本申请实施例公开了一种进程的检测方法、检测装置以及存储介质,用于数据安全技术领域。本申请实施例方法包括:针对于待检测进程,确定待检测进程关联的线程及线程被执行时所调用的线程函数;其中线程函数对应有内存区域;基于线程函数对应的内存区域的相关信息,确定待检测进程关联的线程是否执行恶意代码。本申请实施例中,基于线程函数对应的内存区域的相关信息,能够针对待检测进程关联的线程进行检测,通过检测线程是否执行恶意代码,能够精确地检测出线程关联的待检测进程是否执行恶意代码。
【技术实现步骤摘要】
本申请实施例涉及数据安全,尤其涉及一种进程的检测方法、检测装置以及存储介质。
技术介绍
1、进程(process)是正在运行的程序的实例,是一个具有一定独立功能的程序关于某个数据集合的一次运行活动。进程是操作系统动态执行的基本单元,在操作系统中,进程既是基本的分配单元,也是基本的执行单元。
2、攻击者常通过进程注入或动态链接库(dll)劫持,将恶意代码载入进程的内存中,以使进程执行恶意代码。目前针对进程执行恶意代码的检测过程一般为,在黑名单规则库中设置恶意代码的内存特征,当检测到进程内存中代码的内存特征为黑名单规则库中的内存特征,则确定进程执行恶意代码。
3、然而,攻击者可以对载入进程的恶意代码的内存特征进行混淆,导致难以精确地使用黑名单规则库检测进程是否执行恶意代码;或者,当载入进程的恶意代码的内存特征不位于黑名单规则库时,将难以精确地使用黑名单规则库检测进程是否执行恶意代码。即现有的,通过黑名单规则库难以精确地检测出进程是否执行恶意代码。
技术实现思路
1、本申请实施例提供了一种进程的检测方法、检测装置以及存储介质,能够精确地检测出进程是否执行恶意代码。
2、本申请实施例提供了一种进程的检测方法,包括:
3、针对于待检测进程,确定所述待检测进程关联的线程及所述线程被执行时所调用的线程函数;其中所述线程函数对应有内存区域;
4、基于所述线程函数对应的内存区域的相关信息,确定所述待检测进程关联的所述线程是否执行恶意代码。</p>5、进一步的,所述针对于待检测进程,确定所述待检测进程关联的线程及所述线程被执行时所调用的线程函数之前,还包括:
6、针对于任一进程,在确定所述进程的签名信息有效的情况下,则确定所述进程为所述待检测进程。
7、进一步的,所述线程函数包括:所述线程对应的线程初始函数,所述线程函数对应的内存区域的相关信息包括:所述线程初始函数的内存区域对应的内存属性;
8、所述基于所述线程函数对应的内存区域的相关信息,确定所述待检测进程关联的所述线程是否执行恶意代码,包括:
9、若所述线程初始函数的内存区域对应的内存属性不为系统分配属性,则确定所述待检测进程关联的所述线程在执行恶意代码;
10、若所述线程初始函数的内存区域对应的内存属性为系统分配属性,则确定所述待检测进程关联的所述线程未执行恶意代码。
11、进一步的,所述若所述线程初始函数的内存区域对应的内存属性为系统分配属性,则确定所述待检测进程关联的所述线程未执行恶意代码,包括:
12、若所述线程初始函数的内存区域对应的内存属性为系统分配属性,且所述线程初始函数的函数名称解析成功,则确定所述待检测进程关联的所述线程未执行恶意代码。
13、进一步的,所述线程函数包括:所述线程对应的线程调用堆栈中的堆栈线程函数;所述基于所述线程函数对应的内存区域的相关信息,确定所述待检测进程关联的所述线程是否执行恶意代码,包括:
14、基于所述堆栈线程函数对应的内存区域的相关信息,在所述线程调用堆栈的堆栈线程函数中确定异常的堆栈线程函数;
15、确定所述线程调用堆栈中是否存在从所述异常的堆栈线程函数到预设特定堆栈线程函数的函数执行流;
16、若存在所述函数执行流,则确定所述待检测进程关联的所述线程在执行恶意代码;
17、若不存在所述函数执行流,则确定所述待检测进程关联的所述线程未执行恶意代码。
18、进一步的,所述堆栈线程函数对应的内存区域的相关信息包括:所述堆栈线程函数的内存区域对应的内存属性;
19、所述基于所述堆栈线程函数对应的内存区域的相关信息,在所述线程调用堆栈的堆栈线程函数中确定异常的堆栈线程函数,包括:
20、若所述堆栈线程函数的内存区域对应的内存属性不为系统分配属性,则确定所述堆栈线程函数为异常的线程函数。
21、进一步的,所述堆栈线程函数对应的内存区域的相关信息包括:所述堆栈线程函数对应的内存区域所属的动态链接库的签名信息;
22、所述基于所述堆栈线程函数对应的内存区域的相关信息,在所述线程调用堆栈的堆栈线程函数中确定异常的堆栈线程函数,包括:
23、若所述堆栈线程函数的内存区域所属的动态链接库的签名信息无效,则确定所述堆栈线程函数为异常的线程函数。
24、进一步的,所述针对于待检测进程,确定所述待检测进程关联的线程及所述线程被执行时所调用的线程函数,包括:
25、将所述待检测进程的进程名输入线程查询函数,得到所述待检测进程关联的线程,以及所述线程被执行时所调用的线程函数。
26、本申请实施例还提供了一种进程的检测装置,包括:
27、确定单元,用于针对于待检测进程,确定所述待检测进程关联的线程及所述线程被执行时所调用的线程函数;其中所述线程函数对应有内存区域;
28、执行单元,用于基于所述线程函数对应的内存区域的相关信息,确定所述待检测进程关联的所述线程是否执行恶意代码。
29、本申请实施例还提供了一种进程的检测装置,包括:
30、中央处理器,存储器,输入输出接口,有线或无线网络接口,电源;
31、所述存储器为短暂存储存储器或持久存储存储器;
32、所述中央处理器配置为与所述存储器通信,在控制面功能实体上执行所述存储器中的指令操作以执行上述的检测方法。
33、本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质包括指令,当所述指令在计算机上运行时,使得计算机执行如上所述的检测方法。
34、本申请实施例还提供了一种包含指令或计算机程序的计算机程序产品,当所述计算机程序产品在计算机上运行时,使得计算机执行如上所述的方法。
35、从以上技术方案可以看出,本申请实施例具有以下优点:
36、可见,本申请实施例中,针对于待检测进程,确定待检测进程关联的线程及线程被执行时所调用的线程函数;其中线程函数对应有内存区域;基于线程函数对应的内存区域的相关信息,确定待检测进程关联的线程是否执行恶意代码。本申请实施例中,基于线程函数对应的内存区域的相关信息,能够针对待检测进程关联的线程进行检测,通过检测线程是否执行恶意代码,能够精确地检测出线程关联的待检测进程是否执行恶意代码。
本文档来自技高网...
【技术保护点】
1.一种进程的检测方法,其特征在于,包括:
2.根据权利要求1所述的检测方法,其特征在于,所述线程函数包括:所述线程对应的线程初始函数,所述线程函数对应的内存区域的相关信息包括:所述线程初始函数的内存区域对应的内存属性;
3.根据权利要求2所述的检测方法,其特征在于,所述若所述线程初始函数的内存区域对应的内存属性为系统分配属性,则确定所述待检测进程关联的所述线程未执行恶意代码,包括:
4.根据权利要求1所述的检测方法,其特征在于,所述线程函数包括:所述线程对应的线程调用堆栈中的堆栈线程函数;所述基于所述线程函数对应的内存区域的相关信息,确定所述待检测进程关联的所述线程是否执行恶意代码,包括:
5.根据权利要求4所述的检测方法,其特征在于,所述堆栈线程函数对应的内存区域的相关信息包括:所述堆栈线程函数的内存区域对应的内存属性;
6.根据权利要求4所述的检测方法,其特征在于,所述堆栈线程函数对应的内存区域的相关信息包括:所述堆栈线程函数对应的内存区域所属的动态链接库的签名信息;
7.一种进程的检测装置,其特征在于,包括:
8.一种进程的检测装置,其特征在于,包括:
9.一种计算机程序产品,包含计算机程序,其特征在于,当所述计算机程序产品在计算机上运行时,使得计算机执行如权利要求1至6所述的检测方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质包括指令,当所述指令在计算机上运行时,使得计算机执行如权利要求1至6所述的检测方法。
...
【技术特征摘要】
1.一种进程的检测方法,其特征在于,包括:
2.根据权利要求1所述的检测方法,其特征在于,所述线程函数包括:所述线程对应的线程初始函数,所述线程函数对应的内存区域的相关信息包括:所述线程初始函数的内存区域对应的内存属性;
3.根据权利要求2所述的检测方法,其特征在于,所述若所述线程初始函数的内存区域对应的内存属性为系统分配属性,则确定所述待检测进程关联的所述线程未执行恶意代码,包括:
4.根据权利要求1所述的检测方法,其特征在于,所述线程函数包括:所述线程对应的线程调用堆栈中的堆栈线程函数;所述基于所述线程函数对应的内存区域的相关信息,确定所述待检测进程关联的所述线程是否执行恶意代码,包括:
5.根据权利要求4所述的检测方法,其特...
【专利技术属性】
技术研发人员:马柔忍,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。