CN103544431B - 一种对非法程序的免疫方法、***及装置 - Google Patents

一种对非法程序的免疫方法、***及装置 Download PDF

Info

Publication number
CN103544431B
CN103544431B CN201210235079.7A CN201210235079A CN103544431B CN 103544431 B CN103544431 B CN 103544431B CN 201210235079 A CN201210235079 A CN 201210235079A CN 103544431 B CN103544431 B CN 103544431B
Authority
CN
China
Prior art keywords
illegal program
rule
immunity
module
client
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201210235079.7A
Other languages
English (en)
Other versions
CN103544431A (zh
Inventor
傅旭东
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Tencent Cloud Computing Beijing Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN201210235079.7A priority Critical patent/CN103544431B/zh
Publication of CN103544431A publication Critical patent/CN103544431A/zh
Application granted granted Critical
Publication of CN103544431B publication Critical patent/CN103544431B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请公开了一种对非法程序的免疫方法、***及装置,服务器对计算机网络中的非法程序进行分析后,得到非法程序的弱点信息,所述弱点信息为非法程序运行时的必要信息,然后确定非法程序的弱点信息对应的免疫规则,将对应的免疫规则发送给用户使用的客户端,最后,用户使用的客户端根据接收的免疫规则进行***的注册表、文件或网络链接地址的阻止设置,从而避免非法程序在用户使用的客户端上的运行。

Description

一种对非法程序的免疫方法、***及装置
技术领域
本申请涉及计算机网络安全技术领域,特别涉及一种对非法程序的免疫方法、***及装置。
背景技术
随着计算机网络的不断发展,为了获得经济利益,在计算机网络中出现了各种非法程序,比如恶意程序或病毒程序。这些非法程序对计算机网络中的客户端威胁越来越大,尤其是一些诸如木马程序的病毒程序可以监控客户端***,非法获取使用客户端的用户的上网密码或隐私数据,比如非法获取用户网络游戏的账号密码或网上交易订单,从而非法获取经济利益。
当用户使用的客户端接入到计算机网络中时,来自计算机网络中的其他客户端的非法程序就可以通过计算机网络非法在用户使用的客户端中运行,非法获取用户使用的客户端中的数据。
目前,为了防御非法程序通过计算机网络非法在用户使用的客户端中运行,用户使用的客户端设置特征库,该特征库中包括非法程序的部分或全部特征,或者包括非法程序的全部文件指纹特征,用户使用的客户端基于特征库中的特征,实时对要运行的非法程序扫描,当来自计算机网络中的非法程序与设置特征库中的特征匹配后,用户使用的客户端拒绝该非法程序的运行,或者直接将非法程序删除。
虽然,采用上述方案可以防御计算机网络中的一些已知非法程序在用户使用的客户端上运行,但是计算机网络中的非法程序为了避免在用户使用的客户端被扫描出而阻止运行,非法程序可以采用两种方式:第一种方式,非法程序很短时间就会出现变种,变种的非法程序的特征是未知的,而用户使用的客户端设置的特征库中的特征更新不及时,从而使得用户使用的客户端在扫描时无法与设置的特征库中的特征匹配到,就可以非法运行在用户使用的客户端上了;第二种方式,非法程序中设置屏蔽扫描功能,在非法程序在用户使用的客户端运行前,所设置的屏蔽扫描功能阻止用户使用的客户端的扫描,从而就可以将非法程序运行在用户使用的客户端了。
综上,目前还没有一种行之有效的方法能够避免非法程序在用户使用的客户端上的运行。
发明内容
有鉴于此,本发明实施例提供一种对非法程序的免疫方法,该方法能够有效避免非法程序运行在用户使用的客户端上。
本发明实施例还提供一种对非法程序的免疫***,该***能够有效避免非法程序运行在用户使用的客户端上。
本发明实施例还提供一种对非法程序的免疫装置,该装置能够有效避免非法程序运行在用户使用的客户端上。
根据上述目的,本发明实施例是这样实现的:
一种对非法程序的免疫方法,其特征在于,该方法包括:
服务器获取计算机网络中的非法程序;
服务器分析所获取的非法程序,获取非法程序的弱点信息;
服务器确定对应非法程序的弱点信息的免疫规则;
服务器将所确定的免疫规则发送给客户端,使得客户端进行***的阻止设置;
所述确定对应非法程序的弱点信息的免疫规则为:
非法程序的弱点信息为非法程序的依赖***已有模块信息时,免疫规则为非法程序的依赖***已有模块对应的注册表阻止设置;非法程序的弱点信息为非法程序的文件信息时,免疫规则为对应的文件进行权限设置,阻止非法程序被写入、修改、替换或删除到对应文件中;非法程序的弱点信息为非法程序的感染标记信息时,免疫规则为在用户使用的客户端上增加感染标记。
一种对非法程序的免疫方法,该方法包括:
客户端从服务器接收到服务器发送的免疫规则;
客户端根据免疫规则进行***的阻止设置;
非法程序进入客户端,该非法程序检测到客户端***中的阻止设置后,不运行;
所述免疫规则为非法程序的依赖***已有模块对应的注册表阻止设置时,所述阻止设置为注册表阻止设置;所述免疫规则为对文件的权限设置,所述阻止设置为对文件的权限设置;所述免疫规则为增加感染标记时,所述阻止设置为增加感应标记。
一种对非法程序的免疫装置,该装置包括:排名模块、分析模块和免疫规则库,其中,
排名模块,用于获取计算机网络中的非法程序;
分析模块,用于对所获取的非法程序进行分析,获取非法程序的弱点信息;
免疫规则库,用于确定对应非法程序的弱点信息的免疫规则,通过计算机网络发送给客户端,使得客户端进行***的阻止设置;
所述确定对应非法程序的弱点信息的免疫规则为:
非法程序的弱点信息为非法程序的依赖***已有模块信息时,免疫规则为非法程序的依赖***已有模块对应的注册表阻止设置;非法程序的弱点信息为非法程序的文件信息时,免疫规则为对应的文件进行权限设置,阻止非法程序被写入、修改、替换或删除到对应文件中;非法程序的弱点信息为非法程序的感染标记信息时,免疫规则为在用户使用的客户端上增加感染标记。
