【技术实现步骤摘要】
恶意驱动检测方法、装置、设备及介质
本专利技术涉及网络安全
,尤其涉及一种恶意驱动检测方法、装置、设备及介质。
技术介绍
随着网络安全趋势对抗愈发激烈,恶意代码技术愈发成熟并难以查杀,对网络安全带来极大的危害。常见挖矿木马、勒索病毒、远控病毒都会附带恶意驱动用于自我保护、C&C窃取隐私数据和通信等,目前的恶意驱动大多采用了Rootkit技术,利用系统漏洞绕过安全机制,并在内核态下对操作系统进行攻击与对抗,实现隐蔽自身存在并驻留在内存对计算机发动持久性攻击,对计算机安全带来极大的威胁。实现对恶意驱动的定位是清除恶意驱动的前提,当前已有的恶意驱动检测工具有三种。第一种工具为:通过未公开的APIObReferenceObjectByName函数或其他内核全局变量,对驱动对象DRIVER_OBJECT进行获取,然后通过全局双项链表遍历全局内核驱动对象。该恶意驱动检测工具在应用中存在的不足之处在于:当恶意驱动对全局双向链表进行摘链后,就无法通过遍历全局双向链表对驱动对象进行进一步地排查,并且恶意驱动有可能会截获(...
【技术保护点】
1.一种恶意驱动检测方法,其特征在于,包括以下步骤:/n检测SSDT中被截获的函数指针,通过所述函数指针去定位截获所述函数指针的第一驱动对象,然后通过主动截获所述SSDT中未被截获的函数指针去检测被Rootkit技术隐藏的第二驱动对象,合并所述第一驱动对象和第二驱动对象,得到驱动对象集合P1;/n遍历操作系统得到正常驱动对象,合并所述正常驱动对象建立所述驱动对象集合P2;/n采用双指针解引用遍历并解析内存结构数据,得到驱动对象集合P3;/n对所述驱动对象集合P1、所述驱动对象集合P2和所述驱动对象集合P3进行逻辑运算得到目标恶意驱动集合;/n其中,对所述驱动对象集合P1、所...
【技术特征摘要】
1.一种恶意驱动检测方法,其特征在于,包括以下步骤:
检测SSDT中被截获的函数指针,通过所述函数指针去定位截获所述函数指针的第一驱动对象,然后通过主动截获所述SSDT中未被截获的函数指针去检测被Rootkit技术隐藏的第二驱动对象,合并所述第一驱动对象和第二驱动对象,得到驱动对象集合P1;
遍历操作系统得到正常驱动对象,合并所述正常驱动对象建立所述驱动对象集合P2;
采用双指针解引用遍历并解析内存结构数据,得到驱动对象集合P3;
对所述驱动对象集合P1、所述驱动对象集合P2和所述驱动对象集合P3进行逻辑运算得到目标恶意驱动集合;
其中,对所述驱动对象集合P1、所述驱动对象集合P2和所述驱动对象集合P3进行逻辑运算包括:
将所述驱动对象集合P1与所述驱动对象集合P2取交集提取所述驱动对象集合P1中的正常驱动对象为集合X,将所述驱动对象集合P1减去所述集合X得到恶意驱动集合X1,将所述恶意驱动集合X1与所述驱动对象集合P3取并集得到集合X2,将所述集合X2减去所述驱动对象集合P2得到所述目标恶意驱动集合。
2.如权利要求1所述的恶意驱动检测方法,其特征在于,检测SSDT中被截获的函数指针,其具体步骤包括:遍历ntoskrnl模块得到原始函数指针与SSDT中的函数指针进行比对,得到所述被截获的函数指针。
3.如权利要求1或2所述的恶意驱动检测方法,其特征在于,通过主动截获所述SSDT中未被截获的函数指针去检测被Rootkit技术隐藏的第二驱动对象,其具体步骤包括:
通过栈回溯检测所述主动截获的函数指针,根据回溯地址解析所述主动截获的函数指针的内存数据,得到被Rootkit技术隐藏的第二驱动对象。
4.如权利要求1所述的恶意驱动检测方法,其特征在于,遍历操作系统得到正常驱动对象,包括:
调用结构体KPCR获取PsLoadedModuleList得到操作系统中驱动对象的枚举;
循环遍历全局系统模块,调用枚举链表获取隐藏的驱动对象;
回调遍历句柄表,获取所述句柄表中的驱动对象。
5.如权利要求1所述的恶意驱动检测方法,其特征在于,采用双指针解引用遍历并解析内存结构数据,得到驱动对象集合P3,包括:
动态获取起始内存地址,从所述起始内存地址开始,对内存地址以相同字节递增遍历;
取遍历结果进行一级指针解引用并解析内存结构数据,判断所述内存结构数据是否与通用头内核结构体OBJECT_TYPE匹配,如果匹配成功,标记匹配成功的内存结构数据;
如果匹配失败,判断...
【专利技术属性】
技术研发人员:陈震宇,
申请(专利权)人:光通天下网络科技股份有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。