CN110765456A - 一种检测隐藏进程的方法、装置及存储设备 - Google Patents
一种检测隐藏进程的方法、装置及存储设备 Download PDFInfo
- Publication number
- CN110765456A CN110765456A CN201811316314.7A CN201811316314A CN110765456A CN 110765456 A CN110765456 A CN 110765456A CN 201811316314 A CN201811316314 A CN 201811316314A CN 110765456 A CN110765456 A CN 110765456A
- Authority
- CN
- China
- Prior art keywords
- hidden
- function
- file path
- handles
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明实施例公开一种检测隐藏进程的方法、装置及存储设备,用以解决在采用Rookit技术隐藏进程之后利用目前Windows提供的系统工具无法查看出是否存在隐藏进程的问题。该方法包括:调用当前系统的ntdll.dll中的函数获取所述系统的所有存活进程的进程句柄;利用所述系统中常规使用的系统API遍历所述系统的所有存活进程,以获取进程句柄;比较两次获取的进程句柄的数量;在两次获取的进程句柄的数量不等时,确定所述系统中存在隐藏进程。
Description
技术领域
本发明实施例涉及计算机反病毒领域,尤其涉及一种检测隐藏进程的方法、装置及存储设备。
背景技术
利用Rootkit技术,可以将恶意进程从整个系统的进程链中摘除,从而隐藏该恶意进程。
通常系统正常的API调用都是由kernel32.dll、user32.dll、GDI32.dll、ADVAPI32.dll等系统dll导出的函数,目前常规使用CreateToolhelp32Snapshot这个系统API以遍历系统中所有存活的进程,而这个API就是在kernel32.dll中实现的;但是当使用Rootkit技术隐藏进程后,该API会失效。
因此,采用Rootkit技术隐藏进程之后,用户无法通过Windows提供的任务管理器等相关系统工具查看到隐藏的进程,这样势必会给用户造成很大的破坏,而且用户也很难手动去结束恶意程序的运行。如果隐藏进程有自删除的功能,会将自己的实体从磁盘上完全删除,这样给安全分析人员也带来了一定的困难,安全分析人员无法真正拿到磁盘上的实体。而普通用户更难发现磁盘上多出的文件,如果用常规的方式进行病毒扫描,即使有这个恶意程序的MD5,在扫描磁盘的时候也不会发现任何威胁。
综上所述,在采用Rookit技术隐藏进程之后,目前的用于遍历所有存活就进程的API失效,从而导致使用目前Windows提供的系统工具无法查看出是否存在隐藏进程。
发明内容
基于上述存在的问题,本发明实施例提供一种检测隐藏进程的方法、装置及存储设备,用以解决在采用Rookit技术隐藏进程之后利用目前Windows提供的系统工具无法查看存出是否存在隐藏进程的问题。
本发明实施例公开一种检测隐藏进程的方法,包括:
调用当前系统的ntdll.dll中的函数获取所述系统的所有存活进程的进程句柄;
利用所述系统中常规使用的系统API遍历所述系统的所有存活进程,以获取进程句柄;
比较两次获取的进程句柄的数量;
在两次获取的进程句柄的数量不等时,确定所述系统中存在隐藏进程。
进一步地,在确定所述系统中存在隐藏进程后,还包括:将隐藏进程的进程句柄转换成对应的文件路径;在所述文件路径下不存在文件时,确定所述隐藏进程为无实体进程。
进一步地,调用当前系统的ntdll.dll中的函数获取所述系统的所有存活进程的进程句柄,具体包括:调用ntdll.dll中的函数NtQuerySystemInformation;向NtQuerySystemInformation函数传入SystemHandleInformation变量,获取返回的SYSTEM_HANDLE_INFORMATION结构的数组;从所述数组中提取所述系统的所有存活进程的句柄,获取所述系统所有存活进程的进程句柄。
进一步地,将隐藏进程的进程句柄转换成对应的文件路径,具体为:调用ntdll.dl中的导出函数NtQueryObject,向所述导出函数的OBJECT_INFORMATION_CLASS变量传入ObjectNameInformation的值,获得对应的文件路径。
进一步地,根据以下步骤判断所述文件路径下是否存在文件,具体为:向系统函数PathFileExist传入所述文件路径,若系统函数PathFileExist返回TRUE,则所述文件路径下存在文件,若系统函数PathFileExist返回FALSE,所述文件路径下不存在文件。
进一步地,在确定所述隐藏进程为无实体进程后,所述方法还包括:在所述隐藏进程对应的文件路径下创建系统无法更改的文件。
本发明实施例公开一种检测隐藏进程的装置,包括存储器和处理器,所述存储器用于存储多条指令,所述处理器用于加载所述存储器中存储的指令以执行:调用当前系统的ntdll.dll中的函数获取所述系统的所有存活进程的进程句柄;利用所述系统中常规使用的系统API遍历所述系统的所有存活进程,以获取进程句柄;比较两次获取的进程句柄的数量;在两次获取的进程句柄的数量不等时,确定所述系统中存在隐藏进程。
进一步地,所述处理器还用于加载所述存储器中存储的指令以执行:
在确定所述系统中存在隐藏进程后,还包括:将隐藏进程的进程句柄转换成对应的文件路径;在所述文件路径下不存在文件时,确定所述隐藏进程为无实体进程。
进一步地,所述处理器还用于加载所述存储器中存储的指令以执行:
调用当前系统的ntdll.dll中的函数获取所述系统的所有存活进程的进程句柄,具体包括:调用ntdll.dll中的函数NtQuerySystemInformation;向NtQuerySystemInformation函数传入SystemHandleInformation变量,获取返回的SYSTEM_HANDLE_INFORMATION结构的数组;从所述数组中提取所述系统的所有存活进程的句柄,获取所述系统所有存活进程的进程句柄。
进一步地,所述处理器还用于加载所述存储器中存储的指令以执行:
将隐藏进程的进程句柄转换成对应的文件路径,具体为:
调用ntdll.dl中的导出函数NtQueryObject,向所述导出函数的OBJECT_INFORMATION_CLASS变量传入ObjectNameInformation的值,获得对应的文件路径。
进一步地,所述处理器还用于加载所述存储器中存储的指令以执行:
根据以下步骤判断所述文件路径下是否存在文件,具体为:
向系统函数PathFileExist传入所述文件路径,若系统函数PathFileExist返回TRUE,则所述文件路径下存在文件,若系统函数PathFileExist返回FALSE,所述文件路径下不存在文件。
进一步地,所述处理器还用于加载所述存储器中存储的指令以执行:
确定所述隐藏进程为无实体进程后,在所述隐藏进程对应的文件路径下创建系统无法更改的文件。
本发明实施例同时公开一种检测隐藏进程的装置,包括:
第一句柄获取模块,用于调用当前系统的ntdll.dll中的函数获取所述系统的所有存活进程的进程句柄;
第二句柄获取模块,用于利用所述系统中常规使用的系统API遍历所述系统的所有存活进程,以获取进程句柄;
句柄对比模块,用于比较两次获取的进程句柄的数量;
在两次获取的进程句柄的数量不等时,确定所述系统中存在隐藏进程。
本发明实施例提供了一种存储设备,所述存储设备中存储有多条指令,所述指令适于由处理器加载并执行本发明实施例提供的检测隐藏进程的方法步骤。
与现有技术相比,本发明提供的一种检测隐藏进程的方法、装置及存储设备,至少实现了如下的有益效果:
调用当前系统的ntdll.dll中的函数获取所述系统的全部进程句柄;利用所述系统中常规使用的系统API遍历所述系统的所有存活进程,以获取进程句柄;比较两次获取的进程句柄的数量;在两次获取的进程句柄的数量不等时,确定所述系统中存在隐藏进程。由于windows系统的所有系统dll最后都会调用ntdll.dll这个最终的系统dll,因此,调用系统的ntdll.dll中的函数可以获取该系统中所有存活的进程的进程句柄,包括隐藏的进程和非隐藏的进程;而常规使用的系统API不能遍历到隐藏进程,无法获取隐藏进程的进程句柄,因此,采用这两种方式获取的进程句柄的数量不等时,便可以确认系统中存在隐藏进程。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的检测隐藏进程的方法流程图;
图2为本发明实施例提供的又一检测隐藏进程的方法流程图;
图3为本发明实施例提供的检测隐藏进程的装置结构图;
图4为本发明实施例提供的又一检测隐藏进程的装置结构图。
具体实施方式
为了使本发明的目的,技术方案和优点更加清楚,下面结合附图,对本发明实施例提供的检测隐藏进程的方法的具体实施方式进行详细地说明。应当理解,下面所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。并且在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
系统的正常API调用都是由kernel32.dll、user32.dll、GDI32.dll、ADVAPI32.dll等系统dll导出的函数。现有技术中,如需要遍历当前系统下所有存活的进程时,一般使用CreateToolhelp32Snapshot系统API遍历,但若使用Rootkit技术使进程隐藏后,该API函数便失效。Rootkit技术是指其主要功能为隐藏其他程序进程的软件,可能是一个或一个以上的软件组合。
通过对Windows系统研究发现,所有系统的dll最后都会调用ntdll.dll这个最终的系统dll,基于此,本发明实施例提供了检测隐藏进程的方法流程图,如图1所示,包括:
步骤11,调用当前系统的ntdll.dll中的函数获取所述系统的所有存活进程的进程句柄;
具体方法为:调用ntdll.dll中的函数NtQuerySystemInformation;向NtQuerySystemInformation函数传入SystemHandleInformation变量,获取返回的SYSTEM_HANDLE_INFORMATION结构的数组;该返回的数组中存储着每个句柄的详细信息,因此可以从所述数组中提取所述系统的所有存活进程的句柄。
系统的所有存活进程的句柄包括但不限于:文件句柄、进程句柄、线程句柄、互斥量。而进程句柄有特殊标记位,可以直接区分出进程句柄,进而提取进程句柄。
步骤12,利用所述系统中常规使用的系统API遍历所述系统的所有存活进程,以获取进程句柄;
其中,所述系统中常规使用的系统API为kernel32.dll中的系统API函数CreateToolhelp32Snapshot函数。
步骤13,比较两次获取的进程句柄的数量,判断系统中是否存在隐藏进程;
若两次获取的进程句柄的数量一致,则不存在隐藏进程;若两次获取的进程句柄的数量不一致,则存在隐藏进程;其中通过调用当前系统的ntdll.dll中的函数获取系统的进程句柄数量多于通过所述系统中常规使用的中的系统API函数获取系统的进程句柄,且多出的进程句柄为被隐藏进程的进程句柄。
另外,本发明实施例直接调用ntdll.dll的函数,采用一直不会改变的内核数据,因此无论Windows如何升级,都能够在不更改代码的情况下检测出隐藏进程,也能实现对新版本的兼容,因此本发明实施例提供的检测隐藏进程的方法完全可以支持各种版本。
进一步地,目前的一些隐藏进程有自删除的功能,会将自己的实体从磁盘上完全删除,这样给安全分析人员也带来了一定的困难,安全人员只能dmp进程,无法真正拿到磁盘上的实体。普通用户更难发现磁盘上多出的文件,如果用常规的方式进行扫毒,即使有这个恶意程序的MD5,在扫描磁盘的时候也不会发现任何威胁。
针对上述问题,本发明实施例提供了又一检测隐藏进程的方法流程图,如图2所示,包括:
步骤21,调用当前系统的ntdll.dll中的函数获取所述系统的所有存活进程的进程句柄;
步骤22,利用所述系统中常规使用的系统API遍历所述系统的所有存活进程,以获取进程句柄;
步骤23,比较两次获取的进程句柄的数量,判断系统中是否存在隐藏进程;
若两次获取的进程句柄的数量一致,则不存在隐藏进程;若两次获取的进程句柄的数量不一致,则存在隐藏进程,执行步骤24。
步骤24,将被隐藏进程的进程句柄转换成其对应的文件路径;
将被隐藏进程的进程句柄转换成其对应的文件路径,具体为调用ntdll.dl中的导出函数NtQueryObject,向其OBJECT_INFORMATION_CLASS变量传入ObjectNameInformation的值,获得对应的文件路径。
步骤25,判断所述文件路径下是否存在文件;
判断所述文件路径下是否存在文件,具体为:向系统函数PathFileExist传入文件路径,若系统函数PathFileExist返回TRUE,所述文件路径下存在文件,所述隐藏进程有实体;若系统函数PathFileExist返回FALSE,所述文件路径下不存在文件,则所述隐藏进程无实体,执行步骤26。
步骤26,在无实体被隐藏进程对应的文件路径下创建系统无法更改的文件;
由于隐藏进程一定会在系统关机的时候,把文件写回本地磁盘上,在重新开机的时候,再从本地磁盘中将文件读到内存上运行,然后删除本地磁盘的文件。在无实体被隐藏进程对应的文件路径下创建一个系统无法更改的文件,这样可以保证结束隐藏进程后,该进程也无法将文件写回到磁盘,从而保证了隐藏进程没有再次启动的可能。
另外,由于直接调用ntdll.dll的函数,是采用一直不会改变的内核数据,无论Windows如何升级,都能够在不更改代码的情况继续检测出隐藏进程,也能实现对新版本的兼容;同时可帮助用户更准确发现隐藏的进程,并能够主动处理恶意程序,保证隐藏进程无法写回,从而保证了隐藏进程没有再次启动的可能,进而保证用户的环境安全。
本发明实施例还提供了一种检测隐藏进程的装置,如图3所示,包括:所述装置包括存储器31和处理器32,所述存储器31用于存储多条指令,所述处理器32用于加载所述存储器31中存储的指令以执行:
调用当前系统的ntdll.dll中的函数获取所述系统的所有存活进程的进程句柄;
利用所述系统中常规使用的系统API遍历所述系统的所有存活进程,以获取进程句柄;
比较两次获取的进程句柄的数量;
在两次获取的进程句柄的数量不等时,确定所述系统中存在隐藏进程。
所述处理器32用于加载所述存储器31中存储的指令以执行:
在确定所述系统中存在隐藏进程后,将隐藏进程的进程句柄转换成对应的文件路径;
在所述文件路径下不存在文件时,确定所述隐藏进程为无实体进程。
所述处理器32用于加载所述存储器31中存储的指令以执行:
调用当前系统的ntdll.dll中的函数获取所述系统的所有存活进程的进程句柄,具体包括:
调用ntdll.dll中的函数NtQuerySystemInformation;
向NtQuerySystemInformation函数传入SystemHandleInformation变量,获取返回的SYSTEM_HANDLE_INFORMATION结构的数组;
从所述数组中提取所述系统的所有存活进程的句柄,获取所述系统所有存活进程的进程句柄。
所述处理器32用于加载所述存储器31中存储的指令以执行:
将隐藏进程的进程句柄转换成对应的文件路径,具体为:
调用ntdll.dl中的导出函数NtQueryObject,向所述导出函数的OBJECT_INFORMATION_CLASS变量传入ObjectNameInformation的值,获得对应的文件路径。
所述处理器32用于加载所述存储器31中存储的指令以执行:
根据以下步骤判断所述文件路径下是否存在文件,具体为:
向系统函数PathFileExist传入所述文件路径,若系统函数PathFileExist返回TRUE,则所述文件路径下存在文件,若系统函数PathFileExist返回FALSE,所述文件路径下不存在文件。
所述处理器32用于加载所述存储器31中存储的指令以执行:
在确定所述隐藏进程为无实体进程后,在所述隐藏进程对应的文件路径下创建系统无法更改的文件。
本发明实施例同时提供了又一种检测隐藏进程的装置,如图4所示,包括:
第一句柄获取模块41,用于调用当前系统的ntdll.dll中的函数获取所述系统的所有存活进程的进程句柄;
第二句柄获取模块42,用于利用所述系统中常规使用的系统API遍历所述系统的所有存活进程,以获取进程句柄;
句柄对比模块43,用于比较两次获取的进程句柄的数量;
在两次获取的进程句柄的数量不等时,确定所述系统中存在隐藏进程。
本发明实施例还提供一种存储设备,所述存储设备中存储有多条指令,所述指令适于由处理器加载并执行本发明实施例提供的检测隐藏进程的方法的步骤。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明实施例可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发明实施例的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (14)
1.一种检测隐藏进程的检测方法,其特征在于:
调用当前系统的ntdll.dll中的函数获取所述系统的所有存活进程的进程句柄;
利用所述系统中常规使用的系统API遍历所述系统的所有存活进程,以获取进程句柄;
比较两次获取的进程句柄的数量;
在两次获取的进程句柄的数量不等时,确定所述系统中存在隐藏进程。
2.如权利要求1所述的方法,其特征在于,在确定所述系统中存在隐藏进程后,所述方法还包括:将隐藏进程的进程句柄转换成对应的文件路径;
在所述文件路径下不存在文件时,确定所述隐藏进程为无实体进程。
3.如权利要求1所述的方法,其特征在于,调用当前系统的ntdll.dll中的函数获取所述系统的所有存活进程的进程句柄,具体包括:
调用ntdll.dll中的函数NtQuerySystemInformation;
向NtQuerySystemInformation函数传入SystemHandleInformation变量,获取返回的SYSTEM_HANDLE_INFORMATION结构的数组;
从所述数组中提取所述系统的所有存活进程的句柄,获取所述系统所有存活进程的进程句柄。
4.如权利要求2所述的方法,其特征在于:将隐藏进程的进程句柄转换成对应的文件路径,具体为:
调用ntdll.dl中的导出函数NtQueryObject,向所述导出函数的OBJECT_INFORMATION_CLASS变量传入ObjectNameInformation的值,获得对应的文件路径。
5.如权利要求2所述的方法,其特征在于,根据以下步骤判断所述文件路径下是否存在文件,具体为:
向系统函数PathFileExist传入所述文件路径,若系统函数PathFileExist返回TRUE,则所述文件路径下存在文件,若系统函数PathFileExist返回FALSE,所述文件路径下不存在文件。
6.如权利要求2所述的方法,其特征在于,在确定所述隐藏进程为无实体进程后,所述方法还包括:
在所述隐藏进程对应的文件路径下创建系统无法更改的文件。
7.一种检测隐藏进程的装置,其特征在于,所述装置包括存储器和处理器,所述存储器用于存储多条指令,所述处理器用于加载所述存储器中存储的指令以执行:
调用当前系统的ntdll.dll中的函数获取所述系统的所有存活进程的进程句柄;
利用所述系统中常规使用的系统API遍历所述系统的所有存活进程,以获取进程句柄;
比较两次获取的进程句柄的数量;
在两次获取的进程句柄的数量不等时,确定所述系统中存在隐藏进程。
8.如权利要求7所述的装置,其特征在于,所述处理器还用于加载所述存储器中存储的指令以执行:
在确定所述系统中存在隐藏进程后,还包括:将隐藏进程的进程句柄转换成对应的文件路径;
在所述文件路径下不存在文件时,确定所述隐藏进程为无实体进程。
9.如权利要求7所述的装置,其特征在于,所述处理器还用于加载所述存储器中存储的指令以执行:
调用当前系统的ntdll.dll中的函数获取所述系统的所有存活进程的进程句柄,具体包括:
调用ntdll.dll中的函数NtQuerySystemInformation;
向NtQuerySystemInformation函数传入SystemHandleInformation变量,获取返回的SYSTEM_HANDLE_INFORMATION结构的数组;
从所述数组中提取所述系统的所有存活进程的句柄,获取所述系统所有存活进程的进程句柄。
10.如权利要求8所述的装置,其特征在于,所述处理器还用于加载所述存储器中存储的指令以执行:
将隐藏进程的进程句柄转换成对应的文件路径,具体为:
调用ntdll.dl中的导出函数NtQueryObject,向所述导出函数的OBJECT_INFORMATION_CLASS变量传入ObjectNameInformation的值,获得对应的文件路径。
11.如权利要求8所述的装置,其特征在于,所述处理器还用于加载所述存储器中存储的指令以执行:
根据以下步骤判断所述文件路径下是否存在文件,具体为:
向系统函数PathFileExist传入所述文件路径,若系统函数PathFileExist返回TRUE,则所述文件路径下存在文件,若系统函数PathFileExist返回FALSE,所述文件路径下不存在文件。
12.如权利要求8所述的装置,其特征在于,所述处理器还用于加载所述存储器中存储的指令以执行:
确定所述隐藏进程为无实体进程后,在所述隐藏进程对应的文件路径下创建系统无法更改的文件。
13.一种检测隐藏进程的装置,其特征在于,包括:
第一句柄获取模块,用于调用当前系统的ntdll.dll中的函数获取所述系统的所有存活进程的进程句柄;
第二句柄获取模块,用于利用所述系统中常规使用的系统API遍历所述系统的所有存活进程,以获取进程句柄;
句柄对比模块,用于比较两次获取的进程句柄的数量;
在两次获取的进程句柄的数量不等时,确定所述系统中存在隐藏进程。
14.一种存储设备,其特征在于,所述存储设备中存储有多条指令,所述指令适于由处理器加载并执行权1-6任一所述的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811316314.7A CN110765456A (zh) | 2018-11-07 | 2018-11-07 | 一种检测隐藏进程的方法、装置及存储设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811316314.7A CN110765456A (zh) | 2018-11-07 | 2018-11-07 | 一种检测隐藏进程的方法、装置及存储设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110765456A true CN110765456A (zh) | 2020-02-07 |
Family
ID=69328968
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811316314.7A Withdrawn CN110765456A (zh) | 2018-11-07 | 2018-11-07 | 一种检测隐藏进程的方法、装置及存储设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110765456A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111625296A (zh) * | 2020-05-27 | 2020-09-04 | 重庆夏软科技有限公司 | 一种通过构建代码副本保护程序的方法 |
CN112861129A (zh) * | 2021-01-28 | 2021-05-28 | 四川效率源信息安全技术股份有限公司 | 一种检测Windows操作系统中隐藏的恶意程序进程的方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20070076935A (ko) * | 2006-01-20 | 2007-07-25 | 엔에이치엔(주) | 은닉 프로세스 모니터링 방법 및 모니터링 시스템 |
CN102902765A (zh) * | 2012-09-25 | 2013-01-30 | 北京奇虎科技有限公司 | 一种用于解除文件占用的方法及装置 |
CN105488415A (zh) * | 2015-11-30 | 2016-04-13 | 福建天晴数码有限公司 | 扫描系统进程的方法和装置 |
CN106020958A (zh) * | 2016-05-17 | 2016-10-12 | 北京金山安全软件有限公司 | 一种获取文件占用进程的方法、装置及电子设备 |
-
2018
- 2018-11-07 CN CN201811316314.7A patent/CN110765456A/zh not_active Withdrawn
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20070076935A (ko) * | 2006-01-20 | 2007-07-25 | 엔에이치엔(주) | 은닉 프로세스 모니터링 방법 및 모니터링 시스템 |
CN102902765A (zh) * | 2012-09-25 | 2013-01-30 | 北京奇虎科技有限公司 | 一种用于解除文件占用的方法及装置 |
CN105488415A (zh) * | 2015-11-30 | 2016-04-13 | 福建天晴数码有限公司 | 扫描系统进程的方法和装置 |
CN106020958A (zh) * | 2016-05-17 | 2016-10-12 | 北京金山安全软件有限公司 | 一种获取文件占用进程的方法、装置及电子设备 |
Non-Patent Citations (2)
Title |
---|
杨平等: "基于句柄分析的Windows Rootkit 检测技术研究", 《通信技术》 * |
杨平等: "基于句柄分析的Windows Rootkit检测技术研究", 《通信技术》 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111625296A (zh) * | 2020-05-27 | 2020-09-04 | 重庆夏软科技有限公司 | 一种通过构建代码副本保护程序的方法 |
CN111625296B (zh) * | 2020-05-27 | 2023-03-14 | 重庆夏软科技有限公司 | 一种通过构建代码副本保护程序的方法 |
CN112861129A (zh) * | 2021-01-28 | 2021-05-28 | 四川效率源信息安全技术股份有限公司 | 一种检测Windows操作系统中隐藏的恶意程序进程的方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10387648B2 (en) | Ransomware key extractor and recovery system | |
US9904780B2 (en) | Transparent detection and extraction of return-oriented-programming attacks | |
US10339304B2 (en) | Systems and methods for generating tripwire files | |
US11017087B2 (en) | Secure document importation via portable media | |
US8381296B2 (en) | Method and system for detecting and removing hidden pestware files | |
US20070180520A1 (en) | Method and system for detecting a keylogger on a computer | |
US20120192203A1 (en) | Detection of Duplicate Memory Pages Across Guest Operating Systems on a Shared Host | |
US8256000B1 (en) | Method and system for identifying icons | |
CN108446559B (zh) | 一种apt组织的识别方法及装置 | |
US20150113653A1 (en) | Scanning method and device, and client apparatus | |
EP3220307A1 (en) | System and method of performing an antivirus scan of a file on a virtual machine | |
CN109918907A (zh) | Linux平台进程内存恶意代码取证方法、控制器及介质 | |
US9129109B2 (en) | Method and apparatus for detecting a malware in files | |
CN110704104A (zh) | 一种应用仿冒检测方法、智能终端及存储介质 | |
CN110765456A (zh) | 一种检测隐藏进程的方法、装置及存储设备 | |
US10664594B2 (en) | Accelerated code injection detection using operating system controlled memory attributes | |
US20130247182A1 (en) | System, method, and computer program product for identifying hidden or modified data objects | |
CN106778276B (zh) | 一种检测无实体文件恶意代码的方法及系统 | |
US10878104B2 (en) | Automated multi-credential assessment | |
Albabtain et al. | The process of reverse engineering GPU malware and provide protection to GPUs | |
US8265428B2 (en) | Method and apparatus for detection of data in a data store | |
KR102254283B1 (ko) | 멀티프로세스 클러스터링 기반 랜섬웨어 공격 탐지 장치, 방법 및 그 방법을 실현하기 위한 프로그램을 기록한 기록매체 | |
KR102473436B1 (ko) | 물리 메모리 레이아웃 관리 방법 및 장치, 컴퓨터 판독 가능한 기록 매체 및 컴퓨터 프로그램 | |
EP3848835A1 (en) | Systems and methods for protecting against unauthorized memory dump modification | |
CN110610086B (zh) | 非法代码识别方法、系统、装置及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WW01 | Invention patent application withdrawn after publication |
Application publication date: 20200207 |
|
WW01 | Invention patent application withdrawn after publication |