[發明專利]一種檢測無實體文件惡意代碼的方法及系統有效
| 申請號: | 201611248606.2 | 申請日: | 2016-12-29 |
| 公開(公告)號: | CN106778276B | 公開(公告)日: | 2020-06-19 |
| 發明(設計)人: | 高喜寶;閆博遠;李柏松 | 申請(專利權)人: | 北京安天網絡安全技術有限公司 |
| 主分類號: | G06F21/56 | 分類號: | G06F21/56 |
| 代理公司: | 暫無信息 | 代理人: | 暫無信息 |
| 地址: | 北京市海淀區閔莊路*** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 檢測 實體 文件 惡意代碼 方法 系統 | ||
1.一種檢測無實體文件惡意代碼的方法,其特征在于,包括:
遍歷系統內正在運行的進程和模塊;
獲取所有進程和模塊對應的路徑和文件名并逐條形成記錄;
根據記錄中的路徑和文件名判斷在系統磁盤下是否存在對應的文件,若存在則放棄相應記錄,若不存在則阻止相關進程和模塊的運行,并進行深度檢測。
2.如權利要求1所述的方法,其特征在于,所述獲取所有進程和模塊對應的路徑和文件名并逐條形成記錄,具體為:獲取所有進程和模塊對應的路徑和文件名,并以列表的形式記錄在內存中。
3.如權利要求1所述的方法,其特征在于,所述根據記錄中的路徑和文件名判斷在系統磁盤下是否存在對應的文件之前,還包括:將路徑和文件名記錄逐條與白名單匹配,放棄與白名單成功匹配的路徑和文件名記錄。
4.如權利要求3所述的方法,其特征在于,所述白名單,具體為根據系統文件的路徑和文件名生成的白名單。
5.如權利要求1-4任一所述的方法,其特征在于,所述進行深度檢測,具體為:分析并判斷相關進程和模塊是否存在惡意代碼,若存在則提取特征添加到特征庫,若不存在,則提取路徑和文件名添加到白名單。
6.一種檢測無實體文件惡意代碼的系統,其特征在于,包括:
進程和模塊遍歷模塊,用于遍歷系統內正在運行的進程和模塊;
路徑和文件名獲取模塊,用于獲取所有進程和模塊對應的路徑和文件名并逐條形成記錄;
惡意代碼判定模塊,用于根據記錄中的路徑和文件名判斷在系統磁盤下是否存在對應的文件,若存在則放棄相應記錄,若不存在則阻止相關進程和模塊的運行,并進行深度檢測。
7.如權利要求6所述的系統,其特征在于,所述路徑和文件名獲取模塊,具體用于:獲取所有進程和模塊對應的路徑和文件名,并以列表的形式記錄在內存中。
8.如權利要求6所述的系統,其特征在于,還包括:白名單匹配模塊,用于將路徑和文件名記錄逐條與白名單匹配,放棄與白名單成功匹配的路徑和文件名記錄。
9.如權利要求8所述的系統,其特征在于,所述白名單,具體為根據系統文件的路徑和文件名生成的白名單。
10.如權利要求6-9任一所述的系統,其特征在于,所述進行深度檢測,具體為:分析并判斷相關進程和模塊是否存在惡意代碼,若存在則提取特征添加到特征庫,若不存在,則提取路徑和文件名添加到白名單。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于北京安天網絡安全技術有限公司,未經北京安天網絡安全技術有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201611248606.2/1.html,轉載請聲明來源鉆瓜專利網。
- 上一篇:基于虛擬化環境下的安全防護方法及系統和物理主機
- 下一篇:漏洞挖掘方法及裝置
