-
公开(公告)号:CN110210190A
公开(公告)日:2019-09-06
申请号:CN201910462869.0
申请日:2019-05-30
Applicant: 中国科学院信息工程研究所
IPC: G06F21/14
Abstract: 本发明提出一种基于二次汇编的代码混淆方法,属于软件保护技术领域,本方法包括以下步骤:对二进制文件进行合法性检验,检查其是否为格式规范的二进制文件;对格式规范的二进制文件进行预处理,找出有关跳转指令和适合插入垃圾指令块的地址信息;对二进制文件进行二次汇编,将文件中的汇编指令替换成等效的指令序列,并在文件中插入垃圾指令进行控制流混淆,生成混淆的汇编文件,再编译成混淆的二进制文件;对混淆的二进制文件进行加密,生成可执行加密二进制文件。本方法避免了传统二进制混淆存在的重定位问题,同时引入了多样性,细粒度等优势,从而更有效的阻止了逆向工程,代码盗用等攻击手段。
-
公开(公告)号:CN114647845A
公开(公告)日:2022-06-21
申请号:CN202210141511.X
申请日:2022-02-16
Applicant: 中国科学院信息工程研究所
IPC: G06F21/56
Abstract: 本发明公开了一种恶意样本延时代码的检测识别方法及装置,涉及恶意代码检测技术领域。所述方法包括:运行目标代码,获取结束地址与运行指令数;根据所述运行指令数与所述目标代码在规定时间内运行的指令数,计算执行进度;寻找结束地址所在的子过程内的次数极大循环,并根据次数极大循环的循环出入口地址,检查所述次数极大循环内是否存在延时性调用;基于所述执行进度与所述次数极大循环内是否存在延时性调用,获取检测识别结果。本发明有效性高,适用范围广,并实现了在恶意样本文件内定位所有延时代码的具体地址,提高恶意代码分析的实际效果,增强沙箱等动态环境分析恶意样本的能力。
-
公开(公告)号:CN111639337A
公开(公告)日:2020-09-08
申请号:CN202010305550.X
申请日:2020-04-17
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开一种面向海量Windows软件的未知恶意代码检测方法及系统,属于系统安全技术领域,为解决传统的基于特征码的检测方法无法检测未知恶意代码的问题,结合动态检测和静态检测的优势,使用深度学习的检测技术来实现对未知特征的恶意代码的检测,使用静态特征辅助检测的方法在海量样本的场景下加速检测,提高检测效率。
-
公开(公告)号:CN111638936B
公开(公告)日:2023-03-10
申请号:CN202010299302.9
申请日:2020-04-16
Applicant: 中国科学院信息工程研究所
IPC: G06F9/455
Abstract: 本发明涉及一种基于内置安全体系结构的虚拟机静态度量方法和装置。该方法包括:在物理主机启动过程中,安全独立设备对宿主机系统和虚拟化软件进行安全度量,确保宿主机系统和虚拟化软件的可信;宿主机系统和虚拟化软件确定需要度量的虚拟机核心文件;解析虚拟机镜像文件,提取出需要度量的虚拟机核心文件内容,对其进行安全度量,生成度量值;如果判断虚拟机为初次启动,将度量值作为基准值存入到安全独立设备中,并启动虚拟机;如果判断为非初次启动,将度量值和安全独立设备中的基准值进行校验,校验失败则取消虚拟机的启动,校验成功则启动虚拟机。本发明能够实现虚拟机静态度量机制向虚拟机的延伸,增强虚拟机的安全性。
-
公开(公告)号:CN115270143A
公开(公告)日:2022-11-01
申请号:CN202210687686.0
申请日:2022-06-16
Applicant: 中国科学院信息工程研究所
Abstract: 本发明提供了一种基于可变窗口的细粒度代码加密方法及其代码的运行方法,所述细粒度代码加密方法包括:基于目标程序中指令语句的机器码长度,设置窗口大小;针对窗口Pi中每一指令语句的机器码,使用密钥Ki进行加密,并根据窗口Pi中指令语句的机器码长度以及所述指令语句的类型,将所述窗口Pi滑动至一新窗口;直至对所述目标程序处理完毕之后,得到初始加密程序;将解释器植入初始加密程序,并适应性修改所述初始加密程序的元数据之后,得到所述目标程序的加密程序。本发明利用可变窗口机制保证了数据的机密性,有效提高了攻击者的分析成本。
-
Patent Agency Ranking
公开(公告)号:CN112580056B
公开(公告)日:2023-09-19
申请号:CN202011462874.0
申请日:2020-12-14
Applicant: 中国科学院信息工程研究所
Abstract: 本申请实施例中提供了一种终端设备、数据加密方法、解密方法、及电子设备,所述终端设备包括各功能模块均运行于通用操作系统环境中的通用操作系统模组、各功能模块均运行于可信执行环境中的可信执行环境模组、以及共用内存。具体地,所述通用操作系统模组包括第一客户端接口服务应用和IP协议栈;所述可信执行环境模组包括第一可信接口服务应用、加密芯片;在数据加密过程中,所述第一客户端接口服务应用在获取第一待加密数据后将其存储于共用内存上,由所述第一可信接口服务应用读取后转发至加密芯片,加密获得第一密文数据并转发至第一可信接口服务应用,进一步经共用内存由第一客户端接口服务应用转发至其它应用程序或端口。可见,本申请技术方案可以使数据加密核心程序完全与通用操作系统环境物理隔离,具有提升移动终端数据安全性和保密性的技术效果。
-
公开(公告)号:CN108197473B
公开(公告)日:2021-12-28
申请号:CN201711420183.2
申请日:2017-12-25
Applicant: 中国科学院信息工程研究所
IPC: G06F21/56
Abstract: 本发明涉及一种抗干扰的环境敏感型恶意软件行为相似性评测方法和装置。该方法包括以下步骤:1)将可疑软件放置于多种不同的执行环境中,记录可疑软件的行为序列;2)对可疑软件的行为序列进行规范化处理;3)对可疑软件的行为序列进行去干扰处理;4)计算并比较去干扰处理后的行为序列的相似性;5)基于行为序列的相似性,判断可疑软件是否为环境敏感型恶意软件。本发明能够有效的消除恶意软件的大量干扰行为,准确计算行为序列的相似性,使得对该类型恶意软件的检测更准确;同时该方法对恶意软件行为序列的规范化处理,消除了不同系统间的语义偏差,具有良好的可用性和普适性,降低了检测成本。
-
公开(公告)号:CN111638936A
公开(公告)日:2020-09-08
申请号:CN202010299302.9
申请日:2020-04-16
Applicant: 中国科学院信息工程研究所
IPC: G06F9/455
Abstract: 本发明涉及一种基于内置安全体系结构的虚拟机静态度量方法和装置。该方法包括:在物理主机启动过程中,安全独立设备对宿主机系统和虚拟化软件进行安全度量,确保宿主机系统和虚拟化软件的可信;宿主机系统和虚拟化软件确定需要度量的虚拟机核心文件;解析虚拟机镜像文件,提取出需要度量的虚拟机核心文件内容,对其进行安全度量,生成度量值;如果判断虚拟机为初次启动,将度量值作为基准值存入到安全独立设备中,并启动虚拟机;如果判断为非初次启动,将度量值和安全独立设备中的基准值进行校验,校验失败则取消虚拟机的启动,校验成功则启动虚拟机。本发明能够实现虚拟机静态度量机制向虚拟机的延伸,增强虚拟机的安全性。
-
公开(公告)号:CN108197473A
公开(公告)日:2018-06-22
申请号:CN201711420183.2
申请日:2017-12-25
Applicant: 中国科学院信息工程研究所
IPC: G06F21/56
Abstract: 本发明涉及一种抗干扰的环境敏感型恶意软件行为相似性评测方法和装置。该方法包括以下步骤:1)将可疑软件放置于多种不同的执行环境中,记录可疑软件的行为序列;2)对可疑软件的行为序列进行规范化处理;3)对可疑软件的行为序列进行去干扰处理;4)计算并比较去干扰处理后的行为序列的相似性;5)基于行为序列的相似性,判断可疑软件是否为环境敏感型恶意软件。本发明能够有效的消除恶意软件的大量干扰行为,准确计算行为序列的相似性,使得对该类型恶意软件的检测更准确;同时该方法对恶意软件行为序列的规范化处理,消除了不同系统间的语义偏差,具有良好的可用性和普适性,降低了检测成本。
-
公开(公告)号:CN111796911B
公开(公告)日:2024-07-30
申请号:CN202010652391.0
申请日:2020-07-08
Applicant: 中国科学院信息工程研究所
Abstract: 本发明提供一种面向云平台中虚拟设备的攻击检测方法及电子装置,包括:在一虚拟设备上运行一I/O指令,使用Intel PT技术收集控制流相关的信息并对产生的数据包解码,得到条件跳转信息和间接跳转信息;依据条件跳转信息、间接跳转信息与所述虚拟设备的基线模型,检测所述I/O指令的合法性。本发明使用硬件技术Intel PT高效收集程序执行时控制流相关的信息,从而降低收集操作带来的性能开销;使用模糊测试技术构建虚拟设备的基线模型,可以在避免繁重的人工分析的基础上有效检测未知攻击;基于与虚拟设备执行过程合法性相关的影响因素设计了阈值公式,并进一步构建了判断方法,有效地提升了检测率。
-
-
-
-
-
-
-
-
-
Search Results
16
records
(took 0.028 seconds)
