公开(公告)号：CN104978381A

公开(公告)日：2015-10-14

申请号：CN201410582608.X

申请日：2014-10-28

Applicant: 哈尔滨安天科技股份有限公司

Inventor： 张国强 ,  李柏松

IPC: G06F17/30

Abstract: 本发明公开了一种基于反汇编进行恶意样本检测的方法及系统，首先，将待检测文档转换为十六进制格式的数据；对所述数据以逐字节遍历的形式进行反汇编；判断是否存在成功反汇编的指令，若存在，则继续判断成功反汇编的指令字节总长度是否大于预设值，若大于，则待检测文档为恶意文档，否则判断对所述数据的遍历是否已完成，若已完成，则待检测文档为非恶意文档，否则offset值加1后，从offset位置处开始逐字节反汇编。本发明所述方法及系统，不仅可以有效识别已知恶意文档，对于未知恶意文档也具备检出能力。

公开(公告)号：CN108182363A

公开(公告)日：2018-06-19

申请号：CN201711417945.3

申请日：2017-12-25

Applicant: 哈尔滨安天科技股份有限公司

Inventor： 张国强 ,  李柏松 ,  王小丰

IPC: G06F21/56

CPC classification number: G06F21/562

Abstract: 本发明提出了一种嵌入式office文档的检测方法、系统及存储介质，所述方法包括：获取进程列表，判断是否存在office相关进程，如果存在，则监控%TEMP%目录；监控%TEMP%目录是否有新增文件，如果是，则挂起office相关进程，并对新增文件进行检测，否则，所述进程文件为正常文件。本发明还给出实现该方法的相应系统。通过发明利用office文档的自解析操作，对所释放出的文件进行检测，不需要对office文档格式进行解析，能有效避免office文档混淆对检测的影响，同时解决了由于文档格式的复杂而导致检出率不高的问题。

公开(公告)号：CN108804916A

公开(公告)日：2018-11-13

申请号：CN201711381724.5

申请日：2017-12-19

Applicant: 哈尔滨安天科技股份有限公司

Inventor： 张国强 ,  李柏松

IPC: G06F21/56

CPC classification number: G06F21/565

Abstract: 本发明实施例公开一种恶意文件的检测方法、装置、电子设备及存储介质，涉及计算机安全技术领域。所述方法包括：获取系统中的快捷方式文件；提取所述快捷方式文件包括的脚本文件；获取所述脚本文件包括的地址信息；当所述脚本文件包括的地址信息未存储在地址数据库中，则确定所述快捷方式文件为恶意文件，其中，所述地址数据库中存储有合法的地址信息。本发明适用于电子设备上对快捷方式文件的安全性检测。