一种windows内存木马的检测方法技术

一种windows内存木马的检测方法，其特征在于，包括如下的步骤：步骤S1：获取内存镜像并对内存镜像进行解析，获取与内存中进程相关的文件；步骤S2：将通过步骤S1获取的与内存中进程相关的文件，按照进程建立文件夹并挂载到操作系统中；步骤S3：进行可疑文件的标记，将存在内存木马的嫌疑的文件标记为可疑文件；步骤S4：进行进程的溯源，将能够反映进程的来源的文件与进程进行标记；以及步骤S5，将步骤S3中标记的可疑文件之中的、能够在步骤S4中找到溯源的进程，判定为内存木马。

【技术实现步骤摘要】

本专利技术涉及信息安全领域，尤其涉及windows系统下的内存木马的检测方法。

技术介绍

1、随着计算机网络的高速发展，针对操作系统的恶意软件逐渐增多。其中，木马病毒通常是基于计算机网络的恶意软件，是基于客户端和服务端的通信、监控程序。客户端的程序用于黑客远程控制，可以发出控制命令，接收服务端传来的信息。服务端程序运行在被控计算机上，一般隐藏在被控计算机中，可以接收客户端发来的命令并执行，将客户端需要的信息发回，也就是常说的木马程序。

2、近年来，针对驻留在硬盘上的木马病毒的查杀技术得到了较大发展，针对此状况，内存木马的流行趋势增高。内存木马是一种特殊的恶意软件，它设计的目的是在被攻击的计算机上秘密地驻留和执行。与传统的木马不同，内存木马并不在硬盘上留下任何明显的痕迹。它们完全在ram中运行，这使得它们能够避开许多传统的恶意软件检测方法。当计算机重启或关机时，由于它们没有在硬盘上留下任何痕迹，所以会自动消失，但只要计算机处于开机状态，它们就会持续工作。

3、由于内存木马不会在硬盘上留下痕迹，因此其查杀的难度极大。尤其是，内存木马也在本文档来自技高网...

【技术保护点】

1.一种windows内存木马的检测方法，其特征在于，包括如下的步骤：

2.根据权利要求1所述的windows内存木马的检测方法，其特征在于，

3.根据权利要求2所述的windows内存木马的检测方法，其特征在于，

4.根据权利要求3所述的windows内存木马的检测方法，其特征在于，

5.根据权利要求4所述的windows内存木马的检测方法，其特征在于，

6.根据权利要求1所述的windows内存木马的检测方法，其特征在于，

【技术特征摘要】

1.一种windows内存木马的检测方法，其特征在于，包括如下的步骤：

2.根据权利要求1所述的windows内存木马的检测方法，其特征在于，

3.根据权利要求2所述的windows内存木马的检测方法，其特征在于，

...

【专利技术属性】
技术研发人员：李亚辉，杨旭，邵慧丽，柴忠，邓宫财，刘国林，肖成民，陈辉，
申请(专利权)人：北京启明星辰信息安全技术有限公司，
类型：发明
国别省市：