[发明专利]一种基于处理器跟踪的内存恶意代码检测方法

说明书

本发明公开了一种基于处理器跟踪的内存恶意代码检测方法，属于信息安全技术领域，其特征在于，包括以下步骤：a、驱动模块初始化Intel处理器跟踪功能；b、监控目标进程的代码执行路径；c、解码缓冲区获取执行路径的完整虚拟地址；d、对内存页进行恶意代码检测；e、判断代码是否属于可信内存代码；f、检测内存代码API调用记录和COM接口调用记录，并与异常行为知识库进行匹配。本发明除了能对无文件攻击中使用的内存代码、经过加壳的恶意代码、加密后的恶意代码病毒和木马常见场景进行检测外，同时对漏洞利用过程中的shellcode代码执行同样也有检测效果，不仅检测效果好，而且具有很好的普适性。

技术领域

本发明涉及到信息安全技术领域，尤其涉及一种基于处理器跟踪的内存恶意代码检测方法。

背景技术

传统终端安全检测软件的恶意代码检测机制通常主要是针对文件实体内容进行检测，而近年来兴起的“无文件攻击”和“shellcode分离免杀”技术不会直接在系统中产生实体文件，使得传统安全检测软件的检测手段完全失效，比如恶意软件“Poison IVY”木马就提供了类似的能力，其能够直接生成shellcode形式的木马，用户可以自行将shellcode形式的木马嵌入到各种载体中进行传播，同时结合代码加密和运行时解密来绕过安全防御软件的检测。这两种攻击手段本质上都是将恶意代码直接在内存中执行，可以不在磁盘产生明显的exe文件和dll文件这些关键实体文件，或者只产生少量非关键外壳启动代码，通过近年各种网络安全报告可以看到该技术越来越多的出现在APT攻击甚至一般网络攻击中，其能够有效的对抗传统安全检测软件。

英特尔在其Core微架构的处理器上开始提供了分支记录功能，能将程序分支跳转记录到LBR寄存器或者内存缓冲区，到酷睿M和第五代英特尔酷睿处理器中引入了处理器跟踪功能IPT，对处理器跟踪功能IPT做了进一步的强化和性能优化，这里将这两种技术统一称为处理器跟踪，其功能都是将程序代码执行路径记录下来，处理器跟踪作为一种芯片硬件提供的功能，对监控目标不会有侵入性修改，有着很高的性能和可靠性，在信息安全领域有着很广阔的应用前景。

基于挂钩和系统原生的行为监控机制虽然是目前应用程序行为监控系统广泛使用的，已经被大部分安全软件所使用，但其依然存在诸多局限和问题未能解决。传统的挂钩技术通常需要侵入式的修改目标进程的二进制代码，当有多个挂钩程序同时挂钩或者没有处理好多核并发问题时，会导致目标进程运行不稳定，甚至导致目标进程崩溃。挂钩技术修改二进制代码后通常会存在修改痕迹，目标进程可以通过读取二进制代码被修改的痕迹来发现是否存在挂钩函数，甚至某些恶意程序会使用挂钩对抗技术，比如通过恢复被修改的二进制代码让“挂钩”机制失效，从而从行为监控系统中逃逸出去。现代操作系统并不提倡甚至禁止使用挂钩技术，因为其破坏了操作系统的完整性，最新的Win10和macOS操作系统都提供了内核补丁保护机制来保护操作系统代码的完整性，导致传统挂钩技术不能在内核中使用。内核补丁保护机制极大的限制了挂钩技术的使用范围和监控范围，以及只能通过在用户层实施的挂钩技术来实现有限的行为监控能力，降低了行为监控的可靠性。

操作系统原生提供的行为监控机制通常有较好的稳定性和可靠性，但目前绝大部分操作系统所提供的监控机制有限，大部分安全防御软件通常利用文件过滤驱动、进程行为监控、注册表过滤驱动、网络过滤驱动技术监控常见的文件操作、进程操作和注册表操作这些关键行为，不能实现更细粒度的应用层行为监控，如组件对象模型接口操作的监控、win32子系统窗口操作监控和其他非内核调用的应用层应用程序接口操作监控，操作系统提供的行为监控技术并不能完全覆盖安全防御系统所需要的行为监控需求。

总之，无论是基于挂钩技术还是操作系统原生行为监控机制实现的应用程序行为监控，在实际应用场景中都不同程度的存在监控范围、监控深度和监控可靠性不足的问题。