-
公开(公告)号:CN103902903A
公开(公告)日:2014-07-02
申请号:CN201310557502.X
申请日:2013-11-12
Applicant: 国家计算机网络与信息安全管理中心 , 哈尔滨安天科技股份有限公司
CPC classification number: G06F21/561 , G06F21/53
Abstract: 本发明提供了一种基于动态沙箱环境的恶意代码分析方法及系统,包括:将恶意代码投放到带有监控的虚拟机中;运行并监控所述恶意代码,获得与系统核心资源相关的进程调用和字符串信息;判断系统核心资源规则库中是否包含所述进程调用和字符串信息,如果是,则模拟对应系统核心资源,否则丢弃所述进程调用和字符串信息;判断恶意代码是否执行完毕,如果是,则捕获动态模拟后的恶意代码信息记录,否则继续监控所述恶意代码。通过本发明的方法,能够根据恶意代码运行需要,动态模拟满足恶意代码分析需求,并减少资源耗费,达到高性价比获取恶意代码行为信息。
-
公开(公告)号:CN103905414A
公开(公告)日:2014-07-02
申请号:CN201310093421.9
申请日:2013-03-22
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明公开了一种基于更新包信息的存储方法及系统,首先接收更新包,并判断所述更新包的文件信息是否存在于文件信息库中,若存在,则结束,否则将所述更新包的文件信息存储于文件信息库中;解压缩更新包,并判断解压后所得子文件的文件信息是否全部存在于文件信息库中,若存在,则结束,否则将不存在于文件信息库中的子文件的文件信息储存于文件信息库中,并将相应子文件存储于文件库中。通过存储更新包及其子文件的文件信息,避免了文件的重复存储,节省了大量的空间。同时,文中还公开了一种基于存储文件恢复更新包的方法,可以灵活地恢复所需的更新包。
-
Patent Agency Ranking
公开(公告)号:CN106648676A
公开(公告)日:2017-05-10
申请号:CN201611237195.7
申请日:2016-12-28
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明提出一种利用运行时库识别编译器的方法及系统,提取已知不同类型及版本编译器编译的二进制文件的运行时库特征码,并构造成为编译器识别特征库;获取待识别的二进制可执行文件;检测待识别的二进制可执行文件入口点附近是否包含编译器识别特征库中的运行时库特征码,如果是,则所述待识别的二进制可执行文件编译器类型为可识别的,输出编译器信息;否则待识别的二进制可执行文件可能为压缩加密类型,如果是加密类型,则对待识别的二进制可执行文件解密处理后,再进行编译器识别;否则待识别的二进制可执行文件的编译器无法识别。本发明不需要对二进制可执行文件进行详细分析,只需查看程序入口点,即可确认详细的编译器类型及版本等信息。
-
公开(公告)号:CN105095330B
公开(公告)日:2019-05-07
申请号:CN201410706064.3
申请日:2014-12-01
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F16/16 , G06F16/174
Abstract: 本发明公开了一种基于压缩包内容的文件格式识别方法,包括特征提取阶段和文件识别阶段,特征提取阶段获取压缩包类型文件,并提取压缩包类型文件中所有的文件名称,通过统计分析,得到每种压缩包格式的特征标识,并形成特征库,文件识别阶段获取待识别文件,判断待识别文件是否为压缩包类型,获取压缩包类型的待识别文件中包含的所有文件名称,将这些文件名称与特征库中的特征进行匹配,最终报告待识别文件的文件格式。本发明还提出了一种基于压缩包内容的文件格式识别系统,弥补了现有格式识别技术在识别压缩包类型文件时只显示为压缩包文件,而不能精确识别具体压缩包格式的缺陷。
-
公开(公告)号:CN105095330A
公开(公告)日:2015-11-25
申请号:CN201410706064.3
申请日:2014-12-01
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F17/30
Abstract: 本发明公开了一种基于压缩包内容的文件格式识别方法,包括特征提取阶段和文件识别阶段,特征提取阶段获取压缩包类型文件,并提取压缩包类型文件中所有的文件名称,通过统计分析,得到每种压缩包格式的特征标识,并形成特征库,文件识别阶段获取待识别文件,判断待识别文件是否为压缩包类型,获取压缩包类型的待识别文件中包含的所有文件名称,将这些文件名称与特征库中的特征进行匹配,最终报告待识别文件的文件格式。本发明还提出了一种基于压缩包内容的文件格式识别系统,弥补了现有格式识别技术在识别压缩包类型文件时只显示为压缩包文件,而不能精确识别具体压缩包格式的缺陷。
-
公开(公告)号:CN102819697B
公开(公告)日:2015-07-22
申请号:CN201110440633.0
申请日:2011-12-26
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
Abstract: 本发明公开了一种基于线程反编译的多平台恶意代码检测方法包括:通过特征提取获取恶意指令序列;依次检测系统中的线程信息,识别线程起始数据的指令集,并根据不同指令集对每个线程起始数据进行反编译得到线程的执行指令序列;将所述线程的执行指令序列与所述恶意指令序列进行完全匹配,如果匹配成功则该所述线程为恶意线程。还公开了一种基于线程反编译的多平台恶意代码检测系统。本发明技术方案可以检测多种平台的恶意代码。同时可以检测恶意代码的线程并对线程进行处置。
-
公开(公告)号:CN102819697A
公开(公告)日:2012-12-12
申请号:CN201110440633.0
申请日:2011-12-26
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/00
Abstract: 本发明公开了一种基于线程反编译的多平台恶意代码检测方法包括:通过特征提取获取恶意指令序列;依次检测系统中的线程信息,识别线程起始数据的指令集,并根据不同指令集对每个线程起始数据进行反编译得到线程的执行指令序列;将所述线程的执行指令序列与所述恶意指令序列进行完全匹配,如果匹配成功则该所述线程为恶意线程。还公开了一种基于线程反编译的多平台恶意代码检测系统。本发明技术方案可以检测多种平台的恶意代码。同时可以检测恶意代码的线程并对线程进行处置。
-
-
-
-
-
-
Search Results
7
records
(took 0.065 seconds)
