-
公开(公告)号:CN105718795B
公开(公告)日:2019-05-07
申请号:CN201510540091.2
申请日:2015-08-28
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明提供了一种Linux下基于特征码的恶意代码取证方法及系统,本方法主要通过已知恶意文件及非恶意文件,提取精确的特征码,将linux系统下的文件的特征进行白名单检测后,将未知文件与WM特征规则库进行多模匹配,检测出更详细精确的结果,并给出检测取证报告。本发明同样利用了linux中注册表和启动项等信息是以文件形式保存的特点,提取启动项信息、内存信息、进程信息等,能够对其进行检测,来检出系统中存在的恶意文件。
-
公开(公告)号:CN106570401A
公开(公告)日:2017-04-19
申请号:CN201611229093.0
申请日:2016-12-27
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
CPC classification number: G06F21/562
Abstract: 本发明公开了一种基于时间变化的恶意代码检测方法及系统,包括:获取用户唯一性的标识id,以及当前时间t;基于时间t、id变量的向量函数进行计算,产生向量集合;依据所述向量集合来识别恶意代码。解决现有技术中大部分安全防护产品都是通过识别恶意代码标识向量来对恶意代码进行识别,且每次对同一恶意代码的检测向量相同,这样很难抵抗黑客的持续试探、绕过的问题。
-
公开(公告)号:CN103544141B
公开(公告)日:2016-09-07
申请号:CN201210243966.9
申请日:2012-07-16
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F17/27
Abstract: 本发明公开了一种二进制数据中的字符串提取方法,包括首先从二进制数据中读取所有的可显示字符组成的字符串,然后将所提取的每个字符串拆分为可显示字符组合,计算获得字符组合的概率差异表之后,利用概率差异算法区分所有提取的字符串获得初步的有意义字符串和无意义字符串,并进一步通过熵值法去除不准确的有意义字符串则得到最终所提取的字符串结果。本发明还公开了一种二进制数据中的字符串提取系统。使用本发明的技术方案可以提取任意格式的二进制数据包括磁盘文件、磁盘镜像、网络数据等。同时可以提取人类可读的字符串,大大提高了提取字符串的效率。
-
公开(公告)号:CN105718793A
公开(公告)日:2016-06-29
申请号:CN201510619191.4
申请日:2015-09-25
Applicant: 哈尔滨安天科技股份有限公司
CPC classification number: G06F21/53 , G06F21/566 , G06F2221/033
Abstract: 本发明提出了基于修改沙箱环境防止恶意代码识别沙箱的方法及系统,通过获取用于检测沙箱环境的关键识别点,所述关键识别点包括系统信息、硬件信息及应用信息;并根据已知实体计算机的信息,修改或删除所述关键识别点后,再运行恶意代码样本,触发恶意代码。该方法能有效防止恶意代码探测识别出所在环境为沙箱,不进行代码的触发,无法进行代码的检测和监控的问题。通过在恶意代码样本运行前修改沙箱的环境,使恶意代码无法识别到沙箱,进行正常的运行,便于监测。
-
公开(公告)号:CN105512555A
公开(公告)日:2016-04-20
申请号:CN201410762181.1
申请日:2014-12-12
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明提出了一种基于文件字符串聚类的划分同源家族和变种的方法及系统,本发明通过获取目标文件的dump文件及API调用记录文件,并提取其字符串和API及参数信息,形成向量文件,计算器simhash值,与家族特征向量库中的已知家族及家族变种的中心距离相比较,如果小于预设值,则所述目标文件属于对应家族或家族变种,否则为新增的家族或家族变种。通过本发明,能够对大批量的未知目标文件进行家族归类,并能进一步对其变种进行划分,同时其形成的家族向量特征库可以用来对样本的家族及其变种进行判别。
-
Patent Agency Ranking
公开(公告)号:CN105488405A
公开(公告)日:2016-04-13
申请号:CN201410815171.X
申请日:2014-12-25
