[发明专利]一种可执行文件注入的检测方法、装置、设备及存储介质

说明书

本申请公开了一种可执行文件注入的检测方法、装置、设备及存储介质，该方法包括：搜索目标进程的内存信息；检测目标进程的内存信息中是否有两个以上动态链接器的信息；当检测出两个以上动态链接器的信息时，确定目标进程已感染动态链接的可执行文件注入的木马病毒。本发明提供的上述检测方法，可以实时检测目标进程的内存是否被注入了“动态链接的可执行文件”的木马病毒，针对此类木马病毒有很强的针对性，无需木马病毒的特征码数据，适应性广，检测效率高。

技术领域

本发明涉及系统安全检测技术领域，特别是涉及一种可执行文件注入的检测方法、装置、设备及存储介质。

背景技术

目前，linux系统面临各种攻击威胁，许多不法分子通过各种手段对系统进行攻击、获取用户信息等，系统管理员一般会对系统上的文件进行扫描，检测出有问题的可执行文件并清除。但是有的木马病毒并不会在文件系统里存在，通过传统的文件扫描方式检测就行不通了，这些木马病毒可能利用了系统或应用软件的漏洞，直接把木马病毒注入到目标进程的内存里，和目标进程并行运行，这样木马二进制文件不落盘，完全在内存里，让系统管理员很难检测到木马的存在。

现有技术一般通过已知木马病毒的特征码进行匹配，从特征码库搜索目标进程内存是否存在特征码，从而判断目标进程是否感染了木马病毒。但是它的缺点是必须先有木马病毒的样本，才能检测出来，对于新出现的木马病毒不能检测出来。

发明内容

有鉴于此，本发明的目的在于提供一种可执行文件注入的检测方法、装置、设备及存储介质，可以实时检测目标进程的内存是否感染了木马病毒，适应性广，检测效率高。其具体方案如下：

一种可执行文件注入的检测方法，包括：

搜索目标进程的内存信息；

检测所述目标进程的内存信息中是否有两个以上动态链接器的信息；

当检测出两个以上动态链接器的信息时，确定所述目标进程已感染动态链接的可执行文件注入的木马病毒。

优选地，在本发明实施例提供的上述可执行文件注入的检测方法中，所述搜索目标进程的内存信息，包括：

遍历/proc目录；所述目录里面以数字命名的子目录为当前系统正在运行的进程的pid；

检测/proc/pid/maps文件是否存在；

若存在，则读取/proc/pid/maps文件里记录的目标进程的内存信息。

优选地，在本发明实施例提供的上述可执行文件注入的检测方法中，所述检测所述目标进程的内存信息中是否有两个以上动态链接器的信息，包括：

检测所述目标进程的内存信息中在最后一列显示一个以动态链接器文件路径结尾的信息对应的总行数是否超过1；

若超过1，则确定检测出两个以上动态链接器的信息。

优选地，在本发明实施例提供的上述可执行文件注入的检测方法中，还包括：

若未超过1，则对在所述目标进程的内存信息中最后一列显示空的所有行指定的内存区间进行搜索，查找是否有so动态库的信息，以检测是否有两个以上动态链接器的信息。

优选地，在本发明实施例提供的上述可执行文件注入的检测方法中，在所述查找是否有so动态库的信息之后，还包括：

若查找到so动态库的信息，则从磁盘读取动态链接器的文件信息，解析elf文件，将有执行权限的可加装段数据保存到内存，记为第一变量；

读取在所述目标进程的内存信息中最后一列显示空的每行数据，查找buffer内存里是否包含所述第一变量指定的数据；

若包含所述第一变量指定的数据，则确定检测出两个以上动态链接器的信息。