本发明专利技术涉及一种内存马检测方法,包括:确定待检测系统,并获取所述待检测系统的系统进程;对所述系统进程进行调试,判断是否存在包含目标函数的系统进程,若是则将相应系统进程确定为可疑进程;所述目标函数为后注入的可执行函数;对每一可疑进程中包含的每一线程的执行过程进行监测,判断是否存在符合内存马行为特征的目标执行行为,若是则判定待检测系统存在内存马攻击风险。本发明专利技术可对内存马进行动态检测,弥补了现有检测工具仅可确定静态内存马的缺陷,填补了内存马检测技术的空缺。填补了内存马检测技术的空缺。填补了内存马检测技术的空缺。
【技术实现步骤摘要】
一种内存马检测方法
[0001]本专利技术涉及网络安全
,尤其涉及一种内存马检测方法。
技术介绍
[0002]近年来,随着网络安全技术的发展,对webshell文件的检测技术有一定的提升,但已有的检测技术却很难对内存马进行有效检测。现有EDR分析软件仅可捕获一些危险敏感函数及动作,当遇到内存马攻击时,由于其行为特征及行为的隐蔽性,导致对其进行检测存在一定困难,已有的内存马检测工具仅可确定静态的内存马,无法对动态内存马进行有效检测,缺少行之有效地内存马定位和获取其行为信息的手段,给网络安全人员和运维人员的检测和取证工作带来了诸多挑战。
技术实现思路
[0003]有鉴于此,本专利技术提供一种内存马检测方法,对待检测系统的系统进程进行调试,确定系统进程中是否被注入了目标函数,若是则进一步对相应每一线程的执行过程进行监测,判断是否存在符合内存马行为特征的目标执行行为,若是则确定待检测系统存在内存马攻击风险。本专利技术能够对内存马进行动态监测并有效检出,至少部分解决现有技术中存在的问题。
[0004]具体
技术实现思路
为:
[0005]一种内存马检测方法,包括:
[0006]确定待检测系统,并获取所述待检测系统的系统进程。
[0007]对所述系统进程进行调试,判断是否存在包含目标函数的系统进程,若是则将相应系统进程确定为可疑进程;所述目标函数为后注入的可执行函数。
[0008]对每一可疑进程中包含的每一线程的执行过程进行监测,判断是否存在符合内存马行为特征的目标执行行为,若是则判定待检测系统存在内存马攻击风险。
[0009]进一步地,在所述获取所述系统的系统进程之前,所述方法还包括:
[0010]获取所述待检测系统的系统管理员权限。
[0011]进一步地,所述判断是否存在包含目标函数的系统进程,包括:
[0012]利用钩子函数对所述系统进程进行过滤,确定被注入所述目标函数的系统进程。
[0013]进一步地,所述对每一可疑进程中包含的每一线程的执行过程进行监测,包括:
[0014]通过堆栈回溯对每一可疑进程中包含的每一线程进行遍历,对遍历过程进行监测。
[0015]进一步地,所述判断是否存在符合内存马行为特征的目标执行行为,包括:
[0016]当监测到在各线程执行的内存空间之外申请内存空间的执行行为,且申请的内存空间带有MZ标识时,将相应执行行为确定为所述目标执行行为。
[0017]进一步地,所述判断是否存在符合内存马行为特征的目标执行行为,包括:
[0018]对各线程执行过程中执行的代码签名证书进行监测,当监测到目标代码签名证书
时,将执行所述目标代码签名证书的执行行为确定为所述目标执行行为;所述目标代码签名证书包括过期代码签名证书、无效代码签名证书。
[0019]进一步地,所述判断是否存在符合内存马行为特征的目标执行行为,包括:
[0020]对各线程执行过程中执行的函数进行监测,确定包含数字签名的函数。
[0021]判断每一所述包含数字签名的函数其数字签名是否过期,若已过期,则将执行相应函数的执行行为确定为所述目标执行行为。
[0022]进一步地,在所述判断每一所述包含数字签名的函数其数字签名是否过期之后,所述方法还包括:
[0023]若未过期,则获取相应各函数的每一程序模块信息,判断程序模块中是否包含与其对应的函数包含的数字签名相同的数字签名,若未包含,则将执行相应程序模块的执行行为确定为所述目标执行行为。
[0024]进一步地,在所述将相应执行行为确定为所述目标执行行为之后,所述方法还包括:
[0025]对内存中每一带有MZ标识的内存空间进行监测,当监测到有可执行文件输入时,根据所述可执行文件的输入路径确定所述可执行文件的来源,并对所述可执行文件的执行过程进行监测,以对内存马安全风险进行定位并确定内存马的攻击行为。
[0026]进一步地,在确定所述目标执行行为之后,所述方法还包括:
[0027]确定所述目标执行行为对应的线程,用以对内存马安全风险进行定位。
[0028]一种内存马检测装置,包括:
[0029]进程获取模块,用于确定待检测系统,并获取所述待检测系统的系统进程。
[0030]进程调试模块,用于对所述系统进程进行调试,判断是否存在包含目标函数的系统进程,若是则将相应系统进程确定为可疑进程;所述目标函数为后注入的可执行函数。
[0031]内存马风险判定模块,用于对每一可疑进程中包含的每一线程的执行过程进行监测,判断是否存在符合内存马行为特征的目标执行行为,若是则判定待检测系统存在内存马攻击风险。
[0032]一种计算机设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现前述内存马检测方法。
[0033]一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述内存马检测方法。
[0034]本专利技术的有益效果体现在:
[0035]本专利技术可对内存马进行动态检测,弥补了现有检测工具仅可确定静态内存马的缺陷,填补了内存马检测技术的空缺。本专利技术对系统进程和线程进行调试和监测,以对内存马进行检出,是一种从技术底层和根源进行检测的方式,能够对每一系统执行行为进行过滤,确定可疑进程和执行行为,以实现对内存马进行有效检出。本专利技术可联动EDR分析软件等检测工具,以对网络攻击行为进行更全面、更精准的检测,进一步维护网络安全。
附图说明
[0036]为了更清楚地说明本专利技术实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域
普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
[0037]图1为本专利技术实施例一种内存马检测方法流程图;
[0038]图2为本专利技术实施例另一种内存马检测方法流程图;
[0039]图3为本专利技术实施例一种内存马检测装置结构图。
具体实施方式
[0040]下面结合附图对本专利技术实施例进行详细描述。
[0041]需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合;并且,基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
[0042]需要说明的是,下文描述在所附权利要求书的范围内的实施例的各种方面。应显而易见,本文中所描述的方面可体现于广泛多种形式中,且本文中所描述的任何特定结构及/或功能仅为说明性的。基于本公开,所属领域的技术人员应了解,本文中所描述的一个方面可与任何其它方面独立地实施,且可以各种方式组合这些方面中的两者或两者以上。举例来说,可使用本文中所阐述的任何数目个方面来实施设备及/或实践方法本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种内存马检测方法,其特征在于,包括:确定待检测系统,并获取所述待检测系统的系统进程;对所述系统进程进行调试,判断是否存在包含目标函数的系统进程,若是则将相应系统进程确定为可疑进程;所述目标函数为后注入的可执行函数;对每一可疑进程中包含的每一线程的执行过程进行监测,判断是否存在符合内存马行为特征的目标执行行为,若是则判定待检测系统存在内存马攻击风险。2.根据权利要求1所示的方法,其特征在于,在所述获取所述系统的系统进程之前,所述方法还包括:获取所述待检测系统的系统管理员权限。3.根据权利要求1所述的方法,其特征在于,所述判断是否存在包含目标函数的系统进程,包括:利用钩子函数对所述系统进程进行过滤,确定被注入所述目标函数的系统进程。4.根据权利要求1所述的方法,其特征在于,所述对每一可疑进程中包含的每一线程的执行过程进行监测,包括:通过堆栈回溯对每一可疑进程中包含的每一线程进行遍历,对遍历过程进行监测。5.根据权利要求1所述的方法,其特征在于,所述判断是否存在符合内存马行为特征的目标执行行为,包括:当监测到在各线程执行的内存空间之外申请内存空间的执行行为,且申请的内存空间带有MZ标识时,将相应执行行为确定为所述目标执行行为。6.根据权利要求1所述的方法,其特征在于,所述判断是否存在符合内存马行为特征的目标执行行为,包括:对各线程执行过程中执行的代码签名证书进行监测,当监测到目标代码签名证书时,将...
【专利技术属性】
技术研发人员:余景武,李伟,肖新光,
申请(专利权)人:安天科技集团股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。