CN103632093A - 木马检测方法 - Google Patents
木马检测方法 Download PDFInfo
- Publication number
- CN103632093A CN103632093A CN201310425258.1A CN201310425258A CN103632093A CN 103632093 A CN103632093 A CN 103632093A CN 201310425258 A CN201310425258 A CN 201310425258A CN 103632093 A CN103632093 A CN 103632093A
- Authority
- CN
- China
- Prior art keywords
- file
- dll
- function
- dll file
- fingerprint
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明实施例提供一种木马检测方法,该方法包括:扫描设定***目录下的动态链接库DLL文件,判断所述DLL文件的文件指纹是否发生变化;若所述DLL文件的文件指纹发生变化,判断***更新函数是否被调用;若所述***更新函数未被调用,确定所述DLL文件为DLL木马。本发明实施例提供的方法可检测出通过修改***DLL文件而植入的DLL木马。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种木马检测方法。
背景技术
随着互联网技术的不断发展,网络安全问题日益凸显,特别是木马程序的日益泛滥,直接导致用户重要数据资料,如账户、密码等信息的非法窃取或破坏。
传统的木马检测技术多采用特征码匹配技术。由于特征码匹配技术依赖于病毒库的更新完善,在应对新型病毒、木马和自变形的恶意文件时表现不佳。针对特征码匹配技术的滞后性,现有的木马检测方法多采用主动防御技术,通过监控病毒、木马常用的行为特征,如注册表文件修改、注册未知服务、实体进程运行等,识别大部分未知的病毒和木马。
木马开发者为躲避现有杀毒软件的查杀,开发了一种动态链接库(Dynamic Link Library,简称DLL)木马。所谓的DDL木马,指通过篡改***的DLL文件,使得在***文件运行时,***本身的进程便会自动调用预先存储在某个目录下的远程控制实体。DLL木马由于是通过***本身进程调用而触发,因此不需要注册服务,不需要修改注册文件,也不存在额外的运行进程。现有的木马检测方法对于该种DLL木马存在漏报现象。
发明内容
本发明提供一种木马检测方法,以检测通过修改***DLL文件植入的DLL木马。
本发明实施例一种木马检测方法,包括:
扫描设定***目录下的动态链接库DLL文件,判断所述DLL文件的文件指纹是否发生变化;
若所述DLL文件的文件指纹发生变化,判断***更新函数是否被调用;
若所述***更新函数未被调用,确定所述DLL文件为DLL木马。
本发明提供一种木马检测方法,通过扫描设定操作***目录下的所有DLL文件,判断DLL文件的文件指纹是否发生变化,并判断文件指纹的发生变化的原因,便可检测出通过修改***DLL文件植入的DLL木马,弥补了现有杀毒软件的不足,更好地保证用户操作***的正常运行。
附图说明
图1为本发明实施例一所提供的木马检测方法的流程图;
图2为本发明实施例二所提供的木马检测方法的流程图;
图3为本发明实施例三所提供的木马检测方法的流程图。
具体实施方式
实施例一
本发明实施例一所提供一种木马检测方法,该方法的技术方案可作为独立的杀毒软件的程序主体,也可作为现有杀毒软件的插件,还可作为客户端浏览器的植入插件。图1为本发明实施例一提供的木马检测方法的流程图。该方法的步骤,具体包括:
步骤101、扫描设定***目录下的DLL文件,判断所述DLL文件的文件指纹是否发生变化。若是,则执行步骤102,若否,则不进行处理,继续扫描下一个文件。
文件指纹,包括采用设定函数对文件内容计算得到散列序号、文件名时间戳的标识信息等。文件内容即该文件所包括的具体内容数据,只要文件中的某一位二进制数据发生变化,即便是微小的变化,该文件对应的文件指纹也会发生变化。
扫描该设定目录下的所有DLL文件,同时计算每个DLL文件对应的文件指纹,将计算得到每个DLL文件对应的文件指纹与预先存在的上一时刻文件指纹进行比较,继而判断DLL文件的文件指纹是否发生变化。
对于DLL木马来说,其木马的植入过程中,需要通过修改***的DLL文件,以使得修改后的DLL文件,变为DLL木马,该修改后的DLL文件还具有原***DLL文件的功能,以执行原***DLL文件所对应的***进程。因此,要检测该DLL木马,需要检测***的DLL文件是否被修改。
然而由于DLL木马在植入过程中,通常为了隐蔽,将自身的文件名称及文件修订时间等信息,刻意的伪装成与原***DLL文件名称、修订时间等外在的信息。但,由于文件指纹的特殊性,使得,即便外在信息与原***DLL文件相同,但其对应的文件指纹还是发生了变化。因此,需要扫描设定***目录下的DLL文件,判断其文件指纹是否发生变化。
需要说明的是,扫描设定***目下DLL文件的操作可以是由用户通过杀毒软件的操作显示界面,点击“开始查杀”等操作按钮来触发,或是,还可以是根据预设的查杀时间或频率自启动扫描过程,本发明实施例不以此为限。
步骤102、若所述DLL文件的文件指纹发生变化,判断***更新函数是否被调用。若否,则执行步骤103,若是,则表明该DLL不是木马,不进行额外处理。
步骤103、若所述***更新函数未被调用,确定所述DLL文件为DLL木马。
具体来说,DLL文件作为被封装的操作***可运行运用程序的可执行文件,通常不会作随意修改。
为修复原有操作***的漏洞,以避免病毒的攻击,或提供新的具有更多实现功能的操作***,为用户提供更好、更便捷的体验,需要对现有操作***进行漏洞修复或者操作***的升级。而无论是修复漏洞还是升级,无疑会造成操作***内DLL文件的修改。当发现某个***目录下DLL文件被修改,而此时***更新函数也未被调用,也就是说该DLL文件的指纹变化并非是由于***更新,那么该DLL文件则很有可能是被恶意篡改,便可以确定该DLL文件为DLL木马。
本发明实施例提供一种木马检测方法,通过扫描设定操作***目录下的所有DLL文件,判断DLL文件的文件指纹是否发生变化,并判断文件指纹的发生变化的原因,便可检测出通过修改***DLL文件植入的DLL木马,弥补了现有杀毒软件的不足,更好地保证用户操作***的正常运行。
实施例二
本发明实施例二还提供一种木马检测方法,在上述实施例技术方案的基础上,该方法中所述设定***目录为System32目录、Windows目录和***环境变量目录中至少一个。
具体来说,对于现有Window操作***,如Windows XP、Windows7和Windows Vista等,其大部分的***DLL文件,也是操作***关键进程的DLL文件被存放在System32目录下。
System32目录下的DLL文件,如Winsock.dll、Shdoclc.dll、Comres.dll由于其属于操作***最常用的一些DLL文件,被注入修改成为DLL木马的可能性便越大。Winsock.dll为Windows操作***的应用程序接口文件,支持很多与网络相关应用程序;Shdoclc.dll为Windows操作***窗口及对话框设置的文件;Comres.dll为Windows操作***的服务网络支撑文件。
System32目录下的DLL文件,如Sfc.dll、Sfc_os.dll负责***文件的检测,可对***的DLL文件进行自检测,因此成为DLL木马的篡改的目标文件的可能性很大。
基于上述,需扫描System32目录下的所有DLL文件,也就扫描了操作***的大部分的DLL文件,也扫描了影响操作***关键进程的DLL文件。而通过修改***DLL文件注入的DLL木马,要想通过***进程的启动而被调用,修改System32目录下的DLL文件的可能性比较大些。通过扫描System32目录下的所有DLL文件,便可检测出被篡改之后的DLL文件,从而可确定DLL木马。
System32目录位于Windows目录下,还可以扩大扫描范围,而扫描Windows目录,其检测木马的概率更高。
***环境变量目录下存储了运行操作***进程所需要使用到的信息。***环境变量目录例如可以是存储应用程序的位置或路径信息的Path环境变量目录,***进程启动之前通过该目录下的DLL文件查找需要的路径信息,进而调用对应的DLL文件来启动进程。***环境变量目录还可以是OS环境变量目录、也可以是存储可执行命令处理程序路径的ComSpec环境变量目录等。
由于System32目录、Windows目录和***环境变量目录作为操作***的关键目录,是最有可能成为DLL木马的植入目标,因此,通过扫描System32目录、Windows目录和***环境变量目录至少一个,便可检测出植入在该些目录下的DLL木马。
在上述技术方案中,所述文件指纹为DLL文件中的数据采用消息摘要算法计算得到的文件特征值。
消息摘要算法(Message-Digest Algorithm,简称MD),又称摘要算法、哈希算法。本实施例采用MD5作为特征值来检验DLL文件是否被修改。
在上述方案的基础上,该方法还包括:当在设定***目录下初次存储DLL文件时,为所述DLL文件生成对应的文件指纹;
当所述DLL文件的数据被修改时,根据修改后的DLL文件数据产生新的文件指纹,并将原文件指纹作为历史信息。
具体而言,可以是在新安装操作***之后,便对设定目录下的所有的DLL文件都进行文件指纹的计算,并作为***初始的文件特征值进行存储。
图2为本发明实施例二所提供的木马检测方法的流程图。如图2所示,该方法,在上述技术方案中步骤101中扫描设定***目录下的DLL文件,步骤具体包括:
步骤201、监测设定***函数是否被调用,当所述设定***函数被调用时判断所述设定***函数的操作对象是否为所述***目录下的DLL文件。
步骤202、当所述设定***函数的操作对象为所述***目录下的DLL文件时,确定所述设定***函数所操作的DLL文件,并扫描所述DLL文件。
步骤101具体还包括:
步骤203、判断所述DLL文件的文件指纹是否发生变化。
具体而言,对设定***函数的检测可以是通过设置钩子(HOOK)函数对该设定***函数进行监视,当该设定***函数发生动作变化,即事件发生,如被调用、调用其他函数等操作,该HOOK函数就会返回对应时间的消息位。从而根据返回的消息位便可以监测该设定***是否被调用。
现有的操作***为保证***运行的稳定性,均存在一个操作***的安全保护机制,在Windows XP***中为该安全保护机制为***文件检查(System File Check,简称SFC)机制,在Windows7***和Windows Vista***中该安全保护机制为用户帐户控制(User Account Control,简称UAC)机制。操作***的安全保护机制,使得当***的DLL文件被修改后,验证修改后的DLL文件的数字证书,若验证不通过,则将缓存的原***DLL文件恢复并删除修改的DLL文件。安全保护机制的存在,使得***的DLL文件无法被轻易的修改。
通过修改***的DLL文件的注入的DLL木马,要成功植入***,需要先破解或者绕开***的安全保护机制。
操作***的安全保护机制要破解或绕开,需要调用设定的***函数,来实现。因此当监测到设定***函数被调用时,则可确定操作***的安全保护机制已被破解。当操作***的安全保护机制被破解,且设定***目录下的DLL文件由于非***更新导致的文件指纹发生变化,便可确定文件指纹发生变化的DLL文件为DLL木马。
需要说明的是,监测设定***函数,判断安全保护机制是否被破解,与扫描设定***目录下的DLL文件,判断DLL文件的文件指纹是否发生变化,并无绝对的时间顺序关系,可以同时执行,也可以先判断安全保护机制知否被破解,再扫描设定***目录下的DLL文件,判断DLL文件的文件指纹是否发生变化,还可以先扫描设定***目录下的DLL文件,判断DLL文件的文件指纹是否发生变化,再判断安全保护机制是否被破解。
本发明实施例的方法在安全保护机制被破解且DLL文件的文件指纹发生变化,对DLL木马的检测更准确。
在上述方案的基础中,所述设定***函数为应用处理接口API函数,包括:地址获取函数、远程线程创建函数和文件时间设置函数中至少一个。
具体来说,设定***函数指的是一些***的敏感函数,如地址获取函数GetProcAddress、远程线程创建函数CreateRemoteThread、文件时间设置函数SetFileTime等。
GetProcAddress函数用来检索某个DLL中的输出函数地址。需要说明的是,直接使用GetProcAddress对敏感DLL文件进行函数地址查询通常会被普通杀毒软件即可查出并报警,因此当GetProcAddress常与LoadLibrary函数配合使用,先由LoadLibrary函数取得DLL文件的地址,再将该地址作为参数代入GetProcAddress进行文件中的接口函数地址检索。DLL木马通过调用GetProcAddress函数及Load Library函数,获取***DLL文件中的函数地址,进而直接通过接口地址对DLL文件进行修改,如此很有可能绕开已有杀毒软件的查杀。
调用CreateRemoteThread函数可在另一个进程内创建新线程,被创建的远程线程同样可以共享远程进程的地址空间。通过一个远程线程,进入了远程进程的内存地址空间,也就拥有远程进程相当的权限,继而使得***进程启动即可调用远控实体。若该函数未被调用,那么当***进程启动时,便无法调用远控实体,实现对应的木马功能。
调用SetFileTime函数可对DLL木马的文件名及修改时间等信息进行修改,以伪装成与原***DLL文件类似。如该函数未被调用,修改后的DLL文件也可以被普通杀毒软件直接检测发现,进而进行查杀。
综上,GetProcAddress函数、LoadLibrary函数、CreateRemoteThread函数及SetFileTime函数均需作为敏感函数,监控敏感函数是否被调用,以检测通过修改***DLL的DLL木马。
进一步地,在上述方案的基础上,步骤103中的判断DLL文件的文件指纹发生变化的原因是否属于***更新,包括:
当所述DLL文件的文件指纹发生变化,读取***进程监控器存储的所述DLL文件对应的文件读写记录;
根据所述DLL文件对应的文件读写记录确定所述DLL文件的文件指纹发生变化的原因是否属于***更新。
具体来说,***进程监控器结合文件监视器和注册表监视器两个功能,其可记录当前操作***下所有文件的读写记录,及所有进程的注册表。因此,可通过读取得到的***进程监控器中DLL文件对应的读写记录,确定DLL文件的文件指纹发生变化的原因。
本发明实施例二在上述实施例一方案的基础上,提供的木马检测方法,其对于DLL木马的查杀概率更高,查杀更准确。
实施例三
本发明实施例三提供一种木马检测方法,通过具体实例进行解释说明。图3为本发明实施例三所提供的木马检测方法的流程图。如图3所示,该方法包括:
步骤301、监测API函数,具体是监测地址获取函数、库下载函数、远程线程创建函数和文件时间设置函数中至少一个是否被调用。若是,则执行步骤302。若否,则执行步骤307,该操作***安全。
步骤302、当API函数被调用时,判断该API函数的操作对象是否为***目录下的DLL文件。
步骤303、当该API函数的操作对象为***目录下的DLL文件,确定该API函数所操作的DLL文件,判断该DLL文件的MD5值是否发生变化。若是,则执行步骤304。若否,则执行步骤307,该操作***安全。
步骤304、当DLL文件的MD5值发生变化,判断***更新函数是否被调用。若是,则执行步骤307,该操作***安全。如否,则执行步骤305。
步骤305、当所述***更新函数未被调用,确定该DLL文件为DLL木马。
步骤306、提示用户当前操作***存在DLL木马。
提示用户可以是通过发送报警声音,也可以是通过显示界面告知用户,以等待用户进一步地操作,如立刻查杀、忽略或稍后执行查杀等。
步骤307、提示用户操作***未检测到DLL木马。
本发明实施例是在上述实施例的基础上,通过具体的实例进行解释说明,其具体的实现过程和有益效果与上述实施例类似,在此不再赘述。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (7)
1.一种木马检测方法,其特征在于,包括:
扫描设定***目录下的动态链接库DLL文件,判断所述DLL文件的文件指纹是否发生变化;
若所述DLL文件的文件指纹发生变化,判断***更新函数是否被调用;
若所述***更新函数未被调用,确定所述DLL文件为DLL木马。
2.根据权利要求1所述的方法,其特征在于,所述设定***目录为System32目录、Windows目录和***环境变量目录中至少一个。
3.根据权利要求1所述的方法,其特征在于,所述文件指纹为DLL文件中的数据采用消息摘要算法计算得到的文件特征值。
4.根据权利要求1-3任一所述的方法,其特征在于,所述扫描设定***目录下的DLL文件,包括:
监测设定***函数是否被调用,当所述设定***函数被调用时判断所述设定***函数的操作对象是否为所述***目录下的DLL文件;
当所述设定***函数的操作对象为所述***目录下的DLL文件时,确定所述设定***函数所操作的DLL文件,并扫描所述DLL文件。
5.根据权利要求4所述的方法,其特征在于,所述设定***函数为应用处理接口API函数,包括:地址获取函数、库下载函数、远程线程创建函数和文件时间设置函数中至少一个。
6.根据权利要求1所述的方法,其特征在于,还包括:
当在设定***目录下初次存储DLL文件时,为所述DLL文件生成对应的文件指纹;
当所述DLL文件的数据被修改时,根据修改后的DLL文件数据产生新的文件指纹,并将原文件指纹作为历史信息。
7.根据权利要求1所述的方法,其特征在于,判断所述DLL文件的文件指纹发生变化的原因是否属于***更新,包括:
当所述DLL文件的文件指纹发生变化,读取***进程监控器存储的所述DLL文件对应的文件读写记录;
