[发明专利]一种内存中可执行文件获取方法、装置、设备及存储介质

说明书

本申请公开了一种内存中可执行文件获取方法，该方法包括以下步骤：在预先构建的虚拟环境中，启动目标任务文件，虚拟环境的虚拟内存具有不可执行权限；在目标任务文件运行过程中，如果监测到虚拟内存中有可执行文件被执行，则获取可执行文件，并对该可执行文件进行进一步分析。应用本申请实施例所提供的技术方案，通过将虚拟环境的虚拟内存设置为不可执行权限，使得在虚拟内存中有可执行文件被执行时可以及时监测得到，进而可以及时获取到可执行文件，以便对该可执行文件进行进一步的分析，为病毒知识库的扩充提供依据，增强安全防御能力。本申请还公开了一种内存中可执行文件获取装置、设备及存储介质，具有相应技术效果。

技术领域

本申请涉及计算机应用技术领域，特别是涉及一种内存中可执行文件获取方法、装置、设备及存储介质。

背景技术

在日常工作和生活中，手机、计算机等设备的使用越来越普遍。随着计算机技术和互联网技术的快速发展，这些设备感染病毒的可能性越来越大，病毒会影响设备的正常使用，也会影响设备中文件和数据的安全性。这就需要杀毒软件对病毒进行查杀，以保障设备中文件和数据的安全。

杀毒软件在对病毒进行查杀时，多是将可疑文件的指纹特征与预先获得的病毒特征库进行特征匹配，确定可疑文件是否为恶意文件，根据确定结果对其进行进一步的处理。

但是，一些高级病毒为了躲避查杀，会在一般文件中嵌入一个或多个经过加密的恶意的可执行文件，这些病毒运行后会动态地从内存中解密一部分恶意的可执行文件，这些恶意的可执行文件在内存中被执行，给设备带来危害。但是，因为这些经过加密的恶意的可执行文件不会落地到设备上，所以杀毒软件无法检测到，也就无法获得相应的指纹特征，即使这些恶意的可执行文件落地到设备，因为病毒特征库中没有相应的指纹特征，杀毒软件还是无法确认其为恶意文件，也就无法对其进行查杀处理。

目前还没有有效获取内存中被执行的可执行文件的方法，所以，如何有效获取到内存中被执行的可执行文件，以对其进行进一步分析，是目前本领域技术人员急需解决的技术问题。

发明内容

本申请的目的是提供一种内存中可执行文件获取方法、装置、设备及存储介质，以有效获取到内存中被执行的可执行文件，方便对其进行进一步分析。

为解决上述技术问题，本申请提供如下技术方案：

一种内存中可执行文件获取方法，包括：

在任务文件库中选择一个待测任务文件，将选择的待测任务文件确定为目标任务文件；

在虚拟环境中，启动所述目标任务文件，所述虚拟环境的虚拟内存具有不可执行权限；

在所述目标任务文件运行过程中，如果监测到所述虚拟内存中有可执行文件被执行，则获取所述可执行文件；

对所述可执行文件进行分析。

在本申请的一种具体实施方式中，通过以下步骤确定所述虚拟内存中是否有可执行文件被执行：

在监测到所述虚拟环境的扩展页表发生故障时，确定所述虚拟内存中有可执行文件被执行。

在本申请的一种具体实施方式中，所述在监测到所述虚拟环境的扩展页表发生故障时，确定所述虚拟内存中有可执行文件被执行，包括：

在监测到所述虚拟环境的扩展页表发生故障时，获取发生所述故障的内存地址及所述内存地址所属内存块；

确定所述内存块中是否包含可执行文件头标记；

如果包含，则确定所述虚拟内存中有可执行文件被执行。

在本申请的一种具体实施方式中，所述获取发生所述故障的内存地址，包括：

在所述故障发生时，获取所述虚拟环境的客户机操作系统的全局段寄存器；