公开(公告)号：CN106603557A

公开(公告)日：2017-04-26

申请号：CN201611253544.4

申请日：2016-12-30

Applicant: 哈尔滨安天科技股份有限公司

Inventor： 袁炯晔 ,  童志明 ,  肖新光

IPC: H04L29/06

Abstract: 本发明公开了一种基于配置信息结构的木马检测方法及系统，包括：获取已知流行木马样本，并提取所述木马样本的配置信息；分析所述配置信息，并获取配置信息结构；基于获取的配置信息结构制定检测规则；利用所述检测规则检测未知可疑文件是否为木马。本发明所述技术方案基于配置信息自身结构生成检测规则，进而有效识别木马病毒并降低误报。

公开(公告)号：CN108171014A

公开(公告)日：2018-06-15

申请号：CN201711484553.9

申请日：2017-12-29

Applicant: 哈尔滨安天科技股份有限公司

Inventor： 袁炯晔 ,  童志明 ,  何公道 ,  肖新光

IPC: G06F21/10 ,  H04L29/06

CPC classification number: G06F21/10 ,  H04L63/1408

Abstract: 本发明提出一种RTF可疑文件的检测方法、系统及存储介质，所述方法包括：获取RTF文件中objdata数据段；搜索objdata数据段中是否同时存在16进制数据及非16进制数据；如果存在，则进一步统计非16进制数据在objdata数据段中所占比例是否超过预设值，如果是，则所述objdata数据段被混淆，即所述RTF文件可疑，否则所述objdata数据段未被混淆，即RTF文件正常。通过本发明的方法，能够有效识别在RTF中进行混淆的文件，解决现有依据特征进行检测的技术中，由于特征被混杂文件打乱而无法检测的问题。