[发明专利]检测与拦截Mimikatz的方法、装置、计算机设备及可读存储介质

说明书

本申请涉及一种检测与拦截Mimikatz的方法、装置、计算机设备及可读存储介质，其中，方法包括：实时获得进程运行时加载的动态链接库中的dll文件；将dll文件与Mimikatz‑dll特征库中的dll文件一一对比，Mimikatz‑dll特征库为Mimikatz运行时加载的dll文件组成的特征库；当dll文件中包含Mimikatz‑dll特征库中的所有dll文件时，拦截dll文件对应的进程；当拦截成功时，返回实时获得运行进程时加载的动态链接库中的dll文件。

技术领域

本申请涉及计算机技术领域，特别是涉及一种检测与拦截Mimikatz的方法、装置、计算机设备及可读存储介质。

背景技术

Mimikatz是一款由法国人编写的轻量级调试工具，具备很多的功能，比如说提升进程权限，注入进程，读取进程内存等等，较为人所知的是使用Mimikatz来获取Windows的明文密码。Mimikatz能够从Windows认证的进程中获取内存，并且获取明文密码和NTLM(NTLAN Manager，标准安全协议)哈希值，攻击者可以借此漫游内网。

Mimikatz攻击工具不仅会造成Windows系统中密码被公开，而且，以此攻击工具为漏洞利用工具结合其他恶意软件，会对网络安全造成很大的危害。比如，以Mimikatz攻击工具为基础之一的新型勒索病毒“坏兔子”要求受害人登录某个服务网站，并支付0.5个比特币的赎金，潜在危险较高，影响较大。

虽然，Mimikatz的源代码已经公开，但是，目前，没有针对Mimikatz攻击软件的快速的检测和拦截技术。

发明内容

基于此，有必要针对Mimikatz工具获取密码的问题，提供一种检测与拦截Mimikatz的方法、装置、计算机设备及可读存储介质。

一种检测与拦截Mimikatz的方法，包括下述步骤：

实时获得进程运行时加载的动态链接库中的dll文件；

将dll文件与Mimikatz-dll特征库中的dll文件一一对比，Mimikatz-dll特征库为Mimikatz运行时加载的dll文件组成的特征库；

当dll文件中包含Mimikatz-dll特征库中的所有dll文件时，拦截dll文件对应的进程；

当拦截成功时，返回实时获得运行进程时加载的动态链接库中的dll文件的步骤。

在其中一个实施例中，还包括：

当检测到的dll文件中不包含Mimikatz-dll特征库中包含的任一dll文件时，返回实时获得运行进程时加载的动态链接库中的dll文件的步骤。

在其中一个实施例中，还包括：当接收到结束检测指令时，结束实时检测。

在其中一个实施例中，Mimikatz-dll特征库包括32位Mimikatz-dll特征库和64位Mimikatz-dll特征库。

一种检测与拦截Mimikatz的装置，包括：

检测模块，用于实时获得进程运行时加载的动态链接库中的dll文件；

对比模块，用于将dll文件与Mimikatz-dll特征库中的dll文件一一对比，Mimikatz-dll特征库为Mimikatz运行时加载的dll文件组成的特征库；

拦截模块，用于当dll文件中包含Mimikatz-dll特征库中的所有dll文件时，拦截dll文件对应的进程；

循环模块，用于当拦截成功时，控制检测模块执行实时获得运行进程时加载的动态链接库中的dll文件的操作。

在其中一个实施例中，还包括：