CN103793649A - 通过云安全扫描文件的方法和装置 - Google Patents
通过云安全扫描文件的方法和装置 Download PDFInfo
- Publication number
- CN103793649A CN103793649A CN201310597951.7A CN201310597951A CN103793649A CN 103793649 A CN103793649 A CN 103793649A CN 201310597951 A CN201310597951 A CN 201310597951A CN 103793649 A CN103793649 A CN 103793649A
- Authority
- CN
- China
- Prior art keywords
- compressed package
- file
- decompression
- package
- described compressed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Debugging And Monitoring (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种通过云安全扫描文件的方法和装置,属于通信安全领域。所述方法包括:从当前下载的压缩包中提取信息;根据提取的信息,判断所述压缩包是否安全;如果不安全,则提供安全性提示信息;调用与所述压缩包的压缩格式对应的解压缩接口;通过调用的解压缩接口对所述压缩包进行解压缩,并直接将解压缩得到的文件映射到内存;对解压缩得到的文件进行扫描查杀。所述装置包括:提取模块、第一判断模块、提示模块、第一调用模块、第一处理模块和第一扫描查杀模块。本发明通过调用的解压缩接口对压缩包进行解压缩,并直接将解压缩得到的文件映射到内存,使得可以实现对任何格式的压缩包进行解压缩,能够完全扫描查杀,不存在安全漏洞。
Description
技术领域
本申请涉及通信安全领域,具体涉及一种通过云安全扫描文件的方法和装置。
背景技术
随着通信技术的发展,手机、计算机等终端设备的功能越来越强大,不但可以通过终端设备上网浏览信息,而且还可以通过终端设备进行购物支付、下载各种资料等。为了保护终端设备的安全,防止终端设备中毒,常常会在终端设备中安装各种安全软件,通过安全软件对终端设备中的资料、或正在下载的资料等进行杀毒。
现有安全软件在杀毒时,利用安全软件中预设的解压缩引擎对压缩包进行解压缩,然后对解压缩得到的文件进行扫描查杀。
然而,压缩包的格式有很多种,解压缩不同格式的压缩包,需要使用不同的解压缩引擎,因此现有安全软件只能解压缩与预设的解压缩引擎对应压缩格式的压缩包,解压缩具有局限性,从而不能完全扫描查杀,存在安全漏洞,如一些恶意软件通过把CMD文件、bat的文件、或快捷方式打包在一个压缩包里,或者传递其中的单个文件(pif)、图标,可能是应用程序的文件,或者VBS(一种脚本文件),建立一个文件夹并放置一个文件夹配置文件(desktop.ini),使用计划任务,或者使用模拟鼠标点击等。甚至网购木马等会传送一个压缩包,后续解压缩到用户电脑的桌面上,如果用户主动点击或者不小心双击启动,压缩包所包含的文件会产生危险。
发明内容
本申请所要解决的技术问题在于提供一种通过云安全扫描文件的方法和装置,通过调用的解压缩接口对压缩包进行解压缩,并直接将解压缩得到的文件映射到内存,对解压缩得到的文件进行扫描查杀,使得可以实现对任何格式的压缩包进行解压缩,能够完全扫描查杀,不存在安全漏洞。
为了解决上述问题,本申请公开了一种扫描文件的方法,所述方法包括:
从当前下载的压缩包中提取信息;
根据提取的信息,判断所述压缩包是否安全;
如果不安全,则提供安全性提示信息;
调用与所述压缩包的压缩格式对应的解压缩接口;
通过调用的解压缩接口对所述压缩包进行解压缩,并直接将解压缩得到的文件映射到内存;
对解压缩得到的文件进行扫描查杀。
进一步地,所述提取的信息包括:所述压缩包的下载来源、所述压缩包的存放路径和所述压缩包的特征标识;
相应地,所述根据提取的信息,判断所述压缩包是否安全包括:
根据所述压缩包的下载来源、所述压缩包的存放路径和所述压缩包的特征标识,对所述压缩包的安全性进行检测;
根据检测结果,判断所述压缩包是否安全。
进一步地,调用与所述压缩包的压缩格式对应的解压缩接口之前,还包括:
获取所述压缩包的压缩格式;
判断所述压缩包的压缩格式与本地默认的解压缩引擎是否对应;
如果不对应,则执行所述调用与所述压缩包的压缩格式对应的解压缩接口的步骤。
进一步地,获取所述压缩包的压缩格式,包括:
监控程序的进程创建操作;
获取被创建进程执行时的命令行参数;
根据被创建进程执行时的命令行参数,得到所述压缩包对应的被创建进程的进程路径;
根据所述进程路径包含的进程文件的文件名,得到所述压缩包的压缩格式。
进一步地,判断所述压缩包的压缩格式与本地默认的解压缩引擎是否对应之后,还包括:
如果对应,则调用本地默认的解压缩引擎对所述压缩包进行解压缩,然后执行所述对解压缩得到的文件进行扫描查杀的步骤。
进一步地,对所述压缩包进行解压缩时,还包括:
监测解压缩过程,根据文件创建操作和文件关闭操作确定是否得到解压缩的文件。
进一步地,监测解压缩过程,根据文件创建操作和文件关闭操作确定是否得到解压缩的文件,包括:
监控解压缩进程;
如果解压缩进程的父进程为解压缩应用,并且解压缩应用解压缩的压缩包中包含解压缩进程的进程文件,则判定解压缩进程的进程文件为来自压缩包的文件;
当解压缩进程完成一次文件创建操作和文件关闭操作时,确定解压出一个文件。
进一步地,对解压缩得到的文件进行扫描查杀之前,还包括:
判断解压缩得到的文件中是否包含压缩包;
如果包含,则调用与解压缩得到的文件中包含的压缩包的压缩格式对应的解压缩接口;
通过调用的解压缩接口对解压缩得到的文件中包含的压缩包进行解压缩,并直接将解压缩得到的文件映射到内存,然后执行对解压缩得到的文件进行扫描查杀的步骤。
进一步地,对解压缩得到的文件进行扫描查杀,包括:
从服务器端查询解压缩得到的文件的安全等级;
根据安全等级,对解压缩得到的文件进行扫描查杀。
为了解决上述问题,本申请还公开了一种扫描文件的装置,所述装置包括:
提取模块,用于从当前下载的压缩包中提取信息;
第一判断模块,用于根据提取的信息,判断所述压缩包是否安全;
