发明名称 |
一种恶意代码绕过主动防御的发现方法及系统 |
摘要 |
本发明提出一种恶意代码绕过主动防御的发现方法及系统,包括:开启主动防御,并同时扫描系统关键位置;记录可疑代码运行前系统关键位置的内容及键值;运行可疑代码,得到主动防御的监控结果;再次扫描系统关键位置,记录可疑代码运行后系统关键位置的内容及键值;对比可疑代码运行前与运行后系统关键位置的内容及键值变化情况,得到新增威胁;比较主动防御的检测结果与新增威胁,判断两者是否相同,如果相同,则不存在新增的绕过主动防御的恶意代码,否则自动化发现新增的绕过主动防御的恶意代码。通过本发明的方法实现了将人工才能够发现的绕过主动防御的情况自动化检测。 |
申请公布号 |
CN106560831A |
申请公布日期 |
2017.04.12 |
申请号 |
CN201511015285.7 |
申请日期 |
2015.12.31 |
申请人 |
哈尔滨安天科技股份有限公司 |
发明人 |
康学斌;周奋彦;肖新光 |
分类号 |
G06F21/55(2013.01)I;G06F21/56(2013.01)I |
主分类号 |
G06F21/55(2013.01)I |
代理机构 |
|
代理人 |
|
主权项 |
一种恶意代码绕过主动防御的发现方法,其特征在于,包括:开启主动防御,并同时扫描系统关键位置;记录可疑代码运行前系统关键位置的内容及键值;运行可疑代码,得到主动防御的监控结果;再次扫描系统关键位置,记录可疑代码运行后系统关键位置的内容及键值;对比可疑代码运行前与运行后系统关键位置的内容及键值变化情况,得到新增威胁;比较主动防御的检测结果与新增威胁,判断两者是否相同,如果相同,则不存在新增的绕过主动防御的恶意代码,否则自动化发现新增的绕过主动防御的恶意代码。 |
地址 |
150090 黑龙江省哈尔滨市开发区南岗集中区红旗大街162号506室 |