[發明專利]一種檢測進程注入的方法、裝置及存儲介質有效
| 申請號: | 201711474097.X | 申請日: | 2017-12-29 |
| 公開(公告)號: | CN109472135B | 公開(公告)日: | 2022-02-22 |
| 發明(設計)人: | 關墨辰;李林哲;王永亮;王小豐;肖新光 | 申請(專利權)人: | 北京安天網絡安全技術有限公司 |
| 主分類號: | G06F21/55 | 分類號: | G06F21/55;G06F21/56 |
| 代理公司: | 暫無信息 | 代理人: | 暫無信息 |
| 地址: | 100195 北京市海淀區*** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 檢測 進程 注入 方法 裝置 存儲 介質 | ||
1.一種檢測進程注入的方法,其特征在于,包括:
獲取系統正常運行時的API的調用棧的信息;
將整理的信息以適合讀取的形式存儲,形成規則數據;
啟動目標進程;
捕獲所述目標進程中的應用程序編程接口API;
確定捕獲的API中存在調用行為的API的調用關系,其中,存在調用行為的API是調用了除用于捕獲所述目標進程中的API的函數以外的其他API的API;
將存在調用行為的API的調用關系與調用規則進行匹配;其中,調用規則是執行所述目標進程的系統正常運行時的API的調用關系;
當存在調用關系匹配不成功的API時,確定目標進程被注入。
2.如權利要求1所述的方法,其特征在于,在捕獲所述目標進程中的API時,記錄各個API的執行日志;
確定捕獲的API中存在調用行為的API的調用關系,包括:
根據第一API的執行日志,回溯所述第一API的調用棧;其中,第一API是存在調用行為的API中的一個;
所述第一API的調用棧中的所有API以及所述第一API之間的關系構成了所述第一API的調用關系。
3.如權利要求2所述的方法,其特征在于,將存在調用行為的API的調用關系與調用規則進行匹配,包括:
在第一API的調用棧中依次從棧底到棧頂對所述第一API調用過的所有API與調用規則進行匹配。
4.如權利要求1所述的方法,其特征在于,在將存在調用行為的API的調用關系與調用規則進行匹配之前,還包括:
根據存儲的規則數據,將規則數據中的所有的API以API的名稱進行排序,構成一個沿第一方向的鏈表;
針對規則數據中的一個API,根據規則數據中的該API的調用關系,按照該API調用其他API的順序,對該API的調用關系進行排序,形成一個沿第二方向的鏈表;
動態存儲的鏈表構成所述調用規則。
5.如權利要求4所述的方法,其特征在于,所述方法還包括:
若存在調用行為的API的調用關系中的一個API在所述調用規則中不存在,則將不存在于所述調用規則中的API添加到所述調用規則和存儲的規則數據中。
6.一種檢測進程注入的裝置,其特征在于,包括:
一個或者多個處理器;
存儲器;
一個或者多個程序存儲在所述存儲器中,當被所述一個或者多個處理器執行時實現:
獲取系統正常運行時的API的調用棧的信息;
將整理的信息以適合讀取的形式存儲,形成規則數據;
啟動目標進程;
捕獲所述目標進程中的應用程序編程接口API;
確定捕獲的API中存在調用行為的API的調用關系,其中,存在調用行為的API是調用了除用于捕獲所述目標進程中的API的函數以外的其他API的API;
將存在調用行為的API的調用關系與調用規則進行匹配;其中,調用規則是執行所述目標進程的系統正常運行時的API的調用關系;
當存在調用關系匹配不成功的API時,確定目標進程被注入。
7.如權利要求6所述的裝置,其特征在于,所述一個或多個處理器還用于執行存儲在存儲器中的一個或多個程序以實現:
在捕獲所述目標進程中的API時,記錄各個API的執行日志;
確定捕獲的API中存在調用行為的API的調用關系,包括:
根據第一API的執行日志,回溯所述第一API的調用棧;其中,第一API是存在調用行為的API中的一個;
所述第一API的調用棧中的所有API以及所述第一API之間的關系構成了所述第一API的調用關系。
8.如權利要求7所述的裝置,其特征在于,所述一個或多個處理器還用于執行存儲在存儲器中的一個或多個程序以實現:
在第一API的調用棧中依次從棧底到棧頂對所述第一API調用過的所有API與調用規則進行匹配。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于北京安天網絡安全技術有限公司,未經北京安天網絡安全技術有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201711474097.X/1.html,轉載請聲明來源鉆瓜專利網。
