驱动程序处理方法、装置及存储介质制造方法及图纸

本发明专利技术实施例公开了一种驱动程序处理方法、装置及存储介质，属于信息安全领域。方法包括：确定待检测的目标驱动程序；获取预设条件，预设条件包括异常驱动程序的至少一种预设行为；按照预设条件中至少一种预设行为的行为模式以及目标驱动程序的行为模式，对目标驱动程序进行行为分析，确定目标驱动程序是否具有预设条件规定的预设行为；当目标驱动程序具有预设条件规定的预设行为时，确定目标驱动程序为异常驱动程序。本发明专利技术实施例根据异常驱动程序的预设行为对目标驱动程序的行为进行检测，确定目标驱动程序是否为异常驱动程序，不仅可以检测出已知的异常驱动程序，还可以检测出未知的异常驱动程序，检测范围全面，提高了准确性。

【技术实现步骤摘要】
驱动程序处理方法、装置及存储介质
本专利技术实施例涉及信息安全领域，特别涉及一种驱动程序处理方法、装置及存储介质。
技术介绍
Rootkit是指具有恶意行为的异常驱动程序，往往会在终端上隐藏自身及指定的文件、进程和网络链接等信息，通过隐藏的信息具有某些恶意行为，从而对终端造成极大的危害，甚至会给用户带来财产损失。因此如何准确检测出Rootkit成为亟待解决的问题。参见图1，相关技术中，通常会获取已知的异常驱动程序，确定这些异常驱动程序的MD5(MessageDigestAlgorithm，消息摘要算法第五版)值，从而创建包括异常驱动程序的MD5值的异常特征库，并确定可能会出现异常驱动程序的指定目录，遍历指定目录下的驱动程序，对于遍历到的每个目标驱动程序，获取该目标驱动程序的MD5值，并将该目标驱动程序的MD5值与异常特征库中的MD5值进行匹配，当异常特征库中包括该目标驱动程序的MD5值时，确定该目标驱动程序为异常驱动程序。在实现本专利技术实施例的过程中，专利技术人发现上述相关技术至少存在以下问题：上述检测异常驱动程序的方式只能检测出已知的异常驱动程序，而无法检测出未知的异常驱动程序，检测范围狭窄，准确性差。
技术实现思路
本专利技术实施例提供了一种驱动程序处理方法、装置及存储介质，可以解决相关技术的问题。所述技术方案如下：第一方面，提供了一种驱动程序处理方法，所述方法包括：确定待检测的目标驱动程序；获取预设条件，所述预设条件包括异常驱动程序的至少一种预设行为；按照所述预设条件中所述至少一种预设行为的行为模式以及所述目标驱动程序的行为模式，对所述目标驱动程序进行行为分析，确定所述目标驱动程序是否具有所述预设条件规定的预设行为；当所述目标驱动程序具有所述预设条件规定的预设行为时，确定所述目标驱动程序为异常驱动程序。第二方面，提供了一种驱动程序处理方法，所述方法包括：确定待检测的目标驱动程序；当按照预设条件中至少一种预设行为的行为模式以及所述目标驱动程序的行为模式，确定所述目标驱动程序具有所述预设条件规定的预设行为时，确定所述目标驱动程序为异常驱动程序，所述预设条件包括异常驱动程序的至少一种预设行为；展示异常提示信息，所述异常提示信息中包括确定为异常驱动程序的目标驱动程序。第三方面，提供了一种驱动程序处理装置，所述装置包括：程序确定模块，用于确定待检测的目标驱动程序；获取模块，用于获取预设条件，所述预设条件包括异常驱动程序的至少一种预设行为；行为分析模块，用于按照所述预设条件中所述至少一种预设行为的行为模式以及所述目标驱动程序的行为模式，对所述目标驱动程序进行行为分析，确定所述目标驱动程序是否具有所述预设条件规定的预设行为；检测模块，用于当所述目标驱动程序具有所述预设条件规定的预设行为时，确定所述目标驱动程序为异常驱动程序。第四方面，提供了一种驱动程序处理装置，所述装置包括：程序确定模块，用于确定待检测的目标驱动程序；检测模块，用于当按照预设条件中至少一种预设行为的行为模式以及所述目标驱动程序的行为模式，确定所述目标驱动程序具有预设条件规定的预设行为时，确定所述目标驱动程序为异常驱动程序，所述预设条件包括异常驱动程序的至少一种预设行为；展示模块，用于展示异常提示信息，所述异常提示信息中包括确定为异常驱动程序的目标驱动程序。第五方面，提供了一种驱动程序处理装置，所述驱动程序处理装置包括处理器和存储器，所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集，所述指令、所述程序、所述代码集或所述指令集由所述处理器加载并具有以实现如第一方面所述的驱动程序处理方法中所具有的操作，或者以实现如第二方面所述的驱动程序处理方法中所具有的操作。第六方面，提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有至少一条指令、至少一段程序、代码集或指令集，所述指令、所述程序、所述代码集或所述指令集由处理器加载并具有以实现如第一方面所述的驱动程序处理方法中所具有的操作，或者以实现如第二方面所述的驱动程序处理方法中所具有的操作。本专利技术实施例提供的技术方案带来的有益效果是：本专利技术实施例提供的方法、装置及存储介质，通过在预设条件中设置异常驱动程序的至少一种预设行为，并按照预设条件中至少一种预设行为的行为模式以及目标驱动程序的行为模式，对目标驱动程序进行行为分析，确定目标驱动程序是否具有预设条件规定的预设行为，当目标驱动程序具有预设条件规定的预设行为时，确定目标驱动程序为异常驱动程序。本专利技术实施例根据异常驱动程序的预设行为对目标驱动程序的行为进行检测，确定目标驱动程序是否为异常驱动程序，不仅可以检测出已知的异常驱动程序，还可以检测出未知的异常驱动程序，检测范围全面，提高了准确性。附图说明为了更清楚地说明本专利技术实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1是相关技术提供的一种检测异常驱动程序的操作流程图；图2是本专利技术实施例提供的一种驱动程序处理方法的流程图；图3是本专利技术实施例提供的一种文件路径示意图；图4是本专利技术实施例提供的一种目标驱动程序的属性信息的示意图；图5是本专利技术实施例提供的一种目标驱动程序运行之后的属性信息的示意图；图6是本专利技术实施例提供的一种操作流程示意图；图7是本专利技术实施例提供的一种异常提示信息的示意图；图8是本专利技术实施例提供的另一种异常提示信息的示意图；图9是本专利技术实施例提供的一种查杀历史记录的示意图；图10是本专利技术实施例提供的一种驱动程序处理方法的流程图；图11是本专利技术实施例提供的一种操作流程示意图；图12是本专利技术实施例提供的一种驱动程序处理装置的结构示意图；图13是本专利技术实施例提供的一种驱动程序处理装置的结构示意图；图14是本专利技术实施例提供的一种终端的结构示意图。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。本专利技术实施例提供了一种驱动程序处理方法，可以应用于对终端进行安全检测的场景下，通过对终端上的各个驱动程序进行行为分析，并与预设条件中的预设行为进行比对，从而检测出异常驱动程序。在一种可能实现方式中，终端可以安装具有安全检测功能的指定应用，通过指定应用执行本专利技术实施例提供的驱动程序处理方法，从而检测出终端上的异常驱动程序，进而能够对检测出的异常驱动程序进行处理，以保证终端的安全性。其中，该指定应用可以为电脑管家应用、安全卫士应用、病毒查杀应用等。图2是本专利技术实施例提供的一种驱动程序处理方法的流程图，该驱动程序处理方法的执行主体为终端，参见图2，该方法包括：201、解析注册表文件，获取注册表文件中的多个服务项，将每个服务项下的文件路径确定为目标驱动程序的文件路径。其中，注册表文件是帮助终端的操作系统控制硬件、软件、用户环境和界面的一套数据文件，注册表文件位于操作系统的指定目录下，可以从该指定目录获取注册表文件。该注册表文件即为存储本文档来自技高网...

【技术保护点】
1.一种驱动程序处理方法，其特征在于，所述方法包括：确定待检测的目标驱动程序；获取预设条件，所述预设条件包括异常驱动程序的至少一种预设行为；按照所述预设条件中所述至少一种预设行为的行为模式以及所述目标驱动程序的行为模式，对所述目标驱动程序进行行为分析，确定所述目标驱动程序是否具有所述预设条件规定的预设行为；当所述目标驱动程序具有所述预设条件规定的预设行为时，确定所述目标驱动程序为异常驱动程序。

【技术特征摘要】
1.一种驱动程序处理方法，其特征在于，所述方法包括：确定待检测的目标驱动程序；获取预设条件，所述预设条件包括异常驱动程序的至少一种预设行为；按照所述预设条件中所述至少一种预设行为的行为模式以及所述目标驱动程序的行为模式，对所述目标驱动程序进行行为分析，确定所述目标驱动程序是否具有所述预设条件规定的预设行为；当所述目标驱动程序具有所述预设条件规定的预设行为时，确定所述目标驱动程序为异常驱动程序。2.根据权利要求1所述的方法，其特征在于，所述确定待检测的目标驱动程序，包括：解析注册表文件，获取所述注册表文件中的多个服务项；将每个服务项下的文件路径确定为目标驱动程序的文件路径，以将每个服务项下的文件路径指代的驱动程序确定为所述目标驱动程序。3.根据权利要求2所述的方法，其特征在于，所述按照所述预设条件中所述至少一种预设行为的行为模式以及所述目标驱动程序的行为模式，对所述目标驱动程序进行行为分析，确定所述目标驱动程序是否具有所述预设条件规定的预设行为，包括以下至少一项：当所述目标驱动程序的属性信息包含的原始文件名称与所述目标驱动程序的文件路径包含的文件名称不匹配，或者，当所述目标驱动程序的属性信息包含的签名信息未验证通过时，确定所述目标驱动程序具有第一预设行为；当根据所述目标驱动程序的文件路径调用第一接口以获取所述目标驱动程序，但所述第一接口返回的结果为所述目标驱动程序不存在时，或者，当根据所述目标驱动程序的文件路径调用第二接口获取所述目标驱动程序的特征值，但所述第二接口返回的结果为无法获取到所述目标驱动程序的特征值时，确定所述目标驱动程序具有第二预设行为；当所述目标驱动程序已注册指定回调函数时，确定所述目标驱动程序具有第三预设行为；当白名单中不包括所述目标驱动程序的文件路径时，确定所述目标驱动程序具有第四预设行为，所述白名单中包括正常驱动程序的文件路径；根据所述目标驱动程序的文件路径和白名单中每个驱动程序的文件路径调用第二接口，获取到所述目标驱动程序的特征值以及所述白名单中每个驱动程序的特征值，当所述白名单中每个驱动程序的特征值组成的特征值集合中包括所述目标驱动程序的特征值，但所述白名单中不包括所述目标驱动程序的文件路径时，确定所述目标驱动程序具有第五预设行为，所述白名单中包括正常驱动程序的文件路径。4.根据权利要求3所述的方法，其特征在于，所述当所述目标驱动程序具有所述预设条件规定的预设行为时，确定所述目标驱动程序为异常驱动程序，包括：当所述目标驱动程序具有所述第一预设行为、所述第二预设行为、所述第三预设行为和所述第四预设行为时，确定所述目标驱动程序为异常驱动程序；当所述目标驱动程序具有所述第一预设行为和所述第五预设行为时，确定所述目标驱动程序为异常驱动程序。5.根据权利要求1所述的方法，其特征在于，所述确定待检测的目标驱动程序，包括以下至少一项：将已注册预设钩子函数的驱动程序确定为目标驱动程序；将已注册预设回调函数的驱动程序确定为目标驱动程序。6.根据权利要求5所述的方法，其特征在于，所述按照所述预设条件中所述至少一种预设行为的行为模式以及所述目标驱动程序的行为模式，对所述目标驱动程序进行行为分析，确定所述目标驱动程序是否具有所述预设条件规定的预设行为，包括以下至少一项：当所述目标驱动程序已注册指定钩子函数时，确定所述目标驱动程序具有第六预设行为，所述指定钩子函数为所述预设钩子函数中的关键钩子函数；当调用第三接口以获取所述目标驱动程序的文件路径，但所述第三接口返回的结果为无法获取到所述目标驱动程序的文件路径时，确定所述目标驱动程序具有第七预设行为；当调用第三接口获取到所述目标驱动程序的文件...

【专利技术属性】
技术研发人员：全永春，饶帅，程虎，
申请(专利权)人：腾讯科技深圳有限公司，
类型：发明
国别省市：广东,44