CN109472135A - 一种检测进程注入的方法、装置及存储介质 - Google Patents
一种检测进程注入的方法、装置及存储介质 Download PDFInfo
- Publication number
- CN109472135A CN109472135A CN201711474097.XA CN201711474097A CN109472135A CN 109472135 A CN109472135 A CN 109472135A CN 201711474097 A CN201711474097 A CN 201711474097A CN 109472135 A CN109472135 A CN 109472135A
- Authority
- CN
- China
- Prior art keywords
- api
- calling
- call
- call relation
- target process
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明实施例提供了一种检测进程注入的方法、装置及存储介质,用以解决目前的检测进程注入的方法无法检测出可以逃避基于API调用的特征的进程注入方法问题。该方法包括:启动目标进程;捕获所述目标进程中的应用程序编程接口API;确定捕获的API中存在调用行为的API的调用关系,其中,存在调用行为的API是调用了除用于捕获所述目标进程中的API的函数以外的其他API的API;将存在调用行为的API的调用关系与调用规则进行匹配;其中,调用规则是执行所述目标进程的系统正常运行时的API的调用关系;当存在调用关系匹配不成功的API时,确定目标进程被注入。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种检测进程注入的方法、装置及存储介质。
背景技术
随着计算机应用的日益普及,包括病毒、木马在内的恶意程序的数量也迅速增长,其中的木马程序是一类可以通过在用户的计算机上运行,进而窃取用户文件、隐私、账户等信息,有的甚至还可以让黑客远程控制用户电脑的恶意程序。相比较传统的单纯以破坏计算机设备为目的的病毒,木马对计算机用户的侵害行为更具有获取利益的目的性,其窃取信息的行为常常会给用户造成巨大的损失 因此木马程序的危害也更大。恶意程序可以通过很多传播途径来侵害用户的电脑,例如便携的移动介质,如闪存盘,光盘等,而随着计算机网络技术的广泛应用,互联网逐渐成为恶意程序传播的主要途径之一,黑客或恶意程序传播者将木马等恶意程序文件伪装成其他类型文件,并引诱用户点击和下载,而恶意程序一旦被下载到用户计算机并成功运行,黑客或恶意程序传播者就可以利用这些恶意程序,进行破坏用户计算机,窃取用户个人信息等不法行为。
利用操作系统以及应用软件的漏洞实施攻击,是使恶意程序在用户计算机上成功植入和运行的最主要手段之一。漏洞是指操作系统软件或应用软件在逻辑设计上的缺陷或在编写时产生的错误。这些缺陷或错误往往可以被黑客利用来植入木马等恶意程序,侵害或控制甚至破坏用户计算机软硬件系统,或者窃取用户的重要资料和信息。
杀毒软件可以有效地对恶意程序进行预防和查杀,但是,恶意程序为了躲避杀毒软件的查杀,常常将恶意代码注入到白进程(记录在白名单中的进程, 不会被杀毒软件查杀)中,从而在白进程中对计算机进行攻击。
进程注入包括对内存中的某个进程进行操作,并且获得该进程地址空间里的数据,以及修改进程的私有数据结构,将自己的代码放在目标进程的地址空间里运行。通常情况下进程注入都会涉及到固定的应用程序编程接口(API,Application ProgrammingInterface)调用,基于此特征,当检测到对被监控程序内存写入数据后调用CreateRemoteThread函数和LoadLibrary函数,则判定为远程线程注入行为,或者检测到到APC队列中调用LoadLibrary函数,且在LoadLibrary函数执行之前发生过软中断,则判定有异步调用过程(APC,Asynchronous Procedure Call)注入行为。
目前检测进程注入的方法依赖于固定API调用的特征,并且进程注入也会用于非恶意软件中,比如某些升级程序则是使用这种方法实现对运行中的程序的热升级。另外目前的注入方法层出不穷,有些注入方法可以逃避基于API调用的特征,使注入动作更加隐秘,对于这些注入技术现有的检测方法已经显得力不从心。
综上所述,目前的检测进程注入的方法无法检测出可以逃避基于API调用的特征的进程注入方法。
发明内容
本发明实施例提供了一种检测进程注入的方法、装置及存储介质,用以解决目前的检测进程注入的方法无法检测出可以逃避基于API调用的特征的进程注入方法问题。
基于上述问题,本发明实施例提供的一种检测进程注入的方法,包括:
启动目标进程;
捕获所述目标进程中的应用程序编程接口API;
确定捕获的API中存在调用行为的API的调用关系,其中,存在调用行为的API是调用了除用于捕获所述目标进程中的API的函数以外的其他API的API;
将存在调用行为的API的调用关系与调用规则进行匹配;其中,调用规则是执行所述目标进程的系统正常运行时的API的调用关系;
当存在调用关系匹配不成功的API时,确定目标进程被注入。
进一步地,在捕获所述目标进程中的API时,记录各个API的执行日志;
确定捕获的API中存在调用行为的API的调用关系,包括:
根据第一API的执行日志,回溯所述第一API的调用栈;其中,第一API是存在调用行为的API中的一个;
所述第一API的调用栈中的所有API以及所述第一API之间的关系构成了所述第一API的调用关系。
可选地,将存在调用行为的API的调用关系与调用规则进行匹配,包括:
