【技术实现步骤摘要】
驱动程序处理方法、装置及存储介质
本专利技术实施例涉及信息安全领域,特别涉及一种驱动程序处理方法、装置及存储介质。
技术介绍
Rootkit是指具有恶意行为的异常驱动程序,往往会在终端上隐藏自身及指定的文件、进程和网络链接等信息,通过隐藏的信息具有某些恶意行为,从而对终端造成极大的危害,甚至会给用户带来财产损失。因此如何准确检测出Rootkit成为亟待解决的问题。参见图1,相关技术中,通常会获取已知的异常驱动程序,确定这些异常驱动程序的MD5(MessageDigestAlgorithm,消息摘要算法第五版)值,从而创建包括异常驱动程序的MD5值的异常特征库,并确定可能会出现异常驱动程序的指定目录,遍历指定目录下的驱动程序,对于遍历到的每个目标驱动程序,获取该目标驱动程序的MD5值,并将该目标驱动程序的MD5值与异常特征库中的MD5值进行匹配,当异常特征库中包括该目标驱动程序的MD5值时,确定该目标驱动程序为异常驱动程序。在实现本专利技术实施例的过程中,专利技术人发现上述相关技术至少存在以下问题:上述检测异常驱动程序的方式只能检测出已知的异常驱动程序,而无法检测出未知的异常驱动程序,检测范围狭窄,准确性差。
技术实现思路
本专利技术实施例提供了一种驱动程序处理方法、装置及存储介质,可以解决相关技术的问题。所述技术方案如下:第一方面,提供了一种驱动程序处理方法,所述方法包括:确定待检测的目标驱动程序;获取预设条件,所述预设条件包括异常驱动程序的至少一种预设行为;按照所述预设条件中所述至少一种预设行为的行为模式以及所述目标驱动程序的行为模式,对所述目标驱动程序进行 ...
【技术保护点】
1.一种驱动程序处理方法,其特征在于,所述方法包括:确定待检测的目标驱动程序;获取预设条件,所述预设条件包括异常驱动程序的至少一种预设行为;按照所述预设条件中所述至少一种预设行为的行为模式以及所述目标驱动程序的行为模式,对所述目标驱动程序进行行为分析,确定所述目标驱动程序是否具有所述预设条件规定的预设行为;当所述目标驱动程序具有所述预设条件规定的预设行为时,确定所述目标驱动程序为异常驱动程序。
【技术特征摘要】
1.一种驱动程序处理方法,其特征在于,所述方法包括:确定待检测的目标驱动程序;获取预设条件,所述预设条件包括异常驱动程序的至少一种预设行为;按照所述预设条件中所述至少一种预设行为的行为模式以及所述目标驱动程序的行为模式,对所述目标驱动程序进行行为分析,确定所述目标驱动程序是否具有所述预设条件规定的预设行为;当所述目标驱动程序具有所述预设条件规定的预设行为时,确定所述目标驱动程序为异常驱动程序。2.根据权利要求1所述的方法,其特征在于,所述确定待检测的目标驱动程序,包括:解析注册表文件,获取所述注册表文件中的多个服务项;将每个服务项下的文件路径确定为目标驱动程序的文件路径,以将每个服务项下的文件路径指代的驱动程序确定为所述目标驱动程序。3.根据权利要求2所述的方法,其特征在于,所述按照所述预设条件中所述至少一种预设行为的行为模式以及所述目标驱动程序的行为模式,对所述目标驱动程序进行行为分析,确定所述目标驱动程序是否具有所述预设条件规定的预设行为,包括以下至少一项:当所述目标驱动程序的属性信息包含的原始文件名称与所述目标驱动程序的文件路径包含的文件名称不匹配,或者,当所述目标驱动程序的属性信息包含的签名信息未验证通过时,确定所述目标驱动程序具有第一预设行为;当根据所述目标驱动程序的文件路径调用第一接口以获取所述目标驱动程序,但所述第一接口返回的结果为所述目标驱动程序不存在时,或者,当根据所述目标驱动程序的文件路径调用第二接口获取所述目标驱动程序的特征值,但所述第二接口返回的结果为无法获取到所述目标驱动程序的特征值时,确定所述目标驱动程序具有第二预设行为;当所述目标驱动程序已注册指定回调函数时,确定所述目标驱动程序具有第三预设行为;当白名单中不包括所述目标驱动程序的文件路径时,确定所述目标驱动程序具有第四预设行为,所述白名单中包括正常驱动程序的文件路径;根据所述目标驱动程序的文件路径和白名单中每个驱动程序的文件路径调用第二接口,获取到所述目标驱动程序的特征值以及所述白名单中每个驱动程序的特征值,当所述白名单中每个驱动程序的特征值组成的特征值集合中包括所述目标驱动程序的特征值,但所述白名单中不包括所述目标驱动程序的文件路径时,确定所述目标驱动程序具有第五预设行为,所述白名单中包括正常驱动程序的文件路径。4.根据权利要求3所述的方法,其特征在于,所述当所述目标驱动程序具有所述预设条件规定的预设行为时,确定所述目标驱动程序为异常驱动程序,包括:当所述目标驱动程序具有所述第一预设行为、所述第二预设行为、所述第三预设行为和所述第四预设行为时,确定所述目标驱动程序为异常驱动程序;当所述目标驱动程序具有所述第一预设行为和所述第五预设行为时,确定所述目标驱动程序为异常驱动程序。5.根据权利要求1所述的方法,其特征在于,所述确定待检测的目标驱动程序,包括以下至少一项:将已注册预设钩子函数的驱动程序确定为目标驱动程序;将已注册预设回调函数的驱动程序确定为目标驱动程序。6.根据权利要求5所述的方法,其特征在于,所述按照所述预设条件中所述至少一种预设行为的行为模式以及所述目标驱动程序的行为模式,对所述目标驱动程序进行行为分析,确定所述目标驱动程序是否具有所述预设条件规定的预设行为,包括以下至少一项:当所述目标驱动程序已注册指定钩子函数时,确定所述目标驱动程序具有第六预设行为,所述指定钩子函数为所述预设钩子函数中的关键钩子函数;当调用第三接口以获取所述目标驱动程序的文件路径,但所述第三接口返回的结果为无法获取到所述目标驱动程序的文件路径时,确定所述目标驱动程序具有第七预设行为;当调用第三接口获取到所述目标驱动程序的文件...
【专利技术属性】
技术研发人员:全永春,饶帅,程虎,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。