一種新生成可執(zhí)行文件的安全追溯方法

基本信息

申請?zhí)?/td> CN201911402054.X 申請日 -
公開(公告)號 CN111177665A 公開(公告)日 2020-05-19
申請公布號 CN111177665A 申請公布日 2020-05-19
分類號 G06F21/16;G06F21/56 分類 計算;推算;計數(shù);
發(fā)明人 胡晨展;徐鼎鼎;周力煒 申請(專利權(quán))人 浙大網(wǎng)新科技股份有限公司
代理機構(gòu) 北京君莫知識產(chǎn)權(quán)代理事務(wù)所(普通合伙) 代理人 浙大網(wǎng)新科技股份有限公司
地址 310012 浙江省杭州市西湖區(qū)三墩鎮(zhèn)西園一路18號浙大網(wǎng)新軟件園A樓1501室
法律狀態(tài) -

摘要

摘要 本發(fā)明提出一種新生成可執(zhí)行文件的安全追溯方法。在本發(fā)明的技術(shù)方案中,通過查找系統(tǒng)服務(wù)中的線程來確定是否為windows更新;通過系統(tǒng)事件日志來關(guān)聯(lián)安裝進程和msiexec進程;通過__PROCESS_HISTORY環(huán)境變量來溯源;通過HOOK服務(wù)相關(guān)的函數(shù)來跟蹤服務(wù)創(chuàng)建的情況。服務(wù)進程根據(jù)上述流程進行溯源,將溯源結(jié)果以及可執(zhí)行文件的簽名信息等一起送給服務(wù)器,服務(wù)器再綜合各種信息來判斷文件的可信任度。溯源后,文件可信任度的判斷準確度大幅提高,大大減少了人工干預(yù)的工作量,并且能夠精確定位新生成的可執(zhí)行文件是否由確認安全的安裝包產(chǎn)生。