CN113760393A - 一种动态链接库的防护方法、装置、设备和介质 - Google Patents

一种动态链接库的防护方法、装置、设备和介质 Download PDF

Info

Publication number
CN113760393A
CN113760393A CN202111107429.7A CN202111107429A CN113760393A CN 113760393 A CN113760393 A CN 113760393A CN 202111107429 A CN202111107429 A CN 202111107429A CN 113760393 A CN113760393 A CN 113760393A
Authority
CN
China
Prior art keywords
file
dynamic link
target
link library
identification information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN202111107429.7A
Other languages
English (en)
Inventor
夏建兵
范渊
吴卓群
王欣
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
DBAPPSecurity Co Ltd
Original Assignee
DBAPPSecurity Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by DBAPPSecurity Co Ltd filed Critical DBAPPSecurity Co Ltd
Priority to CN202111107429.7A priority Critical patent/CN113760393A/zh
Publication of CN113760393A publication Critical patent/CN113760393A/zh
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/445Program loading or initiating
    • G06F9/44521Dynamic linking or loading; Link editing at or after load time, e.g. Java class loading
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Storage Device Security (AREA)

Abstract

本申请实施例公开了一种动态链接库的防护方法、装置、设备和介质,将待保护进程对应的标识信息存储至清单文件中。预先建立用于对系统创建进程的动作进行监控的系统钩子。当系统钩子检测到创建目标进程时,判断目标进程是否与清单文件中的标识信息匹配。一旦动态链接库文件被劫持,目标进程对应的标识信息会发生变化,导致目标进程的标识信息与清单文件中的标识信息不匹配。因此若清单文件中不存在与目标进程匹配的标识信息,则确定目标进程对应的动态链接库文件被劫持。通过设置系统钩子可以实现对新创建进程的实时检测,利用清单文件可以及时发现动态链接库文件被劫持的情况,有效的提升了动态链接库检测的灵活性。

Description

一种动态链接库的防护方法、装置、设备和介质
技术领域
本申请涉及操作系统技术领域,特别是涉及一种动态链接库的防护方法、装置、设备和计算机可读存储介质。
背景技术
动态链接库(Dynamic Link Library,DLL)是Windows操作系统中实现共享函数库概念的一种方式。DLL为操作系统提供了一种模块化的共享库实现方案。Windows系统场景下存在病毒木马利用DLL劫持来执行恶意代码的问题。如果黑客利用DLL劫持技术在用户电脑中安装病毒木马,别有用心的黑客便可以任意操作计算机,就像在本地使用计算机一样恣意盗取系统的重要资源,例如:系统密码、股票交易信息等重要数据。
Windows系统中每个进程启动的时候都会加载必要的DLL文件来扩展程序功能。当一个进程在加载DLL文件时没有指定DLL的完整路径时,Windows系统会按照特定的路径去搜索和加载该DLL文件。如果攻击者伪造一个同名的恶意DLL文件,并保证该恶意文件优先与正常的DLL文件被加载时,就产生了动态链接库劫持的问题。
目前对动态链接库劫持检测通常通过指定加载器启动进程来检测。但是根据指定加载器启动进程来检测动态链接库劫持的方案,存在检测范围小,检测方式不灵活等特点。如果保护进程通过其它方式即不通过加载器启动,则依赖于加载器启动进程的检测方式就存在被绕过的风险,将无法实现对目标进程进行动态链接库劫持的检测。
可见,如何提升动态链接库检测的灵活性,是本领域技术人员需要解决的问题。
发明内容
本申请实施例的目的是提供一种动态链接库的防护方法、装置、设备和计算机可读存储介质,可以提升动态链接库检测的灵活性。
为解决上述技术问题,本申请实施例提供一种动态链接库的防护方法,包括:
将待保护进程对应的标识信息存储至清单文件中;
预先建立用于对系统创建进程的动作进行监控的系统钩子;
当系统钩子检测到创建目标进程时,判断所述目标进程是否与所述清单文件中的标识信息匹配;
若所述清单文件中不存在与所述目标进程匹配的标识信息,则确定所述目标进程对应的动态链接库文件被劫持。
可选地,所述将待保护进程对应的标识信息存储至清单文件中包括:
将待保护进程的进程标识信息存储至所述清单文件;
将所述待保护进程所需加载的动态链接库文件的文件标识信息存储至所述清单文件中。
可选地,所述判断所述目标进程是否与所述清单文件中的标识信息匹配包括:
判断所述清单文件中是否存在与所述目标进程相同的目标进程标识信息;
若所述清单文件中存在与所述目标进程相同的目标进程标识信息,判断所述清单文件中是否存在与所述目标进程所加载的动态链接库文件相同的目标文件标识信息;
相应的,所述若所述清单文件中不存在与所述目标进程匹配的标识信息,则确定所述目标进程对应的动态链接库文件被劫持包括:
若所述清单文件中不存在与所述目标进程所加载的动态链接库文件相同的目标文件标识信息,则确定所述目标进程对应的动态链接库文件被劫持。
可选地,所述动态链接库文件的文件标识信息包括动态链接库文件的文件名称、存储路径和所述动态链接库文件内容对应的哈希值。
可选地,相应的,判断所述清单文件中是否存在与所述目标进程所加载的动态链接库文件相同的目标文件标识信息包括:
判断所述清单文件中是否存在与所述目标进程所加载的动态链接库文件相同的目标文件名称以及目标存储路径;
若所述清单文件中存在与所述目标进程所加载的动态链接库文件相同的目标文件名称以及目标存储路径,判断所述目标进程所加载的动态链接库文件的哈希值与所述目标文件名称以及所述目标存储路径对应的哈希值是否相同;
相应的,所述若所述清单文件中不存在与所述目标进程匹配的标识信息,则确定所述目标进程对应的动态链接库文件被劫持包括:
若所述清单文件中不存在与所述目标进程所加载的动态链接库文件相同的目标文件名称或目标存储路径;或者若所述目标进程所加载的动态链接库文件的哈希值与所述目标文件名称以及所述目标存储路径对应的哈希值不相同,则确定所述目标进程对应的动态链接库文件被劫持。
可选地,还包括:
记录所述目标进程对应的事件日志。
可选地,在所述确定所述目标进程对应的动态链接库文件被劫持之后还包括:
结束所述目标进程对应的操作。
本申请实施例还提供了一种动态链接库的防护装置,包括存储单元、建立单元、判断单元和确定单元;
所述存储单元,用于将待保护进程对应的标识信息存储至清单文件中;
所述建立单元,用于预先建立用于对系统创建进程的动作进行监控的系统钩子;
所述判断单元,用于当系统钩子检测到创建目标进程时,判断所述目标进程是否与所述清单文件中的标识信息匹配;
所述确定单元,用于若所述清单文件中不存在与所述目标进程匹配的标识信息,则确定所述目标进程对应的动态链接库文件被劫持。
可选地,所述存储单元用于将待保护进程的进程标识信息存储至所述清单文件;将所述待保护进程所需加载的动态链接库文件的文件标识信息存储至所述清单文件中。
可选地,所述判断单元包括进程判断子单元和文件判断子单元;
所述进程判断子单元,用于判断所述清单文件中是否存在与所述目标进程相同的目标进程标识信息;
所述文件判断子单元,用于若所述清单文件中存在与所述目标进程相同的目标进程标识信息,判断所述清单文件中是否存在与所述目标进程所加载的动态链接库文件相同的目标文件标识信息;
相应的,所述确定单元用于若所述清单文件中不存在与所述目标进程所加载的动态链接库文件相同的目标文件标识信息,则确定所述目标进程对应的动态链接库文件被劫持。
可选地,所述动态链接库文件的文件标识信息包括动态链接库文件的文件名称、存储路径和所述动态链接库文件内容对应的哈希值。
可选地,相应的,所述文件判断子单元用于判断所述清单文件中是否存在与所述目标进程所加载的动态链接库文件相同的目标文件名称以及目标存储路径;若所述清单文件中存在与所述目标进程所加载的动态链接库文件相同的目标文件名称以及目标存储路径,判断所述目标进程所加载的动态链接库文件的哈希值与所述目标文件名称以及所述目标存储路径对应的哈希值是否相同;
相应的,所述确定单元用于若所述清单文件中不存在与所述目标进程所加载的动态链接库文件相同的目标文件名称或目标存储路径;或者若所述目标进程所加载的动态链接库文件的哈希值与所述目标文件名称以及所述目标存储路径对应的哈希值不相同,则确定所述目标进程对应的动态链接库文件被劫持。
可选地,还包括记录单元;
所述记录单元,用于记录所述目标进程对应的事件日志。
可选地,还包括结束单元;
所述结束单元,用于结束所述目标进程对应的操作。
本申请实施例还提供了一种动态链接库的防护设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序以实现如上述动态链接库的防护方法的步骤。
本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述动态链接库的防护方法的步骤。
由上述技术方案可以看出,将待保护进程对应的标识信息存储至清单文件中;标识信息可以是用于唯一表征待保护进程。预先建立用于对系统创建进程的动作进行监控的系统钩子。当系统钩子检测到创建目标进程时,判断目标进程是否与清单文件中的标识信息匹配。在不存在动态链接库文件被劫持的情况下,目标进程属于待保护进程时,清单文件中必然存在与目标进程的标识信息相同的标识信息。一旦动态链接库文件被劫持,此时目标进程对应的标识信息会发生变化,导致目标进程的标识信息与清单文件中的标识信息不匹配。因此若清单文件中不存在与目标进程匹配的标识信息,则可以确定目标进程对应的动态链接库文件被劫持。在该技术方案中,通过设置系统钩子,可以实现对新创建进程的实时检测,利用清单文件中记录的待保护进程的标识信息对将当前新创建的进程的安全性进行检测,从而可以及时发现动态链接库文件被劫持的情况。该实现方式无需再依赖于加载器启动进程,有效的提升了动态链接库检测的灵活性,实现了对动态链接库劫持的全面检测。
附图说明
为了更清楚地说明本申请实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种动态链接库的防护方法的流程图;
图2为本申请实施例提供的一种动态链接库的防护装置的结构示意图;
图3为本申请实施例提供的一种动态链接库的防护设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下,所获得的所有其他实施例,都属于本申请保护范围。
本申请的说明书和权利要求书及上述附图中的术语“包括”和“具有”以及他们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可包括没有列出的步骤或单元。
为了使本技术领域的人员更好地理解本申请方案,下面结合附图和具体实施方式对本申请作进一步的详细说明。
接下来,详细介绍本申请实施例所提供的一种动态链接库的防护方法。图1为本申请实施例提供的一种动态链接库的防护方法的流程图,该方法包括:
S101:将待保护进程对应的标识信息存储至清单文件中。
系统包含的进程数量庞大,在本申请实施例中,只需对所需保护的进程进行动态链接库劫持的检测即可。其中,所需保护的进程可以是一些对系统安全性具有较大影响的进程。
在进程启动时需要加载相对应的动态链接库文件,因此待保护进程对应的标识信息可以包括进程标识信息以及对应的动态链接库文件的文件标识信息。
在具体实现中,可以将待保护进程的进程标识信息存储至清单文件;将待保护进程所需加载的动态链接库文件的文件标识信息存储至清单文件中。
进程标识信息可以包括进程名称、进程对应的存储路径等。
在实际应用中,会存在不同目录下的进程具有相同的进程名称,因此单纯依据进程名称可以会导致进程识别错误。根据进程对应的存储路径可以确定出进程的目录,避免不同目录下出现相同的进程名称,造成进程识别错误。
动态链接库文件的文件标识信息可以包括动态链接库文件的文件名称和存储路径。
S102:预先建立用于对系统创建进程的动作进行监控的系统钩子。
系统钩子可以用于监视系统或进程中的各种事件消息。在本申请实施例中,通过设置系统钩子可以对创建进程的动作进行监控,一旦系统出现新创建的进程,系统钩子便可以检测到该进程的存在。
S103:当系统钩子检测到创建目标进程时,判断目标进程是否与清单文件中的标识信息匹配。
系统原本有其存在的进程,为了便于区分,可以将新创建的进程称作目标进程。
当系统钩子检测到创建目标进程时,可以判断目标进程是否与清单文件中的标识信息匹配。若目标进程与清单文件中的标识信息不匹配,则说明目标进程对应的动态链接库文件可能被劫持,从而导致目标进程与清单文件中的标识信息不匹配,此时可以执行S104。
以标识信息包括进程标识信息以及文件标识信息为例,依赖于进程标识信息可以识别目标进程是否为所需保护的进程。在本申请实施例中,只需对所需保护的进程进行动态链接库的防护即可,其它进程按照正常的处理流程处理即可。
因此在本申请实施例中,判断目标进程是否与清单文件中的标识信息匹配,实际上是先判断清单文件中是否存在与目标进程相同的进程标识信息,在清单文件中存在与目标进程相同的进程标识信息,说明目标进程是所需保护的进程。此时可以进一步判断清单文件中是否存在与目标进程相同的文件标识信息。若清单文件中不存在与目标进程相同的文件标识信息,则说明目标进程与清单文件中的标识信息不匹配,此时可以执行S104。
依赖于文件标识信息可以对进程加载的动态链接库文件是否发生变化进行检测。目标进程为所需保护的进程时,在不存在动态链接库文件劫持的情况下,在清单文件中必然存在与目标进程所加载的动态链接库文件相同的文件标识信息。
S104:确定目标进程对应的动态链接库文件被劫持。
若清单文件中不存在与目标进程匹配的标识信息,则确定目标进程对应的动态链接库文件被劫持。
以标识信息包括进程标识信息以及文件标识信息为例,在实际应用中,可以判断清单文件中是否存在与目标进程相同的目标进程标识信息;若清单文件中存在与目标进程相同的目标进程标识信息,则说明目标进程属于所需保护的进程,此时可以进一步判断清单文件中是否存在与目标进程所加载的动态链接库文件相同的目标文件标识信息。
在正常情况即不存在动态链接库劫持的情况下,当目标进程属于所需保护的进程时,目标进程运行时加载的动态链接库文件必然和清单文件中该进程对应的文件标识信息相同。一旦出现动态链接库被劫持的情况,往往会导致动态链接库文件的文件名称或存储路径发生变化,从而导致目标进程运行时加载的动态链接库文件和清单文件中该进程对应的文件标识信息不相同的情况。因此在清单文件中不存在与目标进程所加载的动态链接库文件相同的目标文件标识信息的情况下,可以确定目标进程对应的动态链接库文件被劫持。
在本申请实施例中,在确定目标进程对应的动态链接库文件被劫持之后,可以直接结束目标进程对应的操作,防止目标进程继续运行对系统安全造成的威胁。
由上述技术方案可以看出,将待保护进程对应的标识信息存储至清单文件中;标识信息可以是用于唯一表征待保护进程。预先建立用于对系统创建进程的动作进行监控的系统钩子。当系统钩子检测到创建目标进程时,判断目标进程是否与清单文件中的标识信息匹配。在不存在动态链接库文件被劫持的情况下,目标进程属于待保护进程时,清单文件中必然存在与目标进程的标识信息相同的标识信息。一旦动态链接库文件被劫持,此时目标进程对应的标识信息会发生变化,导致目标进程的标识信息与清单文件中的标识信息不匹配。因此若清单文件中不存在与目标进程匹配的标识信息,则可以确定目标进程对应的动态链接库文件被劫持。在该技术方案中,通过设置系统钩子,可以实现对新创建进程的实时检测,利用清单文件中记录的待保护进程的标识信息对将当前新创建的进程的安全性进行检测,从而可以及时发现动态链接库文件被劫持的情况。该实现方式无需再依赖于加载器启动进程,有效的提升了动态链接库检测的灵活性,实现了对动态链接库劫持的全面检测。
考虑到实际应用中,可能会存在发生动态链接库劫持时,动态链接库文件的文件名称和存储路径并未发生变化,而是动态链接库文件的文件内容发生了变化。因此为了更加准确的检测出是否发生动态链接库劫持,在设置动态链接库文件的文件标识信息时,文件标识信息可以包括动态链接库文件的文件名称、存储路径和动态链接库文件内容对应的哈希值。
相应的,判断清单文件中是否存在与目标进程所加载的动态链接库文件相同的目标文件标识信息可以包括判断清单文件中是否存在与目标进程所加载的动态链接库文件相同的目标文件名称以及目标存储路径;若清单文件中存在与目标进程所加载的动态链接库文件相同的目标文件名称以及目标存储路径,则进一步判断目标进程所加载的动态链接库文件的哈希值与目标文件名称以及目标存储路径对应的哈希值是否相同。
若清单文件中不存在与目标进程所加载的动态链接库文件相同的目标文件名称或目标存储路径;或者若目标进程所加载的动态链接库文件的哈希值与目标文件名称以及目标存储路径对应的哈希值不相同,则可以确定目标进程对应的动态链接库文件被劫持。
通过在文件标识信息中携带动态链接库文件的哈希值,可以更加全面准确的实现对动态链接库劫持的检测,保证了对动态链接库的有效防护,提升系统的安全性。
需要说明的是,除了设置哈希值外,其它类型能够用于唯一表征动态链接库文件内容的信息也可以。
在本申请实施例中,为了便于管理人员可以了解动态链接库劫持的情况,可以记录目标进程对应的事件日志。
为了保证事件日志的安全性,可以对事件日志进行加密处理。加密方式可以是与管理人员预先商定好的加密方式。
事件日志中记录了目标进程运行过程中所有相关的信息,管理人员依据事件日志便可以实现对目标进程所执行的操作进行了解,从而及时解决动态链接库文件被劫持所造成的影响。
图2为本申请实施例提供的一种动态链接库的防护装置的结构示意图,包括存储单元21、建立单元22、判断单元23和确定单元24;
存储单元21,用于将待保护进程对应的标识信息存储至清单文件中;
建立单元22,用于预先建立用于对系统创建进程的动作进行监控的系统钩子;
判断单元23,用于当系统钩子检测到创建目标进程时,判断目标进程是否与清单文件中的标识信息匹配;
确定单元24,用于若清单文件中不存在与目标进程匹配的标识信息,则确定目标进程对应的动态链接库文件被劫持。
可选地,存储单元用于将待保护进程的进程标识信息存储至清单文件;将待保护进程所需加载的动态链接库文件的文件标识信息存储至清单文件中。
可选地,判断单元包括进程判断子单元和文件判断子单元;
进程判断子单元,用于判断清单文件中是否存在与目标进程相同的目标进程标识信息;
文件判断子单元,用于若清单文件中存在与目标进程相同的目标进程标识信息,判断清单文件中是否存在与目标进程所加载的动态链接库文件相同的目标文件标识信息;
相应的,确定单元用于若清单文件中不存在与目标进程所加载的动态链接库文件相同的目标文件标识信息,则确定目标进程对应的动态链接库文件被劫持。
可选地,动态链接库文件的文件标识信息包括动态链接库文件的文件名称、存储路径和动态链接库文件内容对应的哈希值。
可选地,相应的,文件判断子单元用于判断清单文件中是否存在与目标进程所加载的动态链接库文件相同的目标文件名称以及目标存储路径;若清单文件中存在与目标进程所加载的动态链接库文件相同的目标文件名称以及目标存储路径,判断目标进程所加载的动态链接库文件的哈希值与目标文件名称以及目标存储路径对应的哈希值是否相同;
相应的,确定单元用于若清单文件中不存在与目标进程所加载的动态链接库文件相同的目标文件名称或目标存储路径;或者若目标进程所加载的动态链接库文件的哈希值与目标文件名称以及目标存储路径对应的哈希值不相同,则确定目标进程对应的动态链接库文件被劫持。
可选地,还包括记录单元;
记录单元,用于记录目标进程对应的事件日志。
可选地,还包括结束单元;
结束单元,用于结束目标进程对应的操作。
图2所对应实施例中特征的说明可以参见图1所对应实施例的相关说明,这里不再一一赘述。
由上述技术方案可以看出,将待保护进程对应的标识信息存储至清单文件中;标识信息可以是用于唯一表征待保护进程。预先建立用于对系统创建进程的动作进行监控的系统钩子。当系统钩子检测到创建目标进程时,判断目标进程是否与清单文件中的标识信息匹配。在不存在动态链接库文件被劫持的情况下,目标进程属于待保护进程时,清单文件中必然存在与目标进程的标识信息相同的标识信息。一旦动态链接库文件被劫持,此时目标进程对应的标识信息会发生变化,导致目标进程的标识信息与清单文件中的标识信息不匹配。因此若清单文件中不存在与目标进程匹配的标识信息,则可以确定目标进程对应的动态链接库文件被劫持。在该技术方案中,通过设置系统钩子,可以实现对新创建进程的实时检测,利用清单文件中记录的待保护进程的标识信息对将当前新创建的进程的安全性进行检测,从而可以及时发现动态链接库文件被劫持的情况。该实现方式无需再依赖于加载器启动进程,有效的提升了动态链接库检测的灵活性,实现了对动态链接库劫持的全面检测。
图3为本申请实施例提供的一种动态链接库的防护设备的结构图,如图3所示,动态链接库的防护设备包括:存储器20,用于存储计算机程序;
处理器21,用于执行计算机程序时实现如上述实施例动态链接库的防护方法的步骤。
本实施例提供的动态链接库的防护设备可以包括但不限于智能手机、平板电脑、笔记本电脑或台式电脑等。
其中,处理器21可以包括一个或多个处理核心,比如4核心处理器、8核心处理器等。处理器21可以采用DSP(Digital Signal Processing,数字信号处理)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)、PLA(Programmable Logic Array,可编程逻辑阵列)中的至少一种硬件形式来实现。处理器21也可以包括主处理器和协处理器,主处理器是用于对在唤醒状态下的数据进行处理的处理器,也称CPU(Central ProcessingUnit,中央处理器);协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中,处理器21可以在集成有GPU(Graphics Processing Unit,图像处理器),GPU用于负责显示屏所需要显示的内容的渲染和绘制。一些实施例中,处理器21还可以包括AI(Artificial Intelligence,人工智能)处理器,该AI处理器用于处理有关机器学习的计算操作。
存储器20可以包括一个或多个计算机可读存储介质,该计算机可读存储介质可以是非暂态的。存储器20还可包括高速随机存取存储器,以及非易失性存储器,比如一个或多个磁盘存储设备、闪存存储设备。本实施例中,存储器20至少用于存储以下计算机程序201,其中,该计算机程序被处理器21加载并执行之后,能够实现前述任一实施例公开的动态链接库的防护方法的相关步骤。另外,存储器20所存储的资源还可以包括操作系统202和数据203等,存储方式可以是短暂存储或者永久存储。其中,操作系统202可以包括Windows、Unix、Linux等。数据203可以包括但不限于待保护进程对应的标识信息等。
在一些实施例中,动态链接库的防护设备还可包括有显示屏22、输入输出接口23、通信接口24、电源25以及通信总线26。
本领域技术人员可以理解,图3中示出的结构并不构成对动态链接库的防护设备的限定,可以包括比图示更多或更少的组件。
可以理解的是,如果上述实施例中的动态链接库的防护方法以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、磁碟或者光盘等各种可以存储程序代码的介质。
基于此,本发明实施例还提供了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如上述动态链接库的防护方法的步骤。
本发明实施例所述计算机可读存储介质的各功能模块的功能可根据上述方法实施例中的方法具体实现,其具体实现过程可以参照上述方法实施例的相关描述,此处不再赘述。
以上对本申请实施例所提供的一种动态链接库的防护方法、装置、设备和计算机可读存储介质进行了详细介绍。说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
以上对本申请所提供的一种动态链接库的防护方法、装置、设备和计算机可读存储介质进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。

Claims (10)

1.一种动态链接库的防护方法,其特征在于,包括:
将待保护进程对应的标识信息存储至清单文件中;
预先建立用于对系统创建进程的动作进行监控的系统钩子;
当系统钩子检测到创建目标进程时,判断所述目标进程是否与所述清单文件中的标识信息匹配;
若所述清单文件中不存在与所述目标进程匹配的标识信息,则确定所述目标进程对应的动态链接库文件被劫持。
2.根据权利要求1所述的动态链接库的防护方法,其特征在于,所述将待保护进程对应的标识信息存储至清单文件中包括:
将待保护进程的进程标识信息存储至所述清单文件;
将所述待保护进程所需加载的动态链接库文件的文件标识信息存储至所述清单文件中。
3.根据权利要求2所述的动态链接库的防护方法,其特征在于,所述判断所述目标进程是否与所述清单文件中的标识信息匹配包括:
判断所述清单文件中是否存在与所述目标进程相同的目标进程标识信息;
若所述清单文件中存在与所述目标进程相同的目标进程标识信息,判断所述清单文件中是否存在与所述目标进程所加载的动态链接库文件相同的目标文件标识信息;
相应的,所述若所述清单文件中不存在与所述目标进程匹配的标识信息,则确定所述目标进程对应的动态链接库文件被劫持包括:
若所述清单文件中不存在与所述目标进程所加载的动态链接库文件相同的目标文件标识信息,则确定所述目标进程对应的动态链接库文件被劫持。
4.根据权利要求3所述的动态链接库的防护方法,其特征在于,所述动态链接库文件的文件标识信息包括动态链接库文件的文件名称、存储路径和所述动态链接库文件内容对应的哈希值。
5.根据权利要求4所述的动态链接库的防护方法,其特征在于,相应的,判断所述清单文件中是否存在与所述目标进程所加载的动态链接库文件相同的目标文件标识信息包括:
判断所述清单文件中是否存在与所述目标进程所加载的动态链接库文件相同的目标文件名称以及目标存储路径;
若所述清单文件中存在与所述目标进程所加载的动态链接库文件相同的目标文件名称以及目标存储路径,判断所述目标进程所加载的动态链接库文件的哈希值与所述目标文件名称以及所述目标存储路径对应的哈希值是否相同;
相应的,所述若所述清单文件中不存在与所述目标进程匹配的标识信息,则确定所述目标进程对应的动态链接库文件被劫持包括:
若所述清单文件中不存在与所述目标进程所加载的动态链接库文件相同的目标文件名称或目标存储路径;或者若所述目标进程所加载的动态链接库文件的哈希值与所述目标文件名称以及所述目标存储路径对应的哈希值不相同,则确定所述目标进程对应的动态链接库文件被劫持。
6.根据权利要求1至5任意一项所述的动态链接库的防护方法,其特征在于,还包括:
记录所述目标进程对应的事件日志。
7.根据权利要求1至5任意一项所述的动态链接库的防护方法,其特征在于,在所述确定所述目标进程对应的动态链接库文件被劫持之后还包括:
结束所述目标进程对应的操作。
8.一种动态链接库的防护装置,其特征在于,包括存储单元、建立单元、判断单元和确定单元;
所述存储单元,用于将待保护进程对应的标识信息存储至清单文件中;
所述建立单元,用于预先建立用于对系统创建进程的动作进行监控的系统钩子;
所述判断单元,用于当系统钩子检测到创建目标进程时,判断所述目标进程是否与所述清单文件中的标识信息匹配;
所述确定单元,用于若所述清单文件中不存在与所述目标进程匹配的标识信息,则确定所述目标进程对应的动态链接库文件被劫持。
9.一种动态链接库的防护设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序以实现如权利要求1至7任意一项所述动态链接库的防护方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任意一项所述动态链接库的防护方法的步骤。
CN202111107429.7A 2021-09-22 2021-09-22 一种动态链接库的防护方法、装置、设备和介质 Withdrawn CN113760393A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111107429.7A CN113760393A (zh) 2021-09-22 2021-09-22 一种动态链接库的防护方法、装置、设备和介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111107429.7A CN113760393A (zh) 2021-09-22 2021-09-22 一种动态链接库的防护方法、装置、设备和介质

Publications (1)

Publication Number Publication Date
CN113760393A true CN113760393A (zh) 2021-12-07

Family

ID=78796673

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111107429.7A Withdrawn CN113760393A (zh) 2021-09-22 2021-09-22 一种动态链接库的防护方法、装置、设备和介质

Country Status (1)

Country Link
CN (1) CN113760393A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114860351A (zh) * 2022-07-08 2022-08-05 浙江口碑网络技术有限公司 异常识别方法及装置、存储介质、计算机设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103001947A (zh) * 2012-11-09 2013-03-27 北京奇虎科技有限公司 一种程序处理方法和系统
CN103077353A (zh) * 2013-01-24 2013-05-01 北京奇虎科技有限公司 主动防御恶意程序的方法和装置
CN110688661A (zh) * 2019-08-30 2020-01-14 深圳壹账通智能科技有限公司 防止动态链接库文件劫持的方法、装置和计算机设备
CN111368299A (zh) * 2020-03-02 2020-07-03 西安四叶草信息技术有限公司 动态链接库文件劫持检测方法、设备及存储介质

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103001947A (zh) * 2012-11-09 2013-03-27 北京奇虎科技有限公司 一种程序处理方法和系统
CN103077353A (zh) * 2013-01-24 2013-05-01 北京奇虎科技有限公司 主动防御恶意程序的方法和装置
CN110688661A (zh) * 2019-08-30 2020-01-14 深圳壹账通智能科技有限公司 防止动态链接库文件劫持的方法、装置和计算机设备
CN111368299A (zh) * 2020-03-02 2020-07-03 西安四叶草信息技术有限公司 动态链接库文件劫持检测方法、设备及存储介质

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114860351A (zh) * 2022-07-08 2022-08-05 浙江口碑网络技术有限公司 异常识别方法及装置、存储介质、计算机设备

Similar Documents

Publication Publication Date Title
AU2017223566B2 (en) Cybersecurity systems and techniques
US9619649B1 (en) Systems and methods for detecting potentially malicious applications
CN106709325B (zh) 一种监控程序的方法及装置
WO2015119522A2 (en) Systems and methods for detecting return-oriented programming (rop) exploits
KR20160076534A (ko) 네트워크 활동을 보이는 실행파일들의 분리
US9600665B2 (en) Monitoring device and monitoring method
US10140454B1 (en) Systems and methods for restarting computing devices into security-application-configured safe modes
US9910983B2 (en) Malware detection
JP6000465B2 (ja) プロセス検査装置、プロセス検査プログラムおよびプロセス検査方法
CN113632432B (zh) 一种攻击行为的判定方法、装置及计算机存储介质
CN109997138A (zh) 用于检测计算设备上的恶意进程的系统和方法
EP4052154A1 (en) Block device signature-based integrity protection for containerized applications
US11281772B2 (en) Systems and methods to detect key loggers
CN113760393A (zh) 一种动态链接库的防护方法、装置、设备和介质
WO2016197827A1 (zh) 一种恶意捆绑软件的处理方法和装置
US11277436B1 (en) Identifying and mitigating harm from malicious network connections by a container
JP4792352B2 (ja) ネットワーク接続制御プログラム、ネットワーク接続制御方法及びネットワーク接続制御システム
CN112395593A (zh) 指令执行序列的监测方法及装置、存储介质、计算机设备
CN108959915B (zh) 一种rootkit检测方法、装置及服务器
EP3535681B1 (en) System and method for detecting and for alerting of exploits in computerized systems
US11811803B2 (en) Method of threat detection
US10637877B1 (en) Network computer security system
CN114610577A (zh) 一种目标资源的锁定方法、装置、设备和介质
CN110162479B (zh) 异常应用检测方法、装置及终端设备
CN107220546B (zh) 应用运行方法、装置及终端设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WW01 Invention patent application withdrawn after publication
WW01 Invention patent application withdrawn after publication

Application publication date: 20211207