【技术实现步骤摘要】
勒索病毒的检测方法及装置
本专利技术实施例涉及移动信息安全
,尤其涉及一种勒索病毒的检测方法及装置。
技术介绍
勒索病毒,是一种对终端设备上的文件进行加密以勒索终端设备用户的恶意软件。由于制造门槛较低、获利极快等特点,近年来勒索病毒逐渐增多,攻击对象从服务器、PC端延伸至手机终端,被勒索对象从学校、企业延伸至个人用户。大量勒索病毒的出现,带来的是惨重的经济损失,因此,及时检测出终端设备上的勒索病毒避免终端设备用户遭受勒索迫在眉睫。考虑到加密操作属于I/O类操作,需要调用相应的API接口实现,现有技术在检测勒索病毒时:在终端设备上部署污点文件,并对I/O类操作对应的每个API接口进行监控,获取调用该API接口的软件以及该软件调用该API接口所操作的文件,若所操作的文件为污点文件,则该软件为勒索病毒。由于终端设备上常高频触发I/O操作,会频繁调用I/O操作对应的API接口,因此对I/O操作对应的API接口进行监控的成本很高,终端设备系统运行损耗较大。同时,由于对I/O操作对应的每个API接口进行监控并获取调...
【技术保护点】
1.一种勒索病毒的检测方法,其特征在于,包括:/n确定历史勒索病毒遍历终端文件的顺序;/n根据确定的历史勒索病毒遍历终端文件的顺序,在终端上部署污点文件,以确保勒索病毒在遍历到终端任一重要文件之前,先遍历所述污点文件;/n当监控到所述污点文件的操作状态异常时,获取所述终端当下的所有进程;/n若某个进程满足勒索病毒库的任一特定属性,则与所述进程对应的软件为勒索病毒。/n
【技术特征摘要】
1.一种勒索病毒的检测方法,其特征在于,包括:
确定历史勒索病毒遍历终端文件的顺序;
根据确定的历史勒索病毒遍历终端文件的顺序,在终端上部署污点文件,以确保勒索病毒在遍历到终端任一重要文件之前,先遍历所述污点文件;
当监控到所述污点文件的操作状态异常时,获取所述终端当下的所有进程;
若某个进程满足勒索病毒库的任一特定属性,则与所述进程对应的软件为勒索病毒。
2.根据权利要求1所述的勒索病毒的检测方法,其特征在于,还包括:
根据第一规则对所述污点文件进行命名,所述第一规则为所述污点文件的名称字符串比所述终端上所有重要文件的名称字符串从首至尾第一个相同位置不同字符处字符的优先级高,所述名称字符串包括汉字、字母、数字和键盘符号中至少一种。
3.根据权利要求2所述的勒索病毒的检测方法,其特征在于,所述方法还包括:
根据第二规则确定所述污点文件的创建时间,所述第二规则为根据文件的修改时间递增和/或递减的遍历顺序,所述污点文件排在所述终端上所有重要文件之前。
4.根据权利要求2或3所述的勒索病毒的检测方法,其特征在于,所述方法还包括:在所述终端上所有重要文件所在的路径上部署所述污点文件。
5.根据权利要求4所述的勒索病毒的检测方法,其特征在于,所述当监控到所述污点文件的操作状态异常时,获取所述终端当下的所有进程,具体包...
【专利技术属性】
技术研发人员:钟翔,马志远,陈柱,高坤,
申请(专利权)人:武汉安天信息技术有限责任公司,
类型:发明
国别省市:湖北;42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。