在第一API的调用栈中依次从栈底到栈顶对所述第一API调用过的所有API与调用规则进行匹配。
可选地,在将存在调用行为的API的调用关系与调用规则进行匹配之前,还包括:
根据存储的规则数据,将规则数据中的所有的API以API的名称进行排序,构成一个沿第一方向的链表;
针对规则数据中的一个API,根据规则数据中的该API的调用关系,按照该API调用其他API的顺序,对该API的调用关系进行排序,形成一个沿第二方向的链表;
动态存储的链表构成所述调用规则。
可选地,本发明实施例提供的检测进程注入的方法,还包括:
若存在调用行为的API的调用关系中的一个API在所述调用规则中不存在,则将不存在于所述调用规则中的API添加到所述调用规则和存储的规则数据中。
本发明实施例提供的一种检测进程注入的装置,包括:
一个或者多个处理器;
存储器;
一个或者多个程序存储在所述存储器中,当被所述一个或者多个处理器执行时实现:
启动目标进程;
捕获所述目标进程中的应用程序编程接口API;
确定捕获的API中存在调用行为的API的调用关系,其中,存在调用行为的API是调用了除用于捕获所述目标进程中的API的函数以外的其他API的API;
将存在调用行为的API的调用关系与调用规则进行匹配;其中,调用规则是执行所述目标进程的系统正常运行时的API的调用关系;
当存在调用关系匹配不成功的API时,确定目标进程被注入。
进一步地,所述一个或多个处理器还用于执行存储在存储器中的一个或多个程序以实现:
在捕获所述目标进程中的API时,记录各个API的执行日志;
确定捕获的API中存在调用行为的API的调用关系,包括:
根据第一API的执行日志,回溯所述第一API的调用栈;其中,第一API是存在调用行为的API中的一个;
所述第一API的调用栈中的所有API以及所述第一API之间的关系构成了所述第一API的调用关系。
可选地,所述一个或多个处理器还用于执行存储在存储器中的一个或多个程序以实现:
在第一API的调用栈中依次从栈底到栈顶对所述第一API调用过的所有API与调用规则进行匹配。
可选地,所述一个或多个处理器还用于执行存储在存储器中的一个或多个程序以实现:
在将存在调用行为的API的调用关系与调用规则进行匹配之前,根据存储的规则数据,将规则数据中的所有的API以API的名称进行排序,构成一个沿第一方向的链表;
针对规则数据中的一个API,根据规则数据中的该API的调用关系,按照该API调用其他API的顺序,对该API的调用关系进行排序,形成一个沿第二方向的链表;
动态存储的链表构成所述调用规则。
可选地,所述一个或多个处理器还用于执行存储在存储器中的一个或多个程序以实现:
若存在调用行为的API的调用关系中的一个API在所述调用规则中不存在,则将不存在于所述调用规则中的API添加到所述调用规则和存储的规则数据中。
本发明实施例提供的一种非易失性计算机可读存储介质,所述存储介质中存储有多条指令,所述指令适于由处理器加载并执行本发明实施例提供的检测进程注入的方法。
本发明实施例的有益效果包括:
本发明实施例提供的一种检测进程注入的方法、装置及存储介质,在启动目标进程后,捕获目标进程中的API,确定捕获的API中存在调用行为的API的调用关系,其中,存在调用行为的API是调用了除用于捕获所述目标进程中的API的函数以外的其他API的API;将存在调用行为的API的调用关系与调用规则进行匹配;当存在调用关系匹配不成功的API时,确定目标进程被注入;其中,调用规则是针对所述目标进程运行的系统总结的API调用的规则。这样,即使对于可以逃避基于API调用特征的注入方式,由于在进程被注入之后,其API的调用关系与总结出的运行目标进程的系统的API的调用规则存在差别,从而通过对比,可以确定出目标进程是否被注入。
附图说明
图1为本发明实施例提供的一种检测进程注入的方法的流程图;
图2为本发明实施例提供的另一种检测进程注入的方法的流程图;
图3为本发明实施例提供的一种初始化存储的规则数据的方法的流程图;
图4为采用图3所示的方法构成的一个链表的结构示意图;
图5为本发明实施例提供的获得规则数据的方法的流程图;
图6为本发明实施例提供的一种检测进程注入的装置的结构示意图。
具体实施方式
本发明实施例提供了一种检测进程注入的方法、装置和存储介质,从堆栈调用关系的上下文入手,找出进程正常执行时的规律,分析目标进程是否满足该规律以此来识别目标进程是否被注入,该方法从堆栈调用关系入手,由于该特征基本不能被绕过,因此,能够检测出各种注入方式。
下面结合说明书附图,对本发明实施例提供一种检测进程注入的方法、装置及存储介质的具体实施方式进行说明。
本发明实施例提供的一种检测进程注入的方法,如图1所示,具体包括以下步骤:
S101、启动目标进程;
S102、捕获所述目标进程中的API;在实际操作中,可以通过将用于捕获API调用的hook函数注入到目标进程中来实现目标进程中的API的捕获;
S103、确定捕获的API中存在调用行为的API的调用关系,其中,存在调用行为的API是调用了除用于捕获所述目标进程中的API的函数以外的其他API的API;
S104、将存在调用行为的API的调用关系与调用规则进行匹配;其中,调用规则是执行所述目标进程的系统正常运行时的API的调用关系;
S105、当存在调用关系匹配不成功的API时,确定目标进程被注入。
通过对运行目标进程的操作系统中多个(大量)正常进程运行过程的跟踪,得到进程正常运行时的API调用信息,分别对其进行分析,从大量的分析数据中能得出进程运行时API调用的通用规律,并且这个规律适用于运行目标进程的操作系统中任何一个进程。通过将目标进程运行时的API调用关系与在目标进程运行环境下分析得到的进程运行时API调用的通用规律进行比较,在目标进程运行时的API的调用关系符合在目标进程运行环境下分析得到的进程运行时API调用的通用规律时,确定目标进程没有被注入;在目标进程运行时的API的调用关系不符合在目标进程运行环境下分析得到的进程运行时API调用的通用规律时,确定目标进程被注入。
