| 专利名称 | 一种恶意代码捕获方法 | 申请号 | CN201110029135.7 | 专利类型 | 发明专利 | 公开(公告)号 | CN102622536A | 公开(授权)日 | 2012.08.01 | 申请(专利权)人 | 中国科学院软件研究所 | 发明(设计)人 | 杨轶;冯登国;苏璞睿;应凌云 | 主分类号 | G06F21/00(2006.01)I | IPC主分类号 | G06F21/00(2006.01)I | 专利有效期 | 一种恶意代码捕获方法 至一种恶意代码捕获方法 | 法律状态 | 实质审查的生效 | 说明书摘要 | 本发明公开了一种恶意代码捕获方法,属于网络安全技术领域。本方法为:1)配置硬件模拟器,加载并启动目标操作系统;2)硬件模拟器读取目标操作系统的虚拟内存,识别所有进程及进程所加载的动态库中的导出表,获取所述导出表中所有API的地址并拦截网络接收API函数;3)根据网络接收API函数的返回值,将进程由网络接收到的数据包标记为污点数据包;4)硬件模拟器反汇编当前进程执行的指令,对其进行污点传播计算;5)判定污点传播过程中当前进程的状态是否发生异常行为,如果发生异常行为则判定当前进程为恶意代码,并从目标操作系统的内存中提取恶意代码镜像。本发明实现对恶意代码完全透明的分析,具有更高的效率和准确性。 |
1、源头对接,价格透明
2、平台验证,实名审核
3、合同监控,代办手续
4、专员跟进,交易保障