提示模块,用于如果所述第一判断模块的判断结果是不安全,则提供安全性提示信息;
第一调用模块,用于调用与所述压缩包的压缩格式对应的解压缩接口;
第一处理模块,用于通过调用的解压缩接口对所述压缩包进行解压缩,并直接将解压缩得到的文件映射到内存;
第一扫描查杀模块,用于对解压缩得到的文件进行扫描查杀。
进一步地,所述提取的信息包括:所述压缩包的下载来源、所述压缩包的存放路径和所述压缩包的特征标识;
相应地,所述第一判断模块包括:
检测单元,用于根据所述压缩包的下载来源、所述压缩包的存放路径和所述压缩包的特征标识,对所述压缩包的安全性进行检测;
判断单元,用于根据检测结果,判断所述压缩包是否安全。
进一步地,所述装置还包括:
获取模块,用于在调用与所述压缩包的压缩格式对应的解压缩接口之前,获取所述压缩包的压缩格式;
第二判断模块,用于判断所述压缩包的压缩格式与本地默认的解压缩引擎是否对应;
第一通知模块,用于如果所述第二判断模块的判断结果是不对应,则通知所述第一调用模块执行调用与所述压缩包的压缩格式对应的解压缩接口的步骤。
进一步地,所述获取模块包括:
第一监控单元,用于监控程序的进程创建操作;
第一获取单元,用于获取被创建进程执行时的命令行参数;
第二获取单元,用于根据被创建进程执行时的命令行参数,得到所述压缩包对应的被创建进程的进程路径;
第三获取单元,用于根据所述进程路径包含的进程文件的文件名,得到所述压缩包的压缩格式。
进一步地,所述装置还包括:
第二通知模块,用于如果所述第二判断模块的判断结果是对应,则调用本地默认的解压缩引擎对所述压缩包进行解压缩,然后通知所述第一扫描查杀模块执行对解压缩得到的文件进行扫描查杀的步骤。
进一步地,所述装置还包括:
监测模块,用于对所述压缩包进行解压缩时,监测解压缩过程,根据文件创建操作和文件关闭操作确定是否得到解压缩的文件。
进一步地,所述监测模块包括:
第二监控单元,用于监控解压缩进程;
判定单元,用于如果解压缩进程的父进程为解压缩应用,并且解压缩应用解压缩的压缩包中包含解压缩进程的进程文件,则判定解压缩进程的进程文件为来自压缩包的文件;
确定单元,用于当解压缩进程完成一次文件创建操作和文件关闭操作时,确定解压出一个文件。
进一步地,所述装置还包括:
第三判断模块,用于判断解压缩得到的文件中是否包含压缩包;
第二调用模块,用于如果包含,则调用与解压缩得到的文件中包含的压缩包的压缩格式对应的解压缩接口;
第二处理模块,用于通过调用的解压缩接口对解压缩得到的文件中包含的压缩包进行解压缩,并直接将解压缩得到的文件映射到内存,然后执行对解压缩得到的文件进行扫描查杀的步骤。
进一步地,所述第一扫描查杀模块包括:
查询单元,用于从服务器端查询解压缩得到的文件的安全等级;
扫描查杀单元,用于根据安全等级,对解压缩得到的文件进行扫描查杀。
与现有技术相比,本申请可以获得包括以下技术效果:
通过调用的解压缩接口对压缩包进行解压缩,并直接将解压缩得到的文件映射到内存,对解压缩得到的文件进行扫描查杀,使得可以实现对任何格式的压缩包进行解压缩,能够完全扫描查杀,不存在安全漏洞。可以通过本地默认的解压缩引擎对相应压缩格式的压缩包进行解压缩,可以加快解压缩的速度,提高安全扫描的效率。可以监测解压缩过程,根据文件创建操作和文件关闭操作确定是否得到解压缩的文件,确保得到解压缩的文件。
当然,实施本申请的任一产品必不一定需要同时达到以上所述的所有技术效果。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是本申请实施例的第一种通过云安全扫描文件的方法流程图;
图2是本申请实施例的第二种通过云安全扫描文件的方法流程图;
图3是本申请实施例的第一种通过云安全扫描文件的装置结构示意图;
图4是本申请实施例的第二种通过云安全扫描文件的装置结构示意图;
图5是本申请实施例的第三种通过云安全扫描文件的装置结构示意图;
图6是本申请实施例的第四种通过云安全扫描文件的装置结构示意图;
图7是本申请实施例的第五种通过云安全扫描文件的装置结构示意图。
具体实施方式
以下将配合附图及实施例来详细说明本申请的实施方式,藉此对本申请如何应用技术手段来解决技术问题并达成技术功效的实现过程能充分理解并据以实施。
为了适应恶意程序的更新速度,以快速地识别和查杀恶意程序,目前普遍利用主动防御技术查杀恶意程序。主动防御技术是基于程序的行为进行自主分析判断的实时防护技术,通过在***的关键位置设置拦截点对***的关键位置进行保护。当有程序执行修改这些关键位置的行为(例如写入注册表、创建计划任务、修改浏览器首页、修改默认浏览器和注册浏览器插件等行为)时,就会对该程序进行拦截,拦截后需要判断此次修改行为是否为恶意的,通常对行为的判断是通过判断执行此次修改行为的程序是否安全来实现的,如果程序是恶意的,则说明该修改行为是恶意的,因此需要拦截该程序的执行。一般来说,主动防御技术是通过对程序的文件进行检查,以检测程序的安全性。但是在检查程序的文件时,需要计算文件的哈希值,还需要访问网络,这些都是比较耗费时间的操作,并且一般的程序会加载几十个甚至上百个DLL文件,即使使用缓存技术进行优化,还是会明显延长程序的启动时间。因此,为了尽可能减小对程序性能的影响,主动防御技术只对程序的EXE文件进行检测,而不检查程序加载的DLL文件。因此,一些恶意程序就利用这一点,通过DLL劫持技术将该恶意程序的DLL文件与可信任的白名单中的程序(例如操作***自带的程序)打包在一起,当用户选择执行该白名单中的程序时,其中恶意程序的DLL文件就会被加载,从而使主动防御技术不能成功拦截该恶意程序。而本发明提供的扫描文件的方法还可以扫描DLL文件,解决上述问题
实施例描述
下面以一实施例对本申请方法的实现作进一步说明。如图1所示,为本申请实施例的一种扫描文件的方法流程图,该方法包括:
S101:从当前下载的压缩包中提取信息。
S102:根据提取的信息,判断压缩包是否安全。
S103:如果不安全,则提供安全性提示信息。
S104:调用与压缩包的压缩格式对应的解压缩接口。
S105:通过调用的解压缩接口对压缩包进行解压缩,并直接将解压缩得到的文件映射到内存。
S106:对解压缩得到的文件进行扫描查杀。
优选地,提取的信息包括:压缩包的下载来源、压缩包的存放路径和压缩包的特征标识;
相应地,根据提取的信息,判断压缩包是否安全包括:
根据压缩包的下载来源、压缩包的存放路径和压缩包的特征标识,对压缩包的安全性进行检测;
