[发明专利]一种高准确率的Linux共享内存恶意代码检测方法

权利要求书

1.一种高准确率的Linux共享内存恶意代码检测方法，主要包括以下步骤：

(1)筛选tmpfs文件类型；

(2)收集vm_file字段指向的文件对象；

(3)枚举共享内存中的内容；

(4)将已收集到的内容进行对比分析；

(5)根据文件权限位标志和父进程相关信息进行筛选。

2.根据权利要求1所述的一种高准确率的Linux共享内存恶意代码检测方法，其特征在于：所述步骤(1)中，先找到文件的file_struct结构，筛选该结构下的f_mapping字段对应的文件权限值为S_IFREG的映射文件，筛选该结构下vfsmnt字段对应的类型为tmpfs的文件系统。

3.根据权利要求1所述的一种高准确率的Linux共享内存恶意代码检测方法，其特征在于：所述步骤(2)中，查找每个进程的VMA块(虚拟内存空间)，筛选vm_file字段指向的文件，收集所有映射到VMA的文件，并将它们存放到一个列表中。

4.根据权利要求1所述的一种高准确率的Linux共享内存恶意代码检测方法，其特征在于：所述步骤(3)中，首先收集通过调用memfd函数创建并调用mmap函数映射的共享内存类型(包括基于POSIX mmap文件映射实现的共享内存和通过memfd_created()和fd跨进程共享实现的共享内存)，在进程文件中遍历file_ptr字段，收集相应的内容，枚举其中的文件对象，之后收集SYSTEM V类型的共享内存中的文件对象，在进程文件的sysvshm字段对象文件中遍历shmid_kernel_object结构收集相应内容。

5.根据权利要求1所述的一种高准确率的Linux共享内存恶意代码检测方法，其特征在于：所述步骤(4)中，在步骤(2)中收集到的映射到VMA的文件列表中遍历找出并枚举与步骤(3)中收集到的文件内容不同的文件对象。

6.根据权利要求1所述的一种高准确率的Linux共享内存恶意代码检测算法，其特征在于：所述步骤(5)中，判断步骤(4)中所收集的文件的权限标志，筛选出权限为可读可写可执行的文件，判断进程的父进程ID，筛选出父进程ID不为1的进程文件。最后列出所需文件的进程ID、文件对象地址、文件所在文件夹位置、权限位标志、共享内存类型以及父进程ID。