【技术实现步骤摘要】
本专利技术涉及计算机,尤其涉及一种恶意代码无效方法、装置、设备及存储介质。
技术介绍
1、恶意代码是一种有害的计算机代码或web脚本,其设计目的是创建系统漏洞,并借以造成后门、安全隐患、信息和数据盗窃、以及其他对文件和计算机系统的潜在破坏。目前,计算机行业深受恶意代码所带来的危害。因此,如何无效程序中的恶意代码成为了亟待解决的技术问题。
2、上述内容仅用于辅助理解本专利技术的技术方案,并不代表承认上述内容是现有技术。
技术实现思路
1、本专利技术的主要目的在于提供了一种恶意代码无效方法、装置、设备及存储介质,旨在解决现有技术恶意代码的无效效率较低的技术问题。
2、为实现上述目的,本专利技术提供了一种恶意代码无效方法,所述方法包括以下步骤:
3、获取目标进程中的待执行代码;
4、在所述待执行代码中存在恶意代码时,确定所述恶意代码对应的执行路径;
5、获取预先根据所述执行路径配置的代码无效策略,并通过所述代码无效策略无效所述恶意代码。
6、可选地,所述获取预先根据所述执行路径配置的代码无效策略,并通过所述代码无效策略无效所述恶意代码的步骤,包括:
7、在所述执行路径为第一执行路径时,确定所述恶意代码对应的目标线程,所述第一执行路径为通过创建远程线程执行所述恶意代码;
8、终止执行所述目标线程。
9、可选地,所述确定所述恶意代码对应的执行路径的步骤,包括:
10、获取所
11、确定所述目标进程中的每个线程运行的起始地址,并判断所述起始地址是否在所述内存地址范围内;
12、若所述起始地址在所述内存地址范围内,则判定所述恶意代码对应的执行路径为第一执行路径。
13、可选地,所述确定所述恶意代码对应的执行路径的步骤,包括:
14、遍历动态链接库的导入地址表和导出地址表中的各个表项,并判断遍历到的目标表项是否能跳转到所述恶意代码;
15、若所述目标表项能跳转到所述恶意代码,则判定所述执行路径为第二执行路径,所述第二执行路径为添加跳转指令执行所述恶意代码。
16、可选地,所述获取预先根据所述执行路径配置的代码无效策略,并通过所述代码无效策略无效所述恶意代码的步骤,包括:
17、在所述执行路径为第二执行路径时,获取所述动态链接库对应的源文件;
18、获取所述源文件中所述目标表项对应的原始数据;
19、将所述目标表项修改为所述原始数据。
20、可选地,所述确定所述恶意代码对应的执行路径的步骤,包括:
21、通过遍历动态链接库的内存地址空间以检测所述动态链接库中是否存在目标指令;
22、若所述动态链接库中存在所述目标指令,则获取所述动态链接库对应的源文件;
23、判断所述目标指令是否与所述源文件一致;
24、若所述目标指令与所述源文件一致,则判定所述恶意代码对应的执行路径为第三执行路径,所述第三执行路径为添加动态链接库执行所述恶意代码。
25、可选地,所述获取预先根据所述执行路径配置的代码无效策略,并通过所述代码无效策略无效所述恶意代码的步骤,包括:
26、在所述执行路径为第三执行路径时,确定所述恶意代码对应的动态链接库;
27、查杀所述恶意代码对应的动态链接库。
28、可选地,所述获取预先根据所述执行路径配置的代码无效策略,并通过所述代码无效策略无效所述恶意代码的步骤,包括:
29、在所述执行路径为第三执行路径时,确定所述恶意代码调用的目标函数;
30、根据所述目标函数的栈平衡数和预设空函数地址修改所述恶意代码,以使所述恶意代码跳转至所述预设空函数。
31、可选地,所述确定所述恶意代码对应的执行路径的步骤,包括:
32、检测动态链接库中是否存在跳转到恶意代码的目标指令;
33、若动态链接库中存在跳转到恶意代码的目标指令,则获取所述动态链接库对应的源文件;
34、判断所述目标指令是否与所述源文件一致;
35、若所述目标指令与所述源文件不一致,则判定所述恶意代码对应的执行路径为第二执行路径。
36、可选地,所述检测动态链接库中是否存在跳转到恶意代码的目标指令的步骤,包括:
37、获取所述动态链接库中的跳转指令;
38、通过指令模拟确定所述跳转指令是否为跳转到所述恶意代码的目标指令。
39、可选地,所述在所述待执行代码中存在恶意代码时,确定所述恶意代码对应的执行路径的步骤,包括:
40、通过预设恶意代码特征检测所述待执行代码中是否存在恶意代码;
41、若所述待执行代码中存在所述恶意代码,则确定所述恶意代码对应的执行路径。
42、此外,为实现上述目的,本专利技术还提供一种恶意代码无效装置,所述装置包括:
43、获取模块,用于获取目标进程中的待执行代码;
44、执行路径确定模块,用于在所述待执行代码中存在恶意代码时,确定所述恶意代码对应的执行路径;
45、无效模块,用于获取预先根据所述执行路径配置的代码无效策略,并通过所述代码无效策略无效所述恶意代码。
46、此外,为实现上述目的,本专利技术还提出一种恶意代码无效设备,所述设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的恶意代码无效程序,所述恶意代码无效程序配置为实现如上文所述的恶意代码无效方法的步骤。
47、此外,为实现上述目的,本专利技术还提出一种存储介质,所述存储介质上存储有恶意代码无效程序,所述恶意代码无效程序被处理器执行时实现如上文所述的恶意代码无效方法的步骤。
48、本专利技术获取目标进程中的待执行代码;在所述待执行代码中存在恶意代码时,确定所述恶意代码对应的执行路径;获取预先根据所述执行路径配置的代码无效策略,并通过所述代码无效策略无效所述恶意代码。由于本专利技术是在所述待执行代码中存在恶意代码时,确定所述恶意代码对应的执行路径,并根据所述执行路径对应的代码无效策略无效所述恶意代码。相对于现有的通过人工在检测到恶意代码后手动删除恶意代码的方式,本专利技术上述方式能够提高恶意代码的无效效率。
本文档来自技高网...【技术保护点】
1.一种恶意代码无效方法,其特征在于,所述恶意代码无效包括以下步骤:
2.如权利要求1所述的恶意代码无效方法,其特征在于,所述获取预先根据所述执行路径配置的代码无效策略,并通过所述代码无效策略无效所述恶意代码的步骤,包括:
3.如权利要求2所述的恶意代码无效方法,其特征在于,所述确定所述恶意代码对应的执行路径的步骤,包括:
4.如权利要求1所述的恶意代码无效方法,其特征在于,所述确定所述恶意代码对应的执行路径的步骤,包括:
5.如权利要求4所述的恶意代码无效方法,其特征在于,所述获取预先根据所述执行路径配置的代码无效策略,并通过所述代码无效策略无效所述恶意代码的步骤,包括:
6.如权利要求1所述的恶意代码无效方法,其特征在于,所述确定所述恶意代码对应的执行路径的步骤,包括:
7.如权利要求6所述的恶意代码无效方法,其特征在于,所述获取预先根据所述执行路径配置的代码无效策略,并通过所述代码无效策略无效所述恶意代码的步骤,包括:
8.一种恶意代码无效装置,其特征在于,所述恶意代码无效装置包括:
...【技术特征摘要】
1.一种恶意代码无效方法,其特征在于,所述恶意代码无效包括以下步骤:
2.如权利要求1所述的恶意代码无效方法,其特征在于,所述获取预先根据所述执行路径配置的代码无效策略,并通过所述代码无效策略无效所述恶意代码的步骤,包括:
3.如权利要求2所述的恶意代码无效方法,其特征在于,所述确定所述恶意代码对应的执行路径的步骤,包括:
4.如权利要求1所述的恶意代码无效方法,其特征在于,所述确定所述恶意代码对应的执行路径的步骤,包括:
5.如权利要求4所述的恶意代码无效方法,其特征在于,所述获取预先根据所述执行路径配置的代码无效策略,并通过所述代码无效策略无效所述恶意代码的步骤,包括:
6.如权利要求1所述的恶意代码无效方法,其特征在于,...
【专利技术属性】
技术研发人员:郑劲松,魏狄龙,
申请(专利权)人:三六零数字安全科技集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。