根据所述DLL文件对应的文件读写记录确定所述DLL文件的文件指纹发生变化的原因是否属于***更新。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310425258.1A CN103632093B (zh) | 2013-09-17 | 木马检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310425258.1A CN103632093B (zh) | 2013-09-17 | 木马检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103632093A true CN103632093A (zh) | 2014-03-12 |
CN103632093B CN103632093B (zh) | 2016-11-30 |
Family
ID=
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103944757A (zh) * | 2014-04-11 | 2014-07-23 | 珠海市君天电子科技有限公司 | 网络异常检测的方法和装置 |
CN104200164A (zh) * | 2014-09-10 | 2014-12-10 | 北京金山安全软件有限公司 | 一种加载器Loader病毒的查杀方法、装置及终端 |
CN104751058A (zh) * | 2015-03-16 | 2015-07-01 | 联想(北京)有限公司 | 一种文件扫描方法及电子设备 |
CN106991328A (zh) * | 2017-03-30 | 2017-07-28 | 兴华永恒(北京)科技有限责任公司 | 一种基于动态内存指纹异常分析的漏洞利用检测识别方法 |
CN110795733A (zh) * | 2019-10-12 | 2020-02-14 | 苏州浪潮智能科技有限公司 | 管理主机中文件方法和装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1155700A (zh) * | 1996-09-08 | 1997-07-30 | 周跃平 | 计算机软件保护方法 |
CN1512355A (zh) * | 2002-12-30 | 2004-07-14 | 成都三零盛安信息***有限公司 | 一种elf文件格式的代码签名验证方法 |
CN101520832A (zh) * | 2008-12-22 | 2009-09-02 | 康佳集团股份有限公司 | 一种文件代码签名验证***及其方法 |
CN102750476A (zh) * | 2012-06-07 | 2012-10-24 | 腾讯科技(深圳)有限公司 | 鉴定文件安全性的方法和*** |
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1155700A (zh) * | 1996-09-08 | 1997-07-30 | 周跃平 | 计算机软件保护方法 |
CN1512355A (zh) * | 2002-12-30 | 2004-07-14 | 成都三零盛安信息***有限公司 | 一种elf文件格式的代码签名验证方法 |
CN101520832A (zh) * | 2008-12-22 | 2009-09-02 | 康佳集团股份有限公司 | 一种文件代码签名验证***及其方法 |
CN102750476A (zh) * | 2012-06-07 | 2012-10-24 | 腾讯科技(深圳)有限公司 | 鉴定文件安全性的方法和*** |
Non-Patent Citations (1)
Title |
---|
洪帆等: "《基于完整性的文件保护》", 《华中理工大学学报》, vol. 22, no. 1, 31 January 1994 (1994-01-31) * |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103944757A (zh) * | 2014-04-11 | 2014-07-23 | 珠海市君天电子科技有限公司 | 网络异常检测的方法和装置 |
CN103944757B (zh) * | 2014-04-11 | 2017-11-10 | 珠海市君天电子科技有限公司 | 网络异常检测的方法和装置 |
CN104200164A (zh) * | 2014-09-10 | 2014-12-10 | 北京金山安全软件有限公司 | 一种加载器Loader病毒的查杀方法、装置及终端 |
CN104200164B (zh) * | 2014-09-10 | 2017-07-25 | 北京金山安全软件有限公司 | 一种加载器Loader病毒的查杀方法、装置及终端 |
