[发明专利]一种检测进程注入的方法、装置及存储介质

说明书

本发明实施例提供了一种检测进程注入的方法、装置及存储介质，用以解决目前的检测进程注入的方法无法检测出可以逃避基于API调用的特征的进程注入方法问题。该方法包括：启动目标进程；捕获所述目标进程中的应用程序编程接口API；确定捕获的API中存在调用行为的API的调用关系，其中，存在调用行为的API是调用了除用于捕获所述目标进程中的API的函数以外的其他API的API；将存在调用行为的API的调用关系与调用规则进行匹配；其中，调用规则是执行所述目标进程的系统正常运行时的API的调用关系；当存在调用关系匹配不成功的API时，确定目标进程被注入。

技术领域

本发明涉及信息安全技术领域，尤其涉及一种检测进程注入的方法、装置及存储介质。

背景技术

随着计算机应用的日益普及，包括病毒、木马在内的恶意程序的数量也迅速增长，其中的木马程序是一类可以通过在用户的计算机上运行，进而窃取用户文件、隐私、账户等信息，有的甚至还可以让黑客远程控制用户电脑的恶意程序。相比较传统的单纯以破坏计算机设备为目的的病毒，木马对计算机用户的侵害行为更具有获取利益的目的性，其窃取信息的行为常常会给用户造成巨大的损失 因此木马程序的危害也更大。恶意程序可以通过很多传播途径来侵害用户的电脑，例如便携的移动介质，如闪存盘，光盘等，而随着计算机网络技术的广泛应用，互联网逐渐成为恶意程序传播的主要途径之一，黑客或恶意程序传播者将木马等恶意程序文件伪装成其他类型文件，并引诱用户点击和下载，而恶意程序一旦被下载到用户计算机并成功运行，黑客或恶意程序传播者就可以利用这些恶意程序，进行破坏用户计算机，窃取用户个人信息等不法行为。

利用操作系统以及应用软件的漏洞实施攻击，是使恶意程序在用户计算机上成功植入和运行的最主要手段之一。漏洞是指操作系统软件或应用软件在逻辑设计上的缺陷或在编写时产生的错误。这些缺陷或错误往往可以被黑客利用来植入木马等恶意程序，侵害或控制甚至破坏用户计算机软硬件系统，或者窃取用户的重要资料和信息。

杀毒软件可以有效地对恶意程序进行预防和查杀，但是，恶意程序为了躲避杀毒软件的查杀，常常将恶意代码注入到白进程(记录在白名单中的进程， 不会被杀毒软件查杀)中，从而在白进程中对计算机进行攻击。

进程注入包括对内存中的某个进程进行操作，并且获得该进程地址空间里的数据，以及修改进程的私有数据结构，将自己的代码放在目标进程的地址空间里运行。通常情况下进程注入都会涉及到固定的应用程序编程接口（API，Application ProgrammingInterface）调用，基于此特征，当检测到对被监控程序内存写入数据后调用CreateRemoteThread函数和LoadLibrary函数，则判定为远程线程注入行为，或者检测到到APC队列中调用LoadLibrary函数，且在LoadLibrary函数执行之前发生过软中断，则判定有异步调用过程（APC，Asynchronous Procedure Call）注入行为。

目前检测进程注入的方法依赖于固定API调用的特征，并且进程注入也会用于非恶意软件中，比如某些升级程序则是使用这种方法实现对运行中的程序的热升级。另外目前的注入方法层出不穷，有些注入方法可以逃避基于API调用的特征，使注入动作更加隐秘，对于这些注入技术现有的检测方法已经显得力不从心。

综上所述，目前的检测进程注入的方法无法检测出可以逃避基于API调用的特征的进程注入方法。

发明内容

本发明实施例提供了一种检测进程注入的方法、装置及存储介质，用以解决目前的检测进程注入的方法无法检测出可以逃避基于API调用的特征的进程注入方法问题。

基于上述问题，本发明实施例提供的一种检测进程注入的方法，包括：

启动目标进程；

捕获所述目标进程中的应用程序编程接口API；