检测非法程序的方法和装置制造方法及图纸

本申请实施例提供了一种检测非法程序的方法和装置，属于计算机技术领域。所述方法包括：确定内核空间中第一内核数据结构对应的第一读取函数和第二读取函数，其中，所述第一读取函数用于读取当前结构内容，所述第二读取函数用于读取初始结构内容；调用所述第一读取函数，获取所述内核空间中第一内核数据结构的当前结构内容，并且调用所述第二读取函数，获取所述内核空间中预先存储的所述第一内核数据结构的初始结构内容；当所述第一内核数据结构的初始结构内容与当前结构内容不相同时，确定所述第一内核数据结构中存在非法程序。采用本申请，可以检测内核空间中的非法程序。

【技术实现步骤摘要】
检测非法程序的方法和装置
本申请涉及计算机
，特别涉及一种检测非法程序的方法和装置。
技术介绍
非法程序(如Rootkits等)是一种在攻击操作系统时，用于隐藏踪迹和保留root访问权限的工具。非法程序可以分为应用级非法程序和内核级非法程序，应用级非法程序主要修改操作系统应用层的系统文件，比较容易预防和检测，内核级非法程序主要攻击操作系统内核空间，比较难预防和检测，所以需要提供在内核空间中检测非法程序的方法。然而相关技术中，技术人员在用户空间中设置检测程序，对用户空间中的应用级非法程序进行检测。这样，由于内核级非法程序仅在内核空间中可见，用户空间中的检测程序仅对应用级非法程序进行检测，无法检测到内核级非法程序。
技术实现思路
为了解决无法检测内核级非法程序的问题，本申请实施例提供了一种检测非法程序的方法和装置。所述技术方案如下：第一方面，提供了一种检测非法程序的方法，该方法包括：确定内核空间中第一内核数据结构对应的第一读取函数和第二读取函数，其中，所述第一读取函数用于读取当前结构内容，所述第二读取函数用于读取初始结构内容；调用所述第一读取函数，获取所述内核空间中所述第一内核数据结构本文档来自技高网...

【技术保护点】
1.一种检测非法程序的方法，其特征在于，所述方法包括：确定内核空间中第一内核数据结构对应的第一读取函数和第二读取函数，其中，所述第一读取函数用于读取当前结构内容，所述第二读取函数用于读取初始结构内容；调用所述第一读取函数，获取所述内核空间中所述第一内核数据结构的当前结构内容，并且调用所述第二读取函数，获取所述内核空间中预先存储的所述第一内核数据结构的初始结构内容；当所述第一内核数据结构的初始结构内容与所述当前结构内容不相同时，确定所述第一内核数据结构中存在非法程序。

【技术特征摘要】
1.一种检测非法程序的方法，其特征在于，所述方法包括：确定内核空间中第一内核数据结构对应的第一读取函数和第二读取函数，其中，所述第一读取函数用于读取当前结构内容，所述第二读取函数用于读取初始结构内容；调用所述第一读取函数，获取所述内核空间中所述第一内核数据结构的当前结构内容，并且调用所述第二读取函数，获取所述内核空间中预先存储的所述第一内核数据结构的初始结构内容；当所述第一内核数据结构的初始结构内容与所述当前结构内容不相同时，确定所述第一内核数据结构中存在非法程序。2.根据权利要求1所述的方法，其特征在于，所述方法还包括：获取所述第一内核数据结构的标识，并获取内核数据结构的标识与内核数据结构类型的对应关系；根据所述对应关系和所述第一内核数据结构的标识，确定所述第一内核数据结构所属的内核数据结构类型。3.根据权利要求2所述的方法，其特征在于，所述确定内核空间中第一内核数据结构对应的第一读取函数和第二读取函数，包括：获取内核数据结构类型与读取函数的标识的对应关系；根据所述第一内核数据结构所属的内核数据结构类型以及所述内核数据结构类型与读取函数的标识的对应关系，确定所述第一内核数据结构所属的内核数据结构类型对应的两个读取函数的标识；根据所述两个读取函数的标识中有第一标记的读取函数的标识，确定所述内核空间中第一内核数据结构对应的第一读取函数，并根据所述两个读取函数的标识中有第二标记的读取函数的标识，确定所述第一内核数据结构对应的第二读取函数，其中，所述第一标记用于指示读取函数用于读取当前结构内容，所述第二标记用于指示读取函数用于读取初始结构内容。4.根据权利要求1至3任一所述的方法，其特征在于，所述方法还包括：当确定所述内核空间中存在目标模块结构体时，确定所述目标模块结构体为非法程序，其中，所述目标模块结构体用于删除内核数据结构链表中的结点，所述结点是所述目标模块结构体在所述内核空间中能加载的内核数据结构的标识。5.根据权利要求1所述的方法，其特征在于，所述方法还包括：接收目标系统调用，其中，所述目标系统调用用于指示进行非法程序检测；当所述目标系统调用对应有预设标识时，确定进行非法程序检测。6.根据权利要求1所述的方法，其特征在于，所述内核空间包括核心程序，所述核心程序运行在高于预设等级的权限上，拥有访问主机的硬件的所有权限。7.一种检测非法程序的方法，其特征在于，所述方法包括：确定内核空间中目标内核数据结构对应的目标读取函数，其中，所述目标读取函数用于读取当前结构内容；调用所述目标读取函数，获取所述内核空间中所述目标内核数据结构的当前结构内容；当所述目标内核数据结构的当前结构内容中存在预设结构时，确定所述目标内核数据结构中存在非法程序，其中，所述预设结构为用于执行非法处理的结构。8.根据权利要求7所述的方法，其特征在于，所述方法还包括：获取所述目标内核数据结构的标识，并获取内核数据结构的标识与内核数据结构类型的对应关系；根据所述对应关系和所述目标内核数据结构的标识，确定所述目标内核数据结构所属的内核数据结构类型。9.根据权利要求8所述的方法，其特征在于，所述确定内核空间中目标内核数据结构对应的目标读取函数，包括：获取内核数据结构类型与读取函数的标识的对应关系；根据所述目标内核数据结构所属的内核数据结构类型以及所述内核数据结构类型与读取函数的标识的对应关系，确定所述目标内核数据结构所属的内核数据结构类型对应的读取函数的标识；根据所述目标内核数据结构所属的内核数据结构类型对应的读取函数的标识，确定所述目标内核数据结构对应的目标读取函数。10.根据权利要求7至9任一所述的方法，其特征在于，所述预设结构包括改变执行路径的指令、键盘记录列表中的结点。11.一种主机，其特征在于，所述主机包括存储器和处理器，所述存储器中存储有计算机程序，当所述处理器调用所述存储器中的计算机程序时，使得所述处理器执行上述权利要求1-10任一所述的检测非法程序的方法。12....

【专利技术属性】
技术研发人员：王智通，毛俊鸿，陈岑，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东,44