本发明专利技术提供了一种针对_MMSESION类型恶意代码的检测方法,属于软件病毒检测技术领域,它解决了_MMSESION类型恶意代码难以快速检测的问题。包括以下步骤:步骤一,定位全局变量MmSession;步骤二,根据操作系统版本,选择不同的方式进行遍历检测;步骤三,_MMSESSION内存块使用哈希表SystemSpaceViewTable进行管理;步骤四,通过哈希表中的数据项结构,经由哈希表遍历算法,进行遍历管理;步骤五,_MMSESSION内存块使用红黑树ViewRoot进行管理;步骤六,逆向获得结构体,通过红黑树中数据项结构,经由红黑树遍历所有树节点算法,进行遍历管理;步骤七,将步骤四或步骤六的结果进行列表列举。本发明专利技术可根据Windows系统管理_MMSESSION的方式进行快速有效地遍历扫描恶意软件相应的代码数据。软件相应的代码数据。软件相应的代码数据。
【技术实现步骤摘要】
一种针对_MMSESION类型恶意代码的检测方法
[0001]本专利技术属于软件病毒检测
,涉及一种恶意代码检测方法,特别是一种针对_MMSESION类型恶意代码的检测方法。
技术介绍
[0002]一些恶意软件通过使用MmMapViewInSystemSpace函数申请_MMSESION类型的内存块将自身恶意代码映射到驱动内存空间内,而不是使用传统的BigPool内存方式申请驱动内存,从而达到隐藏内存的目的,绕过反病毒软件的检测。本专利技术是针对这种隐藏内存的方式进行的内存块扫描检测。
[0003]传统一些恶意软件使用ExAllocatePool/ExAllocatePoolWithTag函数申请驱动内存用于隐藏驱动内存的方式,可以使用ZwQuerySystemInformation函数遍历到BigPool内存块信息,一些Anti
‑
Rootkit软件会更好的检测到这类内存。
[0004]由于Windows系统并未提供针对_MMSESSION内存块遍历的函数,虽然可以通过暴力搜索PTE(Page Table Entries页表项)的方式进行扫描恶意代码数据,但是这种方式会枚举出很多非_MMSESSION内存块信息,不利于快速筛选扫描恶意软件代码。
[0005]常规BigPool类型驱动内存的检测手段如下:
[0006]1)使用ZwQuerySystemInformation遍历SystemBigPoolInformation获取到BigPool内存块信息。/>[0007]2)通过筛选BigPool内存的大小,提高扫描目标内存块效率。
[0008]3)对BigPool内存块进行特征扫描,判断是否是恶意软件申请的内存块。
[0009]基于此,我们提出一种针对_MMSESION类型恶意代码的检测方法,参考Windows系统管理_MMSESSION的方式进行快速有效地遍历扫描恶意软件相应的代码数据。
技术实现思路
[0010]本专利技术的目的是针对现有的技术存在上述问题,提出了一种针对_MMSESION类型恶意代码的检测方法,该专利技术要解决的技术问题是:如何实现参考Windows系统管理_MMSESSION的方式进行快速有效地遍历扫描恶意软件相应的代码数据。
[0011]本专利技术的目的可通过下列技术方案来实现:
[0012]一种针对_MMSESION类型恶意代码的检测方法,包括以下步骤:
[0013]步骤一,定位全局变量MmSession:从MmMapViewInSystemSpace地址开始,暴力搜索特征硬编码(0x48 0x8D 0x15)的方式定位,获取全局变量MmSession。
[0014]步骤二,根据操作系统版本,选择不同的方式进行遍历检测:若操作系统版本为Windows10 10240之前系统版本,进行步骤三;若操作系统版本为Windows10 10240之后系统版本,进行步骤五;
[0015]步骤三,_MMSESSION内存块使用哈希表SystemSpaceViewTable进行管理;
[0016]步骤四,通过哈希表中的数据项结构,经由哈希表遍历算法,进行遍历管理;
[0017]步骤五,_MMSESSION内存块使用红黑树ViewRoot进行管理;
[0018]步骤六,逆向获得结构体,通过红黑树中数据项结构,经由红黑树遍历所有树节点算法,进行遍历管理;
[0019]步骤七,通过对全局变量MmSession所使用数据结构的解析,遍历扫描所有_MMSESSION内存块,即步骤四或步骤六的结果进行列表列举。
[0020]所述哈希表SystemSpaceViewTable管理以及红黑树ViewRoot管理,算法为递归算法或循环算法。
[0021]所述红黑树ViewRoot管理所处理算法有两种,一种适用于的操作系统版本分为Windows10 10240
‑
17134的系统版本,另一种适用于的操作系统版本分为Windows10 17134之后的系统版本。
[0022]所述操作系统版本为32位系统与64位系统的区别在于高16位是虚拟地址,低16位保存的大小。
[0023]所述步骤七中通过对全局变量MmSession所使用数据结构的解析,遍历扫描所有_MMSESSION内存块,遍历文件信息时不读取文件内容。
[0024]所述步骤七中通过对全局变量MmSession所使用数据结构的解析,遍历扫描所有_MMSESSION内存块时,按照顺序扫描。
[0025]所述步骤七中通过对全局变量MmSession所使用数据结构的解析,遍历扫描所有_MMSESSION内存块一次之后,如果发现该文件夹中文件数量小于100,可把该文件列举并标注为重点排查文件,且下次首先排查重点排查文件。
[0026]一种终端设备,包括处理器、存储器以及存储在所述存储器中且被配置为由所述处理器执行的计算机程序,所述处理器执行所述计算机程序时实现针对_MMSESION类型恶意代码的检测方法。
[0027]一种计算机可读存储介质,所述计算机可读存储介质包括存储的计算机程序,其中,在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行针对_MMSESION类型恶意代码的检测方法。
[0028]与现有技术相比,本针对_MMSESION类型恶意代码的检测方法具有以下优点:
[0029]1、针对隐藏内存的方式进行的内存块扫描检测。
[0030]2、参考Windows系统管理_MMSESSION的方式进行快速有效地遍历扫描恶意软件相应的代码数据。
[0031]3、采用哈希表SystemSpaceViewTable管理以及红黑树ViewRoot管理,算法为递归算法或循环算法,适用范围广,满足不同操作系统版本。
[0032]4、通过对全局变量MmSession所使用数据结构的解析,遍历扫描所有_MMSESSION内存块一次之后,如果发现该文件夹中文件数量小于100,可把该文件列举并标注为重点排查文件,且下次首先排查重点排查文件。
附图说明
[0033]图1是本专利技术的流程框图。
[0034]图2是本专利技术中定位全局变量MmSession的示意图。
[0035]图3是本专利技术中哈希表SystemSpaceViewTable进行管理的示意图。
[0036]图4是本专利技术中哈希表中的数据项结构的示意图。
[0037]图5是本专利技术中哈希表遍历算法的示意图。
[0038]图6是本专利技术中红黑树ViewRoot进行管理的示意图。
[0039]图7是本专利技术中红黑树中数据项结构的示意图。
[0040]图8是本专利技术中红黑树遍历所有树节点算法的示意图。
[0041]图9是本专利技术提供的一种终端设备的一个实施例的示意图。
具体实施方式
[0042]以下是本专利技术的具体实施例并结合附本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种针对_MMSESION类型恶意代码的检测方法,其特征在于,包括以下步骤:步骤一,定位全局变量MmSession:从MmMapViewInSystemSpace地址开始,暴力搜索特征硬编码(0x480x8D 0x15)的方式定位,获取全局变量MmSession。步骤二,根据操作系统版本,选择不同的方式进行遍历检测,若操作系统版本为Windows10 10240之前系统版本,进行步骤三;若操作系统版本为Windows10 10240之后系统版本,进行步骤五;步骤三,_MMSESSION内存块使用哈希表SystemSpaceViewTable进行管理;步骤四,通过哈希表中的数据项结构,经由哈希表遍历算法,进行遍历管理;步骤五,_MMSESSION内存块使用红黑树ViewRoot进行管理;步骤六,逆向获得结构体,通过红黑树中数据项结构,经由红黑树遍历所有树节点算法,进行遍历管理;步骤七,通过对全局变量MmSession所使用数据结构的解析,遍历扫描所有_MMSESSION内存块,即步骤四或步骤六的结果进行列表列举。2.根据权利要求1所述的一种针对_MMSESION类型恶意代码的检测方法,其特征在于,所述哈希表SystemSpaceViewTable管理以及红黑树ViewRoot管理,算法为递归算法或循环算法。3.根据权利要求1所述的一种针对_MMSESION类型恶意代码的检测方法,其特征在于,所述红黑树ViewRoot管理所处理算法有两种,一种适用于的操作系统版本分为Windows 10 10240
‑
17134的系统版本,另一种适用于的操作系统版本分为Windows10 17134之后的...
【专利技术属性】
技术研发人员:刘庆林,李小琼,魏海宇,谢辉,安恩庆,张乃亮,杨晓峰,刘海洋,姜小光,陈健,
申请(专利权)人:北京中睿天下信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。