CN101799855A - 一种基于ActiveX组件模拟的网页木马检测方法 - Google Patents
一种基于ActiveX组件模拟的网页木马检测方法 Download PDFInfo
- Publication number
- CN101799855A CN101799855A CN201010124674A CN201010124674A CN101799855A CN 101799855 A CN101799855 A CN 101799855A CN 201010124674 A CN201010124674 A CN 201010124674A CN 201010124674 A CN201010124674 A CN 201010124674A CN 101799855 A CN101799855 A CN 101799855A
- Authority
- CN
- China
- Prior art keywords
- component
- assembly
- webpage
- parameter
- object instance
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于ActiveX组件模拟的网页木马检测方法,其步骤包括:1)构造一个ActiveX组件M,其对象实例m用于模拟目标网页中缺失的组件N;2)编写一个动态链接库钩挂WINDOWS***中负责组件M创建的API,记录组件M的对象实例m的入口地址与组件N的组件名之间的对应关系;3)调用浏览器访问目标网页,当目标网页请求创建缺失的组件N时,由对象实例m将目标网页访问的组件名、组件中的函数以及参数信息记录到日志文件;4)解析日志文件,判定目标网页是否为网页木马。本发明的方法能够模拟可能存在漏洞的插件,可以触发网页木马更多的攻击行为;能够得到网页木马在ActiveX组件调用这一层的攻击行为。
Description
技术领域
本发明属于计算机安全技术领域,涉及一种网页木马的检测方法,尤其是一种利用特殊构造的ActiveX组件模拟网页浏览过程中试图访问的ActiveX组件,由此检测出网页是否存在木马的方法。
背景技术
网页木马是特殊构造的网页,当用户的浏览器解析执行这些网页时,操作***、浏览器及第三方组件中存在的漏洞将被利用,用户的计算机被植入木马、间谍软件、网络游戏盗号器等恶意可执行程序。
近年来,以网页木马为主的针对客户端的攻击逐渐增多,并在所有攻击案例中占据了很大的比重。因此,如何有效检测和防范网页木马已经成为学术界和工业界共同关注和研究的重要问题。网页木马具有更新频繁、变化快的特点,因此传统杀毒软件基于特征码匹配的检测方法对网页木马难以凑效。网页木马与正常网页的区别在于,网页木马执行期间会产生危害用户***的恶意行为。因此,网页木马检测的关键在于确认网页被浏览时是否会对用户的***造成损害。
网页木马的检测方法根据网页是否被执行可以划分为两类:静态检测与动态检测。静态检测方法往往使用某种方式对目标网页进行语法分析,由此得到浏览器执行目标网页时可能发生的行为。动态检测方法的基本思想是让目标网页在某个受控的环境中运行,由此得到浏览器执行目标网页时实际发生的行为。
静态检测方法具有资源消耗少、分析时间短等优点。入侵者为了保证网页木马的存活率,往往会采用加密、***干扰代码等手段对检测造成阻碍。这些对抗手段对静态检测方法的干扰比较严重。
动态检测方法的优势在于能够得到实际运行时刻的行为,检测的准确率很高。动态检测可以忽视网页木马中的加密等手段,直接得到网页木马实际产生的行为。动态检测方法最大的问题在于,难以构造全面的运行环境,为了使网页木马的行为充分展现出来,需要尽量满足网页木马执行的各种条件。例如,某个网页木马利用了暴风影音的某个漏洞进行攻击,为了使该网页木马展现出攻击行为,必须在运行环境中安装相应版本的暴风影音;如图1所示,为现有技术中网页创建ActiveX组件的情况,浏览器访问目标网页,当目标网页请求创建组件N的对象,如果该组件N确实存在,直接创建组件N的对象n,并返回对象n的入口地址,而当***中不存在该组件N时就会产生错误信息。
现有技术中的缺陷在于:在运行环境中安装大量的第三方浏览器组件对于构建动态检测环境来说是一个沉重的负担,而且组件之间的不兼容也会使检测环境变得不稳定,对检测结果造成影响,因此需要一种高效、准确的检测手段来检测出网页中存在的木马。
发明内容
由于网页木马主要通过利用AcitveX组件中的漏洞来进行攻击,其主要表现是将超长参数传递给ActiveX组件某个函数进行溢出攻击、将特殊构造的参数传递给组件的某个函数引发异常行为或者以某种特殊的顺序调用组件中的函数,因此本发明克服了现有技术中的缺点,提供了一种基于ActiveX组件模拟的网页木马检测方法,使用一个组件模拟网页木马试图创建的ActiveX组件,获取网页木马执行过程中访问的函数及参数,为网页木马检测提供依据,解决了动态检测运行环境需要安装大量第三方浏览器组件的问题。
本发明的技术方案概述如下:
一种基于ActiveX组件模拟的网页木马检测方法,其步骤包括:
1)构造一个ActiveX组件M,其对象实例m用于模拟目标网页中缺失的组件N;
2)编写一个动态链接库钩挂WINDOWS***中负责ActiveX组件M创建的API(应用程序编程接口),记录组件M的对象实例m的入口地址与组件N的组件名之间的对应关系;
3)调用浏览器访问目标网页,当目标网页请求创建缺失的组件N时,由对象实例m将目标网页访问的组件名、组件中的函数以及参数信息记录到日志文件;
4)解析日志文件,判定目标网页是否为网页木马。
所述步骤1)组件M的对象实例m的IDispatch接口能够模拟出组件N所有的成员函数和成员变量;
组件M的对象实例m的IDispatch接口能够响应并记录外部程序对组件N任何成员的访问请求。
所述步骤2)动态链接库钩挂的负责组件M创建的API包括CoGetClassObject(创建指定CLSID组件的类场)、CoCreateInstanceEx(创建指定CLSID组件的对象)和CLSIDFromProgID(为指定ProgID的组件查找对应的CLSID)。
动态链接库钩挂CLSIDFromProgID的方法为:
1)钩挂程序调用原始的CLSIDFromProgID函数查询网页提供的ProgID(字符串形式的组件标识)所对应的CLSID(唯一标识符),如果查询成功,直接返回CLSID,否则进入第2)步;
2)以当前***时间为参数生成一个伪造的CLSID;
3)在动态链接库中记录第2)步伪造的CLSID与网页提供的ProgID之间的对应关系,将伪造的CLSID返回。
动态链接库钩挂CoGetClassObject的方法为:
1)钩挂程序调用原始的CoGetClassObject函数创建CLSID参数所代表组件的类场,如果创建成功,直接将创建成功的组件类场返回;否则进入第2)步;
2)使用组件M的CLSID作为参数调用原始的CoGetClassObject函数创建缺失组件N的类场;
3)记录组件M类场入口地址与当前请求创建组件的CLSID之间的对应关系,返回组件M类场。
动态链接库钩挂CoCreateInstanceEx的方法为:
1)调用原始的CoCreateInstanceEx函数创建CLSID参数所代表的组件的对象,如果创建成功,直接将创建成功的组件对象返回,否则进入第2)步;
2)使用组件M的CLSID作为参数调用原始的CoCreateInstanceEx函数创建组件N的对象。
3)记录组件M对象实例m的入口地址与当前请求创建组件N的CLSID之间的对应关系,返回对象实例m的入口地址。
所述步骤3)对象实例m通过IUNKNOWN接口得到入口地址,将入口地址通过IPC消息发送到负责钩挂***API的动态链接库中,查询得到当前对象所模拟组件N的名称。
所述步骤3)对象实例m通过GetIDsOfNames函数的参数得到成员函数名。
所述步骤3)对象实例m通过的Invoke函数的参数得到组件成员函数的调用参数列表。
所述步骤4)按照如下方法进行网页木马判定:
1)以组件名检索漏洞库,如果有结果,进入下一步,否则跳到4)步;
2)以函数名检索上一步的结果,如果有结果,进入下一步,否则跳到4)步;
3)参数列表中的参数如果符合漏洞库的规则,目标网页被判定为网页木马;
4)漏洞库中不包含该组件或者函数的漏洞描述,检查每一个参数的长度,如果参数过长则发出警报。
与现有技术相比,本发明的有益效果是:
1.本发明的方法解决了动态检测运行环境需要安装大量第三方浏览器组件的问题,通过模拟可能存在漏洞的组件,能够触发网页木马更多的攻击行为;
2.能够得到网页木马在ActiveX组件调用这一层的攻击行为。
附图说明
图1现有技术中网页创建ActiveX组件的示意图;
图2本发明方法网页创建ActiveX组件的示意图;
图3本发明方法中ActiveX模拟组件内部的工作流程图;
图4钩挂ActiveX组件创建API的工作流程图。
具体实施方式
下面结合附图和具体实施方式对本发明作进一步详细描述:
任何支持ActiveX组件开发的软件开发平台都能以类似的方式实现基于ActiveX组件模拟的网页木马检测***。下面以Delphi开发平台为例进行具体说明(使用其他开发工具也可以按照类似的步骤完成):
首先,构造ActiveX模拟组件M。
ActiveX模拟组件M的特点为:当组件M的具体对象实例m模拟组件N时,表现出如下功能:
1、对象实例m通过IPC(进程间通信)消息查询到自己正在模拟的组件是N;
2、外部程序通过实例m的IDispatch接口查询组件N的任意成员时,都能够得到一个成员id;
3、外部程序通过实例m的IDispatch接口调用组件N的任意成员时,调用行为都记录到日志中。
根据以上ActiveX模拟组件M的特点,具体构造ActiveX模拟组件M的过程如下:
1、新建一个ActiveX Library,保存时将其命名为Simulate.dpr。
2、在上一步创建的ActiveX Library中新建一个COM Object,可以将其命名为CSimulate,这里将自动生成的文件保存为CSimulate.pas。
3、在TCSimulate的类定义中将IDispatch接口的GetIDsOfNames和Invoke两个函数定义为TCSimulate的成员函数。
4、定义一个全局使用的字符串列表,这里记为t_list。设置一个全局计数器,这里记为c。
5、实现IDispatch接口的GetIDsOfNames函数。GetIDsOfNames函数的参数中,有一个是字符串形式表示的成员名字,把这个表示成员名字的字符串复制到t_list[c]中,然后把c作为成员的id返回,同时c变量增大1。
6、实现IDispatch接口的Invoke函数。查询一下当前对象实例m的IUNKNOWN接口得到当前对象的入口地址,将这个入口地址通过IPC(进程间通信)消息发送到负责钩挂***API的dll中,查询得到当前对象所模拟组件N的名称。Invoke函数的参数中,有一个是当前请求调用成员的id,t_list[id]中存储的字符串就是这个成员的名字。Invoke函数还有一个参数存储了调用t_list[id]成员所提供的参数列表。把前面得到的组件名、成员名以及参数列表组合在一起写入到日志文件中。最后返回t_list[id]成员调用失败的信息。
经过以上步骤构造出ActiveX模拟组件,其具体的工作流程如图3所示:
调用浏览器访问目标网页,当目标网页请求缺失的组件N时,ActiveX组件M的对象实例m通过IUNKNOWN接口得到自身入口地址,通过入口地址查到缺失的组件N的组件名;ActiveX组件M的GetIDsOfNames函数被调用,通过GetIDsOfNames函数的参数得到成员函数名;ActiveX组件M的Invoke函数被调用,通过的Invoke函数的参数得到组件成员函数的调用参数;将得到的组件名、函数名、参数等关键信息写入日志文件,用于木马检测分析。
其中,钩挂Windows***API的方法流程如图4所示。
当目标网页请求某一组件时,操作***会调用原始的API创建组件对象;如果组件可以创建成功,则不需要进行模拟;如果创建不成功,即请求创建的组件为缺失的组件N,调用原始API创建ActiveX组件M,在dll中记录ActiveX组件M对象实例m的入口地址与组件N的组件名之间的对应关系,将这一对应关系写入入口地址/组件名对应表,并提供通过IPC消息进行查询的功能。
编写一个dll(动态链接库)负责钩挂操作***中CLSIDFromProgID(为指定ProgID的组件查找对应的CLSID)、CoGetClassObject(创建指定CLSID组件的类场)、CoCreateInstanceEx(创建指定CLSID组件的对象)等负责ActiveX组件创建的API,具体实现如下:
1)、CLSIDFromProgID钩挂处理方法:
1.1)调用原始的CLSIDFromProgID函数查询ProgID参数所对应的CLSID。如果查询成功,说明***中存在网页请求的组件,不需要进行组件模拟,直接返回CLSID即可;否则进入第1.2)步。
1.2)进入到这一步,说明***中不存在网页所请求的组件,无法在***中查询到ProgID所对应的CLSID,为了使组件模拟能够顺利进行,需要伪造一个CLSID。这里以当前***时间为自变量产生一个伪造的CLSID。
1.3)记录第1.2)步伪造的CLSID与传入的ProgID之间的对应关系。
1.4)将伪造的CLSID返回。
2)、CoGetClassObject钩挂处理逻辑:
2.1)如果通过参数传入的CLSID具有伪造的特征,说明这是一个需要模拟的组件,直接进入第2.3)步开始模拟;否则进入第2.2)步。
2.2)调用原始的CoGetClassObject函数创建网页当前通过CLSID参数所指定组件的类场。如果创建成功,说明***中存在该CLSID所代表的组件,不需要进行组件模拟,直接将创建成功的组件类场返回;否则进入第2.3)步。
2.3)使用Simulate组件自身的CLSID作为参数调用原始的CoGetClassObject函数创建模拟组件的类场。
2.4)记录Simulate类场入口地址与传入的CLSID之间的对应关系。
2.5返回Simulate类场。
3)、CoCreateInstanceEx钩挂处理逻辑:
3.1)如果通过参数传入的CLSID具有伪造的特征,说明这是一个需要模拟的组件,直接进入第3.3)步开始模拟;否则进入第3.2)步。
3.2)调用原始的CoCreateInstanceEx函数创建网页当前通过CLSID参数所指定组件的对象。如果创建成功,说明***中存在该CLSID所代表的组件,不需要进行组件模拟,直接将创建成功的组件对象返回;否则进入第3.3)步。
3.3)使用Simulate组件自身的CLSID作为参数调用原始的CoCreateInstanceEx函数创建模拟组件的对象。
3.4)记录Simulate对象的入口地址与传入的CLSID之间的对应关系。
3.5)返回Simulate对象的入口地址。
4)、日志解析及网页木马判定。
日志文件中一行记录了一次组件访问,其中包括目标网页访问的组件名、组件中的函数以及参数。每行的第一个分隔符之前的是组件名,后面跟着的是函数名,再往后是参数列表。完成一行的解析之后可以按照如下步骤进行网页木马判定:
4.1)以组件名检索漏洞库,如果有结果,进入下一步,否则跳到4.4)步;
4.2)以函数名检索上一步的结果,如果有结果,进入下一步,否则跳到4.4)步;
4.3)参数列表中的参数如果符合漏洞库的规则,表示此次组件访问是一次攻击,目标网页被判定为网页木马。
4.4)漏洞库中不包含该组件或者函数的漏洞描述,可能是正常访问,也可能是未知漏洞,检查每一个参数的长度,如果参数过长则发出警报。
尽管为说明目的公开了本发明的具体实施例和附图,其目的在于帮助理解本发明的内容并据以实施,但是本领域的技术人员可以理解:在不脱离本发明及所附的权利要求的精神和范围内,各种替换、变化和修改都是可能的。本发明不应局限于本说明书最佳实施例和附图所公开的内容,本发明要求保护的范围以权利要求书界定的范围为准。
Claims (10)
1.一种基于ActiveX组件模拟的网页木马检测方法,其步骤包括:
1)构造一个ActiveX组件M,其对象实例m用于模拟目标网页中缺失的组件N;
2)编写一个动态链接库钩挂WINDOWS***中负责ActiveX组件M创建的API,记录组件M的对象实例m的入口地址与组件N的组件名之间的对应关系;
3)调用浏览器访问目标网页,当目标网页请求创建缺失的组件N时,由对象实例m将目标网页访问的组件名、组件中的函数以及参数信息记录到日志文件;
4)解析日志文件,判定目标网页是否为网页木马。
2.如权利要求1所述的方法,其特征在于,所述步骤1)组件M的对象实例m的IDispatch接口能够模拟出组件N所有的成员函数和成员变量;
组件M的对象实例m的IDispatch接口能够响应并记录外部程序对组件N任何成员的访问请求。
3.如权利要求1所述的方法,其特征在于,所述步骤2)动态链接库钩挂的负责组件M创建的API包括CoGetClassObject、CoCreateInstanceEx和CLSIDFromProgID。
4.如权利要求3所述的方法,其特征在于,动态链接库钩挂CLSIDFromProgID的方法为:
1)钩挂程序调用原始的CLSIDFromProgID函数查询网页提供的字符串形式的组件标识所对应的唯一标识符,如果查询成功,直接返回唯一标识符,否则进入第2)步;
2)以当前***时间为参数生成一个伪造的唯一标识符;
3)在动态链接库中记录第2)步伪造的唯一标识符与网页提供的字符串形式的组件标识之间的对应关系,将伪造的唯一标识符返回。
5.如权利要求3所述的方法,其特征在于,动态链接库钩挂CoGetClassObject的方法为:
1)钩挂程序调用原始的CoGetClassObject函数创建唯一标识符参数所代表组件的类场,如果创建成功,直接将创建成功的组件类场返回;否则进入第2)步;
2)使用组件M的唯一标识符作为参数调用原始的CoGetClassObject函数创建缺失组件N的类场;
3)记录组件M类场入口地址与当前请求创建组件N的唯一标识符之间的对应关系,返回组件M类场。
6.如权利要求3所述的方法,其特征在于,动态链接库钩挂CoCreateInstanceEx的方法为:
1)调用原始的CoCreateInstanceEx函数创建唯一标识符参数所代表的组件的对象,如果创建成功,直接将创建成功的组件对象返回,否则进入第2)步;
2)使用组件M的唯一标识符作为参数调用原始的CoCreateInstanceEx函数创建组件N的对象;
3)记录组件M对象实例m的入口地址与当前请求创建组件N的唯一标识符之间的对应关系,返回对象实例m的入口地址。
7.如权利要求1所述的方法,其特征在于,所述步骤3)对象实例m通过IUNKNOWN接口得到入口地址,将入口地址通过进程间通信消息发送到负责钩挂***API的动态链接库中,查询得到当前对象所模拟组件N的名称。
8.如权利要求1所述的方法,其特征在于,所述步骤3)对象实例m通过GetIDsOfNames函数的参数得到组件N的成员函数名。
9.如权利要求1所述的方法,其特征在于,所述步骤3)对象实例m通过的Invoke函数的参数得到组件N成员函数的调用参数列表。
10.如权利要求1所述的方法,其特征在于,所述步骤4)按照如下方法进行网页木马判定:
1)以组件名检索漏洞库,如果有结果,进入下一步,否则跳到4)步;
2)以函数名检索上一步的结果,如果有结果,进入下一步,否则跳到4)步;
3)参数列表中的参数如果符合漏洞库的规则,目标网页被判定为网页木马;
4)漏洞库中不包含该组件或者函数的漏洞描述,检查每一个参数的长度,如果参数过长则发出警报。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010101246744A CN101799855B (zh) | 2010-03-12 | 2010-03-12 | 一种基于ActiveX组件模拟的网页木马检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010101246744A CN101799855B (zh) | 2010-03-12 | 2010-03-12 | 一种基于ActiveX组件模拟的网页木马检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101799855A true CN101799855A (zh) | 2010-08-11 |
| CN101799855B CN101799855B (zh) | 2012-08-22 |
Family
ID=42595528
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010101246744A Expired - Fee Related CN101799855B (zh) | 2010-03-12 | 2010-03-12 | 一种基于ActiveX组件模拟的网页木马检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101799855B (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102346780A (zh) * | 2011-10-18 | 2012-02-08 | 北龙中网(北京)科技有限责任公司 | 网页地址的获取方法和获取装置 |
| CN102446253A (zh) * | 2011-12-23 | 2012-05-09 | 北京奇虎科技有限公司 | 一种网页木马检测方法及*** |
| CN102681933A (zh) * | 2011-01-20 | 2012-09-19 | 微软公司 | 针对web兼容性和互操作性的代码顾问 |
| CN103067343A (zh) * | 2011-10-21 | 2013-04-24 | 阿里巴巴集团控股有限公司 | 防止篡改ActiveX控件用途的方法和*** |
| CN103401845A (zh) * | 2013-07-15 | 2013-11-20 | Tcl集团股份有限公司 | 一种网址安全性的检测方法、装置 |
| US9705637B2 (en) | 2014-08-19 | 2017-07-11 | Microsoft Technology Licensing, Llc | Guard band utilization for wireless data communication |
| CN107332832A (zh) * | 2017-06-21 | 2017-11-07 | 北京东方棱镜科技有限公司 | 移动互联网分布式僵尸木马蠕虫检测方法和装置 |
| CN107908959A (zh) * | 2017-11-10 | 2018-04-13 | 北京知道创宇信息技术有限公司 | 网站信息检测方法、装置、电子设备及存储介质 |
| US10129883B2 (en) | 2014-08-26 | 2018-11-13 | Microsoft Technology Licensing, Llc | Spread spectrum wireless over non-contiguous channels |
| US10156889B2 (en) | 2014-09-15 | 2018-12-18 | Microsoft Technology Licensing, Llc | Inductive peripheral retention device |
| US10191986B2 (en) | 2014-08-11 | 2019-01-29 | Microsoft Technology Licensing, Llc | Web resource compatibility with web applications |
| CN110119618A (zh) * | 2018-10-31 | 2019-08-13 | 哈尔滨安天科技股份有限公司 | 恶意脚本的检测方法及装置 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9513671B2 (en) | 2014-08-01 | 2016-12-06 | Microsoft Technology Licensing, Llc | Peripheral retention device |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1925494A (zh) * | 2006-09-28 | 2007-03-07 | 北京理工大学 | 一种基于行为特征的网页木马检测方法 |
| CN101447991A (zh) * | 2008-11-19 | 2009-06-03 | 中国人民解放军信息安全测评认证中心 | 用于测试入侵检测***的测试装置及测试方法 |
| CN101529385A (zh) * | 2005-06-01 | 2009-09-09 | 纽约市哥伦比亚大学理事会 | 用于修复应用程序的方法和*** |
-
2010
- 2010-03-12 CN CN2010101246744A patent/CN101799855B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101529385A (zh) * | 2005-06-01 | 2009-09-09 | 纽约市哥伦比亚大学理事会 | 用于修复应用程序的方法和*** |
| CN1925494A (zh) * | 2006-09-28 | 2007-03-07 | 北京理工大学 | 一种基于行为特征的网页木马检测方法 |
| CN101447991A (zh) * | 2008-11-19 | 2009-06-03 | 中国人民解放军信息安全测评认证中心 | 用于测试入侵检测***的测试装置及测试方法 |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102681933A (zh) * | 2011-01-20 | 2012-09-19 | 微软公司 | 针对web兼容性和互操作性的代码顾问 |
| CN102346780A (zh) * | 2011-10-18 | 2012-02-08 | 北龙中网(北京)科技有限责任公司 | 网页地址的获取方法和获取装置 |
| CN103067343B (zh) * | 2011-10-21 | 2016-08-03 | 阿里巴巴集团控股有限公司 | 防止篡改ActiveX控件用途的方法和*** |
| CN103067343A (zh) * | 2011-10-21 | 2013-04-24 | 阿里巴巴集团控股有限公司 | 防止篡改ActiveX控件用途的方法和*** |
| CN102446253A (zh) * | 2011-12-23 | 2012-05-09 | 北京奇虎科技有限公司 | 一种网页木马检测方法及*** |
| CN102446253B (zh) * | 2011-12-23 | 2014-12-10 | 北京奇虎科技有限公司 | 一种网页木马检测方法及*** |
| CN103401845B (zh) * | 2013-07-15 | 2017-08-25 | Tcl集团股份有限公司 | 一种网址安全性的检测方法、装置 |
| CN103401845A (zh) * | 2013-07-15 | 2013-11-20 | Tcl集团股份有限公司 | 一种网址安全性的检测方法、装置 |
| US10191986B2 (en) | 2014-08-11 | 2019-01-29 | Microsoft Technology Licensing, Llc | Web resource compatibility with web applications |
| US9705637B2 (en) | 2014-08-19 | 2017-07-11 | Microsoft Technology Licensing, Llc | Guard band utilization for wireless data communication |
| US10129883B2 (en) | 2014-08-26 | 2018-11-13 | Microsoft Technology Licensing, Llc | Spread spectrum wireless over non-contiguous channels |
| US10156889B2 (en) | 2014-09-15 | 2018-12-18 | Microsoft Technology Licensing, Llc | Inductive peripheral retention device |
| CN107332832A (zh) * | 2017-06-21 | 2017-11-07 | 北京东方棱镜科技有限公司 | 移动互联网分布式僵尸木马蠕虫检测方法和装置 |
