本发明专利技术公开了一种远程线程注入型木马的检测方法和处理方法,包括:遍历操作系统中的所有线程,找出可能为木马创建的线程;遍历该线程的父进程的内存空间中的所有内存模块,读取内存模块数据;用木马特征对内存模块数据进行特征匹配;终止远程线程注入型木马所创建的线程,从该线程的父进程的内存空间中卸载用木马特征匹配成功的内存模块,删除该内存模块相关的文件。本发明专利技术还公开了一种远程线程注入型木马的检测装置和处理装置,包括:判断模块,读取模块,匹配模块,处理模块。本发明专利技术可以对操作系统中存在的远程线程注入型木马进行快速、准确、彻底地检测,并将其查杀清除而不需要重新启动计算机、不影响系统的正常运行。
【技术实现步骤摘要】
本专利技术涉及计算机信息安全领域,尤其涉及一种检测和处理远程线程注入型木马 的方法和装置。
技术介绍
恶意代码是信息安全领域最严重的威胁。如何有效地检测和查杀恶意代码,是该 领域的核心问题。木马是恶意代码中数量最多、危害最大的一个种类。目前,大部分木马采取了所谓 “远程线程注入”的技术,以线程的形态藏身于一个已有的进程(特别是系统进程)中,而不 是开启一个新的进程,从而隐藏自身、避免被计算机用户发现,也在一定程度上保护自身、 对抗反病毒产品的检测和查杀。对这类远程线程注入型木马(以下简称“木马”),目前有两种检测和查杀的方案 方案一扫描系统中的所有进程,读取每个进程的内存空间,将其中的数据逐一与木马的内存特征进行匹配,若匹配成功,则认为存在木马。查杀方法是,结束该进程,从而停止木 马的运行;或者清除木马文件,重启计算机,从根源上避免它再次运行。方案二 因为木马在注入时,需要调用一些不常用的系统API (应用程序接口),因 此,反病毒产品可以实时监控对这些API的调用,一旦发现,就判断这一调用涉及的数据是 否能与木马特征匹配,从而实现检测;在查杀方法上,直接阻止这一 API调用,并终止发起 调用的进程。上述方案一的检测方法存在以下不足1.检测速度慢,这是因为要对所有进程的内存数据做特征匹配,匹配量大;2.有一定的误报可能,这是因为匹配对象范围广,如果特征质量差,误报的概率较大。上述方案一的查杀方法存在以下不足1.木马常注入到被保护的系统关键进程中,反病毒产品如果只用普通的系统权限无 法将其终止;而如果反病毒产品提升自己的权限来结束这类进程,将导致系统出现异常甚 至强制性重新启动,因此会造成用户的工作中断、数据丢失,如果是网络服务器发生意外重 启,将导致网络服务的中止,产生重大损失;2.如果是清除文件并重启计算机,同样存在上述问题。上述方案二的检测方法和查杀方法存在以下不足1.木马采取多种技术方法来实现远程线程注入,而不是只调用固定的API,从而有可 能绕开这种检测方法;2.这种方法需要反病毒产品长期处于运行和监控状态,既占用用户的计算机资源,又 无法对运行之前就已经注入的木马生效。
技术实现思路
针对以上不足,本专利技术要解决的技术问题是提供一种远程线程注入型木马的检测4和处理的方法和装置,该方法和装置可以对操作系统中存在的远程线程注入型木马进行快 速、准确、彻底地检测,并将其查杀清除而不需要重新启动计算机、不影响系统的正常运行。为了解决上述技术问题,本专利技术提供了一种远程线程注入型木马的检测方法,包 括遍历操作系统中的所有线程,找出可能为木马创建的线程;对于任何一个可能为木马创建的线程,遍历其父进程的内存空间中的所有内存模块, 读取内存模块数据;用木马特征对内存模块数据进行特征匹配;如果匹配成功,则确定所述可能为木马创建的线程为远程线程注入型木马所创建的线 程,否则,确定所述可能为木马创建的线程不是远程线程注入型木马所创建的线程。进一步的,遍历操作系统中的所有线程、找出可能为木马创建的线程包括对于操 作系统中的任何一个线程,查询所述线程的入口点在所述线程的父进程的内存空间中的线 性地址,如果所述线性地址与内存中的LoadLibraryA函数的加载地址或LoadLibraryW函 数的加载地址相同,则确定所述线程可能为木马创建的线程,否则,确定所述线程不是木马 创建的线程。进一步的,读取内存模块数据具体为根据内存模块的信息,读取内存模块数据。进一步的,内存模块的信息包括加载到内存的地址和模块大小。本专利技术还提供了一种远程线程注入型木马的检测装置,包括 判定模块,用于遍历操作系统中的所有线程,找出可能为木马创建的线程;读取模块,对于任何一个可能为木马创建的线程,遍历其父进程的内存空间中的所有 内存模块,读取内存模块数据;匹配模块,用木马特征对内存模块数据进行特征匹配;如果匹配成功,则匹配模块确定所述可能为木马创建的线程为远程线程注入型木马所 创建的线程,否则,确定所述可能为木马创建的线程不是远程线程注入型木马所创建的线程。进一步的,判定模块具体用于对于操作系统中的任何一个线程,查询所述线程 的入口点在所述线程的父进程的内存空间中的线性地址,如果所述线性地址与内存中的 LoadLibraryA函数的加载地址或LoadLibraryW函数的加载地址相同,则确定所述线程可 能为木马创建的线程,否则,确定所述线程不是木马创建的线程。进一步的,读取模块具体用于根据内存模块的信息,读取内存模块数据。进一步的,内存模块的信息包括加载到内存的地址和模块大小。本专利技术还提供了一种远程线程注入型木马的处理方法,包括 遍历操作系统中的所有线程,找出可能为木马创建的线程;对于任何一个可能为木马创建的线程,遍历其父进程的内存空间中的所有内存模块, 读取内存模块数据;用木马特征对内存模块数据进行特征匹配;如果匹配成功,则确定所述可能为木马创建的线程为远程线程注入型木马所创建的线 程,否则,确定所述可能为木马创建的线程不是远程线程注入型木马所创建的线程;终止远程线程注入型木马所创建的线程,从该线程的父进程的内存空间中卸载用木马特征匹配成功的内存模块,删除该内存模块相关的文件。进一步的,遍历操作系统中的所有线程、找出可能为木马创建的线程包括对于操 作系统中的任何一个线程,查询所述线程的入口点在所述线程的父进程的内存空间中的线 性地址,如果所述线性地址与内存中的LoadLibraryA函数的加载地址或LoadLibraryW函 数的加载地址相同,则确定所述线程可能为木马创建的线程,否则,确定所述线程不是木马 创建的线程。进一步的,读取内存模块数据具体为根据内存模块的信息,读取内存模块数据。进一步的,内存模块的信息包括加载到内存的地址和模块大小。进一步的,删除该内存模块相关的文件具体为根据内存模块的信息,删除该内存 模块相关的文件。进一步的,内存模块的信息包括与所述内存模块相关的文件的路径和名称。本专利技术还提供了一种远程线程注入型木马的处理装置,包括 判定模块,用于遍历操作系统中的所有线程,找出可能为木马创建的线程;读取模块,对于任何一个可能为木马创建的线程,遍历其父进程的内存空间中的所有 内存模块,读取内存模块数据;匹配模块,用木马特征对内存模块数据进行特征匹配;如果匹配成功,则匹配模块确定所述可能为木马创建的线程为远程线程注入型木马所 创建的线程,否则,确定所述可能为木马创建的线程不是远程线程注入型木马所创建的线 程;处理模块,用于终止远程线程注入型木马所创建的线程,从该线程的父进程的内存空 间中卸载用木马特征匹配成功的相应的内存模块,删除该内存模块相关的文件。进一步的,判定模块具体用于对于操作系统中的任何一个线程,查询所述线程 的入口点在所述线程的父进程的内存空间中的线性地址,如果所述线性地址与内存中的 LoadLibraryA函数的加载地址或LoadLibraryW函数的加载地址相同,则确定所述线程可 能为木马创建的线程,否则,确定所述线程不是木马创建的线程。进一步的,读取模块具体用于根据内存模块的信息,读取内存模块数据。进一步的,内存模块的信息包括加载到内存的地址和模块大小。进一步的,处理模块删除该内存模块相关的文件具体为根据内存模块本文档来自技高网...
【技术保护点】
一种远程线程注入型木马的检测方法,其特征在于,包括:遍历操作系统中的所有线程,找出可能为木马创建的线程;对于任何一个可能为木马创建的线程,遍历其父进程的内存空间中的所有内存模块,读取内存模块数据;用木马特征对内存模块数据进行特征匹配;如果匹配成功,则确定所述可能为木马创建的线程为远程线程注入型木马所创建的线程,否则,确定所述可能为木马创建的线程不是远程线程注入型木马所创建的线程。
【技术特征摘要】
【专利技术属性】
技术研发人员:肖梓航,李伟,尹尚书,李柏松,
申请(专利权)人:北京安天电子设备有限公司,
类型:发明
国别省市:11[中国|北京]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。