公开(公告)号：CN108334773A

公开(公告)日：2018-07-27

申请号：CN201710813649.9

申请日：2017-09-11

Applicant: 北京安天网络安全技术有限公司

Inventor： 王永亮 ,  关墨辰 ,  王小丰 ,  肖新光

IPC: G06F21/53 ,  G06F21/56

Abstract: 本发明实施例提供了一种执行文件检测行为的不同分支的方法、装置和存储设备，用以提高沙箱系统的分析效率。该方法包括：从在沙箱中执行样本程序的起始时刻，到所述样本程序执行过程中遇到一个文件检测行为之间的任一时刻，保存执行沙箱系统的虚拟机的状态信息；在文件检测的一种可能的情况下，继续执行样本程序直至样本程序执行完毕；根据保存的虚拟机的状态信息，将所述虚拟机恢复到所述保存的虚拟机的状态信息所指示的状态；在文件检测的另一种可能的情况下，执行样本程序直至样本程序执行完毕。

公开(公告)号：CN109472133B

公开(公告)日：2021-09-28

申请号：CN201711250084.4

申请日：2017-12-01

Applicant: 北京安天网络安全技术有限公司

Inventor： 关墨辰 ,  李林哲 ,  王永亮 ,  王小丰 ,  肖新光

IPC: G06F21/53 ,  G06F21/56

Abstract: 本发明实施例提供了一种沙箱监控方法和装置，用以降低恶意代码通过检查公知的Hook点进行逆向的可能性。该方法包括：在沙箱中启动待分析的程序；确定所述待分析程序的进程ID；在待分析程序运行期间，确定当前产生的中断或者执行的特定指令为系统调用；确定所述系统调用由所述待分析程序的进程ID标识的进程产生；获取所述系统调用及其参数，并获取所述系统调用的结果，以将获取的所述系统调用及其参数和所述系统调用的结果传递给所述沙箱分析流程进行分析。

公开(公告)号：CN108875357B

公开(公告)日：2020-05-12

申请号：CN201711391646.7

申请日：2017-12-20

Applicant: 北京安天网络安全技术有限公司

Inventor： 李林哲 ,  王永亮 ,  关墨辰 ,  王小丰 ,  肖新光

IPC: G06F21/51 ,  G06F21/53 ,  G06F1/16

Abstract: 本发明的实施例公开一种程序启动方法、装置、电子设备及存储介质，涉及计算机网络安全领域，能够在客户机外部实现对样本程序的启动。所述一种程序启动方法，应用于宿主机，该方法包括：将样本程序输入到客户机；当监测到客户机的控制流的触发事件，将当前执行指针跳转到所述汇编指令片段进行执行以启动所述样本程序。本发明适用于对样本程序的检测。

公开(公告)号：CN109472135A

公开(公告)日：2019-03-15

申请号：CN201711474097.X

申请日：2017-12-29

Applicant: 北京安天网络安全技术有限公司

Inventor： 关墨辰 ,  李林哲 ,  王永亮 ,  王小丰 ,  肖新光

IPC: G06F21/55 ,  G06F21/56

Abstract: 本发明实施例提供了一种检测进程注入的方法、装置及存储介质，用以解决目前的检测进程注入的方法无法检测出可以逃避基于API调用的特征的进程注入方法问题。该方法包括：启动目标进程；捕获所述目标进程中的应用程序编程接口API；确定捕获的API中存在调用行为的API的调用关系，其中，存在调用行为的API是调用了除用于捕获所述目标进程中的API的函数以外的其他API的API；将存在调用行为的API的调用关系与调用规则进行匹配；其中，调用规则是执行所述目标进程的系统正常运行时的API的调用关系；当存在调用关系匹配不成功的API时，确定目标进程被注入。

公开(公告)号：CN109472133A

公开(公告)日：2019-03-15

申请号：CN201711250084.4

申请日：2017-12-01

Applicant: 北京安天网络安全技术有限公司

Inventor： 关墨辰 ,  李林哲 ,  王永亮 ,  王小丰 ,  肖新光

IPC: G06F21/53 ,  G06F21/56

Abstract: 本发明实施例提供了一种沙箱监控方法和装置，用以降低恶意代码通过检查公知的Hook点进行逆向的可能性。该方法包括：在沙箱中启动待分析的程序；确定所述待分析程序的进程ID；在待分析程序运行期间，确定当前产生的中断或者执行的特定指令为系统调用；确定所述系统调用由所述待分析程序的进程ID标识的进程产生；获取所述系统调用及其参数，并获取所述系统调用的结果，以将获取的所述系统调用及其参数和所述系统调用的结果传递给所述沙箱分析流程进行分析。

公开(公告)号：CN108875371A

公开(公告)日：2018-11-23

申请号：CN201711426403.2

申请日：2017-12-25

Applicant: 北京安天网络安全技术有限公司

Inventor： 关墨辰 ,  李林哲 ,  王永亮 ,  王小丰 ,  肖新光

IPC: G06F21/56 ,  G06F21/53

Abstract: 本发明实施例公开一种沙箱分析方法、装置、电子设备及存储介质，涉及信息安全技术领域，能够大大减少样本逃避检测的几率，有效提升沙箱检测能力。所述方法包括：监测输入沙箱的程序样本中与重启系统相关的目标操作，并进行相应的记录；当所述沙箱的虚拟机关机时，保存所述虚拟机的运行现场；根据记录的数据确定所述程序样本运行中是否存在所述目标操作；在所述程序样本运行中存在所述目标操作的情况下，重启所述虚拟机以继续对所述程序样本进行数据采集。本发明可用于沙箱分析中。

公开(公告)号：CN108875362A

公开(公告)日：2018-11-23

申请号：CN201711471140.7

申请日：2017-12-28

Applicant: 北京安天网络安全技术有限公司

Inventor： 李林哲 ,  王永亮 ,  关墨辰 ,  王小丰 ,  肖新光

IPC: G06F21/53 ,  G06F21/56

Abstract: 本发明的实施例公开一种样本行为获取方法、装置、计算机可读存储介质及电子设备，涉及信息安全技术，能够提升样本行为检测精度。所述样本行为获取方法包括：监测样本对端口的监听行为；若监测到所述样本对所述端口具有监听行为，构建与所述端口的连接；获取所述样本对截取的基于所述连接传输至所述端口的数据的样本行为。本发明适用于提升对执行过程中有端口监听行为的样本的行为采集能力。