The application belongs to the field of computer technology, and discloses a firmware program detection method and device. The firmware program detection method of the application includes obtaining the read rate change information in the process of reading the firmware image file of the firmware program to be detected; determining the deviation degree between the read rate change information and the reference read rate change information, and the reference read rate change The information is determined by reading the firmware image file of the positive sample firmware program. When the deviation degree reaches the set condition, the firmware program to be detected is determined to be abnormal. In this way, only the firmware program is detected by reading the rate change information, which reduces the difficulty of firmware program detection and improves the detection rate of firmware program detection.
【技术实现步骤摘要】
一种固件程序检测方法和装置
本申请涉及计算机
,尤其涉及一种固件程序检测方法和装置。
技术介绍
固件程序用于为设备提供最底层的、最直接的硬件设置和控制,是设备的核心部分。若固件程序中存在恶意程序,将会极大的威胁设备的安全。因此,为保证设备的安全,通常需要对固件程序进行检测。以基本输入输出系统(BasicInputOutputSystem,BIOS)为例,BIOS是计算机主板芯片上的一个固件程序,通常为计算机启动后运行的第一个程序,是计算机运转的起点,具备访问所有设备、修改所有配置的最高权限。现有技术下,通常通过BIOS固件程序中的恶意程序样本特征,对BIOS固件程序进行特征匹配,获得检测结果。但是,采用这种方式,需要在断电情况下通过外部硬件读取BIOS固件程序的固件镜像文件,检测成本高,检测步骤繁琐,以及仅能检测出已知的BIOS固件异常问题,检出率较低。因此,如何提高固件程序检测的检出率,降低固件程序的检测难度,是亟待解决的问题。
技术实现思路
本申请实施例提供一种固件程序检测方法和装置,用以在对固件程序进行检测时,降低固件程序的检测难度,以及提高固件程序检测的检出率。一方面,提供一种固件程序检测方法,包括:获得读取待检测固件程序的固件镜像文件过程中的读取速率变化信息;确定读取速率变化信息与基准读取速率变化信息之间的偏离度,基准读取速率变化信息是根据读取正样本固件程序的固件镜像文件确定的;当偏离度达到设定条件时,确定待检测固件程序异常。 ...
【技术保护点】
1.一种固件程序检测方法,其特征在于,包括:/n获得读取待检测固件程序的固件镜像文件过程中的读取速率变化信息;/n确定所述读取速率变化信息与基准读取速率变化信息之间的偏离度,所述基准读取速率变化信息是根据读取正样本固件程序的固件镜像文件确定的;/n当所述偏离度达到设定条件时,确定所述待检测固件程序异常。/n
【技术特征摘要】
1.一种固件程序检测方法,其特征在于,包括:
获得读取待检测固件程序的固件镜像文件过程中的读取速率变化信息;
确定所述读取速率变化信息与基准读取速率变化信息之间的偏离度,所述基准读取速率变化信息是根据读取正样本固件程序的固件镜像文件确定的;
当所述偏离度达到设定条件时,确定所述待检测固件程序异常。
2.如权利要求1所述的方法,其特征在于,获得读取待检测固件程序的固件镜像文件过程中的读取速率变化信息,包括:
按照指定的文件读取次数,读取所述固件镜像文件,并将读取的固件镜像文件并写入指定内存空间;
获取所述固件镜像文件在各次文件读取过程中的监控数据;
对所述监控数据进行线性回归处理,获得读取速率变化信息。
3.如权利要求2所述的方法,其特征在于,读取所述固件镜像文件,包括:
每一次读取所述固件镜像文件时,采用以下方式中的任意一种:
按照该固件镜像文件的存储地址的地址顺序依次读取该固件镜像文件的相应内容;或者,
按照在该固件镜像文件对应的各存储地址中随机选择的序列地址读取所述固件镜像文件的相应内容。
4.如权利要求2所述的方法,其特征在于,进一步包括:
获取所述监控数据中还包含的各文件散列值,所述文件散列值为每一次读取所述固件镜像文件时确定的所述固件镜像文件的哈希值;
当各文件散列值不一致时,调整所述文件读取次数;
按照调整后的文件读取次数,执行所述按照指定的文件读取次数读取所述固件镜像文件的步骤。
5.如权利要求2所述的方法,其特征在于,所述监控数据中包含读取时间和相应的读取速率;
所述读取时间包括本地读取时间和远程读取时间;
所述本地读取时间是根据本地授时确定的时间;
所述远程读取时间是根据远程服务器授时确定的时间;
所述读取速率变化信息为用于表示读取时间和读取速率之间的映射关系的速率变化曲线,所述基准读取速率变化信息为用于表示读取时间和基准读...
【专利技术属性】
技术研发人员:杨韬,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。