-
公开(公告)号:CN105550575B
公开(公告)日:2018-10-02
申请号:CN201510881945.3
申请日:2015-12-03
Applicant: 北京神州绿盟信息安全科技股份有限公司 , 北京神州绿盟科技有限公司
IPC: G06F21/53
Abstract: 本发明公开了一种未导出的函数地址和数据结构偏移的获取方法及装置,用以实现未导出的函数地址和数据结构偏移的自动获取,以解决现有技术中靠人工获取未导出的函数地址和数据结构偏移所造成的人力浪费问题,同时提高系统的支持效率。其中,所述方法包括:当待监控系统的内核执行到断点时,调用控制函数,通过所述控制函数找出与所述指定函数存在访问关系的所述未导出的函数地址和/或数据结构偏移的函数,获取所述未导出的函数地址和/或数据结构偏移的函数的数据属性;其中所述数据属性是所述未导出的函数地址和/或数据结构偏移的属性信息;所述内核根据所述数据属性,确定所述未导出的函数地址和/或数据结构偏移。
-
公开(公告)号:CN103064687A
公开(公告)日:2013-04-24
申请号:CN201210587608.X
申请日:2012-12-28
Applicant: 北京神州绿盟信息安全科技股份有限公司 , 北京神州绿盟科技有限公司
IPC: G06F9/44
Abstract: 本发明公开了一种程序入口点OEP的确定方法及装置,该方法包括:记录加壳程序运行过程中产生的数据改写信息,所述数据改写信息包括数据改写地址和数据改写时间;根据记录的数据改写信息确定所述加壳程序运行过程中进入后直到结束没有离开的内存区域;获取记录每条数据改写信息后所述内存区域中每个内存地址的数据,并根据获取的数据计算在对应的数据改写信息中包括的数据改写时间的所述内存区域的熵值;获取熵值开始大于等于设定阈值的数据改写时间对应的数据改写地址为所述加壳程序对应的原始程序的OEP。该方案可以适用于确定各种加壳程序对应的原始程序的OEP,方法简单,效率高。
-
公开(公告)号:CN103077029B
公开(公告)日:2016-07-13
申请号:CN201210592469.X
申请日:2012-12-28
Applicant: 北京神州绿盟信息安全科技股份有限公司 , 北京神州绿盟科技有限公司
IPC: G06F9/44
Abstract: 本发明公开了一种导入表的修复方法及装置,该方法包括:记录运行加壳程序过程中产生的数据改写信息和模块加载信息;在确定加壳程序对应的原始程序的OEP后,根据数据改写时间、数据改写地址和设定组合规则将改写数据进行组合,根据模块加载信息和导入表格式在组合后的改写数据中搜寻待选导入表;若搜到,确定每个待选导入表对应的导入地址表,获取在到达OEP的时刻存在于内存中、且内存地址最小的导入地址表,将获取的导入地址表对应的待选导入表作为加壳程序对应的原始程序的导入表;若搜不到,根据记录的数据改写信息重建加壳程序对应的原始程序的导入表。该方案可以适用于修复各种加壳程序对应的原始程序的导入表,方法简单,修复效率高。
-
公开(公告)号:CN102999374B
公开(公告)日:2016-05-25
申请号:CN201210530485.6
申请日:2012-12-10
Applicant: 北京神州绿盟信息安全科技股份有限公司 , 北京神州绿盟科技有限公司
IPC: G06F9/455
Abstract: 本发明公开了一种基于虚拟机的信息记录方法,该方法包括:虚拟机运行选定程序时,根据所述选定程序中的跳转指令分割所述选定程序,得到若干代码块;以及在执行代码块的过程中,所述虚拟机监控事件发生,并按照事件发生的先后顺序记录事件标识和事件信息,所述事件信息包括:创建的线程或进程信息、加载的模块信息、进程分配的堆信息、进程创建的栈信息、数据改写信息、代码块信息、循环次数信息、新栈顶的位置信息、函数调用信息、函数返回信息、以及中央处理器CPU异常信息中之一或组合。该方案中记录信息的方式大大提高了记录效率,并且记录文件非常小,节省了存储空间;能够为后续信息分析提供更好的帮助。
-
公开(公告)号:CN105550575A
公开(公告)日:2016-05-04
申请号:CN201510881945.3
申请日:2015-12-03
Applicant: 北京神州绿盟信息安全科技股份有限公司 , 北京神州绿盟科技有限公司
IPC: G06F21/53
CPC classification number: G06F21/53 , G06F2221/033
Abstract: 本发明公开了一种未导出的函数地址和数据结构偏移的获取方法及装置,用以实现未导出的函数地址和数据结构偏移的自动获取,以解决现有技术中靠人工获取未导出的函数地址和数据结构偏移所造成的人力浪费问题,同时提高系统的支持效率。其中,所述方法包括:当待监控系统的内核执行到断点时,调用控制函数,通过所述控制函数找出与所述指定函数存在访问关系的所述未导出的函数地址和/或数据结构偏移的函数,获取所述未导出的函数地址和/或数据结构偏移的函数的数据属性;其中所述数据属性是所述未导出的函数地址和/或数据结构偏移的属性信息;所述内核根据所述数据属性,确定所述未导出的函数地址和/或数据结构偏移。
-
Patent Agency Ranking
公开(公告)号:CN103064687B
公开(公告)日:2016-02-24
申请号:CN201210587608.X
申请日:2012-12-28
Applicant: 北京神州绿盟信息安全科技股份有限公司 , 北京神州绿盟科技有限公司
IPC: G06F9/44
Abstract: 本发明公开了一种程序入口点OEP的确定方法及装置,该方法包括:记录加壳程序运行过程中产生的数据改写信息,所述数据改写信息包括数据改写地址和数据改写时间;根据记录的数据改写信息确定所述加壳程序运行过程中进入后直到结束没有离开的内存区域;获取记录每条数据改写信息后所述内存区域中每个内存地址的数据,并根据获取的数据计算在对应的数据改写信息中包括的数据改写时间的所述内存区域的熵值;获取熵值开始大于等于设定阈值的数据改写时间对应的数据改写地址为所述加壳程序对应的原始程序的OEP。该方案可以适用于确定各种加壳程序对应的原始程序的OEP,方法简单,效率高。
-
公开(公告)号:CN103164649A
公开(公告)日:2013-06-19
申请号:CN201310052560.7
申请日:2013-02-18
Applicant: 北京神州绿盟信息安全科技股份有限公司 , 北京神州绿盟科技有限公司
IPC: G06F21/50
Abstract: 本发明公开了一种进程行为分析方法及系统,其中进程行为分析方法,包括:获取对预设的敏感进程进行监控的监控记录数据;根据所述监控记录数据模拟重现监控过程中的句柄、进程和线程,获取分别与所述句柄、进程和线程对应的虚拟表项,所述虚拟表项记录敏感进程创建的句柄、进程和线程及对应的属性;设定敏感进程的相关进程,根据所述虚拟表项将相关进程对应的句柄、进程和线程操作及对应的属性关联到敏感进程的进程行为分析结果中。本发明对与一个进程相关的所有进程的行为进行全面地分析,提高进程行为分析的质量效率。
-
公开(公告)号:CN103019740A
公开(公告)日:2013-04-03
申请号:CN201210587722.2
申请日:2012-12-28
Applicant: 北京神州绿盟信息安全科技股份有限公司 , 北京神州绿盟科技有限公司
Abstract: 本发明公开了一种获取导入表和重定位表的方法及装置,该方法包括:记录运行加壳程序过程中产生的数据改写信息,所述数据改写信息包括数据改写地址、改写数据和数据改写时间;在确定所述加壳程序对应的原始程序的入口点OEP后,在记录的数据改写信息中,将数据改写时间连续且数据改写地址连续的数据改写信息所对应的改写数据进行组合;和/或,在记录的数据改写信息中,将数据改写时间连续、至少两个连续的数据改写地址循环的数据改写信息所对应的改写数据进行组合;逐一分析组合后的改写数据来获取所述加壳程序对应的原始程序的导入表和重定位表。该方案减少了耗时,提高了效率。
-
公开(公告)号:CN111064731A
公开(公告)日:2020-04-24
申请号:CN201911342755.9
申请日:2019-12-23
Applicant: 北京神州绿盟信息安全科技股份有限公司 , 北京神州绿盟科技有限公司
IPC: H04L29/06
Abstract: 本发明公开了一种浏览器请求的访问权限的识别方法、识别装置及终端,该方法包括:识别装置根据终端的系统信息,计算标识系统信息的第一AID;根据系统信息和终端的操作系统的session信息的校验值,对系统信息和session信息进行权力标识,得到标识浏览器请求的访问权限的权力标识信息;根据浏览器请求的HTTP/HTTPS协议的Header和权力标识信息,识别浏览器请求的访问权限;Header包括校验值、第一AID和session信息。通过这种方式,识别装置可以在不借助于任何设备的前提下,对终端的操作者、系统应用等属性进行合规性评估,从而可以对终端的认证做到精准地授权访问权限,提高了网络的安全性。
-
公开(公告)号:CN110086661A
公开(公告)日:2019-08-02
申请号:CN201910311362.5
申请日:2019-04-18
Applicant: 北京神州绿盟信息安全科技股份有限公司 , 北京神州绿盟科技有限公司
Abstract: 本申请公开一种识别虚拟终端的方法及装置,属于虚拟化技术领域,该方法包括:接收虚拟终端发送的数据包,若确定数据包中未携带约定形式的标识信息,则生成用于识别虚拟终端的标识信息,将标识信息发送给虚拟终端,并指示虚拟终端在下一次发送的数据包中携带该标识信息;若确定数据包中携带有约定形式的标识信息,则根据该标识信息识别虚拟终端,这样,不需要提前配置每个虚拟终端的标识,也不需要借助于第三方设备,仅凭与虚拟终端的通信就可识别出虚拟终端,识别方法较简单、且较通用,更适用于在复杂网络环境中对虚拟终端进行管理。
-
-
-
-
-
-
-
-
-
Search Results
41
records
(took 0.045 seconds)
