一種木馬隨機(jī)化行為的識(shí)別方法及系統(tǒng)

基本信息

申請?zhí)?/td> CN201610847472.X 申請日 -
公開(公告)號(hào) CN106874759B 公開(公告)日 2020-04-28
申請公布號(hào) CN106874759B 申請公布日 2020-04-28
分類號(hào) G06F21/56 分類 計(jì)算;推算;計(jì)數(shù);
發(fā)明人 周奮彥;康學(xué)斌;肖新光 申請(專利權(quán))人 深圳安天網(wǎng)絡(luò)安全技術(shù)有限公司
代理機(jī)構(gòu) - 代理人 -
地址 廣東省深圳市寶安區(qū)西鄉(xiāng)街道寶源路名優(yōu)工業(yè)產(chǎn)品展示采購中心B座7樓B726號(hào)
法律狀態(tài) -

摘要

摘要 本發(fā)明公開了一種木馬隨機(jī)化行為的識(shí)別方法,包括:運(yùn)行樣本文件,記錄運(yùn)行后生成文件的包括文件名稱、文件內(nèi)容hash、文件注冊表信息,產(chǎn)生行為信息1;二次運(yùn)行樣本文件,記錄運(yùn)行后生成文件的包括文件名稱、文件內(nèi)容hash、文件注冊表信息,產(chǎn)生行為信息2;對比兩次運(yùn)行記錄的行為信息,基于不一致的判斷結(jié)果,確定行為信息2對應(yīng)行為為隨機(jī)行為。本發(fā)明所述技術(shù)方案克服了傳統(tǒng)對于木馬隨機(jī)化行為識(shí)別,主要依靠人工逆向分析發(fā)現(xiàn),這種方式產(chǎn)出效率低,發(fā)現(xiàn)不及時(shí),無法處理大量的樣本文件的問題。通過自動(dòng)化方式可以批量地、及時(shí)地發(fā)現(xiàn)木馬隨機(jī)化行為。