CN105488414A - 一种防止恶意代码探测虚拟环境的方法及*** - Google Patents

一种防止恶意代码探测虚拟环境的方法及*** Download PDF

Info

Publication number
CN105488414A
CN105488414A CN201510619022.0A CN201510619022A CN105488414A CN 105488414 A CN105488414 A CN 105488414A CN 201510619022 A CN201510619022 A CN 201510619022A CN 105488414 A CN105488414 A CN 105488414A
Authority
CN
China
Prior art keywords
data
parameter
malicious code
virtual environment
judgment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201510619022.0A
Other languages
English (en)
Inventor
康学斌
朱晴
肖新光
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Anzhitian Information Technology Co Ltd
Original Assignee
Shenzhen Anzhitian Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Anzhitian Information Technology Co Ltd filed Critical Shenzhen Anzhitian Information Technology Co Ltd
Priority to CN201510619022.0A priority Critical patent/CN105488414A/zh
Publication of CN105488414A publication Critical patent/CN105488414A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提出了一种防止恶意代码探测虚拟环境的方法及***,所述方法通过获取并分析恶意代码样本用于判断虚拟环境的判断条件;提取判断条件中所使用的参数或数据,以及所使用的API接口;HOOK所述API,获取虚拟环境中的参数或数据,逐一判断所述虚拟环境中的参数或数据是否与所述判断条件中所使用的参数或数据相同,如果是,则根据参数或数据的格式,随机修改或生成新的参数或数据替换原参数或数据,并触发执行相关恶意代码。本发明还相应提供了***结构。通过本发明的方法,能够有效使虚拟环境躲避开恶意代码的探测。