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
Abstract: 本发明公开了一种基于PDB调试信息的恶意代码分析方法,包括:提取恶意样本的PDB信息;拆分所述PDB信息,获取相关的统计信息;提取常用操作系统和常用软件的PDB信息,并拆分后生成白样本库;利用白样本库对所述统计信息进行过滤后生成黑样本库;输出白样本库和黑样本库用于恶意代码分析。本发明还公开了一种基于PDB调试信息的恶意代码分析系统。本发明所述技术方案通过获取恶意样本的PDB信息,对PDB信息进行拆分过滤后生成黑白样本库,从而辅助恶意代码分析。
-
公开(公告)号:CN105049273A
公开(公告)日:2015-11-11
申请号:CN201410731336.5
申请日:2014-12-05
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明提供了一种模拟网络活动检测木马的方法及系统,包括:在不同系统环境下运行已知木马程序,并根据其网络连接行为,模拟返回相应连接成功的信息,激发木马程序发出网络数据包;利用网络抓包工具,抓取所述木马程序在各系统环境下的网络通讯数据包,并对比得到各系统环境下相同的数据,作为所述已知木马程序的网络通讯协议特征;监控网络中的网络数据包,并与特征匹配,如果匹配,则判定为木马,报警并进行拦截;否则继续监控。通过本发明的方法,模拟控制端反馈的信息,解决了木马控制端不存活的情况,并能够解决通过普通网络特征监测对非活动的木马监测无效的问题。
-
公开(公告)号:CN106560831B
公开(公告)日:2019-07-02
申请号:CN201511015285.7
申请日:2015-12-31
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明提出一种恶意代码绕过主动防御的发现方法及系统,包括:开启主动防御,并同时扫描系统关键位置;记录可疑代码运行前系统关键位置的内容及键值;运行可疑代码,得到主动防御的监控结果;再次扫描系统关键位置,记录可疑代码运行后系统关键位置的内容及键值;对比可疑代码运行前与运行后系统关键位置的内容及键值变化情况,得到新增威胁;比较主动防御的检测结果与新增威胁,判断两者是否相同,如果相同,则不存在新增的绕过主动防御的恶意代码,否则自动化发现新增的绕过主动防御的恶意代码。通过本发明的方法实现了将人工才能够发现的绕过主动防御的情况自动化检测。
-
公开(公告)号:CN105512555B
公开(公告)日:2018-05-25
申请号:CN201410762181.1
申请日:2014-12-12
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明提出了一种基于文件字符串聚类的划分同源家族和变种的方法及系统,本发明通过获取目标文件的dump文件及API调用记录文件,并提取其字符串和API及参数信息,形成向量文件,计算器simhash值,与家族特征向量库中的已知家族及家族变种的中心距离相比较,如果小于预设值,则所述目标文件属于对应家族或家族变种,否则为新增的家族或家族变种。通过本发明,能够对大批量的未知目标文件进行家族归类,并能进一步对其变种进行划分,同时其形成的家族向量特征库可以用来对样本的家族及其变种进行判别。
-
公开(公告)号:CN105718798A
公开(公告)日:2016-06-29
申请号:CN201510506490.7
申请日:2015-08-18
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
CPC classification number: G06F21/566
Abstract: 本发明提出一种基于私有网络信息放大的恶意代码自动分析方法及系统,通过公有网络的检测系统对文件进行检测,如果判定所述文件为恶意,则进行文件拦截;如果非恶意,则允许文件进入内网用户终端;在利用私有网络检测系统获取并判断用户终端收到的文件来源是否是已知的,如果是未知文件,则将所述文件进行动态分析,如果为恶意则对文件进行信息放大;并将放大后的信息部署到私有网络检测系统中,用于对内网进行追踪检测。本发明能够在保护用户的隐私安全的前提下,保护用户的信息安全,并通过自学习方式提升网络的防御能力,提升用户所在网络环境的安全。
-
-
-
-
-
-
-
-
-
Search Results
35
records
(took 0.047 seconds)
