【技术实现步骤摘要】
反射DLL检测方法、装置、设备及介质
[0001]本专利技术涉及计算机安全
,特别涉及反射DLL检测方法、装置、设备及介质。
技术介绍
[0002]木马病毒是计算机黑客用于远程控制计算机的程序,将控制程序寄生于被控制的计算机系统中,里应外合,对被感染木马病毒的计算机实施操作。一般的木马病毒程序主要是寻找计算机后门,伺机窃取被控计算机中的密码和重要文件等。可以对被控计算机实施监控、资料修改等非法操作。木马病毒具有很强的隐蔽性,可以根据黑客意图突然发起攻击。
[0003]目前为了更快的开发一款木马程序,木马程序的载荷一般不会使用shellcode(漏洞代码),因为编写shellcode耗时很久且可定制性差,因此很多木马程序都是通过反射DLL(Dynamic Link Library,即动态链接库)的方式来编写载荷和相关插件模块,并且很多木马程序的功能插件也是通过反射DLL来实现的。反射DLL其实是一种特殊的DLL,反射DLL有一个导出函数,导出函数的功能是通过解析PE(Portable Executable,即可执...
【技术保护点】
【技术特征摘要】
1.一种反射DLL检测方法,其特征在于,应用于目标操作系统,包括:基于当前监控线程的起始地址筛选出满足第一预设条件的目标DOS签名;在与所述目标DOS签名对应的预设字节内,查找出目标特征码;利用所述目标特征码确定跳转地址,并判断内存中是否存在与所述跳转地址对应的二进制值,若存在则获取导出函数地址;判断所述跳转地址和所述导出函数地址是否一致,若一致则确定与所述目标DOS签名对应的内存空间为运行反射DLL的目标内存空间。2.根据权利要求1所述的反射DLL检测方法,其特征在于,所述基于当前监控线程的起始地址筛选出满足第一预设条件的目标DOS签名,包括:基于当前监控线程的起始地址扫描所述当前监控线程的内存空间,并从所述当前监控线程的内存空间中筛选出满足第一预设条件的目标DOS签名。3.根据权利要求2所述的反射DLL检测方法,其特征在于,所述从所述当前监控线程的内存空间中筛选出满足第一预设条件的目标DOS签名,包括:从所述当前监控线程的内存空间中筛选出为0x5A4D的当前DOS签名,并判断所述当前DOS签名的文件最后页的字节数是否为0x0090;若否则判定所述当前DOS签名为目标DOS签名。4.根据权利要求1所述的反射DLL检测方法,其特征在于,所述从所述在与所述目标DOS签名对应的预设字节内,查找出目标特征码,包括:在与所述目标DOS签名对应的预设字节内,查找出当前特征码,并确定与所述当前特征码对应的内存空间的PE结构体,然后获取将所述PE结构体中的文件属性和0x2000进行与运算的计算结果;判断所述计算结果是否满足第二预设条件,若满足则判定所述当前特征码为目标特征码。5.根据权利要求4...
【专利技术属性】
技术研发人员:王万良,王欣,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。