CN110866252A - 一种恶意代码检测方法、装置、电子设备及存储介质 - Google Patents
一种恶意代码检测方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN110866252A CN110866252A CN201811579564.XA CN201811579564A CN110866252A CN 110866252 A CN110866252 A CN 110866252A CN 201811579564 A CN201811579564 A CN 201811579564A CN 110866252 A CN110866252 A CN 110866252A
- Authority
- CN
- China
- Prior art keywords
- file
- executable
- content
- memory
- detecting whether
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/565—Static detection by checking file integrity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例公开一种恶意代码检测方法、装置、电子设备及存储介质,涉及计算机安全技术领域,为提高恶意代码的检出率而发明。所述恶意代码检测方法,包括:判断读入内存中的文件是否为图片格式的文件;若读入内存中的文件为图片格式的文件,则检测所述文件的文件内容中是否含有可执行文件;若所述文件的文件内容中含有可执行文件,则确定所述图片格式的文件中含有恶意代码。本发明适用于嵌入到图片中的恶意代码的检测。
Description
技术领域
本发明涉及计算机安全技术领域,尤其涉及一种恶意代码检测方法、装置、电子设备及存储介质。
背景技术
随着威胁传播方式的演进,越来越多的威胁选择将自己嵌入到不易检出的文件类型中,如将可执行的威胁文件或恶意代码嵌入到图片中,以此绕过杀毒引擎的检出。对此,目前没有有效的防护手段。
发明内容
有鉴于此,本发明实施例提供一种恶意代码检测方法、装置、电子设备及存储介质,能够提高恶意代码的检出率。
第一方面,本发明实施例提供一种恶意代码检测方法,包括:判断读入内存中的文件是否为图片格式的文件;若读入内存中的文件为图片格式的文件,则检测所述文件的文件内容中是否含有可执行文件;若所述文件的文件内容中含有可执行文件,则确定所述图片格式的文件中含有恶意代码。
根据本发明实施例的一种具体实现方式,所述检测所述文件的文件内容中是否含有可执行文件,包括:检测所述文件的文件内容中是否含有PE文件;或者,检测所述文件的文件内容中是否含有可执行脚本命令。
根据本发明实施例的一种具体实现方式,所述检测所述文件的文件内容中是否含有可执行文件,包括:从所述文件的文件内容的头部,开始检测所述文件的文件内容中是否含有可执行文件;或者,从所述文件的文件内容的尾部,开始检测所述文件的文件内容中是否含有可执行文件。
第二方面,本发明实施例提供一种恶意代码检测装置,包括:第一判断模块,用于判断读入内存中的文件是否为图片格式的文件;检测模块,用于若读入内存中的文件为图片格式的文件,则检测所述文件的文件内容中是否含有可执行文件;第二判断模块,用于若所述文件的文件内容中含有可执行文件,则确定所述图片格式的文件中含有恶意代码。
根据本发明实施例的一种具体实现方式,所述检测模块,具体用于:检测所述文件的文件内容中是否含有PE文件;或者,检测所述文件的文件内容中是否含有可执行脚本命令。
根据本发明实施例的一种具体实现方式,所述检测模块,包括:第一检测子模块,用于从所述文件的文件内容的头部,开始检测所述文件的文件内容中是否含有可执行文件;或者,第二检测子模块,用于从所述文件的文件内容的尾部,开始检测所述文件的文件内容中是否含有可执行文件。
第三方面,本发明实施例提供一种电子设备,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一实现方式所述的方法。
第四方面,本发明实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述任一实现方式所述的方法。
本发明实施例提供的一种恶意代码检测方法、装置、电子设备及存储介质,通过判断读入内存中的文件是否为图片格式的文件,若是,则检测所述文件的文件内容中是否含有可执行文件,若检测到所述文件的文件内容中含有可执行文件,则可确定所述图片格式的文件中含有恶意代码,由此可实现对图片格式的文件进行恶意代码的检测,增大了恶意代码的检测范围,从而可提高恶意代码的检出率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明提供的恶意代码检测方法实施例一的流程示意图;
图2为本发明提供的恶意代码检测方法实施例二的流程示意图;
图3为本发明提供的恶意代码检测装置实施例一的结构示意图;
图4为本发明提供的恶意代码检测装置实施例二的结构示意图;
图5为本发明实施例提供的电子设备实施例的结构示意图。
具体实施方式
下面结合附图对本发明实施例进行详细描述。
应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
第一方面,本发明实施例提供一种恶意代码检测方法,能够提高恶意代码的检出率。
图1为本发明提供的恶意代码检测方法实施例一的流程示意图,如图1所示,本实施例的方法可以包括:
步骤101、判断读入内存中的文件是否为图片格式的文件。
本实施例中,可对保存在本地的图片格式的文件进行恶意代码检测。图片格式是计算机存储图片的格式,常见的图片格式有bmp、jpg、jpeg、png、tif、gif、pcx、psd、cdr、pcd等格式。
在对图片格式的文件进行恶意代码检测时,需先将文件读入内存中。
将文件读入内存之前可先建立内存流对象,然后可将用户选择的文件载入到内存流中。当一个文件载入内存流之后,可利用内存流中的内容来判断该文件的格式,具体地,通过判断该文件的前几个字节,就可以判断出该文件是什么类型的文件。比如,从内存流中读取到的文件的前2个字节为4D42[低位到高位],则可确定该文件为bmp格式的文件;从内存流中读取到的文件的前2个字节为D8FF[低位到高位],则可确定该文件为jpeg格式的文件。
如果确定读入内存中的文件是图片格式的文件,则可确定该文件为图片文件,执行步骤102。如果确定读入内存中的文件不是图片格式的文件,则不执行以下步骤的检测过程。
步骤102、检测所述文件的文件内容中是否含有可执行文件。
可执行文件(executable file)指的是可以由操作***进行加载执行的文件。在不同的操作***环境下,可执行文件的呈现方式不一样。在Windows操作***下,可执行文件可以是.exe文件.sys文件.com等类型的文件。
经过对内存中的文件内容的检测,若所述文件内容中含有可执行文件,则执行步骤103。
步骤103、确定所述图片格式的文件中含有恶意代码。
在确定所述图片格式的文件中含有恶意代码之后,可产生告警信息。
由于正常的图片格式的文件中不会含有可执行文件,因此,本实施例中,通过判断读入内存中的文件是否为图片格式的文件,若是,则检测所述文件的文件内容中是否含有可执行文件,若检测到所述文件的文件内容中含有可执行文件,则可确定所述图片格式的文件中含有恶意代码,由此可实现对图片格式的文件进行恶意代码的检测,增大了恶意代码的检测范围,从而可提高恶意代码的检出率。
图2为本发明提供的恶意代码检测方法实施例二的流程示意图,如图2所示,在图1所示实施例的基础上,本实施例中,所述检测所述文件的文件内容中是否含有可执行文件(步骤102)可包括:
步骤1021、检测所述文件的文件内容中是否含有PE文件。
PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的.exe、.dll、.ocx、.sys、.com等文件均是PE文件。
PE文件的结构,从起始位置开始依次是DOS头,NT头,节表以及具体的节。其中,DOS头的结构中有一个e_magic字段,该字段的值被设置为5A4Dh,这个字段是PE程序载入的重要标志,所对应的字符分别位Z和M。NT头包含了PE文件的主要信息,其中包括一个‘PE’字样的签名,PE文件头(IMAGE_FILE_HEADER)和PE可选头(IMAGE_OPTIONAL_HEADER32)。
为了提高检测效率,通过检测读入内存的文件的文件内容,判断所述文件内容中是否含有与PE文件结构相匹配的数据特征,比如是否存在DOS头中的e_magic字段的值为5A4Dh的数据特征,或是否存在NT头中包含‘PE’签名的数据特征,或是否存在NT头中包含PE文件头的数据特征,若存在,则可确定所述文件内容中含有与PE文件结构相匹配的数据特征,由此可确定所述图片格式的文件中含有PE文件,否则,则认为所述图片格式的文件中不含有PE文件。
步骤1022、检测所述文件的文件内容中是否含有可执行脚本命令。
可执行脚本是使用一种特定的描述性语言,依据一定的格式编写的可执行文件,又称作宏或批处理文件。
具体应用时,可将PE文件的特征及可执行脚本的特征预先保存在列表中,相应地,所述检测所述文件的文件内容中是否含有可执行文件可包括:将读入内存的文件的文件内容的数据与所述列表中的数据相匹配,若匹配成功,则确定所述文件的文件内容中是否含有可执行文件。
本实施例中,通过检测所述文件的文件内容中是否含有PE文件,以及检测所述文件的文件内容中是否含有可执行脚本命令,可确定检测所述文件的文件内容中是否含有可执行文件。
应当理解的是,采用上述步骤1021和步骤1022中的任一步骤,即可确定所述文件的文件内容中是否含有可执行文件。在采用其中一个步骤尚未确定所述文件的文件内容中含有可执行文件时,可采用另一个步骤继续检测,以提高检测的准确率。
为了提高检测效率,所述检测所述文件的文件内容中是否含有可执行文件(步骤102),可包括:从所述文件的文件内容的头部,开始检测所述文件的文件内容中是否含有可执行文件;或者,从所述文件的文件内容的尾部,开始检测所述文件的文件内容中是否含有可执行文件。
第二方面,本发明实施例提供一种恶意代码检测装置,能够提高恶意代码的检出率。
图3为本发明提供的恶意代码检测装置实施例一的流程示意图,如图3所示,本实施例的恶意代码检测装置,可包括:第一判断模块11、检测模块12及第二判断模块13;其中,第一判断模块11,用于判断读入内存中的文件是否为图片格式的文件;检测模块12,用于若读入内存中的文件为图片格式的文件,则检测所述文件的文件内容中是否含有可执行文件;第二判断模块13,用于若所述文件的文件内容中含有可执行文件,则确定所述图片格式的文件中含有恶意代码。
本实施例的装置,可以用于执行图1所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图4为本发明提供的恶意代码检测装置实施例二的流程示意图,如图4所示,在图3所示装置实施例的基础上,本实施例中,所述检测模块12,具体用于:检测所述文件的文件内容中是否含有PE文件;或者,检测所述文件的文件内容中是否含有可执行脚本命令。
为了提高检测效率,所述检测模块12,可包括:第一检测子模块121,用于从所述文件的文件内容的头部,开始检测所述文件的文件内容中是否含有可执行文件;或者,第二检测子模块122,用于从所述文件的文件内容的尾部,开始检测所述文件的文件内容中是否含有可执行文件。
本实施例的装置,可以用于执行图2所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
第三方面,本发明实施例还提供一种电子设备。图5为本发明实施例提供的电子设备实施例的结构示意图,可以实现本发明图1至图2所示实施例的流程,如图5所示,上述电子设备可以包括:壳体41、处理器42、存储器43、电路板44和电源电路45,其中,电路板44安置在壳体41围成的空间内部,处理器42和存储器43设置在电路板44上;电源电路45,用于为上述电子设备的各个电路或器件供电;存储器43用于存储可执行程序代码;处理器42通过读取存储器43中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一实施例所述的恶意代码检测方法。
处理器42对上述步骤的具体执行过程以及处理器42通过运行可执行程序代码来进一步执行的步骤,可以参见本发明图1-图2所示实施例的描述,在此不再赘述。
该电子设备以多种形式存在,包括但不限于有计算和处理功能的移动终端设备、桌面计算机,服务器或其他具有计算和处理功能的电子设备。
第四方面,本发明的实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,用于执行前述任一实施例所述的恶意代码检测方法。
本发明实施例提供的恶意代码检测方法、装置、电子设备及存储介质,通过判断读入内存中的文件是否为图片格式的文件,若是,则检测所述文件的文件内容中是否含有可执行文件,若检测到所述文件的文件内容中含有可执行文件,则可确定所述图片格式的文件中含有恶意代码,由此可实现对图片格式的文件进行恶意代码的检测,增大了恶意代码的检测范围,从而可提高恶意代码的检出率。在进行是否含有PE文件的检测时,通过判断内存中的文件内容中是否含有与PE文件的特定结构相匹配的数据特征,可提高检测效率。另外,从内存中的文件内容的头部或尾部开始检测是否含有可执行文件,也可进一步提高检测效率。再者,本发明实施例中,仅通过对读入内存中的文件内容进行检测,不需要借助任何病毒引擎,即可检测出嵌入到图片格式的文件中的恶意代码,是一种便捷、快速、准确的恶意代码检测方法。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个......”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。
尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
为了描述的方便,描述以上装置是以功能分为各种单元/模块分别描述。当然,在实施本发明时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (8)
1.一种恶意代码检测方法,其特征在于,包括:
判断读入内存中的文件是否为图片格式的文件;
若读入内存中的文件为图片格式的文件,则检测所述文件的文件内容中是否含有可执行文件;
若所述文件的文件内容中含有可执行文件,则确定所述图片格式的文件中含有恶意代码。
2.根据权利要求1所述的恶意代码检测方法,其特征在于,所述检测所述文件的文件内容中是否含有可执行文件,包括:
检测所述文件的文件内容中是否含有PE文件;或者,
检测所述文件的文件内容中是否含有可执行脚本命令。
3.根据权利要求1或2所述的恶意代码检测方法,其特征在于,所述检测所述文件的文件内容中是否含有可执行文件,包括:
从所述文件的文件内容的头部,开始检测所述文件的文件内容中是否含有可执行文件;或者,
从所述文件的文件内容的尾部,开始检测所述文件的文件内容中是否含有可执行文件。
4.一种恶意代码检测装置,其特征在于,包括:
第一判断模块,用于判断读入内存中的文件是否为图片格式的文件;
检测模块,用于若读入内存中的文件为图片格式的文件,则检测所述文件的文件内容中是否含有可执行文件;
第二判断模块,用于若所述文件的文件内容中含有可执行文件,则确定所述图片格式的文件中含有恶意代码。
5.根据权利要求4所述的恶意代码检测装置,其特征在于,所述检测模块,具体用于:检测所述文件的文件内容中是否含有PE文件;或者,检测所述文件的文件内容中是否含有可执行脚本命令。
6.根据权利要求4或5所述的恶意代码检测装置,其特征在于,所述检测模块,包括:
第一检测子模块,用于从所述文件的文件内容的头部,开始检测所述文件的文件内容中是否含有可执行文件;或者,
第二检测子模块,用于从所述文件的文件内容的尾部,开始检测所述文件的文件内容中是否含有可执行文件。
7.一种电子设备,其特征在于,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一权利要求所述的方法。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述任一权利要求所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811579564.XA CN110866252A (zh) | 2018-12-21 | 2018-12-21 | 一种恶意代码检测方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811579564.XA CN110866252A (zh) | 2018-12-21 | 2018-12-21 | 一种恶意代码检测方法、装置、电子设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110866252A true CN110866252A (zh) | 2020-03-06 |
Family
ID=69651574
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811579564.XA Pending CN110866252A (zh) | 2018-12-21 | 2018-12-21 | 一种恶意代码检测方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110866252A (zh) |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060129603A1 (en) * | 2004-12-14 | 2006-06-15 | Jae Woo Park | Apparatus and method for detecting malicious code embedded in office document |
| US20080115219A1 (en) * | 2006-11-13 | 2008-05-15 | Electronics And Telecommunications Research | Apparatus and method of detecting file having embedded malicious code |
| CN102043915A (zh) * | 2010-11-03 | 2011-05-04 | 厦门市美亚柏科信息股份有限公司 | 一种非可执行文件中包含恶意代码的检测方法及其装置 |
| CN103221960A (zh) * | 2012-12-10 | 2013-07-24 | 华为技术有限公司 | 恶意代码的检测方法及装置 |
| CN103294951A (zh) * | 2012-11-29 | 2013-09-11 | 北京安天电子设备有限公司 | 一种基于文档型漏洞的恶意代码样本提取方法及*** |
| US20160269653A1 (en) * | 2008-12-24 | 2016-09-15 | Flir Systems Ab | Executable code in digital image files |
| CN106874758A (zh) * | 2016-08-22 | 2017-06-20 | 阿里巴巴集团控股有限公司 | 一种识别文档代码的方法和装置 |
| CN106919811A (zh) * | 2015-12-24 | 2017-07-04 | 阿里巴巴集团控股有限公司 | 文件检测方法和装置 |
| CN108182363A (zh) * | 2017-12-25 | 2018-06-19 | 哈尔滨安天科技股份有限公司 | 嵌入式office文档的检测方法、***及存储介质 |
-
2018
- 2018-12-21 CN CN201811579564.XA patent/CN110866252A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060129603A1 (en) * | 2004-12-14 | 2006-06-15 | Jae Woo Park | Apparatus and method for detecting malicious code embedded in office document |
| US20080115219A1 (en) * | 2006-11-13 | 2008-05-15 | Electronics And Telecommunications Research | Apparatus and method of detecting file having embedded malicious code |
| US20160269653A1 (en) * | 2008-12-24 | 2016-09-15 | Flir Systems Ab | Executable code in digital image files |
| CN102043915A (zh) * | 2010-11-03 | 2011-05-04 | 厦门市美亚柏科信息股份有限公司 | 一种非可执行文件中包含恶意代码的检测方法及其装置 |
| CN103294951A (zh) * | 2012-11-29 | 2013-09-11 | 北京安天电子设备有限公司 | 一种基于文档型漏洞的恶意代码样本提取方法及*** |
| CN103221960A (zh) * | 2012-12-10 | 2013-07-24 | 华为技术有限公司 | 恶意代码的检测方法及装置 |
| CN106919811A (zh) * | 2015-12-24 | 2017-07-04 | 阿里巴巴集团控股有限公司 | 文件检测方法和装置 |
| CN106874758A (zh) * | 2016-08-22 | 2017-06-20 | 阿里巴巴集团控股有限公司 | 一种识别文档代码的方法和装置 |
| CN108182363A (zh) * | 2017-12-25 | 2018-06-19 | 哈尔滨安天科技股份有限公司 | 嵌入式office文档的检测方法、***及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9953162B2 (en) | Rapid malware inspection of mobile applications | |
| US9015814B1 (en) | System and methods for detecting harmful files of different formats | |
| JP6223458B2 (ja) | アプリケーションが悪意のあるものであるかどうかを識別するための方法、処理システム、およびコンピュータ・プログラム | |
| US9135443B2 (en) | Identifying malicious threads | |
| WO2013139215A1 (zh) | 病毒apk的识别方法及装置 | |
| EP2998902B1 (en) | Method and apparatus for processing file | |
| CN110096889B (zh) | 文件检测方法、装置、设备及计算机可读存储介质 | |
| US10255431B2 (en) | System and method of detecting unwanted software | |
| CN108028843B (zh) | 保护计算机实现的功能的递送的方法、***和计算设备 | |
| US20150163233A1 (en) | Method And Apparatus For Scanning Files | |
| US9842018B2 (en) | Method of verifying integrity of program using hash | |
| CN108959915B (zh) | 一种rootkit检测方法、装置及服务器 | |
| CN112395603B (zh) | 基于指令执行序列特征的漏洞攻击识别方法、装置及计算机设备 | |
| CN110866252A (zh) | 一种恶意代码检测方法、装置、电子设备及存储介质 | |
| WO2016095671A1 (zh) | 一种应用程序的消息处理方法和装置 | |
| CN114003907A (zh) | 恶意文件检测方法、装置、计算设备及存储介质 | |
| CN113779576A (zh) | 一种可执行文件感染病毒的识别方法、装置及电子设备 | |
| CN112199672A (zh) | 账号权限提升行为的检测方法、装置及可读存储介质 | |
| CN113312623A (zh) | 访问控制中的进程检测方法、装置、电子设备和存储介质 | |
| CN107577941B (zh) | 拦截编码绕过的方法及设备 | |
| CN107330327B (zh) | 感染文件检测方法、服务器、处理方法、装置和检测*** | |
| CN112580038A (zh) | 反病毒数据的处理方法、装置及设备 | |
| CN115964708A (zh) | 防误报的自动化特征提取方法、装置、电子设备及存储介质 | |
| CN110659489B (zh) | 针对字符串拼接行为的威胁检测方法、装置及存储介质 | |
| CN114329464A (zh) | 一种反病毒引擎检测方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200306 |