根据检测结果,判断压缩包是否安全。
优选地,调用与压缩包的压缩格式对应的解压缩接口之前还包括:
获取压缩包的压缩格式;
判断压缩包的压缩格式与本地默认的解压缩引擎是否对应;
如果不对应,则执行调用与压缩包的压缩格式对应的解压缩接口的步骤。
优选地,获取压缩包的压缩格式,包括:
监控程序的进程创建操作;
获取被创建进程执行时的命令行参数;
根据被创建进程执行时的命令行参数,得到压缩包对应的被创建进程的进程路径;
根据所述进程路径包含的进程文件的文件名,得到压缩包的压缩格式。
优选地,判断压缩包的压缩格式与本地默认的解压缩引擎是否对应之后,还包括:
如果对应,则调用本地默认的解压缩引擎对压缩包进行解压缩,然后执行对解压缩得到的文件进行扫描查杀的步骤。
优选地,对压缩包进行解压缩时,还包括:
监测解压缩过程,根据文件创建操作和文件关闭操作确定是否得到解压缩的文件。
优选地,监测解压缩过程,根据文件创建操作和文件关闭操作确定是否得到解压缩的文件,包括:
监控解压缩进程;
如果解压缩进程的父进程为解压缩应用,并且解压缩应用解压缩的压缩包中包含解压缩进程的进程文件,则判定解压缩进程的进程文件为来自压缩包的文件;
当解压缩进程完成一次文件创建操作和文件关闭操作时,确定解压出一个文件。
优选地,对解压缩得到的文件进行扫描查杀之前,还包括:
判断解压缩得到的文件中是否包含压缩包;
如果包含,则调用与解压缩得到的文件中包含的压缩包的压缩格式对应的解压缩接口;
通过调用的解压缩接口对解压缩得到的文件中包含的压缩包进行解压缩,并直接将解压缩得到的文件映射到内存,然后执行对解压缩得到的文件进行扫描查杀的步骤。
优选地,对解压缩得到的文件进行扫描查杀,包括:
从服务器端查询解压缩得到的文件的安全等级;
根据安全等级,对解压缩得到的文件进行扫描查杀。
本实施例所述的扫描文件的方法,通过调用的解压缩接口对压缩包进行解压缩,并直接将解压缩得到的文件映射到内存,对解压缩得到的文件进行扫描查杀,使得可以实现对任何格式的压缩包进行解压缩,能够完全扫描查杀,不存在安全漏洞。可以通过本地默认的解压缩引擎对相应压缩格式的压缩包进行解压缩,可以加快解压缩的速度,提高安全扫描的效率。可以监测解压缩过程,根据文件创建操作和文件关闭操作确定是否得到解压缩的文件,确保得到解压缩的文件。
下面以另一实施例对本申请方法的实现作进一步说明。如图2所示,为本申请实施例的一种扫描文件的方法流程图,该方法包括:
S201:从当前下载的压缩包中提取信息。
具体地,当客户端设备在下载压缩包时,可以从当前下载的压缩包中提取当前下载的压缩包的信息,并将当前下载的压缩包的信息记录在预设的压缩包数据库中。
其中,压缩包的信息可以包括下面信息中的一种或多种:压缩包的下载来源、压缩包的存放路径、压缩包的特征标识等。压缩包的下载来源主要包括压缩包下载过程涉及的各种相关信息中的一种或多种,比如下载工具类型、下载URL(UniformResourceLocator,统一资源定位符)及网页URL等。下载工具类型,一般指该压缩包是通过什么途径下载的,比如即时通讯工具、邮件客户端等,例如,可以支持Outlook/Foxmail等邮件客户端,还可以进一步的支持WEB浏览器,IE/Chrome等专用下载工具,迅雷/电驴等下载工具。下载URL,一般指该压缩包自身的下载链接。网页URL,一般指下载URL所在的web网页的URL。压缩包的特征标识,只要是可以用来唯一标识压缩包的信息即可,比如可以是MD5或者SHA1等信息摘要。
S202:根据提取的信息,判断压缩包是否安全,如果不安全,则执行S203;否则,执行S204。
具体地,根据提取的信息,判断压缩包是否安全包括:
根据提取的信息中包括的压缩包的下载来源、压缩包的存放路径和压缩包的特征标识,对压缩包的安全性进行检测;
根据检测结果,判断压缩包是否安全。
S203:提供安全性提示信息。
S204:获取压缩包的压缩格式。
具体地,压缩格式包括ace、winrar、ar、ip、tar、cab、uue、jar、iso、z、7-zip、lzh、arj、gzip、bz2等。
具体地,获取压缩包的压缩格式,包括
监控程序的进程创建操作;
获取被创建进程执行时的命令行参数;
根据被创建进程执行时的命令行参数,得到压缩包对应的被创建进程的进程路径;
根据进程路径包含的进程文件的文件名,得到压缩包的压缩格式。
其中,监控进程创建操作的具体方式可以有很多种,例如捕获进程创建的相关函数。通过监控进程创建操作,不但可以获得被创建进程执行时的命令行参数,还可以获得被创建进程的进程路径。
其中,命令行参数包含的内容较多,例如一般包括被创建进程的进程路径、压缩包的存放路径、更具体的进程参数等。如,某一解压缩进程的命令行参数为"C:\Program Files\AAA\AAAzip\AAAzip.exe"-s"C:\Test\test.zip""C:\Test\test,其中,"C:\Program Files\AAA\AAAzip\AAAzip.exe"即为被创建进程的进程路径,"-s"是用来表明该进程是解压缩进程、而非压缩进程的一种参数信息,"C:\Test\test.zip"是压缩包的存放路径参数信息。当然,有些情况下,命令行参数中可能也没有进程路径。但是,通过监控进程创建操作,捕获进程创建的相关函数,也可以获得被创建进程的进程路径。
其中,被创建进程的进程路径中通常会有进程文件的相关信息,如“WinRAR.exe”或“AAAZip.exe”等文件名,根据进程文件的文件名即可以得到压缩包的压缩格式。
具体地,无论哪种压缩格式的压缩包,都可以通过本实施例的方法进行解压缩,实现对解压缩得到的文件进行扫描查杀。
S205:判断压缩包的压缩格式与本地默认的解压缩引擎是否对应,如果对应,则执行S206;否则,执行S207。
具体地,可以获取本地用户默认的解压缩工具,利用本地用户默认的解压缩工具的解压缩引擎解压缩对应的压缩包。
S206:调用本地默认的解压缩引擎对压缩包进行解压缩,然后执行S208。
具体地,例如:本地用户默认的解压缩工具是WINRAR,要解压缩压缩包A。调用本地默认的解压缩引擎对压缩包进行解压缩具体为在解压缩A的命令行传递WINRAR。
S207:调用与压缩包的压缩格式对应的解压缩接口,然后执行S208。
具体地,如压缩包的压缩格式为ace,则调用ace解压缩接口。
