一种新生成可执行文件的安全追溯方法
基本信息
| 申请号 | CN201911402054.X | 申请日 | - |
| 公开(公告)号 | CN111177665A | 公开(公告)日 | 2020-05-19 |
| 申请公布号 | CN111177665A | 申请公布日 | 2020-05-19 |
| 分类号 | G06F21/16;G06F21/56 | 分类 | 计算;推算;计数; |
| 发明人 | 胡晨展;徐鼎鼎;周力炜 | 申请(专利权)人 | 浙大网新科技股份有限公司 |
| 代理机构 | 北京君莫知识产权代理事务所(普通合伙) | 代理人 | 浙大网新科技股份有限公司 |
| 地址 | 310012 浙江省杭州市西湖区三墩镇西园一路18号浙大网新软件园A楼1501室 | ||
| 法律状态 | - | ||
摘要
| 摘要 | 本发明提出一种新生成可执行文件的安全追溯方法。在本发明的技术方案中,通过查找系统服务中的线程来确定是否为windows更新;通过系统事件日志来关联安装进程和msiexec进程;通过__PROCESS_HISTORY环境变量来溯源;通过HOOK服务相关的函数来跟踪服务创建的情况。服务进程根据上述流程进行溯源,将溯源结果以及可执行文件的签名信息等一起送给服务器,服务器再综合各种信息来判断文件的可信任度。溯源后,文件可信任度的判断准确度大幅提高,大大减少了人工干预的工作量,并且能够精确定位新生成的可执行文件是否由确认安全的安装包产生。 |
