【技术实现步骤摘要】
一种基于调用链验证的勒索软件对抗方法
[0001]本专利技术涉及计算机数据安全
,具体为一种基于调用链验证的勒索软件对抗方法
。
技术介绍
[0002]调用链是指一个软件程序在执行期间各个模块或函数之间的相互调用关系,系统会对进程或应用程序进行监视,记录它们的调用链信息和执行流程
。
通过分析和验证这些调用链,系统能够检测到不正常的行为或恶意活动,包括勒索软件的加密过程
、
文件修改和网络通信等
。
从而中断勒索软件的运行
、
阻止其对文件的写入操作
。
由于勒索病毒针对的是普通数据文件,所以本身不要求较高的运行权限,也没有其他木马
、
病毒类的高危特征行为,因此,杀毒软件往往对勒索病毒并无察觉
。
应运而生的防勒索软件一方面通过特征检查查杀已知的勒索软件,对于未知的勒索软件,主要靠行为分析来鉴别和隔离
。
[0003]目前大多的靠特征检查查杀防勒索软件,仅适用于已知的勒索软件
。
而勒索软件是不断推陈出新的,特征不断在变化中,这种方式无法防范变种的或新型的勒索软件
。
靠未知程序行为分析的话必然要设定白名单,例如
office
的应用程序读取
doc
必然要通过白名单放行
。2020
年以来,以
Ryuk
勒索病毒为代表的新一代勒索病毒都具备了应用程序注入能力,即注入正规应用程序内 ...
【技术保护点】
【技术特征摘要】
1.
一种基于调用链验证的勒索软件对抗方法,其特征在于,包括以下步骤:步骤一
、
首先安装一个
Minifilter
驱动程序,过滤所有的对敏感文件的写操作,对于敏感文件的写操作,需要对其进行中断调查处理,获取一个从应用到内核的调用链;步骤二
、
对获取到的调用链进行清洗,将调用地址同所在模块基地址相减,得到相对地址,将连续的重复的调用所在模块合并为一,形成一个简单的
、
但保留了主要特征的调用链;步骤三
、
将调用链存储到数据库,标记为正常应用程序行为,此数据库就是当前计算机的基线数据库;步骤四
、
对于一些知名软件的正规文件访问行为形成一个内建数据库,随同产品一起发布;步骤五
、
在运行期,采用同样的办法获取到对敏感文件的写操作,并提取和清洗调用链,将调用链在内建数据库中查找,以做进一步的判定,如果匹配不到,则中断此次写文件的行为,并向管理员发出告警;步骤六
、
管理员如果认为这依然是正规的文件读写行为,则此次的调用链被当作正规调用链记录到当前计算机的基线数据库内;步骤七
、
如果发现这不是正规文件读写行为,则很有可能遭遇未知勒索病毒,管理员可以发起进一步处置
。2.
根据权利要求1所述的一种基于调用链验证的勒索软件对抗方法,其特征在于,所述步骤一中的过滤所有的对敏感文件的写操作包括以下步骤:在
Minifilter
驱动程序中实现文件写操作的回调函数,这些回调函数会在文件写入操作发生之前被调用,允许驱动程序检查和干预文件操作;在回调函数中,驱动程序可以通过硬编码敏感文件路径检查正在被写入的文件路径,筛选出敏感文件路径或特定类型的文件
。3.
根据权利要求1所述的一种基于调用链验证的勒索软件对抗方法,其特征在于,所述步骤一中的中断调查处理包括以下步骤:敏感文件的写操作首先产生中断,然后调用内核函数
RtlCaptureStackBackTrace
来获取当前的调用栈帧;回溯栈到达内核层顶端之后,获取当前线程
id
,再在应用层获取该线程的应用层调用栈,形成一个从应用层到内核层的完整调用链;每一层调用都记录函数地址
、
参数个数
。4.
根据权利要求1所述的一种基于调用链验证的勒索软件对抗方法,其特征在于,所述步骤二中的调用链清洗包括以下步骤:对获取到的调用链数据进行初步处理,排除系统中正常的
【专利技术属性】
技术研发人员:陆腾,
申请(专利权)人:山东固信软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。