技術領域

本申請涉及通信技術領域，尤其涉及一種木馬檢測方法及裝置。

背景技術

隨著互聯(lián)網(wǎng)技術的不斷普及，網(wǎng)絡安全問題日益凸顯，特別是木馬進程的泛濫，直接導致了各種重要信息的非法竊取和破壞。

在現(xiàn)有技術中，木馬檢測的方法為：將某個進程的特征碼與木馬特征庫中保存的木馬程序特征碼進行匹配，若匹配成功，則確定該進程為木馬進程。

但是，在上述木馬檢測方法中，對于具有可信任簽名信息的進程，或者白名單中的可信任進程，一般是不進行木馬檢測的。然而，目前有一種注入型木馬，這種注入型木馬在執(zhí)行時先啟動一個合法進程，在該合法進程啟動完成之前，該注入型木馬將該合法進程暫停，并將自身的惡意代碼寫入到該合法進程的內存映像（IMAGE）中，再恢復該合法進程的啟動，這樣，注入型木馬就可以逃避現(xiàn)有技術中的木馬檢測。

例如，注入型木馬啟動一個記事本進程（notepad.exe），該記事本進程具有可信任簽名信息，在該記事本進程啟動完成之前，注入型木馬暫停該記事本進程，并將自身的惡意代碼寫入到記事本進程的內存IMAGE中，再恢復啟動該記事本進程。

在記事本進程啟動完成之后，該記事本進程實際上就變成了一個木馬進程，而由于該記事本進程具有可信任簽名信息，因此現(xiàn)有技術中的木馬檢測方法會直接放過該進程而不做檢測，從而，此時該記事本進程已經(jīng)成為了注入型木馬的傀儡進程，該木馬進程相當于披上了一層合法的外衣，逃避了現(xiàn)有技術中的木馬檢測，這無疑降低了計算機的安全性。

發(fā)明內容

本申請實施例提供一種木馬檢測方法及裝置，用以解決現(xiàn)有技術中計算機的安全性較低的問題。

本申請實施例提供的一種木馬檢測方法，包括：

監(jiān)控啟動的進程，在所述進程啟動完成時，確定所述進程的基址所在的內存塊；

判斷確定的所述內存塊的類型是否為只讀類型；

若是，則確定所述進程不是木馬進程，不對所述進程進行任何操作，否則，確定所述進程是木馬進程，阻斷所述進程。

本申請實施例提供的一種木馬檢測裝置，包括：

監(jiān)控模塊，用于監(jiān)控啟動的進程，在所述進程啟動完成時，確定所述進程的基址所在的內存塊；

判斷模塊，用于判斷確定的所述內存塊的類型是否為只讀類型；

處理模塊，用于當所述判斷模塊的判斷結果為是時，確定所述進程不是木馬進程，不對所述進程進行任何操作，當所述判斷模塊的判斷結果為否時，確定所述進程是木馬進程，阻斷所述進程。

本申請實施例提供一種木馬檢測方法及裝置，該方法針對啟動完成的進程，確定該進程的基址所在的內存塊，當該進程的基址所在的內存塊的類型不是只讀類型時，確定該進程是木馬進程，阻斷該進程。由于合法進程的基址所在的內存塊的類型一般是只讀類型，而注入型木馬將惡意代碼寫入到合法進程的內存映像中時，需要將合法進程的基址所在的內存塊的類型調整為非只讀類型，因此本申請實施例中根據(jù)啟動完成的進程的基址所在的內存塊的類型進行木馬檢測，可以準確的檢測出注入型木馬并對其進行阻斷，提高了計算機的安全性。

附圖說明

圖1為本申請實施例提供的木馬檢測過程；

圖2為本申請實施例提供的木馬檢測的詳細過程；

圖3為本申請實施例提供的木馬檢測裝置結構示意圖。

具體實施方式

由于注入型木馬在將自身的惡意代碼寫入到合法進程的內存IMAGE中時，需要將該合法進程的基址所在的內存塊的類型調整為非只讀類型，而合法進程的基址所在的內存塊的類型通常是只讀類型，因此本申請實施例根據(jù)進程的基址所在的內存塊的類型，檢測該進程是否是木馬進程，可以準確的檢測出注入型木馬并對其進行阻斷，提高了計算機的安全性。

下面結合說明書附圖，對本申請實施例進行詳細描述。

圖1為本申請實施例提供的木馬檢測過程，具體包括以下步驟：

S101：監(jiān)控啟動的進程，在該進程啟動完成時，確定該進程的基址所在的內存塊。

在本申請實施例中，木馬檢測裝置對啟動的進程進行監(jiān)控，一旦監(jiān)控到已經(jīng)啟動完成的進程，就確定該進程的基址所在的內存塊。

其中，一個進程的基址是指該進程在執(zhí)行時的開始內存地址。木馬檢測裝置可以針對啟動的進程，記錄該進程的基址，并在確定該進程的基址所在的內存塊時，根據(jù)記錄的該進程的基址，在內存中確定該進程的基址所在的內存塊。