[发明专利]一种检测未知恶意代码和二进制漏洞的方法有效
| 申请号: | 201310415916.9 | 申请日: | 2013-09-13 |
| 公开(公告)号: | CN104462962B | 公开(公告)日: | 2018-07-03 |
| 发明(设计)人: | 林榆坚 | 申请(专利权)人: | 北京安赛创想科技有限公司 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56 |
| 代理公司: | 北京国昊天诚知识产权代理有限公司 11315 | 代理人: | 许志勇 |
| 地址: | 100023 北京市海淀区清*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 未知恶意代码 沙箱 二进制 种检测 漏洞 内存监控单元 代码路径 分析系统 监控代码 可疑代码 强制执行 输出报警 系统还原 准确检测 木马 防攻击 还原点 检出率 可执行 能力强 虚拟机 重置 还原 延迟 载入 病毒 检测 记录 应用 | ||
1.一种检测未知恶意代码和二进制漏洞的方法,其特征在于,包括以下步骤:
S100基础搭建
即依次包括S101设置动态沙箱还原点;S102将代码载入动态沙箱;
S200检测
即依次包括S201利用路径执行技术在可疑代码中寻找所有的可执行路径;S202动态强制执行所有代码路径;S203内存监控单元介入,监控代码执行动作;S204分析系统状态,记录未知恶意代码和漏洞路径;S205输出报警;
S300系统还原,即重置沙箱,还原虚拟机;
其中,所述步骤S201即指将恶意程序全部拆分为树形结构,检测时不受程序逻辑关系限制,独立检测每一个拆分的分支程序,在遇到call指令生成子进程时,将子进程标记检测;如果判断为混淆程序则舍弃子进程,同时加强程序为恶意代码程序的可能性;将检测结果与路径树和拆分索引比对,定位恶意代码在程序中的位置,以便人工核实。
2.如权利要求1所述的检测未知恶意代码和二进制漏洞的方法,其特征在于:所述步骤S203即指将计算机操作系统在运行的过程中内容是完全一样的一部分空间作为虚拟机使用。
3.如权利要求1所述的检测未知恶意代码和二进制漏洞的方法,其特征在于:所述步骤S300即指在计算机中构造一个独立密闭的虚拟空间,空间中有真实计算机所有的全部环境,即可完整模拟一个计算机系统,使所有代码和程序的操作都在沙箱中运行,以避免真实机器受到损害;在真实环境中的计算机操作系统仍然正常运行的情况下,将所有运行在沙箱中的代码和程序对机器所做的所有操作都重定向到一部分特定的文件夹,模拟注册表、端口的修改;当检测完成后,虚拟的沙箱根据设置的还原点还原。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京安赛创想科技有限公司,未经北京安赛创想科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201310415916.9/1.html,转载请声明来源钻瓜专利网。
- 上一篇:基于穿行测试技术的信息安全审计实现方法及系统
- 下一篇:控制方法及装置
