CN107437028B - 一种基于内存读取的病毒检测装置及方法 - Google Patents

一种基于内存读取的病毒检测装置及方法 Download PDF

Info

Publication number
CN107437028B
CN107437028B CN201710643522.7A CN201710643522A CN107437028B CN 107437028 B CN107437028 B CN 107437028B CN 201710643522 A CN201710643522 A CN 201710643522A CN 107437028 B CN107437028 B CN 107437028B
Authority
CN
China
Prior art keywords
pcie
detection
memory
virus
equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710643522.7A
Other languages
English (en)
Other versions
CN107437028A (zh
Inventor
朱启超
王亮
李栋
李波
张太祥
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhongfu Information Co Ltd
Zhongfu Safety Technology Co Ltd
Original Assignee
Shandong Zhongfu Safe Technology Ltd
Zhongfu Information Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shandong Zhongfu Safe Technology Ltd, Zhongfu Information Co Ltd filed Critical Shandong Zhongfu Safe Technology Ltd
Priority to CN201710643522.7A priority Critical patent/CN107437028B/zh
Publication of CN107437028A publication Critical patent/CN107437028A/zh
Application granted granted Critical
Publication of CN107437028B publication Critical patent/CN107437028B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)
  • Measuring Or Testing Involving Enzymes Or Micro-Organisms (AREA)

Abstract

本发明公开一种基于内存读取的病毒检测装置及方法,包括包括:被检测设备,被检测设备内置内存、北桥芯片和PCIE控制器;北桥芯片内设置有PCIE总线;所述内存与北桥芯片连接;PCIE控制器通过PCIE总线与北桥芯片连接;还包括:检测设备;检测设备与被检测设备的PCIE控制器连接;检测设备经由或不经由通信模块发起读取被检测设备的内存的指令到PCIE控制器;PCIE控制器获得北桥芯片内PCIE总线的控制权;PCIE控制器通过北桥芯片的PCIE总线读取内存数据,并将其传输至检测设备;检测设备对接收的内存数据进行病毒木马分析处理。本发明从安全性和失效性上优于软件方式,最大程度的避开病毒木马的识别范围,让病毒无从下手,从而实现最彻底的完成病毒扫描。

Description

一种基于内存读取的病毒检测装置及方法
技术领域
本发明涉及病毒查杀领域,具体涉及一种基于内存读取的病毒检测方法。
背景技术
病毒和木马都是一种人为恶意的程序,其危害巨大。为了保护电脑信息,人们致力于研究杀毒软件和杀木马软件。其根本原理就是扫描保存在存储器中的病毒木马的特征码。然而病毒的技术以不可想象的速度发展,病毒自身加密、变种让特征码扫描方式变得毫无效果。另一个方面,病毒逐渐具有了“反侦察”能力,它会监视系统中是否存在监视它的进程并杀死进程。搞定监控它的杀毒软件,病毒就可以为所欲为了。
发明内容
为解决上述问题,本发明提供一种去监控化的基于内存读取的病毒检测装置及方法。
本发明的技术方案是:一种基于内存读取的病毒检测装置,包括:被检测设备,被检测设备内置内存、北桥芯片和PCIE控制器;北桥芯片内设置有PCIE总线;所述内存与北桥芯片连接;所述PCIE控制器通过PCIE总线与北桥芯片连接;还包括:检测设备;检测设备与被检测设备的PCIE控制器连接。
进一步地,检测设备为查杀CPU。
进一步地,检测设备为检测计算机。
进一步地,检测设备通过通信模块与被检测设备的PCIE控制器连接。
进一步地,被检测设备内还设置数据缓存器,数据缓存器与PCIE控制器连接。
进一步地,检测设备用FPGA实现。
进一步地,被检测设备为计算机或服务器。
本发明的技术方案还包括一种基于上述病毒检测装置的病毒检测方法,包括以下步骤:
设置检测设备的PCIE设备类型;
检测设备向PCIE控制器发起读取被检测设备的内存的指令;
PCIE控制器获得被检测设备的北桥芯片内PCIE总线的控制权;
PCIE控制器通过PCIE总线读取内存数据,并将其传输至检测设备;
检测设备对接收的内存数据进行病毒木马分析处理。
进一步地,所述检测设备为查杀CPU或检测计算机;
当检测设备为检测计算机时,检测设备通过通信模块与被检测设备的PCIE控制器连接;
且所述病毒检测方法中,检测设备向PCIE控制器发起读取被检测设备的内存的指令具体方式为:检测设备向通信模块发起读取被检测设备的内存的指令,该指令经由通信模块到达PCIE控制器;PCIE控制器通过PCIE总线读取内存数据,并将其传输至检测设备具体方式为:PCIE控制器通过PCIE总线读取内存数据,并将其通过通信模块传输至检测设备。
进一步地,被检测设备内还设置数据缓存器,数据缓存器与PCIE控制器连接;
病毒检测方法还包括步骤:PCIE控制器将读取的内存数据以镜像方式暂存在数据缓存器中。
本发明提供的基于内存读取的病毒检测装置及方法,与目前采用软件方式监控、分析、查杀木马的手段相比,本方法通过硬件手段主动发起对被检测计算机的内存读取动作,获得内存信息,进而监控、分析、查杀病毒和木马,从安全性和失效性上优于软件方式;另外,一旦病毒木马变种出免疫本方法的技术措施,根据本方法,硬件检查设备可变化硬件设备类,最大程度的避开病毒木马的识别范围,让病毒无从下手,从而实现最彻底的完成病毒扫描。
附图说明
图1是实施例一原理示意图。
图2是实施例二原理示意图。
图中,1-查杀CPU,2-PCIE控制器,3-数据缓存器,4-北桥芯片,5-CPU,6-内存,7-被检测设备,8-通信模块,9-检测计算机。
具体实施方式
下面结合附图并通过具体实施例对本发明进行详细阐述,以下实施例是对本发明的解释,而本发明并不局限于以下实施方式。
实施例一:
针对目前病毒查杀实际情况,查杀病毒需要做到两个方面:一是内存6扫描病毒,二是去监控化(即使病毒的反侦查能力失效)。因此本实施例提出一种基于内存6读取的病毒木马的检测方法,基于该方法实现的杀毒系统可以有效改善传统意义上的杀毒软件的弊端。
本实施例中,以被检测设备7为计算机或服务器为例对本发明的病毒检测方法进行说明。
如图1所示,被检测设备7的内存6是通过北桥芯片4与其CPU5连接的,而PCIE控制器2也是连接到北桥芯片4上。本方法即设置独立于被检测设备7的检测设备,通过检测设备使PCIE控制器2主动控制内存6的读取权,从而避开CPU5的干扰,直接拿到内存6中的数据,并对这些数据进行特征码分析等,判断被检测设备7感染结果,进行后续处理。在这个过程中,被检测设备7中没有任何监控病毒的过程,使病毒在不知不觉中已经被扫描检查,其反侦查能力失效,从而改善现有杀毒软件的弊端。
本实施例中,检测设备可采用查杀CPU1。
本实施例的病毒检测方法具体包括以下步骤:
查杀CPU1向PCIE控制器2发起读取被检测设备7的内存6的指令;
PCIE控制器2获得被检测设备7的北桥芯片4内PCIE总线的控制权;
PCIE控制器2通过PCIE总线读取内存6的数据,并将其传输至查杀CPU1;
查杀CPU1对接收的内存6的数据进行病毒木马分析处理。
被检测设备7内还设置数据缓存器3,数据缓存器3与PCIE控制器2连接。本病毒检测方法中PCIE控制器2还将读取的内存6数据以镜像方式暂存在数据缓存器3中。
被检测设备7可使用FPGA实现。
操作人员使用时,可先设置被检测设备7的PCIE类型,具体可通过设置被检测设备7的配置空间信息实现,可使用配置空间的Class Code字段为设备类型码,例如网卡的Class Code 为0x02。被检测设备7可读取被检测设备7的配置空间信息,获知被检测设备7的PCIE类型。被检测设备7可通过配置空间信息自身模拟为任何类型的PCIE类型。
实施例二
如图2所示,在实施例一的基础上,检测设备还可采用检测计算机9,检测计算机9通过通信模块8与PCIE控制器2连接。
病毒检测方法包括以下步骤:
检测计算机9向通信模块8发起读取被检测设备7的内存6的指令,该指令经由通信模块8到达PCIE控制器2;
PCIE控制器2获得被检测设备7的北桥芯片4内PCIE总线的控制权;
PCIE控制器2通过PCIE总线读取内存6的数据,并将其通过通信模块8传输至检测计算机9;
检测计算机9对接收的内存6的数据进行病毒木马分析处理。
以上公开的仅为本发明的优选实施方式,但本发明并非局限于此,任何本领域的技术人员能思之的没有创造性的变化,以及在不脱离本发明原理前提下所作的若干改进和润饰,都应落在本发明保护范围内。

Claims (5)

1.一种基于病毒检测装置的病毒检测方法,其特征在于,所述病毒检测装置包括:被检测设备,被检测设备内置内存、北桥芯片和PCIE控制器;北桥芯片内设置有PCIE总线;所述内存与北桥芯片连接;所述PCIE控制器通过PCIE总线与北桥芯片连接;还包括:检测设备;检测设备与被检测设备的PCIE控制器连接;
所述病毒检测方法包括以下步骤:
设置检测设备的PCIE设备类型;
检测设备向PCIE控制器发起读取被检测设备的内存的指令;
PCIE控制器获得被检测设备的北桥芯片内PCIE总线的控制权;
PCIE控制器通过PCIE总线读取内存数据,并将其传输至检测设备;
检测设备对接收的内存数据进行病毒木马分析处理。
2.根据权利要求1所述的病毒检测方法,其特征在于,所述检测设备为查杀CPU或检测计算机;
当检测设备为检测计算机时,检测设备通过通信模块与被检测设备的PCIE控制器连接;
且所述病毒检测方法中,检测设备向PCIE控制器发起读取被检测设备的内存的指令具体方式为:检测设备向通信模块发起读取被检测设备的内存的指令,该指令经由通信模块到达PCIE控制器;
PCIE控制器通过PCIE总线读取内存数据,并将其传输至检测设备具体方式为:PCIE控制器通过PCIE总线读取内存数据,并将其通过通信模块传输至检测设备。
3.根据权利要求1或2所述的病毒检测方法,其特征在于,被检测设备内还设置数据缓存器,数据缓存器与PCIE控制器连接;
病毒检测方法还包括步骤:PCIE控制器将读取的内存数据以镜像方式暂存在数据缓存器中。
4.根据权利要求1或2所述的病毒检测方法,其特征在于,检测设备用FPGA实现。
5.根据权利要求1或2所述的病毒检测方法,其特征在于,被检测设备为计算机或服务器。
CN201710643522.7A 2017-07-31 2017-07-31 一种基于内存读取的病毒检测装置及方法 Active CN107437028B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710643522.7A CN107437028B (zh) 2017-07-31 2017-07-31 一种基于内存读取的病毒检测装置及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710643522.7A CN107437028B (zh) 2017-07-31 2017-07-31 一种基于内存读取的病毒检测装置及方法

Publications (2)

Publication Number Publication Date
CN107437028A CN107437028A (zh) 2017-12-05
CN107437028B true CN107437028B (zh) 2020-03-31

Family

ID=60460312

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710643522.7A Active CN107437028B (zh) 2017-07-31 2017-07-31 一种基于内存读取的病毒检测装置及方法

Country Status (1)

Country Link
CN (1) CN107437028B (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN201397487Y (zh) * 2009-04-22 2010-02-03 西安优越新技术有限公司 一种嵌入式网络计算机终端设备
CN101770551A (zh) * 2008-12-30 2010-07-07 中国科学院软件研究所 一种基于硬件模拟器的处理隐藏进程的方法
CN102073815A (zh) * 2010-12-27 2011-05-25 奇瑞汽车股份有限公司 一种车载杀毒系统及其杀毒方法
CN201845340U (zh) * 2010-11-19 2011-05-25 紫光股份有限公司 一种具有用户安全子系统的安全计算机
CN102314563A (zh) * 2010-07-08 2012-01-11 同方股份有限公司 一种计算机硬件体系结构
CN202143094U (zh) * 2011-06-17 2012-02-08 深圳市祈飞科技有限公司 一种网络安全设备主板
CN106326160A (zh) * 2015-06-26 2017-01-11 华为技术有限公司 处理系统和处理方法

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101770551A (zh) * 2008-12-30 2010-07-07 中国科学院软件研究所 一种基于硬件模拟器的处理隐藏进程的方法
CN201397487Y (zh) * 2009-04-22 2010-02-03 西安优越新技术有限公司 一种嵌入式网络计算机终端设备
CN102314563A (zh) * 2010-07-08 2012-01-11 同方股份有限公司 一种计算机硬件体系结构
CN201845340U (zh) * 2010-11-19 2011-05-25 紫光股份有限公司 一种具有用户安全子系统的安全计算机
CN102073815A (zh) * 2010-12-27 2011-05-25 奇瑞汽车股份有限公司 一种车载杀毒系统及其杀毒方法
CN202143094U (zh) * 2011-06-17 2012-02-08 深圳市祈飞科技有限公司 一种网络安全设备主板
CN106326160A (zh) * 2015-06-26 2017-01-11 华为技术有限公司 处理系统和处理方法

Also Published As

Publication number Publication date
CN107437028A (zh) 2017-12-05

Similar Documents

Publication Publication Date Title
KR101434102B1 (ko) 인증된 안티바이러스 에이전트에게 메모리를 스캔하는 직접 액세스를 제공하는 것
US9363286B2 (en) System and methods for detection of fraudulent online transactions
KR101581606B1 (ko) 원격 서버에 대한 안전한 사용자 증명 및 인증
US8769683B1 (en) Apparatus and methods for remote classification of unknown malware
JP5586216B2 (ja) コンテキストアウェアによるリアルタイムコンピュータ保護システムおよび方法
EP3136276B1 (en) System and method for detecting harmful files executable on a virtual stack machine
US8176556B1 (en) Methods and systems for tracing web-based attacks
CN106415584A (zh) 移动设备恶意软件的预安装检测系统和方法
US10412101B2 (en) Detection device, detection method, and detection program
EP2754079B1 (en) Malware risk scanner
KR102042045B1 (ko) 악성코드 진단장치, 진단방법 및 진단시스템
US10601867B2 (en) Attack content analysis program, attack content analysis method, and attack content analysis apparatus
EP2922265B1 (en) System and methods for detection of fraudulent online transactions
JP3861064B2 (ja) 認証システム、プログラム、記録媒体および認証方法
CN107437028B (zh) 一种基于内存读取的病毒检测装置及方法
EP3234850B1 (en) Methods, systems, and devices for detecting and isolating device posing security threat
JP6258189B2 (ja) 特定装置、特定方法および特定プログラム
KR101968633B1 (ko) 실시간 최신 악성코드 및 침해 진단 서비스 제공 방법
CN107844702B (zh) 基于云防护环境下网站木马后门检测方法及装置
US20180020012A1 (en) Malware analysis system, malware analysis method, and malware analysis program
WO2021080602A1 (en) Malware identification
KR101436496B1 (ko) 악성 코드 원격 진단 시스템
CN105653948B (zh) 一种阻止恶意操作的方法及装置
US20220261476A1 (en) Security management device, security management method and non-transitory computer-readable medium
JP4328637B2 (ja) コンピュータウィルス検疫方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP01 Change in the name or title of a patent holder
CP01 Change in the name or title of a patent holder

Address after: 250101 15-16 / F, building 2, Aosheng building, 1166 Xinluo street, high tech Zone, Jinan City, Shandong Province

Patentee after: ZHONGFU INFORMATION Co.,Ltd.

Patentee after: Zhongfu Safety Technology Co.,Ltd.

Address before: 250101 15-16 / F, building 2, Aosheng building, 1166 Xinluo street, high tech Zone, Jinan City, Shandong Province

Patentee before: ZHONGFU INFORMATION Co.,Ltd.

Patentee before: SHANDONG ZHONGFU SAFETY TECHNOLOGY CO.,LTD.