龙图腾网&IPTOP
- 微信扫码登录
- 账号密码登录
- 短信登录/注册
买专利卖专利找龙图腾,真高效! 查专利查商标用IPTOP,全免费!专利年费监控用IP管家,真方便!
申请/专利权人:常熟理工学院;江苏航天龙梦信息技术有限公司
摘要:本发明公开了一种基于CPU缓存状态变化的恶意程序检测方法,包括如下步骤:通过分析程序中的代理组件复制目标程序虚拟的内存映射机制,运行代理组件进入on‑site模式,探测CPU缓存状态变化,得到目标程序的代码块执行逻辑;利用栈中调用函数的返回地址恢复场景,定位栈的地址,并通过栈的返回地址恢复失踪的目标程序的代码块地址,生成目标程序的动态行为数据;在构造的分析环境中运行目标程序,触发目标程序的逃避机制,获取目标程序的真实动态行为数据;将步骤2与步骤3的动态行为数据进行相似度度量,设定阈值,判断目标程序是否为恶意程序。本发明具有更强的分析能力,高透明性,具备良好的检测性能。
主权项:1.一种基于CPU缓存状态变化的恶意程序检测方法,其特征在于:包括如下步骤:步骤1:通过分析程序中的代理组件复制目标程序虚拟的内存映射机制,转换代理组件与目标程序的寄存器,运行代理组件进入on-site模式,探测CPU缓存状态变化,得到目标程序的代码块执行逻辑;步骤2:基于CPU缓存状态变化与目标程序的代码块执行逻辑,利用栈中调用函数的返回地址恢复场景,定位栈的地址,并通过栈的返回地址恢复失踪的目标程序的代码块地址,生成目标程序的动态行为数据;步骤3:在构造的分析环境中运行目标程序,触发目标程序的逃避机制,获取目标程序的真实动态行为数据;步骤4:将步骤2中生成的目标程序的动态行为数据与步骤3中获取的目标程序的真实动态行为数据进行相似度度量,设定阈值,若相似度大于阈值,则目标程序不存在分析逃避,判定目标程序为正常程序;若相似度小于阈值,则目标程序存在分析逃避,判断目标程序为恶意程序。
全文数据:
权利要求:
百度查询: 常熟理工学院 江苏航天龙梦信息技术有限公司 一种基于CPU缓存状态变化的恶意程序检测方法
免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。
主营中国专利交易买卖与专利转让许可,高校科技成果推广与科技成果转化,知识产权运营管理与平台开发,科技人才专家库与科技猎头等科技服务
开放平台
担保交易
惠及多方
会员特惠
专属平台
适合多方
数据共享
功能齐全
皖公网安备 34010402703815号