公开(公告)号：CN107729748A

公开(公告)日：2018-02-23

申请号：CN201710855521.9

申请日：2017-09-20

申请人： 杭州安恒信息技术有限公司

发明人： 沈伟 ,  范渊 ,  李凯 ,  莫金友

IPC分类号： G06F21/53 ,  G06F21/56

摘要： 本发明涉及恶意代码检测领域，旨在提供一种描述文件在沙箱中运行轨迹图的方法。该种描述文件在沙箱中运行轨迹图的方法包括步骤：将文件置于沙箱中进行检测，将HOOK到的行为、检测到的异常行为抓取下来，并保存运行过程中释放的文件；分析HOOK到的行为，确认是否有风险；静态扫描释放的文件，区分是否安全；将检测到的风险和提取出的行为进行关联，将上述行为按照所在进程进行分类，并将同一进程产生的行为进行排序，依次描述该进程的行为及其相关进程，形成运行轨迹图。本发明能够清晰直观的看到文件在沙箱中运行的轨迹，可以快速理清进程之间的关系，每个进程的具体行为以及产生恶意行为的具体进程。

公开(公告)号：CN107395650A

公开(公告)日：2017-11-24

申请号：CN201710802842.2

申请日：2017-09-07

申请人： 杭州安恒信息技术有限公司

发明人： 沈伟 ,  范渊 ,  李凯 ,  黄进

IPC分类号： H04L29/06 ,  H04L29/12

摘要： 本发明实施例提供的基于沙箱检测文件识别木马回连方法及装置，属于网络安全检测领域。该方法通过捕获流经网卡的IP协议流量数据包，从而解析所述流量数据包，并分离所述流量数据包所携带的文件，再基于沙箱检测所述文件，捕获网络行为，再通过判断所述网络行为是否是恶意行为来识别所述网络行为所对应的域名和互联网协议地址是否为回连域名，进而通过回连域名准确识别回连行为，并能获取被木马感染的设备IP；同时能识别一些可疑的回连域名供安全人员进一步分析，进一步更快更高效的识别回连域名。