公开(公告)号：CN106778349A

公开(公告)日：2017-05-31

申请号：CN201611237077.6

申请日：2016-12-28

Applicant: 北京安天网络安全技术有限公司

Inventor： 张婷 ,  韩文奇 ,  肖新光

IPC: G06F21/62 ,  G06F21/56 ,  G07F19/00

Abstract: 本发明提出一种基于虚拟磁盘的ATM防护系统及方法，在利用网络向ATM传输可执行程序前，需要将程序文件进行加密，并且进行校验，同时在传输到ATM客户端时，需要将源磁盘位置映射到虚拟磁盘位置上，保证程序只存储到虚拟磁盘上，并不会直接存储到真是磁盘中；当运维人员进行维护时，U盘接入时，需将真实分区全部隐藏，只显示给运维人员虚拟分区，运维人员也只能将程序文件存储到虚拟磁盘中。本发明通过与真实磁盘隔离的虚拟磁盘对文件进行检测，能够有效保障ATM终端真实磁盘的安全。

公开(公告)号：CN109960608A

公开(公告)日：2019-07-02

申请号：CN201711437846.1

申请日：2017-12-26

Applicant: 北京安天网络安全技术有限公司

Inventor： 张婷 ,  韩文奇 ,  王小丰 ,  肖新光

IPC: G06F11/14 ,  G06F17/22

Abstract: 本发明公开了office文档的处理方法和处理系统，其中，office文档的处理方法包括：将office文档转换为压缩格式文件；对所述压缩格式文件提取xml格式的theme文件和document文件；备份所述xml格式的theme文件和document文件，以便在所述office文档被病毒加密时，通过所述xml格式的theme文件和document文件进行文档恢复。本发明具有如下优点：可以不依赖与任何Office组件便对Office文档直接进行解析；通过对改动之处进行差量备份，占用了最低的系统资源；根据文档相邻两次改动的差异度判断，间接反映文档是否被病毒备份，检测准确度高、检测速度快。

公开(公告)号：CN106778349B

公开(公告)日：2019-11-01

申请号：CN201611237077.6

申请日：2016-12-28

Applicant: 北京安天网络安全技术有限公司

Inventor： 张婷 ,  韩文奇 ,  肖新光

IPC: G06F21/62 ,  G06F21/56 ,  G07F19/00

Abstract: 本发明提出一种基于虚拟磁盘的ATM防护系统及方法，在利用网络向ATM传输可执行程序前，需要将程序文件进行加密，并且进行校验，同时在传输到ATM客户端时，需要将源磁盘位置映射到虚拟磁盘位置上，保证程序只存储到虚拟磁盘上，并不会直接存储到真是磁盘中；当运维人员进行维护时，U盘接入时，需将真实分区全部隐藏，只显示给运维人员虚拟分区，运维人员也只能将程序文件存储到虚拟磁盘中。本发明通过与真实磁盘隔离的虚拟磁盘对文件进行检测，能够有效保障ATM终端真实磁盘的安全。

公开(公告)号：CN110874474A

公开(公告)日：2020-03-10

申请号：CN201811579545.7

申请日：2018-12-21

Applicant: 北京安天网络安全技术有限公司

Inventor： 张婷

IPC: G06F21/56 ,  G06F21/60

Abstract: 本发明实施例公开一种勒索者病毒防御方法、装置、电子设备及存储介质，涉及网络安全技术领域，为能够及时有效地识别勒索者病毒而发明。所述勒索者病毒防御方法，包括：对文件句柄的创建进行监控；若当前有文件句柄创建，则查询当前创建的文件句柄的属性，判断当前创建的文件句柄的属性中是否具有写权限；若当前创建的文件句柄的属性中具有写权限，则查询当前创建的文件句柄所属进程；判断当前创建的文件句柄所属进程的特征，是否符合预定的判定特征；若当前创建的文件句柄所属进程的特征，符合预定的判定特征，则确定当前创建的文件句柄所属进程为勒索者病毒的进程。本发明适用于勒索者病毒的识别及文件恢复。

公开(公告)号：CN108875400A

公开(公告)日：2018-11-23

申请号：CN201711455526.9

申请日：2017-12-27

Applicant: 北京安天网络安全技术有限公司

Inventor： 付威 ,  张婷 ,  王小丰 ,  肖新光

IPC: G06F21/62 ,  G06F21/56

Abstract: 本发明实施例公开一种病毒防护方法、装置、电子设备及存储介质，能够及时识别出各种加密方法对文件的修改，从而有效提高了病毒防护能力。所述方法包括：当监测到目标文件以可写方式被打开时，对所述目标文件进行备份；当所述目标文件被改写成对应的改写文件后，尝试打开所述改写文件；在无法打开所述改写文件的情况下，确定以可写方式打开所述目标文件的程序为病毒程序。本发明可用于信息安全应用中。

公开(公告)号：CN110647743A

公开(公告)日：2020-01-03

申请号：CN201810668717.1

申请日：2018-06-26

Applicant: 北京安天网络安全技术有限公司

Inventor： 张婷 ,  韩文奇 ,  王小丰 ,  肖新光

IPC: G06F21/56 ,  G06F21/57 ,  G06F21/52

Abstract: 本发明实施例提供了一种恶意行为的鉴定方法、装置和存储设备，用以解决目前的杀毒软件难以检测到Office病毒利用溢出漏洞对系统进行攻击的行为的问题。该方法包括：监测Office程序在启动过程中是否调用创建远程线程CreateRemoteThread函数；若所述Office程序在启动过程中调用CreateRemoteThread函数，确定所述Office程序中存在恶意行为。

公开(公告)号：CN108363923A

公开(公告)日：2018-08-03

申请号：CN201710974031.0

申请日：2017-10-19

Applicant: 北京安天网络安全技术有限公司

Inventor： 张婷 ,  韩文奇 ,  王小丰 ,  肖新光

IPC: G06F21/56

Abstract: 本发明提出了一种勒索者防御方法、系统及设备，创建指定文件，并投放到磁盘中存储；动态遍历磁盘中的文件，获取第一个被遍历的文件的文件名，并根据该文件名动态重命名所述指定文件，使所述指定文件在遍历顺序中置顶；动态监控指定文件，当指定文件属性发生变化时根据预设条件判断系统中是否存在勒索者病毒，若是则关闭系统中对文件进行修改的进程，否则恢复指定文件的原有属性。本发明采用内容解析的方式判断是否有文件加密行为，能够有效减少误报，并有效检出勒索者病毒，从而在第一时间对病毒进行处置和防御，保障用户财产和信息安全。