本申请实施例公开了一种程序检测方法、装置、设备及存储介质,该方法包括:当基于中断触发参数配置的系统中断发生时,获取系统中断发生前系统内存中的执行信息;系统内存中的执行信息用于描述系统中断发生前系统内存中当前执行程序的相关信息;对系统内存中的执行信息进行特征提取处理,得到系统内存中当前执行程序的特征信息;基于系统内存中当前执行程序的特征信息,确定系统内存中当前执行程序是否为异常程序。采用本申请,可以更加高效地发现正在执行的异常程序,有利于提高异常程序检测的准确性,从而有利于更好地保障系统的安全性和稳定性。稳定性。稳定性。
【技术实现步骤摘要】
程序检测方法、装置、设备及存储介质
[0001]本申请涉及计算机
,尤其涉及程序检测方法、程序检测装置、计算机设备及计算机可读存储介质。
技术介绍
[0002]随着互联网技术的快速发展,网络信息安全逐渐成为备受关注的问题。传统的异常程序检测机制通常是针对实体文件的内容进行检测。然而,随着信息安全对抗技术的演进,越来越多的异常程序从传统的可移植可执行(Portable Ex ecutable,PE)文件中脱离,演变为在进程中以异常机器代码(如shellcode)的形式存在,使计算机设备可以执行攻击者的任意指令。这种以异常机器代码的形式存在的异常程序可以直接在内存中执行,执行过程中也可以不产生实体文件,从而达到绕过传统的异常程序检测机制的目的,影响系统的稳定性和安全性。
技术实现思路
[0003]本申请实施例提供一种程序检测方法、装置、设备及存储介质,可以更加高效地发现正在执行的异常程序,有利于提高异常程序检测的准确性,从而有利于更好地保障系统的安全性和稳定性。
[0004]一方面,本申请实施例提供一种程序检测方法,该方法包括:当基于中断触发参数配置的系统中断发生时,获取系统中断发生前系统内存中的执行信息;系统内存中的执行信息用于描述系统中断发生前系统内存中当前执行程序的相关信息;对系统内存中的执行信息进行特征提取处理,得到系统内存中当前执行程序的特征信息;基于系统内存中当前执行程序的特征信息,确定系统内存中当前执行程序是否为异常程序。
[0005]一方面,本申请实施例提供一种程序检测装置,该装置包括:获取单元,用于当基于中断触发参数配置的系统中断发生时,获取系统中断发生前系统内存中的执行信息;系统内存中的执行信息用于描述系统中断发生前系统内存中当前执行程序的相关信息;处理单元,用于对系统内存中的执行信息进行特征提取处理,得到系统内存中当前执行程序的特征信息;基于系统内存中当前执行程序的特征信息,确定系统内存中当前执行程序是否为异常程序。
[0006]在一些实施例中,获取单元,还用于获取采样任务的配置数据,配置数据包括采样次数、采样频率以及中断类型中的一种或多种;处理单元,还用于基于配置数据确定中断触发参数,并基于中断触发参数配置系统中断。
[0007]在一些实施例中,处理单元,还用于基于中断触发参数调用初始化函数,对系统中断进行初始化处理,并在系统中断中注入目标中断处理函数。
[0008]在一些实施例中,处理单元,还用于基于中断类型确定对应的初始化函数;调用对应的初始化函数对系统中断进行初始化处理,并在系统中断的系统中断处理函数中注入中断类型对应的目标中断处理函数。
[0009]在一些实施例中,处理单元,还用于调用目标中断处理函数通过栈回溯或者最后分支记录获取系统中断发生前系统内存中的执行信息。
[0010]在一些实施例中,获取单元,还用于获取系统中断的系统中断处理函数的参数;从系统中断的系统中断处理函数的参数中获取系统中断发生前系统内存中的执行信息。
[0011]在一些实施例中,处理单元,还用于当基于中断触发参数配置的系统中断完成时,存储系统内存中的执行信息。
[0012]相应地,本申请实施例还提供了一种计算机设备,包括:处理器、通信接口和存储器,上述处理器、上述通信接口和上述存储器相互连接,其中,上述存储器存储有可执行程序代码,上述处理器用于调用所述可执行程序代码,实现本申请实施例中的方法。
[0013]相应地,本申请实施例还提供了一种计算机可读存储介质,该计算机读存储介质中存储有计算机程序,该计算机程序被处理器执行时,实现本申请实施例中的方法。
[0014]相应地,本申请实施例还提供了一种计算机程序产品,该计算机程序产品包括计算机程序或计算机指令,该计算机程序或计算机指令被处理器执行时实现本申请实施例中的方法。
