【技术实现步骤摘要】
本专利技术涉及网络安全,特别是涉及一种隐藏内存执行检测方法、装置、电子设备、存储介质及程序产品。
技术介绍
1、无文件攻击是一种不向磁盘写入可执行文件的攻击方法,使得攻击者可以攻陷带有反病毒和应用白名单策略防护的系统,进而绕过常规检测手段。无文件攻击一般通过内存执行的方式实现。
2、隐藏内存执行是攻击者为规避终端安全软件对可执行内存扫描,实现内存免杀的一种技术。该技术一般通过运行时修改内存属性实现,即通过去掉内存的可执行属性,进而达到规避终端安全软件内存扫描的目的。
3、终端安全软件一般通过扫描进程内存以对抗无文件攻击,因为内存地址空间巨大,一般只会扫描内存属性包含可执行的内存空间,为避免被内存扫描,攻击者会通过修改恶意代码执行内存属性,然后加密恶意代码内存实现隐藏内存,规避检测。
4、因此,如何对隐藏内存执行进行有效检测是目前亟需解决的技术问题。
技术实现思路
1、本专利技术提供一种隐藏内存执行检测方法、装置、电子设备、存储介质及程序产品,以解决目前难...
【技术保护点】
1.一种隐藏内存执行检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的隐藏内存执行检测方法,其特征在于,获取所述进程的至少一个目标内存地址信息,包括:
3.根据权利要求2所述的隐藏内存执行检测方法,其特征在于,获取所述进程的控制流图的位图信息,包括:
4.根据权利要求2所述的隐藏内存执行检测方法,其特征在于,基于所述位图信息,确定所述进程的至少一个目标内存地址信息,包括:
5.根据权利要求4所述的隐藏内存执行检测方法,其特征在于,对所述位图信息进行地址可靠性验证,包括:
6.根据权利要求4所述的隐...
【技术特征摘要】
1.一种隐藏内存执行检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的隐藏内存执行检测方法,其特征在于,获取所述进程的至少一个目标内存地址信息,包括:
3.根据权利要求2所述的隐藏内存执行检测方法,其特征在于,获取所述进程的控制流图的位图信息,包括:
4.根据权利要求2所述的隐藏内存执行检测方法,其特征在于,基于所述位图信息,确定所述进程的至少一个目标内存地址信息,包括:
5.根据权利要求4所述的隐藏内存执行检测方法,其特征在于,对所述位图信息进行地址可靠性验证,包括:
6.根据权利要求4所述的隐藏内存执行检测方法,其特征在于,遍历所述地址空间,得到...
【专利技术属性】
技术研发人员:李扬,王宇,苟孟洛,安杰,
申请(专利权)人:天翼云科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。