Description

一种防止恶意代码探测虚拟环境的方法及***
技术领域
本发明涉及计算机网络安全领域,特别涉及一种防止恶意代码探测虚拟环境的方法及***。
背景技术
随着计算机技术的发展,人们对计算机信息技术的需求与依赖也越来越强。人们的生产、生活都离不开计算机技术。计算机的广泛使用也伴随着计算机的安全问题。一些人由于利益的驱使或者价值观的错误导向,利用计算机安全漏洞,通过恶意程序对用户的计算机信息进行窃取,对计算机***进行破坏,给人们造成了经济损失。为了防止这一现象的恶化,计算机安全人员开发了一系列的查毒杀毒软件,检测计算机恶意程序。而为了躲避杀毒软件或者病毒分析软件的分析与查杀,计算机恶意程序也是不断更新,在躲查免杀方面做了很多掩饰。由于虚拟环境(如沙箱环境或者虚拟机环境)与用户使用的物理机在***环境上有着一定的区别。恶意代码通过对这些环境上用户信息数据的对比来判断该环境为用户环境还是病毒或者木马检测的虚拟环境。若侦测到为恶意代码的检测环境,它将退出执行或者进行代码载体的自删除操作。这种恶意代码的环境检测行为影响了对病毒的分析与检测。
发明内容
本发明针对上述问题提出了一种防止恶意代码探测虚拟环境的方法及***,解决了虚拟环境被恶意代码识别出,而无法进行检测的问题。
一种防止恶意代码探测虚拟环境的方法,包括:
获取恶意代码样本,分析所述恶意代码样本,获取用于判断虚拟环境的判断条件;
提取所述判断条件中所使用的参数或数据,以及所使用的API接口;
HOOK所述API,获取虚拟环境中的参数或数据,逐一判断所述虚拟环境中的参数或数据是否与所述判断条件中所使用的参数或数据相同,如果是,则根据所述参数或数据的格式,随机修改或生成新的参数或数据替换原有参数或数据,或修改所述API的返回值,并触发执行相关恶意代码;否则直接触发执行相关恶意代码。
所述的方法中,所述虚拟环境包括虚拟机和沙箱。
所述的方法中,所述的用于判断虚拟环境的判断条件包括:操作***信息及硬件信息。
所述方法中,
所述操作***信息包括:操作***用户名、***服务特征字符串及开发脚本语言环境;
所述硬件信息包括:BIOS信息、设备映射信息及CPU数量。
一种防止恶意代码探测虚拟环境的***,包括:
样本分析模块,用于获取恶意代码样本,分析所述恶意代码样本,获取用于判断虚拟环境的判断条件;
参数提取模块,用于提取所述判断条件中所使用的参数或数据,以及所使用的API接口;
数据修改模块,用于HOOK所述API,获取虚拟环境中的参数或数据,逐一判断所述虚拟环境中的参数或数据是否与所述判断条件中所使用的参数或数据相同,如果是,则根据所述参数或数据的格式,随机修改或生成新的参数或数据替换原有参数或数据,或修改所述API的返回值,并触发执行相关恶意代码;否则直接触发执行相关恶意代码。
所述的***中,所述虚拟环境包括虚拟机和沙箱。
所述的***中,所述的用于判断虚拟环境的判断条件包括:操作***信息及硬件信息。
所述的***中,所述操作***信息包括:操作***用户名、***服务特征字符串及开发脚本语言环境;
所述硬件信息包括:BIOS信息、设备映射信息及CPU数量。
本发明综合考虑恶意代码识别虚拟环境的多种方法,通过集成注册表,用户名,特殊文件路径,脚本语言环境等信息,HOOK对这些信息进行识别的API,动态随机的修改用来被作为虚拟环境识别标志的数据,来防止恶意代码的探测。
本发明提出了一种防止恶意代码探测虚拟环境的方法及***,所述方法通过获取并分析恶意代码样本用于判断虚拟环境的判断条件;提取判断条件中所使用的参数或数据,以及所使用的API接口;HOOK所述API,获取虚拟环境中的参数或数据,逐一判断所述虚拟环境中的参数或数据是否与所述判断条件中所使用的参数或数据相同,如果是,则根据参数或数据的格式,随机修改或生成新的参数或数据替换原参数或数据,并触发执行相关恶意代码。本发明还相应提供了***结构。通过本发明的方法,能够有效使虚拟环境躲避开恶意代码的探测。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为一种防止恶意代码探测虚拟环境的方法实施例流程图;
图2为一种防止恶意代码探测虚拟环境的***实施例结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
本发明针对上述问题提出了一种防止恶意代码探测虚拟环境的方法,解决了虚拟环境被恶意代码识别出,而无法进行检测的问题。
一种防止恶意代码探测虚拟环境的方法,如图1所示,包括:
S101:获取恶意代码样本,分析所述恶意代码样本,获取用于判断虚拟环境的判断条件;
S102:提取所述判断条件中所使用的参数或数据,以及所使用的API接口;
S103:HOOK所述API,获取虚拟环境中的参数或数据,逐一判断所述虚拟环境中的参数或数据是否与所述判断条件中所使用的参数或数据相同,如果是,则根据所述参数或数据的格式,随机修改或生成新的参数或数据替换原有参数或数据,或修改所述API的返回值,并触发执行相关恶意代码;否则直接触发执行相关恶意代码。
所述的方法中,所述虚拟环境包括虚拟机和沙箱。
所述的方法中,所述的用于判断虚拟环境的判断条件包括:操作***信息及硬件信息。
所述的方法中,
所述操作***信息包括:操作***用户名、***服务特征字符串及开发脚本语言环境;
所述硬件信息包括:BIOS信息、设备映射信息及CPU数量。
为更好理解上述的提取所述判断条件中所使用的参数或数据,HOOK所述API并判断所述参数或数据是否是特征参数或数据,分别对上述内容的对比进行举例说明。
对于参数获取,至少包括获取:
GetUserNameEx中的lpNameBuffer;
GetModuleFileName中的lpFilename;
GetProcAddress中的hModule、lpProcName;
RegOpenKeyEx中的hKey、lpSubKey、samDesired;
RegQueryValueEx中的hKey、lpValueName、lpData;
Process32Next中PROCESSENTRY32结构体里面的szExefile;
ZwQueryDirectoryFile中的FileInformation等。
对于操作***信息参数或数据的判定,可包括:
获取的操作***用户名,判断所获取的操作***用户名是否为“MALTEST”、“TEQUILABOOMBOOM”、“SANDBOX”、“VIRUS”、“MALWARE”等,所有能被用来当做沙箱或者虚拟机环境识别的操作***用户名都可作为特征参数或数据,如果是,则随机化生成数据,替换上述字符,紧接着直接触发执行相关恶意代码,为自动化分析及安全研究来带便利;
获取***服务特征字符串,如当前进程已加载模块的文件的完整路径中的特征字符是否为:“SAMPLE”、“VIRUS”、“SANDBOX”等所有能被用来当做沙箱或者虚拟机环境识别的特征字符串,如果是,则随机化生成数据,替换上述字符,紧接着直接触发执行相关恶意代码,为自动化分析及安全研究来带便利;
或判断获取的注册表中操作***ID:\Microsoft\Windows\CurrentVersion下产品ID键值是否为以下值:
55274-640-2673064-23950(JoeBox);
76487-644-3177037-23510(CWSandbox);
76487-337-8429955-22614(Anubis);
等所有能被用来当做沙箱或者虚拟机环境识别的注册表的产品ID键值,如果是,随机化生成相同格式的数据,替换原值,紧接着直接触发执行相关恶意代码,为自动化分析及安全研究来带便利;
获取开发环境,判断获取的进程名中是否有python.exe进程等所有能被用来当做沙箱或者虚拟机环境识别的脚本语言环境,如果有,随机化修改进程名,紧接着直接触发执行相关恶意代码,为自动化分析及安全研究来带便利。
对于硬件信息参数或数据的判定,可包括:
获取BIOS相关信息,如判断获取的注册表中:HARDWARE\\DEVICEMAP\\Scsi\\ScsiPort0\\ScsiBus0\\TargetId0\\LogicalUnitId0中Identifier的值是否为QEMU、SandBox、VMware、Smaple等所有能被用来当做沙箱或者虚拟机环境识别的注册表键值的数据,如果是,随机化生成数据,替换Identifier的键值数据,紧接着直接触发执行相关恶意代码,为自动化分析及安全研究来带便利;
获取设备映射信息,如判断获取的注册表:HARDWARE\\Description\\System中VideoBiosVersion的值是否为VIRTUALBOX、QEMU、BOCHS、SandBox、VMware、Smaple等所有能被用来当做沙箱或者虚拟机环境识别的注册表键值的数据,如果是,随机化生成数据,替换VideoBiosVersion的键值数据,紧接着直接触发执行相关恶意代码,为自动化分析及安全研究来带便利;
获取核心CPU数目,如判断沙箱或虚拟机中默认的CPU数目是否为1,如果是,则修改CPU数目为主力计算机CPU数目,紧接着直接触发执行相关恶意代码,为自动化分析及安全研究来带便利。
一种防止恶意代码探测虚拟环境的***,如图2所示,包括:
样本分析模块201,用于获取恶意代码样本,分析所述恶意代码样本,获取用于判断虚拟环境的判断条件;
参数提取模块202,用于提取所述判断条件中所使用的参数或数据,以及所使用的API接口;
数据修改模块203,用于HOOK所述API,获取虚拟环境中的参数或数据,逐一判断所述虚拟环境中的参数或数据是否与所述判断条件中所使用的参数或数据相同,如果是,则根据所述参数或数据的格式,随机修改或生成新的参数或数据替换原有参数或数据,或修改所述API的返回值,并触发执行相关恶意代码;否则直接触发执行相关恶意代码。
所述的***中,所述虚拟环境包括虚拟机和沙箱。
所述的***中,所述的用于判断虚拟环境的判断条件包括:操作***信息及硬件信息。
所述的***中,所述操作***信息包括:操作***用户名、***服务特征字符串及开发脚本语言环境;
所述硬件信息包括:BIOS信息、设备映射信息及CPU数量。
本发明综合考虑恶意代码识别虚拟环境的多种方法,通过集成注册表,用户名,特殊文件路径,脚本语言环境等信息,HOOK对这些信息进行识别API,动态随机化的修改用来被作为虚拟环境识别标志的数据,来防止恶意代码的探测。
本发明提出了一种防止恶意代码探测虚拟环境的方法及***,所述方法通过获取并分析恶意代码样本用于判断虚拟环境的判断条件;提取判断条件中所使用的参数或数据,以及所使用的API接口;HOOK所述API,获取虚拟环境中的参数或数据,逐一判断所述虚拟环境中的参数或数据是否与所述判断条件中所使用的参数或数据相同,如果是,则根据参数或数据的格式,随机修改或生成新的参数或数据替换原参数或数据,并触发执行相关恶意代码。本发明还相应提供了***结构。通过本发明的方法,能够有效使虚拟环境躲避开恶意代码的探测。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。

Claims (8)

1.一种防止恶意代码探测虚拟环境的方法,其特征在于,包括:
获取恶意代码样本,分析所述恶意代码样本,获取用于判断虚拟环境的判断条件;
提取所述判断条件中所使用的参数或数据,以及所使用的API接口;
HOOK所述API,获取虚拟环境中的参数或数据,逐一判断所述虚拟环境中的参数或数据是否与所述判断条件中所使用的参数或数据相同,如果是,则根据所述参数或数据的格式,随机修改或生成新的参数或数据替换原有参数或数据,或修改所述API的返回值,并触发执行相关恶意代码;否则直接触发执行相关恶意代码。
2.如权利要求1所述的方法,其特征在于,所述虚拟环境包括虚拟机和沙箱。
3.如权利要求1所述的方法,其特征在于,所述的用于判断虚拟环境的判断条件包括:操作***信息及硬件信息。
4.如权利要求3所述的方法,其特征在于,所述操作***信息包括:操作***用户名、***服务特征字符串及开发脚本语言环境;
所述硬件信息包括:BIOS信息、设备映射信息及CPU数量。
5.一种防止恶意代码探测虚拟环境的***,其特征在于,包括:
样本分析模块,用于获取恶意代码样本,分析所述恶意代码样本,获取用于判断虚拟环境的判断条件;
参数提取模块,用于提取所述判断条件中所使用的参数或数据,以及所使用的API接口;
数据修改模块,用于HOOK所述API,获取虚拟环境中的参数或数据,逐一判断所述虚拟环境中的参数或数据是否与所述判断条件中所使用的参数或数据相同,如果是,则根据所述参数或数据的格式,随机修改或生成新的参数或数据替换原有参数或数据,或修改所述API的返回值,并触发执行相关恶意代码;否则直接触发执行相关恶意代码。
6.如权利要求5所述的***,其特征在于,所述虚拟环境包括虚拟机和沙箱。
7.如权利要求5所述的***,其特征在于,所述的用于判断虚拟环境的判断条件包括:操作***信息及硬件信息。
8.如权利要求7所述的***,其特征在于,所述操作***信息包括:操作***用户名、***服务特征字符串及开发脚本语言环境;
所述硬件信息包括:BIOS信息、设备映射信息及CPU数量。
CN201510619022.0A 2015-09-25 2015-09-25 一种防止恶意代码探测虚拟环境的方法及*** Pending CN105488414A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510619022.0A CN105488414A (zh) 2015-09-25 2015-09-25 一种防止恶意代码探测虚拟环境的方法及***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510619022.0A CN105488414A (zh) 2015-09-25 2015-09-25 一种防止恶意代码探测虚拟环境的方法及***

Publications (1)

Publication Number Publication Date
CN105488414A true CN105488414A (zh) 2016-04-13

Family

ID=55675388

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510619022.0A Pending CN105488414A (zh) 2015-09-25 2015-09-25 一种防止恶意代码探测虚拟环境的方法及***

Country Status (1)

Country Link
CN (1) CN105488414A (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107292164A (zh) * 2017-06-16 2017-10-24 郑州云海信息技术有限公司 一种基于状态混淆的智能沙盒设计方法及装置
KR101803890B1 (ko) * 2017-01-18 2017-12-04 한국인터넷진흥원 분석 회피형 악성 앱 탐지 방법 및 장치
CN107704757A (zh) * 2017-09-22 2018-02-16 成都知道创宇信息技术有限公司 利用pypy沙箱模式实现安全的开放式Python用户编程接口的方法
CN108171055A (zh) * 2016-12-08 2018-06-15 武汉安天信息技术有限责任公司 一种远控恶意代码行为触发方法及***
CN109684826A (zh) * 2018-01-15 2019-04-26 北京微步在线科技有限公司 应用程序沙箱反逃逸方法和电子设备
CN113391874A (zh) * 2020-03-12 2021-09-14 腾讯科技(深圳)有限公司 一种虚拟机检测对抗方法、装置、电子设备及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102750484A (zh) * 2012-06-28 2012-10-24 腾讯科技(深圳)有限公司 一种防止病毒样本自检的方法及装置
CN102930210A (zh) * 2012-10-14 2013-02-13 江苏金陵科技集团公司 恶意程序行为自动化分析、检测与分类***及方法
CN103040696A (zh) * 2011-10-14 2013-04-17 涂波 一种清洁美白啫喱
CN103049696A (zh) * 2012-11-21 2013-04-17 北京神州绿盟信息安全科技股份有限公司 一种虚拟机躲避识别的方法及装置
CN104751057A (zh) * 2015-03-13 2015-07-01 安一恒通(北京)科技有限公司 一种用于增强计算机***安全性的方法及装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103040696A (zh) * 2011-10-14 2013-04-17 涂波 一种清洁美白啫喱
CN102750484A (zh) * 2012-06-28 2012-10-24 腾讯科技(深圳)有限公司 一种防止病毒样本自检的方法及装置
CN102930210A (zh) * 2012-10-14 2013-02-13 江苏金陵科技集团公司 恶意程序行为自动化分析、检测与分类***及方法
CN103049696A (zh) * 2012-11-21 2013-04-17 北京神州绿盟信息安全科技股份有限公司 一种虚拟机躲避识别的方法及装置
CN104751057A (zh) * 2015-03-13 2015-07-01 安一恒通(北京)科技有限公司 一种用于增强计算机***安全性的方法及装置

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108171055A (zh) * 2016-12-08 2018-06-15 武汉安天信息技术有限责任公司 一种远控恶意代码行为触发方法及***
KR101803890B1 (ko) * 2017-01-18 2017-12-04 한국인터넷진흥원 분석 회피형 악성 앱 탐지 방법 및 장치
CN107292164A (zh) * 2017-06-16 2017-10-24 郑州云海信息技术有限公司 一种基于状态混淆的智能沙盒设计方法及装置
CN107704757A (zh) * 2017-09-22 2018-02-16 成都知道创宇信息技术有限公司 利用pypy沙箱模式实现安全的开放式Python用户编程接口的方法
CN109684826A (zh) * 2018-01-15 2019-04-26 北京微步在线科技有限公司 应用程序沙箱反逃逸方法和电子设备
CN113391874A (zh) * 2020-03-12 2021-09-14 腾讯科技(深圳)有限公司 一种虚拟机检测对抗方法、装置、电子设备及存储介质

Similar Documents

Publication Publication Date Title
CN105488414A (zh) 一种防止恶意代码探测虚拟环境的方法及***
US10114946B2 (en) Method and device for detecting malicious code in an intelligent terminal
US10397261B2 (en) Identifying device, identifying method and identifying program
Carmony et al. Extract Me If You Can: Abusing PDF Parsers in Malware Detectors.
CN106462703B (zh) 补丁文件分析***与分析方法
CN111639337B (zh) 一种面向海量Windows软件的未知恶意代码检测方法及***
CN106951780A (zh) 重打包恶意应用的静态检测方法和装置
CN106611122A (zh) 基于虚拟执行的未知恶意程序离线检测***
US20140053267A1 (en) Method for identifying malicious executables
US20170214704A1 (en) Method and device for feature extraction
CN105046152B (zh) 基于函数调用图指纹的恶意软件检测方法
KR20110119918A (ko) 정상 프로세스에 위장 삽입된 악성코드 탐지 장치, 시스템 및 방법
CN103294951B (zh) 一种基于文档型漏洞的恶意代码样本提取方法及***
CN108734012A (zh) 恶意软件识别方法、装置及电子设备
CN104462962B (zh) 一种检测未知恶意代码和二进制漏洞的方法
JP6000465B2 (ja) プロセス検査装置、プロセス検査プログラムおよびプロセス検査方法
Pandey et al. Performance of malware detection tools: A comparison
JP2017142744A (ja) 情報処理装置、ウィルス検出方法及びプログラム
CN105718793A (zh) 基于修改沙箱环境防止恶意代码识别沙箱的方法及***
Choi et al. All‐in‐One Framework for Detection, Unpacking, and Verification for Malware Analysis
Sihag et al. Opcode n-gram based malware classification in android
CN108171057B (zh) 基于特征匹配的Android平台恶意软件检测方法
CN103971055B (zh) 一种基于程序切片技术的安卓恶意软件检测方法
CN103902906A (zh) 基于应用图标的移动终端恶意代码检测方法及***
CN112395603B (zh) 基于指令执行序列特征的漏洞攻击识别方法、装置及计算机设备

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20160413