The invention discloses a detection method, a non malicious code entity files including: temporary occlusion using PowerShell commands and / or parameters; judging whether the commands and / or parameter if it is allowed to run commands and / or parameters, and if so, is allowed to run, otherwise the commands and / or parameters whether for the detection of malicious code; determine if the command and / or parameters for malicious code is to terminate the operation, or allowed to run. The invention also discloses a detection system for the non physical file malicious code. The technical proposal of the invention can effectively detect the malicious code based on the PowerShell entity file.
【技术实现步骤摘要】
本专利技术涉及信息安全
,尤其涉及一种无实体文件恶意代码的检测方法及系统。
技术介绍
大部分的反病毒产品是基于对实体文件进行恶意代码检测的,利用进程对应的文件,进程加载的文件等方法来检测恶意代码。从而对无实体文件类的恶意代码无法检测,基于PowerShell的恶意代码更是因使用了PowerShell的进程(白名单机制)而被忽略。基于PowerShell的无实体文件的恶意代码可以突破传统的反病毒产品的检测,并且已经被更多的不法分子使用。2015年,发现了针对我国的APT攻击事件,这次攻击事件中使用的攻击方法正是基于PowerShell的恶意代码,某反病毒产品因无法检测这种恶意代码而使系统被入侵。
技术实现思路
针对上述技术问题,本专利技术所述的技术方案通过对PowerShell执行的命令和/或参数进行临时阻断,并进一步去检测所述命令和/参数是否是恶意代码,若是则终止运行。本专利技术能够弥补传统检测手段无法检测无实体文件恶意代码的问题,能够及时发现并检测无实体文件类型的恶意代码。本专利技术采用如下方法来实现:一种无实体文件恶意代码的检测方法,包括:临时阻断利用PowerShell执行的命令和/或参数;判断所述命令和/或参数是否为允许运行的命令和/或参数,若是,则允许运行,否则对所述命令和/或参数进行是否为恶意代码的检测;若判定所述命令和/或参数为恶意代码则终止运行,否则允许运行。进一步地,对所述命令和/或参数进行是否为恶意代码的检测为:基于静态检测方法和动态检测方法对所述命令和/或参数进行是否为恶意代码的检测。更进一步地,所述静态检测方法包括:若所述命令和 ...
【技术保护点】
一种无实体文件恶意代码的检测方法,其特征在于,包括:临时阻断利用PowerShell执行的命令和/或参数;判断所述命令和/或参数是否为允许运行的命令和/或参数,若是,则允许运行,否则对所述命令和/或参数进行是否为恶意代码的检测;若判定所述命令和/或参数为恶意代码则终止运行,否则允许运行。
【技术特征摘要】
1.一种无实体文件恶意代码的检测方法,其特征在于,包括:临时阻断利用PowerShell执行的命令和/或参数;判断所述命令和/或参数是否为允许运行的命令和/或参数,若是,则允许运行,否则对所述命令和/或参数进行是否为恶意代码的检测;若判定所述命令和/或参数为恶意代码则终止运行,否则允许运行。2.如权利要求1所述的方法,其特征在于,对所述命令和/或参数进行是否为恶意代码的检测为:基于静态检测方法和动态检测方法对所述命令和/或参数进行是否为恶意代码的检测。3.如权利要求2所述的方法,其特征在于,所述静态检测方法包括:若所述命令和/或参数被加密,则进行解密处理,若无法进行成功解密,则判定为恶意代码;若所述命令和/或参数未加密或者被成功解密,则利用脚本检测方法和结构化检测方法对所述命令和/或参数进行是否为恶意代码的检测。4.如权利要求2或3所述的方法,其特征在于,所述动态检测方法包括:利用本地虚拟化检测方法虚拟执行所述命令和/或参数,并进行是否为恶意代码的检测;利用远程虚拟系统检测方法虚拟执行所述命令和/或参数,并进行是否为恶意代码的检测。5.一种无...
【专利技术属性】
技术研发人员:高喜宝,李柏松,
申请(专利权)人:哈尔滨安天科技股份有限公司,
类型:发明
国别省市:黑龙江;23
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。