进一步地,本发明实施例提供的一种检测进程注入的方法,如图2所示,包括:
S201、启动目标进程,并将负责捕获API调用的hook代码注入到目标进程中;
其中,hook的原理为在API调用执行之前插入自定义的执行逻辑,以此来干预、修改和替换该API调用的功能。在本申请中,主要是利用hook函数中的log机制和控制逻辑,从而使得每个API调用在执行时都有详细的执行日志输出,并在API调用执行完毕后正常返回,以及保留该API函数的栈调用关系,这样并不会改变原有的API的逻辑。
S202、初始化存储的规则数据,生成调用规则;
其中,初始化存储的规则数据是将规则数据按照一定的方法翻译成程序能够识别的类型;存储的规则数据可以是数据库形式的,二进制文件或者无格式文件等;在规则数据是以数据库的形式进行存储的情况下,为了提高程序的执行效率,可以将数据库中的规则数据以链表的形式动态的进行存储构成调用规则,这样调用规则直接位于内存中,访问速率最快,并且具备动态扩展。
S203、捕获目标进程中的一个API,获取该API的调用栈;为了将捕获的API与该API调用的其他的API区别开来,以下将捕获的API称为原始的API;
当目标进程开始运行后,会触发其中注入的hook函数,当调用到hook函数后,一个原始的API的执行日志会被记录,通过执行日志回溯该原始的API的调用栈;其中,根据API的执行日志,可以采用以下方法回溯该API的调用栈:在一个函数(即一个API)调用过程中,如果该函数有n个参数,首先将n个参数压栈,然后将返回地址压栈,最后是将ebp压栈保存,其中,ebp中保存了该函数的调用栈;如果一个调用的函数只有一个参数,那么可以根据参数的地址推算出ebp的存放地址,进而得到ebp的值,例如,在32位系统中指针为4Byte的情况下,返回地址为参数地址-4,ebp在调用栈中的存放地址为参数地址-8,而一旦得到ebp就可以回溯出该函数的栈调用。而一个函数的参数的个数可以通过hook函数获取到,因此,采用这种方法可以得到一个函数的完整的栈调用信息。
在得到栈调用信息后,可以从栈底到栈顶依次读取函数(每个函数就是一个API,是一个API调用,是一个API函数),然后判断读取的函数是否为本申请中注入到所述目标进程中用于捕获API调用的hook函数,如果是,则忽略该函数,如果不是,则根据函数名在调用规则中进行查找,将查找到的节点与该函数所调用的函数进行递归比较,如果该函数所调用的函数与调用规则相符,则确定不存在注入,否则,存在注入。
S204、判断该原始的API的调用栈是否为空,若是,执行S203,否则,执行S205;
如果一个API的调用栈为空,则说明该API函数没有调用其他函数,则跳过该API继续处理捕获的下一个API;
S205、获取该原始的API的下一个调用函数;
S206、判断该调用函数是否为本申请中注入到所述目标进程中用于捕获API调用的hook函数,若是,执行S203,否则,执行S207;
如果一个API调用仅调用了本申请中注入到所述目标进程中用于捕获API调用的hook函数,那么跳过该API调用;
S207、是否能从调用规则中查找到该调用函数(也就是一个调用的API),若是,执行S208,否则,执行S210;
S208、该调用函数是否与所述调用规则中的该原始的API的调用关系相符,若是,执行S204,否则,执行S209;
S209、对该原始的API所属模块的详细信息进行记录,并保存输出,从而根据记录的信息判断注入点;然后执行S203;
S210、将该调用函数添加到所述调用规则和存储的规则数据中,从而完善调用规则和存储的规则数据;然后执行S203;
在目标进程结束时,检测进程注入结束。
其中,S204-S210反复被执行,直至一个原始的API所调用的函数全部经过处理;S203-S210反复被执行,直至目标进程执行完毕,也就是目标进程中的各个API全部被处理。
本发明实施例还提供一种初始化存储的规则数据的方法,如图3所示,包括:
S301、根据存储的规则数据,将规则数据中的所有的API以API的名称进行排序,构成一个沿第一方向的链表;
其中,第一方向可以为横向,也可以为纵向,以第一方向为横向为例,横向链表为双链表,且其中的API可以以API的名称的首字母进行排序,这样在查找时,可以根据API的名称的首字母定位API在链表中的大概位置,并决定从链表的哪一端进行查找,以节省查找时间。
S302、针对规则数据中的一个API,根据规则数据中的该API的调用关系,按照该API调用其他API的顺序,对该API的调用关系进行排序,形成一个沿第二方向的链表;
其中,第二方向可以为纵向,也可以为横向,以第二方向为纵向为例,每个API的调用关系构成一个纵向链表,在一个纵向链表中,被调用的API按照调用顺序进行排序。
S303、动态存储的链表构成调用规则。
图4为图3所示的方法构成的一个链表的模型。图4所示的链表意味着在存储的规则数据中有四个API函数,分别为A、B、C、D,按照首字母进行排序后构成一个双向的横向链表,其中API函数A的调用关系为A->_A1->_A2->_A3,也就是说,API函数A调用API函数_A1,API函数_A1调用API函数_A2,API函数_A2调用API函数_A3,其中,每个调用节点中包含该调用节点的私有数据;同样地,API函数B的调用关系为B->_B1->_B2,API函数C的调用关系为C->_C1,API函数D的调用关系为D->_D1->_D2->_D3。
