CN111563259B - 一种傀儡进程检测方法、装置、可读存储介质及计算设备 - Google Patents
一种傀儡进程检测方法、装置、可读存储介质及计算设备 Download PDFInfo
- Publication number
- CN111563259B CN111563259B CN202010680742.9A CN202010680742A CN111563259B CN 111563259 B CN111563259 B CN 111563259B CN 202010680742 A CN202010680742 A CN 202010680742A CN 111563259 B CN111563259 B CN 111563259B
- Authority
- CN
- China
- Prior art keywords
- determining
- memory
- instruction
- target process
- instruction queue
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/3604—Software analysis for verifying properties of programs
- G06F11/3612—Software analysis for verifying properties of programs by runtime analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/40—Transformation of program code
- G06F8/53—Decompilation; Disassembly
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Stored Programmes (AREA)
- Image Analysis (AREA)
Abstract
本发明实施例提供了一种傀儡进程检测方法、装置、可读存储介质及计算设备,通过反汇编技术和汇编指令队列比较技术对内存主模块的OEP和PE文件的OEP的不变量特征值进行比较,进而确定出傀儡进程,提高了傀儡进程检测的准确性和效率,并且适用于不同的技术平台,方法包括:确定目标进程对应的内存的主模块的第一原始入口点OEP;将所述第一OEP指向的内存内容作反汇编处理,得到第一指令队列;确定所述目标进程对应的可移植的可执行PE文件的第二OEP;将所述第二OEP指向的文件内容作反汇编处理,得到第二指令队列;根据所述第一指令队列和所述第二指令队列的比较结果,确定所述目标进程是否为傀儡进程。
Description
技术领域
本发明涉及计算机安全技术领域,尤其涉及一种傀儡进程检测方法、装置、可读存储介质及计算设备。
背景技术
傀儡进程是一种进程隐藏的方式,从外表看来是一个正常文件启动的进程,实际上被换成了一个有着恶意目标的文件的运行的进程。从进程的名称和路径看来是正常的,但是实际上在内存中执行的文件已经被换掉了。
进程空洞(Process Hollowing)技术是恶意软件常用的一种进程创建技术,是实现傀儡进程的一种方法。使用Process Hollowing技术所创建出来的进程在使用任务管理器之类的工具进行查看时,它们看起来是正常的,但是这种进程中包含的所码实际上就是恶意代码。进程空洞技术的实现方法如下:
1、通过CreateProcess创建进程,传入参数CREATE_SUSPENDED使进程挂起;
2、通过NtUnmapViewOfSection清空新进程的内存数据;
3、通过VirtualAllocEx申请新的内存;
4、通过WriteProcessMemory向内存写入payload;
5、通过SetThreadContext设置入口点;
6、通过ResumeThread唤醒进程,执行payload。
在现有安全产品的关于傀儡进程的识别的功能中,使用的方式有两种,一种是检测Hook内核的SetThreadContext等方法,检测进程的执行路径的变化,另外一种是根据进程的特性检测进程的句柄表中是否有对应的文件。
使用内核Hook的方式监控的方法在64位的操作系统上已经不能使用了。使用句柄表文件的检测方法存在一定程度的误报,因为存在如下的情况:1)无法得到进程的句柄表;2)得到的句柄表信息不完整;3)句柄表中没有相关内容;这些情况都导致无法进行是否是傀儡进程的判断。
发明内容
为此,本发明提供了一种傀儡进程检测方法、装置、可读存储介质及计算设备,以力图解决或者至少缓解上面存在的至少一个问题。
根据本发明实施例的一个方面,提供了一种傀儡进程检测方法,包括:
确定目标进程对应的内存的主模块的第一OEP;
将所述第一OEP指向的内存内容作反汇编处理,得到第一指令队列;
确定所述目标进程对应的PE文件的第二OEP;
将所述第二OEP指向的文件内容作反汇编处理,得到第二指令队列;
