检测外挂的方法、装置、设备及存储介质制造方法及图纸

本发明专利技术提供了一种检测外挂的方法，包括：获取所有so文件，其中，所有so文件包括系统so文件和系统加载的so文件，系统so文件包括第一socket函数，系统加载的so文件包括第二socket函数；判断第一socket函数的地址和第二socket函数的地址是否一致；若第一socket函数的地址与第二socket函数的地址不一致，则选取第二socket函数中任意两个相关的socket函数，并获取任意两个相关的socket函数对应的so文件；若任意两个相关的socket函数与服务器上储存的外挂的socket函数相匹配，且对应的so文件为同一文件，则文件为外挂so文件。本公开还提供了一种检测网络外挂的装置、电子设备以及计算机可读存储介质。可读存储介质。可读存储介质。

【技术实现步骤摘要】
检测外挂的方法、装置、设备及存储介质


[0001]本专利技术涉及计算机网络领域，具体涉及一种检测网络外挂的方法、装置、设备及计算机可读存储介质。

技术介绍

[0002]目前检测外挂的主要方法是：对比外挂so文件的hash值与程序中的so文件的hash值或者程序中so文件与外挂so文件的名称是否一致来判断是否是外挂，虽然上述的检测方法可以检测到外挂，但随着外挂的不断更新升级，只要把外挂so文件的部分数据或名称进行修改就可以绕过现有的检测，所以现有的检测方案检测时很容易漏掉一些外挂，检测效率低。
[0003]公开内容
[0004]为克服上述问题，本公开提供了一种检测外挂方法，包括：
[0005]获取所有so文件，所述所有so文件包括系统so文件和系统加载的so文件，所述系统so文件包括第一socket函数，所述系统加载的so文件包括第二socket函数；
[0006]判断所述第一socket函数的地址和所述第二socket函数的地址是否一致；
[0007]若所述第一socket函数的地址与所述第二socket函数的地址不一致，则选取所述第二socket函数中任意两个相关的socket函数，并获取所述任意两个相关的socket函数对应的so文件；
[0008]若所述任意两个相关的socket函数与服务器上储存的外挂的socket函数相匹配，且所述对应的so文件为同一文件，则所述文件为外挂so文件。
[0009]可选地，所述获取所有so文件包括：
[0010]枚举系统正在运行程序的所有内存文件；
[0011]获取每个所述内存文件的数据信息；
[0012]判断所述每个所述内存文件的数据信息是否具备so文件的数据信息特征；
[0013]若存在内存文件的数据信息具备所述so文件的数据信息特征，则获取所述内存文件，所有所述内存文件包括所述系统so文件和系统加载的so文件。
[0014]可选地，所述获取所有so文件之后，还包括：
[0015]获取PLTGOT表格，所述PLTGOT表格储存所述系统so文件和系统加载的so文件的地址；
[0016]在系统加载新的so文件时，将所述新的so文件的地址自动填入PLTGOT表格。
[0017]可选地，所述选取所述第二socket函数中任意两个相关的socket函数，包括：
[0018]使用字符串链表存储所有相关的socket函数的名称；
[0019]收集所述相关的socket函数；
[0020]创建一份相关的socket函数列表储存所述字符串链表和所述相关的socket函数；
[0021]在所述相关的socket函数列表里选取所述第二socket函数中所述任意两个相关的socket函数。
[0022]可选地，所述若所述任意两个相关的socket函数与服务器上储存的外挂的socket函数相匹配，且对应的so文件为同一文件，则所述文件为外挂so文件，包括：
[0023]获取所述任意两个相关的socket函数在所述对应的so文件中的相对偏移量，以及所述任意两个相关的socket函数的名称；
[0024]根据所述任意两个相关的socket函数在对应的so文件中的相对偏移量，以及所述任意两个相关的socket函数的名称查找服务器中存储的所述外挂的so文件以及所述外挂的so文件的socket函数的名称；
[0025]若所述任意两个相关的socket函数匹配到所述外挂的两个对应的socket函数，且所述两个对应的socket函数属于所述同一文件，则所述文件为外挂so文件。
[0026]可选地，所述的检测外挂的方法还包括：
[0027]构建一检测线程，所述检测线程用于检测异常数据；
[0028]选取至少一个第一socket函数或系统加载的so文件的socket函数进行修改，得到至少一个异常数据；
[0029]通过所述检测线程实时检测是否有除所述至少一个异常数据外的其它异常数据出现；
[0030]若检测到有除所述至少一个异常数据外的其它异常数据出现，则所述其它异常数据为外挂。
[0031]可选地，所述的检测外挂的方法还包括：
[0032]统计上报异常数据的时间间隔；
[0033]判断所述时间间隔是否在预设范围内；
[0034]若所述时间间隔不在所述预设范围内，则报警提示。
[0035]本公开还提供了一种检测外挂的装置，包括：
[0036]第一获取模块，用于获取所有so文件，所述所有so文件包括系统内的so文件和系统加载的so文件，所述系统内的so文件包括第一socket函数，所述系统加载的so文件包括第二socket函数；
[0037]判断模块，用于判断所述第一socket函数的地址和所述第二socket函数的地址是否一致；
[0038]分析模块，用于若所述第一socket函数的地址与所述第二socket函数的地址不一致，则选取所述第二socket函数中任意两个相关的socket函数；
[0039]第二获取模块，用于获取所述任意两个相关的socket函数对应的so文件；
[0040]匹配模块，用于若所述任意两个相关的socket函数与服务器上储存的外挂的socket函数相匹配，且所述对应的so文件为同一文件，则所述文件为外挂文件。
[0041]本公开还提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现上述任一所述的检测外挂的方法。
[0042]本公开还提供了一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现上述任一所述的检测外挂的方法。
[0043]基于上述技术方案可知，本公开至少具有以下有益效果：
[0044]本公开提供了一种检测外挂的方法，包括：
[0045]通过获取所有so文件，所有so文件包括系统so文件和系统加载的so文件，系统so文件包括第一socket函数，系统加载的so文件包括第二socket函数；判断第一socket函数的地址和第二socket函数的地址是否一致；若第一socket函数的地址与第二socket函数的地址不一致，则选取第二socket函数中任意两个相关的socket函数，并获取任意两个相关的socket函数对应的so文件；若任意两个相关的socket函数与服务器上储存的外挂的socket函数相匹配，且对应的so文件为同一文件，则文件为外挂so文件。黑客即使修改so文件的名称或部分数据也绕不过本公开提供的检测方法。
附图说明
[0046]为了更完整地理解本公开及其优势，现在将参考结合附图的以下描述，其中：
[0047]图1示意性地示出了根据本公开实施例的检测外挂的流程图；
[0048]图2示意性地示出了根据本公开另一实施例的检测外挂的流程图本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种检测外挂的方法，其特征在于，包括：获取所有so文件，所述所有so文件包括系统so文件和系统加载的so文件，所述系统so文件包括第一socket函数，所述系统加载的so文件包括第二socket函数；判断所述第一socket函数的地址和所述第二socket函数的地址是否一致；若所述第一socket函数的地址与所述第二socket函数的地址不一致，则选取所述第二socket函数中任意两个相关的socket函数，并获取所述任意两个相关的socket函数对应的so文件；若所述任意两个相关的socket函数与服务器上储存的外挂的socket函数相匹配，且所述对应的so文件为同一文件，则所述文件为外挂so文件。2.根据权利要求1所述的检测外挂的方法，其特征在于，所述获取所有so文件包括：枚举系统正在运行程序的所有内存文件；获取每个所述内存文件的数据信息；判断所述每个所述内存文件的数据信息是否具备so文件的数据信息特征；若存在内存文件的数据信息具备所述so文件的数据信息特征，则获取所述内存文件，所有所述内存文件包括所述系统so文件和系统加载的so文件。3.根据权利要求2所述的检测外挂的方法，其特征在于，所述获取所有so文件之后，还包括：获取PLTGOT表格，所述PLTGOT表格储存所述系统so文件和系统加载的so文件的地址；在系统加载新的so文件时，将所述新的so文件的地址自动填入PLTGOT表格。4.根据权利要求1所述的检测外挂的方法，其特征在于，所述选取所述第二socket函数中任意两个相关的socket函数，包括使用字符串链表存储所有相关的socket函数的名称；收集所述相关的socket函数；创建一份相关的socket函数列表储存所述字符串链表和所述相关的socket函数；在所述相关的socket函数列表里选取所述第二socket函数中所述任意两个相关的socket函数。5.根据权利要求1所述的检测外挂的方法，其特征在于，所述若所述任意两个相关的socket函数与服务器上储存的外挂的socket函数相匹配，且对应的so文件为同一文件，则所述文件为外挂so文件，包括：获取所述任意两个相关的socket函数在所述对应的so文件中的相对偏移量，以及所述任意两个相关的socket函数的名称；根据所述...

【专利技术属性】
技术研发人员：周志刚，
申请(专利权)人：武汉斗鱼鱼乐网络科技有限公司，
类型：发明
国别省市：