-
公开(公告)号:CN104102879B
公开(公告)日:2016-08-17
申请号:CN201310130639.7
申请日:2013-04-15
Applicant: 腾讯科技(深圳)有限公司 , 南开大学
CPC classification number: G06F21/566 , G06F21/567 , G06F2221/033
Abstract: 本发明实施例公开了一种消息格式的提取方法和装置,以方法的实现为例,包括:捕获恶意程序客户端的执行轨迹;对所述执行轨迹中的输入消息处理过程进行分析,提取出恶意程序通信协议的输入消息格式。以上方法,针对于恶意程序客户端的执行轨迹来进行分析,可以实现恶意程序通信协议的输入消息格式的自动提取,那么不再依赖于人的手工操作,因此可以提升自动化程度降低对人经验依赖和人力成本,提升了提取效率;针对于恶意程序客户端的执行轨迹来进行分析可以提供系统级别的语义信息,实现细粒度的恶意代码分析,因此分析定位准确,降低了误报率。
-
公开(公告)号:CN103914652A
公开(公告)日:2014-07-09
申请号:CN201310007680.5
申请日:2013-01-09
Applicant: 腾讯科技(深圳)有限公司 , 南开大学
IPC: G06F21/56
CPC classification number: G06F21/566
Abstract: 一种恶意程序控制指令识别方法,包括:监控恶意程序的注入过程,获取注入进程和注入地址;监控与所述注入进程对应的输入数据,获取与所述输入数据对应的执行轨迹;对所述执行轨迹进行筛选,筛选得到与所述注入地址对应的执行轨迹;根据筛选得到的执行轨迹计算代码覆盖率,根据所述代码覆盖率定位对应控制指令判断逻辑的覆盖单元;根据所述对应控制指令判断逻辑的覆盖单元获取标准控制指令集。此外,还提供了一种恶意程序控制指令识别装置。上述恶意程序控制指令识别方法及装置能够提高控制指令识别的准确率。
-
公开(公告)号:CN103902895A
公开(公告)日:2014-07-02
申请号:CN201210568194.6
申请日:2012-12-24
Applicant: 腾讯科技(深圳)有限公司 , 南开大学
IPC: G06F21/56
CPC classification number: G06F21/566
Abstract: 本发明涉及一种僵尸网络控制协议的挖掘方法和装置。所述方法包括以下步骤:捕捉僵尸程序的执行轨迹;对所述执行轨迹进行代码块划分;统计所述执行轨迹对每个代码块的覆盖次数,计算得到每个代码块的覆盖率;对所述代码块的覆盖次数及覆盖率分析得到第一类代码块和第二类代码块;根据所述第一类代码块和第二类代码块在执行轨迹中定位可疑区域;对所述可疑区域进行分析提取出恶意控制命令及其对应的特定程序指令;引导所述恶意控制命令所对应的程序覆盖僵尸程序,得到僵尸网络的控制协议。上述僵尸网络控制协议的挖掘方法和装置,提高了分析的准确率,分析的更全面。此外,简化执行轨迹中的指令数目,大幅减小分析所需的时间复杂度和空间复杂度。
-
公开(公告)号:CN103269341A
公开(公告)日:2013-08-28
申请号:CN201310167166.8
申请日:2013-05-08
Applicant: 腾讯科技(深圳)有限公司 , 南开大学
IPC: H04L29/06
CPC classification number: G06F21/566 , H04L63/1416
Abstract: 本发明实施例公开了间谍程序的分析方法和计算机系统,应用于通信技术领域。计算机系统会先捕获执行间谍程序的进程的执行轨迹;然后从执行轨迹中提取出回传数据包操作的子程序,该回传数据包操作是计算机系统执行间谍程序的进程时传输数据包给控制主机的操作;最后分析回传数据包操作的子程序中包括的调用接口的信息中各个组成部分的语义信息并输出。这样可以确定出计算机系统在调用间谍程序与控制主机通信过程中的回传的数据包的具体格式,从而发掘出间谍程序的通信协议,用户就可以根据得到的通信协议重写间谍程序的控制命令以控制间谍程序的执行,从而可以避免用户信息的泄露。
-
公开(公告)号:CN103905391B
公开(公告)日:2018-01-30
申请号:CN201210576206.X
申请日:2012-12-26
Applicant: 腾讯科技(深圳)有限公司 , 南开大学
IPC: H04L29/06
Abstract: 本发明实施例公开了一种僵尸网络命令和控制协议的获取方法及装置,涉及信息技术领域,提升了僵尸网络命令和控制协议的获取效率,降低了获取僵尸网络命令和控制协议过程的成本。所述方法包括:首先获取僵尸网络程序执行过程中的执行轨迹信息,然后从所述执行轨迹信息中确定目标循环体,所述目标循环体为僵尸网络命令和控制协议所在的循环体,最后根据所述目标循环体获取僵尸网络命令和控制协议。
-
