一种傀儡进程检测方法、装置、电子设备和存储介质
基本信息
| 申请号 | CN202210272614.X | 申请日 | - |
| 公开(公告)号 | CN114707149A | 公开(公告)日 | 2022-07-05 |
| 申请公布号 | CN114707149A | 申请公布日 | 2022-07-05 |
| 分类号 | G06F21/56(2013.01)I | 分类 | 计算;推算;计数; |
| 发明人 | 张宗元 | 申请(专利权)人 | 安芯网盾(北京)科技有限公司 |
| 代理机构 | 北京中创云知识产权代理事务所(普通合伙) | 代理人 | - |
| 地址 | 100085北京市海淀区上地五街高立二千大厦二层西侧 | ||
| 法律状态 | - | ||
摘要
| 摘要 | 本发明实施例涉及一种傀儡进程检测方法、装置、电子设备和存储介质,该方法包括:监视进程中各子进程的执行进度;当任意一个进程调用函数恢复该子进程所在的线程的运行时,遍历该子进程所有包含可执行属性的内存区块,并判断其是否符合可移植条件;根据该内存区块是否符合可移植条件,对该内存区块进行镜像文件检测;根据镜像检测的结果,判断该进程是否为傀儡进程。本发明实施例的技术方案,利用傀儡进程需要先将恶意模块写入正常程序的内存,并设置内存为可执行属性的特点对子进程进行检测,在对于傀儡进程的识别率和准确率上得到了显著的提升,同时不会被加壳软件干扰误报,有效地解决了病毒长期潜伏导致用户数据被窃取的技术问题。 |
