公开(公告)号：CN118627068A

公开(公告)日：2024-09-10

申请号：CN202410803142.5

申请日：2024-06-20

Applicant: 北京启明星辰信息安全技术有限公司 ,  北京网御星云信息技术有限公司 ,  启明星辰信息技术集团股份有限公司

Inventor： 李亚辉 ,  杨旭 ,  邵慧丽 ,  柴忠 ,  邓宫财 ,  刘国林 ,  肖成民 ,  陈辉

IPC: G06F21/56 ,  G06F21/57

Abstract: 一种windows内存木马的检测方法，其特征在于，包括如下的步骤：步骤S1：获取内存镜像并对内存镜像进行解析，获取与内存中进程相关的文件；步骤S2：将通过步骤S1获取的与内存中进程相关的文件，按照进程建立文件夹并挂载到操作系统中；步骤S3：进行可疑文件的标记，将存在内存木马的嫌疑的文件标记为可疑文件；步骤S4：进行进程的溯源，将能够反映进程的来源的文件与进程进行标记；以及步骤S5，将步骤S3中标记的可疑文件之中的、能够在步骤S4中找到溯源的进程，判定为内存木马。

公开(公告)号：CN118714071A

公开(公告)日：2024-09-27

申请号：CN202410830831.5

申请日：2024-06-26

Applicant: 北京启明星辰信息安全技术有限公司 ,  北京网御星云信息技术有限公司 ,  启明星辰信息技术集团股份有限公司

Inventor： 杨旭 ,  柴忠 ,  邓宫财 ,  刘国林

IPC: H04L45/745 ,  H04L61/5007

Abstract: 本申请提供一种IP地址的匹配方法、装置及电子设备、存储介质，该方法包括：获取待匹配的目标IP地址；将目标IP地址的前m位进行哈希运算，得到第一匹配值；查找第一层哈希表是否存在与第一匹配值相对应的第一KEY值，若不存在或者第一KEY值链接到空地址，判定目标IP地址与第一层哈希表不匹配；若第一KEY值链接到第二层哈希表，将目标IP地址的后n位进行哈希运算，得到第二匹配值；查找第二层哈希表是否存在与第二匹配值相对应的第二KEY值，若不存在，判定目标IP地址与第二层哈希表不匹配；若存在，则判定二者匹配；若目标IP地址同时与第一层哈希表、第二层哈希表匹配，则判定目标IP地址匹配成功。据此，可以节省内存空间，减少匹配次数，提高匹配效率。

公开(公告)号：CN120090862A

公开(公告)日：2025-06-03

申请号：CN202510472872.6

申请日：2025-04-15

Applicant: 北京启明星辰信息安全技术有限公司 ,  中国移动通信集团有限公司 ,  中国移动通信有限公司

Inventor： 杨旭 ,  邓宫财 ,  赵围 ,  陈城 ,  柴忠

IPC: H04L9/40 ,  H04L41/14

Abstract: 一种基于QEMU的仿真系统中蜜罐日志溯源方法和装置，该仿真系统中QEMU的TCG组件设置有监控模块，其中监控模块包括与仿真系统中至少部分功能函数一一对应的监控单元，其中每个监控单元用于在各自对应的功能函数被调用时，对功能函数的处理行为进行记录并输出记录结果，该方法包括：在检测到有仿真系统有新的网络会话接入后，记录网络会话的溯源标识；获取自网络会话开始至网络会话结束过程中每个监控单元输出的记录结果，得到候选记录结果，其中每个候选记录结果均记录有各自对应的网络会话标识；从候选记录结果中筛选出网络会话标识为溯源标识的记录结果，得到目标记录结果；利用目标记录结果，生成网络会话的蜜罐溯源日志。