-
公开(公告)号:CN115146259A
公开(公告)日:2022-10-04
申请号:CN202210800064.4
申请日:2022-07-08
Applicant: 北京安天网络安全技术有限公司
Abstract: 本发明实施例公开一种沙箱文件分析方法及装置,涉及网络安全领域。该方法包括:对待分析样本进行分组处理;根据待分析样本组的个数,创建等量的虚拟机,将一个待分析样本组输入至一个虚拟机中;监控每个待分析样本的执行过程,得到动态执行日志;对动态执行日志进行动态分析,得到分析报告;判断分析报告中是否存在与筛选条件匹配的指标;若存在,则对待分析样本组包括的待分析样本再次进行分组处理,并重复根据待分析样本组的个数,创建等量的虚拟机至判断分析报告中是否存在与筛选条件匹配的指标步骤,直至输出符合输出条件的样本组为止。实现了在样本量巨大、沙箱资源和时间均有限的情况下,降低样本的分析精度,合理利用沙箱资源。
-
公开(公告)号:CN115935353A
公开(公告)日:2023-04-07
申请号:CN202211666495.2
申请日:2022-12-23
Applicant: 北京安天网络安全技术有限公司
IPC: G06F21/56
Abstract: 本发明涉及数据处理领域,特别是涉及一种目标恶意软件的检测方法、装置、存储介质及电子设备。该方法包括:获取目标操作系统中的每一系统调用接口对应的内核支持函数的内存地址;根据目标处理器架构类型、系统调用接口的数量和若干内存地址,在第一类别标识和第二类别标识中确定出目标类别标识,并在若干系统调用接口对应的系统调用接口标识和预设标识中确定出目标标识;目标处理器架构类型为目标操作系统对应的处理器架构的类型;第一类别标识用于表示目标操作系统已被目标恶意软件攻击,第二类别标识用于表示目标操作系统未被目标恶意软件攻击;目标标识为系统调用接口标识或预设标识。由此,可以提高对目标恶意软件进行检测的检测结果准确度。
-
公开(公告)号:CN108875363A
公开(公告)日:2018-11-23
申请号:CN201711498890.3
申请日:2017-12-29
Applicant: 北京安天网络安全技术有限公司
Abstract: 本发明的实施例公开一种加速虚拟执行的方法、装置、电子设备及存储介质,涉及计算机安全领域,能够提高现有技术中虚拟执行的效率。本发明实施例提供一种加速虚拟执行的方法,包括:每次调用应用程序的调用接口API时,将第一指令序列与指令知识库中的目标指令序列进行模式匹配搜索;当匹配成功时,根据所述目标指令序列与执行结果的对应关系,获取与所述第一指令序列对应的执行结果;根据所述执行结果,直接修改根据所述第一指令序列操作发生变化的寄存器。
-
Patent Agency Ranking
公开(公告)号:CN115935352A
公开(公告)日:2023-04-07
申请号:CN202211666375.2
申请日:2022-12-23
Applicant: 北京安天网络安全技术有限公司
IPC: G06F21/56
Abstract: 本发明涉及数据处理领域,特别是涉及一种检测目标恶意软件的方法、装置、存储介质及电子设备。该方法包括:将目标操作系统中的每一系统调用接口对应的内核支持函数均作为目标内核支持函数;获取每一目标内核支持函数对应的可执行文件的文件路径;可执行文件存储于目标操作系统所在的电子设备的存储内存中;目标内核支持函数是由其对应的可执行文件加载至电子设备的运行内存中得到的;若任一文件路径与内核存储路径不符合预设的相似条件,则将目标操作系统确定为已被目标恶意软件攻击的操作系统;内核存储路径为目标操作系统的内核在电子设备的存储内存中的存储路径。由此,可以提高对目标恶意软件进行检测的检测结果的准确度。
-
公开(公告)号:CN108874658A
公开(公告)日:2018-11-23
申请号:CN201711426404.7
申请日:2017-12-25
Applicant: 北京安天网络安全技术有限公司
IPC: G06F11/36
Abstract: 本发明实施例公开一种沙箱分析方法、装置、电子设备及存储介质,涉及信息安全技术领域,能够大大减少样本逃避检测的几率,有效提升沙箱检测能力。所述方法包括:运行输入沙箱的程序样本并监测所述程序样本运行中是否存在创建定时任务的操作;在所述程序样本运行中存在创建定时任务的操作的情况下,触发创建的所述定时任务提前执行。本发明可用于沙箱分析中。
-
公开(公告)号:CN115935351A
公开(公告)日:2023-04-07
申请号:CN202211659285.0
申请日:2022-12-22
Applicant: 北京安天网络安全技术有限公司
Abstract: 本发明提供了一种文件隐藏rootkit检测方法及装置,方法包括:基于待检测系统对外提供的外部接口,通过遍历方式获取所述待检测系统表层的磁盘文件的属性信息;基于待检测系统对内提供的内核接口,通过遍历方式获取所述待检测系统底层的磁盘文件的属性信息;基于获取的磁盘文件的属性信息,比对底层相对于表层的磁盘文件中是否存在差异文件;根据比对结果确定是否检测到rootkit。本方案,能够准确的检测出运行时文件隐藏的rootkit。
-
公开(公告)号:CN115795453A
公开(公告)日:2023-03-14
申请号:CN202211659322.8
申请日:2022-12-22
Applicant: 北京安天网络安全技术有限公司
Abstract: 本发明提供了一种信息隐藏rootkit检测方法及装置,方法包括:基于待检测系统的系统内核,确定正在运行的项目信息;基于待检测系统的内存数据,确定正在运行的项目信息;比对内存数据相对于系统内核确定的项目信息中是否存在差异项;根据比对结果确定是否检测到rootkit。本方案,将待检测系统的系统内核和内存数据分别作为两个数据源,从两个数据源中分别确定正在运行的项目信息,由于rootkit在运行时可以做到系统内核的信息隐藏,但在内存中不可能做到完全隐藏,因此通过比对内存数据相对于系统内核确定的项目信息中是否存在差异项,以此来确定是否准确的检测运行时信息隐藏的rootkit。
-
公开(公告)号:CN108875363B
公开(公告)日:2021-04-30
申请号:CN201711498890.3
申请日:2017-12-29
Applicant: 北京安天网络安全技术有限公司
Abstract: 本发明的实施例公开一种加速虚拟执行的方法、装置、电子设备及存储介质,涉及计算机安全领域,能够提高现有技术中虚拟执行的效率。本发明实施例提供一种加速虚拟执行的方法,包括:每次调用应用程序的调用接口API时,将第一指令序列与指令知识库中的目标指令序列进行模式匹配搜索;当匹配成功时,根据所述目标指令序列与执行结果的对应关系,获取与所述第一指令序列对应的执行结果;根据所述执行结果,直接修改根据所述第一指令序列操作发生变化的寄存器。
-
-
-
-
-
-
-
Search Results
8
records
(took 0.025 seconds)
