本发明专利技术提出一种恶意Hook行为检测方法及系统,首先按规定创建系统函数的替代函数,其次监控系统中可执行程序的运行动态,判断是否有敏感Hook函数调用行为,若没有则放行,否则将相应可执行程序跳转到替代函数中进行处理。本发明专利技术对系统中可执行文件进行动态监控,有效检测恶意Hook行为,并通过替代函数的方式有效阻拦恶意行为的释放,保护系统数据安全;本发明专利技术通过替代函数的方式拦截恶意Hook行为,而不是直接将恶意Hook进程杀掉,该方式不影响系统中其他程序运行,能够充分维护系统稳定性。
【技术实现步骤摘要】
本专利技术涉及计算机信息安全
,尤其涉及一种恶意Hook行为检测方法及系统。
技术介绍
全局钩子由win32子系统提供,并设置了方便用户使用全局钩子的系统服务。目前很多应用程序为了实现良好的用户体验,都会注册全局钩子,并在执行过程中通过对Hook函数的调用来获取所需数据信息。然而,由于全局钩子的底层性,应用程序在调用Hook函数的过程中会涉及敏感行为,且有很多恶意行为利用全局钩子来获取系统数据,给用户信息安全造成很大隐患。
技术实现思路
针对上述现有技术中存在的缺陷,本专利技术提出一种恶意Hook行为检测方法及系统,首先按规定创建系统函数的替代函数,其次监控系统中可执行程序的运行动态,判断是否有敏感Hook函数调用行为,若没有则放行,否则将相应可执行程序跳转到替代函数中进行处理。具体
技术实现思路
包括:一种恶意Hook行为检测方法,包括:按规定创建系统函数LoadLibraryExW函数的替代函数;因为可执行程序在调用执行Hook函数时,系统函数LoadLibraryExW函数会被调用,通过执行LoadLibraryExW函数来实现Hook函数的调用和运行,为了截获恶意Hook行为,首先要根据具体需求和场景按规定创建LoadLibraryExW函数的替代函数;按规定,所述替代函数其函数原型与LoadLibraryExW函数相一致,但实现功能与LoadLibraryExW函数不同,替代函数实现的功能是截获Hook行为,阻止恶意行为的释放,而不是运行可执行程序;监控系统中运行的可执行程序是否包含全局钩子,若不包含,则放行;若包含,则判断相应可执行程序是否加载了Hook函数,若没有加载,则放行,否则按规定获取相应可执行程序的返回地址,并判断Hook函数是否是通过系统规定程序进行加载的;可执行程序运行过程中,正常的Hook行为是通过所在系统环境中提供的规定程序进行加载的,而应用程序触发的恶意Hook行为则是通过系统中其他程序或自带程序进行加载的;若所述Hook函数是通过系统规定程序进行加载的,则放行,否则将对应可执行程序跳转到所述替代函数中执行。进一步地,所述按规定获取相应可执行程序的返回地址,具体为:获取相应可执行程序LoadLibrary函数的返回地址;该返回地址能够直观得出相应可执行程序运行过程中函数的调用及参数的传递关系。进一步地,所述判断Hook函数是否是通过系统规定程序进行加载的,具体为:判断Hook函数是否是通过kernel32.dll进行加载的。进一步地,所述将对应可执行程序跳转到所述替代函数中执行,其中执行操作包括:获取参数信息,并令返回值为0,这样操作有利于对恶意Hook行为进行进一步分析,并阻拦恶意行为的释放;或者直接令返回值为0,这样操作可直接阻拦恶意Hook行为的释放;根据具体场景和需求,还可有其他执行和处理方式,比如将替代函数投入虚拟机中进行完整执行,便于针对特定敏感Hook行为进行深入分析。一种恶意Hook行为检测系统,包括:函数创建模块,用于按规定创建系统函数LoadLibraryExW函数的替代函数;因为可执行程序在调用执行Hook函数时,系统函数LoadLibraryExW函数会被调用,通过执行LoadLibraryExW函数来实现Hook函数的调用和运行,为了截获恶意Hook行为,首先要根据具体需求和场景按规定创建LoadLibraryExW函数的替代函数;按规定,所述替代函数其函数原型与LoadLibraryExW函数相一致,但实现功能与LoadLibraryExW函数不同,替代函数实现的功能是截获Hook行为,阻止恶意行为的释放,而不是运行可执行程序;全局钩子监控模块,用于监控系统中运行的可执行程序是否包含全局钩子,若不包含,则放行,否则进入Hook函数监控模块;Hook函数监控模块,用于判断相应可执行程序是否加载了Hook函数,若没有加载,则放行,否则进入加载判定模块;加载判定模块,用于按规定获取相应可执行程序的返回地址,并判断Hook函数是否是通过系统规定程序进行加载的,若是,则放行,否则进入跳转执行模块;可执行程序运行过程中,正常的Hook行为是通过所在系统环境中提供的规定程序进行加载的,而应用程序触发的恶意Hook行为则是通过系统中其他程序或自带程序进行加载的;跳转执行模块,用于将对应可执行程序跳转到所述替代函数中执行。进一步地,所述按规定获取相应可执行程序的返回地址,具体为:获取相应可执行程序LoadLibrary函数的返回地址;该返回地址能够直观得出相应可执行程序运行过程中函数的调用及参数的传递关系。进一步地,所述判断Hook函数是否是通过系统规定程序进行加载的,具体为:判断Hook函数是否是通过kernel32.dll进行加载的。进一步地,所述跳转执行模块,其中执行操作包括:获取参数信息,并令返回值为0,这样操作有利于对恶意Hook行为进行进一步分析,并阻拦恶意行为的释放;或者直接令返回值为0,这样操作可直接阻拦恶意Hook行为的释放;根据具体场景和需求,还可有其他执行和处理方式,比如将替代函数投入虚拟机中进行完整执行,便于针对特定敏感Hook行为进行深入分析。本专利技术的有益效果是:本专利技术对系统中可执行文件进行动态监控,有效检测恶意Hook行为,并通过替代函数的方式有效阻拦恶意行为的释放,保护系统数据安全;本专利技术通过替代函数的方式拦截恶意Hook行为,而不是直接将恶意Hook进程杀掉,该方式不影响系统中其他程序运行,能够充分维护系统稳定性。附图说明为了更清楚地说明本专利技术或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术一种恶意Hook行为检测的方法流程图;图2为本专利技术一种恶意Hook行为检测的系统结构图。具体实施方式为了使本
的人员更好地理解本专利技术实施例中的技术方案,并使本专利技术的上述目的、特征和优点能够更加明显易懂,下面结合附图对本专利技术中技术方案作进一步详细的说明。本专利技术给出了一种恶意Hook行为检测的方法实施例,如图1所示,包括:S101:按规定创建系统函数LoadLibraryExW函数的替代函数;S102:监控系统中运行的可执行程序是否包含全局钩子,若不包含,则放行,否则进入S103;S103:判断相应可执行程序是否加载了Hook函数,若没有加载,则放行,否则进入S104;S104:按规定获取相应可执行程序的返回地址;S105:判断Hook函数是否是通过系统规定程序进行加载的,若是,则放行,否则进入S106;S106:将对应可执行程序跳转到所述替代函数中执行。优选地,所述按规定获取相应可执行程序的返回地址,具体为:获取相应可执行程序LoadLibrary函数的返回地址;该返回地址能够直观得出相应可执行程序运行过程中函数的调用及参数的传递关系。优选地,所述判断Hook函数是否是通过系统规定程序进行加载的,具体为:判断Hook函数是否是通过kernel32.dll进行加载的。优选地,所述将对应可执行程序跳转到所述替代函数中执行,其中执行操作包括:获取参本文档来自技高网...
【技术保护点】
一种恶意Hook行为检测方法,其特征在于,包括:按规定创建系统函数LoadLibraryExW函数的替代函数;监控系统中运行的可执行程序是否包含全局钩子,若不包含,则放行;若包含,则判断相应可执行程序是否加载了Hook函数,若没有加载,则放行,否则按规定获取相应可执行程序的返回地址,并判断Hook函数是否是通过系统规定程序进行加载的;若所述Hook函数是通过系统规定程序进行加载的,则放行,否则将对应可执行程序跳转到所述替代函数中执行。
【技术特征摘要】
1.一种恶意Hook行为检测方法,其特征在于,包括:按规定创建系统函数LoadLibraryExW函数的替代函数;监控系统中运行的可执行程序是否包含全局钩子,若不包含,则放行;若包含,则判断相应可执行程序是否加载了Hook函数,若没有加载,则放行,否则按规定获取相应可执行程序的返回地址,并判断Hook函数是否是通过系统规定程序进行加载的;若所述Hook函数是通过系统规定程序进行加载的,则放行,否则将对应可执行程序跳转到所述替代函数中执行。2.如权利要求1所述的方法,其特征在于,所述按规定获取相应可执行程序的返回地址,具体为:获取相应可执行程序LoadLibrary函数的返回地址。3.如权利要求1或2所述的方法,其特征在于,所述判断Hook函数是否是通过系统规定程序进行加载的,具体为:判断Hook函数是否是通过kernel32.dll进行加载的。4.如权利要求3所述的方法,其特征在于,所述将对应可执行程序跳转到所述替代函数中执行,其中执行操作包括:获取参数信息,并令返回值为0;或者直接令返回值为0。5.一种恶意Hook行为检测系统,其特征在于...
【专利技术属性】
技术研发人员:王彦杰,宋成伟,严寒冰,韩文奇,肖新光,
申请(专利权)人:哈尔滨安天科技股份有限公司,
类型:发明
国别省市:黑龙江;23
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。