CN107944279A - 基于uefi的bios漏洞扫描装置及扫描方法 - Google Patents
基于uefi的bios漏洞扫描装置及扫描方法 Download PDFInfo
- Publication number
- CN107944279A CN107944279A CN201711373147.5A CN201711373147A CN107944279A CN 107944279 A CN107944279 A CN 107944279A CN 201711373147 A CN201711373147 A CN 201711373147A CN 107944279 A CN107944279 A CN 107944279A
- Authority
- CN
- China
- Prior art keywords
- uefi
- bios
- driving
- scanning
- vulnerability
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/572—Secure firmware programming, e.g. of basic input output system [BIOS]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Stored Programmes (AREA)
Abstract
本发明提供了基于UEFI的BIOS漏洞扫描装置,所述的装置包括:漏洞库,用于存储漏洞的特征码,在漏洞扫描过程中作为特征码匹配匹配对象,以验证待测BIOS是否存在漏洞;UEFI固件启动信息扫描单元,实现对启动项信息的获取、处理和分析,以验证启动项的合法性;BIOS配置信息扫描单元,实现对BIOS的基本配置信息的获取、分析,以判断是否符合正常启动的要求;驱动健康状况扫描单元,对UEFI BIOS加载的各种设备的驱动以及控制器的状态进行扫描,检测各驱动是否处于正常工作状态或者是否被恶意修改。该装置可以用于各种需要扫描基于UEFI的BIOS漏洞的场景,从而保证BIOS***的安全可靠。本发明还提供了基于UEFI的BIOS漏洞扫描方法。
Description
技术领域
本发明涉及计算机技术领域,具体的说是一种基于UEFI的BIOS漏洞扫描装置及扫描方法。
背景技术
随着计算机技术和网络信息化的高速发展,计算机病毒爆发的次数以及新型计算机病毒出现的速度都呈现出逐年迅速上升的趋势,如何在第一时间发现、清除病毒成为业界非常关心的问题。为了解决传统BIOS的不足,Intel公司提出了新一代固件技术EFI,后来发展成为UEFI(统一可扩展固件接口)。该技术通过在硬件和操作***之间增加一层抽象,屏蔽底层硬件特性。通过通用的方式对***进行环境引导,同时UEFI还提供了一个调试环境,能够让用户在操作***启动之前运行某些应用程序。
固件层存在的安全漏洞已成为信息安全业界重要的威胁因素之一,利用其实施的攻击具有不易清除、难以检测、破坏性强等固有特点。因此研究基于固件层的攻击,从底层为计算机安全提供了有力的保障,具有重要的应用价值和研究意义。
BIOS作为固件层必不可少的固件程序,是计算机启动后首先执行的程序,为计算机提供最底层、最直接的硬件控制。UEFI是新一代的BIOS标准,定义了操作***与硬件平台固件之间的接口规范。它的出现不仅仅改变了传统BIOS的启动方式,解决了传统BIOS难以扩展等问题,并给用户提供了便利的底层开发环境,但同时也不可避免地带来了一些安全隐患。目前,现有技术缺乏对于BIOS漏洞的检测手段。
发明内容
为了解决上述问题,提供了一种基于UEFI的BIOS漏洞扫描装置及扫描方法,可以用于各种需要扫描基于UEFI的BIOS漏洞的场景,从而保证BIOS***的安全可靠。
本发明实施例提供了一种基于UEFI的BIOS漏洞扫描装置,所述的装置包括:
漏洞库,用于存储漏洞的特征码,在漏洞扫描过程中作为特征码匹配匹配对象,以验证待测BIOS是否存在漏洞;
UEFI固件启动信息扫描单元,实现对启动项信息的获取、处理和分析,以验证启动项的合法性;
BIOS配置信息扫描单元,实现对BIOS的基本配置信息的获取、分析,以判断是否符合正常启动的要求;
驱动健康状况扫描单元,对UEFI BIOS加载的各种设备的驱动以及控制器的状态进行扫描,检测各驱动是否处于正常工作状态或者是否被恶意修改。
本发明实施例还提供了一种基于UEFI的BIOS漏洞扫描方法,所述的方法包括:
S1:加载用于运行UEFI应用程序的UEFI运行环境;
S2:BIOS配置信息扫描单元从SMBIOS数据表中获取BIOS配置信息;
S3:BIOS漏洞扫描装置调用函数从全局变量中获取UEFI固件启动信息;
S4:驱动健康状况扫描单元与EFI Driver Health Protocol对接,获取驱动健康状况。
进一步的,步骤S1的具体实现过程为:首先,加电后,将平台初始化,之后依次加载UEFI映像和UEFI启动管理器,成功进入***;然后,终止启动服务返回启动菜单,在启动菜单中选择进入UEFI应用程序,载入临时操作***,并建立临时操作***环境。
进一步的,步骤S2的具体实现过程为:利用协议EFI_SMBIOS_PROTOCOL定义的查询SMBIOS记录的接口来获取相应的BIOS信息。
进一步的,步骤S3的具体实现过程为:
S31:调用EFI_GET_VARIABLE()函数可以获取Boot Order中的值;
S32:将步骤S31中获取的启动项变量中的描述符分离为各字段,并将各字段注册到Bds Common Option List结构中;
S33:通过***中的属性信息表获取启动性的状态信息。
进一步的,步骤S4的具体实现过程为:
S41:使用UEFI引导服务中提供的Locate Handle Buffer函数来检索平台中安装了Efi Driver Health Protocol的驱动;
S42:循环每一个检索到的驱动句柄,使用UEFI引导服务中提供的HandleProtocol函数来获得一个Driver Health Protocol实例;
S43:使用Driver Health Protocol中的Get Health Status方法来获取该驱动以及驱动所管理的控制器的健康状态;
S44:对返回的状态进行处理,通过COMPONENT_NAME_PROTOCOL获取该驱动或者控制器的名称。
进一步的,所述的步骤S4还包括:
S45:如果有处于非健康状态下的驱动,则将驱动名称以及驱动状态输出,提示用户需要修改。
发明内容中提供的效果仅仅是实施例的效果,而不是发明所有的全部效果,上述技术方案中的一个技术方案具有如下优点或有益效果:
1、本装置通过BIOS配置信息扫描、启动项信息扫描以及驱动健康状态扫描,实现对BIOS漏洞的扫描,从而保证BIOS***的安全可靠。同时,本装置与操作***完全隔离,通过转换控制权的方式实现与固件层的信息交互。
2、通过建立运行环境,并调用函数对接以实现BIOS配置信息、启动项信息以及驱动健康状态信息的获取,可以快速实现对BIOS漏洞的全面扫描,增强硬件架构的安全性。
附图说明
图1是本发明装置实施例的原理图;
图2是本发明装置的实现原理图;
图3是本发明方法实施例的流程图;
图4是本发明运行环境加载的原理图;
图5是本发明属性表的参考图。
具体实施方式
为能清楚说明本方案的技术特点,下面通过具体实施方式,并结合其附图,对本发明进行详细阐述。下文的公开提供了许多不同的实施例或例子用来实现本发明的不同结构。为了简化本发明的公开,下文中对特定例子的部件和设置进行描述。此外,本发明可以在不同例子中重复参考数字和/或字母。这种重复是为了简化和清楚的目的,其本身不指示所讨论各种实施例和/或设置之间的关系。应当注意,在附图中所图示的部件不一定按比例绘制。本发明省略了对公知组件和处理技术及工艺的描述以避免不必要地限制本发明。
实施例
如图1所示,本发明实施例提供了一种基于UEFI的BIOS漏洞扫描装置,所述的装置包括漏洞库、UEFI固件启动信息扫描单元、BIOS配置信息扫描单元、驱动健康状况扫描单元。
所述的漏洞库用于存储漏洞的特征码,在漏洞扫描过程中作为特征码匹配匹配对象,以验证待测BIOS是否存在漏洞。
UEFI固件启动信息扫描单元,实现对启动项信息的获取、处理和分析,以验证启动项的合法性。
BIOS配置信息扫描单元,实现对BIOS的基本配置信息的获取、分析,以判断是否符合正常启动的要求。
驱动健康状况扫描单元,对UEFI BIOS加载的各种设备的驱动以及控制器的状态进行扫描,检测各驱动是否处于正常工作状态或者是否被恶意修改。
如图2所示,本装置与操作***完全隔离,通过转换控制权的方式实现与固件层的信息交互。
如图3所示,本发明实施例还提供了一种基于UEFI的BIOS漏洞扫描方法,所述的方法包括:
S1:加载用于运行UEFI应用程序的UEFI运行环境。
UEFI允许通过装载UEFI应用程序和UEFI驱动来扩展架构固件。当加载UEFI驱动和UEFI应用程序的时候,驱动和应用程序有权使用UEFI所定义的所有的引导服务和运行时服务。
图4显示了UEFI启动流程图:加电后,第一步是平台初始化,之后UEFI映像将被加载(包括加载UEFI驱动程序和应用程序)之后是加载UEFI启动管理器,如果成功进入***,将终止启动服务返回启动菜单。而如果在启动菜单中选择进入UEFI应用程序,临时操作***将被载入,并建立临时操作***环境。而如果临时操作***被成功加载,相应的UEFI运行环境即被成功建立。
UEFI Shell实现了这种临时操作***环境,它是一种特殊的UEFI应用程序。UEFIShell提供控制台界面,用于启动应用程序、加载UEFI协议和设备驱动程序以及执行简单的脚本文件。该界面也提供命令界面执行相应命令或UEFI应用程序。事实上,UEFI shell是一个操作环境,作为一个外壳程序负责接收用户交互。它接受用户输入,传递用户输入至内核执行,将执行结果显示给用户。它类似于Windows环境下的cmd或者Linux环境下的Shell界面。
S2:BIOS配置信息扫描单元从SMBIOS数据表中获取BIOS配置信息。
UEFI中EFI_SMBIOS_PROTOCOL定义了一个增加、删除或者查询SMBIOS记录的接口。UEFI启动时,安装该协议的UEFI驱动程序将负责创建SMBIOS数据表,并将指向该数据表的指针放在EFI***配置表中。在基于UEFI的病毒扫描引擎的BIOS配置信息扫描中,使用该协议中定义的查询SMBIOS记录的接口来获取相应的BIOS信息。
EFI_SMBIOS_PROTOCOL的定义如下所示:
typedef struct_EFI_SMBIOS_PROTOCOL{
EFI_SMBIOS_ADD Add;
EFI_SMBIOS_UPDATE_STRINGUpdate String;
EFI_SMBIOS_REMOVE Remove;
EFI_SMBIOS_GET_NEXT Get Next;
UINT8Major Version;
UINT8Minor Version;
}EFI_SMBIOS_PROTOCOL;
Get Next函数用于查询所有或者部分SMBIOS记录,其函数声明如下:
typedef
EFI_STATUS
(EFIAPI*EFI_SMBIOS_GET_NEXT)(
IN CONST EFI_SMBIOS_PROTOCOL*This,
IN OUT EFI_SMBIOS_HANDLE*Smbios Handle,
IN EFI_SMBIOS_TYPE*Type,OPTIONAL
OUT EFI_SMBIOS_TABLE_HEADER**Record,
OUT EFI_HANDLE*Producer Handle,OPTIONAL
)
其中,Type参数表示要查询的SMBIOS记录的类型,UEFI中定义了40余种SMBIOS记录,这里只扫描了其中比较关键的几项,包括BIOS版本、CPU型号、CPU主频、***内存信息。
如果BIOS版本过低将建议用户更新至最新版本的BIOS,以防低版本的BIOS被发现的漏洞容易遭受恶意的攻击。或者其他的信息不正确,例如CPU主频、***内存等如果与正常情况不符,也有可能是由于遭到了恶意的篡改,应该提高警惕。
S3:BIOS漏洞扫描装置调用函数从全局变量中获取UEFI固件启动信息。
UEFI内核中提供的运行时服务在引导和操作***运行的时候都能调用。运行时服务的这种特性,为底层资源和上层操作***之间的交互带来便利,但是也从底层为整个计算机***带来安全隐患。
启动项加载器可以在UEFI BIOS中随意添加或更改启动项。启动项加载可以加载带有运行时服务的Agent入侵程序。该入侵程序通过调用运行时服务把自身的入侵***推入操作***,即可实现UEFI BIOS级的操作***控制。另外可通过该入侵服务开启的后门访问这台机器的资源。
为此,基于UEFI的扫描引擎对UEFI的启动项进行了扫描,并推测启动项的合法性。具体的实现方法主要分为以下三个步骤:
第一步,获取启动项信息。启动管理器负责启动UEFI应用程序(包括OS Loader)、UEFI驱动程序等。启动项信息存放在全局变量Boot Order中。Boot Order包含一个UINT16类型的向量,这个向量是由Boot####选项构成的有序列表。向量中的第一个元素是第一个逻辑启动项的值,第二个元素是第二个逻辑启动项的值,以此类推。这些启动项的启动顺序就是启动管理器的默认启动顺序。
UEFI运时服务表中定义了获取全局变量的函数接口,EFI_GET_VARIABLE()函数可以获取Boot Order中的值。
第二步,处理启动项信息。每一个启动项变量都包含一个EFI_LOAD_OPTION描述符。该描述符是一个以字节为单位的可变长度的字段缓存区。
缓存区中各字段按以下顺序出现:
UINT16Attributes;//加载项属性
UINT16File Path List Length;//File Path List的长度
CHAR16Description[];//用户可读的描述符
EFI_DEVICE_PATH_PROTOCOL File Path List[];//UEFI设备路径的打包数组
UINT8Optional Data[];//二进制数据缓冲区
为了方便调用及分析EFI_LOAD_OPTION描述符中各个字段的信息。通常需要分离各字段,并将各字段注册到Bds Common Option List结构中。
第三步,分析启动项信息。分析的主要内容是启动项的属性及所属设备类型等信息。通过各属性描述判断该启动项是否具有潜在威胁。图5的表中列出了启动项的各种属性。
EFI_DEVICE_PATH_PROTOCOL协议可以在任何设备句柄中使用,获取相关物理或逻辑设备的通用路径或位置信息。一个无效的句柄指其不能逻辑映射到一个物理设备,即该句柄不支持设备路径协议。设备路径指出该句柄相关的设备位置;而设备路径的大小由构成该设备的结构体决定。
启动项的File Path List字段存储了UEFI设备路径信息,通过EFI_DEVICE_PATH_PROTOCOL协议可识别出该启动项所属的设备类型。
通过执行以上三个步骤,可以获取所有启动项的值、属性、设备类型等信息,以此判断该启动项是否是正常的启动设备和是否具有潜在的安全威胁,将这些信息作为选择启动方式的依据。
以下是认为具有威胁的情况:
1)将所获的启动项信息与启动管理器的启动菜单进行比较,两者不一致。
2)可以识别出启动项的设备类型信息,但该启动项的属性不是LOAD_OPTION_ACTIVE。
3)启动项的属性为LOAD_OPTION_HIDDEN,但出现在启动菜单中。
S4:驱动健康状况扫描单元与EFI Driver Health Protocol对接,获取驱动健康状况。
步骤S4的具体实现过程为:
S41:使用UEFI引导服务中提供的Locate Handle Buffer函数来检索平台中安装了Efi Driver Health Protocol的驱动。Driver Health Handles是已经安装了EfiDriver Health Protocol的驱动句柄,Num Handles则是上述驱动的数量。
S42:循环每一个检索到的驱动句柄,使用UEFI引导服务中提供的HandleProtocol函数来获得一个Driver Health Protocol实例;
S43:使用Driver Health Protocol中的Get Health Status方法来获取该驱动以及驱动所管理的控制器的健康状态;
S44:对返回的状态进行处理,通过COMPONENT_NAME_PROTOCOL获取该驱动或者控制器的名称。
所述的步骤S4还包括:
S45:如果有处于非健康状态下的驱动,则将驱动名称以及驱动状态输出,提示用户需要修改。
尽管说明书及附图和实施例对本发明创造已进行了详细的说明,但是,本领域技术人员应当理解,仍然可以对本发明创造进行修改或者等同替换;而一切不脱离本发明创造的精神和范围的技术方案及其改进,其均涵盖在本发明创造专利的保护范围当中。
Claims (7)
1.一种基于UEFI的BIOS漏洞扫描装置,其特征是:所述的装置包括:
漏洞库,用于存储漏洞的特征码,在漏洞扫描过程中作为特征码匹配匹配对象,以验证待测BIOS是否存在漏洞;
UEFI固件启动信息扫描单元,实现对启动项信息的获取、处理和分析,以验证启动项的合法性;
BIOS配置信息扫描单元,实现对BIOS的基本配置信息的获取、分析,以判断是否符合正常启动的要求;
驱动健康状况扫描单元,对UEFI BIOS加载的各种设备的驱动以及控制器的状态进行扫描,检测各驱动是否处于正常工作状态或者是否被恶意修改。
2.一种基于UEFI的BIOS漏洞扫描方法,其特征是:所述的方法包括:
S1:加载用于运行UEFI应用程序的UEFI运行环境;
S2:BIOS配置信息扫描单元从SMBIOS数据表中获取BIOS配置信息;
S3:BIOS漏洞扫描装置调用函数从全局变量中获取UEFI固件启动信息;
S4:驱动健康状况扫描单元与EFI Driver Health Protocol对接,获取驱动健康状况。
3.根据权利要求2所述的一种基于UEFI的BIOS漏洞扫描方法,其特征是:步骤S1的具体实现过程为:首先,加电后,将平台初始化,之后依次加载UEFI映像和UEFI启动管理器,成功进入***;然后,终止启动服务返回启动菜单,在启动菜单中选择进入UEFI应用程序,载入临时操作***,并建立临时操作***环境。
4.根据权利要求2所述的一种基于UEFI的BIOS漏洞扫描方法,其特征是:步骤S2的具体实现过程为:利用协议EFI_SMBIOS_PROTOCOL定义的查询SMBIOS记录的接口来获取相应的BIOS信息。
5.根据权利要求2所述的一种基于UEFI的BIOS漏洞扫描方法,其特征是:步骤S3的具体实现过程为:
S31:调用EFI_GET_VARIABLE()函数可以获取Boot Order中的值;
S32:将步骤S31中获取的启动项变量中的描述符分离为各字段,并将各字段注册到BdsCommon Option List结构中;
S33:通过***中的属性信息表获取启动性的状态信息。
6.根据权利要求2所述的一种基于UEFI的BIOS漏洞扫描方法,其特征是:步骤S4的具体实现过程为:
S41:使用UEFI引导服务中提供的Locate Handle Buffer函数来检索平台中安装了EfiDriver Health Protocol的驱动;
S42:循环每一个检索到的驱动句柄,使用UEFI引导服务中提供的HandleProtocol函数来获得一个Driver Health Protocol实例;
S43:使用Driver Health Protocol中的Get Health Status方法来获取该驱动以及驱动所管理的控制器的健康状态;
S44:对返回的状态进行处理,通过COMPONENT_NAME_PROTOCOL获取该驱动或者控制器的名称。
7.根据权利要求6所述的一种基于UEFI的BIOS漏洞扫描方法,其特征是:所述的步骤S4还包括:
S45:如果有处于非健康状态下的驱动,则将驱动名称以及驱动状态输出,提示用户需要修改。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711373147.5A CN107944279A (zh) | 2017-12-19 | 2017-12-19 | 基于uefi的bios漏洞扫描装置及扫描方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711373147.5A CN107944279A (zh) | 2017-12-19 | 2017-12-19 | 基于uefi的bios漏洞扫描装置及扫描方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107944279A true CN107944279A (zh) | 2018-04-20 |
Family
ID=61941284
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711373147.5A Pending CN107944279A (zh) | 2017-12-19 | 2017-12-19 | 基于uefi的bios漏洞扫描装置及扫描方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107944279A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109711161A (zh) * | 2018-12-03 | 2019-05-03 | 联想(北京)有限公司 | 一种监控方法及电子设备 |
CN109783146A (zh) * | 2019-01-08 | 2019-05-21 | 郑州云海信息技术有限公司 | 一种shell下读取服务器DMI信息的方法 |
CN110457907A (zh) * | 2019-07-25 | 2019-11-15 | 腾讯科技(深圳)有限公司 | 一种固件程序检测方法和装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101079003A (zh) * | 2006-05-23 | 2007-11-28 | 北京金元龙脉信息科技有限公司 | 对计算机bios固件进行安全风险检测的***和方法 |
CN102270288A (zh) * | 2011-09-06 | 2011-12-07 | 中国人民解放军国防科学技术大学 | 基于反向完整性验证的操作***可信引导方法 |
US20150121497A1 (en) * | 2012-04-05 | 2015-04-30 | Toucan System | Method For Securing Access To A Computer Device |
-
2017
- 2017-12-19 CN CN201711373147.5A patent/CN107944279A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101079003A (zh) * | 2006-05-23 | 2007-11-28 | 北京金元龙脉信息科技有限公司 | 对计算机bios固件进行安全风险检测的***和方法 |
CN102270288A (zh) * | 2011-09-06 | 2011-12-07 | 中国人民解放军国防科学技术大学 | 基于反向完整性验证的操作***可信引导方法 |
US20150121497A1 (en) * | 2012-04-05 | 2015-04-30 | Toucan System | Method For Securing Access To A Computer Device |
Non-Patent Citations (1)
Title |
---|
刘宝凯: "基于UEFI的病毒扫描引擎的设计与实现", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109711161A (zh) * | 2018-12-03 | 2019-05-03 | 联想(北京)有限公司 | 一种监控方法及电子设备 |
CN109783146A (zh) * | 2019-01-08 | 2019-05-21 | 郑州云海信息技术有限公司 | 一种shell下读取服务器DMI信息的方法 |
CN110457907A (zh) * | 2019-07-25 | 2019-11-15 | 腾讯科技(深圳)有限公司 | 一种固件程序检测方法和装置 |
CN110457907B (zh) * | 2019-07-25 | 2021-04-20 | 腾讯科技(深圳)有限公司 | 一种固件程序检测方法和装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10642978B2 (en) | Information security techniques including detection, interdiction and/or mitigation of memory injection attacks | |
US11216256B2 (en) | Determining based on static compiler analysis that execution of compiler code would result in unacceptable program behavior | |
Srivastava et al. | Firmfuzz: Automated iot firmware introspection and analysis | |
US10581879B1 (en) | Enhanced malware detection for generated objects | |
US9348998B2 (en) | System and methods for detecting harmful files of different formats in virtual environments | |
US9594904B1 (en) | Detecting malware based on reflection | |
US10671726B1 (en) | System and method for malware analysis using thread-level event monitoring | |
US9213829B2 (en) | Computing device including a port and a guest domain | |
US6973578B1 (en) | System, method and computer program product for process-based selection of virus detection actions | |
CN105068932B (zh) | 一种Android应用程序加壳的检测方法 | |
US8347380B1 (en) | Protecting users from accidentally disclosing personal information in an insecure environment | |
US20130247198A1 (en) | Emulator updating system and method | |
US20080127344A1 (en) | Method and system for detecting windows rootkit that modifies the kernel mode system service dispatch table | |
US10216934B2 (en) | Inferential exploit attempt detection | |
US9262208B2 (en) | Automated, controlled distribution and execution of commands and scripts | |
WO1998021666A1 (en) | Url login | |
CN107944279A (zh) | 基于uefi的bios漏洞扫描装置及扫描方法 | |
US8312547B1 (en) | Anti-malware scanning in a portable application virtualized environment | |
CN106326735A (zh) | 防注入的方法和装置 | |
US20230342497A1 (en) | Computer device and method for managing privilege delegation | |
CN114707150A (zh) | 一种恶意代码检测方法、装置、电子设备和存储介质 | |
Geetha Ramani et al. | Nonvolatile kernel rootkit detection using cross‐view clean boot in cloud computing | |
CN114372256A (zh) | 应用程序运行方法、装置、设备和存储介质 | |
CN113064601B (zh) | 动态加载文件的确定方法、装置、终端及存储介质 | |
US20220318377A1 (en) | Responsible parent process identification |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180420 |
|
RJ01 | Rejection of invention patent application after publication |