CN109033828B - 一种基于计算机内存分析技术的木马检测方法 - Google Patents
一种基于计算机内存分析技术的木马检测方法 Download PDFInfo
- Publication number
- CN109033828B CN109033828B CN201810827278.4A CN201810827278A CN109033828B CN 109033828 B CN109033828 B CN 109033828B CN 201810827278 A CN201810827278 A CN 201810827278A CN 109033828 B CN109033828 B CN 109033828B
- Authority
- CN
- China
- Prior art keywords
- detection
- file
- malicious
- monitoring
- registry
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
Abstract
本发明的基于计算机内存分析技术的木马检测方法,包括行为监控、恶意代码检测、磁盘信息综合分析、综合关联分析、检测结果呈现;行为监控包括进程操作、注册表操作、文件操作和网络数据监控,恶意代码检测包括动态链接库检测、恶意进程、隐藏进程检测、驱动检测,磁盘信息综合分析包括注册表启动项、文件扫描、PE文件解析。本发明的木马检测方法,对于存在加密保护的恶意代码,其在内存中运行时的状态是解密状态,使用本技术检测此类恶意代码无需进行解密,检测结果更为可靠,能有效防止rootkit攻击对木马检测结果造成的影响。
Description
技术领域
本发明涉及一种木马检测方法,更具体的说,尤其涉及一种基于计算机内存分析技术的木马检测方法。本方法将应用于信息安全领域,主要用于信息安全事件和各类计算机攻击事件的检测。
背景技术
a). 木马;
命名来源于古希腊神话中的“特洛伊木马”,这是因为该类型的恶意程序,同特洛伊木马一样,其最大的特点是隐蔽性强,不易被发现。这里特指进入宿主计算机后潜伏下来向木马操控者发送宿主计算机信息的一类间谍代码。一旦进入计算机,木马程序会主动搜索系统资源,获得必要的合法存在条件,或者避免被捕获查杀,之后,程序会在一定状态下启动并控制该计算机,在一定条件下,还会同远端的服务器通讯,传输窃取的资源。
同一个木马程序中可同时出现以上多种功能。
从木马对计算机系统的破坏性来看,主要包括以下两类:
1)以获取操作权为目的的木马,典型的是远程控制程序。
该类木马能够在用户毫无知觉的情况,与用户共同控制计算机系统,甚至可以屏蔽或者剥夺用户的控制权。该类型的木马能够获得计算机的屏幕画面、修改注册表信息、截获用户的键盘操作和鼠标事件、任意阅读系统内的各类文件等,危害性极大。
2)以某些计算机系统作为中继的攻击性木马。
这类木马防止自身被发现,需要通过一些间接的手段来隐藏自己。首先,攻陷一些计算机系统,植入木马以后,销毁自身的踪迹。之后,被攻陷的计算机系统作为发起方,植入其中的木马会主动发起对最终目标的攻击。通过这样的方式,即使被追溯攻击来源,也只能截止到这些被当做跳板的计算机系统。
木马隐藏自己的方式:
1)向合法进程注入动态链接库
为了防止被轻易检测,有的木马会把自己封装成动态链接库,然后将调用动态链接库的代码写入到目标文件中。
2)混淆名称
这是一种比较拙劣的方法。在早期的木马中,经常将自身的进程名称改写为与某个系统服务进程形似的情况,例如将“O”改写为“0”,然后冒充网络服务进程。
3)将相关文件放置在貌似正常的路径下
木马程序不同于病毒文件,不具有微小的特征。很多木马程序往往包含多个相互协同的文件,通过一个触发条件,实现调用而启动,给计算机系统和目标对象带来更大的危害和损失。为了防止自身文件被发现,木马需要隐藏不同的文件。其中比较典型的做法就是,将文件放置在与系统关键文件相同位置的目录内,这些位置对于一般非专业的用户来说,是很少访问和浏览的,而且不细心的操作容易引起系统文件误删,而导致系统崩溃。
4)修改文件属性
很多木马程序会通过修改文件属性将自己隐藏起来,并选择一些系统隐藏目录、只有通过特殊手段才能访问的位置。
5) 使用Rootkit技术,隐藏自身进程
有的木马程序以进程的形式在系统中运行,它们为了不在任务管理器中显示自己的存在,而经常使用Rootkit技术来隐藏自己。
与其他种类的恶意代码相比,木马的关注点不是破坏计算机的正常运行,而是从中窃取信息。
B).计算机内存分析技术;计算机内存分析技术是内存取证的一项重要技术,内存取证的研究工作始于2005年。DFRWS(Digital Forensic Research Workshop,数字取证研究组)推出了一项名为“Memory Analysis Challenge”(内存分析挑战)的物理内存分析竞赛活动。该活动提供了Windows 2000操作系统的物理内存镜像文件,要求参赛者分析并且回答文件中所包含的隐匿进程及其隐匿方式、网络攻击者如何攻击以及何时、何处发起攻击等相关攻击时间轴信息。Chris Betz 和 George Garner 以及Robert-Jan Mora 给出了详细的解答,并最终获得优胜。Betz通过逆向分析Windows 2000内核,获取其重要的内核数据结构,并研发了内存取证工具MemParser,详细地提取了该内存转储文件中所蕴含的信息;Garner和Mora开发了kntlist工具,通过进程链数据结构PsActiveProcessList,顺序对比所给的有隐匿进程的镜像样本和另外一台可信的对比镜像样本的进程信息,也得到了最后的结果。自此,计算机取证领域开始了一波内存取证研究的热潮。各种内存取证方法和相应的内存取证工具不断出现,至今仍是计算机取证研究的热点之一。
内存分析的对象是计算机物理内存。其任务就是以操作系统内核数据结构为特征,通过结构化逻辑化的分析,从这些文件中提取出所需的信息,并对这些文件中保留的系统运行状态进行相应的描述,最大程度的构建电子证据以及其存在的状态。这种内存取证与分析使用一定的结构来解析内存镜像文件,也被称作结构化的内存取证。
随着恶意代码检测技术的不断发展与成熟,出现了很多恶意代码检测方法,然而,这些方法在特种木马检测方面又有其局限性:特征码扫描和广谱特征的方法难以发现未知的恶意代码;启发式的方法误报率较高,难以应用;沙盒的方法容易被恶意代码检测到而规避;全流量分析的方法难以检测通信加密的未知木马。
发明内容
本发明为了克服上述技术问题的缺点,提供了一种基于计算机内存分析技术的木马检测方法。
本发明的基于计算机内存分析技术的木马检测方法,其特征在于,包括行为监控、恶意代码检测、磁盘信息综合分析、综合关联分析、检测结果呈现;行为监控包括进程操作行为监控、注册表操作行为监控、文件操作行为监控和网络数据监控,恶意代码检测包括基于内存分析技术的动态链接库检测、恶意进程检测、隐藏进程检测、驱动检测,磁盘信息综合分析包括注册表启动项检测、文件扫描检测、文件关联检测、PE文件解析;综合关联分析包括进程监控、文件监控与注册表监控的关联,恶意进程与自启动项的关联,进程与网络连接的关联;检测结果处理包括样本提取、风险评估、检测报告生成;行为监控通过监控网络数据、进程变化、操作的文件和注册表信息检测异常行为来实现。
本发明的基于计算机内存分析技术的木马检测方法,进程操作行为监控以驱动和内存分析相结合的方式监控系统中正在运行的进程变化情况,注册表操作行为监控以安装注册表监控驱动的方式,监控进程对注册表项包括创建、修改在内的操作行为,将进程对注册表的操作行为与注册表操作规则库进行比较,如果符合注册表操作规则库的行为,则认为其存在恶意行为;文件操作行为监控以安装文件过滤驱动的方式,监控进程对文件包括创建、打开、读取、写入、删除在内的操作行为,并将进程对文件的操作行为与文件操作规则库进行比较,如果符合文件操作规则库中的行为,则认为其存在恶意行为;其中,注册表操作规则库为事先人为设定的存在恶意行为的册表操作集合,文件操作规则库为事先人为设定的存在恶意行为的文件操作集合。
本发明的基于计算机内存分析技术的木马检测方法,网络数据监控通过捕获网络数据包获取远程控制指令、访问的域名和URL、网络连接的心跳信息,然后将远程控制指令与远控指令特征库进行匹配,如果远程控制指令存在于远控指令特征库中,则判断其存在木马的远程控制行为,根据域名和URL的黑名单设置,记录可疑域名和URL的访问告警,记录的内容包括访问的描述、访问时间、执行访问进程的PID、域名和URL名称;根据心跳信息判断是否有可疑的木马行为,如果每隔30秒或60秒主机会尝试向某一特定IP地址发数据包,则认为主机存在可疑的木马行为;其中,远控指令特征库为事先人为设定的存在恶意行为的远控指令的集合,URL的黑名单为事先人为设定的存在恶意行为的URL集合。。
本发明的基于计算机内存分析技术的木马检测方法,所述磁盘信息综合分析通过对磁盘上的信息或文件进行静态检测的方法完成恶意代码的检测,动态链接库检测的方法为:首先获取进程所调用的所有动态链接库的链表,然后遍历进程的vad树,获取进程中加载的是“读写可执行”属性的PE文件,如果获取的PE文件所在物理内存中的页面不存在于动态连接库的链表的任一动态链接库所占用的物理内存页面中,则认为所获取的PE文件是被恶意注入的动态链接库文件。
