-
公开(公告)号:CN110135153A
公开(公告)日:2019-08-16
申请号:CN201811295818.5
申请日:2018-11-01
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
Abstract: 本发明公开了一种软件的可信检测方法及装置,其中,方法包括以下步骤:检测待测可信软件是否可信;如果待测软件可信,则提取待测可信软件的PE文件中多个信标;检测多个信标是否均属于可信信标库,并在多个信标中任意一个信标不属于可信信标库时,判定待测可信软件被仿冒或篡改。该方法可以有效检测对可信软件的仿冒或篡改,尤其是可以准确检测内嵌恶意信标而实现恶意目的的行为,提高检测的准确性和可靠性,有效避免用户遭受恶意代码攻击,提高用户使用体验。
-
公开(公告)号:CN108073815A
公开(公告)日:2018-05-25
申请号:CN201711482612.9
申请日:2017-12-29
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
CPC classification number: G06F21/563 , G06F2221/033
Abstract: 本发明提出一种基于代码切片的家族判定方法、系统及存储介质,所述方法包括,获取待检测文件,并判断文件格式;根据文件格式,按照最小功能的结构化数据块对待检测文件进行文件切片;分别计算各切片的模糊哈希;利用相似度计算方法,将各切片的模糊哈希与恶意代码切片特征库进行关联分析,得到与待检测文件相似的已知样本;确定关联分析后相似度最高的已知样本;则所述待检测文件与所述相似度最高的已知样本为同一恶意代码家族。本发明不需要了解恶意代码特性及特征码额提取,仅通过了解文件结构,即可利用相似度判定恶意代码的家族。
-
公开(公告)号:CN106648676A
公开(公告)日:2017-05-10
申请号:CN201611237195.7
申请日:2016-12-28
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明提出一种利用运行时库识别编译器的方法及系统,提取已知不同类型及版本编译器编译的二进制文件的运行时库特征码,并构造成为编译器识别特征库;获取待识别的二进制可执行文件;检测待识别的二进制可执行文件入口点附近是否包含编译器识别特征库中的运行时库特征码,如果是,则所述待识别的二进制可执行文件编译器类型为可识别的,输出编译器信息;否则待识别的二进制可执行文件可能为压缩加密类型,如果是加密类型,则对待识别的二进制可执行文件解密处理后,再进行编译器识别;否则待识别的二进制可执行文件的编译器无法识别。本发明不需要对二进制可执行文件进行详细分析,只需查看程序入口点,即可确认详细的编译器类型及版本等信息。
-
公开(公告)号:CN106845227B
公开(公告)日:2019-09-13
申请号:CN201611228959.6
申请日:2016-12-27
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
Abstract: 本发明提出一种基于ragel状态机的恶意脚本检测方法及系统,通过解析已知恶意脚本文件,提取恶意字符串ragel正则表达式组成检测特征库源文件;并将所述检测特征库源文件编译为待检测脚本文件的语言;利用ragel正则状态机检测待检测脚本文件;判断待检测脚本文件与检测特征库源文件中的ragel正则表达式是否匹配,如果是,则所述待检测脚本文件为恶意,否则所述待检测脚本文件为普通文件。通过本发明的技术方案,无需每条特征都对待检测文件进行全文搜索,能够加快检测恶意脚本的速度,且本技术方案利用了ragel有限状态机编译器,可以生成不同目标语言下的检测源文件,适用面更广泛。
-
公开(公告)号:CN104965837B
公开(公告)日:2018-07-03
申请号:CN201410450799.4
申请日:2014-09-05
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F17/30
Abstract: 本发明提供了一种基于分块迭代的网络破损文件还原方法及系统,所述方法为,多次获取网络中来源于同一网络的样本集合,根据确定的初始分块数量,确定平均分块大小,并对样本集中的各文件进行分块,并计算各文件分块对应字节码序列的HASH值,循环逐层对比文件样本集中各文件同一层文件分块的HASH值,并确定当前层的还原文件块,根据各层确定的还原文件块,计算还原文件的破损率,如果破损率未超出预设值,则根据还原文件块对应的字节码序列还原文件。相应的本发明还提供了文件还原系统。通过本发明的方法及系统,能够对在网络传输过程中因传输问题导致破损的文件进行还原,最大程度的保证文件的完整性。
-
