本发明专利技术实施例公开了一种加载器Loader病毒的查杀方法,包括:获取目标检测程序的动态链接库DLL文件;提取所述目标检测程序的DLL文件的多个导出函数;判断在所述DLL文件的多个导出函数中是否有且仅有一个所述导出函数具有逻辑功能,若是,则确定所述目标检测程序的DLL文件是所述Loader病毒;清除或隔离所述目标检测程序。相应地,本发明专利技术实施例还公开了一种加载器Loader病毒的查杀装置和一种终端。采用本发明专利技术,可以实现对Loader病毒的查杀,具有维护成本低和准确率高的特点。
【技术实现步骤摘要】
一种加载器Loader病毒的查杀方法、装置及终端
本专利技术涉及网络安全
,尤其涉及一种加载器Loader病毒的查杀方法、装置及终端。
技术介绍
木马病毒是一种常见的计算机病毒,其隐藏在宿主计算机内,病毒作者可以通过木马病毒对宿主计算机进行毁坏、窃取文件或远程操控等,例如:病毒作者可以通过木马病毒在远程控制宿主计算机执行“开关摄像头”或“开关麦克风”等敏感操作,对用户的隐私造成极大威胁。其中,加载器(Loader)病毒便属于木马病毒,加载器病毒通常伪装作主程序的DLL(DynamicLinkLibrary,动态连接库)文件,随主程序启动而运行。需要指出的是,加载器病毒所依附的主程序往往是知名企业的程序,具有安全认证的数字签名,因此被查杀难度大。目前,普遍应对加载器病毒的方法是,先确定待检验的主程序,再在预设的数据库中查找在正常情况下该主程序的DLL文件的文件名列表,然后检验该主程序的DLL文件的文件名列表是否与正常情况下的一致,若不一致说明该主程序中伪装有加载器病毒。但是,由于主程序数目庞大且更新频繁,维护数据库的成本非常高,一旦维护没同步,误报的几率非常高,影响了用户的体验。
技术实现思路
本专利技术实施例所要解决的技术问题在于,提供一种加载器Loader病毒的查杀方法、装置及终端,可以实现对Loader病毒的查杀,具有维护成本低和准确率高的特点。为了解决上述技术问题,本专利技术实施例提供了一种加载器Loader病毒的查杀方法,包括:获取目标检测程序的动态链接库DLL文件;提取所述目标检测程序的DLL文件的多个导出函数;判断在所述DLL文件的多个导出函数中是否有且仅有一个所述导出函数具有逻辑功能,若是,则确定所述目标检测程序的DLL文件是所述Loader病毒;清除或隔离所述目标检测程序。相应地,本专利技术实施例还提供了一种加载器Loader病毒的查杀装置,包括:文件获取模块,用于获取目标检测程序的动态链接库DLL文件;函数提取模块,用于提取所述目标检测程序的DLL文件的多个导出函数;病毒确定模块,用于判断在所述DLL文件的多个导出函数中是否有且仅有一个所述导出函数具有逻辑功能,若是,则确定所述目标检测程序的DLL文件是所述Loader病毒;病毒处理模块,用于清除或隔离所述目标检测程序。实施本专利技术实施例,具有如下有益效果:本专利技术实施例通过提取目标检测程序的DLL文件的多个导出函数,判断在DLL文件的多个导出函数中是否有且仅有一个导出函数具有逻辑功能的方法,从而确定目标检测程序的DLL文件是否为Loader病毒,可以实现对Loader病毒的查杀,具有维护成本低和准确率高的特点。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1是本专利技术实施例提供的一种加载器Loader病毒的查杀方法的流程示意图;图2是本专利技术实施例提供的另一种加载器Loader病毒的查杀方法的流程示意图;图3是本专利技术实施例提供的一种加载器Loader病毒的查杀装置的结构示意图;图4是本专利技术实施例提供的一种文件获取模块的结构示意图;图5是本专利技术实施例提供的一种函数提取模块的结构示意图;图6是本专利技术实施例提供的一种文件目录的示意图;图7是本专利技术实施例提供的另一种加载器Loader病毒的查杀装置的结构示意图。具体实施方式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。本专利技术实施例中的加载器Loader病毒的查杀装置(以下简称为“本专利技术装置”)内置于终端,所述终端可以包括个人电脑、智能手机、平板电脑、游戏机以及电子阅读器等,所述终端可以安装或运行程序。应理解,本专利技术实施例的Loader病毒是一种木马病毒,病毒作者可以通过木马病毒对宿主计算机进行毁坏、窃取文件或远程操控等。Loader病毒通常伪装作主程序的子文件,随主程序启动而运行。其中,在Windows系统的终端中,上述主程序可以是可执行(EXE)程序,以“.EXE”作为文件名后缀,子文件可以是DLL(DynamicLinkLibrary,动态连接库)文件,需要指出的是,EXE程序的功能是通过运行一个或多个DLL文件来实现的。一般地,EXE程序的DLL文件要么与其处于同一文件目录下,要么处于系统文件目录,因此在EXE程序启动时,终端会默认首先在EXE程序的文件目录下查找DLL文件,若无查找结果再到系统文件目录下查找DLL文件。利用上述特点,病毒作者将Loader病毒替换EXE程序的DLL文件或将Loader病毒放置在EXE程序的文件目录下,然后将上述EXE程序伪装作正常EXE程序欺骗用户在终端上使用,当终端启动该EXE程序后便会运行Loader病毒。还应理解,Loader病毒具有以下特点:1、在文件类型上,Loader病毒是DLL文件;2、为了欺骗终端,Loader病毒的导出函数的个数与正常DLL的导出函数的个数相同;3、Loader病毒仅利用其中一个导出函数实现其行为指令,而其它的导出函数使用无用指令来充数。图1是本专利技术实施例中一种加载器Loader病毒的查杀方法的流程示意图。如图所示本实施例中的加载器Loader病毒的查杀方法的流程可以包括:S101,获取目标检测程序的动态链接库DLL文件。所述目标检测程序可以是终端上的任意一个应用程序,在本专利技术实施例中,目标检测程序可以是EXE程序,例如QQ.EXE等,目标检测程序包括一个或多个DLL文件。所述DLL文件随目标检测程序启动而运行,DLL文件运行时将调用行为指令,从而实现目标检测程序的功能。具体的,本专利技术装置获取目标检测程序的一个或多个DLL文件。具体实现过程中,本专利技术装置可先确定目标检测程序所在的文件目录,再获取文件目录下的一个或多个DLL文件。例如,本专利技术装置根据目标检测程序的路径,找到目标检测程序的文件目录,文件目录可如图6所示,其中,Document1、Document2表示文件夹,X.EXE表示目标检测程序,A.DLL、B.DLL、E.DLL和F.DLL表示目标检测程序的DLL文件,C.SYS和D.DAT表示其它格式的文件,由于在文件类型上Loader病毒是DLL文件,因此本专利技术装置仅需获取文件目录下的DLL文件。需要指出的是,DLL文件可包括资源类(resource)的DLL文件,资源类的DLL文件常用于导出图标、光标、对话框或字符串等,因此其字节非常小,无法执行较复杂的行为指令,进而病毒作者不会将Loader病毒伪装或替换资源类的DLL文件,故进一步的,本专利技术装置仅需获取文件目录下的非资源类的DLL文件。S102,提取所述目标检测程序的DLL文件的多个导出函数。应理解,DLL文件所执行的指令是通过导出函数来实现的,每个DLL文件可有多个导出函数。具体的,本专利技术装置提取目标检测程序的DLL文件的多个导出函数。本文档来自技高网...
【技术保护点】
一种加载器Loader病毒的查杀方法,其特征在于,所述方法包括:获取目标检测程序的动态链接库DLL文件;提取所述目标检测程序的DLL文件的多个导出函数;判断在所述DLL文件的多个导出函数中是否有且仅有一个所述导出函数具有逻辑功能,若是,则确定所述目标检测程序的DLL文件是所述Loader病毒;清除或隔离所述目标检测程序。
【技术特征摘要】
1.一种加载器Loader病毒的查杀方法,其特征在于,所述方法包括:获取目标检测程序的动态链接库DLL文件;提取所述目标检测程序的DLL文件的多个导出函数;判断在所述DLL文件的多个导出函数中是否有且仅有一个所述导出函数具有逻辑功能,若是,则确定所述目标检测程序的DLL文件是所述Loader病毒;清除或隔离所述目标检测程序;其中,所述判断在所述DLL文件的多个导出函数中是否有且仅有一个所述导出函数具有逻辑功能,包括:基于反汇编引擎,将所述DLL文件的导出函数由字节码转换为源代码;通过对转换为源代码的导出函数进行逻辑分析,判断在所述DLL文件的多个导出函数中是否有且仅有一个所述导出函数的源代码具有逻辑功能。2.如权利要求1所述的方法,其特征在于,所述获取目标检测程序的动态链接库DLL文件,包括:确定所述目标检测程序所在的文件目录;获取所述文件目录下的非资源类的DLL文件。3.如权利要求1所述的方法,其特征在于,所述提取所述目标检测程序的DLL文件的多个导出函数,包括:获取所述目标检测程序的DLL文件中的多个函数地址;提取所述多个函数地址分别对应的多个所述导出函数。4.如权利要求1所述的方法,其特征在于,所述通过对转换为源代码的导出函数进行逻辑分析,判断在所述DLL文件的多个导出函数中是否有且仅有一个所述导出函数的源代码具有逻辑功能,包括:获取所述源代码的长度大于预设长度阈值的导出函数;通过对所述源代码的长度大于预设长度阈值的导出函数进行逻辑分析,判断在所述DLL文件的多个导出函数中是否有且仅有一个所述导出函数的源代码具有逻辑功能。5.如权利要求4所述的方法,其特征在于,所述源代码具有逻辑功能包括:所述源代码对应用程序编程接口API进行调用。6.如权利要求1所述的方法,其特征在于,所述判断在所述DLL文件的多个导出函数中是否有且仅有一个所述导出函数具有逻辑功能之前,还包括:确定所述DLL文件的导出函数的个数大于预设个数阈值。7.如权利要求6所述的方法,其特征在于,所述预设个数阈值是2。8.如权利要求1-7任一项所述的方法,其特征在于,所述清除或隔离所述目标检测程序之后,还包括:针对所述目标检测程序更新病毒数据库;当检测到出现所述目标检测程序时,向用户发出危险警报。9.一种加载器Loader病毒的查杀装置,其特征在于,所述查...
【专利技术属性】
技术研发人员:陈根,刘桂峰,姚辉,
申请(专利权)人:北京金山安全软件有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。