本发明的基于计算机内存分析技术的木马检测方法,可疑进程的检测包括:异常派生路径检测、异常DLL调用检测、可执行文件样本检测、操作对象检测、路径一致性检测、特殊类型进程检测;异常派生路径检测通过将进程在派生关系树中所在的路径与正常计算机的进程派生树相比,如果不存在相一致的路径,则表明进程存在异常;操作对象检测通过检测进程操作的Mutants、File、Token类型的对象是否与静态规则库中的规则匹配,如果匹配则表明进程存在异常;路径一致性检测通过检测进程打开的命令路径与窗口路径是否一致,如果不一致,表明进程存在异常;其中,静态规则库为事先人为设定的存在恶意行为的静态规则集合;
特殊类型进程检测包括rundll32.exe进程的检测、svchost.exe进程的检测、iexplore进程的检测,rundll32.exe进程的检测步骤为:首先获取rundll32.exe进程的命令行路径,然后从路径中获取出动态链接库文件的路径,最后对动态链接库文件分别采用静态特征扫描、异常动态链接库检测、进程中包含可执行体检测的方法进行检测,判断rundll32.exe进程是否是可疑进程;svchost.exe进程的检测步骤为:首先获取svchost.exe进程加载的动态链接库文件的路径,然后对动态链接库文件分别采用属性检测、静态特征扫描、异常动态链接库检测、进程中包含可执行体检测的方法进行检测,判断svchost.exe进程是否是可疑进程;
iexplore进程的检测方法为:1).获取内存中的进程链表信息;2).遍历进程链表,当进程是iexplore进程时,判断其是否有子进程,如果没有子进程,则执行步骤3),如果有子进程,则执行步骤2)继续判断;3).对进程的窗口属性进行检测,如果其窗口属性是不可见的,则该进程是可疑进程。
本发明的基于计算机内存分析技术的木马检测方法,隐藏进程检测通过以下步骤来实现:
a).获取进程链表头,分析进程链表获得进程;
b).在内存空间中通过搜索EPROCESS特征获得进程;
c).在内存空间中通过搜索线程特征获得进程;
d).通过遍历csrss.exe进程的句柄表实现进程信息的获取;
e).对比步骤a)、步骤b)、步骤c)和步骤d)中4种方法获取的进程链表,如果有不在步骤a)获得的进程链表中存在但在步骤b)、c)、d)中获得的进程链表中均存在的进程,则该进程为隐藏进程。
本发明的基于计算机内存分析技术的木马检测方法,注册表启动项检测方法为:首先分析系统注册表的关键位置,其次解析出随系统的启动而自动运行的应用程序、DLL、驱动、浏览器加载项,最后结合威胁级别设定规则库确定其威胁级别;
文件扫描检测方法为:结合特征库采用基于签名和基于规则两种方式对磁盘上的文件进行扫描,基于签名的方法中,如果其签名信息存在于签名库中,则认为可疑;基于规则的方法中,如果其满足规则,则认为可疑。
本发明的基于计算机内存分析技术的木马检测方法,所述关联分析部分包括:进程与自启动项关联、文件关联、进程与网络连接关联;进程和自启动项关联分析为:将注册表中的自启动项中记录的文件与恶意进程操作的可疑文件关联,获得木马启动方式;文件关联为:将文件监控获取的进程对文件操作信息关联恶意进程ID,获取恶意进程操作的衍生文件信息,根据自启动项信息关联出的木马启动方式,关联出木马植入时在磁盘中产生的中间文件;进程和网络连接关联为:将网络监控获取的网络连接行为数据,关联恶意进程ID,获取恶意进程执行的远控连接、可疑URL连接、可疑dns连接。
本发明的有益效果是:本发明的基于计算机内存分析技术的木马检测方法,包括行为监控、恶意代码检测、磁盘信息综合分析、综合关联分析,通过对动态链接库的注入行为、隐藏行为、进程的隐藏行为、进程空间中pe文件的隐含行为进行分析,对于存在加密保护的恶意代码,其在内存中运行时的状态是解密状态,使用本技术检测此类恶意代码无需进行解密,检测结果更为可靠。一般恶意代码是通过注入正常进程的方式执行其恶意行为,本技术中动态链接库注入行为和隐藏行为的分析能检测出具有此类行为的木马。能有效防止rootkit攻击对木马检测结果造成的影响。
本发明直接对内存中运行的进程及动态链接库进行检测分析,对于存在加密保护的恶意代码,其在内存中运行时的状态是解密状态,检测此类恶意代码无需进行解密,检测结果更为可靠;能检测出通过注入正常进程的方式执行恶意行为的恶意软件;能有效防止rootkit攻击对木马检测结果造成的影响。
附图说明
图1为本发明的基于计算机内存分析技术的木马检测方法的组成示意图;
图2为本发明的基于计算机内存分析的木马检测方法的流程图;
图3为本发明中进程中包含可执行文件体检测流程图;
图4为本发明中进程或动态链接库中的导入地址表Hook检测流程图;
图5为本发明中驱动的导出地址表Hook检测流程图;
图6为本发明中驱动的内联符号表Hook检测流程图。
具体实施方式
下面结合附图与实施例对本发明作进一步说明。
如图1所示,给出了本发明的基于计算机内存分析技术的木马检测方法的组成示意图,本发明的基于内存分析技术的木马检测方法,包括行为监控、恶意代码检测、磁盘信息综合分析、综合关联分析、检测结果呈现五个部分。
本发明的行为监控部分包括:进程操作行为监控、注册表行为监控、文件操作行为监控、网络数据监控四个子部分;恶意代码检测部分是基于内存分析技术的检测,包括动态链接库检测、恶意进程检测、隐藏进程检测、驱动检测四个子部分;磁盘信息综合分析包括注册表启动项检测、文件扫描检测、PE文件解析三个子部分;综合关联分析部分包括进程监控、文件监控与注册表监控三个子部分的关联、恶意进程与自启动项的关联、进程与网络连接的关联三个子部分。检测结果处理包括:样本提取、风险评估、检测报告生成三个部分。
如图2所示,给出了本发明的基于计算机内存分析的木马检测方法的流程图,首先进行系统行为监控,其次进行可疑进程检测,再次进行隐藏进程检测,然后进行驱动检测,接下来进行注册表自启动项检测,下一步获取检测报告及相关信息,最后根据关联出来的自启动项信息和恶意进程或恶意驱动,转储文件样本。
如图3所示,给出了本发明的基于计算机内存分析的木马检测流程图,其检测步骤包括,a-1).判断操作系统版本,获取内核页目录基地址,该地址用于实现虚拟地址向物理地址转换。b-1).获取内存中进程可执行文件的加载起始虚拟地址和长度。c-1进行进程可执行文件样本转储。d-1).在转储文件中搜索PE格式文件头标识符。e-1). 如果找到,则判断出该进程是携带可疑执行体的进程,如果未找到,则判断出该进程不是携带可疑执行体的进程。
如图4所示,给出了本发明中进程或动态链接库中的导入地址表Hook检测流程图,检测步骤包括,a-2).判断操作系统版本,获取内核页目录基地址,该地址用于实现虚拟地址向物理地址转换。b-2).获取内存中进程可执行文件的加载起始虚拟地址和长度。c-2).对进程PE格式的可执行文件分析出导入地址表的信息, 分析出的导入地址表信息包括模块名称D1、函数名称、函数地址。d-2).获取函数地址所属模块的名称D2。e-2).判断D1和D2是否相同,如果相同,则对下一函数地址执行步骤d-2),否则执行下一步。f-2).判断D2及对应的函数地址是否在白名单中。如果不在白名单中,则判断出该进程导入的D1模块的函数被D2模块所hook,将hook信息记录到hook链表中;否则如果在白名单中,则对下一函数地址执行步骤d-2)。
如图5所示,给出了本发明中驱动的导出地址表Hook检测流程图,其包括,a-3).判断操作系统版本,获取内核页目录基地址,该地址用于实现虚拟地址向物理地址转换。b-3).获取内存中驱动可执行文件的加载起始虚拟地址和长度。c-3). 对驱动PE格式的可执行文件分析出导出地址表的信息(函数名称、函数地址)。d-3).函数本来应该所属模块名称记为M1,函数地址实际所属模块的名称M2。 e-3).判断M1和M2是否相同,如果相同,则对下一函数地址执行步骤d-3),否则执行下一步。f-3).判断M2及对应的函数地址是否在白名单中。如果不在白名单中,则判断该驱动导出的函数被M2模块所hook,M2是一个执行hook功能的恶意模块。凡是加载该驱动的进程都将被攻击。将hook信息记录到hook链表中;否则如果在白名单中,则对下一函数地址执行步骤d-3)。
如图6所示,本发明的基于计算机内存分析的木马检测方法的驱动的内联符号表hook检测的步骤包括,a-4).判断操作系统版本,获取内核页目录基地址,该地址用于实现虚拟地址向物理地址转换。b-4).获取内存中驱动可执行文件的加载起始虚拟地址和长度。c-4). 对PE格式的驱动可执行文件分析出导入地址表的信息(模块名称D1、函数名称IName、函数地址IAddr)。d-4).反汇编函数地址IAddr处的前30个字节。e-4).分别判断地址处的开头是否是JMP指令,如果是则将JMP指令跳转到的地址记录下来,记为JAddr,然后转向步骤g-4),否则进行下一步。f-4).分别判断地址处开头是否是PUSH指令,之后紧跟着CALL指令。如果是则将CALL指令调用的地址记录下来,记为CAddr,进行下一步;否则对下一函数地址执行步骤d-4)。g-4).查找JAddr或CAddr所属模块IM,判断IM是否和D1相同,如果相同,则对下一函数地址执行步骤d-4);否则并将模块IM和对应的JAddr或CAddr记录到hook地址链表中,外部模块IM hook了被检测的驱动,凡是调用该驱动的进程都会受到攻击。
Claims (8)
1.一种基于计算机内存分析技术的木马检测方法,其特征在于,包括行为监控、恶意代码检测、磁盘信息综合分析、综合关联分析、检测结果呈现;行为监控包括进程操作行为监控、注册表操作行为监控、文件操作行为监控和网络数据监控,恶意代码检测包括基于内存分析技术的动态链接库检测、恶意进程检测、隐藏进程检测、驱动检测,磁盘信息综合分析包括注册表启动项检测、文件扫描检测、文件关联检测、PE文件解析;综合关联分析包括进程监控、文件监控与注册表监控的关联,恶意进程与自启动项的关联,进程与网络连接的关联;检测结果处理包括样本提取、风险评估、检测报告生成;行为监控通过监控网络数据、进程变化、操作的文件和注册表信息检测异常行为来实现。
2.根据权利要求1所述的基于计算机内存分析技术的木马检测方法,其特征在于:进程操作行为监控以驱动和内存分析相结合的方式监控系统中正在运行的进程变化情况,注册表操作行为监控以安装注册表监控驱动的方式,监控进程对注册表项包括创建、修改在内的操作行为,将进程对注册表的操作行为与注册表操作规则库进行比较,如果符合注册表操作规则库的行为,则认为其存在恶意行为;文件操作行为监控以安装文件过滤驱动的方式,监控进程对文件包括创建、打开、读取、写入、删除在内的操作行为,并将进程对文件的操作行为与文件操作规则库进行比较,如果符合文件操作规则库中的行为,则认为其存在恶意行为;其中,注册表操作规则库为事先人为设定的存在恶意行为的删表操作集合,文件操作规则库为事先人为设定的存在恶意行为的文件操作集合。
3.根据权利要求1或2所述的基于计算机内存分析技术的木马检测方法,其特征在于:网络数据监控通过捕获网络数据包获取远程控制指令、访问的域名和URL、网络连接的心跳信息,然后将远程控制指令与远控指令特征库进行匹配,如果远程控制指令存在于远控指令特征库中,则判断其存在木马的远程控制行为,根据域名和URL的黑名单设置,记录可疑域名和URL的访问告警,记录的内容包括访问的描述、访问时间、执行访问进程的PID、域名和URL名称;根据心跳信息判断是否有可疑的木马行为,如果每隔30秒或60秒主机会尝试向某一特定IP地址发数据包,则认为主机存在可疑的木马行为;其中,远控指令特征库为事先人为设定的存在恶意行为的远控指令的集合,URL的黑名单为事先人为设定的存在恶意行为的URL集合。
4.根据权利要求1或2所述的基于计算机内存分析技术的木马检测方法,其特征在于:所述磁盘信息综合分析通过对磁盘上的信息或文件进行静态检测的方法完成恶意代码的检测,动态链接库检测的方法为:首先获取进程所调用的所有动态链接库的链表,然后遍历进程的vad树,获取进程中加载的是“读写可执行”属性的PE文件,如果获取的PE文件所在物理内存中的页面不存在于动态连接库的链表的任一动态链接库所占用的物理内存页面中,则认为所获取的PE文件是被恶意注入的动态链接库文件。
5.根据权利要求1或2所述的基于计算机内存分析技术的木马检测方法,其特征在于:可疑进程的检测包括:异常派生路径检测、异常DLL调用检测、可执行文件样本检测、操作对象检测、路径一致性检测、特殊类型进程检测;异常派生路径检测通过将进程在派生关系树中所在的路径与正常计算机的进程派生树相比,如果不存在相一致的路径,则表明进程存在异常;操作对象检测通过检测进程操作的Mutants、File、Token类型的对象是否与静态规则库中的规则匹配,如果匹配则表明进程存在异常;路径一致性检测通过检测进程打开的命令路径与窗口路径是否一致,如果不一致,表明进程存在异常;其中,静态规则库为事先人为设定的存在恶意行为的静态规则集合;
特殊类型进程检测包括rundll32.exe进程的检测、svchost.exe进程的检测、iexplore进程的检测,rundll32.exe进程的检测步骤为:首先获取rundll32.exe进程的命令行路径,然后从路径中获取出动态链接库文件的路径,最后对动态链接库文件分别采用静态特征扫描、异常动态链接库检测、进程中包含可执行体检测的方法进行检测,判断rundll32.exe进程是否是可疑进程;svchost.exe进程的检测步骤为:首先获取svchost.exe进程加载的动态链接库文件的路径,然后对动态链接库文件分别采用属性检测、静态特征扫描、异常动态链接库检测、进程中包含可执行体检测的方法进行检测,判断svchost.exe进程是否是可疑进程;
iexplore进程的检测方法为:1).获取内存中的进程链表信息;2).遍历进程链表,当进程是iexplore进程时,判断其是否有子进程,如果没有子进程,则执行步骤3),如果有子进程,则执行步骤2)继续判断;3).对进程的窗口属性进行检测,如果其窗口属性是不可见的,则该进程是可疑进程。
6.根据权利要求1或2所述的基于计算机内存分析技术的木马检测方法,其特征在于:隐藏进程检测通过以下步骤来实现:
a).获取进程链表,分析进程链表获得进程;
b).在内存空间中通过搜索EPROCESS特征获得进程;
c).在内存空间中通过搜索线程特征获得进程;
d).通过遍历csrss.exe进程的句柄表实现进程信息的获取;
e).对比步骤a)、步骤b)、步骤c)和步骤d)中4种方法获取的进程链表,如果有不在步骤a)获得的进程链表中存在但在步骤b)、c)、d)中获得的进程链表中均存在的进程,则该进程为隐藏进程。
7.根据权利要求1或2所述的基于计算机内存分析技术的木马检测方法,其特征在于:注册表启动项检测方法为:首先分析系统注册表的关键位置,其次解析出随系统的启动而自动运行的应用程序、DLL、驱动、浏览器加载项,最后结合威胁级别设定规则库确定其威胁级别;
文件扫描检测方法为:结合特征库采用基于签名和基于规则两种方式对磁盘上的文件进行扫描,基于签名的方法中,如果其签名信息存在于签名库中,则认为可疑;基于规则的方法中,如果其满足规则,则认为可疑。
8.根据权利要求1或2所述的基于计算机内存分析技术的木马检测方法,其特征在于:所述关联分析部分包括:进程与自启动项关联、文件关联、进程与网络连接关联;进程和自启动项关联分析为:将注册表中的自启动项中记录的文件与恶意进程操作的可疑文件关联,获得木马启动方式;文件关联为:将文件监控获取的进程对文件操作信息关联恶意进程ID,获取恶意进程操作的衍生文件信息,根据自启动项信息关联出的木马启动方式,关联出木马植入时在磁盘中产生的中间文件;进程和网络连接关联为:将网络监控获取的网络连接行为数据,关联恶意进程ID,获取恶意进程执行的远控连接、可疑URL连接、可疑dns连接。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810827278.4A CN109033828B (zh) | 2018-07-25 | 2018-07-25 | 一种基于计算机内存分析技术的木马检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810827278.4A CN109033828B (zh) | 2018-07-25 | 2018-07-25 | 一种基于计算机内存分析技术的木马检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109033828A CN109033828A (zh) | 2018-12-18 |
| CN109033828B true CN109033828B (zh) | 2021-06-01 |
Family
ID=64645236
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810827278.4A Active CN109033828B (zh) | 2018-07-25 | 2018-07-25 | 一种基于计算机内存分析技术的木马检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109033828B (zh) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109784052B (zh) * | 2018-12-29 | 2021-07-20 | 360企业安全技术(珠海)有限公司 | 软件行为检测的管理方法及服务端、终端、系统 |
| CN109918907B (zh) * | 2019-01-30 | 2021-05-25 | 国家计算机网络与信息安全管理中心 | Linux平台进程内存恶意代码取证方法、控制器及介质 |
| CN111797392B (zh) * | 2019-04-09 | 2023-08-08 | 国家计算机网络与信息安全管理中心 | 一种控制衍生文件无限分析的方法、装置及存储介质 |
| CN110633566A (zh) * | 2019-06-27 | 2019-12-31 | 北京无限光场科技有限公司 | 一种侵入检测方法、装置、终端设备及介质 |
| CN110532774A (zh) * | 2019-07-24 | 2019-12-03 | 阿里巴巴集团控股有限公司 | 钩子检查方法、装置、服务器及可读存储介质 |