| CN107908959A (zh) * | 2017-11-10 | 2018-04-13 | 北京知道创宇信息技术有限公司 | 网站信息检测方法、装置、电子设备及存储介质 |
| CN107908959B (zh) * | 2017-11-10 | 2020-02-14 | 北京知道创宇信息技术股份有限公司 | 网站信息检测方法、装置、电子设备及存储介质 |
| CN110119618A (zh) * | 2018-10-31 | 2019-08-13 | 哈尔滨安天科技股份有限公司 | 恶意脚本的检测方法及装置 |
| CN110119618B (zh) * | 2018-10-31 | 2021-05-04 | 哈尔滨安天科技集团股份有限公司 | 恶意脚本的检测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101799855B (zh) | 2012-08-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101799855B (zh) | 一种基于ActiveX组件模拟的网页木马检测方法 | |
| CN107832619B (zh) | Android平台下应用程序漏洞自动化挖掘***及方法 | |
| Sen et al. | Jalangi: A selective record-replay and dynamic analysis framework for JavaScript | |
| CN104956362B (zh) | 分析web应用程序的结构 | |
| CN102254111B (zh) | 恶意网站检测方法及装置 | |
| CN104881608B (zh) | 一种基于模拟浏览器行为的xss漏洞检测方法 | |
| CN104881607B (zh) | 一种基于模拟浏览器行为的xss漏洞检测*** | |
| Lin et al. | Automated forensic analysis of mobile applications on Android devices | |
| CN102929656A (zh) | 使用浏览器中内置ActiveX插件的方法和客户端 | |
| CN104995630A (zh) | 基于动态污点的安全性扫描 | |
| CN101751530B (zh) | 检测漏洞攻击行为的方法及设备 | |
| CN105550594A (zh) | 安卓应用文件的安全性检测方法 | |
| CN105431859A (zh) | 指示恶意软件的信号标记 | |
| CN106022132A (zh) | 一种基于动态内容分析的网页木马实时检测方法 | |
| CN105488400A (zh) | 一种恶意网页综合检测方法及*** | |
| CN103543991A (zh) | 一种扩展浏览器功能的方法及浏览器*** | |
| CN103177115A (zh) | 一种提取网页页面链接的方法和装置 | |
| CN106250761B (zh) | 一种识别web自动化工具的设备、装置及方法 | |
| US9208322B1 (en) | Privacy leak detection in .NET framework | |
| Christophe et al. | Linvail: A general-purpose platform for shadow execution of JavaScript | |
| KR101696694B1 (ko) | 역추적을 이용한 소스 코드 취약점 분석 방법 및 장치 | |
| CN106845248A (zh) | 一种基于状态转换图的xss漏洞检测方法 | |
| Tuomi | Evolution of the Linux credits file: methodological challenges and reference data for open source research | |
| Hassanshahi et al. | Gelato: Feedback-driven and guided security analysis of client-side web applications | |
| CN114491560A (zh) | 一种漏洞检测方法、装置、存储介质及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120822 Termination date: 20200312 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |