[发明专利]识别和处理伪装型系统动态库的方法、装置、设备及介质

说明书

本发明公开了一种识别伪装型系统动态库的方法、装置、设备及介质，其中，识别和处理伪装型系统动态库的方法，都是基于伪装型系统动态库的执行特点，首先判断是否存在与待识别系统动态库的名称相同的同名系统动态库，如果是，则判断待识别系统动态库是否包含有调用同名系统动态库的目标特征，如果符合以上两点，则说明待识别系统动态库是伪装型系统动态库。相比于现有技术中所提取的特征而言，本方法能够最大限度的识别出伪装型系统动态库，漏报概率低。此外，目标特征不会随着伪装型系统动态库的更新而改变，因此，试用范围广。最后，本方法不仅能够在伪装型系统动态库被加载之后识别出，还能够在被加载之前识别出，最大程度保护系统的安全性。

技术领域

本发明涉及病毒检测技术领域，特别是涉及一种识别伪装型系统动态库的方法、装置、设备及介质。

背景技术

动态库(Dynamic Link Library)又称动态链接库，英文为DLL，是Dynamic LinkLibrary的缩写形式，动态库是一个包含可由多个程序同时使用的代码和数据的库，其不是可执行文件。动态库提供一种方法，使得其它应用程序可以调用不属于其可执行代码的函数，函数的可执行代码位于一个DLL中，该DLL包含一个或多个已被编译、链接并与使用它们的进程分开存储的函数。系统动态库是指，Windows操作系统自身提供给用户使用的公共动态库。

为了达到入侵的目的，现有技术中，病毒文件通常是伪装成与系统动态库相同的名字而替换应用本身目录下的正常动态库，使得应用程序在使用动态库时，直接找到已经被病毒文件替换了的动态库，导致该应用程序加载该病毒文件而中毒。

为了防止病毒感染，现有技术中，通常是在被病毒文件感染后，查询到病毒文件的感染方式，再提取相应的特征，最后更新杀毒软件库。然而，病毒文件攻击的方式有多种，并且在不断变化，所以需要工程师不断的进行特征提取。很显然，上述方式，一方面依赖人工提取不仅效率低而且滞后，另一方面，在病毒不断更新的场景下，极容易出现漏报，严重影响用户的正常业务。

由此可见，针对伪装型系统动态库，如何提供一种快速、全面的识别方法是本领域技术人员亟待解决的问题。

发明内容

本发明的目的是提供一种识别伪装型系统动态库的方法、装置、设备及介质，用于针对伪装型系统动态库，提供一种快速、全面的识别方法。

为解决上述技术问题，本发明提供一种识别伪装型系统动态库的方法，包括：

获取待识别系统动态库的名称；

判断系统目录下是否存在与所述名称相同的同名系统动态库；

如果所述系统目录下存在与所述名称相同的同名系统动态库，则判断所述待识别系统动态库中是否包含有表征调用所述同名系统动态库的目标特征；

如果所述待识别系统动态库中包含有所述目标特征，则确定所述待识别系统动态库为伪装型系统动态库。

优选地，在判断出所述系统目录下存在与所述名称相同的同名系统动态库之后，还包括：

判断所述待识别系统动态库的访问路径是否存在于预先设定的系统动态库的访问路径集合中；

如果所述待识别系统动态库的访问路径不存在于所述预先设定的系统动态库的访问路径集合中，则进入所述判断所述待识别系统动态库中是否包含有表征调用所述同名系统动态库的目标特征的步骤。

优选地，在判断出所述待识别系统动态库的访问路径不存在于所述集合中之后，还包括：

计算所述待识别系统动态库的文件哈希值；

判断所述文件哈希值是否存在于预先设定的系统动态库的文件哈希值集合中；