公开(公告)号：CN118886011A

公开(公告)日：2024-11-01

申请号：CN202410949359.7

申请日：2024-07-16

Applicant: 常熟理工学院 ,  江苏航天龙梦信息技术有限公司

Inventor： 苏超 ,  徐锋 ,  罗梓桂 ,  邢晓双 ,  赵海童 ,  仝灿 ,  成晓璐 ,  钱振江

IPC: G06F21/56

Abstract: 本发明公开了一种基于CPU缓存状态变化的恶意程序检测方法，包括如下步骤：通过分析程序中的代理组件复制目标程序虚拟的内存映射机制，运行代理组件进入on‑site模式，探测CPU缓存状态变化，得到目标程序的代码块执行逻辑；利用栈中调用函数的返回地址恢复场景，定位栈的地址，并通过栈的返回地址恢复失踪的目标程序的代码块地址，生成目标程序的动态行为数据；在构造的分析环境中运行目标程序，触发目标程序的逃避机制，获取目标程序的真实动态行为数据；将步骤2与步骤3的动态行为数据进行相似度度量，设定阈值，判断目标程序是否为恶意程序。本发明具有更强的分析能力，高透明性，具备良好的检测性能。

公开(公告)号：CN118586005A

公开(公告)日：2024-09-03

申请号：CN202410784904.1

申请日：2024-06-18

Applicant: 江苏航天龙梦信息技术有限公司

Inventor： 苏超 ,  徐锋 ,  罗梓桂 ,  邢晓双 ,  赵海童 ,  仝灿 ,  成晓璐 ,  钱振江

IPC: G06F21/57 ,  G06F11/07 ,  G06F9/50 ,  G06F9/448

Abstract: 本发明公开了一种利用内存缝隙的不重启代码修复方法，包括如下步骤：筛选修复代码的目标对象；搜索内存布局，管理和存储检索到的内存缝隙的信息，匹配修复代码所对应的空间信息；通过对比修复代码中对函数的修改需求，替换修改函数指针或函数的参数结构，生成代码修复方案；更新内核符号表的信息；将所述目标对象需要修复的数据与数据结构写入内存缝隙，依据代码修复方案生成内核模块，通过加载所述内核模块，利用HOOK机制，实现不重启系统的代码修复。本发明适用于真实环境中的不同类型代码修复补丁，具有较好的普适性。