【技术实现步骤摘要】
一种针对_MMSESION类型恶意代码的检测方法
[0001]本专利技术属于软件病毒检测
,涉及一种恶意代码检测方法,特别是一种针对_MMSESION类型恶意代码的检测方法。
技术介绍
[0002]一些恶意软件通过使用MmMapViewInSystemSpace函数申请_MMSESION类型的内存块将自身恶意代码映射到驱动内存空间内,而不是使用传统的BigPool内存方式申请驱动内存,从而达到隐藏内存的目的,绕过反病毒软件的检测。本专利技术是针对这种隐藏内存的方式进行的内存块扫描检测。
[0003]传统一些恶意软件使用ExAllocatePool/ExAllocatePoolWithTag函数申请驱动内存用于隐藏驱动内存的方式,可以使用ZwQuerySystemInformation函数遍历到BigPool内存块信息,一些Anti
‑
Rootkit软件会更好的检测到这类内存。
[0004]由于Windows系统并未提供针对_MMSESSION内存块遍历的函数,虽然可以通过暴力搜索PTE...
【技术保护点】
【技术特征摘要】
1.一种针对_MMSESION类型恶意代码的检测方法,其特征在于,包括以下步骤:步骤一,定位全局变量MmSession:从MmMapViewInSystemSpace地址开始,暴力搜索特征硬编码(0x480x8D 0x15)的方式定位,获取全局变量MmSession。步骤二,根据操作系统版本,选择不同的方式进行遍历检测,若操作系统版本为Windows10 10240之前系统版本,进行步骤三;若操作系统版本为Windows10 10240之后系统版本,进行步骤五;步骤三,_MMSESSION内存块使用哈希表SystemSpaceViewTable进行管理;步骤四,通过哈希表中的数据项结构,经由哈希表遍历算法,进行遍历管理;步骤五,_MMSESSION内存块使用红黑树ViewRoot进行管理;步骤六,逆向获得结构体,通过红黑树中数据项结构,经由红黑树遍历所有树节点算法,进行遍历管理;步骤七,通过对全局变量MmSession所使用数据结构的解析,遍历扫描所有_MMSESSION内存块,即步骤四或步骤六的结果进行列表列举。2.根据权利要求1所述的一种针对_MMSESION类型恶意代码的检测方法,其特征在于,所述哈希表SystemSpaceViewTable管理以及红黑树ViewRoot管理,算法为递归算法或循环算法。3.根据权利要求1所述的一种针对_MMSESION类型恶意代码的检测方法,其特征在于,所述红黑树ViewRoot管理所处理算法有两种,一种适用于的操作系统版本分为Windows 10 10240
‑
17134的系统版本,另一种适用于的操作系统版本分为Windows10 17134之后的...
【专利技术属性】
技术研发人员:刘庆林,李小琼,魏海宇,谢辉,安恩庆,张乃亮,杨晓峰,刘海洋,姜小光,陈健,
申请(专利权)人:北京中睿天下信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。