申请/专利权人：积至网络(北京)有限公司

申请日：2023-07-25

公开（公告）日：2023-09-29

公开（公告）号：CN116628693B

主分类号：G06F21/56

分类号：G06F21/56;G06F21/57

优先权：

专利状态码：有效-授权

法律状态：2023.09.29#授权;2023.09.08#实质审查的生效;2023.08.22#公开

摘要：本发明提供一种基于预配置信物的勒索软件防御方法，包括信物预配置模块和服务壳模块，通过预先在安全可信环境中让预配置信物模块对于白名单程序指定用户态API进行分析，生成预配置安全信物列表。在可能具有恶意软件的防御环境中，通过运行在内核态的服务壳模块借助代码插桩技术运行信物生成和信物校验算法，实现对于API调用的放行或拒止。本发明提出的方法可以有效保障安全信物的安全性和可信性，由于预配置安全信物是预先在安全可信环境中生成的，因此不存在用来传递信物的信道被占用、窃听等问题。

主权项：1.一种基于预配置信物的勒索软件防御方法，包括以下步骤：S1：根据对于指定类型文件具有读写权限的软件，制作出白名单程序列表，收集文件读写相关用户态API函数列表，在安全可信的环境下，将白名单程序列表和用户态API函数列表中的程序和用户态API作为信物预配置模块的输入；S2：信物预配置模块生成预配置安全信物列表；包括以下步骤：S21：对于白名单列表中的每一个程序，在一个安全可信的环境下，通过静态分析和动态分析的方法，寻找某一组用户态API在程序中的所有指定的用户态API调用点，确定该程序运行后的进程中所有指定用户态API调用点在内存中的位置；S22：通过信物生成算法，收集调用点周围内存上下文特征，在相对于调用点偏移D处提取出一组长度为L的内存数据，并将内存数据hash值、偏移D、长度L以及包含了该调用点相关属性的信息打包为一个四元组内存数据hash，偏移D，长度L，调用点相关属性，作为一个信物；S23：生成该程序所有指定用户态API调用点的所有信物，最终信物预配置模块输出一个信物列表；S3：服务壳模块使用同信物预配置模块相同的算法生成一个待校验安全信物，然后和信物预配置模块预先生成的预配置安全信物列表进行信物校验，依据校验结果输出此次针对用户数据文件的写入行为是否合法的判别结果以及放行或拒止的动作。

全文数据：

权利要求：

百度查询： 积至网络(北京)有限公司 一种基于预配置信物的勒索软件防御方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD