本發(fā)明實施例提供了一種檢測進程注入的方法、裝置及存儲介質(zhì)，用以解決目前的檢測進程注入的方法無法檢測出可以逃避基于API調(diào)用的特征的進程注入方法問題。該方法包括：啟動目標進程；捕獲所述目標進程中的應用程序編程接口API；確定捕獲的API中存在調(diào)用行為的API的調(diào)用關系，其中，存在調(diào)用行為的API是調(diào)用了除用于捕獲所述目標進程中的API的函數(shù)以外的其他API的API；將存在調(diào)用行為的API的調(diào)用關系與調(diào)用規(guī)則進行匹配；其中，調(diào)用規(guī)則是執(zhí)行所述目標進程的系統(tǒng)正常運行時的API的調(diào)用關系；當存在調(diào)用關系匹配不成功的API時，確定目標進程被注入。

技術領域

本發(fā)明涉及信息安全技術領域，尤其涉及一種檢測進程注入的方法、裝置及存儲介質(zhì)。

背景技術

隨著計算機應用的日益普及，包括病毒、木馬在內(nèi)的惡意程序的數(shù)量也迅速增長，其中的木馬程序是一類可以通過在用戶的計算機上運行，進而竊取用戶文件、隱私、賬戶等信息，有的甚至還可以讓黑客遠程控制用戶電腦的惡意程序。相比較傳統(tǒng)的單純以破壞計算機設備為目的的病毒，木馬對計算機用戶的侵害行為更具有獲取利益的目的性，其竊取信息的行為常常會給用戶造成巨大的損失 因此木馬程序的危害也更大。惡意程序可以通過很多傳播途徑來侵害用戶的電腦，例如便攜的移動介質(zhì)，如閃存盤，光盤等，而隨著計算機網(wǎng)絡技術的廣泛應用，互聯(lián)網(wǎng)逐漸成為惡意程序傳播的主要途徑之一，黑客或惡意程序傳播者將木馬等惡意程序文件偽裝成其他類型文件，并引誘用戶點擊和下載，而惡意程序一旦被下載到用戶計算機并成功運行，黑客或惡意程序傳播者就可以利用這些惡意程序，進行破壞用戶計算機，竊取用戶個人信息等不法行為。

利用操作系統(tǒng)以及應用軟件的漏洞實施攻擊，是使惡意程序在用戶計算機上成功植入和運行的最主要手段之一。漏洞是指操作系統(tǒng)軟件或應用軟件在邏輯設計上的缺陷或在編寫時產(chǎn)生的錯誤。這些缺陷或錯誤往往可以被黑客利用來植入木馬等惡意程序，侵害或控制甚至破壞用戶計算機軟硬件系統(tǒng)，或者竊取用戶的重要資料和信息。

殺毒軟件可以有效地對惡意程序進行預防和查殺，但是，惡意程序為了躲避殺毒軟件的查殺，常常將惡意代碼注入到白進程(記錄在白名單中的進程， 不會被殺毒軟件查殺)中，從而在白進程中對計算機進行攻擊。

進程注入包括對內(nèi)存中的某個進程進行操作，并且獲得該進程地址空間里的數(shù)據(jù)，以及修改進程的私有數(shù)據(jù)結構，將自己的代碼放在目標進程的地址空間里運行。通常情況下進程注入都會涉及到固定的應用程序編程接口（API，Application ProgrammingInterface）調(diào)用，基于此特征，當檢測到對被監(jiān)控程序內(nèi)存寫入數(shù)據(jù)后調(diào)用CreateRemoteThread函數(shù)和LoadLibrary函數(shù)，則判定為遠程線程注入行為，或者檢測到到APC隊列中調(diào)用LoadLibrary函數(shù)，且在LoadLibrary函數(shù)執(zhí)行之前發(fā)生過軟中斷，則判定有異步調(diào)用過程（APC，Asynchronous Procedure Call）注入行為。

目前檢測進程注入的方法依賴于固定API調(diào)用的特征，并且進程注入也會用于非惡意軟件中，比如某些升級程序則是使用這種方法實現(xiàn)對運行中的程序的熱升級。另外目前的注入方法層出不窮，有些注入方法可以逃避基于API調(diào)用的特征，使注入動作更加隱秘，對于這些注入技術現(xiàn)有的檢測方法已經(jīng)顯得力不從心。

綜上所述，目前的檢測進程注入的方法無法檢測出可以逃避基于API調(diào)用的特征的進程注入方法。

發(fā)明內(nèi)容

本發(fā)明實施例提供了一種檢測進程注入的方法、裝置及存儲介質(zhì)，用以解決目前的檢測進程注入的方法無法檢測出可以逃避基于API調(diào)用的特征的進程注入方法問題。

基于上述問題，本發(fā)明實施例提供的一種檢測進程注入的方法，包括：

啟動目標進程；

捕獲所述目標進程中的應用程序編程接口API；