【技术实现步骤摘要】
本公开涉及恶意软件查杀技术应用领域,尤其涉及一种查杀规则的自动转换测试方法、装置、设备及介质。
技术介绍
1、在恶意软件查杀领域,基于文件的静态查杀技术已非常成熟。例如开源社区中的yara恶意文件检测工具,因其灵活的规则定义能力和强大的特征匹配效果而广泛应用。依托yara社区的大量开源规则库,安全人员能够快速创建并应用文件查杀规则,以匹配文件特征并高效识别恶意程序。
2、然而,随着现代内存后门技术的演进,传统的文件查杀方法在内存检测场景中逐渐暴露出不足。与此同时,内存后门执行技术也迅速发展,让任意传统恶意程序,可以无需改造的直接变成内存后门,典型工具如libreflect和ulexecve就可以轻易绕过文件系统依赖,直接将elf文件加载到内存并执行。这类工具使恶意程序可以在内存中运行,从而避免文件在磁盘上落地,极大地提高了规避文件检测的能力,导致yara类静态文件查杀规则即使可以检测对应的静态文件,但工具处理后内存加载就完全无法检测了。
技术实现思路
1、为了解决上述技术问题,...
【技术保护点】
1.一种查杀规则的自动转换测试方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述对目标静态文件进行解析转换处理,得到对应的内存态数据,包括:
3.根据权利要求1所述的方法,其特征在于,所述对静态查杀规则进行改造处理,得到对应的内存查杀规则,包括:
4.根据权利要求1所述的方法,其特征在于,所述基于所述内存查杀规则对所述内存态数据的镜像数据进行匹配检测处理,得到对应的匹配结果,包括:
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
6.根据权利要求1所述的方法,其特征在于,所述
...【技术特征摘要】
1.一种查杀规则的自动转换测试方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述对目标静态文件进行解析转换处理,得到对应的内存态数据,包括:
3.根据权利要求1所述的方法,其特征在于,所述对静态查杀规则进行改造处理,得到对应的内存查杀规则,包括:
4.根据权利要求1所述的方法,其特征在于,所述基于所述内存查杀规则对所述内存态数据的镜像数据进行匹配检测处理,得到对应的匹配结果,包括:
5.根据权利要求4所述的方法,其特征在于,...
【专利技术属性】
技术研发人员:许祥,
申请(专利权)人:中电云计算技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。