-
公开(公告)号:CN108229168A
公开(公告)日:2018-06-29
申请号:CN201711489577.3
申请日:2017-12-29
Applicant: 哈尔滨安天科技股份有限公司
CPC classification number: G06F21/562 , G06F16/2462
Abstract: 本发明提出一种嵌套类文件的启发式检测方法、系统及存储介质,所述方法包括:对获取的嵌套类文件进行文件拆分;获取拆分出的文件类型,并对文件类型进行规则化处理,整理为知识数据;将所述知识数据与知识库进行匹配;若匹配成功,则所述嵌套类文件存在恶意,输出检测结果,结束检测;否则对未匹配成功的嵌套类文件进行恶意性分析。本发明不需要进行复杂的逻辑分析,也不需要虚拟环境来动态执行脚本,而是基于嵌套类文件基于异常环境下将会产生威胁行为这一性质来进行启发式检测,可以有效的提高检测的速度、准确度等。
-
公开(公告)号:CN108197466A
公开(公告)日:2018-06-22
申请号:CN201711418452.1
申请日:2017-12-25
Applicant: 哈尔滨安天科技股份有限公司
CPC classification number: G06F21/552 , G06F21/562
Abstract: 本发明提出一种基于判定策略前置的反病毒引擎检测方法及系统:反病毒引擎向终端输出全部向量检测规则;用户根据终端系统需求,选择相应向量检测规则建立防御配置策略;生成用户向量检测规则;获取待检测文件;基于用户向量检测规则,检测待检测文件;判断是否存在威胁,如果是,则对用户进行告警;否则所述待检测文件无威胁。本发明还给出相应系统及存储介质技术方案。通过本发明的方法,能够增加检测和防御结果的不确定性,可以有效应对攻击者的攻击尝试,增加用户针对自身环境特点的防御能力。用户由被动防御方案的接受者,转变为主动进行防御方案定制,使得反病毒引擎判定策略由厂商判定转变为厂商和用户共同判定。
-
公开(公告)号:CN108073812A
公开(公告)日:2018-05-25
申请号:CN201710669523.9
申请日:2017-08-08
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
CPC classification number: G06F21/563 , G06F2221/033
Abstract: 本发明提出了一种基于反汇编的PE程序入口点归一化方法及系统,所述方法通过对可执行文件的入口点进行预设条数的反汇编操作,并判断是否是跳转指令或者隐式跳转指令,如果是跳转指令或隐式跳转指令,则将可执行文件的入口点指向目标跳转地址,然后让反病毒软件重新进行扫描识别。通过本发明的方法及系统,能够对修改可执行文件入口点位置的恶意代码进行有效的分析及对抗,最大程度保证基于入口点分析恶意代码的程序可以正确工作。
-
公开(公告)号:CN105487811A
公开(公告)日:2016-04-13
申请号:CN201510065674.4
申请日:2015-02-09
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F3/06
Abstract: 本发明公开了一种基于缓冲对齐的文件读写方法,包括:若存在程序读写请求,则判断内部缓存区是否包含待读取数据,若包含,则直接返回待读取数据,否则根据文件的预设单位对齐后,计算需要读取的位置和大小,所述大小为预设单位的整数倍;基于所述需要读取的位置和大小,调用系统API读取数据并缓存至内部缓存区;根据实际需要返回待读取数据。本发明还公开了一种基于缓冲对齐的文件读写系统。本发明所述技术方案可以有效减少调用系统API的次数和时间,提高了文件读写性能。
-
公开(公告)号:CN104966019A
公开(公告)日:2015-10-07
申请号:CN201410267588.7
申请日:2014-06-16
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
Abstract: 本发明公开了一种启发式文档威胁检测方法及系统,对于文档类文件,包括:office系列或者PDF,通过对待检测文档进行结构解析,获取静态信息,利用所述静态信息判断待检测文档是否夹带敏感数据,若夹带敏感数据,则对敏感数据进行格式解析,进一步判定敏感数据的格式是否是安全文档可夹带数据格式,若是,则待检测文档为低风险文档,否则判定是高风险文档。本发明给出的方法和系统,可以对文档类的未知威胁进行检测,并克服了传统检测方法复杂,效率低下等问题。
-
Patent Agency Ranking
公开(公告)号:CN110135153A
公开(公告)日:2019-08-16
申请号:CN201811295818.5
申请日:2018-11-01
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
Abstract: 本发明公开了一种软件的可信检测方法及装置,其中,方法包括以下步骤:检测待测可信软件是否可信;如果待测软件可信,则提取待测可信软件的PE文件中多个信标;检测多个信标是否均属于可信信标库,并在多个信标中任意一个信标不属于可信信标库时,判定待测可信软件被仿冒或篡改。该方法可以有效检测对可信软件的仿冒或篡改,尤其是可以准确检测内嵌恶意信标而实现恶意目的的行为,提高检测的准确性和可靠性,有效避免用户遭受恶意代码攻击,提高用户使用体验。
-
公开(公告)号:CN105740706B
公开(公告)日:2019-05-07
申请号:CN201510985230.2
申请日:2015-12-25
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
Abstract: 本发明提出一种基于API名称和立即数的启发式样本检测方法及系统,包括:获取系统文件的全部导出函数名称,并计算各导出函数名称的散列值;将所有导出函数名称的散列值形成散列匹配库;遍历待检测样本的全部指令中所包含的立即数;将所述立即数与散列匹配库中的散列值匹配,并计算匹配成功的立即数个数;判断所述匹配成功的立即数个数是否超过阈值,如果是,则所述待检测样本为恶意文件,否则所述待检测样本为普通文件。本发明通过对API名称进行散列计算与待检测样本的立即数匹配,能够快速发现存在隐藏自身API调用的恶意代码样本。
-
公开(公告)号:CN108171014A
公开(公告)日:2018-06-15
申请号:CN201711484553.9
申请日:2017-12-29
Applicant: 哈尔滨安天科技股份有限公司
CPC classification number: G06F21/10 , H04L63/1408
Abstract: 本发明提出一种RTF可疑文件的检测方法、系统及存储介质,所述方法包括:获取RTF文件中objdata数据段;搜索objdata数据段中是否同时存在16进制数据及非16进制数据;如果存在,则进一步统计非16进制数据在objdata数据段中所占比例是否超过预设值,如果是,则所述objdata数据段被混淆,即所述RTF文件可疑,否则所述objdata数据段未被混淆,即RTF文件正常。通过本发明的方法,能够有效识别在RTF中进行混淆的文件,解决现有依据特征进行检测的技术中,由于特征被混杂文件打乱而无法检测的问题。
-
公开(公告)号:CN108073815A
公开(公告)日:2018-05-25
申请号:CN201711482612.9
申请日:2017-12-29
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
CPC classification number: G06F21/563 , G06F2221/033
Abstract: 本发明提出一种基于代码切片的家族判定方法、系统及存储介质,所述方法包括,获取待检测文件,并判断文件格式;根据文件格式,按照最小功能的结构化数据块对待检测文件进行文件切片;分别计算各切片的模糊哈希;利用相似度计算方法,将各切片的模糊哈希与恶意代码切片特征库进行关联分析,得到与待检测文件相似的已知样本;确定关联分析后相似度最高的已知样本;则所述待检测文件与所述相似度最高的已知样本为同一恶意代码家族。本发明不需要了解恶意代码特性及特征码额提取,仅通过了解文件结构,即可利用相似度判定恶意代码的家族。
-
公开(公告)号:CN108073809A
公开(公告)日:2018-05-25
申请号:CN201711420803.2
申请日:2017-12-25
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/55
CPC classification number: G06F21/55
Abstract: 本发明提出一种基于异常组件关联的APT启发式检测方法及系统,发明方法包括:监控系统中的全部启动进程;记录全部组件的调用关系及组件环境信息,并缓存到缓存知识库;对系统新获取的组件,记录其调用关系及组件环境信息;将新获取的组件的调用关系及组件环境信息与缓存知识库匹配,基于匹配规则,判断系统内的组件是否异常,如果是,则向用户告警,并提示风险,否则将所述新获取的组件的调用关系及组件环境信息存储到缓存知识库中。本发明还提出相应系统及存储介质。通过本发明的方法,可以有效检测组件化,模块化,工程化,高隐蔽性,复杂的APT攻击。
-
-
-
-
-
-
-
-
-
Search Results
41
records
(took 0.034 seconds)