一种对非法程序的免疫装置,其特征在于,该装置包括:免疫模块、***模块和运行模块,其中,
免疫模块,用于接收到服务器发送的免疫规则,根据免疫规则进行***模块中的***的阻止设置;
***模块,用于在免疫模块的指示下进行***的阻止设置;
运行模块,用于非法程序的进入,该非法程序检测到***模块中的***的阻止设置后,不运行;所述免疫模块包括注册表免疫子模块、文件免疫子模块和网络免疫子模块,其中,
注册表免疫子模块,用于根据免疫规则对非法程序的依赖***已有模块对应的注册表阻止设置;
文件免疫子模块,用于根据免疫规则对非法程序的对应的文件进行权限设置,阻止非法程序被写入、修改、替换或删除到对应文件中;根据免疫规则在客户端上增加感染标记;
网络免疫子模块,用于根据免疫规则阻止非法程序的链接地址的链接。
一种对非法程序的免疫***,该***包括:服务器和客户端,其中,
服务器,用于获取计算机网络中的非法程序;对所获取的非法程序进行分析,获取非法程序的弱点信息;确定对应非法程序的弱点信息的免疫规则,通过计算机网络发送给客户端,使得客户端进行***的阻止设置;
客户端,用于接收到服务器发送的免疫规则,根据免疫规则进行***的阻止设置;进入非法程序,该非法程序检测到***模块中的***的阻止设置后,不运行;
所述确定对应非法程序的弱点信息的免疫规则为:
非法程序的弱点信息为非法程序的依赖***已有模块信息时,免疫规则为非法程序的依赖***已有模块对应的注册表阻止设置;非法程序的弱点信息为非法程序的文件信息时,免疫规则为对应的文件进行权限设置,阻止非法程序被写入、修改、替换或删除到对应文件中;非法程序的弱点信息为非法程序的感染标记信息时,免疫规则为在用户使用的客户端上增加感染标记。
从上述方案可以看出,本发明实施例中的服务器对计算机网络中的非法程序进行分析后,得到非法程序的弱点信息,所述弱点信息为非法程序运行时的必要信息,然后确定非法程序的弱点信息对应的免疫规则,将对应的免疫规则发送给用户使用的客户端,最后,用户使用的客户端根据接收的免疫规则进行***的注册表、文件或网络链接地址的阻止设置,从而避免非法程序在用户使用的客户端上的运行。由于本发明实施例并不是要扫描非法程序的特征来确定是否运行非法程序,而是在用户使用的客户端上直接进行***的阻止设置来主动阻止非法程序的运行,实现简单且有效。
附图说明
图1为本发明实施例提供的对非法程序的免疫方法一流程图;
图2为本发明实施例提供的对非法程序的免疫方法二流程图;
图3为本发明实施例提供的对非法程序的免疫装置一结构示意图;
图4为本发明实施例提供的对非法程序的免疫装置二结构示意图;
图5为本发明实施例提供的对非法程序的免疫***结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图及具体实施例对本发明作进一步地详细描述。
计算机网络中的非法程序要在用户使用的客户端运行时都会存在运行必要的弱点信息,主要包括:
非法程序的链接地址信息,非法程序的链接地址在设定的长时间内是不变的,诸如木马程序,木马程序在用户使用的客户端运行前的链接都是木马程序中的代码预先定义;
非法程序的依赖***已有模块信息,非法程序在运行时需要用户使用的客户端***中已有模块的支持,诸如计算机网络的网页承载的木马程序,其在用户使用的客户端运行时需要依赖用户使用的客户端***中已有模块的漏洞进行;
非法程序的文件信息,非法程序的文件信息包括释放非法程序到用户使用的客户端***上的文件名和文件路径,比如:C:\windows\system32,C:\ProgramData\Microsoft\Windows,C:\ProgramFiles\CommomFiles\System\等,这在非法程序中的代码中预先设定且不会更改;
非法程序的感染标记信息,同一家族的非法程序在进入用户使用的客户端后,为了在运行时不会因为自己反复感染导致用户使用的客户端***崩毁,会设置感染标记信息,同一家族的非法程序的感染标记信息相同,当非法程序进入用户使用的客户端时,就会检测用户使用的客户端***中是否有该感染标记信息,从而确定是否运行,例如名称为AV终结者病毒程序在进入用户使用的客户端后,就会检测***的注册表羡慕中是否有自身的感染标记信息,如果有,就会自动结束攻击行为。
