的進(jìn)程的令牌的訪問控制列表是否處于置空狀態(tài),是則,確定所述目標(biāo)樣本文件在沙箱中運(yùn)行的過程中發(fā)生進(jìn)程屬性修改事件;否則,確定所述目標(biāo)樣本文件在沙箱中運(yùn)行的過程中未發(fā)生進(jìn)程屬性修改事件。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于北京奇虎科技有限公司;奇智軟件(北京)有限公司,未經(jīng)北京奇虎科技有限公司;奇智軟件(北京)有限公司許可,擅自商用是侵權(quán)行為。如果您想購(gòu)買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請(qǐng)聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201611065436.4/1.html,轉(zhuǎn)載請(qǐng)聲明來源鉆瓜專利網(wǎng)。
- 上一篇:花架(1)
- 下一篇:沙發(fā)架(618)
- 同類專利
- 專利分類
G06F 電數(shù)字?jǐn)?shù)據(jù)處理
G06F21-00 防止未授權(quán)行為的保護(hù)計(jì)算機(jī)或計(jì)算機(jī)系統(tǒng)的安全裝置
G06F21-02 .通過保護(hù)計(jì)算機(jī)的特定內(nèi)部部件
G06F21-04 .通過保護(hù)特定的外圍設(shè)備,如鍵盤或顯示器
G06F21-06 .通過感知越權(quán)操作或外圍侵?jǐn)_
G06F21-20 .通過限制訪問計(jì)算機(jī)系統(tǒng)或計(jì)算機(jī)網(wǎng)絡(luò)中的節(jié)點(diǎn)
G06F21-22 .通過限制訪問或處理程序或過程
- 目標(biāo)檢測(cè)裝置、學(xué)習(xí)裝置、目標(biāo)檢測(cè)系統(tǒng)及目標(biāo)檢測(cè)方法
- 目標(biāo)監(jiān)測(cè)方法、目標(biāo)監(jiān)測(cè)裝置以及目標(biāo)監(jiān)測(cè)程序
- 目標(biāo)監(jiān)控系統(tǒng)及目標(biāo)監(jiān)控方法
- 目標(biāo)跟蹤方法和目標(biāo)跟蹤設(shè)備
- 目標(biāo)跟蹤方法和目標(biāo)跟蹤裝置
- 目標(biāo)檢測(cè)方法和目標(biāo)檢測(cè)裝置
- 目標(biāo)跟蹤方法、目標(biāo)跟蹤裝置、目標(biāo)跟蹤設(shè)備
- 目標(biāo)處理方法、目標(biāo)處理裝置、目標(biāo)處理設(shè)備及介質(zhì)
- 目標(biāo)處理方法、目標(biāo)處理裝置、目標(biāo)處理設(shè)備及介質(zhì)
- 目標(biāo)跟蹤系統(tǒng)及目標(biāo)跟蹤方法
- 樣本引入裝置、樣本引入基片和樣本引入方法
- 樣本查找方法、裝置及系統(tǒng)
- 模型訓(xùn)練、樣本平衡方法及裝置以及個(gè)人信用評(píng)分系統(tǒng)
- 樣本輸送系統(tǒng)、樣本輸送方法以及樣本檢測(cè)系統(tǒng)
- 樣本分析裝置、樣本檢測(cè)設(shè)備及樣本檢測(cè)方法
- 樣本檢測(cè)方法、樣本檢測(cè)裝置及樣本檢測(cè)系統(tǒng)
- 樣本架、樣本混勻系統(tǒng)及樣本分析儀
- 樣本收集管及樣本收集系統(tǒng)
- 樣本數(shù)據(jù)集的擴(kuò)容方法及模型的訓(xùn)練方法
- 行人重識(shí)別的噪聲樣本識(shí)別方法、裝置、設(shè)備和存儲(chǔ)介質(zhì)
- 檢測(cè)裝置、檢測(cè)方法和檢測(cè)組件
- 檢測(cè)方法、檢測(cè)裝置和檢測(cè)系統(tǒng)
- 檢測(cè)裝置、檢測(cè)方法以及記錄介質(zhì)
- 檢測(cè)設(shè)備、檢測(cè)系統(tǒng)和檢測(cè)方法
- 檢測(cè)芯片、檢測(cè)設(shè)備、檢測(cè)系統(tǒng)和檢測(cè)方法
- 檢測(cè)裝置、檢測(cè)設(shè)備及檢測(cè)方法
- 檢測(cè)芯片、檢測(cè)設(shè)備、檢測(cè)系統(tǒng)
- 檢測(cè)組件、檢測(cè)裝置以及檢測(cè)系統(tǒng)
- 檢測(cè)裝置、檢測(cè)方法及檢測(cè)程序
- 檢測(cè)電路、檢測(cè)裝置及檢測(cè)系統(tǒng)
