公开(公告)号：CN105550575B

公开(公告)日：2018-10-02

申请号：CN201510881945.3

申请日：2015-12-03

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 刘业欣 ,  刘海霞

IPC: G06F21/53

Abstract: 本发明公开了一种未导出的函数地址和数据结构偏移的获取方法及装置，用以实现未导出的函数地址和数据结构偏移的自动获取，以解决现有技术中靠人工获取未导出的函数地址和数据结构偏移所造成的人力浪费问题，同时提高系统的支持效率。其中，所述方法包括：当待监控系统的内核执行到断点时，调用控制函数，通过所述控制函数找出与所述指定函数存在访问关系的所述未导出的函数地址和/或数据结构偏移的函数，获取所述未导出的函数地址和/或数据结构偏移的函数的数据属性；其中所述数据属性是所述未导出的函数地址和/或数据结构偏移的属性信息；所述内核根据所述数据属性，确定所述未导出的函数地址和/或数据结构偏移。

公开(公告)号：CN103064687A

公开(公告)日：2013-04-24

申请号：CN201210587608.X

申请日：2012-12-28

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 陈锦 ,  刘业欣

IPC: G06F9/44

Abstract: 本发明公开了一种程序入口点OEP的确定方法及装置，该方法包括：记录加壳程序运行过程中产生的数据改写信息，所述数据改写信息包括数据改写地址和数据改写时间；根据记录的数据改写信息确定所述加壳程序运行过程中进入后直到结束没有离开的内存区域；获取记录每条数据改写信息后所述内存区域中每个内存地址的数据，并根据获取的数据计算在对应的数据改写信息中包括的数据改写时间的所述内存区域的熵值；获取熵值开始大于等于设定阈值的数据改写时间对应的数据改写地址为所述加壳程序对应的原始程序的OEP。该方案可以适用于确定各种加壳程序对应的原始程序的OEP，方法简单，效率高。

公开(公告)号：CN102075508A

公开(公告)日：2011-05-25

申请号：CN201010271811.7

申请日：2010-09-02

Applicant: 北京神州绿盟信息安全科技股份有限公司

Inventor： 刘业欣

IPC: H04L29/06

Abstract: 本发明公开了一种针对网络协议的漏洞挖掘系统，包括：根据网络协议进行通信的客户端和服务端；中间人控制器，对客户端和服务端之间的通信进行监控，并捕获和修改通信数据以对客户端或服务端进行漏洞挖掘；以及客户端控制器和/或服务端控制器，其中客户端控制器对客户端进行控制并监视客户端的运行状态，以及服务端控制器对所述服务端进行控制并监视所述服务端的运行状态，其中当客户端处理由中间人控制器所修改的通信数据而导致客户端运行状态异常时，重新启动客户端，以及当服务端处理由中间人控制器所修改的通信数据而导致服务端运行状态异常时，重新启动服务端。本发明还公开了适于在漏洞挖掘系统中运行的漏洞挖掘方法。

公开(公告)号：CN103077029B

公开(公告)日：2016-07-13

申请号：CN201210592469.X

申请日：2012-12-28

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 陈锦 ,  刘业欣

IPC: G06F9/44

Abstract: 本发明公开了一种导入表的修复方法及装置，该方法包括：记录运行加壳程序过程中产生的数据改写信息和模块加载信息；在确定加壳程序对应的原始程序的OEP后，根据数据改写时间、数据改写地址和设定组合规则将改写数据进行组合，根据模块加载信息和导入表格式在组合后的改写数据中搜寻待选导入表；若搜到，确定每个待选导入表对应的导入地址表，获取在到达OEP的时刻存在于内存中、且内存地址最小的导入地址表，将获取的导入地址表对应的待选导入表作为加壳程序对应的原始程序的导入表；若搜不到，根据记录的数据改写信息重建加壳程序对应的原始程序的导入表。该方案可以适用于修复各种加壳程序对应的原始程序的导入表，方法简单，修复效率高。

公开(公告)号：CN102999374B

公开(公告)日：2016-05-25

申请号：CN201210530485.6

申请日：2012-12-10

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 陈锦 ,  刘业欣

IPC: G06F9/455

Abstract: 本发明公开了一种基于虚拟机的信息记录方法，该方法包括：虚拟机运行选定程序时，根据所述选定程序中的跳转指令分割所述选定程序，得到若干代码块；以及在执行代码块的过程中，所述虚拟机监控事件发生，并按照事件发生的先后顺序记录事件标识和事件信息，所述事件信息包括：创建的线程或进程信息、加载的模块信息、进程分配的堆信息、进程创建的栈信息、数据改写信息、代码块信息、循环次数信息、新栈顶的位置信息、函数调用信息、函数返回信息、以及中央处理器CPU异常信息中之一或组合。该方案中记录信息的方式大大提高了记录效率，并且记录文件非常小，节省了存储空间；能够为后续信息分析提供更好的帮助。

公开(公告)号：CN105550575A

公开(公告)日：2016-05-04

申请号：CN201510881945.3

申请日：2015-12-03

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 刘业欣 ,  刘海霞

IPC: G06F21/53

CPC classification number: G06F21/53 ,  G06F2221/033

Abstract: 本发明公开了一种未导出的函数地址和数据结构偏移的获取方法及装置，用以实现未导出的函数地址和数据结构偏移的自动获取，以解决现有技术中靠人工获取未导出的函数地址和数据结构偏移所造成的人力浪费问题，同时提高系统的支持效率。其中，所述方法包括：当待监控系统的内核执行到断点时，调用控制函数，通过所述控制函数找出与所述指定函数存在访问关系的所述未导出的函数地址和/或数据结构偏移的函数，获取所述未导出的函数地址和/或数据结构偏移的函数的数据属性；其中所述数据属性是所述未导出的函数地址和/或数据结构偏移的属性信息；所述内核根据所述数据属性，确定所述未导出的函数地址和/或数据结构偏移。

公开(公告)号：CN103064687B

公开(公告)日：2016-02-24

申请号：CN201210587608.X

申请日：2012-12-28

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 陈锦 ,  刘业欣

IPC: G06F9/44

Abstract: 本发明公开了一种程序入口点OEP的确定方法及装置，该方法包括：记录加壳程序运行过程中产生的数据改写信息，所述数据改写信息包括数据改写地址和数据改写时间；根据记录的数据改写信息确定所述加壳程序运行过程中进入后直到结束没有离开的内存区域；获取记录每条数据改写信息后所述内存区域中每个内存地址的数据，并根据获取的数据计算在对应的数据改写信息中包括的数据改写时间的所述内存区域的熵值；获取熵值开始大于等于设定阈值的数据改写时间对应的数据改写地址为所述加壳程序对应的原始程序的OEP。该方案可以适用于确定各种加壳程序对应的原始程序的OEP，方法简单，效率高。

公开(公告)号：CN103164649A

公开(公告)日：2013-06-19

申请号：CN201310052560.7

申请日：2013-02-18

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 刘业欣 ,  曲富平 ,  邱鹏

IPC: G06F21/50

Abstract: 本发明公开了一种进程行为分析方法及系统，其中进程行为分析方法，包括：获取对预设的敏感进程进行监控的监控记录数据；根据所述监控记录数据模拟重现监控过程中的句柄、进程和线程，获取分别与所述句柄、进程和线程对应的虚拟表项，所述虚拟表项记录敏感进程创建的句柄、进程和线程及对应的属性；设定敏感进程的相关进程，根据所述虚拟表项将相关进程对应的句柄、进程和线程操作及对应的属性关联到敏感进程的进程行为分析结果中。本发明对与一个进程相关的所有进程的行为进行全面地分析，提高进程行为分析的质量效率。

公开(公告)号：CN103019740A

公开(公告)日：2013-04-03

申请号：CN201210587722.2

申请日：2012-12-28

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 陈锦 ,  刘业欣

IPC: G06F9/44 ,  G06F21/10

Abstract: 本发明公开了一种获取导入表和重定位表的方法及装置，该方法包括：记录运行加壳程序过程中产生的数据改写信息，所述数据改写信息包括数据改写地址、改写数据和数据改写时间；在确定所述加壳程序对应的原始程序的入口点OEP后，在记录的数据改写信息中，将数据改写时间连续且数据改写地址连续的数据改写信息所对应的改写数据进行组合；和/或，在记录的数据改写信息中，将数据改写时间连续、至少两个连续的数据改写地址循环的数据改写信息所对应的改写数据进行组合；逐一分析组合后的改写数据来获取所述加壳程序对应的原始程序的导入表和重定位表。该方案减少了耗时，提高了效率。

公开(公告)号：CN111064731A

公开(公告)日：2020-04-24

申请号：CN201911342755.9

申请日：2019-12-23

Applicant: 北京神州绿盟信息安全科技股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 黄龙 ,  谭建伟 ,  刘业欣

IPC: H04L29/06

Abstract: 本发明公开了一种浏览器请求的访问权限的识别方法、识别装置及终端，该方法包括：识别装置根据终端的系统信息，计算标识系统信息的第一AID；根据系统信息和终端的操作系统的session信息的校验值，对系统信息和session信息进行权力标识，得到标识浏览器请求的访问权限的权力标识信息；根据浏览器请求的HTTP/HTTPS协议的Header和权力标识信息，识别浏览器请求的访问权限；Header包括校验值、第一AID和session信息。通过这种方式，识别装置可以在不借助于任何设备的前提下，对终端的操作者、系统应用等属性进行合规性评估，从而可以对终端的认证做到精准地授权访问权限，提高了网络的安全性。