【技术实现步骤摘要】
恶意应用程序检测方法、装置、电子设备及可读存储介质
本申请涉及计算机
,特别是涉及一种恶意应用程序检测方法、装置、电子设备及可读存储介质。
技术介绍
恶意攻击者可以通过网络或其他方式,向被攻击的目标设备发送恶意应用程序,进而,通过恶意应用程序对目标设备进行攻击。相关技术中,一些恶意应用程序往往以内核模块的形式,运行于目标设备中。例如,RootKit等恶意应用程序。为了检测目标设备中是否存在该类恶意应用程序,可以遍历目标设备的操作系统提供的内核模块链表,确定目标设备中是否存在该类恶意应用程序,内核模块链表表示该操作系统当前已加载的内核模块。然而,该类恶意应用程序可能会通过DKOM(DirectKernelObjectManipulation,直接内核对象操作)方式,将自身从目标设备的操作系统提供的内核模块链表中删除,相应的,基于现有技术,则会确定目标设备中不存在该类恶意应用程序,降低恶意应用程序的检测精度。
技术实现思路
本申请实施例的目的在于提供一种恶意应用程序检测方法、装置、电子设备及可读存储介质...
【技术保护点】
1.一种恶意应用程序检测方法,其特征在于,所述方法包括:/n确定目标设备中内核模块对应的内存区域,作为待检测内存区域;/n确定所述待检测内存区域中的内存数据所指向的内核模块,作为待检测内核模块;/n基于所述待检测内核模块,确定所述目标设备中是否存在恶意应用程序。/n
【技术特征摘要】
1.一种恶意应用程序检测方法,其特征在于,所述方法包括:
确定目标设备中内核模块对应的内存区域,作为待检测内存区域;
确定所述待检测内存区域中的内存数据所指向的内核模块,作为待检测内核模块;
基于所述待检测内核模块,确定所述目标设备中是否存在恶意应用程序。
2.根据权利要求1所述的方法,其特征在于,所述基于所述待检测内核模块,确定所述目标设备中是否存在恶意应用程序,包括:
如果所述待检测内核模块,与所述目标设备的操作系统提供的内核模块链表中记录的内核模块不一致,确定所述目标设备中存在恶意应用程序。
3.根据权利要求2所述的方法,其特征在于,在所述确定所述目标设备中存在恶意应用程序之后,所述方法还包括:
确定所述待检测内核模块与所述内核模块链表中记录的内核模块中不一致的内核模块,作为目标内核模块;
分别对所述目标内核模块对应的文件进行二进制扫描;
基于扫描结果,从所述目标内核模块对应的文件中,确定出恶意应用程序。
4.根据权利要求1所述的方法,其特征在于,所述确定所述待检测内存区域中的内存数据所指向的内核模块,作为待检测内核模块,包括:
针对所述待检测内存区域中每一页面,判断该页面存储的内存数据是否符合驱动对象的有效数据结构;
如果该页面存储的内存数据符合驱动对象的有效数据结构,将该页面存储的内存数据指向的内核模块,确定为待检测内核模块。
5.根据权利要求4所述的方法,其特征在于,所述判断该页面存储的内存数据是否符合驱动对象的有效数据结构,包括:
当该页面存储的内存数据满足预设条件时,判定该页面存储的内存数据符合驱动对象的有效数据结构,其中,所述预设条件包括:
该页面存储的内存数据中记录的魔术头MagicHeader位为预设数值;
该页面存储的内存数据指向的模块的文件大小属于预设大小范围;
该页面存储的内存数据指向的模块的起始地址,属于所述待检测内存区域对应的地址范围;
该页面存储的内存数据指向的模块的文件为合法的可执行文件。
6.根据权利要求4所述的方法,其特征在于,在所述判断该页面存储的内存数据是否符合驱动对象的有效数据结构之前,所述方法还包括:
判断该页面存储的内存数据,当前是否映射到所述目标设备的物理内存;
如果该页面存储的内存数据当前已映射到所述目标设备的物理内存,执行所述判断该页面存储的内存数据是否符合驱动对象的有效数据结构的步骤。
7.一种恶意应用程序检测装置,其特征在于,所述装置包括:<...
【专利技术属性】
技术研发人员:马西兴,
申请(专利权)人:北京金山云网络技术有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。