[发明专利]外挂检测方法、装置、电子设备及存储介质

权利要求书

1.一种外挂检测方法，其特征在于，所述方法包括：

确定多个待进行外挂检测的可疑线程；

监测各所述可疑线程是否触发挂靠事件，所述挂靠事件用于指示所述可疑线程挂靠到目标程序；

在监测到所述可疑线程触发所述挂靠事件的条件下，在所述预设碰撞期间内确定所述可疑线程触发所述挂靠事件的频率；

基于所述频率确定所述可疑线程是否为外挂线程。

2.根据权利要求1所述的方法，其特征在于，所述确定多个待进行外挂检测的可疑线程，包括：

确定系统内每一存活线程的活跃度；

将所述活跃度满足设定条件的所述存活线程确定为待进行外挂检测的可疑线程。

3.根据权利要求2所述的方法，其特征在于，所述确定系统内每一存活线程的活跃度，包括：

针对系统内每一存活线程，执行以下步骤：

按照设定周期获取所述存活线程的swapcontext值，直至获取到设定数量的所述swapcontext值；以及，

从第二个周期开始，将前后两个周期获取到的所述swapcontext值作差，得到swapcontext差值；所述swapcontext差值与所述存活线程的活跃度正相关；

所述将所述活跃度满足设定条件的所述存活线程确定为待进行外挂检测的可疑线程，包括：

针对系统内每一存活线程，按照获取时间的先后顺序，对获取到的所述存活线程的swapcontext差值进行排序，得到所述存活线程的swapcontext差值序列；

若所述swapcontext差值序列为增序列，则将所述存活线程确定为待进行外挂检测的可疑线程。

4.根据权利要求1所述的方法，其特征在于，所述监测各所述可疑线程是否触发挂靠事件，包括：

针对每一所述可疑线程，在设定时长内循环执行以下步骤：

获取所述可疑线程内核对象中指定偏移地址处的数据内容；

确定所述数据内容是否为所述目标程序的内核对象地址；

若是，则停止循环，确定所述可疑线程触发挂靠事件；

若否，则继续循环，直至到达所述设定时长时，确定所述可疑线程未触发挂靠事件。

5.根据权利要求4所述的方法，其特征在于，所述监测各所述可疑线程是否触发挂靠事件，包括：

按照所述活跃度对多个所述可疑线程进行分组，其中，同一分组中可疑线程的活跃度处于相同的设定活跃度范围，不同分组对应的所述设定活跃度范围不重叠；

针对每一所述分组，批量监测所述分组中的所述可疑线程是否触发挂靠事件。

6.根据权利要求5所述的方法，其特征在于，在所述批量监测所述分组中的所述可疑线程是否触发挂靠事件之后，还包括：

在监测到所述分组中的任一所述可疑线程触发挂靠事件的条件下，再次监测任一所述可疑线程是否触发挂靠事件。

7.根据权利要求1所述的方法，其特征在于，所述基于所述频率确定所述可疑线程是否为外挂线程，包括：

将所述频率与设定阈值进行比较；

若比较出所述频率大于所述设定阈值，则确定所述可疑线程为外挂线程；

若比较出所述频率小于所述设定阈值，则确定所述可疑线程不为外挂线程。

8.一种外挂检测装置，其特征在于，所述装置包括：

第一确定模块，用于确定多个待进行外挂检测的可疑线程；

第二确定模块，用于监测各所述可疑线程是否触发挂靠事件，所述挂靠事件用于指示所述可疑线程挂靠到目标程序；

第三确定模块，用于在监测到所述可疑线程触发所述挂靠事件的条件下，在所述预设碰撞期间内确定所述可疑线程触发所述挂靠事件的频率；

第四确定模块，用于基于所述频率确定所述可疑线程是否为外挂线程。