CN107437028A - 一种基于内存读取的病毒检测装置及方法 - Google Patents

一种基于内存读取的病毒检测装置及方法 Download PDF

Info

Publication number
CN107437028A
CN107437028A CN201710643522.7A CN201710643522A CN107437028A CN 107437028 A CN107437028 A CN 107437028A CN 201710643522 A CN201710643522 A CN 201710643522A CN 107437028 A CN107437028 A CN 107437028A
Authority
CN
China
Prior art keywords
pcie
detection device
internal memory
measurement equipment
controllers
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201710643522.7A
Other languages
English (en)
Other versions
CN107437028B (zh
Inventor
朱启超
王亮
李栋
李波
张太祥
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhongfu Information Co Ltd
Zhongfu Safety Technology Co Ltd
Original Assignee
Shandong Zhongfu Safe Technology Ltd
SHANDONG ZHONGFU INFORMATION INDUSTRY Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shandong Zhongfu Safe Technology Ltd, SHANDONG ZHONGFU INFORMATION INDUSTRY Co Ltd filed Critical Shandong Zhongfu Safe Technology Ltd
Priority to CN201710643522.7A priority Critical patent/CN107437028B/zh
Publication of CN107437028A publication Critical patent/CN107437028A/zh
Application granted granted Critical
Publication of CN107437028B publication Critical patent/CN107437028B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities

Abstract

本发明公开一种基于内存读取的病毒检测装置及方法,包括:被检测设备,被检测设备内置内存、北桥芯片和PCIE控制器;北桥芯片内设置有PCIE总线;所述内存与北桥芯片连接;PCIE控制器通过PCIE总线与北桥芯片连接;还包括:检测设备;检测设备与被检测设备的PCIE控制器连接;检测设备经由或不经由通信模块发起读取被检测设备的内存的指令到PCIE控制器;PCIE控制器获得北桥芯片内PCIE总线的控制权;PCIE控制器通过北桥芯片的PCIE总线读取内存数据,并将其传输至检测设备;检测设备对接收的内存数据进行病毒木马分析处理。本发明从安全性和失效性上优于软件方式,最大程度的避开病毒木马的识别范围,让病毒无从下手,从而实现最彻底的完成病毒扫描。

Description

一种基于内存读取的病毒检测装置及方法
技术领域
本发明涉及病毒查杀领域,具体涉及一种基于内存读取的病毒检测方法。
背景技术
病毒和木马都是一种人为恶意的程序,其危害巨大。为了保护电脑信息,人们致力于研究杀毒软件和杀木马软件。其根本原理就是扫描保存在存储器中的病毒木马的特征码。然而病毒的技术以不可想象的速度发展,病毒自身加密、变种让特征码扫描方式变得毫无效果。另一个方面,病毒逐渐具有了“反侦察”能力,它会监视系统中是否存在监视它的进程并杀死进程。搞定监控它的杀毒软件,病毒就可以为所欲为了。
发明内容
为解决上述问题,本发明提供一种去监控化的基于内存读取的病毒检测装置及方法。
本发明的技术方案是:一种基于内存读取的病毒检测装置,包括:被检测设备,被检测设备内置内存、北桥芯片和PCIE控制器;北桥芯片内设置有PCIE总线;所述内存与北桥芯片连接;所述PCIE控制器通过PCIE总线与北桥芯片连接;还包括:检测设备;检测设备与被检测设备的PCIE控制器连接。
进一步地,检测设备为查杀CPU。
进一步地,检测设备为检测计算机。
进一步地,检测设备通过通信模块与被检测设备的PCIE控制器连接。
进一步地,被检测设备内还设置数据缓存器,数据缓存器与PCIE控制器连接。
进一步地,检测设备用FPGA实现。
进一步地,被检测设备为计算机或服务器。
本发明的技术方案还包括一种基于上述病毒检测装置的病毒检测方法,包括以下步骤:
设置检测设备的PCIE设备类型;
检测设备向PCIE控制器发起读取被检测设备的内存的指令;
PCIE控制器获得被检测设备的北桥芯片内PCIE总线的控制权;
PCIE控制器通过PCIE总线读取内存数据,并将其传输至检测设备;
检测设备对接收的内存数据进行病毒木马分析处理。
进一步地,所述检测设备为查杀CPU或检测计算机;
当检测设备为检测计算机时,检测设备通过通信模块与被检测设备的PCIE控制器连接;
且所述病毒检测方法中,检测设备向PCIE控制器发起读取被检测设备的内存的指令具体方式为:检测设备向通信模块发起读取被检测设备的内存的指令,该指令经由通信模块到达PCIE控制器;PCIE控制器通过PCIE总线读取内存数据,并将其传输至检测设备具体方式为:PCIE控制器通过PCIE总线读取内存数据,并将其通过通信模块传输至检测设备。
进一步地,被检测设备内还设置数据缓存器,数据缓存器与PCIE控制器连接;
病毒检测方法还包括步骤:PCIE控制器将读取的内存数据以镜像方式暂存在数据缓存器中。
本发明提供的基于内存读取的病毒检测装置及方法,与目前采用软件方式监控、分析、查杀木马的手段相比,本方法通过硬件手段主动发起对被检测计算机的内存读取动作,获得内存信息,进而监控、分析、查杀病毒和木马,从安全性和失效性上优于软件方式;另外,一旦病毒木马变种出免疫本方法的技术措施,根据本方法,硬件检查设备可变化硬件设备类,最大程度的避开病毒木马的识别范围,让病毒无从下手,从而实现最彻底的完成病毒扫描。
附图说明
图1是实施例一原理示意图。
图2是实施例二原理示意图。
图中,1-查杀CPU,2-PCIE控制器,3-数据缓存器,4-北桥芯片,5-CPU,6-内存,7-被检测设备,8-通信模块,9-检测计算机。
具体实施方式
下面结合附图并通过具体实施例对本发明进行详细阐述,以下实施例是对本发明的解释,而本发明并不局限于以下实施方式。
实施例一:
针对目前病毒查杀实际情况,查杀病毒需要做到两个方面:一是内存6扫描病毒,二是去监控化(即使病毒的反侦查能力失效)。因此本实施例提出一种基于内存6读取的病毒木马的检测方法,基于该方法实现的杀毒系统可以有效改善传统意义上的杀毒软件的弊端。
本实施例中,以被检测设备7为计算机或服务器为例对本发明的病毒检测方法进行说明。
如图1所示,被检测设备7的内存6是通过北桥芯片4与其CPU5连接的,而PCIE控制器2也是连接到北桥芯片4上。本方法即设置独立于被检测设备7的检测设备,通过检测设备使PCIE控制器2主动控制内存6的读取权,从而避开CPU5的干扰,直接拿到内存6中的数据,并对这些数据进行特征码分析等,判断被检测设备7感染结果,进行后续处理。在这个过程中,被检测设备7中没有任何监控病毒的过程,使病毒在不知不觉中已经被扫描检查,其反侦查能力失效,从而改善现有杀毒软件的弊端。
本实施例中,检测设备可采用查杀CPU1。
本实施例的病毒检测方法具体包括以下步骤:
查杀CPU1向PCIE控制器2发起读取被检测设备7的内存6的指令;
PCIE控制器2获得被检测设备7的北桥芯片4内PCIE总线的控制权;
PCIE控制器2通过PCIE总线读取内存6的数据,并将其传输至查杀CPU1;
查杀CPU1对接收的内存6的数据进行病毒木马分析处理。
被检测设备7内还设置数据缓存器3,数据缓存器3与PCIE控制器2连接。本病毒检测方法中PCIE控制器2还将读取的内存6数据以镜像方式暂存在数据缓存器3中。
被检测设备7可使用FPGA实现。
操作人员使用时,可先设置被检测设备7的PCIE类型,具体可通过设置被检测设备7的配置空间信息实现,可使用配置空间的Class Code字段为设备类型码,例如网卡的Class Code 为0x02。被检测设备7可读取被检测设备7的配置空间信息,获知被检测设备7的PCIE类型。被检测设备7可通过配置空间信息自身模拟为任何类型的PCIE类型。
实施例二
如图2所示,在实施例一的基础上,检测设备还可采用检测计算机9,检测计算机9通过通信模块8与PCIE控制器2连接。
病毒检测方法包括以下步骤:
检测计算机9向通信模块8发起读取被检测设备7的内存6的指令,该指令经由通信模块8到达PCIE控制器2;
PCIE控制器2获得被检测设备7的北桥芯片4内PCIE总线的控制权;
PCIE控制器2通过PCIE总线读取内存6的数据,并将其通过通信模块8传输至检测计算机9;
检测计算机9对接收的内存6的数据进行病毒木马分析处理。
以上公开的仅为本发明的优选实施方式,但本发明并非局限于此,任何本领域的技术人员能思之的没有创造性的变化,以及在不脱离本发明原理前提下所作的若干改进和润饰,都应落在本发明保护范围内。

Claims (10)

1.一种基于内存读取的病毒检测装置,其特征在于,包括:被检测设备,被检测设备内置内存、北桥芯片和PCIE控制器;北桥芯片内设置有PCIE总线;所述内存与北桥芯片连接;所述PCIE控制器通过PCIE总线与北桥芯片连接;还包括:检测设备;检测设备与被检测设备的PCIE控制器连接。
2.根据权利要求1所述的基于内存读取的病毒检测装置,其特征在于,检测设备为查杀CPU。
3.根据权利要求1所述的基于内存读取的病毒检测装置,其特征在于,检测设备为检测计算机。
4.根据权利要求3所述的基于内存读取的病毒检测装置,其特征在于,检测设备通过通信模块与被检测设备的PCIE控制器连接。
5.根据权利要求1-4任一项所述的基于内存读取的病毒检测装置,其特征在于,被检测设备内还设置数据缓存器,数据缓存器与PCIE控制器连接。
6.根据权利要求1-4任一项所述的基于内存读取的病毒检测装置,其特征在于,检测设备用FPGA实现。
7.根据权利要求1-4任一项所述的基于内存读取的病毒检测装置,其特征在于,被检测设备为计算机或服务器。
8.一种基于权利要求1所述病毒检测装置的病毒检测方法,其特征在于,包括以下步骤:
设置检测设备的PCIE设备类型;
检测设备向PCIE控制器发起读取被检测设备的内存的指令;
PCIE控制器获得被检测设备的北桥芯片内PCIE总线的控制权;
PCIE控制器通过PCIE总线读取内存数据,并将其传输至检测设备;
检测设备对接收的内存数据进行病毒木马分析处理。
9.根据权利要求8所述的病毒检测方法,其特征在于,所述检测设备为查杀CPU或检测计算机;
当检测设备为检测计算机时,检测设备通过通信模块与被检测设备的PCIE控制器连接;
且所述病毒检测方法中,检测设备向PCIE控制器发起读取被检测设备的内存的指令具体方式为:检测设备向通信模块发起读取被检测设备的内存的指令,该指令经由通信模块到达PCIE控制器;
PCIE控制器通过PCIE总线读取内存数据,并将其传输至检测设备具体方式为:PCIE控制器通过PCIE总线读取内存数据,并将其通过通信模块传输至检测设备。
10.根据权利要求8或9所述的病毒检测方法,其特征在于,被检测设备内还设置数据缓存器,数据缓存器与PCIE控制器连接;
病毒检测方法还包括步骤:PCIE控制器将读取的内存数据以镜像方式暂存在数据缓存器中。
CN201710643522.7A 2017-07-31 2017-07-31 一种基于内存读取的病毒检测装置及方法 Active CN107437028B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710643522.7A CN107437028B (zh) 2017-07-31 2017-07-31 一种基于内存读取的病毒检测装置及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710643522.7A CN107437028B (zh) 2017-07-31 2017-07-31 一种基于内存读取的病毒检测装置及方法

Publications (2)

Publication Number Publication Date
CN107437028A true CN107437028A (zh) 2017-12-05
CN107437028B CN107437028B (zh) 2020-03-31

Family

ID=60460312

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710643522.7A Active CN107437028B (zh) 2017-07-31 2017-07-31 一种基于内存读取的病毒检测装置及方法

Country Status (1)

Country Link
CN (1) CN107437028B (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN201397487Y (zh) * 2009-04-22 2010-02-03 西安优越新技术有限公司 一种嵌入式网络计算机终端设备
CN101770551A (zh) * 2008-12-30 2010-07-07 中国科学院软件研究所 一种基于硬件模拟器的处理隐藏进程的方法
CN102073815A (zh) * 2010-12-27 2011-05-25 奇瑞汽车股份有限公司 一种车载杀毒系统及其杀毒方法
CN201845340U (zh) * 2010-11-19 2011-05-25 紫光股份有限公司 一种具有用户安全子系统的安全计算机
CN102314563A (zh) * 2010-07-08 2012-01-11 同方股份有限公司 一种计算机硬件体系结构
CN202143094U (zh) * 2011-06-17 2012-02-08 深圳市祈飞科技有限公司 一种网络安全设备主板
CN106326160A (zh) * 2015-06-26 2017-01-11 华为技术有限公司 处理系统和处理方法

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101770551A (zh) * 2008-12-30 2010-07-07 中国科学院软件研究所 一种基于硬件模拟器的处理隐藏进程的方法
CN201397487Y (zh) * 2009-04-22 2010-02-03 西安优越新技术有限公司 一种嵌入式网络计算机终端设备
CN102314563A (zh) * 2010-07-08 2012-01-11 同方股份有限公司 一种计算机硬件体系结构
CN201845340U (zh) * 2010-11-19 2011-05-25 紫光股份有限公司 一种具有用户安全子系统的安全计算机
CN102073815A (zh) * 2010-12-27 2011-05-25 奇瑞汽车股份有限公司 一种车载杀毒系统及其杀毒方法
CN202143094U (zh) * 2011-06-17 2012-02-08 深圳市祈飞科技有限公司 一种网络安全设备主板
CN106326160A (zh) * 2015-06-26 2017-01-11 华为技术有限公司 处理系统和处理方法

Also Published As

Publication number Publication date
CN107437028B (zh) 2020-03-31

Similar Documents

Publication Publication Date Title
US20070288265A1 (en) Intelligent device and data network
CN109218288A (zh) 一种针对工业机器人控制系统的网络入侵检测系统
CN104570834B (zh) 一种激光器及其的错误检测与恢复装置、方法
US20140157366A1 (en) Network access control system and method
WO2004003748A1 (en) Method and system to implement a system event log for improved system anageability
US9633168B2 (en) Biometric identity validation for use with unattended tests for medical conditions
CN109167781A (zh) 一种基于动态关联分析的网络攻击链识别方法和装置
CN108628791A (zh) 基于pcie接口的高速安全芯片架构和高速的数据处理方法
CN102063354A (zh) 服务器的压力测试方法
CN102662777A (zh) 一种基于kvm虚拟机的客户机之间高速通信的方法
CN106797385A (zh) 资源需求的客户端协助履行
CN106843966A (zh) 一种加载io模块驱动程序的方法及装置
TW200537307A (en) An apparatus and method for maintaining data integrity following parity error detection
US20220311793A1 (en) Worm Detection Method and Network Device
CN105988905A (zh) 异常处理方法及装置
CN107437028A (zh) 一种基于内存读取的病毒检测装置及方法
CN110381009A (zh) 一种基于行为检测的反弹shell的检测方法
JP6407184B2 (ja) 攻撃対策判定システム、攻撃対策判定方法及び攻撃対策判定プログラム
CN107948287B (zh) 基于物联网的医疗服务真实性验证方法
CN102541674A (zh) 自主元素模型控制系统、方法及服务器受侵保护检测系统
CN101226571B (zh) 一种信息安全计算机
Rhee et al. Characterizing kernel malware behavior with kernel data access patterns
KR102403941B1 (ko) 봇 탐지를 우회하여 웹 사이트를 크롤링하는 방법
CN113839956A (zh) 数据安全评估方法、装置、设备及存储介质
US20190356655A1 (en) Techniques of using facial recognition to authenticate kvm users at service processor

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP01 Change in the name or title of a patent holder
CP01 Change in the name or title of a patent holder

Address after: 250101 15-16 / F, building 2, Aosheng building, 1166 Xinluo street, high tech Zone, Jinan City, Shandong Province

Patentee after: ZHONGFU INFORMATION Co.,Ltd.

Patentee after: Zhongfu Safety Technology Co.,Ltd.

Address before: 250101 15-16 / F, building 2, Aosheng building, 1166 Xinluo street, high tech Zone, Jinan City, Shandong Province

Patentee before: ZHONGFU INFORMATION Co.,Ltd.

Patentee before: SHANDONG ZHONGFU SAFETY TECHNOLOGY CO.,LTD.