An embodiment of the present invention discloses a code detection method, device, electronic device and storage medium. The method includes: determining whether the first memory has executable privileges when the system allocates the first memory; analyzing the first loading process of the first code stored in the first memory if the first memory has executable privileges; and loading the standard corresponding to the system if the first loading process has been loaded. The first memory address is recorded and virus detection is performed on the first memory to obtain the first detection result. If the first detection result is malicious code, the execution of the first code is terminated and the first memory memory memory memory memory memory memory memory memory is deleted according to the address of the first memory recorded. Save the first code of the said. This method can detect the code loaded by the way of non-entity loading code, and reduce the security risk of equipment that supports the way of non-entity loading code.
【技术实现步骤摘要】
一种代码检测方法、装置、电子设备及存储介质
本专利技术涉及通信
,尤其涉及一种代码检测方法、装置、电子设备及存储介质。
技术介绍
目前病毒检测技术大都以静态检测和动态行为分析为主。其中,静态检测为根据代码的特征来区分是否为恶意代码。动态行为分析为对代码对应的行为进行分析来区分是否为恶意代码,例如,在沙箱中执行代码,在执行代码过程中,如果出现异常行为,则确定代码为恶意代码。无论是静态检测还是动态行为分析,都是针对承载在实体介质(如,光盘、移动硬盘等)上的代码,并且在代码执行前,对代码进行分析。目前,高级恶意代码威胁都采用无实体加载代码的方式,即采用一个无害的loader程序,再根据远端的配置在内存中自动执行恶意代码,从而逃过了针对代码的静态检测和动态行为分析。因此,对于支持这种无实体加载代码的方式的设备而言,存在较高的安全风险。
技术实现思路
有鉴于此,本专利技术实施例提供一种代码检测方法、装置、电子设备及存储介质,可以针对通过无实体加载代码的方式加载的代码进行检测,降低支持无实体加载代码的方式的设备的安全风险。在第一方面,本专利技术实施例提供一种代码检测方法,该方法包括:当监测到系统分配第一内存时,确定所述第一内存是否具有可执行权限;若所述第一内存具有可执行权限,分析所述第一内存中存储的第一代码的第一加载过程;若所述第一加载过程与所述系统对应的标准加载过程不同,记录所述第一内存的地址,并对所述第一代码进行病毒检测,得到第一检测结果;若所述第一检测结果为所述第一代码为恶意代码,则终止执行所述第一代码,并根据记录的所述第一内存的地址删除所述第一内存中存储的所 ...
【技术保护点】
1.一种代码检测方法,其特征在于,所述方法包括:当监测到系统分配第一内存时,确定所述第一内存是否具有可执行权限;若所述第一内存具有可执行权限,分析所述第一内存中存储的第一代码的第一加载过程;若所述第一加载过程与所述系统对应的标准加载过程不同,记录所述第一内存的地址,并对所述第一代码进行病毒检测,得到第一检测结果;若所述第一检测结果为所述第一代码为恶意代码,则终止执行所述第一代码,并根据记录的所述第一内存的地址删除所述第一内存中存储的所述第一代码。
【技术特征摘要】
1.一种代码检测方法,其特征在于,所述方法包括:当监测到系统分配第一内存时,确定所述第一内存是否具有可执行权限;若所述第一内存具有可执行权限,分析所述第一内存中存储的第一代码的第一加载过程;若所述第一加载过程与所述系统对应的标准加载过程不同,记录所述第一内存的地址,并对所述第一代码进行病毒检测,得到第一检测结果;若所述第一检测结果为所述第一代码为恶意代码,则终止执行所述第一代码,并根据记录的所述第一内存的地址删除所述第一内存中存储的所述第一代码。2.根据权利要求1所述的方法,其特征在于,所述分析所述第一内存中存储的第一代码的第一加载过程,包括:分析所述第一加载过程对应的堆栈;若所述堆栈中记录函数调用顺序与所述系统对应的代码加载时的标准函数调用顺序相同,则确定所述第一加载过程与所述系统对应的标准加载过程相同;若所述堆栈中记录函数调用顺序与所述系统对应的代码加载时的标准函数调用顺序不同,则确定所述第一加载过程与所述系统对应的标准加载过程不同。3.根据权利要求1所述的方法,其特征在于,所述方法还包括:若所述第一检测结果为所述第一代码为非恶意代码,则将所述第一代码中的认证信息添加至白名单。4.根据权利要求3所述的方法,其特征在于,所述记录所述第一内存的地址,并对所述第一代码进行病毒检测,得到第一检测结果,包括:若所述白名单中不包括所述第一代码中的认证信息,则记录所述第一内存的地址,并对所述第一代码进行病毒检测,得到第一检测结果。5.根据权利要求1所述的方法,其特征在于,所述方法还包括:当监测到系统准备释放第二内存时,确定所述第二内存是否具有可执行权限;若所述第二内存不具有可执行权限,则释放所述第二内存;若所述第二内存具有可执行权限,确定是否记录过所述第二内存的地址;若记录过所述第二内存的地址,则释放所述第二内存;若未记录过所述第二内存的地址,则在释放所述第二内存之前,记录所述第二内存的地址,并对所述第二内存中存储的第二代码进行病毒检测,得到检测结果。6.根据权利要求1-5任一所述的方法,其特征在于,在所述记录所述第一内存的地址之后,所述方法还包括:输出用于提示可疑代码的提示信息,所述提示信息包括:所述第一内存的地址。7.一种代码检测装置,其特征在于,所述装置包括:确定单元,用于当监测到系统分配第一内存时,确定所述第一内存是否具有可执行权限;分析单元,用于若所述第一内存具有可执行权限,分析所述第一内存中存储的第一代码的第一加载过程;检测单元,用于若所述第一加载过程与所述系统对应的标准加载过程不同,记录所述第一内存的地址,并对所述第一代码进行病毒检测,得...
【专利技术属性】
技术研发人员:李鹏,黄显澍,王小丰,肖新光,
申请(专利权)人:哈尔滨安天科技股份有限公司,
类型:发明
国别省市:黑龙江,23
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。