脚本识别方法、装置、设备及存储介质制造方法及图纸

本发明专利技术涉及脚本识别技术领域，公开了一种脚本识别方法、装置、设备及存储介质，所述方法包括：在接收到目标powershell脚本的运行请求时，确定目标进程的进程信息，根据所述进程信息获取所述目标进程在运行过程中需要调用的目标函数及各目标函数对应的目标机器码，对所述目标函数及所述目标机器码进行检测，并根据检测结果判断所述目标powershell脚本是否为异常powershell脚本。从而通过对从目标进程中获取的目标函数及目标机器码进行检测来判断脚本是否异常，解决了如何对powershell脚本进行识别，判断其是否异常，提高安全性的技术问题。题。题。

Script recognition method, device, device and storage medium

【技术实现步骤摘要】
脚本识别方法、装置、设备及存储介质


[0001]本专利技术涉及脚本识别
，尤其涉及一种脚本识别方法、装置、设备及存储介质。

技术介绍

[0002]随着技术的发展，powershell脚本逐渐常用起来，但是缺乏对powershell脚本进行检测和识别的方法，不法分子可能会在powershell脚本中添加木马或者其他恶意行为，影响到了用户使用电脑的安全性，例如，韩国平昌奥运会APT攻击事件中利用powershell实现的图片隐写技术、蓝宝菇APT组织大量的使用powershell脚本等非PE后门替代原有的PE木马等。
[0003]所以，本质上存在着如何对powershell脚本进行识别，判断其是否为异常powershell脚本，提高安全性的技术问题。
[0004]上述内容仅用于辅助理解本专利技术的技术方案，并不代表承认上述内容是现有技术。

技术实现思路

[0005]本专利技术的主要目的在于提出一种脚本识别方法、装置、设备及存储介质，旨在解决如何对powershell脚本进行识别，判断其是否为异常powershell脚本，提高安全性的技术问题。
[0006]为实现上述目的，本专利技术提供一种脚本识别方法，所述目标脚本识别方法包括以下步骤：
[0007]在接收到目标powershell脚本的运行请求时，确定目标进程的进程信息，所述目标进程为用于启动所述目标powershell脚本的进程；
[0008]根据所述进程信息获取所述目标进程在运行过程中需要调用的目标函数及各目标函数对应的目标机器码；
[0009]对所述目标函数及所述目标机器码进行检测，并根据检测结果判断所述目标powershell脚本是否为异常powershell脚本。
[0010]优选地，所述根据所述进程信息获取所述目标进程在运行过程中需要调用的目标函数及各目标函数对应的目标机器码，具体包括：
[0011]根据所述进程信息向所述目标进程内注入动态链接库DLL文件；
[0012]通过所述DLL文件中的钩子函数获取所述目标进程在运行过程中需要调用的目标函数及各目标函数对应的目标机器码。
[0013]优选地，所述根据所述进程信息向所述目标进程内注入动态链接库DLL文件，具体包括：
[0014]从所述进程信息中提取所述目标进程对应的进程类型；
[0015]查找与所述进程类型相匹配的DLL文件；
[0016]将所述DLL文件注入所述目标进程内。
[0017]优选地，所述通过所述DLL文件中的钩子函数获取所述目标进程在运行过程中需要调用的目标函数及各目标函数对应的目标机器码，具体包括：
[0018]从所述DLL文件中提取钩子链表；
[0019]查找所述钩子链表中的钩子进程，并获取各钩子进程对应的钩子函数；
[0020]通过所述钩子函数获取所述目标进程在运行过程中需要调用的目标函数；
[0021]获取所述目标函数对所述目标powershell脚本进行编译时生成的目标机器码。
[0022]优选地，所述通过所述钩子函数获取所述目标进程在运行过程中需要调用的目标函数，具体包括：
[0023]通过所述钩子函数获取所述目标进程中针对JIT引擎的编译函数；
[0024]将所述编译函数作为所述目标进程在运行过程中需要调用的目标函数。
[0025]优选地，所述对所述目标函数及所述目标机器码进行检测，并根据检测结果判断所述目标powershell脚本是否为异常powershell脚本，具体包括：
[0026]对所述目标函数进行遍历，并将遍历到的目标函数添加进目标函数集合；
[0027]对所述目标机器码进行遍历，并将遍历到的目标机器码添加进目标机器码集合；
[0028]对所述目标函数集合内的目标函数及所述目标机器码集合中的目标机器码进行组合；
[0029]根据组合结果确定目标行为；
[0030]对所述目标行为进行检测，并根据检测结果判断所述目标powershell脚本是否为异常powershell脚本。
[0031]优选地，所述对所述目标行为进行检测，并根据检测结果判断所述目标powershell脚本是否为异常powershell脚本，具体包括：
[0032]将所述目标行为与预设黑名单行为进行匹配；
[0033]根据匹配结果判断所述目标powershell脚本是否为异常powershell脚本。
[0034]此外，为实现上述目的，本专利技术还提出一种脚本识别装置，所述目标脚本识别装置包括：
[0035]进程确定模块，用于在接收到目标powershell脚本的运行请求时，确定目标进程的进程信息，所述目标进程为用于启动所述目标powershell脚本的进程；
[0036]函数获取模块，用于根据所述进程信息获取所述目标进程在运行过程中需要调用的目标函数及各目标函数对应的目标机器码；
[0037]函数检测模块，用于对所述目标函数及所述目标机器码进行检测，并根据检测结果判断所述目标powershell脚本是否为异常powershell脚本。
[0038]此外，为实现上述目的，本专利技术还提出一种脚本识别设备，所述目标脚本识别设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的脚本识别程序，所述脚本识别程序配置有实现如上所述的脚本识别方法的步骤。
[0039]此外，为实现上述目的，本专利技术还提出一种存储介质，所述存储介质上存储有脚本识别程序，所述脚本识别程序被处理器执行时实现如上所述的脚本识别方法的步骤。
[0040]本专利技术提出的脚本识别方法，通过在接收到目标powershell脚本的运行请求时，确定目标进程的进程信息，所述目标进程为用于启动所述目标powershell脚本的进程；根
据所述进程信息获取所述目标进程在运行过程中需要调用的目标函数及各目标函数对应的目标机器码；对所述目标函数及所述目标机器码进行检测，并根据检测结果判断所述目标powershell脚本是否为异常powershell脚本。从而通过对从目标进程中获取的目标函数及目标机器码进行检测来判断目标powershell脚本是否为异常powershell脚本，解决了如何对powershell脚本进行识别，判断其是否为异常powershell脚本，提高安全性的技术问题。
附图说明
[0041]图1是本专利技术实施例方案涉及的硬件运行环境的脚本识别设备结构示意图；
[0042]图2为本专利技术脚本识别方法第一实施例的流程示意图；
[0043]图3为本专利技术脚本识别方法第二实施例的流程示意图；
[0044]图4为本专利技术脚本识别方法第三实施例的流程示意图；
[0045]图5为本专利技术脚本识别装置第一实施例的功能模块示意图。
[0046]本专利技术目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。
具体实施方式
本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种脚本识别方法，其特征在于，所述脚本识别方法包括以下步骤：在接收到目标powershell脚本的运行请求时，确定目标进程的进程信息，所述目标进程为用于启动所述目标powershell脚本的进程；根据所述进程信息获取所述目标进程在运行过程中需要调用的目标函数及各目标函数对应的目标机器码；对所述目标函数及所述目标机器码进行检测，并根据检测结果判断所述目标powershell脚本是否为异常powershell脚本。2.如权利要求1所述的脚本识别方法，其特征在于，所述根据所述进程信息获取所述目标进程在运行过程中需要调用的目标函数及各目标函数对应的目标机器码，具体包括：根据所述进程信息向所述目标进程内注入动态链接库DLL文件；通过所述DLL文件中的钩子函数获取所述目标进程在运行过程中需要调用的目标函数及各目标函数对应的目标机器码。3.如权利要求2所述的脚本识别方法，其特征在于，所述根据所述进程信息向所述目标进程内注入动态链接库DLL文件，具体包括：从所述进程信息中提取所述目标进程对应的进程类型；查找与所述进程类型相匹配的DLL文件；将所述DLL文件注入所述目标进程内。4.如权利要求2所述的脚本识别方法，其特征在于，所述通过所述DLL文件中的钩子函数获取所述目标进程在运行过程中需要调用的目标函数及各目标函数对应的目标机器码，具体包括：从所述DLL文件中提取钩子链表；查找所述钩子链表中的钩子进程，并获取各钩子进程对应的钩子函数；通过所述钩子函数获取所述目标进程在运行过程中需要调用的目标函数；获取所述目标函数对所述目标powershell脚本进行编译时生成的目标机器码。5.如权利要求4所述的脚本识别方法，其特征在于，所述通过所述钩子函数获取所述目标进程在运行过程中需要调用的目标函数，具体包括：通过所述钩子函数获取所述目标进程中针对JIT引擎的编译函数；将所述编译函数作为所述目标进程在运行过程中需要调用的目标函数。6.如权利要求1～5中任一项所...

【专利技术属性】
技术研发人员：孙诚，张恒，林岳川，
申请(专利权)人：苏州三六零智能安全科技有限公司，
类型：发明
国别省市：