Patent Agency Ranking
公开(公告)号:CN108182364A
公开(公告)日:2018-06-19
申请号:CN201711479169.X
申请日:2017-12-29
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
CPC classification number: G06F21/563 , G06F2221/033
Abstract: 本发明提出了一种基于调用依赖关系识别攻击同源的方法及系统,所述方法包括:建立调用依赖关系特征库;分析未知攻击组织的恶意代码;提取未知攻击组织的恶意代码的调用依赖关系;将提取的调用依赖关系与调用依赖关系特征库进行关联分析;获取关联分析结果,并进行解析,获取与未知攻击组织的恶意代码具有依赖调用关系的已知攻击组织的恶意代码,则所述未知攻击组织的恶意代码与已知攻击组织的恶意代码同源。通过本发明的方法,能够通过恶意代码之间的调用关系进行同源分析,对于无网络行为的恶意代码同样具有识别能力。
-
公开(公告)号:CN106845227A
公开(公告)日:2017-06-13
申请号:CN201611228959.6
申请日:2016-12-27
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
Abstract: 本发明提出一种基于ragel状态机的恶意脚本检测方法及系统,通过解析已知恶意脚本文件,提取恶意字符串ragel正则表达式组成检测特征库源文件;并将所述检测特征库源文件编译为待检测脚本文件的语言;利用ragel正则状态机检测待检测脚本文件;判断待检测脚本文件与检测特征库源文件中的ragel正则表达式是否匹配,如果是,则所述待检测脚本文件为恶意,否则所述待检测脚本文件为普通文件。通过本发明的技术方案,无需每条特征都对待检测文件进行全文搜索,能够加快检测恶意脚本的速度,且本技术方案利用了ragel有限状态机编译器,可以生成不同目标语言下的检测源文件,适用面更广泛。
-
公开(公告)号:CN104965837A
公开(公告)日:2015-10-07
申请号:CN201410450799.4
申请日:2014-09-05
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F17/30
Abstract: 本发明提供了一种基于分块迭代的网络破损文件还原方法及系统,所述方法为,多次获取网络中来源于同一网络的样本集合,根据确定的初始分块数量,确定平均分块大小,并对样本集中的各文件进行分块,并计算各文件分块对应字节码序列的HASH值,循环逐层对比文件样本集中各文件同一层文件分块的HASH值,并确定当前层的还原文件块,根据各层确定的还原文件块,计算还原文件的破损率,如果破损率未超出预设值,则根据还原文件块对应的字节码序列还原文件。相应的本发明还提供了文件还原系统。通过本发明的方法及系统,能够对在网络传输过程中因传输问题导致破损的文件进行还原,最大程度的保证文件的完整性。
-
公开(公告)号:CN104966020B
公开(公告)日:2018-09-07
申请号:CN201410352804.8
申请日:2014-07-24
Applicant: 哈尔滨安天科技股份有限公司
Abstract: 本发明提供了一种基于特征向量的反病毒云检测方法及系统,所述方法通过提取客户端未检测出的文件指定位置的特征,组成特征向量,并将所述特征向量发送到云端进行检测,若云端检测为恶意,则将结果发送到客户端,并对待检测文件进行查杀处理,否则将所述待检测文件放行,并且云端特征库根据预设时间进行定期清理及更新。通过本发明的方法及系统,只需要在云端服务器部署病毒特征库,不需要对文件整体存储及检测,因此能够提高检测效率、快速响应的同时,减轻云端服务器的压力。
-
公开(公告)号:CN108171060A
公开(公告)日:2018-06-15
申请号:CN201711479172.1
申请日:2017-12-29
Applicant: 哈尔滨安天科技股份有限公司
IPC: G06F21/56
CPC classification number: G06F21/563
Abstract: 本发明提出了一种基于信息熵识别加密变形脚本的方法、系统及存储介质,所述方法包括:对待识别脚本进行代码过滤;计算过滤处理后脚本的信息熵;判断计算得到的信息熵是否大于预设阈值,如果是,则所述待识别脚本经过加密变形处理,否则,所述待识别脚本未经过加密变形处理。本发明还给出相应系统及存储介质。本发明实现了一种通用的方法,能够对加密变形脚本进行识别,为加密变形脚本的识别增加了普适性,不需要通过字符串的加密方式分别进行特征识别。
-
-
-
-
-
-
-
-
-
Search Results
13
records
(took 0.044 seconds)
