-
公开(公告)号:CN103019739B
公开(公告)日:2015-07-29
申请号:CN201210587721.8
申请日:2012-12-28
Applicant: 北京神州绿盟信息安全科技股份有限公司 , 北京神州绿盟科技有限公司
IPC: G06F9/44
Abstract: 本发明公开了一种重定位表的修复方法、程序脱壳方法及相关装置,该方法包括:记录运行加壳程序过程中产生的数据改写信息和模块加载信息;在确定加壳程序对应的原始程序的OEP后,将记录的数据改写信息中的改写数据进行组合,并根据模块加载信息和重定位表格式在组合后的改写数据中搜寻待选重定位表;若搜寻到待选重定位表,获取在到达OEP的时刻所有重定位项指向内存地址的数据都存在于内存中、并且包含指向的内存地址最小的重定位项的待选重定位表为所述加壳程序对应的原始程序的重定位表;若搜寻不到,重新建立重定位表。方案可以适用于修复各种加壳程序对应的原始程序的重定位表,方法简单,修复效率高。
-
公开(公告)号:CN103019865A
公开(公告)日:2013-04-03
申请号:CN201210587189.X
申请日:2012-12-28
Applicant: 北京神州绿盟信息安全科技股份有限公司 , 北京神州绿盟科技有限公司
Abstract: 本发明公开了一种虚拟机监控方法和系统。其中虚拟机监控方法,包括:获取虚拟机操作系统的虚拟指令块,所述虚拟指令块中包括多个虚拟指令;在所述虚拟指令块的翻译阶段,确定当前翻译的虚拟指令的地址是否在监控断点列表中预设的监控断点的地址范围,若在,则对所述虚拟指令设置第一监控断点;当执行所述虚拟指令时,根据第一监控断点执行监控。本发明适用于在指令翻译阶段进行监控断点设置,而指令执行阶段无需检查监控断点,提高虚拟机的执行效率,能有效提升虚拟机的性能。
-
公开(公告)号:CN102999374A
公开(公告)日:2013-03-27
申请号:CN201210530485.6
申请日:2012-12-10
Applicant: 北京神州绿盟信息安全科技股份有限公司 , 北京神州绿盟科技有限公司
IPC: G06F9/455
Abstract: 本发明公开了一种基于虚拟机的信息记录方法,该方法包括:虚拟机运行选定程序时,根据所述选定程序中的跳转指令分割所述选定程序,得到若干代码块;以及在执行代码块的过程中,所述虚拟机监控事件发生,并按照事件发生的先后顺序记录事件标识和事件信息,所述事件信息包括:创建的线程或进程信息、加载的模块信息、进程分配的堆信息、进程创建的栈信息、数据改写信息、代码块信息、循环次数信息、新栈顶的位置信息、函数调用信息、函数返回信息、以及中央处理器CPU异常信息中之一或组合。该方案中记录信息的方式大大提高了记录效率,并且记录文件非常小,节省了存储空间;能够为后续信息分析提供更好的帮助。
-
公开(公告)号:CN111143182A
公开(公告)日:2020-05-12
申请号:CN201911379473.6
申请日:2019-12-27
Applicant: 北京神州绿盟信息安全科技股份有限公司 , 北京神州绿盟科技有限公司
Abstract: 本发明公开了一种进程行为的分析方法、装置及存储介质,用以解决现有技术中存在的对进程的行为分析效率较低的技术问题,该方法包括:获取对预设进程进行监控的监控数据;将监控数据写入行为记录文件;其中,行为记录文件用于存储对进程行为进行监控的相关数据;在对预设进程进行行为分析时,从行为记录文件中读取监控数据,并对监控数据进行解析和进程行为统计,获得预设进程的进程行为分析结果。
-
公开(公告)号:CN108595244A
公开(公告)日:2018-09-28
申请号:CN201711268053.1
申请日:2017-12-05
Applicant: 北京神州绿盟信息安全科技股份有限公司 , 北京神州绿盟科技有限公司
IPC: G06F9/455
Abstract: 本发明提供的虚拟机内外通信方法、虚拟机、物理主机及虚拟机系统,用于解决现有技术中的虚拟机内外通信方式的通用性低、适应性不强的技术问题,提供一种通用性更高的虚拟机内外通信方式,增强虚拟机内外通信的适应性及提高虚拟机内外通信的效率。所述方法包括:虚拟机从所述虚拟机的内存中确定通信内存;运行所述虚拟机的物理主机确定所述通信内存;所述虚拟机和所述物理主机通过所述通信内存进行通信。
-
Patent Agency Ranking
公开(公告)号:CN103019828B
公开(公告)日:2015-06-17
申请号:CN201210592483.X
申请日:2012-12-28
