[发明专利]一种可执行文件注入的检测方法、装置、设备及存储介质在审
| 申请号: | 202111517612.4 | 申请日: | 2021-12-13 |
| 公开(公告)号: | CN114168958A | 公开(公告)日: | 2022-03-11 |
| 发明(设计)人: | 刘波;范渊;吴卓群;王欣 | 申请(专利权)人: | 杭州安恒信息技术股份有限公司 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56 |
| 代理公司: | 北京集佳知识产权代理有限公司 11227 | 代理人: | 刘珂 |
| 地址: | 310000 浙江省*** | 国省代码: | 浙江;33 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 可执行文件 注入 检测 方法 装置 设备 存储 介质 | ||
1.一种可执行文件注入的检测方法,其特征在于,包括:
搜索目标进程的内存信息;
检测所述目标进程的内存信息中是否有两个以上动态链接器的信息;
当检测出两个以上动态链接器的信息时,确定所述目标进程已感染动态链接的可执行文件注入的木马病毒。
2.根据权利要求1所述的可执行文件注入的检测方法,其特征在于,所述搜索目标进程的内存信息,包括:
遍历/proc目录;所述目录里面以数字命名的子目录为当前系统正在运行的进程的pid;
检测/proc/pid/maps文件是否存在;
若存在,则读取/proc/pid/maps文件里记录的目标进程的内存信息。
3.根据权利要求2所述的可执行文件注入的检测方法,其特征在于,所述检测所述目标进程的内存信息中是否有两个以上动态链接器的信息,包括:
检测所述目标进程的内存信息中在最后一列显示一个以动态链接器文件路径结尾的信息对应的总行数是否超过1;
若超过1,则确定检测出两个以上动态链接器的信息。
4.根据权利要求3所述的可执行文件注入的检测方法,其特征在于,还包括:
若未超过1,则对在所述目标进程的内存信息中最后一列显示空的所有行指定的内存区间进行搜索,查找是否有so动态库的信息,以检测是否有两个以上动态链接器的信息。
5.根据权利要求4所述的可执行文件注入的检测方法,其特征在于,在所述查找是否有so动态库的信息之后,还包括:
若查找到so动态库的信息,则从磁盘读取动态链接器的文件信息,解析elf文件,将有执行权限的可加装段数据保存到内存,记为第一变量;
读取在所述目标进程的内存信息中最后一列显示空的每行数据,查找buffer内存里是否包含所述第一变量指定的数据;
若包含所述第一变量指定的数据,则确定检测出两个以上动态链接器的信息。
6.根据权利要求5所述的可执行文件注入的检测方法,其特征在于,所述把有执行权限的加装段数据读取到内存,包括:
判断动态链接器的可执行属性是否为PT_LOAD段的数据;
若是,则将该动态链接器中有执行权限的可加装段数据保存到内存。
7.根据权利要求6所述的可执行文件注入的检测方法,其特征在于,还包括:
循环处理所有进程,在所有进程检测完毕后,输出检测结果信息。
8.一种可执行文件注入的检测装置,其特征在于,包括:
内存信息搜索模块,用于搜索目标进程的内存信息;
动态链接器检测模块,用于检测所述目标进程的内存信息中是否有两个以上动态链接器的信息;
确定模块,用于当检测出两个以上动态链接器的信息时,确定所述目标进程已感染动态链接的可执行文件注入的木马病毒。
9.一种可执行文件注入的检测设备,其特征在于,包括处理器和存储器,其中,所述处理器执行所述存储器中存储的计算机程序时实现如权利要求1至7任一项所述的可执行文件注入的检测方法。
10.一种计算机可读存储介质,其特征在于,用于存储计算机程序,其中,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的可执行文件注入的检测方法。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于杭州安恒信息技术股份有限公司,未经杭州安恒信息技术股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202111517612.4/1.html,转载请声明来源钻瓜专利网。
- 上一篇:一种应用于隧道覆盖的天线阵列
- 下一篇:一种环保家具板材喷涂机构及其使用方法
