[发明专利]一种木马检测方法及装置

说明书

技术领域

本申请涉及通信技术领域，尤其涉及一种木马检测方法及装置。

背景技术

随着互联网技术的不断普及，网络安全问题日益凸显，特别是木马进程的泛滥，直接导致了各种重要信息的非法窃取和破坏。

在现有技术中，木马检测的方法为：将某个进程的特征码与木马特征库中保存的木马程序特征码进行匹配，若匹配成功，则确定该进程为木马进程。

但是，在上述木马检测方法中，对于具有可信任签名信息的进程，或者白名单中的可信任进程，一般是不进行木马检测的。然而，目前有一种注入型木马，这种注入型木马在执行时先启动一个合法进程，在该合法进程启动完成之前，该注入型木马将该合法进程暂停，并将自身的恶意代码写入到该合法进程的内存映像（IMAGE）中，再恢复该合法进程的启动，这样，注入型木马就可以逃避现有技术中的木马检测。

例如，注入型木马启动一个记事本进程（notepad.exe），该记事本进程具有可信任签名信息，在该记事本进程启动完成之前，注入型木马暂停该记事本进程，并将自身的恶意代码写入到记事本进程的内存IMAGE中，再恢复启动该记事本进程。

在记事本进程启动完成之后，该记事本进程实际上就变成了一个木马进程，而由于该记事本进程具有可信任签名信息，因此现有技术中的木马检测方法会直接放过该进程而不做检测，从而，此时该记事本进程已经成为了注入型木马的傀儡进程，该木马进程相当于披上了一层合法的外衣，逃避了现有技术中的木马检测，这无疑降低了计算机的安全性。

发明内容

本申请实施例提供一种木马检测方法及装置，用以解决现有技术中计算机的安全性较低的问题。

本申请实施例提供的一种木马检测方法，包括：

监控启动的进程，在所述进程启动完成时，确定所述进程的基址所在的内存块；

判断确定的所述内存块的类型是否为只读类型；

若是，则确定所述进程不是木马进程，不对所述进程进行任何操作，否则，确定所述进程是木马进程，阻断所述进程。

本申请实施例提供的一种木马检测装置，包括：

监控模块，用于监控启动的进程，在所述进程启动完成时，确定所述进程的基址所在的内存块；

判断模块，用于判断确定的所述内存块的类型是否为只读类型；

处理模块，用于当所述判断模块的判断结果为是时，确定所述进程不是木马进程，不对所述进程进行任何操作，当所述判断模块的判断结果为否时，确定所述进程是木马进程，阻断所述进程。

本申请实施例提供一种木马检测方法及装置，该方法针对启动完成的进程，确定该进程的基址所在的内存块，当该进程的基址所在的内存块的类型不是只读类型时，确定该进程是木马进程，阻断该进程。由于合法进程的基址所在的内存块的类型一般是只读类型，而注入型木马将恶意代码写入到合法进程的内存映像中时，需要将合法进程的基址所在的内存块的类型调整为非只读类型，因此本申请实施例中根据启动完成的进程的基址所在的内存块的类型进行木马检测，可以准确的检测出注入型木马并对其进行阻断，提高了计算机的安全性。

附图说明

图1为本申请实施例提供的木马检测过程；

图2为本申请实施例提供的木马检测的详细过程；

图3为本申请实施例提供的木马检测装置结构示意图。

具体实施方式

由于注入型木马在将自身的恶意代码写入到合法进程的内存IMAGE中时，需要将该合法进程的基址所在的内存块的类型调整为非只读类型，而合法进程的基址所在的内存块的类型通常是只读类型，因此本申请实施例根据进程的基址所在的内存块的类型，检测该进程是否是木马进程，可以准确的检测出注入型木马并对其进行阻断，提高了计算机的安全性。

下面结合说明书附图，对本申请实施例进行详细描述。

图1为本申请实施例提供的木马检测过程，具体包括以下步骤：

S101：监控启动的进程，在该进程启动完成时，确定该进程的基址所在的内存块。

在本申请实施例中，木马检测装置对启动的进程进行监控，一旦监控到已经启动完成的进程，就确定该进程的基址所在的内存块。

其中，一个进程的基址是指该进程在执行时的开始内存地址。木马检测装置可以针对启动的进程，记录该进程的基址，并在确定该进程的基址所在的内存块时，根据记录的该进程的基址，在内存中确定该进程的基址所在的内存块。