Applicant: 北京神州绿盟信息安全科技股份有限公司 , 北京神州绿盟科技有限公司
IPC: G06F9/46
Abstract: 本发明公开了一种基于加壳程序的辅助脱壳方法及装置,该方法包括:在对加壳程序执行脱壳操作前,获取运行加壳程序过程中产生的数据改写信息,每条数据改写信息包含至少两类子信息;选取数据改写信息中的至少两类子信息,根据所有数据改写信息中选取的至少两类子信息的数据构建第一辅助图形;和/或,获取运行加壳程序过程中产生的代码流程信息,每条代码流程信息包含至少两类子信息;选取代码流程信息中的至少两类子信息,根据所有代码流程信息中选取的至少两类子信息的数据构建第二辅助图形;根据第一辅助图形和/或第二辅助图形确定加壳程序对应的原始程序的重定位表和导入表的所在地址范围。该方案节省人力资源,又能提高效率。
-
公开(公告)号:CN103019739A
公开(公告)日:2013-04-03
申请号:CN201210587721.8
申请日:2012-12-28
Applicant: 北京神州绿盟信息安全科技股份有限公司 , 北京神州绿盟科技有限公司
IPC: G06F9/44
Abstract: 本发明公开了一种重定位表的修复方法、程序脱壳方法及相关装置,该方法包括:记录运行加壳程序过程中产生的数据改写信息和模块加载信息;在确定加壳程序对应的原始程序的OEP后,将记录的数据改写信息中的改写数据进行组合,并根据模块加载信息和重定位表格式在组合后的改写数据中搜寻待选重定位表;若搜寻到待选重定位表,获取在到达OEP的时刻所有重定位项指向内存地址的数据都存在于内存中、并且包含指向的内存地址最小的重定位项的待选重定位表为所述加壳程序对应的原始程序的重定位表;若搜寻不到,重新建立重定位表。方案可以适用于修复各种加壳程序对应的原始程序的重定位表,方法简单,修复效率高。
-
公开(公告)号:CN103164649B
公开(公告)日:2016-08-17
申请号:CN201310052560.7
申请日:2013-02-18
Applicant: 北京神州绿盟信息安全科技股份有限公司 , 北京神州绿盟科技有限公司
IPC: G06F21/50
Abstract: 本发明公开了一种进程行为分析方法及系统,其中进程行为分析方法,包括:获取对预设的敏感进程进行监控的监控记录数据;根据所述监控记录数据模拟重现监控过程中的句柄、进程和线程,获取分别与所述句柄、进程和线程对应的虚拟表项,所述虚拟表项记录敏感进程创建的句柄、进程和线程及对应的属性;设定敏感进程的相关进程,根据所述虚拟表项将相关进程对应的句柄、进程和线程操作及对应的属性关联到敏感进程的进程行为分析结果中。本发明对与一个进程相关的所有进程的行为进行全面地分析,提高进程行为分析的质量效率。
-
公开(公告)号:CN103019740B
公开(公告)日:2015-08-19
申请号:CN201210587722.2
申请日:2012-12-28
Applicant: 北京神州绿盟信息安全科技股份有限公司 , 北京神州绿盟科技有限公司
Abstract: 本发明公开了一种获取导入表和重定位表的方法及装置,该方法包括:记录运行加壳程序过程中产生的数据改写信息,所述数据改写信息包括数据改写地址、改写数据和数据改写时间;在确定所述加壳程序对应的原始程序的入口点OEP后,在记录的数据改写信息中,将数据改写时间连续且数据改写地址连续的数据改写信息所对应的改写数据进行组合;和/或,在记录的数据改写信息中,将数据改写时间连续、至少两个连续的数据改写地址循环的数据改写信息所对应的改写数据进行组合;逐一分析组合后的改写数据来获取所述加壳程序对应的原始程序的导入表和重定位表。该方案减少了耗时,提高了效率。
-
公开(公告)号:CN103019865B
公开(公告)日:2015-07-15
申请号:CN201210587189.X
申请日:2012-12-28
Applicant: 北京神州绿盟信息安全科技股份有限公司 , 北京神州绿盟科技有限公司
Abstract: 本发明公开了一种虚拟机监控方法和系统。其中虚拟机监控方法,包括:获取虚拟机操作系统的虚拟指令块,所述虚拟指令块中包括多个虚拟指令;在所述虚拟指令块的翻译阶段,确定当前翻译的虚拟指令的地址是否在监控断点列表中预设的监控断点的地址范围,若在,则对所述虚拟指令设置第一监控断点;当执行所述虚拟指令时,根据第一监控断点执行监控。本发明适用于在指令翻译阶段进行监控断点设置,而指令执行阶段无需检查监控断点,提高虚拟机的执行效率,能有效提升虚拟机的性能。
-
-
-
-
-
-
-
-
-
Search Results
41
records
(took 0.046 seconds)