本发明实施例提供的检测进程注入的方法中所涉及的调用规则可以采用图5所示的方法获得;
S501、获取系统正常运行时的API的调用栈的信息;
S502、将获取的API的调用栈的信息去除重复内容,去除明显错误的内容后,整理需要用到的信息;
S503、将整理的信息以适合读取的形式存储,形成规则数据。
其中,可以通过以下方式获取系统正常运行时的API的调用栈的信息:
1)、用debug工具获取运行中进程在不同时刻的内存dump文件,从中得到当前时刻的API调用栈信息。
在Windows下使用windows调试工具集(Debugging Tools for Windows)和Windbg,首先使用Debugging Tools for Windows得到正在运行中的进程号为pid的进程的内存dump,dump文件保存在C:/dump下,使用Windbg手动分析dump文件,可以直观的看到进程在某一时刻的栈信息及调用关系。
在Linux下可以使用gdb调试工具对一个正在执行的进程进行接管,利用gdb能方便的查看当前的栈调用关系,也可以输出到文件中。
2)参考windows API编程的标准文档和linux系统编程接口文档,针对各个API分别编写测试代码,利用操作系统提供的栈跟踪函数打印出当前被测试的API的函数栈调用。这种方法的好处是由于本身运行的程序(即测试代码)是自己实现的,因此在程序中可以方便的获得关于自身(测试代码)的信息,并且可以全面的覆盖所有已有的API,这种方法可以做成一个模板,只需要改变具体的函数即可,其余处理过程完全一样。
在Windows系统中,可以利用函数CaptureStackBackTrace来追踪调用函数的堆栈,但是这个函数不能得到具体调用函数的名称,只能得到地址,然后通过反汇编的方式通过地址得到函数的名称,这种方法需要对编译原理有较好的掌握。幸运的是,windows分配了一组API来满足这种需求,在编写程序时只需要调用API即可,这些API包括:SymInitialize、StackWalk、SymGetSymFromAddr、SymGetLineFromAddr、SymCleanup。具体实现流程如下:首先调用函数SymInitialize进行相关的初始化工作,填充结构体StackFrame的相关信息,指定被跟踪者的位置(即地址),以确定从何处开始追踪, 然后循环调用StackWalk函数,从指定位置,一直向下追踪直到最后。 每次将获取的地址分别传入SymGetSymFromAddr、SymGetLineFromAddr,得到函数的详细信息 ,将得到的API调用栈及其他信息进行输出,最后调用SymCleanup,结束追踪 。由于函数StackWalk会顺着线程堆栈进行查找,如果在调用之前,某个函数已经返回了,它的堆栈被回收,那么函数StackWalk自然不会追踪到该函数的调用,因此在堆栈被回收之前,在被跟踪的程序中应该在代码中最后被调用函数中打开OPEN_STACK_TRACK宏,以确保能得到所有的调用API。
在Linux系统中,Linux 系统提供了一个系统调用ptrace,该系统调用提供了一种方法来跟踪和控制进程的执行,它可以读取和修改进程地址空间中的内容,包括寄存器的值,主要要用于实现断点调试和跟踪系统调用。该系统调用的原型如下:long ptrace(enum__ptrace_request request, pid_t pid, void *addr,void *data)。在Linux系统中可以利用父进程作为跟踪者,子进程作为被跟踪者,子进程中实现对某个API调用逻辑的测试,父进程中调用ptrace实现对子进程的跟踪,输出其调用栈;或者,利用两个单独的进程,一个进程专门用于跟踪其他进程,其中该进程的输入为被跟踪进程的绝对路径,输出为被跟踪进程的栈调用关系,另一个进程为单独的API调用测试程序,完成对某个API调用的测试,实际上,在一个进程被跟踪之后,跟踪者进程会在某种意义上充当被跟踪进程的父进程(如使用ps命令就可以看到他们的父子关系),而子进程真正的父进程被保存在其task_struct结构的real_parent成员中,当执行跟踪终止时,也就是当以PTRACE_DETACH命令调用ptrace()时,这个系统调用把p_pptr设置为real_parent的值,恢复被跟踪进程原来的父进程。
其中,获取的API的调用栈信息中包含有函数名、参数列表,返回值,调用者,被调用者,所属模块名等等。
将获取的API的调用栈信息按照一定的格式进行归类整理,去除重复内容,去除明显错误内容后,只保留需要用到的信息,汇总为一个表格,表格中可以包括函数名、参数个数、调用者、所属模块,表格形式可以如表1。
| 函数名 | 参数个数 | 调用者 | 所属模块 |
| _LdrpInitialize | 3 | ntdll!LdrpInitialize | ntdll |
| ntdll!LdrpInitialize | 2 | LdrInitializeThunk | ntdll |
表1
将整理后的信息通过批量分析的程序或者人工手动转化适合程序读取的形式,比如数据库,二进制文件,无格式文件等,此时转换后的数据将作为最终的规则数据使用。如果考虑到可读性,则将该规则数据以文件的形式进程存储,如果考虑到执行效率和存储空间,则以数据库和二进制文件的存储形式比较合理。
当以数据库的形式存储时,数据库的类型不限,可以是sqlite,mysql,oracle等等。首先在数据库中创建一张表,命名为API_LIST_TABLE(如表2所示),其中包含所有的API,每个API(XXX)对应一个数据库中另一张表XXX_DETAIL(如表3所示),所对应的表中存储的API详细信息,包括名称,参数列表,参数个数,栈调用信息,模块名等。
| API_NAME | DETAIL_TABLE |
| API_A | API_A_DETAIL |
| API_B | API_B_DETAIL |
表2
| API_NAME | ARG_NU | ARG_LIST | MODULE | RETURN | TARCE_LIST |
| API_A | 2 | (int,char) | XXX_module | int | A().b().c().d() |
表3
按照表2和表3的形式,将整理的信息插入到数据库中,形成完整的规则数据。
在这些规则数据中,单个API有确定的调用者及唯一的所属模块和确定参数格式,这样就能唯一确定一个API。
当第三方程序需要使用上述规则数据时,可以将规则数据对外的操作封装成一些对应的操作接口,并提供接口说明。这些操作接口可以是查询某个API的接口,查询函数参数列表的接口,查询函数返回值类型的接口,查询API调用栈的接口等等,只要是围绕规则数据的合理的接口都可以。其中,查询某个API的接口的作用是查询某个API的函数原型,输入为API名称,输出为该API的名称,参数个数,参数列表,所属模块,返回值类型。查询函数参数列表的接口的作用是查询某个API的函数参数列表,其输入为API名称,输出为对应API的参数列表。查询函数返回值类型的接口的作用是查询某个API对应的返回值类型,其输入为API名称,输出为API返回值类型。查询API调用栈的接口的作用是查询某个API的调用栈,其输入为API名称,输出为该API的调用栈。
当本发明实施例提供的检测进程注入的方法应用于不同系统时,该方法完全相同,只是针对不同的系统分析整理出该系统的API堆栈调用的规律不同而已,因此,本发明实施例提供的检测进程注入的方法是一种针对不同系统的进程注入的统一的识别方法。
基于同一发明构思,本发明实施例还提供了一种检测进程注入的方法、装置及存储介质,由于该装置所解决问题的原理与前述检测进程注入的方法相似,因此该装置的实施可以参见前述方法的实施,重复之处不再赘述。
本发明实施例提供的一种检测进程注入的装置,如图6所示,包括:
一个或者多个处理器61;
存储器62;
一个或者多个程序存储在存储器62中,当被一个或者多个处理器61执行时实现:
启动目标进程;
捕获所述目标进程中的应用程序编程接口API;
确定捕获的API中存在调用行为的API的调用关系,其中,存在调用行为的API是调用了除用于捕获所述目标进程中的API的函数以外的其他API的API;
将存在调用行为的API的调用关系与调用规则进行匹配;其中,调用规则是执行所述目标进程的系统正常运行时的API的调用关系;
当存在调用关系匹配不成功的API时,确定目标进程被注入。
进一步地,一个或多个处理器61还用于执行存储在存储器62中的一个或多个程序以实现:
在捕获所述目标进程中的API时,记录各个API的执行日志;
确定捕获的API中存在调用行为的API的调用关系,包括:
根据第一API的执行日志,回溯所述第一API的调用栈;其中,第一API是存在调用行为的API中的一个;
所述第一API的调用栈中的所有API以及所述第一API之间的关系构成了所述第一API的调用关系。
进一步地,一个或多个处理器61还用于执行存储在存储器62中的一个或多个程序以实现:
在第一API的调用栈中依次从栈底到栈顶对所述第一API调用过的所有API与调用规则进行匹配。
可选地,一个或多个处理器61还用于执行存储在存储器62中的一个或多个程序以实现:
在将存在调用行为的API的调用关系与调用规则进行匹配之前,根据存储的规则数据,将规则数据中的所有的API以API的名称进行排序,构成一个沿第一方向的链表;
针对规则数据中的一个API,根据规则数据中的该API的调用关系,按照该API调用其他API的顺序,对该API的调用关系进行排序,形成一个沿第二方向的链表;
动态存储的链表构成所述调用规则。
可选地,一个或多个处理器61还用于执行存储在存储器62中的一个或多个程序以实现:
若存在调用行为的API的调用关系中的一个API在所述调用规则中不存在,则将不存在于所述调用规则中的API添加到所述调用规则和存储的规则数据中。
本发明实施例还提供了一种非易失性存储计算机存储介质,该存储介质上存储有计算机可执行指令,所述计算机可执行指令被执行时实现本发明实施例提供的检测进程注入的方法。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明实施例可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发明实施例的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (11)
1.一种检测进程注入的方法,其特征在于,包括:
启动目标进程;
捕获所述目标进程中的应用程序编程接口API;
确定捕获的API中存在调用行为的API的调用关系,其中,存在调用行为的API是调用了除用于捕获所述目标进程中的API的函数以外的其他API的API;
将存在调用行为的API的调用关系与调用规则进行匹配;其中,调用规则是执行所述目标进程的系统正常运行时的API的调用关系;
当存在调用关系匹配不成功的API时,确定目标进程被注入。
2.如权利要求1所述的方法,其特征在于,在捕获所述目标进程中的API时,记录各个API的执行日志;
确定捕获的API中存在调用行为的API的调用关系,包括:
根据第一API的执行日志,回溯所述第一API的调用栈;其中,第一API是存在调用行为的API中的一个;
所述第一API的调用栈中的所有API以及所述第一API之间的关系构成了所述第一API的调用关系。
3.如权利要求2所述的方法,其特征在于,将存在调用行为的API的调用关系与调用规则进行匹配,包括:
在第一API的调用栈中依次从栈底到栈顶对所述第一API调用过的所有API与调用规则进行匹配。
4.如权利要求1所述的方法,其特征在于,在将存在调用行为的API的调用关系与调用规则进行匹配之前,还包括:
根据存储的规则数据,将规则数据中的所有的API以API的名称进行排序,构成一个沿第一方向的链表;
针对规则数据中的一个API,根据规则数据中的该API的调用关系,按照该API调用其他API的顺序,对该API的调用关系进行排序,形成一个沿第二方向的链表;
动态存储的链表构成所述调用规则。
5.如权利要求4所述的方法,其特征在于,所述方法还包括:
若存在调用行为的API的调用关系中的一个API在所述调用规则中不存在,则将不存在于所述调用规则中的API添加到所述调用规则和存储的规则数据中。
6.一种检测进程注入的装置,其特征在于,包括:
一个或者多个处理器;
存储器;
一个或者多个程序存储在所述存储器中,当被所述一个或者多个处理器执行时实现:
启动目标进程;
捕获所述目标进程中的应用程序编程接口API;
确定捕获的API中存在调用行为的API的调用关系,其中,存在调用行为的API是调用了除用于捕获所述目标进程中的API的函数以外的其他API的API;
将存在调用行为的API的调用关系与调用规则进行匹配;其中,调用规则是执行所述目标进程的系统正常运行时的API的调用关系;
当存在调用关系匹配不成功的API时,确定目标进程被注入。
7.如权利要求6所述的装置,其特征在于,所述一个或多个处理器还用于执行存储在存储器中的一个或多个程序以实现:
在捕获所述目标进程中的API时,记录各个API的执行日志;
确定捕获的API中存在调用行为的API的调用关系,包括:
根据第一API的执行日志,回溯所述第一API的调用栈;其中,第一API是存在调用行为的API中的一个;
所述第一API的调用栈中的所有API以及所述第一API之间的关系构成了所述第一API的调用关系。
8.如权利要求7所述的装置,其特征在于,所述一个或多个处理器还用于执行存储在存储器中的一个或多个程序以实现:
在第一API的调用栈中依次从栈底到栈顶对所述第一API调用过的所有API与调用规则进行匹配。
9.如权利要求6所述的装置,其特征在于,所述一个或多个处理器还用于执行存储在存储器中的一个或多个程序以实现:
在将存在调用行为的API的调用关系与调用规则进行匹配之前,根据存储的规则数据,将规则数据中的所有的API以API的名称进行排序,构成一个沿第一方向的链表;
针对规则数据中的一个API,根据规则数据中的该API的调用关系,按照该API调用其他API的顺序,对该API的调用关系进行排序,形成一个沿第二方向的链表;
动态存储的链表构成所述调用规则。
10.如权利要求9所述的装置,其特征在于,所述一个或多个处理器还用于执行存储在存储器中的一个或多个程序以实现:
若存在调用行为的API的调用关系中的一个API在所述调用规则中不存在,则将不存在于所述调用规则中的API添加到所述调用规则和存储的规则数据中。
11.一种非易失性存储计算机存储介质,其特征在于,存储有计算机可执行指令,所述计算机可执行指令被执行时实现权利要求1-5任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711474097.XA CN109472135B (zh) | 2017-12-29 | 2017-12-29 | 一种检测进程注入的方法、装置及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711474097.XA CN109472135B (zh) | 2017-12-29 | 2017-12-29 | 一种检测进程注入的方法、装置及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109472135A true CN109472135A (zh) | 2019-03-15 |
| CN109472135B CN109472135B (zh) | 2022-02-22 |
Family
ID=65657963
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711474097.XA Active CN109472135B (zh) | 2017-12-29 | 2017-12-29 | 一种检测进程注入的方法、装置及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109472135B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111506437A (zh) * | 2020-03-31 | 2020-08-07 | 北京安码科技有限公司 | 基于windows原始调用接口的靶场应用程序调用方法、系统、电子设备及存储介质 |
| CN111756697A (zh) * | 2020-05-27 | 2020-10-09 | 杭州数梦工场科技有限公司 | Api安全检测方法、装置、存储介质及计算机设备 |
| CN111931166A (zh) * | 2020-09-24 | 2020-11-13 | 中国人民解放军国防科技大学 | 基于代码注入和行为分析的应用程序防攻击方法和系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020099954A1 (en) * | 2001-01-09 | 2002-07-25 | Gabriel Kedma | Sensor for detecting and eliminating inter-process memory breaches in multitasking operating systems |
| US20120066681A1 (en) * | 2010-09-12 | 2012-03-15 | Levy Tomer | System and method for management of a virtual machine environment |
| CN104252594A (zh) * | 2013-06-27 | 2014-12-31 | 贝壳网际(北京)安全技术有限公司 | 病毒检测方法和装置 |
| US20150082441A1 (en) * | 2013-09-17 | 2015-03-19 | Qualcomm Incorporated | Exploiting Hot Application Programming Interfaces (APIs) and Action Patterns for Efficient Storage of API logs on Mobile Devices for Behavioral Analysis |
| CN104484179A (zh) * | 2014-12-23 | 2015-04-01 | 上海斐讯数据通信技术有限公司 | 一种栈回溯方法 |
| CN105550581A (zh) * | 2015-12-10 | 2016-05-04 | 北京奇虎科技有限公司 | 一种恶意代码检测方法及装置 |
| CN106709325A (zh) * | 2016-11-11 | 2017-05-24 | 腾讯科技(深圳)有限公司 | 一种监控程序的方法及装置 |
-
2017
- 2017-12-29 CN CN201711474097.XA patent/CN109472135B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020099954A1 (en) * | 2001-01-09 | 2002-07-25 | Gabriel Kedma | Sensor for detecting and eliminating inter-process memory breaches in multitasking operating systems |
| US20120066681A1 (en) * | 2010-09-12 | 2012-03-15 | Levy Tomer | System and method for management of a virtual machine environment |
| CN104252594A (zh) * | 2013-06-27 | 2014-12-31 | 贝壳网际(北京)安全技术有限公司 | 病毒检测方法和装置 |
| US20150082441A1 (en) * | 2013-09-17 | 2015-03-19 | Qualcomm Incorporated | Exploiting Hot Application Programming Interfaces (APIs) and Action Patterns for Efficient Storage of API logs on Mobile Devices for Behavioral Analysis |
| CN104484179A (zh) * | 2014-12-23 | 2015-04-01 | 上海斐讯数据通信技术有限公司 | 一种栈回溯方法 |
| CN105550581A (zh) * | 2015-12-10 | 2016-05-04 | 北京奇虎科技有限公司 | 一种恶意代码检测方法及装置 |
| CN106709325A (zh) * | 2016-11-11 | 2017-05-24 | 腾讯科技(深圳)有限公司 | 一种监控程序的方法及装置 |
Non-Patent Citations (9)
| Title |
|---|
| F_JY: "API Hook的实现", 《HTTPS://BLOGS.CSDN.NET/F_JY/ARTICLE/DETAILS/1670411》 * |
| IVO IVANOV: "API hooking revealed", 《HTTPS://WWW.CODEPROJECT.COM/ARTICLE/2083/API-HOOKING-REVEALED》 * |
| JAMES WYKE: "What is Zeus?", 《A SOPHOSLABS TECHNICAL PAPER-MAY 2011》 * |
| WENHAO FAN: "DroidInjector: A process injection-based dynamic tracking system for runtime behaviors of Android applications", 《COMPUTERS&SECURITY70(2017)》 * |
| 姚新磊: "基于API依赖关系的代码相似度分析", 《计算机工程》 * |
| 徐思明: "Windows进程信息注入与API挂钩技术研究", 《信息安全与通信保密》 * |
| 李佳静: "一种多项式时间的路径敏感的污点分析方法", 《计算机学报》 * |
| 李自清: "基于函数调用图的Android恶意代码检测方法研究", 《计算机测量与控制》 * |
| 谭良: "可信终端动态运行环境的可信证据收集代理", 《软件学报》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111506437A (zh) * | 2020-03-31 | 2020-08-07 | 北京安码科技有限公司 | 基于windows原始调用接口的靶场应用程序调用方法、系统、电子设备及存储介质 |
| CN111756697A (zh) * | 2020-05-27 | 2020-10-09 | 杭州数梦工场科技有限公司 | Api安全检测方法、装置、存储介质及计算机设备 |
| CN111931166A (zh) * | 2020-09-24 | 2020-11-13 | 中国人民解放军国防科技大学 | 基于代码注入和行为分析的应用程序防攻击方法和系统 |
| CN111931166B (zh) * | 2020-09-24 | 2021-06-22 | 中国人民解放军国防科技大学 | 基于代码注入和行为分析的应用程序防攻击方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109472135B (zh) | 2022-02-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9715593B2 (en) | Software vulnerabilities detection system and methods | |
| US11003764B2 (en) | System and method for exploiting attack detection by validating application stack at runtime | |
| Shu et al. | Threat intelligence computing | |
| US8819637B2 (en) | Fixing security vulnerability in a source code | |
| Lin et al. | Automated forensic analysis of mobile applications on Android devices | |
| US20120072988A1 (en) | Detection of global metamorphic malware variants using control and data flow analysis | |
| US10613964B2 (en) | Conditional debugging of server-side production code | |
| US10387627B2 (en) | Systems and methods for analyzing software | |
| CN103559446A (zh) | 一种基于安卓系统的设备的动态病毒检测方法和装置 | |
| US20170017789A1 (en) | High Performance Software Vulnerabilities Detection System and Methods | |
| CN110363004B (zh) | 一种代码漏洞检测方法、装置、介质及设备 | |
| CN109471697A (zh) | 一种监控虚拟机中系统调用的方法、装置及存储介质 | |
| Zhang et al. | Ripple: Reflection analysis for android apps in incomplete information environments | |
| CN109472135A (zh) | 一种检测进程注入的方法、装置及存储介质 | |
| CN110225029A (zh) | 注入攻击检测方法、装置、服务器及存储介质 | |
| Zhang et al. | BDA: practical dependence analysis for binary executables by unbiased whole-program path sampling and per-path abstract interpretation | |
| Wang et al. | A combinatorial approach to detecting buffer overflow vulnerabilities | |
| CN101388055B (zh) | 一种用于漏洞模型检测的程序操作特征提取方法 | |
| WO2022100063A1 (zh) | 智能合约的日志生成及保存方法、装置、设备和存储介质 | |
| Eskandari et al. | To incorporate sequential dynamic features in malware detection engines | |
| CN109271789A (zh) | 恶意进程检测方法、装置、电子设备及存储介质 | |
| US8769498B2 (en) | Warning of register and storage area assignment errors | |
| Titze et al. | Apparecium: Revealing data flows in android applications | |
| CN114328168A (zh) | 异常检测方法、装置、计算机设备和存储介质 | |
| CN107885489A (zh) | 一种快速检测实名登记数据指标的方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |