【技术实现步骤摘要】
本专利技术涉及网络安全,具体而言,涉及一种内存马的检测方法、装置及电子设备。
技术介绍
1、内存马,又被称为无文件马,随着近年攻防对抗强度的上升,攻击者为了躲避日益成熟的文件查杀方案,开始将攻击载荷投递方式从文件转化为内存,实现更加隐蔽的攻击。
2、目前,现有技术中对c#进程进行内存马检测时,通常采用通用的内存扫描引擎对c#进程进行全局扫描,扫描时间较长,扫描效率较低,导致内存马的检测效率较低,性能影响较大。
3、针对上述的问题,目前尚未提出有效的解决方案。
技术实现思路
1、本专利技术实施例提供了一种内存马的检测方法、装置及电子设备,以至少解决现有技术中采用对c#进程进行全局扫描的方式实现内存马检测,存在扫描效率较低导致内存马的检测效率较低的技术问题。
2、根据本专利技术实施例的一个方面,提供了一种内存马的检测方法,包括:确定目标设备中处于运行状态的c#进程,并获取c#进程对应的内存索引,其中,内存索引包含c#进程的目标特征信息的存储位置信息;在c#进...
【技术保护点】
1.一种内存马的检测方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,在所述C#进程对应的内存中,依据所述内存索引定位待检测的目标位置,包括:
3.根据权利要求2所述的方法,其特征在于,在判断所述内存中是否存在目标结构之后,所述方法还包括:
4.根据权利要求2所述的方法,其特征在于,所述第一信息包括第三类对象和目标布局信息,所述第三类对象用于提供所述目标布局信息,所述目标布局信息用于提供中间语言,基于第一索引链路,从所述第二类对象定位至所述目标结构,包括:
5.根据权利要求3所述的方法,其特征在于,所述...
【技术特征摘要】
1.一种内存马的检测方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,在所述c#进程对应的内存中,依据所述内存索引定位待检测的目标位置,包括:
3.根据权利要求2所述的方法,其特征在于,在判断所述内存中是否存在目标结构之后,所述方法还包括:
4.根据权利要求2所述的方法,其特征在于,所述第一信息包括第三类对象和目标布局信息,所述第三类对象用于提供所述目标布局信息,所述目标布局信息用于提供中间语言,基于第一索引链路,从所述第二类对象定位至所述目标结构,包括:
5.根据权利要求3所述的方法,其特征在于,所述第二信息包括第一接口实现类和第六类对象,所述第一接口实现类为用于获取元数据信息的只读类型的实现类,所述第六类对象用于保存元数据信息,基于第二索引链路,从所述第二类对象定位至第四类对象,包括:
6.根据权利要求5所述的方...
【专利技术属性】
技术研发人员:肖郴,王磊,陈健,华磊,吉伟,
申请(专利权)人:山石网科通信技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。