公开(公告)号：CN104008336A

公开(公告)日：2014-08-27

申请号：CN201410191246.1

申请日：2014-05-07

Applicant: 中国科学院信息工程研究所

Inventor： 喻民 ,  姜建国 ,  李敏 ,  刘超 ,  仇新梁 ,  黄超 ,  王菲飞 ,  王冉晴 ,  赵双 ,  刘坤颖 ,  高翔 ,  胡波

IPC: G06F21/56

CPC classification number: G06F21/565

Abstract: 本发明提供一种ShellCode检测方法和装置，包括：建立包含ShellCode特征序列的ShellCode指令序列特征库；载入待检测文件，对所述待检测文件进行解析，形成解析文件；对所述解析文件进行指令的模拟执行和分析，记录可疑指令序列并与所述ShellCode指令序列特征库中的ShellCode特征序列进行对比，判断所述解析文件中是否包含ShellCode；输出检测结果。本发明能够在ShellCode执行之前即进行检测，防止了ShellCode对系统造成的影响，及时阻止了其进行恶意篡改的可能性。

公开(公告)号：CN104008336B

公开(公告)日：2017-04-12

申请号：CN201410191246.1

申请日：2014-05-07

Applicant: 中国科学院信息工程研究所

Inventor： 喻民 ,  姜建国 ,  李敏 ,  刘超 ,  仇新梁 ,  黄超 ,  王菲飞 ,  王冉晴 ,  赵双 ,  刘坤颖 ,  高翔 ,  胡波

IPC: G06F21/56

Abstract: 本发明提供一种ShellCode检测方法和装置，包括：建立包含ShellCode特征序列的ShellCode指令序列特征库；载入待检测文件，对所述待检测文件进行解析，形成解析文件；对所述解析文件进行指令的模拟执行和分析，记录可疑指令序列并与所述ShellCode指令序列特征库中的ShellCode特征序列进行对比，判断所述解析文件中是否包含ShellCode；输出检测结果。本发明能够在ShellCode执行之前即进行检测，防止了ShellCode对系统造成的影响，及时阻止了其进行恶意篡改的可能性。