| CN110378698A (zh) * | 2019-07-24 | 2019-10-25 | 中国工商银行股份有限公司 | 交易风险识别方法、装置和计算机系统 |
| CN112395609B (zh) * | 2019-08-15 | 2023-06-09 | 奇安信安全技术(珠海)有限公司 | 应用层shellcode的检测方法及装置 |
| CN112395601B (zh) * | 2019-08-15 | 2024-03-01 | 奇安信安全技术(珠海)有限公司 | 一种应用层内存访问的监控方法和装置 |
| CN111310180A (zh) * | 2020-02-18 | 2020-06-19 | 上海迅软信息科技有限公司 | 一种企业信息安全用计算机进程防冒充方法 |
| CN112069499A (zh) * | 2020-09-15 | 2020-12-11 | 北京微步在线科技有限公司 | 一种检测方法、装置、存储介质及电子设备 |
| CN112784268A (zh) * | 2021-01-28 | 2021-05-11 | 深信服科技股份有限公司 | 一种主机行为数据的分析方法、装置、设备及存储介质 |
| CN112966266A (zh) * | 2021-03-02 | 2021-06-15 | 北京金山云网络技术有限公司 | 一种病毒检测系统 |
| CN113569240B (zh) * | 2021-07-28 | 2023-04-21 | 杭州薮猫科技有限公司 | 恶意软件的检测方法、装置及设备 |
| CN114629711B (zh) * | 2022-03-21 | 2024-02-06 | 广东云智安信科技有限公司 | 一种针对Windows平台特种木马检测的方法及系统 |
| CN114692144A (zh) * | 2022-04-08 | 2022-07-01 | 哈尔滨理工大学 | 一种基于内存取证的dll注入检测方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101673326A (zh) * | 2008-09-11 | 2010-03-17 | 北京理工大学 | 基于程序执行特征的网页木马检测方法 |
| CN102446253A (zh) * | 2011-12-23 | 2012-05-09 | 北京奇虎科技有限公司 | 一种网页木马检测方法及系统 |
| CN106341282A (zh) * | 2016-11-10 | 2017-01-18 | 广东电网有限责任公司电力科学研究院 | 一种恶意代码行为分析装置 |
| CN106778243A (zh) * | 2016-11-28 | 2017-05-31 | 北京奇虎科技有限公司 | 基于虚拟机的内核漏洞检测文件保护方法及装置 |
-
2018
- 2018-07-25 CN CN201810827278.4A patent/CN109033828B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101673326A (zh) * | 2008-09-11 | 2010-03-17 | 北京理工大学 | 基于程序执行特征的网页木马检测方法 |
| CN102446253A (zh) * | 2011-12-23 | 2012-05-09 | 北京奇虎科技有限公司 | 一种网页木马检测方法及系统 |
| CN106341282A (zh) * | 2016-11-10 | 2017-01-18 | 广东电网有限责任公司电力科学研究院 | 一种恶意代码行为分析装置 |
| CN106778243A (zh) * | 2016-11-28 | 2017-05-31 | 北京奇虎科技有限公司 | 基于虚拟机的内核漏洞检测文件保护方法及装置 |
Non-Patent Citations (2)
| Title |
|---|
| 基于特征分析和行为监控的未知木马;郝增帅等;《信息网络安全》;20150210;第57-65页 * |
| 基于综合行为特征的木马检测技术研究;夏爱民等;《信息安全与通信保密》;20140610;第109-113页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109033828A (zh) | 2018-12-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109033828B (zh) | 一种基于计算机内存分析技术的木马检测方法 | |
| US20220284094A1 (en) | Methods and apparatus for malware threat research | |
| US7934261B1 (en) | On-demand cleanup system | |
| Wang et al. | Detecting stealth software with strider ghostbuster | |
| US7627898B2 (en) | Method and system for detecting infection of an operating system | |
| US7870610B1 (en) | Detection of malicious programs | |
| US20100306851A1 (en) | Method and apparatus for preventing a vulnerability of a web browser from being exploited | |
| US7665139B1 (en) | Method and apparatus to detect and prevent malicious changes to tokens | |
| US20100037317A1 (en) | Mehtod and system for security monitoring of the interface between a browser and an external browser module | |
| EP1760620A2 (en) | Methods and Systems for Detection of Forged Computer Files | |
| US11822654B2 (en) | System and method for runtime detection, analysis and signature determination of obfuscated malicious code | |
| JP5265061B1 (ja) | 悪意のあるファイル検査装置及び方法 | |
| US7631356B2 (en) | System and method for foreign code detection | |
| US7607122B2 (en) | Post build process to record stack and call tree information | |
| CN107330328B (zh) | 防御病毒攻击的方法、装置及服务器 | |
| WO2013082437A1 (en) | Methods and apparatus for control and detection of malicious content using a sandbox environment | |
| CN109783316B (zh) | 系统安全日志篡改行为的识别方法及装置、存储介质、计算机设备 | |
| CN113632432B (zh) | 一种攻击行为的判定方法、装置及计算机存储介质 | |
| EP2492833A1 (en) | Method and apparatus for detecting malicious software | |
| CN111800405A (zh) | 检测方法及检测设备、存储介质 | |
| US20080028462A1 (en) | System and method for loading and analyzing files | |
| Shan et al. | Enforcing mandatory access control in commodity OS to disable malware | |
| US8578495B2 (en) | System and method for analyzing packed files | |
| CN105574409A (zh) | 一种注入代码提取方法及装置 | |
| US20240111860A1 (en) | Systems and methods for preventing hollowing attack |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |