CN116595527B - 一种内存木马的检测方法、系统、装置及可读存储介质 - Google Patents

一种内存木马的检测方法、系统、装置及可读存储介质 Download PDF

Info

Publication number
CN116595527B
CN116595527B CN202310876506.8A CN202310876506A CN116595527B CN 116595527 B CN116595527 B CN 116595527B CN 202310876506 A CN202310876506 A CN 202310876506A CN 116595527 B CN116595527 B CN 116595527B
Authority
CN
China
Prior art keywords
memory
trojan
module
information
trojan horse
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202310876506.8A
Other languages
English (en)
Other versions
CN116595527A (zh
Inventor
宋树达
张雷
李本学
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhongfu Safety Technology Co Ltd
Original Assignee
Zhongfu Safety Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhongfu Safety Technology Co Ltd filed Critical Zhongfu Safety Technology Co Ltd
Priority to CN202310876506.8A priority Critical patent/CN116595527B/zh
Publication of CN116595527A publication Critical patent/CN116595527A/zh
Application granted granted Critical
Publication of CN116595527B publication Critical patent/CN116595527B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明提出的一种内存木马的检测方法、系统、装置及可读存储介质,属于计算机技术领域,所述方法包括:根据线程模块快照,利用遍历的方式获取线程模块信息,对线程模块信息进行栈回溯操作,获取相应的基础内存信息并进行木马特征匹配;根据匹配结果确定是否存在内存木马。本发明实现了快速对操作系统进程内存木马探测,并甄别出感染内存木马的进程,为下一步响应提供依据信息。

Description

一种内存木马的检测方法、系统、装置及可读存储介质
技术领域
本发明涉及计算机技术领域,更具体的说是涉及一种内存木马的检测方法、系统、装置及可读存储介质。
背景技术
随着互联网的普及和数据量的爆炸式增长,病毒木马的威胁也在不断增加。对于病毒木马的检测,传统上是基于病毒特征码(又称病毒特征签名、病毒特征库、病毒库等)进行检测的技术。这种技术主要包括以下几个步骤:
1、收集病毒特征码:通过静态分析等方式,从已知样本中提取病毒特征码,并将其存储在病毒特征码库中。
2、病毒扫描:当系统或文件被怀疑感染病毒时,病毒扫描器会对系统或文件进行全盘扫描,并将扫描结果与病毒特征码库中的数据进行比对,查找是否存在匹配的病毒特征码。
3、病毒清除:如果发现匹配的病毒特征码,则会针对该病毒进行清除操作,清除方式根据具体病毒样本的代码特征不同而不同。
传统特征式病毒检测方式的检测准确率较高,对于已知的病毒样本可以高效地进行检测和清除。但是,在当今Internet病毒风险高度复杂、变化迅速的环境下,特征式病毒检测方式无法对未知病毒进行检测和清除,只能针对已知的病毒特征码进行匹配。病毒特征码库需要不断更新,而且病毒变种和新型病毒的出现,也会导致病毒特征码的更新滞后,影响检测效果。而时下流行的内存木马由于不需要在系统中留下文件或注册表项,导致传统的特征式病毒检测方式面对内存木马无计可施。
发明内容
针对以上问题,本发明的目的在于提供一种内存木马的检测方法、系统、装置及可读存储介质,解决了传统的杀毒软件对于内存木马检测不充分的问题,提高了系统的安全性能和用户的安全防护能力。
本发明为实现上述目的,通过以下技术方案实现:一种内存木马的检测方法,包括如下步骤:
S1:创建操作系统的线程模块快照;
S2:根据线程模块快照,遍历线程模块;
S3:获取当前遍历的线程模块信息;
S4:根据获取的线程模块信息进行栈回溯操作;
S5: 根据当前的栈回溯操作获取相应的关键寄存器地址,并获取相应的基础内存信息;
S6:根据基础内存信息,进行木马特征匹配;
S7:判断是否匹配成功;若是,则执行步骤S10;若否,则执行步骤S8;
S8:判断栈回溯操作是否结束;若是,则执行步骤S9;若否,则执行步骤S4;
S9:判断所有线程模块是否遍历结束;若是,则检测结束;若否,则执行步骤S2;
S10:确定当前的内存发现木马特征,并上报关键寄存器地址。
进一步,线程模块信息包括:线程模块句柄、线程所属进程句柄、线程上下文信息。
进一步,所述操作系统为64位操作系统,关键寄存器包括:RIP寄存器、RSP寄存器和RBP寄存器。
进一步,所述操作系统为32位操作系统,关键寄存器包括:EIP寄存器、ESP寄存器和EBP寄存器。
进一步,所述步骤S6包括:
根据基础内存信息,判断内存使用类型;
当内存使用类型不为MEM_IMAGE类型时,读取区域内存,并判断其前两位内存数据是否PE文件的特征值,若是,则此内存存在木马特征,木马特征匹配成功;
否则,木马特征匹配失败。
进一步,所述判断其前两位内存数据是否PE文件的特征值,具体为:
判断其前两位内存数据是否依次为0x4D、0x5A。
进一步,操作系统为Windows系统。
相应的,本发明还公开了一种内存木马的检测系统,包括:
快照模块,用于创建操作系统的线程模块快照;
遍历模块,用于根据线程模块快照,遍历线程模块;
第一信息获取模块,用于获取当前遍历的线程模块信息;
栈回溯模块,用于根据获取的线程模块信息进行栈回溯操作;
第二信息获取模块,用于根据当前的栈回溯操作获取相应的关键寄存器地址,并获取相应的基础内存信息;
特征匹配模块,用于根据基础内存信息,进行木马特征匹配;
上报模块,用于当木马特征匹配成功后,确定当前的内存发现木马特征,并上报关键寄存器地址。
相应的,本发明公开了一种内存木马的检测装置,包括:
存储器,用于存储内存木马的检测程序;
处理器,用于执行所述内存木马的检测程序时实现如上文任一项所述内存木马的检测方法的步骤。
相应的,本发明公开了一种可读存储介质,所述可读存储介质上存储有内存木马的检测程序,所述内存木马的检测程序被处理器执行时实现如上文任一项所述内存木马的检测方法的步骤。
对比现有技术,本发明有益效果在于:本发明公开了一种内存木马的检测方法、系统、装置及可读存储介质,能够根据线程模块快照,利用遍历的方式获取线程模块信息,对线程模块信息进行栈回溯操作,获取相应的基础内存信息并进行木马特征匹配;从而实现了快速对操作系统进程内存木马探测,并甄别出感染内存木马的进程,为下一步响应提供依据信息。
本发明解决了传统的杀毒软件对于内存木马检测不充分的问题,提高了系统的安全性能和用户的安全防护能力。另外,本发明提出的木马检测方法和系统下的其他安全类软件不存在冲突,能够完美兼容。
由此可见,本发明与现有技术相比,具有突出的实质性特点和显著的进步,其实施的有益效果也是显而易见的。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1是本发明具体实施方式的方法流程图;
图2是本发明具体实施方式的系统结构图。
图中,1、快照模块;2、遍历模块;3、第一信息获取模块;4、栈回溯模块;5、第二信息获取模块;6、特征匹配模块;7、上报模块。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面结合附图和具体实施方式对本发明作进一步的详细说明。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一:
如图1所示,本实施例提供了一种内存木马的检测方法,包括如下步骤:
S1:创建Windows系统的线程模块快照。
其中,Windows系统可采用32位操作系统或64位操作系统。
S2:根据线程模块快照,遍历线程模块。
具体的,根据线程模块快照,确定每个线程模块的名称,并依次遍历线程模块。
S3:获取当前遍历的线程模块信息。
作为示例的,对遍历到的线程模块,获取线程模块的句柄、线程所属进程句柄、线程上下文信息(context)。
S4:根据获取的线程模块信息进行栈回溯操作。
S5: 根据当前的栈回溯操作获取相应的关键寄存器地址,并获取相应的基础内存信息。
其中,如果为64位Windows系统,关键寄存器包括:RIP寄存器、RSP寄存器和RBP寄存器。如果为32位Windows系统,关键寄存器包括:EIP寄存器、ESP寄存器和EBP寄存器。
S6:根据基础内存信息,进行木马特征匹配。
本步骤的匹配过程具体为:根据获取的基础内存信息,判断内存使用类型,对于不属于加载的PE模块的类型(非MEM_IMAGE),读取区域内存,并判断前两位内存数据是否为0x4D、0x5A(PE文件的特征值)。
如果存在上述PE文件的特征值,则能够说明在不属于PE模块内存区域,存在PE文件特征,由此能够确定此处的PE文件特征为内存木马特征。
S7:判断是否匹配成功;若是,则执行步骤S10;若否,则执行步骤S8。
S8:判断栈回溯操作是否结束;若是,则执行步骤S9;若否,则执行步骤S4。
S9:判断所有线程模块是否遍历结束;若是,则检测结束;若否,则执行步骤S2。
S10:确定当前的内存发现木马特征,并上报关键信息。
由此可见,本实施例提供了一种内存木马的检测方法,实现了快速对操作系统进程内存木马探测,并甄别出感染内存木马的进程,为下一步响应提供依据信息。本方法解决了传统的杀毒软件对于内存木马检测不充分的问题,提高了系统的安全性能和用户的安全防护能力。
实施例二:
基于实施例一,如图2所示,本发明还公开了一种内存木马的检测系统,包括:快照模块1、遍历模块2、第一信息获取模块3、栈回溯模块4、第二信息获取模块5、特征匹配模块6和上报模块7。
快照模块1,用于创建操作系统的线程模块快照。
其中,操作系统为Windows系统。
遍历模块2,用于根据线程模块快照,遍历线程模块。
第一信息获取模块3,用于获取当前遍历的线程模块信息。
其中,线程模块信息包括:线程模块句柄、线程所属进程句柄、线程上下文信息。
栈回溯模块4,用于根据获取的线程模块信息进行栈回溯操作。
第二信息获取模块5,用于根据当前的栈回溯操作获取相应的关键寄存器地址,并获取相应的基础内存信息。当操作系统为64位操作系统时,关键寄存器包括:RIP寄存器、RSP寄存器和RBP寄存器。当操作系统为32位操作系统时,关键寄存器包括:EIP寄存器、ESP寄存器和EBP寄存器。
特征匹配模块6,用于根据基础内存信息,进行木马特征匹配。
特征匹配模块6具体用于:根据基础内存信息,判断内存使用类型;当内存使用类型不为MEM_IMAGE类型时,读取区域内存,并判断其前两位内存数据是否PE文件的特征值,若是,则此内存存在木马特征,木马特征匹配成功;否则,木马特征匹配失败。
上报模块7,用于当木马特征匹配成功后,确定当前的内存发现木马特征,并上报关键寄存器地址。
本实施例提供了一种内存木马的检测系统,能够根据线程模块快照,利用遍历的方式获取线程模块信息,对线程模块信息进行栈回溯操作,获取相应的基础内存信息并进行木马特征匹配;从而实现了快速对操作系统进程内存木马探测,并甄别出感染内存木马的进程,为下一步响应提供依据信息。
实施例三:
本实施例公开了一种内存木马的检测装置,包括处理器和存储器;其中,所述处理器执行所述存储器中保存的内存木马的检测程序时实现以下步骤:
1、创建操作系统的线程模块快照。
2、根据线程模块快照,遍历线程模块。
3、获取当前遍历的线程模块信息。
4、根据获取的线程模块信息进行栈回溯操作。
5、根据当前的栈回溯操作获取相应的关键寄存器地址,并获取相应的基础内存信息。
6、根据基础内存信息,进行木马特征匹配。
7、判断是否匹配成功;若是,则执行步骤10;若否,则执行步骤8。
8、判断栈回溯操作是否结束;若是,则执行步骤9;若否,则执行步骤4。
9、判断所有线程模块是否遍历结束;若是,则检测结束;若否,则执行步骤2。
10、确定当前的内存发现木马特征,并上报关键寄存器地址。
进一步的,本实施例中的内存木马的检测装置,还可以包括:
输入接口,用于获取外界导入的内存木马的检测程序,并将获取到的内存木马的检测程序保存至所述存储器中,还可以用于获取外界终端设备传输的各种指令和参数,并传输至处理器中,以便处理器利用上述各种指令和参数展开相应的处理。本实施例中,所述输入接口具体可以包括但不限于USB接口、串行接口、语音输入接口、指纹输入接口、硬盘读取接口等。
输出接口,用于将处理器产生的各种数据输出至与其相连的终端设备,以便于与输出接口相连的其他终端设备能够获取到处理器产生的各种数据。本实施例中,所述输出接口具体可以包括但不限于USB接口、串行接口等。
通讯单元,用于在内存木马的检测装置和外部服务器之间建立远程通讯连接,以便于内存木马的检测装置能够将镜像文件挂载到外部服务器中。本实施例中,通讯单元具体可以包括但不限于基于无线通讯技术或有线通讯技术的远程通讯单元。
键盘,用于获取用户通过实时敲击键帽而输入的各种参数数据或指令。
显示器,用于运行内存木马的检测过程的相关信息进行实时显示。
鼠标,可以用于协助用户输入数据并简化用户的操作。
实施例四:
本实施例还公开了一种可读存储介质,这里所说的可读存储介质包括随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动硬盘、CD-ROM或技术领域内所公知的任意其他形式的存储介质。可读存储介质中存储有内存木马的检测程序,所述内存木马的检测程序被处理器执行时实现以下步骤:
1、创建操作系统的线程模块快照。
2、根据线程模块快照,遍历线程模块。
3、获取当前遍历的线程模块信息。
4、根据获取的线程模块信息进行栈回溯操作。
5、根据当前的栈回溯操作获取相应的关键寄存器地址,并获取相应的基础内存信息。
6、根据基础内存信息,进行木马特征匹配。
7、判断是否匹配成功;若是,则执行步骤10;若否,则执行步骤8。
8、判断栈回溯操作是否结束;若是,则执行步骤9;若否,则执行步骤4。
9、判断所有线程模块是否遍历结束;若是,则检测结束;若否,则执行步骤2。
10、确定当前的内存发现木马特征,并上报关键寄存器地址。
综上所述,本发明解决了传统的杀毒软件对于内存木马检测不充分的问题,提高了系统的安全性能和用户的安全防护能力。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的方法而言,由于其与实施例公开的系统相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
在本发明所提供的几个实施例中,应该理解到,所揭露的系统、系统和方法,可以通过其它的方式实现。例如,以上所描述的系统实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,系统或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能模块可以集成在一个处理单元中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个单元中。
同理,在本发明各个实施例中的各处理单元可以集成在一个功能模块中,也可以是各个处理单元物理存在,也可以两个或两个以上处理单元集成在一个功能模块中。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本发明所提供的内存木马的检测方法、系统、装置及可读存储介质进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。

Claims (8)

1.一种内存木马的检测方法,其特征在于,包括如下步骤:
S1:创建操作系统的线程模块快照;
S2:根据线程模块快照,遍历线程模块;
S3:获取当前遍历的线程模块信息;
S4:根据获取的线程模块信息进行栈回溯操作;
S5:根据当前的栈回溯操作获取相应的关键寄存器地址,并获取相应的基础内存信息;
S6:根据基础内存信息,进行木马特征匹配;
S7:判断是否匹配成功;若是,则执行步骤S10;若否,则执行步骤S8;
S8:判断栈回溯操作是否结束;若是,则执行步骤S9;若否,则执行步骤S4;
S9:判断所有线程模块是否遍历结束;若是,则检测结束;若否,则执行步骤S2;
S10:确定当前的内存发现木马特征,并上报关键寄存器地址;
所述步骤S6包括:
根据基础内存信息,判断内存使用类型;
当内存使用类型不为MEM_IMAGE类型时,读取区域内存,并判断其前两位内存数据是否PE文件的特征值,若是,则此内存存在木马特征,木马特征匹配成功;否则,木马特征匹配失败;
所述判断其前两位内存数据是否PE文件的特征值,具体为:
判断其前两位内存数据是否依次为0x4D、0x5A。
2.根据权利要求1所述的内存木马的检测方法,其特征在于,所述线程模块信息包括:线程模块句柄、线程所属进程句柄、线程上下文信息。
3.根据权利要求1所述的内存木马的检测方法,其特征在于:所述操作系统为64位操作系统,关键寄存器包括:RIP寄存器、RSP寄存器和RBP寄存器。
4.根据权利要求1所述的内存木马的检测方法,其特征在于:
所述操作系统为32位操作系统,关键寄存器包括:EIP寄存器、ESP寄存器和EBP寄存器。
5.根据权利要求1所述的内存木马的检测方法,其特征在于,所述操作系统为Windows系统。
6.一种内存木马的检测系统,其特征在于,包括:
快照模块,用于创建操作系统的线程模块快照;
遍历模块,用于根据线程模块快照,遍历线程模块;
第一信息获取模块,用于获取当前遍历的线程模块信息;
栈回溯模块,用于根据获取的线程模块信息进行栈回溯操作;
第二信息获取模块,用于根据当前的栈回溯操作获取相应的关键寄存器地址,并获取相应的基础内存信息;
特征匹配模块,用于根据基础内存信息,进行木马特征匹配;
上报模块,用于当木马特征匹配成功后,确定当前的内存发现木马特征,并上报关键寄存器地址;
所述特征匹配模块具体用于:
根据基础内存信息,判断内存使用类型;
当内存使用类型不为MEM_IMAGE类型时,读取区域内存,并判断其前两位内存数据是否PE文件的特征值,若是,则此内存存在木马特征,木马特征匹配成功;否则,木马特征匹配失败;
所述判断其前两位内存数据是否PE文件的特征值,具体为:
判断其前两位内存数据是否依次为0x4D、0x5A。
7.一种内存木马的检测装置,其特征在于,包括:
存储器,用于存储内存木马的检测程序;
处理器,用于执行所述内存木马的检测程序时实现如权利要求1至5任一项权利要求所述的内存木马的检测方法的步骤。
8.一种可读存储介质,其特征在于:所述可读存储介质上存储有内存木马的检测程序,所述内存木马的检测程序被处理器执行时实现如权利要求1至5任一项权利要求所述的内存木马的检测方法的步骤。
CN202310876506.8A 2023-07-18 2023-07-18 一种内存木马的检测方法、系统、装置及可读存储介质 Active CN116595527B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310876506.8A CN116595527B (zh) 2023-07-18 2023-07-18 一种内存木马的检测方法、系统、装置及可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310876506.8A CN116595527B (zh) 2023-07-18 2023-07-18 一种内存木马的检测方法、系统、装置及可读存储介质

Publications (2)

Publication Number Publication Date
CN116595527A CN116595527A (zh) 2023-08-15
CN116595527B true CN116595527B (zh) 2023-10-20

Family

ID=87590327

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310876506.8A Active CN116595527B (zh) 2023-07-18 2023-07-18 一种内存木马的检测方法、系统、装置及可读存储介质

Country Status (1)

Country Link
CN (1) CN116595527B (zh)

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1920832A (zh) * 2006-09-28 2007-02-28 北京理工大学 基于链接分析的网页木马追踪技术
CN1980237A (zh) * 2005-12-09 2007-06-13 北京瑞星国际软件有限公司 识别访问网络的模块的方法及装置
JP2010009269A (ja) * 2008-06-26 2010-01-14 Iwate Univ コンピュータウィルス検出装置、コンピュータウィルス検出方法及びコンピュータウィルス検出プログラム
CN102004882A (zh) * 2010-11-26 2011-04-06 北京安天电子设备有限公司 远程线程注入型木马的检测和处理的方法和装置
CN111597553A (zh) * 2020-04-28 2020-08-28 腾讯科技(深圳)有限公司 病毒查杀中的进程处理方法、装置、设备及存储介质
CN112069499A (zh) * 2020-09-15 2020-12-11 北京微步在线科技有限公司 一种检测方法、装置、存储介质及电子设备
CN115017505A (zh) * 2022-05-31 2022-09-06 深信服科技股份有限公司 一种pe病毒检测方法、装置、电子设备及存储介质
CN116257848A (zh) * 2022-12-28 2023-06-13 安天科技集团股份有限公司 一种内存马检测方法

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1980237A (zh) * 2005-12-09 2007-06-13 北京瑞星国际软件有限公司 识别访问网络的模块的方法及装置
CN1920832A (zh) * 2006-09-28 2007-02-28 北京理工大学 基于链接分析的网页木马追踪技术
JP2010009269A (ja) * 2008-06-26 2010-01-14 Iwate Univ コンピュータウィルス検出装置、コンピュータウィルス検出方法及びコンピュータウィルス検出プログラム
CN102004882A (zh) * 2010-11-26 2011-04-06 北京安天电子设备有限公司 远程线程注入型木马的检测和处理的方法和装置
CN111597553A (zh) * 2020-04-28 2020-08-28 腾讯科技(深圳)有限公司 病毒查杀中的进程处理方法、装置、设备及存储介质
CN112069499A (zh) * 2020-09-15 2020-12-11 北京微步在线科技有限公司 一种检测方法、装置、存储介质及电子设备
CN115017505A (zh) * 2022-05-31 2022-09-06 深信服科技股份有限公司 一种pe病毒检测方法、装置、电子设备及存储介质
CN116257848A (zh) * 2022-12-28 2023-06-13 安天科技集团股份有限公司 一种内存马检测方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Scott Treadwell等.A Heuristic Approach for Detection of Obfuscated Malware.《IEEE》.2019,第291-299页. *
王静等.面向PE病毒检测的行为特征分析方法研究.《信息安全与技术》.2014,第5卷(第06期),第22-26页. *

Also Published As

Publication number Publication date
CN116595527A (zh) 2023-08-15

Similar Documents

Publication Publication Date Title
US9015814B1 (en) System and methods for detecting harmful files of different formats
CN110099059B (zh) 一种域名识别方法、装置及存储介质
CN111355697B (zh) 僵尸网络域名家族的检测方法、装置、设备及存储介质
CN110414236B (zh) 一种恶意进程的检测方法及装置
CN112866023B (zh) 网络检测、模型训练方法、装置、设备及存储介质
CN106384048B (zh) 一种威胁信息处理方法与装置
CN106992981B (zh) 一种网站后门检测方法、装置和计算设备
CN107247902A (zh) 恶意软件分类系统及方法
CN111949803A (zh) 一种基于知识图谱的网络异常用户检测方法、装置和设备
JP6674036B2 (ja) 分類装置、分類方法及び分類プログラム
CN113496033A (zh) 访问行为识别方法和装置及存储介质
CN111368289A (zh) 一种恶意软件检测方法和装置
CN110213255A (zh) 一种对主机进行木马检测的方法、装置及电子设备
CN106528805B (zh) 基于用户的移动互联网恶意程序url智能分析挖掘方法
CN116595527B (zh) 一种内存木马的检测方法、系统、装置及可读存储介质
CN112583827A (zh) 一种数据泄露检测方法及装置
CN115865525A (zh) 日志数据处理方法、装置、电子设备和存储介质
TWI777766B (zh) 偵測惡意網域查詢行為的系統及方法
Vahedi et al. Behavioral entropy towards detection of metamorphic malwares
CN115001724B (zh) 网络威胁情报管理方法、装置、计算设备及计算机可读存储介质
CN115643044A (zh) 数据处理方法、装置、服务器及存储介质
CN116414976A (zh) 文档检测方法、装置及电子设备
US11748476B2 (en) Conversion device and conversion program
CN112583773B (zh) 未知样本的检测方法及装置、存储介质、电子装置
CN105095752B (zh) 病毒数据包的识别方法、装置及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant