本发明专利技术提出一种恶意代码检测方法、装置和存储介质,涉及计算机系统安全技术领域。该方法包括以下步骤:获取内存中可执行单元的指向文件信息,判断系统中有无所述指向文件;如果不存在所述指向文件,则临时阻断所述可执行单元的执行,并采用第一处理策略;如果存在所述指向文件,则判断所述指向文件的真实性;若所述指向文件为真,则采用第二处理策略;若所述指向文件为假,则临时阻断所述可执行单元的执行,采用第一处理策略。该方法用于解决恶意代码企图通过无实体文件或假实体文件的策略,逃过检测的问题。本发明专利技术同时还提供一种恶意文件检测装置和计算机可读存储介质,均具有上述有益效果。益效果。益效果。
【技术实现步骤摘要】
一种恶意代码检测方法、装置和存储介质
[0001]本专利技术涉及计算机系统安全
,具体地说,涉及一种恶意代码检测方法、装置和存储介质。
技术介绍
[0002]恶意代码检测常规方法,是基于代码特征技术实现的,基本方法是:扫描系统磁盘内的文件,提取特征码进行对比;扫描内存特征,并进行特征匹配。显而易见,如果恶意代码使用了加密多态技术,就很难提取检测特征;或者使用无文件攻击方式,即将恶意代码注入到内存,但并不在系统中产生文件,传统检测方法就很难应对。公布号为CN 106778276A的中国专利技术专利,公开了一种检测无实体文件恶意代码的方法,其主要步骤包括:遍历系统内正在运行的进程和模块;获取所有进程和模块的路径和文件名,判断在系统磁盘下是否存在对应的文件,若存在则放弃记录,若不存在则阻止相关进程和模块的运行,并分析相关进程和模块是否存在恶意代码。该专利技术仅将有无文件作为判断恶意代码的标准,现实中,一些恶意代码可能通过假文件来骗过检测,因此,上述专利公开的方法存在安全漏洞。
技术实现思路
[0003]本专利技术提供一种恶意代码检测方法、装置和存储介质,用于解决恶意代码企图通过无实体文件或假实体文件的策略,逃过检测的问题。本专利技术的实施例内容如下:
[0004]本专利技术提出一种恶意代码检测方法,包括以下步骤:
[0005]获取内存中可执行单元的指向文件信息,判断系统中有无所述指向文件;如果不存在所述指向文件,则临时阻断所述可执行单元的执行,并采用第一处理策略,判断所述可执行单元是否为恶意代码;如果存在所述指向文件,则判断所述指向文件的真实性;若所述指向文件为真,则采用第二处理策略,判断所述可执行单元是否为恶意代码;若所述指向文件为假,则临时阻断所述可执行单元的执行,采用第一处理策略,判断所述可执行单元是否为恶意代码;如果所述可执行单元被判定为恶意代码,则不恢复执行,并列入黑名单;如果所述可执行单元未被判定为恶意代码,则恢复其执行。所述可执行单元包括线程、进程、模块等。
[0006]进一步地,所述获取内存中执行单元信息的方法,包括:扫描所述系统内存,获取内存中已有的所述可执行单元的信息;检测到新的可执行单元创建时,获取所述可执行单元的信息。
[0007]进一步地,所述判断所述指向文件的真实性,包括判断所述指向文件是否为所述可执行单元的对应文件。
[0008]进一步地,当考虑以执行效率优先时,所述第一处理策略为直接判定所述代码为恶意代码。
[0009]进一步地,当考虑以恶意代码判断的准确度优先时,所述第一处理策略包括:判断所述可执行单元的代码是否加密,若加密,则进行解密处理;若解密成功,则采用特征代码
法,并基于匹配结果判断其是否为恶意代码,或采用虚拟化检测方法,虚拟执行所述代码,执行结果,判断是否为恶意代码;若解密失败,则将所述可执行单元采用虚拟化检测方法虚拟执行,视执行结果判断其是否为恶意代码;若未加密,则采用特征代码法,并基于匹配结果判断其是否为恶意代码,或采用虚拟化检测方法,虚拟执行所述代码,执行结果,判断是否为恶意代码。
[0010]进一步地,所述第二处理策略包括:采用特征代码法、校验和法等判断所述可执行单元是否为恶意代码。
[0011]本专利技术提出与上述恶意代码检测方法对应的一种恶意代码检测装置,包括:信息获取模块,用于获取内存中可执行单元的信息;判断模块,用于判断所述可执行单元是否存在指向文件及所述指向文件的真实性;第一处理策略模块,用于执行第一处理策略;第二处理策略模块,用于执行第二处理策略;可执行单元控制模块,用于阻止或恢复所述可执行单元的执行。
[0012]进一步地,所述第一处理策略模块,包括:判断子模块,用于判断可执行单元的代码是否加密;解密子模块,用于解密所述代码;虚拟化检测子模块,用于虚拟执行所述代码。
[0013]进一步地,所述第二处理策略模块,包括:特征代码法检测子模块或校验和法检测子模块。
[0014]本专利技术提出与上述恶意代码检测方法对应的一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,实现上述任意一项所述恶意代码检测方法。
[0015]本专利技术提出的恶意代码检测方法、装置和存储介质,对恶意代码的检测不依赖于常规特征,恶意代码采用无实体文件或假实体文件都可以检测,解决恶意代码企图通过无实体文件或假实体文件的策略,逃过检测的问题,同时也可以解决恶意代码采用加密技术、多态技术、更换加载技术逃避检测的问题。
附图说明
[0016]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0017]图1实施例中恶意代码检测方法流程图;
[0018]图2优选实施例中恶意代码检测方法流程图;
[0019]图3恶意代码检测装置示意图。
具体实施方式
[0020]下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0021]根据本专利技术的实施例,提供了一种恶意代码检测方法,图1为恶意代码检测方法流
程图,包括以下步骤:获取内存中可执行单元的指向文件信息,判断系统中有无所述指向文件,其中可执行单元包括线程、进程、模块等;如果不存在指向文件,则临时阻断可执行单元的执行,并采用第一处理策略,即采用虚拟化检测方法,虚拟执行所述代码,并判断是否为恶意代码;如果存在指向文件,则判断指向文件的真实性;若指向文件为真,则采用第二处理策略,即采用特征代码法,判断可执行单元是否为恶意代码;若指向文件为假,则临时阻断可执行单元的执行,采用第一处理策略,判断可执行单元是否为恶意代码;如果可执行单元被判定为恶意代码,则不恢复执行,并列入黑名单;如果可执行单元未被判定为恶意代码,则恢复其执行。
[0022]通过上述方法,可以解决恶意代码企图通过无实体文件或假实体文件的策略,逃过检测的问题,增强了计算机系统的安全性。
[0023]本专利技术的一优选实施例中,所述获取内存中执行单元信息的方法,包括:扫描所述系统内存,获取内存中已有的所述可执行单元的信息;检测到新的可执行单元创建时,获取所述可执行单元的信息。通过这两种方法的组合,既可以检测到内存中已经存在的恶意代码,又可以检测新进入内存的恶意代码。
[0024]本专利技术的一优选实施例中,所述判断所述指向文件的真实性,包括判断所述指向文件是否为所述可执行单元的对应文件。如果可执行单元指向的文件是其应该对应的文件,则可以认为该指向文件是真是的;如果可执行单元指向的文件不是其应该对应的文件本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种恶意代码检测方法,其特征在于,包括以下步骤:获取内存中可执行单元的指向文件信息,判断系统中有无所述指向文件;如果不存在所述指向文件,则临时阻断所述可执行单元的执行,并采用第一处理策略,判断所述可执行单元是否为恶意代码;如果存在所述指向文件,则判断所述指向文件的真实性;若所述指向文件为真,则采用第二处理策略,判断所述可执行单元是否为恶意代码;若所述指向文件为假,则临时阻断所述可执行单元的执行,采用第一处理策略,判断所述可执行单元是否为恶意代码;如果所述可执行单元被判定为恶意代码,则不恢复执行;如果所述可执行单元未被判定为恶意代码,则恢复其执行。2.根据权利要求1所述的恶意代码检测方法,其特征在于,所述获取内存中执行单元信息的方法,包括:扫描所述系统内存,获取内存中已有的所述可执行单元的信息;检测到新的可执行单元创建时,获取所述可执行单元的信息。3.根据权利要求1所述的恶意代码检测方法,其特征在于,所述判断所述指向文件的真实性,包括判断所述指向文件是否为所述可执行单元的对应文件。4.根据权利要求1所述的恶意代码检测方法,其特征在于,所述第一处理策略为直接判定所述代码为恶意代码。5.根据权利要求1所述的恶意代码检测方法,其特征在于,所述第一处理策略包括:判断所述可执行单元的代码是否加密,若加密,则进行解密处理;若解密成功,则采用特征代码法或虚拟化检测方法,并基于匹配结果或虚拟...
【专利技术属性】
技术研发人员:牛牧原,
申请(专利权)人:北京猎鹰安全科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。