[0015]相应地,本申请实施例提供了一种计算机程序,该计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中,计算机设备的处理器从计算机可读存储介质读取计算机指令,处理器执行计算机指令,使得计算机设备执行本申请实施例中的方法。
[0016]通过实施本申请实施例,一方面,可以基于中断触发参数配置系统中断,由于中断的优先级比较高,当基于中断触发参数配置的系统中断发生时,可以隐蔽地获取系统中断发生前系统内存中的执行信息。一方面,通过对系统内存中的执行信息进行特征提取处理,可以得到系统内存中当前执行程序的特征信息,然后再基于系统内存中当前执行程序的特征信息,确定系统内存中当前执行程序是否为异常程序。这样,可以更加高效地发现正在执行的异常程序,有利于提高异常程序检测的准确性,从而有利于更好地保障系统的安全性和稳定性。
附图说明
[0017]为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0018]图1是应用于本申请实施例的系统架构图;
[0019]图2是本申请实施例提供的一种程序检测方法的流程示意图;
[0020]图3是本申请实施例提供的一种系统内存中的执行信息的查询结果示意图;
[0021]图4是本申请实施例提供的一种系统中断发生前执行代码的具体内容示意图;
[0022]图5是本申请实施例提供的一种中断采样的流程示意图;
[0023]图6是本申请实施例提供的另一种中断采样的流程示意图;
[0024]图7是本申请实施例提供的一种程序检测装置的结构示意图;
[0025]图8是本申请实施例提供的一种计算机设备的结构示意图。
具体实施方式
[0026]下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
[0027]为了更好地理解本申请实施例的方案,下面对本申请实施例可能涉及的一些名词和术语进行说明。
[0028](1)中断:中断(也可以称为陷阱)是指计算机设备运行过程中,在允许的情况下,请求处理器中断当前正在执行的程序,以便及时处理事件。计算机设备接受请求后,可以暂停正在执行的程序,保存其状态,并转入执行中断处理程序或者中断服务例程(interrupt service routine,ISP)来处理该事件,处理完毕后又返回原被暂停的程序继续运行。
[0029](2)异步过程调用(asynchronous procedure call,APC):APC是函数(过程)在特定线程中被异步执行。在Microsoft Windows(微软视窗操作系统)操作系统中,APC是一种并发机制,用于异步I本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种程序检测方法,其特征在于,所述方法包括:当基于中断触发参数配置的系统中断发生时,获取所述系统中断发生前系统内存中的执行信息;所述系统内存中的执行信息用于描述所述系统中断发生前所述系统内存中当前执行程序的相关信息;对所述系统内存中的执行信息进行特征提取处理,得到所述系统内存中当前执行程序的特征信息;基于所述系统内存中当前执行程序的特征信息,确定所述系统内存中当前执行程序是否为异常程序。2.如权利要求1所述的方法,其特征在于,所述方法还包括:获取采样任务的配置数据,所述配置数据包括采样次数、采样频率以及中断类型中的一种或多种;基于所述配置数据确定中断触发参数,并基于所述中断触发参数配置系统中断。3.如权利要求2所述的方法,其特征在于,所述基于所述中断触发参数配置系统中断,包括:基于所述中断触发参数调用初始化函数,对系统中断进行初始化处理,并在所述系统中断中注入目标中断处理函数。4.如权利要求3所述的方法,其特征在于,所述中断触发参数包括中断类型,所述基于所述中断触发参数调用初始化函数,对系统中断进行初始化处理,并在所述系统中断中注入目标中断处理函数,包括:基于所述中断类型确定对应的初始化函数;调用所述对应的初始化函数对系统中断进行初始化处理,并在所述系统中断的系统中断处理函数中注入所述中断类型对应的目标中断处理函数。5.如权利要求3或4所述的方法,其特征在于,所述获取所述系统中断发生前系统内存中的执行信息,包括:调用所述目标中断处理函数通过栈回溯或者最后分支记录获取所述系统中断发生前系统内存中的执行信息。6.如权利要求1
‑
4中任一项所述的方法,其特征在于,所述获取所述系统中断发生前系统内...
【专利技术属性】
技术研发人员:郑德鸿,谭文,王汉,胡天来,施帆,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。