本发明专利技术提出的一种内存木马的检测方法、系统、装置及可读存储介质,属于计算机技术领域,所述方法包括:根据线程模块快照,利用遍历的方式获取线程模块信息,对线程模块信息进行栈回溯操作,获取相应的基础内存信息并进行木马特征匹配;根据匹配结果确定是否存在内存木马。本发明专利技术实现了快速对操作系统进程内存木马探测,并甄别出感染内存木马的进程,为下一步响应提供依据信息。响应提供依据信息。响应提供依据信息。
【技术实现步骤摘要】
一种内存木马的检测方法、系统、装置及可读存储介质
[0001]本专利技术涉及计算机
,更具体的说是涉及一种内存木马的检测方法、系统、装置及可读存储介质。
技术介绍
[0002]随着互联网的普及和数据量的爆炸式增长,病毒木马的威胁也在不断增加。对于病毒木马的检测,传统上是基于病毒特征码(又称病毒特征签名、病毒特征库、病毒库等)进行检测的技术。这种技术主要包括以下几个步骤:1、收集病毒特征码:通过静态分析等方式,从已知样本中提取病毒特征码,并将其存储在病毒特征码库中。
[0003]2、病毒扫描:当系统或文件被怀疑感染病毒时,病毒扫描器会对系统或文件进行全盘扫描,并将扫描结果与病毒特征码库中的数据进行比对,查找是否存在匹配的病毒特征码。
[0004]3、病毒清除:如果发现匹配的病毒特征码,则会针对该病毒进行清除操作,清除方式根据具体病毒样本的代码特征不同而不同。
[0005]传统特征式病毒检测方式的检测准确率较高,对于已知的病毒样本可以高效地进行检测和清除。但是,在当今Internet病毒风险高度复杂、变化迅速的环境下,特征式病毒检测方式无法对未知病毒进行检测和清除,只能针对已知的病毒特征码进行匹配。病毒特征码库需要不断更新,而且病毒变种和新型病毒的出现,也会导致病毒特征码的更新滞后,影响检测效果。而时下流行的内存木马由于不需要在系统中留下文件或注册表项,导致传统的特征式病毒检测方式面对内存木马无计可施。
技术实现思路
[0006]针对以上问题,本专利技术的目的在于提供一种内存木马的检测方法、系统、装置及可读存储介质,解决了传统的杀毒软件对于内存木马检测不充分的问题,提高了系统的安全性能和用户的安全防护能力。
[0007]本专利技术为实现上述目的,通过以下技术方案实现:一种内存木马的检测方法,包括如下步骤:S1:创建操作系统的线程模块快照;S2:根据线程模块快照,遍历线程模块;S3:获取当前遍历的线程模块信息;S4:根据获取的线程模块信息进行栈回溯操作;S5: 根据当前的栈回溯操作获取相应的关键寄存器地址,并获取相应的基础内存信息;S6:根据基础内存信息,进行木马特征匹配;S7:判断是否匹配成功;若是,则执行步骤S10;若否,则执行步骤S8;
S8:判断栈回溯操作是否结束;若是,则执行步骤S9;若否,则执行步骤S4;S9:判断所有线程模块是否遍历结束;若是,则检测结束;若否,则执行步骤S2;S10:确定当前的内存发现木马特征,并上报关键寄存器地址。
[0008]进一步,线程模块信息包括:线程模块句柄、线程所属进程句柄、线程上下文信息。
[0009]进一步,所述操作系统为64位操作系统,关键寄存器包括:RIP寄存器、RSP寄存器和RBP寄存器。
[0010]进一步,所述操作系统为32位操作系统,关键寄存器包括:EIP寄存器、ESP寄存器和EBP寄存器。
[0011]进一步,所述步骤S6包括:根据基础内存信息,判断内存使用类型;当内存使用类型不为MEM_IMAGE类型时,读取区域内存,并判断其前两位内存数据是否PE文件的特征值,若是,则此内存存在木马特征,木马特征匹配成功;否则,木马特征匹配失败。
[0012]进一步,所述判断其前两位内存数据是否PE文件的特征值,具体为:判断其前两位内存数据是否依次为0x4D、0x5A。
[0013]进一步,操作系统为Windows系统。
[0014]相应的,本专利技术还公开了一种内存木马的检测系统,包括:快照模块,用于创建操作系统的线程模块快照;遍历模块,用于根据线程模块快照,遍历线程模块;第一信息获取模块,用于获取当前遍历的线程模块信息;栈回溯模块,用于根据获取的线程模块信息进行栈回溯操作;第二信息获取模块,用于根据当前的栈回溯操作获取相应的关键寄存器地址,并获取相应的基础内存信息;特征匹配模块,用于根据基础内存信息,进行木马特征匹配;上报模块,用于当木马特征匹配成功后,确定当前的内存发现木马特征,并上报关键寄存器地址。
[0015]相应的,本专利技术公开了一种内存木马的检测装置,包括:存储器,用于存储内存木马的检测程序;处理器,用于执行所述内存木马的检测程序时实现如上文任一项所述内存木马的检测方法的步骤。
[0016]相应的,本专利技术公开了一种可读存储介质,所述可读存储介质上存储有内存木马的检测程序,所述内存木马的检测程序被处理器执行时实现如上文任一项所述内存木马的检测方法的步骤。
[0017]对比现有技术,本专利技术有益效果在于:本专利技术公开了一种内存木马的检测方法、系统、装置及可读存储介质,能够根据线程模块快照,利用遍历的方式获取线程模块信息,对线程模块信息进行栈回溯操作,获取相应的基础内存信息并进行木马特征匹配;从而实现了快速对操作系统进程内存木马探测,并甄别出感染内存木马的进程,为下一步响应提供依据信息。
[0018]本专利技术解决了传统的杀毒软件对于内存木马检测不充分的问题,提高了系统的安
全性能和用户的安全防护能力。另外,本专利技术提出的木马检测方法和系统下的其他安全类软件不存在冲突,能够完美兼容。
[0019]由此可见,本专利技术与现有技术相比,具有突出的实质性特点和显著的进步,其实施的有益效果也是显而易见的。
附图说明
[0020]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
[0021]图1是本专利技术具体实施方式的方法流程图;图2是本专利技术具体实施方式的系统结构图。
[0022]图中,1、快照模块;2、遍历模块;3、第一信息获取模块;4、栈回溯模块;5、第二信息获取模块;6、特征匹配模块;7、上报模块。
具体实施方式
[0023]为了使本
的人员更好地理解本专利技术方案,下面结合附图和具体实施方式对本专利技术作进一步的详细说明。显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0024]实施例一:如图1所示,本实施例提供了一种内存木马的检测方法,包括如下步骤:S1:创建Windows系统的线程模块快照。
[0025]其中,Windows系统可采用32位操作系统或64位操作系统。
[0026]S2:根据线程模块快照,遍历线程模块。
[0027]具体的,根据线程模块快照,确定每个线程模块的名称,并依次遍历线程模块。
[0028]S3:获取当前遍历的线程模块信息。
[0029]作为示例的,对遍历到的线程模块,获取线程模块的句柄、线程所属进程句柄、线程上下文信息(context)。
[0030]S4:根据获取的线程模块信息进行栈回溯操作。
[0本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种内存木马的检测方法,其特征在于,包括如下步骤:S1:创建操作系统的线程模块快照;S2:根据线程模块快照,遍历线程模块;S3:获取当前遍历的线程模块信息;S4:根据获取的线程模块信息进行栈回溯操作;S5: 根据当前的栈回溯操作获取相应的关键寄存器地址,并获取相应的基础内存信息;S6:根据基础内存信息,进行木马特征匹配;S7:判断是否匹配成功;若是,则执行步骤S10;若否,则执行步骤S8;S8:判断栈回溯操作是否结束;若是,则执行步骤S9;若否,则执行步骤S4;S9:判断所有线程模块是否遍历结束;若是,则检测结束;若否,则执行步骤S2;S10:确定当前的内存发现木马特征,并上报关键寄存器地址。2.根据权利要求1所述的内存木马的检测方法,其特征在于,所述线程模块信息包括:线程模块句柄、线程所属进程句柄、线程上下文信息。3.根据权利要求1所述的内存木马的检测方法,其特征在于:所述操作系统为64位操作系统,关键寄存器包括:RIP寄存器、RSP寄存器和RBP寄存器。4.根据权利要求1所述的内存木马的检测方法,其特征在于:所述操作系统为32位操作系统,关键寄存器包括:EIP寄存器、ESP寄存器和EBP寄存器。5.根据权利要求1所述的内存木马的检测方法,其特征在于,所述步骤S6包括:根据基础内存信息,判断内存使用类型;当内存使用类型不为MEM_IMAGE类型时,读取区域内存,并判断其前两位内存数据是...
【专利技术属性】
技术研发人员:宋树达,张雷,李本学,
申请(专利权)人:中孚安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。