S208:通过调用的解压缩接口对压缩包进行解压缩,并直接将解压缩得到的文件映射到内存,然后执行S209。
现有解压缩本地磁盘上的文件(如ace格式的文件)时,解压缩文件必须释放到本地磁盘,具有局限性。如果不能解除这个限制条件,就能被木马作者利用,木马作者可以将ace文件X.ace使用winrar压缩为xxx.rar,安全软件利用自身解压引擎解压出了x.ace,这时候x.ace如果不释放到磁盘只是存储与内存,就不能利用ace解压库来解压。而利用本发明的“解压适配器”能够达到解压x.ace内存块的效果,而不用释放到磁盘(写磁盘会很耗时),节约安全扫描时间。
具体地,对压缩包进行解压缩时,还包括:
监测解压缩过程,根据文件创建操作和文件关闭操作确定是否得到解压缩的文件。
具体地,可以通过HOOK、kernel32操作应用程序接口(API)的方法,来监测S206和S208的解压缩过程。在监测时,当检测到A文件创建操作(A代表正在解压缩出的一个新文件),则证明A文件正在被解压缩,当检测到A文件关闭操作,则证明A文件被解压缩完成,确定得到了解压缩的文件A。以此类推能够得到解压缩的文件B、文件C等压缩包中包含的所有文件。
具体地,监测解压缩过程,根据文件创建操作和文件关闭操作确定是否得到解压缩的文件包括:
监控解压缩进程;
如果解压缩进程的父进程为解压缩应用,并且解压缩应用解压缩的压缩包中包含解压缩进程的进程文件,则判定解压缩进程的进程文件为来自压缩包的文件;
当解压缩进程完成一次文件创建操作和文件关闭操作时,确定解压出一个文件。
其中,解压缩进程在解压出一个文件时,还会生成与文件相关的其他信息,比如文件名称信息、文件描述信息、文件大小信息、文件版本信息、文件特征值信息、内部名称信息、公司名称信息、版权声明信息、产品名称信息、产品版本信息、数字签名公司信息,以及待执行程序创建的进程的命令行信息、进程路径信息和父进程路径信息等,这些信息都可以记录到预设的解压缩数据库。并且,文件包括直接解压缩出来的文件、衍生文件、在文件执行过程时加载的其他文件、以及通过多层进程生成的文件等,而且文件还可能是可执行文件(pe文件),也可能是非可执行文件。可执行文件包括但不限于exe类文件、脚本文件、批处理文件以及link文件等。
S209:对解压缩得到的文件进行扫描查杀。
具体地,对解压缩得到的文件进行扫描查杀,可以采用黑白名单(提前收集病毒文件的标识放在黑名单,收集默认保护的文件的标识放在白名单,利用黑白名单进行遍历扫描查杀)、主动防御(将行为作为对象来扫描查杀,行为有标识码(例如md5),做出行为的进程或者程序也有标识;扫描查杀时,如果行为本身被判断为坏行为,或者做出行为的进程或程序被判断为坏程序或坏进程,则查杀这个行为)、云查杀(服务器端建立数据库,进行终端侧的采集,如果采集到的大部分终端都认为某个文件是病毒,那就直接判定这个文件为病毒,并更新在库中下发给所有终端)、安全等级等方法实现,对此不做具体限定。
其中,当采用安全等级方法,对解压缩得到的文件进行扫描查杀时,具体包括:
从服务器端查询解压缩得到的文件的安全等级;
根据安全等级,对解压缩得到的文件进行扫描查杀。
在本实施例中,安全等级包括安全、未知、可疑/高度可疑、以及恶意等。对于安全等级的设置,可以设置等级为10-29时为安全(该等级的文件为白文件),等级为30-49时为未知(该等级的文件为灰文件),等级为50-69时为可疑/高度可疑(该等级的文件为可疑文件),等级大于或等于70时为恶意(该等级的文件为恶意文件)。当然,还可以设置安全等级为其他形式,本发明对此并不加以限制。
具体地,可以通过用于查杀可移植执行体(Portable Execute,PE)类型文件的云查杀引擎,或者人工智能引擎(Qihoo Virtual Machine,QVM)对解压缩得到的文件进行扫描查杀。其中,PE类型文件通常指Windows操作***上的程序文件,常见的PE类型文件包括EXE、DLL、OCX、SYS、COM等类型文件。
具体地,对解压缩得到的文件进行扫描查杀之前,还可以包括:
判断解压缩得到的文件中是否包含压缩包;如果包含压缩包,则对解压缩得到的文件中包含的压缩包按照上述步骤S201-S209进行解压缩和扫描查杀。
本实施例所述的扫描文件的方法,通过调用的解压缩接口对压缩包进行解压缩,并直接将解压缩得到的文件映射到内存,对解压缩得到的文件进行扫描查杀,使得可以实现对任何格式的压缩包进行解压缩,能够完全扫描查杀,不存在安全漏洞。可以通过本地默认的解压缩引擎对相应压缩格式的压缩包进行解压缩,可以加快解压缩的速度,提高安全扫描的效率。可以监测解压缩过程,根据文件创建操作和文件关闭操作确定是否得到解压缩的文件,确保得到解压缩的文件。
如图3所示,是本申请实施例的一种扫描文件的装置结构图,该装置包括:
提取模块301,用于从当前下载的压缩包中提取信息;
第一判断模块302,用于根据提取的信息,判断压缩包是否安全;
提示模块303,用于如果第一判断模块302的判断结果是不安全,则提供安全性提示信息;
第一调用模块304,用于调用与压缩包的压缩格式对应的解压缩接口;
第一处理模块305,用于通过调用的解压缩接口对压缩包进行解压缩,并直接将解压缩得到的文件映射到内存;
第一扫描查杀模块306,用于对解压缩得到的文件进行扫描查杀。
优选地,提取的信息包括:压缩包的下载来源、压缩包的存放路径和压缩包的特征标识;
相应地,第一判断模块302包括:
检测单元,用于根据压缩包的下载来源、压缩包的存放路径和压缩包的特征标识,对压缩包的安全性进行检测;
判断单元,用于根据检测结果,判断压缩包是否安全。
优选地,参见图4,该装置还包括:
获取模块307,用于在调用与压缩包的压缩格式对应的解压缩接口之前,获取压缩包的压缩格式;
第二判断模块308,用于判断压缩包的压缩格式与本地默认的解压缩引擎是否对应;
第一通知模块309,用于如果第二判断模块308的判断结果是不对应,则通知第一调用模块304执行调用与压缩包的压缩格式对应的解压缩接口的步骤。
优选地,获取模块307包括:
第一监控单元,用于监控程序的进程创建操作;
第一获取单元,用于获取被创建进程执行时的命令行参数;
第二获取单元,用于根据被创建进程执行时的命令行参数,得到压缩包对应的被创建进程的进程路径;
第三获取单元,用于根据所述进程路径包含的进程文件的文件名,得到压缩包的压缩格式。
优选地,参见图5,该装置还包括:
第二通知模块310,用于如果第二判断模块308的判断结果是对应,则调用本地默认的解压缩引擎对压缩包进行解压缩,然后通知第一扫描查杀模块306执行对解压缩得到的文件进行扫描查杀的步骤。
优选地,参见图6,该装置还包括:
监测模块311,用于对压缩包进行解压缩时,监测解压缩过程,根据文件创建操作和文件关闭操作确定是否得到解压缩的文件。
优选地,监测模块311包括:
第二监控单元,用于监控解压缩进程;
判定单元,用于如果解压缩进程的父进程为解压缩应用,并且解压缩应用解压缩的压缩包中包含解压缩进程的进程文件,则判定解压缩进程的进程文件为来自压缩包的文件;
确定单元,用于当解压缩进程完成一次文件创建操作和文件关闭操作时,确定解压出一个文件。
优选地,参见图7,该装置还包括:
第三判断模块312,用于判断解压缩得到的文件中是否包含压缩包;
第二调用模块313,用于如果包含,则调用与解压缩得到的文件中包含的压缩包的压缩格式对应的解压缩接口;
第二处理模块314,用于通过调用的解压缩接口对解压缩得到的文件中包含的压缩包进行解压缩,并直接将解压缩得到的文件映射到内存,然后执行对解压缩得到的文件进行扫描查杀的步骤。
优选地,第一扫描查杀模块306包括:
查询单元,用于从服务器端查询解压缩得到的文件的安全等级;
扫描查杀单元,用于根据安全等级,对解压缩得到的文件进行扫描查杀。
本实施例所述的扫描文件的装置,通过调用的解压缩接口对压缩包进行解压缩,并直接将解压缩得到的文件映射到内存,对解压缩得到的文件进行扫描查杀,使得可以实现对任何格式的压缩包进行解压缩,能够完全扫描查杀,不存在安全漏洞。可以通过本地默认的解压缩引擎对相应压缩格式的压缩包进行解压缩,可以加快解压缩的速度,提高安全扫描的效率。可以监测解压缩过程,根据文件创建操作和文件关闭操作确定是否得到解压缩的文件,确保得到解压缩的文件。
所述装置与前述的方法流程描述对应,不足之处参考上述方法流程的叙述,不再一一赘述。
上述说明示出并描述了本申请的若干优选实施例,但如前所述,应当理解本申请并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、修改和环境,并能够在本文所述发明构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本申请的精神和范围,则都应在本申请所附权利要求的保护范围内。
本申请的实施例揭示了A1、一种扫描文件的方法,其特征在于,所述方法包括:从当前下载的压缩包中提取信息;根据提取的信息,判断所述压缩包是否安全;如果不安全,则提供安全性提示信息;调用与所述压缩包的压缩格式对应的解压缩接口;通过调用的解压缩接口对所述压缩包进行解压缩,并直接将解压缩得到的文件映射到内存;对解压缩得到的文件进行扫描查杀。A2、如A1所述的方法,其特征在于,所述提取的信息包括:所述压缩包的下载来源、所述压缩包的存放路径和所述压缩包的特征标识;相应地,所述根据提取的信息,判断所述压缩包是否安全包括:根据所述压缩包的下载来源、所述压缩包的存放路径和所述压缩包的特征标识,对所述压缩包的安全性进行检测;根据检测结果,判断所述压缩包是否安全。A3、如A1所述的方法,其特征在于,调用与所述压缩包的压缩格式对应的解压缩接口之前,还包括:获取所述压缩包的压缩格式;判断所述压缩包的压缩格式与本地默认的解压缩引擎是否对应;如果不对应,则执行所述调用与所述压缩包的压缩格式对应的解压缩接口的步骤。A4、如A3所述的方法,其特征在于,获取所述压缩包的压缩格式,包括:监控程序的进程创建操作;获取被创建进程执行时的命令行参数;根据被创建进程执行时的命令行参数,得到所述压缩包对应的被创建进程的进程路径;根据所述进程路径包含的进程文件的文件名,得到所述压缩包的压缩格式。A5、如A3所述的方法,其特征在于,判断所述压缩包的压缩格式与本地默认的解压缩引擎是否对应之后,还包括:如果对应,则调用本地默认的解压缩引擎对所述压缩包进行解压缩,然后执行所述对解压缩得到的文件进行扫描查杀的步骤。A6、如A1-A5任一所述的方法,其特征在于,对所述压缩包进行解压缩时,还包括:监测解压缩过程,根据文件创建操作和文件关闭操作确定是否得到解压缩的文件。A7、如A6所述的方法,其特征在于,监测解压缩过程,根据文件创建操作和文件关闭操作确定是否得到解压缩的文件,包括:监控解压缩进程;如果解压缩进程的父进程为解压缩应用,并且解压缩应用解压缩的压缩包中包含解压缩进程的进程文件,则判定解压缩进程的进程文件为来自压缩包的文件;当解压缩进程完成一次文件创建操作和文件关闭操作时,确定解压出一个文件。A8、如A1-A5任一所述的方法,其特征在于,对解压缩得到的文件进行扫描查杀之前,还包括:判断解压缩得到的文件中是否包含压缩包;如果包含,则调用与解压缩得到的文件中包含的压缩包的压缩格式对应的解压缩接口;通过调用的解压缩接口对解压缩得到的文件中包含的压缩包进行解压缩,并直接将解压缩得到的文件映射到内存,然后执行对解压缩得到的文件进行扫描查杀的步骤。A9、如A8所述的方法,其特征在于,对解压缩得到的文件进行扫描查杀,包括:从服务器端查询解压缩得到的文件的安全等级;根据安全等级,对解压缩得到的文件进行扫描查杀。
B10、一种扫描文件的装置,其特征在于,所述装置包括:提取模块,用于从当前下载的压缩包中提取信息;第一判断模块,用于根据提取的信息,判断所述压缩包是否安全;提示模块,用于如果所述第一判断模块的判断结果是不安全,则提供安全性提示信息;第一调用模块,用于调用与所述压缩包的压缩格式对应的解压缩接口;第一处理模块,用于通过调用的解压缩接口对所述压缩包进行解压缩,并直接将解压缩得到的文件映射到内存;第一扫描查杀模块,用于对解压缩得到的文件进行扫描查杀。B11、如B10所述的装置,其特征在于,所述提取的信息包括:所述压缩包的下载来源、所述压缩包的存放路径和所述压缩包的特征标识;相应地,所述第一判断模块包括:检测单元,用于根据所述压缩包的下载来源、所述压缩包的存放路径和所述压缩包的特征标识,对所述压缩包的安全性进行检测;判断单元,用于根据检测结果,判断所述压缩包是否安全。B12、如B10所述的装置,其特征在于,所述装置还包括:获取模块,用于在调用与所述压缩包的压缩格式对应的解压缩接口之前,获取所述压缩包的压缩格式;第二判断模块,用于判断所述压缩包的压缩格式与本地默认的解压缩引擎是否对应;第一通知模块,用于如果所述第二判断模块的判断结果是不对应,则通知所述第一调用模块执行调用与所述压缩包的压缩格式对应的解压缩接口的步骤。B13、如B10所述的装置,其特征在于,所述获取模块包括:第一监控单元,用于监控程序的进程创建操作;第一获取单元,用于获取被创建进程执行时的命令行参数;第二获取单元,用于根据被创建进程执行时的命令行参数,得到所述压缩包对应的被创建进程的进程路径;第三获取单元,用于根据所述进程路径包含的进程文件的文件名,得到所述压缩包的压缩格式。B14、如B12所述的装置,其特征在于,所述装置还包括:第二通知模块,用于如果所述第二判断模块的判断结果是对应,则调用本地默认的解压缩引擎对所述压缩包进行解压缩,然后通知所述第一扫描查杀模块执行对解压缩得到的文件进行扫描查杀的步骤。B15、如B10-B14任一所述的装置,其特征在于,所述装置还包括:监测模块,用于对所述压缩包进行解压缩时,监测解压缩过程,根据文件创建操作和文件关闭操作确定是否得到解压缩的文件。B16、如B15所述的装置,其特征在于,所述监测模块包括:第二监控单元,用于监控解压缩进程;判定单元,用于如果解压缩进程的父进程为解压缩应用,并且解压缩应用解压缩的压缩包中包含解压缩进程的进程文件,则判定解压缩进程的进程文件为来自压缩包的文件;确定单元,用于当解压缩进程完成一次文件创建操作和文件关闭操作时,确定解压出一个文件。B17、如B10-B14任一所述的装置,其特征在于,所述装置还包括:第三判断模块,用于判断解压缩得到的文件中是否包含压缩包;第二调用模块,用于如果包含,则调用与解压缩得到的文件中包含的压缩包的压缩格式对应的解压缩接口;第二处理模块,用于通过调用的解压缩接口对解压缩得到的文件中包含的压缩包进行解压缩,并直接将解压缩得到的文件映射到内存,然后执行对解压缩得到的文件进行扫描查杀的步骤。B18、如B17所述的装置,其特征在于,所述第一扫描查杀模块包括:查询单元,用于从服务器端查询解压缩得到的文件的安全等级;扫描查杀单元,用于根据安全等级,对解压缩得到的文件进行扫描查杀。
Claims (10)
1.一种通过云安全扫描文件的方法,其特征在于,所述方法包括:
从当前下载的压缩包中提取信息;
根据提取的信息,判断所述压缩包是否安全;
如果不安全,则提供安全性提示信息;
调用与所述压缩包的压缩格式对应的解压缩接口;
通过调用的解压缩接口对所述压缩包进行解压缩,并直接将解压缩得到的文件映射到内存;
对解压缩得到的文件进行扫描查杀。
2.如权利要求1所述的方法,其特征在于,所述提取的信息包括:所述压缩包的下载来源、所述压缩包的存放路径和所述压缩包的特征标识;
相应地,所述根据提取的信息,判断所述压缩包是否安全包括:
根据所述压缩包的下载来源、所述压缩包的存放路径和所述压缩包的特征标识,对所述压缩包的安全性进行检测;
根据检测结果,判断所述压缩包是否安全。
3.如权利要求1所述的方法,其特征在于,调用与所述压缩包的压缩格式对应的解压缩接口之前,还包括:
获取所述压缩包的压缩格式;
判断所述压缩包的压缩格式与本地默认的解压缩引擎是否对应;
如果不对应,则执行所述调用与所述压缩包的压缩格式对应的解压缩接口的步骤。
4.如权利要求3所述的方法,其特征在于,获取所述压缩包的压缩格式,包括:
监控程序的进程创建操作;
获取被创建进程执行时的命令行参数;
根据被创建进程执行时的命令行参数,得到所述压缩包对应的被创建进程的进程路径;
根据所述进程路径包含的进程文件的文件名,得到所述压缩包的压缩格式。
5.如权利要求3所述的方法,其特征在于,判断所述压缩包的压缩格式与本地默认的解压缩引擎是否对应之后,还包括:
如果对应,则调用本地默认的解压缩引擎对所述压缩包进行解压缩,然后执行所述对解压缩得到的文件进行扫描查杀的步骤。
6.一种通过云安全扫描文件的装置,其特征在于,所述装置包括:
提取模块,用于从当前下载的压缩包中提取信息;
第一判断模块,用于根据提取的信息,判断所述压缩包是否安全;
提示模块,用于如果所述第一判断模块的判断结果是不安全,则提供安
全性提示信息;
第一调用模块,用于调用与所述压缩包的压缩格式对应的解压缩接口;
第一处理模块,用于通过调用的解压缩接口对所述压缩包进行解压缩,并直接将解压缩得到的文件映射到内存;
第一扫描查杀模块,用于对解压缩得到的文件进行扫描查杀。
7.如权利要求6所述的装置,其特征在于,所述提取的信息包括:所述压缩包的下载来源、所述压缩包的存放路径和所述压缩包的特征标识;
相应地,所述第一判断模块包括:
检测单元,用于根据所述压缩包的下载来源、所述压缩包的存放路径和所述压缩包的特征标识,对所述压缩包的安全性进行检测;
判断单元,用于根据检测结果,判断所述压缩包是否安全。
8.如权利要求6所述的装置,其特征在于,所述装置还包括:
获取模块,用于在调用与所述压缩包的压缩格式对应的解压缩接口之前,获取所述压缩包的压缩格式;
第二判断模块,用于判断所述压缩包的压缩格式与本地默认的解压缩引擎是否对应;
第一通知模块,用于如果所述第二判断模块的判断结果是不对应,则通知所述第一调用模块执行调用与所述压缩包的压缩格式对应的解压缩接口的步骤。
9.如权利要求6所述的装置,其特征在于,所述获取模块包括:
第一监控单元,用于监控程序的进程创建操作;
第一获取单元,用于获取被创建进程执行时的命令行参数;
第二获取单元,用于根据被创建进程执行时的命令行参数,得到所述压缩包对应的被创建进程的进程路径;
第三获取单元,用于根据所述进程路径包含的进程文件的文件名,得到所述压缩包的压缩格式。
10.如权利要求8所述的装置,其特征在于,所述装置还包括:
第二通知模块,用于如果所述第二判断模块的判断结果是对应,则调用本地默认的解压缩引擎对所述压缩包进行解压缩,然后通知所述第一扫描查杀模块执行对解压缩得到的文件进行扫描查杀的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310597951.7A CN103793649A (zh) | 2013-11-22 | 2013-11-22 | 通过云安全扫描文件的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310597951.7A CN103793649A (zh) | 2013-11-22 | 2013-11-22 | 通过云安全扫描文件的方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103793649A true CN103793649A (zh) | 2014-05-14 |
Family
ID=50669302
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310597951.7A Pending CN103793649A (zh) | 2013-11-22 | 2013-11-22 | 通过云安全扫描文件的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103793649A (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104239793A (zh) * | 2014-09-10 | 2014-12-24 | 珠海市君天电子科技有限公司 | 病毒检测方法和装置 |
| CN106663173A (zh) * | 2016-09-30 | 2017-05-10 | 北京小米移动软件有限公司 | 安全扫描方法、装置及电子设备 |
| CN107656742A (zh) * | 2017-09-27 | 2018-02-02 | 北京奇虎科技有限公司 | 一种软件产品发布方法和装置 |
| CN108446300A (zh) * | 2018-01-26 | 2018-08-24 | 北京奇虎科技有限公司 | 数据信息的扫描方法及装置 |
| CN108629182A (zh) * | 2017-03-21 | 2018-10-09 | 腾讯科技(深圳)有限公司 | 漏洞检测方法及漏洞检测装置 |
| CN109656892A (zh) * | 2018-12-26 | 2019-04-19 | 上海百事通信息技术股份有限公司 | 一种文件在线解压缩方法 |
| CN110648118A (zh) * | 2019-09-27 | 2020-01-03 | 深信服科技股份有限公司 | 一种鱼叉邮件检测方法、装置、电子设备及可读存储介质 |
| CN111352912A (zh) * | 2020-03-10 | 2020-06-30 | Oppo广东移动通信有限公司 | 压缩文件处理方法、装置、存储介质、终端以及服务器 |
| CN111797392A (zh) * | 2019-04-09 | 2020-10-20 | 国家计算机网络与信息安全管理中心 | 一种控制衍生文件无限分析的方法、装置及存储介质 |
| CN113051562A (zh) * | 2019-12-28 | 2021-06-29 | 深信服科技股份有限公司 | 一种病毒查杀方法、装置、设备及可读存储介质 |
| CN113282928A (zh) * | 2021-06-11 | 2021-08-20 | 杭州安恒信息技术股份有限公司 | 恶意文件的处理方法、装置、***、电子装置和存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007117567A2 (en) * | 2006-04-06 | 2007-10-18 | Smobile Systems Inc. | Malware detection system and method for limited access mobile platforms |
| CN101414328A (zh) * | 2007-10-15 | 2009-04-22 | 北京瑞星国际软件有限公司 | 一种用于对文件进行脱壳的装置和方法 |
| CN103077353A (zh) * | 2013-01-24 | 2013-05-01 | 北京奇虎科技有限公司 | 主动防御恶意程序的方法和装置 |
-
2013
- 2013-11-22 CN CN201310597951.7A patent/CN103793649A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007117567A2 (en) * | 2006-04-06 | 2007-10-18 | Smobile Systems Inc. | Malware detection system and method for limited access mobile platforms |
| CN101414328A (zh) * | 2007-10-15 | 2009-04-22 | 北京瑞星国际软件有限公司 | 一种用于对文件进行脱壳的装置和方法 |
| CN103077353A (zh) * | 2013-01-24 | 2013-05-01 | 北京奇虎科技有限公司 | 主动防御恶意程序的方法和装置 |
Non-Patent Citations (1)
| Title |
|---|
| 李振: "跨平台的多压缩格式解压引擎的设计与实现", 《中国优秀硕士学位论文全文数据库 信息科技辑》, no. 11, 15 November 2013 (2013-11-15), pages 17 - 27 * |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104239793B (zh) * | 2014-09-10 | 2017-05-31 | 珠海市君天电子科技有限公司 | 病毒检测方法和装置 |
| CN104239793A (zh) * | 2014-09-10 | 2014-12-24 | 珠海市君天电子科技有限公司 | 病毒检测方法和装置 |
| CN106663173A (zh) * | 2016-09-30 | 2017-05-10 | 北京小米移动软件有限公司 | 安全扫描方法、装置及电子设备 |
| CN108629182B (zh) * | 2017-03-21 | 2022-11-04 | 腾讯科技(深圳)有限公司 | 漏洞检测方法及漏洞检测装置 |
| CN108629182A (zh) * | 2017-03-21 | 2018-10-09 | 腾讯科技(深圳)有限公司 | 漏洞检测方法及漏洞检测装置 |
| CN107656742A (zh) * | 2017-09-27 | 2018-02-02 | 北京奇虎科技有限公司 | 一种软件产品发布方法和装置 |
| CN108446300A (zh) * | 2018-01-26 | 2018-08-24 | 北京奇虎科技有限公司 | 数据信息的扫描方法及装置 |
| CN109656892A (zh) * | 2018-12-26 | 2019-04-19 | 上海百事通信息技术股份有限公司 | 一种文件在线解压缩方法 |
| CN111797392A (zh) * | 2019-04-09 | 2020-10-20 | 国家计算机网络与信息安全管理中心 | 一种控制衍生文件无限分析的方法、装置及存储介质 |
| CN111797392B (zh) * | 2019-04-09 | 2023-08-08 | 国家计算机网络与信息安全管理中心 | 一种控制衍生文件无限分析的方法、装置及存储介质 |
| CN110648118A (zh) * | 2019-09-27 | 2020-01-03 | 深信服科技股份有限公司 | 一种鱼叉邮件检测方法、装置、电子设备及可读存储介质 |
| CN113051562A (zh) * | 2019-12-28 | 2021-06-29 | 深信服科技股份有限公司 | 一种病毒查杀方法、装置、设备及可读存储介质 |
| CN111352912A (zh) * | 2020-03-10 | 2020-06-30 | Oppo广东移动通信有限公司 | 压缩文件处理方法、装置、存储介质、终端以及服务器 |
| CN111352912B (zh) * | 2020-03-10 | 2024-04-12 | Oppo广东移动通信有限公司 | 压缩文件处理方法、装置、存储介质、终端以及服务器 |
| CN113282928A (zh) * | 2021-06-11 | 2021-08-20 | 杭州安恒信息技术股份有限公司 | 恶意文件的处理方法、装置、***、电子装置和存储介质 |
| CN113282928B (zh) * | 2021-06-11 | 2022-12-20 | 杭州安恒信息技术股份有限公司 | 恶意文件的处理方法、装置、***、电子装置和存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103793649A (zh) | 通过云安全扫描文件的方法和装置 | |
| US9596257B2 (en) | Detection and prevention of installation of malicious mobile applications | |
| US9679136B2 (en) | Method and system for discrete stateful behavioral analysis | |
| KR101402057B1 (ko) | 위험도 계산을 통한 리패키지 애플리케이션의 분석시스템 및 분석방법 | |
| US10867041B2 (en) | Static and dynamic security analysis of apps for mobile devices | |
| US7620990B2 (en) | System and method for unpacking packed executables for malware evaluation | |
| KR101161493B1 (ko) | 안드로이드 단말 플랫폼에서의 악성 코드와 위험 파일의 진단 방법 | |
| US10547626B1 (en) | Detecting repackaged applications based on file format fingerprints | |
| JP5599892B2 (ja) | リンクファイルを使用したマルウェアの検出およびマルウェアへの対応 | |
| CN103281325A (zh) | 基于云安全的文件处理方法及装置 | |
| CN107004088B (zh) | 确定装置、确定方法及记录介质 | |
| US11157618B2 (en) | Context-based analysis of applications | |
| CN103279707B (zh) | 一种用于主动防御恶意程序的方法、设备 | |
| CN103632096A (zh) | 一种对设备进行安全检测方法和装置 | |
| KR20150044490A (ko) | 안드로이드 악성 애플리케이션의 탐지장치 및 탐지방법 | |
| US20090113548A1 (en) | Executable Download Tracking System | |
| CN103618626A (zh) | 一种基于日志的安全分析报告生成的方法和*** | |
| US20160371492A1 (en) | Method and system for searching and killing macro virus | |
| CN103473501A (zh) | 一种基于云安全的恶意软件追踪方法 | |
| US10970392B2 (en) | Grouping application components for classification and malware detection | |
| US10275596B1 (en) | Activating malicious actions within electronic documents | |
| CN113656809A (zh) | 镜像的安全检测方法、装置、设备及介质 | |
| KR101345867B1 (ko) | 클라우드 스토리지를 위한 악성파일 탐지 시스템 및 그 탐지 방법 | |
| JP6169497B2 (ja) | 接続先情報判定装置、接続先情報判定方法、及びプログラム | |
| US10880316B2 (en) | Method and system for determining initial execution of an attack |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140514 |
|
| RJ01 | Rejection of invention patent application after publication |