【技术实现步骤摘要】
一种可执行文件注入的检测方法、装置、设备及存储介质
[0001]本专利技术涉及系统安全检测
,特别是涉及一种可执行文件注入的检测方法、装置、设备及存储介质。
技术介绍
[0002]目前,linux系统面临各种攻击威胁,许多不法分子通过各种手段对系统进行攻击、获取用户信息等,系统管理员一般会对系统上的文件进行扫描,检测出有问题的可执行文件并清除。但是有的木马病毒并不会在文件系统里存在,通过传统的文件扫描方式检测就行不通了,这些木马病毒可能利用了系统或应用软件的漏洞,直接把木马病毒注入到目标进程的内存里,和目标进程并行运行,这样木马二进制文件不落盘,完全在内存里,让系统管理员很难检测到木马的存在。
[0003]现有技术一般通过已知木马病毒的特征码进行匹配,从特征码库搜索目标进程内存是否存在特征码,从而判断目标进程是否感染了木马病毒。但是它的缺点是必须先有木马病毒的样本,才能检测出来,对于新出现的木马病毒不能检测出来。
技术实现思路
[0004]有鉴于此,本专利技术的目的在于提供一种可执行文件注入的检...
【技术保护点】
【技术特征摘要】
1.一种可执行文件注入的检测方法,其特征在于,包括:搜索目标进程的内存信息;检测所述目标进程的内存信息中是否有两个以上动态链接器的信息;当检测出两个以上动态链接器的信息时,确定所述目标进程已感染动态链接的可执行文件注入的木马病毒。2.根据权利要求1所述的可执行文件注入的检测方法,其特征在于,所述搜索目标进程的内存信息,包括:遍历/proc目录;所述目录里面以数字命名的子目录为当前系统正在运行的进程的pid;检测/proc/<pid>/maps文件是否存在;若存在,则读取/proc/<pid>/maps文件里记录的目标进程的内存信息。3.根据权利要求2所述的可执行文件注入的检测方法,其特征在于,所述检测所述目标进程的内存信息中是否有两个以上动态链接器的信息,包括:检测所述目标进程的内存信息中在最后一列显示一个以动态链接器文件路径结尾的信息对应的总行数是否超过1;若超过1,则确定检测出两个以上动态链接器的信息。4.根据权利要求3所述的可执行文件注入的检测方法,其特征在于,还包括:若未超过1,则对在所述目标进程的内存信息中最后一列显示空的所有行指定的内存区间进行搜索,查找是否有so动态库的信息,以检测是否有两个以上动态链接器的信息。5.根据权利要求4所述的可执行文件注入的检测方法,其特征在于,在所述查找是否有so动态库的信息之后,还包括:若查找到so动态库的信息,则从磁盘读取动态链接器...
【专利技术属性】
技术研发人员:刘波,范渊,吴卓群,王欣,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。