CN104751058A (zh) * | 2015-03-16 | 2015-07-01 | 联想(北京)有限公司 | 一种文件扫描方法及电子设备 |
CN104751058B (zh) * | 2015-03-16 | 2018-08-31 | 联想(北京)有限公司 | 一种文件扫描方法及电子设备 |
CN106991328A (zh) * | 2017-03-30 | 2017-07-28 | 兴华永恒(北京)科技有限责任公司 | 一种基于动态内存指纹异常分析的漏洞利用检测识别方法 |
CN106991328B (zh) * | 2017-03-30 | 2019-11-29 | 兴华永恒(北京)科技有限责任公司 | 一种基于动态内存指纹异常分析的漏洞利用检测识别方法 |
CN110795733A (zh) * | 2019-10-12 | 2020-02-14 | 苏州浪潮智能科技有限公司 | 管理主机中文件方法和装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3036623B1 (en) | Method and apparatus for modifying a computer program in a trusted manner | |
US9280664B2 (en) | Apparatus and method for blocking activity of malware | |
US7478431B1 (en) | Heuristic detection of computer viruses | |
CN107038045B (zh) | 加载库文件的方法及装置 | |
US8443354B1 (en) | Detecting new or modified portions of code | |
US20160142437A1 (en) | Method and system for preventing injection-type attacks in a web based operating system | |
CN103390130A (zh) | 基于云安全的恶意程序查杀的方法、装置和服务器 | |
KR20150134679A (ko) | 패치파일 분석시스템과 분석방법 | |
CN102999720A (zh) | 程序鉴别方法和*** | |
CN102882875A (zh) | 主动防御方法及装置 | |
CN112579202B (zh) | Windows***的服务性程序编辑方法、装置、设备及存储介质 | |
CN113391874A (zh) | 一种虚拟机检测对抗方法、装置、电子设备及存储介质 | |
JP5736335B2 (ja) | アプリケーション解析装置、アプリケーション解析システム、およびプログラム | |
WO2013143714A1 (en) | Controlling anti-virus software updates | |
CN102999721A (zh) | 一种程序处理方法和*** | |
KR101320680B1 (ko) | 소프트웨어의 무결성 검사 장치 및 방법 | |
CN108959915B (zh) | 一种rootkit检测方法、装置及服务器 | |
JP6885255B2 (ja) | フロー生成プログラム、フロー生成装置及びフロー生成方法 | |
CN112241529A (zh) | 恶意代码检测方法、装置、存储介质和计算机设备 | |
CN103632093A (zh) | 木马检测方法 | |
US20190266329A1 (en) | Root Virus Removal Method and Apparatus, and Electronic Device | |
CN103632093B (zh) | 木马检测方法 | |
US20200244461A1 (en) | Data Processing Method and Apparatus | |
US8832838B2 (en) | Computer worm curing system and method and computer readable storage medium for storing computer worm curing method | |
CN103632086A (zh) | 修复基本输入输出***bios恶意程序的方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |