公开(公告)号：CN110888771B

公开(公告)日：2024-09-10

申请号：CN201811608344.5

申请日：2018-12-26

Applicant: 北京安天网络安全技术有限公司

Inventor： 孙鹏 ,  王小丰 ,  肖新光

IPC: G06F11/30 ,  G06F9/455 ,  G06F9/445

Abstract: 本发明实施例公开一种对进程进行监视分析的方法、装置、电子设备及存储介质，涉及计算机安全技术领域，便于提高对样本的分析效率。所述对进程进行监视分析的方法，包括：监视样本进程在当前操作系统中的加载；监视到第一样本进程在当前操作系统中加载时，为第一样本进程创建第一虚拟运行环境；监视到第二样本进程在当前操作系统中加载时，为第二样本进程创建第二虚拟运行环境，其中，所述第二虚拟运行环境与所述第一虚拟运行环境相隔离。本发明适用于对样本进程的操作行为进行分析。

公开(公告)号：CN115987624A

公开(公告)日：2023-04-18

申请号：CN202211649325.3

申请日：2022-12-21

Applicant: 北京安天网络安全技术有限公司

Inventor： 孙鹏 ,  肖新光

IPC: H04L9/40 ,  H04L67/02

Abstract: 本发明实施例公开一种安全检测方法、装置、电子设备及存储介质，涉及网络安全技术领域。便于对潜伏于网内主机上的木马病毒或勒索病毒等发送的服务请求进行有效识别，从而提高网络的安全性。包括步骤：捕获当前主机上的服务请求端发送的服务请求包；所述服务请求包中携带有特征标识，所述特征标识用于表征所述服务请求端对应的用户代理信息；对所述服务请求包进行解析，提取出所述服务请求包中携带的所述特征标识；将所述特征标识与所述服务请求端对应的安全特征标识进行比对；若确定比对结果满足预设条件，则确定所述服务请求包为异常服务请求包，并确定所述当前主机存在安全异常。本发明适用于计算机的日常病毒防御场景中。

公开(公告)号：CN114266037A

公开(公告)日：2022-04-01

申请号：CN202111546945.X

申请日：2021-12-16

Applicant: 北京安天网络安全技术有限公司

Inventor： 孙鹏 ,  肖新光

IPC: G06F21/53

Abstract: 本发明公开一种样本检测方法、装置、电子设备及存储介质。该方法包括：接收检测环境建立指令，在当前操作系统中建立检测环境进程；所述检测环境进程能够对当前操作系统的进程环境进行模拟；将待处理样本加载进所述检测环境进程内；控制所述待处理样本在所述检测环境进程内进行运行；获取所述待处理样本在所述检测环境进行内运行时的目标行为数据；所述待处理样本在运行时调用的地址为，根据实际调用地址处理后的偏移地址。由于本申请提供的样本检测方法，待处理样本和检测环境进程处于同一个虚拟地址中，不用对待处理样本进行注入操作，而是通过直接对待处理样本的行为进行劫持，使得即使待处理样本具有反注入能力，也能对其进行监控和数据获取。