发明名称 |
探测程序样本危险行为的方法及装置 |
摘要 |
本发明涉及网络通信技术领域,其公开了一种探测程序样本危险行为的方法及相应的装置。该方法包括:检测程序样本是否具有查找攻击点的第一可疑行为,并在检测到第一可疑行为的前提下,监测程序样本是否执行对象比较的第二可疑行为;当监测到第二可疑行为时,确定程序样本执行第二可疑行为时所比较的对象是否与预先存储的黑名单中的内容匹配,黑名单中预先存储有被攻击对象的名称;当确定程序样本所比较的对象与预先存储的黑名单中的内容匹配时,确定程序样本的行为是危险行为。由此解决了现有技术中仅通过二进制文件进行判断时存在的容易误报及漏报的问题,取得了能够准确可靠地识别出危险行为的有益效果。 |
申请公布号 |
CN103116724B |
申请公布日期 |
2015.08.12 |
申请号 |
CN201310081869.9 |
申请日期 |
2013.03.14 |
申请人 |
北京奇虎科技有限公司;奇智软件(北京)有限公司 |
发明人 |
邢超 |
分类号 |
G06F21/56(2013.01)I |
主分类号 |
G06F21/56(2013.01)I |
代理机构 |
北京市浩天知识产权代理事务所(普通合伙) 11276 |
代理人 |
宋菲;刘云贵 |
主权项 |
一种探测程序样本危险行为的方法,包括:检测程序样本是否具有查找攻击点的第一可疑行为,并在检测到所述第一可疑行为的前提下,监测程序样本是否执行对象比较的第二可疑行为;当监测到所述第二可疑行为时,确定程序样本执行第二可疑行为时所比较的对象是否与预先存储的黑名单中的内容匹配,所述黑名单中预先存储有被攻击对象的名称;当确定程序样本所比较的对象与预先存储的黑名单中的内容匹配时,确定程序样本的行为是危险行为;其中,所述第一可疑行为是枚举系统进程的行为,则所述检测程序样本是否具有查找攻击点的第一可疑行为的步骤进一步包括:分别对程序样本的第一应用程序接口和第二应用程序接口进行监测,以确定程序样本是否枚举系统进程,其中,所述第一应用程序接口用于通过返回句柄值的方式枚举系统进程,所述第二应用程序接口用于通过关闭所述句柄值的方式关闭枚举的系统进程。 |
地址 |
100088 北京市西城区新街口外大街28号D座112室(德胜园区) |