Patent Agency Ranking
公开(公告)号:CN103902895B
公开(公告)日:2017-07-07
申请号:CN201210568194.6
申请日:2012-12-24
Applicant: 腾讯科技(深圳)有限公司 , 南开大学
IPC: G06F21/56
Abstract: 本发明涉及一种僵尸网络控制协议的挖掘方法和装置。所述方法包括以下步骤:捕捉僵尸程序的执行轨迹;对所述执行轨迹进行代码块划分;统计所述执行轨迹对每个代码块的覆盖次数,计算得到每个代码块的覆盖率;对所述代码块的覆盖次数及覆盖率分析得到第一类代码块和第二类代码块;根据所述第一类代码块和第二类代码块在执行轨迹中定位可疑区域;对所述可疑区域进行分析提取出恶意控制命令及其对应的特定程序指令;引导所述恶意控制命令所对应的程序覆盖僵尸程序,得到僵尸网络的控制协议。上述僵尸网络控制协议的挖掘方法和装置,提高了分析的准确率,分析的更全面。此外,简化执行轨迹中的指令数目,大幅减小分析所需的时间复杂度和空间复杂度。
-
公开(公告)号:CN103269341B
公开(公告)日:2016-02-17
申请号:CN201310167166.8
申请日:2013-05-08
Applicant: 腾讯科技(深圳)有限公司 , 南开大学
IPC: H04L29/06
CPC classification number: G06F21/566 , H04L63/1416
Abstract: 本发明实施例公开了间谍程序的分析方法和计算机系统,应用于通信技术领域。计算机系统会先捕获执行间谍程序的进程的执行轨迹;然后从执行轨迹中提取出回传数据包操作的子程序,该回传数据包操作是计算机系统执行间谍程序的进程时传输数据包给控制主机的操作;最后分析回传数据包操作的子程序中包括的调用接口的信息中各个组成部分的语义信息并输出。这样可以确定出计算机系统在调用间谍程序与控制主机通信过程中的回传的数据包的具体格式,从而发掘出间谍程序的通信协议,用户就可以根据得到的通信协议重写间谍程序的控制命令以控制间谍程序的执行,从而可以避免用户信息的泄露。
-
公开(公告)号:CN103905391A
公开(公告)日:2014-07-02
申请号:CN201210576206.X
申请日:2012-12-26
Applicant: 腾讯科技(深圳)有限公司 , 南开大学
IPC: H04L29/06
Abstract: 本发明的实施例公开了一种僵尸网络命令和控制协议的获取方法及装置,涉及信息技术领域,提升了僵尸网络命令和控制协议的获取效率,降低了获取僵尸网络命令和控制协议过程的成本。所述方法包括:首先获取僵尸网络程序执行过程中的执行轨迹信息,然后从所述执行轨迹信息中确定目标循环体,所述目标循环体为僵尸网络命令和控制协议所在的循环体,最后根据所述目标循环体获取僵尸网络命令和控制协议。
-
公开(公告)号:CN103914652B
公开(公告)日:2018-05-22
申请号:CN201310007680.5
申请日:2013-01-09
Applicant: 腾讯科技(深圳)有限公司 , 南开大学
IPC: G06F21/56
Abstract: 一种恶意程序控制指令识别方法,包括:监控恶意程序的注入过程,获取注入进程和注入地址;监控与所述注入进程对应的输入数据,获取与所述输入数据对应的执行轨迹;对所述执行轨迹进行筛选,筛选得到与所述注入地址对应的执行轨迹;根据筛选得到的执行轨迹计算代码覆盖率,根据所述代码覆盖率定位对应控制指令判断逻辑的覆盖单元;根据所述对应控制指令判断逻辑的覆盖单元获取标准控制指令集。此外,还提供了一种恶意程序控制指令识别装置。上述恶意程序控制指令识别方法及装置能够提高控制指令识别的准确率。
-
公开(公告)号:CN104102879A
公开(公告)日:2014-10-15
申请号:CN201310130639.7
申请日:2013-04-15
Applicant: 腾讯科技(深圳)有限公司 , 南开大学
CPC classification number: G06F21/566 , G06F21/567 , G06F2221/033 , H04L63/145
Abstract: 本发明实施例公开了一种消息格式的提取方法和装置,以方法的实现为例,包括:捕获恶意程序客户端的执行轨迹;对所述执行轨迹中的输入消息处理过程进行分析,提取出恶意程序通信协议的输入消息格式。以上方法,针对于恶意程序客户端的执行轨迹来进行分析,可以实现恶意程序通信协议的输入消息格式的自动提取,那么不再依赖于人的手工操作,因此可以提升自动化程度降低对人经验依赖和人力成本,提升了提取效率;针对于恶意程序客户端的执行轨迹来进行分析可以提供系统级别的语义信息,实现细粒度的恶意代码分析,因此分析定位准确,降低了误报率。
-
-
-
-
-
-
-
-
-
Search Results
12
records
(took 0.054 seconds)
