-
公开(公告)号:CN109472135B
公开(公告)日:2022-02-22
申请号:CN201711474097.X
申请日:2017-12-29
Applicant: 北京安天网络安全技术有限公司
Abstract: 本发明实施例提供了一种检测进程注入的方法、装置及存储介质,用以解决目前的检测进程注入的方法无法检测出可以逃避基于API调用的特征的进程注入方法问题。该方法包括:启动目标进程;捕获所述目标进程中的应用程序编程接口API;确定捕获的API中存在调用行为的API的调用关系,其中,存在调用行为的API是调用了除用于捕获所述目标进程中的API的函数以外的其他API的API;将存在调用行为的API的调用关系与调用规则进行匹配;其中,调用规则是执行所述目标进程的系统正常运行时的API的调用关系;当存在调用关系匹配不成功的API时,确定目标进程被注入。
-
公开(公告)号:CN109471697A
公开(公告)日:2019-03-15
申请号:CN201711250086.3
申请日:2017-12-01
Applicant: 北京安天网络安全技术有限公司
IPC: G06F9/455
Abstract: 本发明实施例提供了一种监控虚拟机中系统调用的方法、装置及存储介质,用以解决目前的监控方法既容易被恶意软件发现和规避又容易影响客户机的稳定性的问题。该方法包括:针对需要监控的虚拟机,从配置文件中读取所述虚拟机对应的描述信息;根据读取出的描述信息,确定所述虚拟机中被监控的进程的内存段;根据确定的内存段中存储的数据,获取被监控的进程的信息;根据获取的被监控的进程的信息,确定当前正在执行的系统调用是由正在运行的被监控的进程发起的系统调用;对当前正在执行的系统调用的相关信息进行处理。
-
公开(公告)号:CN108874658A
公开(公告)日:2018-11-23
申请号:CN201711426404.7
申请日:2017-12-25
Applicant: 北京安天网络安全技术有限公司
IPC: G06F11/36
Abstract: 本发明实施例公开一种沙箱分析方法、装置、电子设备及存储介质,涉及信息安全技术领域,能够大大减少样本逃避检测的几率,有效提升沙箱检测能力。所述方法包括:运行输入沙箱的程序样本并监测所述程序样本运行中是否存在创建定时任务的操作;在所述程序样本运行中存在创建定时任务的操作的情况下,触发创建的所述定时任务提前执行。本发明可用于沙箱分析中。
-
公开(公告)号:CN108875357A
公开(公告)日:2018-11-23
申请号:CN201711391646.7
申请日:2017-12-20
Applicant: 北京安天网络安全技术有限公司
Abstract: 本发明的实施例公开一种程序启动方法、装置、电子设备及存储介质,涉及计算机网络安全领域,能够在客户机外部实现对样本程序的启动。所述一种程序启动方法,应用于宿主机,该方法包括:将样本程序输入到客户机;当监测到客户机的控制流的触发事件,将当前执行指针跳转到所述汇编指令片段进行执行以启动所述样本程序。本发明适用于对样本程序的检测。
-
公开(公告)号:CN108874462A
公开(公告)日:2018-11-23
申请号:CN201711471173.1
申请日:2017-12-28
Applicant: 北京安天网络安全技术有限公司
Abstract: 本发明的实施例公开一种浏览器行为获取方法、装置、存储介质及电子设备,涉及信息安全技术,能够提升样本行为检测精度。所述浏览器行为获取方法包括:监测浏览器辅助对象插件在浏览器中的注册行为;若监测到所述浏览器辅助对象插件的注册行为,触发预先设置的访问所述浏览器的行为集;采集所述行为集对应的浏览器行为。
-
Patent Agency Ranking
公开(公告)号:CN108874462B
公开(公告)日:2021-09-21
申请号:CN201711471173.1
申请日:2017-12-28
Applicant: 北京安天网络安全技术有限公司
Abstract: 本发明的实施例公开一种浏览器行为获取方法、装置、存储介质及电子设备,涉及信息安全技术,能够提升样本行为检测精度。所述浏览器行为获取方法包括:监测浏览器辅助对象插件在浏览器中的注册行为;若监测到所述浏览器辅助对象插件的注册行为,触发预先设置的访问所述浏览器的行为集;采集所述行为集对应的浏览器行为。
-
公开(公告)号:CN109471697B
公开(公告)日:2021-08-17
申请号:CN201711250086.3
申请日:2017-12-01
Applicant: 北京安天网络安全技术有限公司
IPC: G06F9/455
Abstract: 本发明实施例提供了一种监控虚拟机中系统调用的方法、装置及存储介质,用以解决目前的监控方法既容易被恶意软件发现和规避又容易影响客户机的稳定性的问题。该方法包括:针对需要监控的虚拟机,从配置文件中读取所述虚拟机对应的描述信息;根据读取出的描述信息,确定所述虚拟机中被监控的进程的内存段;根据确定的内存段中存储的数据,获取被监控的进程的信息;根据获取的被监控的进程的信息,确定当前正在执行的系统调用是由正在运行的被监控的进程发起的系统调用;对当前正在执行的系统调用的相关信息进行处理。
-
公开(公告)号:CN108875362B
公开(公告)日:2021-03-23
申请号:CN201711471140.7
申请日:2017-12-28
Applicant: 北京安天网络安全技术有限公司
Abstract: 本发明的实施例公开一种样本行为获取方法、装置、计算机可读存储介质及电子设备,涉及信息安全技术,能够提升样本行为检测精度。所述样本行为获取方法包括:监测样本对端口的监听行为;若监测到所述样本对所述端口具有监听行为,构建与所述端口的连接;获取所述样本对截取的基于所述连接传输至所述端口的数据的样本行为。本发明适用于提升对执行过程中有端口监听行为的样本的行为采集能力。
-
公开(公告)号:CN108875371B
公开(公告)日:2020-04-24
申请号:CN201711426403.2
申请日:2017-12-25
Applicant: 北京安天网络安全技术有限公司
Abstract: 本发明实施例公开一种沙箱分析方法、装置、电子设备及存储介质,涉及信息安全技术领域,能够大大减少样本逃避检测的几率,有效提升沙箱检测能力。所述方法包括:监测输入沙箱的程序样本中与重启系统相关的目标操作,并进行相应的记录;当所述沙箱的虚拟机关机时,保存所述虚拟机的运行现场;根据记录的数据确定所述程序样本运行中是否存在所述目标操作;在所述程序样本运行中存在所述目标操作的情况下,重启所述虚拟机以继续对所述程序样本进行数据采集。本发明可用于沙箱分析中。
-
公开(公告)号:CN108875361A
公开(公告)日:2018-11-23
申请号:CN201711471136.0
申请日:2017-12-28
Applicant: 北京安天网络安全技术有限公司
Abstract: 本发明的实施例公开一种监控程序的方法、装置、电子设备及存储介质,涉及计算机网络安全领域,能够在宿主机上实现对样本程序更全面的监控。所述监控程序的方法,应用于宿主机,该方法包括:判断当前客户机中样本程序是否执行到的分支节点;当客户机中的样本程序执行到分支节点时,获取所述分支节点对应分支状态信息,所述分支状态信息包括多个分支对应的跳转条件以及跳转地址;根据所述分支状态信息,执行每个分支并采集执行过程中的行为数据直至所述分支节点中包含的所述多个分支均执行完成。本发明适用于对客户机中运行的样本程序的监控。
-
-
-
-
-
-
-
-
-
Search Results
17
records
(took 0.033 seconds)
