公开(公告)号：CN101727348A

公开(公告)日：2010-06-09

申请号：CN200810216474.4

申请日：2008-10-10

申请人： 成都市华为赛门铁克科技有限公司

发明人： 张小松 ,  陈厅 ,  顾凌志 ,  杨玉奇 ,  杜欢 ,  白皓文

IPC分类号： G06F9/455 ,  G06F21/22

摘要： 本发明实施例提供一种可疑代码分析方法，包括创建代码虚拟执行环境，所述代码虚拟执行环境创建主机系统的常用进程；将可疑代码对主机系统的常用进程的操作重定向到所述代码虚拟执行环境创建的进程；将可疑代码对主机系统的文件系统或注册表的操作重定向到所述代码虚拟执行环境创建的虚拟的文件系统或虚拟的注册表；记录可疑代码运行时的行为特征并保存为日志文件；将所述日志文件通过命名管道发送至所述主机系统进行分析，所述命名管道对于所述代码虚拟执行环境中的可疑代码是不可见的。本发明实施例还提供一种可疑代码分析装置，本发明实施例可避免可疑代码对主机系统的进程造成影响。

公开(公告)号：CN101551756B

公开(公告)日：2012-02-15

申请号：CN200910081055.9

申请日：2009-03-31

申请人： 成都市华为赛门铁克科技有限公司

发明人： 李毅超 ,  刘丹 ,  曹跃 ,  黄沾 ,  罗尧 ,  贾范兵 ,  杨广元 ,  顾凌志 ,  杨玉奇 ,  杜欢 ,  白皓文

IPC分类号： G06F9/455 ,  G06F9/48

摘要： 本发明实施例涉及一种基于操作系统层的虚拟方法及装置，通过在系统调用层截获对系统资源的调用请求；将所述系统资源的主机路径重定向为虚拟机目录下对应的路径；可以实现基于操作系统层的虚拟化，由于不需要硬件抽象层的支持，所以在满足了故障容忍和入侵容忍系统的需求下，还具有占用系统资源少、灵活性高、启动延迟少的特点。

公开(公告)号：CN101304409B

公开(公告)日：2011-04-13

申请号：CN200810029174.5

申请日：2008-06-28

申请人： 成都市华为赛门铁克科技有限公司

发明人： 李毅超 ,  顾凌志 ,  杨玉奇 ,  杜欢 ,  白皓文 ,  刘丹 ,  曹跃 ,  梁晓 ,  徐胜 ,  舒柏程 ,  柴方明

IPC分类号： H04L29/06 ,  G06F21/00

CPC分类号： G06F21/554 ,  G06F21/566 ,  G06F2221/2105

摘要： 本发明实施例公开了一种恶意代码检测方法和系统，所述方法包括获得难以被恶意代码修改的第一系统信息，以及容易被所述恶意代码修改的第二系统信息，通过识别所述第一系统信息与第二系统信息的差异，检测出所述恶意代码。采用本发明实施例，可对未知的恶意代码进行检测，提高系统安全性，且简单易行。

公开(公告)号：CN101551756A

公开(公告)日：2009-10-07

申请号：CN200910081055.9

申请日：2009-03-31

申请人： 成都市华为赛门铁克科技有限公司

发明人： 李毅超 ,  刘丹 ,  曹跃 ,  黄沾 ,  罗尧 ,  贾范兵 ,  杨广元 ,  顾凌志 ,  杨玉奇 ,  杜欢 ,  白皓文

IPC分类号： G06F9/455 ,  G06F9/48

摘要： 本发明实施例涉及一种基于操作系统层的虚拟方法及装置，通过在系统调用层截获对系统资源的调用请求；将所述系统资源的主机路径重定向为虚拟机目录下对应的路径；可以实现基于操作系统层的虚拟化，由于不需要硬件抽象层的支持，所以在满足了故障容忍和入侵容忍系统的需求下，还具有占用系统资源少、灵活性高、启动延迟少的特点。

公开(公告)号：CN101360023A

公开(公告)日：2009-02-04

申请号：CN200810212005.5

申请日：2008-09-09

申请人： 成都市华为赛门铁克科技有限公司

发明人： 崔巍 ,  顾凌志 ,  杨玉奇 ,  杜欢 ,  白皓文

IPC分类号： H04L12/26 ,  H04L29/06

摘要： 本发明实施例公开了一种异常检测方法、装置及系统。其中方法实施例可以为：对软件访问注册表的行为进行监控；当所述软件访问注册表的行为属于异常行为特征模型和/或不属于正常行为特征模型时，确定所述软件为恶意软件；或，当所述软件访问注册表的行为不属于异常行为特征模型和/或属于正常行为特征模型时，确定所述软件为正常软件；所述正常行为特征模型为：对注册表正常访问建模得到，异常行为特征模型为：对注册表异常访问建模得到。由于对注册表的监控占用资源较小，恶意软件具有异常访问行为的通性，可以判断新的恶意程序，不需要更新签名库；综上所述上述实施例可以在占用系统资源较小的条件实现检测到未知攻击，达到防御恶意攻击的目的。

公开(公告)号：CN101286986B

公开(公告)日：2011-09-14

申请号：CN200810097598.5

申请日：2008-05-15

申请人： 成都市华为赛门铁克科技有限公司

发明人： 顾凌志 ,  杨玉奇 ,  白皓文 ,  杜欢 ,  罗洪

IPC分类号： H04L29/06 ,  H04L29/02 ,  G06F17/30

摘要： 本发明提供一种主动防御的方法、装置及系统，即对捕获的程序行为进行初步分析，当初步分析结果表明程序行为是需要进行深度分析的程序行为时，才报告程序行为的信息。通过这种方法可以使得大量的正常程序行为不需要经由行为分析引擎进行深度分析，能够减少驱动与行为分析引擎的层间切换，改善系统性能。

公开(公告)号：CN101286191B

公开(公告)日：2011-01-12

申请号：CN200810028213.X

申请日：2008-05-21

申请人： 成都市华为赛门铁克科技有限公司

发明人： 刘丹 ,  顾凌志 ,  杨玉奇 ,  杜欢 ,  白皓文 ,  李毅超 ,  曹跃 ,  何子昂 ,  覃丽芳 ,  肖武 ,  康凯

IPC分类号： G06F21/00

CPC分类号： G06F21/52

摘要： 本发明实施例公开了一种缓冲区溢出攻击的防护方法、装置及系统，所述方法包括：在Windows内核模式下，将随机化管理驱动加载到内存中，所述随机化管理驱动为boot-driver；通过所述随机化管理驱动勾挂Windows内核中与内存分配相关的应用程序接口API函数，并修改所述API函数的参数来随机化所述内存分配的基地址。从而扩大了防护缓冲区溢出带来的攻击的范围，且效果较佳。