根据所述第一指令队列和所述第二指令队列的比较结果,确定所述目标进程是否为傀儡进程。
可选地,确定目标进程对应的内存的主模块的第一OEP,包括:
确定目标进程对应的内存中的多个内存区域;
确定所述多个内存区域对应的模块;
分析所述多个内存区域对应的模块,确定出所述目标进程对应的主模块;
确定所述目标进程对应的主模块的第一OEP。
可选地,确定目标进程对应的内存中的多个内存区域,包括:
调用GlobalMemoryStatusEx函数获取MEMORYSTATUSEX中的ullAvailVirtual参数的值;
调用VirtualQueryEx函数查询目标进程对应的内存中的多个内存区域;查询范围为0至所述ullAvailVirtual参数的值。
可选地,确定所述多个内存区域对应的模块,包括:
依次从所述多个内存区域中选取一内存区域,调用VirtualQueryEx函数获取MEMORY_BASIC_INFORMATION中的type参数的值和AllocationProtect参数的值;
当确定type参数的值为MEM_IMAGE或MEM_MAPPED,以及,AllocationProtect参数的值为PAGE_EXECUTE、或PAGE_EXECUTE_READ、或PAGE_EXECUTE_READWRITE时,调用GetModuleFileName函输查询所选内存区域对应的模块路径,如果查询成功,获取所选内存区域对应的模块信息,否则,返回失败信息。
可选地,分析所述多个内存区域对应的模块,确定出所述目标进程对应的主模块,包括:
依次从所述多个内存区域对应的模块中选取一模块,读取所选模块对应的IMAGE_NT_HEADERS包含的IMAGE_FILE_HEADER包含的Characteristics的参数值,如果是IMAGE_FILE_EXECUTABLE_IMAGE,则确定所选模块为所述目标进程对应的主模块。
可选地,确定所述目标进程对应的主模块的第一OEP,包括:
读取所述目标进程对应的主模块的IMAGE_NT_HEADERS包含的IMAGE_OPTIONAL_HEADER中的AddressOfEntryPoint参数的值,确定出所述目标进程对应的主模块的第一OEP。
可选地,将所述第一OEP指向的内存内容作反汇编处理,得到第一指令队列,包括:
读取指定大小的所述第一OEP指向的内存内容;所述指定大小不超过所述主模块记录的代码段大小;
采用线性扫描反汇编方法,依次确定出所述第一OEP指向的内存内容包含的指令,得到第一指令队列。
可选地,确定所述目标进程对应的PE文件的第二OEP,包括:
调用GetProcessImageFileName函数获取所述目标进程对应的PE文件路径;
读取所述PE文件中的IMAGE_NT_HEADERS中的Image_OPTIONAL_HEADER中的AddressOfEntryPoint的值;
将所述AddressOfEntryPoint的值减去所述Image_OPTIONAL_HEADER中的ImageBase的值,确定出所述目标进程对应的PE文件的第二OEP。
可选地,将所述第二OEP指向的文件内容作反汇编处理,得到第二指令队列,包括:
读取指定大小的所述第二OEP指向的文件内容;所述指定大小不超过所述PE文件记录的代码段大小;
采用线性扫描反汇编方法,依次确定出所述第二OEP指向的文件内容包含的指令,得到第二指令队列。
优选地,读取的所述第一OEP指向的内存内容和读取的所述第二OEP指向的文件内容的大小相同。
可选地,根据所述第一指令队列和所述第二指令队列的比较结果,确定所述目标进程是否为傀儡进程,包括:
确定所述第一指令队列包含的第一指令条数和所述第二指令队列包含的第二指令条数;
将所述第一指令条数和所述第二指令条数中的较小值作为指令比较次数;
依次比较所述第一指令队列和所述第二指令队列的指令类型,直至比较次数达到所述指令比较次数;
计算所述第一指令队列和所述第二指令队列的指令类型不同的次数占所述指令比较次数的比率;
将所述比率与预设阈值比较,如果所述比率不小于所述预设阈值,则确定所述目标进程是傀儡进程,如果所述比率小于所述预设阈值,确定所述目标进程不是傀儡进程。
根据本发明的又一方面,提供一种傀儡进程检测装置,包括:
第一OEP确定单元,用于确定目标进程对应的内存的主模块的第一OEP;
反汇编单元,用于将所述第一OEP指向的内存内容作反汇编处理,得到第一指令队列;
第二OEP确定单元,用于确定所述目标进程对应的PE文件的第二OEP;
所述反汇编单元,还用于将所述第二OEP指向的文件内容作反汇编处理,得到第二指令队列;
比较单元,用于根据所述第一指令队列和所述第二指令队列的比较结果,确定所述目标进程是否为傀儡进程。
根据本发明的又一方面,提供一种可读存储介质,其上具有可执行指令,当可执行指令被执行时,使得计算机执行上述的傀儡进程检测方法。
根据本发明的又一方面,提供一种计算设备,包括:一个或多个处理器;存储器;以及一个或多个程序,其中一个或多个程序存储在存储器中并被配置为由一个或多个处理器执行上述的傀儡进程检测方法。
根据本发明实施例提供的技术方案,确定目标进程对应的内存的主模块的第一OEP,将所述第一OEP指向的内存内容作反汇编处理,得到第一指令队列,确定所述目标进程对应的PE文件的第二OEP,将所述第二OEP指向的文件内容作反汇编处理,得到第二指令队列,根据所述第一指令队列和所述第二指令队列的比较结果,确定所述目标进程是否为傀儡进程;本发明通过获取进程对应的内存主模块文件和PE文件,使用反汇编技术和汇编指令队列比较技术对内存主模块的OEP和PE文件的OEP的不变量特征值进行比较,进而确定出傀儡进程,方案具有准确、误报低、快速、不受平台限制等优点。
附图说明
附图示出了本发明的示例性实施方式,并与其说明一起用于解释本发明的原理,其中包括了这些附图以提供对本发明的进一步理解,并且附图包括在本说明书中并构成本说明书的一部分。
图1是示例性的计算设备的结构框图。
图2是根据本发明实施例的傀儡进程检测方法的流程图。
图3是根据本发明实施例的进程主模块的OEP分析方法的流程图。
图4是根据本发明实施例的内存中汇编指令队列获取方法的流程图。
图5是根据本发明实施例的文件中汇编指令队列获取方法的流程图。
图6是根据本发明实施例的汇编指令队列比较方法的流程图。
图7是根据本发明实施例的傀儡进程检测装置的结构示意图。
具体实施方式
下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本发明,并且能够将本发明的范围完整的传达给本领域的技术人员。
图1是布置为实现根据本发明的傀儡进程检测方法的示例计算设备100的框图。在基本的配置102中,计算设备100典型地包括系统存储器106和一个或者多个处理器104。存储器总线108可以用于在处理器104和系统存储器106之间的通信。
取决于期望的配置,处理器104可以是任何类型的处理,包括但不限于:微处理器(µP)、微控制器(µC)、数字信息处理器(DSP)或者它们的任何组合。处理器104可以包括诸如一级高速缓存110和二级高速缓存112之类的一个或者多个级别的高速缓存、处理器核心114和寄存器116。示例的处理器核心114可以包括运算逻辑单元(ALU)、浮点数单元(FPU)、数字信号处理核心(DSP核心)或者它们的任何组合。示例的存储器控制器118可以与处理器104一起使用,或者在一些实现中,存储器控制器118可以是处理器104的一个内部部分。
取决于期望的配置,系统存储器106可以是任意类型的存储器,包括但不限于:易失性存储器(诸如RAM)、非易失性存储器(诸如ROM、闪存等)或者它们的任何组合。系统存储器106可以包括操作系统120、一个或者多个程序122以及程序数据124。在一些实施方式中,程序122可以被配置为在操作系统上由一个或者多个处理器104利用程序数据124执行指令。
计算设备100还可以包括有助于从各种接口设备(例如,输出设备142、外设接口144和通信设备146)到基本配置102经由总线/接口控制器130的通信的接口总线140。示例的输出设备142包括图形处理单元148和音频处理单元150。它们可以被配置为有助于经由一个或者多个A/V端口152与诸如显示终端或者扬声器之类的各种外部设备进行通信。示例外设接口144可以包括串行接口控制器154和并行接口控制器156,它们可以被配置为有助于经由一个或者多个I/O端口158和诸如输入设备(例如,键盘、鼠标、笔、语音输入设备、触摸输入设备)或者其他外设(例如打印机、扫描仪等)之类的外部设备进行通信。示例的通信设备146可以包括网络控制器160,其可以被布置为便于经由一个或者多个通信端口164与一个或者多个其他计算设备162通过网络通信链路的通信。
网络通信链路可以是通信介质的一个示例。通信介质通常可以体现为在诸如载波或者其他传输机制之类的调制数据信号中的计算机可读指令、数据结构、程序模块,并且可以包括任何信息递送介质。“调制数据信号”可以是这样的信号,它的数据集中的一个或者多个或者它的改变可以在信号中编码信息的方式进行。作为非限制性的示例,通信介质可以包括诸如有线网络或者专线网络之类的有线介质,以及诸如声音、射频(RF)、微波、红外(IR)或者其它无线介质在内的各种无线介质。这里使用的术语计算机可读介质可以包括存储介质和通信介质二者。
计算设备100可以实现为小尺寸便携(或者移动)电子设备的一部分,这些电子设备可以是诸如蜂窝电话、个人数字助理(PDA)、个人媒体播放器设备、无线网络浏览设备、个人头戴设备、应用专用设备、或者可以包括上面任何功能的混合设备。计算设备100还可以实现为包括桌面计算机和笔记本计算机配置的个人计算机、服务器、由多台计算机组成的集群。
其中,计算设备100的一个或多个程序122包括用于执行根据本发明的傀儡进程检测方法的指令。
图2示例性示出根据本发明一个实施例的傀儡进程检测方法200的流程图,傀儡进程检测方法200始于步骤S210。
在步骤S210中,确定目标进程对应的内存的主模块的第一原始入口点(OriginalEntry Point, OEP)。
其中,目标进程为计算设备当前运行进程中需检测是否为傀儡进程的进程。
具体地,如图3所示,步骤S210包括:
S310、确定目标进程对应的内存中的多个内存区域。
以windows系统为例,步骤S310获取进程的内存区域的方法包括:首先使用GlobalMemoryStatusEx获得一个数据结构MEMORYSTATUSEX,获得其中的ullAvailVirtual即整个内存可能使用的最大的虚拟内存空间,然后调用VirtualQueryEx从0开始查询内存区域的情况,包括开始和结束的地址、内存区域的属性等,当区域的结束地址达到最大虚拟内存空间时完成查询,得到进程的所有内存区域。
S320、确定多个内存区域对应的模块。
对于每一内存区域,可能存在对应的模块,也可能没有对应的模块。
具体地,确定内存区域对应的模块包括:
对于每一个内存区域,在调用VirtualQueryEx时会得到MEMORY_BASIC_INFORMATION结构,其中的Type显示该内存区域的来源情况:MEM_IMAGE和MEM_MAPPED表示来自于文件或者节(Section)的,其中的AllocationProtect表示内存是否是可执行的代码:PAGE_EXECUTE、或PAGE_EXECUTE_READ、或PAGE_EXECUTE_READWRITE表示为可执行代码。在满足上面两个条件的情况下,再调用系统的GetModuleFileName来查询内存对应的模块路径。如果成功,则获取对应的模块信息,否则,确认该内存区域没有对应的模块。
S330、分析多个内存区域对应的模块,确定出所述目标进程对应的主模块。
对于已经获得的各个模块,通过分析每个模块的头结构,结合PE文件的结构定义来判断模块对应可执行的程序还是动态链接库(Dynamic Link Library, DLL),如果模块是对应可执行的程序,则该模块就是主模块。
判断模块是否是可执行程序的方法如下:获取每个模块的内存,读取IMAGE_NT_HEADERS的内容,判断IMAGE_NT_HEADERS中的IMAGE_FILE_HEADER的内容,其中的Characteristics代表模块文件的属性,如果是IMAGE_FILE_EXECUTABLE_IMAGE,则说明是可执行文件,如果是IMAGE_FILE_DLL则说明是DLL。
S340、确定目标进程对应的主模块的第一OEP。
获取主模块入口点的方法如下:首先读取IMAGE_NT_HEADERS,获取其中的OptionalHeader,类型为IMAGE_OPTIONAL_HEADER,读取IMAGE_OPTIONAL_HEADER中的AddressOfEntryPoint,即得到主模块的OEP信息。
随后,在步骤S220中,将第一OEP指向的内存内容作反汇编处理,得到第一指令队列。
具体地,如图4所示,步骤S220包括:
S410、读取指定大小的第一OEP指向的内存内容;指定大小不超过主模块记录的代码段大小。
具体地,读取的OEP指向的内存的内容大小不超过IMAGE_OPTIONAL_HEADER中的SizeOfCode的大小,通常不超过1M。
S420、采用线性扫描反汇编方法,依次确定出第一OEP指向的内存内容包含的指令,得到第一指令队列。
具体地,线性扫描反汇编方法包括:
S510、设置位置指针Start指向内存开始处;
S520、从Start位置开始尝试匹配指令,并得到指令长度n;
S530、如果成功,则反汇编从Start之后的n个数据,得到汇编指令的类型和操作数等情况;如果失败,则退出;
S540、设置位置指针Start赋值为Start+n,即上条指令的结尾;
S550、判断Start是否超过了内存结尾处,如果超出则结束,如果不超出则进入S520。
随后,在步骤S230中,确定目标进程对应的可移植的可执行(PortableExecutable, PE)文件的第二OEP。
具体地,步骤S230包括:
先读取IMAGE_NT_HEADERS,获取其中的OptionalHeader,类型为IMAGE_OPTIONAL_HEADER,再读取IMAGE_OPTIONAL_HEADER中的AddressOfEntryPoint,即确定出PE文件的OEP;获取PE文件的OEP和获取内存中OEP的方法类似。但是因为读取的是文件中的地址,其地址值是在IMAGE_OPTIONAL_HEADER里的ImageBase之上的地址值,因此需要将读出的OEP地址减掉ImageBase后才可以在文件中读取到OEP的信息。
随后,在步骤S240中,将第二OEP指向的文件内容作反汇编处理,得到第二指令队列。
可选地,如图5所示,步骤S240具体包括:
S610、读取指定大小的第二OEP指向的文件内容;指定大小不超过PE文件记录的代码段大小。
可选地,步骤S610读取的文件内容的大小与步骤S410读取的内存内容的大小一致。
S620、采用线性扫描反汇编方法,依次确定出第二OEP指向的文件内容包含的指令,得到第二指令队列。
S620使用的线性扫描反汇编方法与步骤S420使用的线性扫描反汇编方法相同,此处不再赘述。
随后,在步骤S250中,根据第一指令队列和第二指令队列的比较结果,确定目标进程是否为傀儡进程。
如图6所示,本发明提供了一种根据汇编指令队列判断进程是否为傀儡进程的方法,包括:
S710、确定第一指令队列包含的第一指令条数和所述第二指令队列包含的第二指令条数;
S720、将第一指令条数和第二指令条数中的较小值作为指令比较次数;
S730、依次比较第一指令队列和第二指令队列的指令类型,直至比较次数达到指令比较次数;
S740、计算第一指令队列和第二指令队列的指令类型不同的次数占指令比较次数的比率;
S750、将比率与预设阈值比较,如果比率不小于预设阈值,则确定目标进程是傀儡进程,如果比率小于预设阈值,则确定目标进程不是傀儡进程。
在具体实施过程中,可以定义参数Total、DiffTotal和DiffRate,Total取两个汇编指令队列的最小长度值,DiffTotal则在每经过比较发现一条不同的指令类型时作+1处理,DiffRate=DiffTotal/Total,用于表征两条指令队列的差异程度。
可选地,预设阈值设置为5%,即DiffRate≥5%时,判定为傀儡进程,DiffRate<5%时,判定为正常进程。
本发明实施例提供的技术方案具有如下优点:一、准确,误报低;由于采用的方案是直接比较动态的内存的内容和静态的文件的内容,而不是通过间接方法判断,因此准确性有保证;由于选择比较的内容是指令类型,排除了进程特有的数据的干扰,使误报降低到了一个很低的水平;二、快速;选择从PE的OEP进行比较,把资源、数据等等排除在外,减少了比较的内容,加快了速度;三、不受技术平台的限制,由于实现方案位于用户层,因此无论在32位平台还是64位平台,无论是32位进程还是64位进程,都可以使用,没有限制。
参见图7,本发明实施例提供的傀儡进程检测装置包括:
第一OEP确定单元810,用于确定目标进程对应的内存的主模块的第一OEP;
反汇编单元820,用于将第一OEP指向的内存内容作反汇编处理,得到第一指令队列;
第二OEP确定单元830,用于确定所述目标进程对应的PE文件的第二OEP;
反汇编单元820还用于将所述第二OEP指向的文件内容作反汇编处理,得到第二指令队列;
比较单元840,用于根据第一指令队列和第二指令队列的比较结果,确定目标进程是否为傀儡进程。
可选地,第一OEP确定单元810具体用于:
确定目标进程对应的内存中的多个内存区域;
确定多个内存区域对应的模块;
分析多个内存区域对应的模块,确定出目标进程对应的主模块;
确定目标进程对应的主模块的第一OEP。
可选地,反汇编单元820用于将第一OEP指向的内存内容作反汇编处理,得到第一指令队列时,具体用于:
读取指定大小的所述第一OEP指向的内存内容;指定大小不超过所述主模块记录的代码段大小;
采用线性扫描反汇编方法,依次确定出第一OEP指向的内存内容包含的指令,得到第一指令队列;以及,
用于将第二OEP指向的文件内容作反汇编处理,得到第二指令队列时,具体用于:读取指定大小的所述第二OEP指向的文件内容;指定大小不超过所述PE文件记录的代码段大小;
采用线性扫描反汇编方法,依次确定出第二OEP指向的文件内容包含的指令,得到第二指令队列。
可选地,比较单元840具体用于:
确定所述第一指令队列包含的第一指令条数和所述第二指令队列包含的第二指令条数;
将所述第一指令条数和所述第二指令条数中的较小值作为指令比较次数;
依次比较所述第一指令队列和所述第二指令队列的指令类型,直至比较次数达到所述指令比较次数;
计算所述第一指令队列和所述第二指令队列的指令类型不同的次数占所述指令比较次数的比率;
将所述比率与预设阈值比较,如果所述比率不小于所述预设阈值,则确定所述目标进程是傀儡进程,如果所述比率小于所述预设阈值,确定所述目标进程不是傀儡进程。
关于傀儡进程检测装置的具体限定可以参见上文中对于傀儡进程检测方法的限定,在此不再赘述。
应当理解,这里描述的各种技术可结合硬件或软件,或者它们的组合一起实现。从而,本发明的方法和设备,或者本发明的方法和设备的某些方面或部分可采取嵌入有形媒介,例如软盘、CD-ROM、硬盘驱动器或者其它任意机器可读的存储介质中的程序代码(即指令)的形式,其中当程序被载入诸如计算机之类的机器,并被该机器执行时,该机器变成实践本发明的设备。
在程序代码在可编程计算机上执行的情况下,计算设备一般包括处理器、处理器可读的存储介质(包括易失性和非易失性存储器和/或存储元件),至少一个输入装置,和至少一个输出装置。其中,存储器被配置用于存储程序代码;处理器被配置用于根据该存储器中存储的该程序代码中的指令,执行本发明的各种方法。
以示例而非限制的方式,计算机可读介质包括计算机存储介质和通信介质。计算机可读介质包括计算机存储介质和通信介质。计算机存储介质存储诸如计算机可读指令、数据结构、程序模块或其它数据等信息。通信介质一般以诸如载波或其它传输机制等已调制数据信号来体现计算机可读指令、数据结构、程序模块或其它数据,并且包括任何信息传递介质。以上的任一种的组合也包括在计算机可读介质的范围之内。
应当理解,为了精简本发明并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该发明的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面发明的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员应当理解在本文所发明的示例中的设备的模块或单元或组件可以布置在如该实施例中所描述的设备中,或者可替换地可以定位在与该示例中的设备不同的一个或多个设备中。前述示例中的模块可以组合为一个模块或者此外可以分成多个子模块。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中发明的所有特征以及如此发明的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中发明的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
此外,所述实施例中的一些在此被描述成可以由计算机系统的处理器或者由执行所述功能的其它装置实施的方法或方法元素的组合。因此,具有用于实施所述方法或方法元素的必要指令的处理器形成用于实施该方法或方法元素的装置。此外,装置实施例的在此所述的元素是如下装置的例子:该装置用于实施由为了实施该发明的目的的元素所执行的功能。
如在此所使用的那样,除非另行规定,使用序数词“第一”、“第二”、“第三”等等来描述普通对象仅仅表示涉及类似对象的不同实例,并且并不意图暗示这样被描述的对象必须具有时间上、空间上、排序方面或者以任意其它方式的给定顺序。
尽管根据有限数量的实施例描述了本发明,但是受益于上面的描述,本技术领域内的技术人员明白,在由此描述的本发明的范围内,可以设想其它实施例。此外,应当注意,本说明书中使用的语言主要是为了可读性和教导的目的而选择的,而不是为了解释或者限定本发明的主题而选择的。因此,在不偏离所附权利要求书的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。对于本发明的范围,对本发明所做的发明是说明性的,而非限制性的,本发明的范围由所附权利要求书限定。
Claims (7)
1.一种傀儡进程检测方法,其特征在于,包括:
确定目标进程对应的内存的主模块的第一原始入口点;
读取第一指定大小的所述第一原始入口点指向的内存内容;采用线性扫描反汇编方法,依次确定出所述第一原始入口点指向的内存内容包含的指令,得到第一指令队列;所述第一指定大小不超过所述主模块记录的代码段大小;
确定所述目标进程对应的可移植的可执行的文件的第二原始入口点;
读取第二指定大小的所述第二原始入口点指向的文件内容;采用线性扫描反汇编方法,依次确定出所述第二原始入口点指向的文件内容包含的指令,得到第二指令队列;
确定所述第一指令队列包含的第一指令条数和所述第二指令队列包含的第二指令条数;
将所述第一指令条数和所述第二指令条数中的较小值作为指令比较次数;
依次比较所述第一指令队列和所述第二指令队列的指令类型,直至比较次数达到所述指令比较次数;
计算所述第一指令队列和所述第二指令队列的指令类型不同的次数占所述指令比较次数的比率;
将所述比率与预设阈值比较,如果所述比率不小于所述预设阈值,则确定所述目标进程是傀儡进程,如果所述比率小于所述预设阈值,则确定所述目标进程不是傀儡进程。
2.如权利要求1所述的方法,其特征在于,确定目标进程对应的内存的主模块的第一原始入口点,包括:
确定目标进程对应的内存中的多个内存区域;
确定所述多个内存区域对应的模块;
分析所述多个内存区域对应的模块,确定出所述目标进程对应的主模块;
确定所述目标进程对应的主模块的第一原始入口点。
3.如权利要求2所述的方法,其特征在于,确定目标进程对应的内存中的多个内存区域,包括:
调用GlobalMemoryStatusEx函数获取MEMORYSTATUSEX中的ullAvailVirtual参数的值;
调用VirtualQueryEx函数查询目标进程对应的内存中的多个内存区域;查询范围为0至所述ullAvailVirtual参数的值;
确定所述多个内存区域对应的模块,包括:
依次从所述多个内存区域中选取一内存区域,调用VirtualQueryEx函数获取MEMORY_BASIC_INFORMATION中的type参数的值和AllocationProtect参数的值;
当确定type参数的值为MEM_IMAGE或MEM_MAPPED,以及,AllocationProtect参数的值为PAGE_EXECUTE、或PAGE_EXECUTE_READ、或PAGE_EXECUTE_READWRITE时,调用GetModuleFileName函输查询所选内存区域对应的模块路径,如果查询成功,获取所选内存区域对应的模块信息,否则,返回失败信息;
分析所述多个内存区域对应的模块,确定出所述目标进程对应的主模块,包括:
依次从所述多个内存区域对应的模块中选取一模块,读取所选模块对应的IMAGE_NT_HEADERS包含的IMAGE_FILE_HEADER包含的Characteristics的参数值,如果是IMAGE_FILE_EXECUTABLE_IMAGE,则确定所选模块为所述目标进程对应的主模块;
确定所述目标进程对应的主模块的第一原始入口点,包括:
读取所述目标进程对应的主模块的IMAGE_NT_HEADERS包含的IMAGE_OPTIONAL_HEADER中的AddressOfEntryPoint参数的值,确定出所述目标进程对应的主模块的第一原始入口点。
4.如权利要求1所述的方法,其特征在于,确定所述目标进程对应的可移植的可执行的文件的第二原始入口点,包括:
调用GetProcessImageFileName函数获取所述目标进程对应的可移植的可执行的文件路径;
读取所述可移植的可执行的文件中的IMAGE_NT_HEADERS中的Image_OPTIONAL_HEADER中的AddressOfEntryPoint的值;
将所述AddressOfEntryPoint的值减去所述Image_OPTIONAL_HEADER中的ImageBase的值,确定出所述目标进程对应的可移植的可执行的文件的第二原始入口点。
5.一种傀儡进程检测装置,其特征在于,包括:
第一原始入口点确定单元,用于确定目标进程对应的内存的主模块的第一原始入口点;
反汇编单元,用于读取第一指定大小的所述第一原始入口点指向的内存内容;采用线性扫描反汇编方法,依次确定出所述第一原始入口点指向的内存内容包含的指令,得到第一指令队列;所述第一指定大小不超过所述主模块记录的代码段大小;
第二原始入口点确定单元,用于确定所述目标进程对应的可移植的可执行的文件的第二原始入口点;
所述反汇编单元,还用于读取第二指定大小的所述第二原始入口点指向的文件内容;采用线性扫描反汇编方法,依次确定出所述第二原始入口点指向的文件内容包含的指令,得到第二指令队列;
比较单元,用于确定所述第一指令队列包含的第一指令条数和所述第二指令队列包含的第二指令条数;
将所述第一指令条数和所述第二指令条数中的较小值作为指令比较次数;
依次比较所述第一指令队列和所述第二指令队列的指令类型,直至比较次数达到所述指令比较次数;
计算所述第一指令队列和所述第二指令队列的指令类型不同的次数占所述指令比较次数的比率;
将所述比率与预设阈值比较,如果所述比率不小于所述预设阈值,则确定所述目标进程是傀儡进程,如果所述比率小于所述预设阈值,则确定所述目标进程不是傀儡进程。
6.一种可读存储介质,其特征在于,其上具有可执行指令,当可执行指令被执行时,使得计算机执行如权利要求1-4的任一项所包括的方法。
7.一种计算设备,其特征在于,包括:
一个或多个处理器;
存储器;以及
一个或多个程序,其中所述一个或多个程序存储在所述存储器中并被配置为由所述一个或多个处理器执行如权利要求1-4中的任一项所包括的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010680742.9A CN111563259B (zh) | 2020-07-15 | 2020-07-15 | 一种傀儡进程检测方法、装置、可读存储介质及计算设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010680742.9A CN111563259B (zh) | 2020-07-15 | 2020-07-15 | 一种傀儡进程检测方法、装置、可读存储介质及计算设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111563259A CN111563259A (zh) | 2020-08-21 |
| CN111563259B true CN111563259B (zh) | 2020-12-01 |
Family
ID=72071238
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010680742.9A Active CN111563259B (zh) | 2020-07-15 | 2020-07-15 | 一种傀儡进程检测方法、装置、可读存储介质及计算设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111563259B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112632536B (zh) * | 2020-12-22 | 2023-03-21 | 四川大学 | 基于pe文件改造的内存加载方法 |
| CN115543463B (zh) * | 2022-10-26 | 2024-06-18 | 安芯网盾(北京)科技有限公司 | 一种检测傀儡进程创建的方法及系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104298922A (zh) * | 2013-07-16 | 2015-01-21 | 腾讯科技(深圳)有限公司 | 一种阻止漏洞利用的方法及装置 |
| CN108898012A (zh) * | 2018-05-23 | 2018-11-27 | 华为技术有限公司 | 检测非法程序的方法和装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10623444B2 (en) * | 2017-07-17 | 2020-04-14 | General Electric Company | Apparatus and method for analysis of binary targets to generate security policy |
-
2020
- 2020-07-15 CN CN202010680742.9A patent/CN111563259B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104298922A (zh) * | 2013-07-16 | 2015-01-21 | 腾讯科技(深圳)有限公司 | 一种阻止漏洞利用的方法及装置 |
| CN108898012A (zh) * | 2018-05-23 | 2018-11-27 | 华为技术有限公司 | 检测非法程序的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111563259A (zh) | 2020-08-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111563024B (zh) | 一种宿主机上监控容器进程的方法、装置及计算设备 | |
| CN107563201B (zh) | 基于机器学习的关联样本查找方法、装置及服务器 | |
| US10152660B2 (en) | Smart card read/write method and apparatus | |
| CN111563259B (zh) | 一种傀儡进程检测方法、装置、可读存储介质及计算设备 | |
| US11250256B2 (en) | Binary linear classification | |
| EP3933615A1 (en) | Data storage method and data query method | |
| US20160110356A1 (en) | Hash table construction for utilization in recognition of target object in image | |
| CN107577943B (zh) | 基于机器学习的样本预测方法、装置及服务器 | |
| CN114461404B (zh) | 一种进程迁移方法、计算设备及可读存储介质 | |
| US20180052696A1 (en) | Providing teaching user interface activated by user action | |
| CN110442380B (zh) | 一种数据预热方法及计算设备 | |
| CN111447178A (zh) | 一种访问控制方法、系统及计算设备 | |
| CN113961086B (zh) | 一种快捷键实现方法、计算设备及存储介质 | |
| US9489215B2 (en) | Managing an expression-based DFA construction process | |
| CN106372508B (zh) | 恶意文档的处理方法及装置 | |
| CN115544283A (zh) | 一种图片检测方法、装置、计算设备及存储介质 | |
| CN114357512A (zh) | 一种基于浏览器的隐私计算方法、电子设备及存储介质 | |
| WO2018058330A1 (zh) | 广告拦截的方法、装置和浏览器、计算机存储介质 | |
| CN107566349B (zh) | 一种检测网络服务器中敏感文件泄露的方法及计算设备 | |
| CN114020204B (zh) | 一种任务执行方法、装置、计算设备及存储介质 | |
| US20210294895A1 (en) | Method and system for detecting malware using memory map | |
| CN114461113B (zh) | 一种基于任务栏的交互方法、处理装置及计算设备 | |
| CN113419998B (zh) | 一种文件夹处理方法、计算设备及可读存储介质 | |
| CN113568879B (zh) | 一种文件属性追加方法、计算设备及存储介质 | |
| CN113918527B (zh) | 一种基于文件缓存的调度方法、装置与计算设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |