【技术实现步骤摘要】
恶意进程检测方法、装置、电子设备及存储介质
本专利技术涉及电子设备
,具体涉及一种恶意进程检测方法、装置、电子设备及存储介质。
技术介绍
恶意软件指在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马的程序,通过破坏软件进程来实施控制。且随着电子设备技术的发展,恶意软件的发展和传播速度也越来越快。驱动程序一般指的是设备驱动程序(DeviceDriver),是一种可以使电子设备和设备通信的特殊程序。相当于硬件的接口,操作系统只有通过这个接口,才能控制硬件设备的工作。若恶意软件植入驱动程序,则必然影响电子设备的安全性。
技术实现思路
本专利技术实施例提供一种恶意进程检测方法、装置、电子设备及存储介质,用于解决难以识别驱动进程被恶意软件控制的技术问题,可提高电子设备的安全性。本专利技术实施例第一方面提供一种恶意进程检测方法,包括:获取目标进程对应的进程标识;根据所述进程标识确定所述目标进程对应的多个线程和多个执行模块;获取所述多个线程中每一线程对应的执行地址空间,以得到多个执行地址空间;根据所述多个执行地址空间和所述多个执行模块确定所述目标进程是否被恶意修改。结合本专利...
【技术保护点】
1.一种恶意进程检测方法,其特征在于,包括:获取目标进程对应的进程标识;根据所述进程标识确定所述目标进程对应的多个线程和多个执行模块;获取所述多个线程中每一线程对应的执行地址空间,以得到多个执行地址空间;根据所述多个执行地址空间和所述多个执行模块确定所述目标进程是否被恶意修改。
【技术特征摘要】
1.一种恶意进程检测方法,其特征在于,包括:获取目标进程对应的进程标识;根据所述进程标识确定所述目标进程对应的多个线程和多个执行模块;获取所述多个线程中每一线程对应的执行地址空间,以得到多个执行地址空间;根据所述多个执行地址空间和所述多个执行模块确定所述目标进程是否被恶意修改。2.根据权利要求1所述的方法,其特征在于,所述根据所述多个执行地址空间和所述多个执行模块确定所述目标进程是否被恶意修改,包括:将所述多个执行地址空间中每一执行地址空间与所述多个执行模块中每一执行模块进行匹配;若所述多个执行地址空间中的目标执行地址空间与所述多个执行模块中每一执行模块均匹配失败,则将所述目标执行地址空间对应的目标线程的线程信息标记为Shellcode线程信息;根据所述Shellcode线程信息确定所述目标进程是否被恶意修改。3.根据权利要求2所述的方法,其特征在于,所述根据所述Shellcode线程信息确定所述目标进程是否被恶意修改,包括:根据所述Shellcode线程信息获取Shellcode线程对应的起始地址;根据所述起始地址获取所述Shellcode线程对应的Shellcode模块;获取所述Shellcode模块对应的调试文件信息;若所述调试文件信息满足预设拦截规则,则确定所述目标进程被恶意修改。4.根据权利要求3所述的方法,其特征在于,所述方法还包括:获取预先确定的多个危险进程中每一危险进程对应的可移植可执行PE文件信息,以得到多个PE文件信息;分析所述多个PE文件信息,以得到多个目标维度;获取所述多个PE文件信息中每一PE文件信息中与所述多个目标维度中每一目标维度对应的特征信息,以得到多个特征信息集;根据所述多个特征信息集生成所述预设拦截规则。5.根据权利要求4所述的方法,其特征在于,所述分析所述多个PE文件信息,以得到多个目标维度,包括:获取所述多个PE文件信息中每一PE文件信息对应的属性类型,得到多个属性类型;获取所述多个属性类型中每一属性类型对应的恶意修改概率,以得到多个恶意修改概率;将所述多个恶意修改概率中小于目标阈值的...
【专利技术属性】
技术研发人员:苏文杰,杨峰,
申请(专利权)人:珠海市君天电子科技有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。