本发明实施例针对非法程序的弱点信息,在服务器设置对应的免疫规则,即当非法程序的弱点信息为非法程序的链接地址信息时,设置的免疫规则为阻止非法程序的链接地址的链接;当非法程序的弱点信息为非法程序的依赖***已有模块信息,设置的免疫规则为非法程序的依赖***已有模块对应的注册表阻止设置;当非法程序的弱点信息为非法程序的文件信息时,设置的免疫规则为对应的文件进行权限设置,阻止非法程序被写入、修改、替换或删除到对应文件中;当非法程序的弱点信息为非法程序的感染标记信息时,设置的免疫规则为在用户使用的客户端上增加该感染标记,防止非法程序的运行。
这样,本发明实施例中的服务器就对计算机网络中的非法程序进行分析后,得到非法程序的弱点信息,所述弱点信息为非法程序运行时的必要信息,然后确定非法程序的弱点信息对应的免疫规则,将对应的免疫规则发送给用户使用的客户端,最后,用户使用的客户端根据接收的免疫规则进行***的注册表、文件或网络链接地址的阻止设置,从而简单和有效地避免非法程序在用户使用的客户端上的运行。
图1为本发明实施例提供的对非法程序的免疫方法一流程图,其具体步骤为:
步骤101、服务器获取计算机网络中的非法程序;
在本步骤中,服务器设置排名规则,根据排名规则,在计算机网络中的所有非法程序中,筛选出最流行及危害最大的设定个数的非法程序并获取到;
在本步骤中,排名规则可以为根据计算机网络中报告下载、运行或查杀非法程序等统计数据,确定统计数据最多的设定个数的非法程序作为服务器获取的非法程序;
步骤102、服务器对所获取的非法程序进行分析,获取非法程序的弱点信息;
在本步骤中,根据不同的非法程序,其具有的弱点信息也不同,主要包括的弱点信息为:非法程序的链接地址信息、非法程序的依赖***已有模块信息、非法程序的文件信息或/和非法程序的感染标记信息;
在本步骤中,所述分析有两种方式,一种为非法程序的二进制代码静态分析,获取非法程序的链接地址信息、非法程序的文件信息或/和非法程序的感染标记信息;另一种为运行所获取的非法程序,获取非法程序的依赖***已有模块信息;
步骤103、服务器确定对应非法程序的弱点信息的免疫规则;
步骤104、服务器将所确定的免疫规则通过计算机网络发送给用户使用的客户端,使得用户使用的客户端进行***的阻止设置。
在图1的过程中,由于计算机网络中的非法程序有很多且是不断变化的,所以图1所述的过程在设定的时间间隔重复执行。
图2为本发明实施例提供的对非法程序的免疫方法二流程图,其具体步骤为:
步骤201、用户使用的客户端从服务器接收到服务器发送的免疫规则;
步骤202、用户使用的客户端根据免疫规则进行***的阻止设置;
步骤203、非法程序进入客户端,该非法程序检测到客户端***中的阻止设置后,不运行。
在图2中,用户使用的客户端可以主动或被动从服务器接收服务器发送的免疫规则,这里不限定。
图3为本发明实施例提供的对非法程序的免疫装置一结构示意图,该装置一为服务器,具体包括:排名模块、分析模块和免疫规则库,其中,
排名模块,用于获取计算机网络中的非法程序;
分析模块,用于对所获取的非法程序进行分析,获取非法程序的弱点信息;
免疫规则库,用于确定对应非法程序的弱点信息的免疫规则,通过计算机网络发送给用户使用的客户端,使得用户使用的客户端进行***的阻止设置。
在图3所述的装置中,所述排名模块设置排名规则,所述获取计算机网络中的非法程序为根据排名规则获取。
在图3所述的装置中,分析模块包括二进制静态分析子模块和动态行为分析子模块,其中,
二进制静态分析子模块,用于对所获取的非法程序中的二进制代码进行静态分析,获取非法程序的弱点信息中的非法程序的链接地址信息、非法程序的文件信息和/或非法程序的感染标记信息;
动态行为分析子模块,用于对所获取的非法程序运行,获取非法程序的弱点信息中的非法程序的依赖***已有模块信息。
在图3所述的装置中,免疫规则库中保存了各种针对非法程序的弱点信息对应的免疫规则,免疫规则中包括文件免疫操作、网络免疫操作、注册表免疫操作和规则使用***环境等。
举一个具体实施例说明一个免疫规则。
适用环境:windowxp用户
网络免疫操作:禁止访问域名hhuu.my-list-zong.info
文件免疫操作:在c:\ProgramFiles\CommonFiles\Services目录下创建一个名为svchost.exe文件夹;
设置svchost.exe的文件夹权限阻止访问、替换或删除。
图4为本发明实施例提供的对非法程序的免疫装置二结构示意图,包括:免疫模块、***模块和运行模块,其中,
免疫模块,用于接收到服务器发送的免疫规则,根据免疫规则进行***模块中的***的阻止设置;
***模块,用于在免疫模块的指示下进行***的阻止设置;
运行模块,用于非法程序的进入,该非法程序检测到***模块中的***的阻止设置后,不运行。
在图4中,免疫模块具体包括注册表免疫子模块、文件免疫子模块和网络免疫子模块,其中,
注册表免疫子模块,用于根据免疫规则对非法程序的依赖***已有模块对应的注册表阻止设置;
文件免疫子模块,用于根据免疫规则对非法程序的对应的文件进行权限设置,阻止非法程序被写入、修改、替换或删除到对应文件中;根据免疫规则在用户使用的客户端上增加该感染标记;
网络免疫子模块,用于根据免疫规则阻止非法程序的链接地址的链接,比如禁用用户使用的客户端本地25端口等。
在注册表免疫子模块中,对用户使用的客户端***中的注册表进行创建、修改、删除或还原注册表项目或键值,比如进行如下注册表操作可以免疫网页承载木马程序利用Yahoo!Messenger组件存在的漏洞进入用户使用的客户端运行:
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\ActiveXCompatibility的注册表中新建一个注册表项{24F3EAD6-8B87-4C1A-97DA-71C126BDA08F},在{24F3EAD6-8B87-4C1A-97DA-71C126BDA08F}项下新建一个名为CompatibilityFlags的键值,设置键值内容为00000400。
在文件免疫子模块中,比如进入文件的如下操作后就可以组织部分版本的机器狗木马程序在用户使用的客户端的运行:
在C:\WINDOW\system32\drivers目录下创建一个名称为phy.sys的文件夹,在phy.sys文件内创建一个名称为safe的文件夹用于存储机器狗木马程序,防止机器狗木马程序运行。
图5为本发明实施例提供的非法程序的免疫***结构示意图,包括服务器和用户使用的客户端,简称客户端,其中,
服务器,用于获取计算机网络中的非法程序;对所获取的非法程序进行分析,获取非法程序的弱点信息;确定对应非法程序的弱点信息的免疫规则,通过计算机网络发送给客户端,使得客户端进行***的阻止设置;
客户端,用于接收到服务器发送的免疫规则,根据免疫规则进行***的阻止设置;进入非法程序,该非法程序检测到***模块中的***的阻止设置后,不运行。
采用本发明实施例提供的方案,就可以对非法程序,比如病毒程序或恶意程序的运行进行阻止,即使非法程序快速变种或设置有屏蔽扫描功能,也可以对非法程序在用户使用的客户端运行的阻止。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换以及改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种对非法程序的免疫方法,其特征在于,该方法包括:
服务器获取计算机网络中的非法程序;
服务器分析所获取的非法程序,获取非法程序的弱点信息;
服务器确定对应非法程序的弱点信息的免疫规则;
服务器将所确定的免疫规则发送给客户端,使得客户端进行***的阻止设置;
所述确定对应非法程序的弱点信息的免疫规则为:
非法程序的弱点信息为非法程序的依赖***已有模块信息时,免疫规则为非法程序的依赖***已有模块对应的注册表阻止设置;非法程序的弱点信息为非法程序的文件信息时,免疫规则为对应的文件进行权限设置,阻止非法程序被写入、修改、替换或删除到对应文件中;非法程序的弱点信息为非法程序的感染标记信息时,免疫规则为在用户使用的客户端上增加感染标记。
2.如权利要求1所述的方法,其特征在于,所述获取计算机网络中的非法程序为:
设置排名规则,根据排名规则,从计算机网络中筛选出设定个数的非法程序。
3.如权利要求1所述的方法,其特征在于,所述分析采用非法程序的二进制代码静态分析,获取非法程序的弱点信息中的非法程序的链接地址信息、非法程序的文件信息或/和非法程序的感染标记信息;
所述分析采用运行所获取的非法程序方式,获取非法程序的弱点信息中的非法程序的依赖***已有模块信息。
4.如权利要求1所述的方法,其特征在于,所述方法在设定的时间间隔重复执行。
5.一种对非法程序的免疫方法,其特征在于,该方法包括:
客户端从服务器接收到服务器发送的免疫规则;
客户端根据免疫规则进行***的阻止设置;
非法程序进入客户端,该非法程序检测到客户端***中的阻止设置后,不运行;
所述免疫规则为非法程序的依赖***已有模块对应的注册表阻止设置时,所述阻止设置为注册表阻止设置;所述免疫规则为对文件的权限设置,所述阻止设置为对文件的权限设置;所述免疫规则为增加感染标记时,所述阻止设置为增加感应标记。
6.一种对非法程序的免疫装置,其特征在于,该装置包括:排名模块、分析模块和免疫规则库,其中,
排名模块,用于获取计算机网络中的非法程序;
分析模块,用于对所获取的非法程序进行分析,获取非法程序的弱点信息;
免疫规则库,用于确定对应非法程序的弱点信息的免疫规则,通过计算机网络发送给客户端,使得客户端进行***的阻止设置;
所述确定对应非法程序的弱点信息的免疫规则为:
非法程序的弱点信息为非法程序的依赖***已有模块信息时,免疫规则为非法程序的依赖***已有模块对应的注册表阻止设置;非法程序的弱点信息为非法程序的文件信息时,免疫规则为对应的文件进行权限设置,阻止非法程序被写入、修改、替换或删除到对应文件中;非法程序的弱点信息为非法程序的感染标记信息时,免疫规则为在用户使用的客户端上增加感染标记。
7.如权利要求6所述的装置,其特征在于,所述排名模块,还用于设置排名规则,获取计算机网络中的非法程序是根据排名规则获取的。
8.如权利要求6所述的装置,其特征在于,所述分析模块包括二进制静态分析子模块和动态行为分析子模块,其中,
二进制静态分析子模块,用于对所获取的非法程序中的二进制代码进行静态分析,获取非法程序的弱点信息中的非法程序的链接地址信息、非法程序的文件信息和/或非法程序的感染标记信息;
动态行为分析子模块,用于对所获取的非法程序运行,获取非法程序的弱点信息中的非法程序的依赖***已有模块信息。
9.一种对非法程序的免疫装置,其特征在于,该装置包括:免疫模块、***模块和运行模块,其中,
免疫模块,用于接收到服务器发送的免疫规则,根据免疫规则进行***模块中的***的阻止设置;
***模块,用于在免疫模块的指示下进行***的阻止设置;
运行模块,用于非法程序的进入,该非法程序检测到***模块中的***的阻止设置后,不运行;所述免疫模块包括注册表免疫子模块、文件免疫子模块和网络免疫子模块,其中,
注册表免疫子模块,用于根据免疫规则对非法程序的依赖***已有模块对应的注册表阻止设置;
文件免疫子模块,用于根据免疫规则对非法程序的对应的文件进行权限设置,阻止非法程序被写入、修改、替换或删除到对应文件中;根据免疫规则在客户端上增加感染标记;
网络免疫子模块,用于根据免疫规则阻止非法程序的链接地址的链接。
10.一种对非法程序的免疫***,其特征在于,该***包括:服务器和客户端,其中,
服务器,用于获取计算机网络中的非法程序;对所获取的非法程序进行分析,获取非法程序的弱点信息;确定对应非法程序的弱点信息的免疫规则,通过计算机网络发送给客户端,使得客户端进行***的阻止设置;
客户端,用于接收到服务器发送的免疫规则,根据免疫规则进行***的阻止设置;进入非法程序,该非法程序检测到***模块中的***的阻止设置后,不运行;
所述确定对应非法程序的弱点信息的免疫规则为:
非法程序的弱点信息为非法程序的依赖***已有模块信息时,免疫规则为非法程序的依赖***已有模块对应的注册表阻止设置;非法程序的弱点信息为非法程序的文件信息时,免疫规则为对应的文件进行权限设置,阻止非法程序被写入、修改、替换或删除到对应文件中;非法程序的弱点信息为非法程序的感染标记信息时,免疫规则为在用户使用的客户端上增加感染标记。
CN201210235079.7A 2012-07-09 2012-07-09 一种对非法程序的免疫方法、***及装置 Active CN103544431B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201210235079.7A CN103544431B (zh) 2012-07-09 2012-07-09 一种对非法程序的免疫方法、***及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201210235079.7A CN103544431B (zh) 2012-07-09 2012-07-09 一种对非法程序的免疫方法、***及装置

Publications (2)

Publication Number Publication Date
CN103544431A CN103544431A (zh) 2014-01-29
CN103544431B true CN103544431B (zh) 2016-01-06

Family

ID=49967872

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201210235079.7A Active CN103544431B (zh) 2012-07-09 2012-07-09 一种对非法程序的免疫方法、***及装置

Country Status (1)

Country Link
CN (1) CN103544431B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106022150A (zh) * 2016-05-30 2016-10-12 宇龙计算机通信科技(深圳)有限公司 一种冻结应用方法以及装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1866267A (zh) * 2006-06-14 2006-11-22 龚涛 基于正常模型的人工免疫***
CN101321164A (zh) * 2008-07-18 2008-12-10 电子科技大学 一种网络免疫***及其工作机制
CN102034047A (zh) * 2010-12-21 2011-04-27 姚志浩 一种计算机病毒自动防护方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1866267A (zh) * 2006-06-14 2006-11-22 龚涛 基于正常模型的人工免疫***
CN101321164A (zh) * 2008-07-18 2008-12-10 电子科技大学 一种网络免疫***及其工作机制
CN102034047A (zh) * 2010-12-21 2011-04-27 姚志浩 一种计算机病毒自动防护方法

Also Published As

Publication number Publication date
CN103544431A (zh) 2014-01-29

Similar Documents

Publication Publication Date Title
Wei et al. Deep ground truth analysis of current android malware
US11960605B2 (en) Dynamic analysis techniques for applications
Xu et al. Iccdetector: Icc-based malware detection on android
US20210256129A1 (en) Dynamic analysis techniques for applications
US8726387B2 (en) Detecting a trojan horse
KR102130122B1 (ko) 온라인 사기를 검출하기 위한 시스템 및 방법
CA2946695C (en) Fraud detection network system and fraud detection method
Caballero et al. Measuring {Pay-per-Install}: The commoditization of malware distribution
US20160036849A1 (en) Method, Apparatus and System for Detecting and Disabling Computer Disruptive Technologies
CN111683047B (zh) 越权漏洞检测方法、装置、计算机设备及介质
US10771477B2 (en) Mitigating communications and control attempts
CN109347882B (zh) 网页木马监测方法、装置、设备及存储介质
US11157618B2 (en) Context-based analysis of applications
Bae et al. A collaborative approach on host and network level android malware detection
CN104640105A (zh) 手机病毒分析和威胁关联的方法和***
US10970392B2 (en) Grouping application components for classification and malware detection
KR101658450B1 (ko) 웹 애플리케이션 서버로부터 수집된 트랜잭션 정보 및 고유세션 id 통한 사용자 식별을 이용한 보안장치.
KR101657667B1 (ko) 악성 앱 분류 장치 및 악성 앱 분류 방법
KR101688390B1 (ko) 웹 사이트의 악성코드 탐지 및 차단 시스템
KR101650475B1 (ko) 웹 서버로부터 수집된 트랜잭션 정보를 이용한 보안장치
KR20160016178A (ko) 악성코드 유포 네트워크 탐지 프로그램
CN103544431B (zh) 一种对非法程序的免疫方法、***及装置
KR101153115B1 (ko) 해킹 툴을 탐지하는 방법, 서버 및 단말기
WO2021015941A1 (en) Inline malware detection
Jang et al. Automatic system for measuring security risk of Android application from third party app store

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20190807

Address after: 518057 Nanshan District science and technology zone, Guangdong, Zhejiang Province, science and technology in the Tencent Building on the 1st floor of the 35 layer

Co-patentee after: Tencent cloud computing (Beijing) limited liability company

Patentee after: Tencent Technology (Shenzhen) Co., Ltd.

Address before: Shenzhen Futian District City, Guangdong province 518044 Zhenxing Road, SEG Science Park 2 East Room 403

Patentee before: Tencent Technology (Shenzhen) Co., Ltd.

TR01 Transfer of patent right