公开(公告)号：CN106560831A

公开(公告)日：2017-04-12

申请号：CN201511015285.7

申请日：2015-12-31

Applicant: 哈尔滨安天科技股份有限公司

Inventor： 康学斌 ,  周奋彦 ,  肖新光

IPC: G06F21/55 ,  G06F21/56

CPC classification number: G06F21/554 ,  G06F21/566

Abstract: 本发明提出一种恶意代码绕过主动防御的发现方法及系统，包括：开启主动防御，并同时扫描系统关键位置；记录可疑代码运行前系统关键位置的内容及键值；运行可疑代码，得到主动防御的监控结果；再次扫描系统关键位置，记录可疑代码运行后系统关键位置的内容及键值；对比可疑代码运行前与运行后系统关键位置的内容及键值变化情况，得到新增威胁；比较主动防御的检测结果与新增威胁，判断两者是否相同，如果相同，则不存在新增的绕过主动防御的恶意代码，否则自动化发现新增的绕过主动防御的恶意代码。通过本发明的方法实现了将人工才能够发现的绕过主动防御的情况自动化检测。

公开(公告)号：CN106560831B

公开(公告)日：2019-07-02

申请号：CN201511015285.7

申请日：2015-12-31

Applicant: 哈尔滨安天科技股份有限公司

Inventor： 康学斌 ,  周奋彦 ,  肖新光

IPC: G06F21/55 ,  G06F21/56

Abstract: 本发明提出一种恶意代码绕过主动防御的发现方法及系统，包括：开启主动防御，并同时扫描系统关键位置；记录可疑代码运行前系统关键位置的内容及键值；运行可疑代码，得到主动防御的监控结果；再次扫描系统关键位置，记录可疑代码运行后系统关键位置的内容及键值；对比可疑代码运行前与运行后系统关键位置的内容及键值变化情况，得到新增威胁；比较主动防御的检测结果与新增威胁，判断两者是否相同，如果相同，则不存在新增的绕过主动防御的恶意代码，否则自动化发现新增的绕过主动防御的恶意代码。通过本发明的方法实现了将人工才能够发现的绕过主动防御的情况自动化检测。