[發(fā)明專利]驅(qū)動程序處理方法、裝置及存儲介質(zhì)有效
| 申請?zhí)枺?/td> | 201810143129.6 | 申請日: | 2018-02-11 |
| 公開(公告)號: | CN108229171B | 公開(公告)日: | 2023-05-12 |
| 發(fā)明(設(shè)計)人: | 全永春;饒帥;程虎 | 申請(專利權(quán))人: | 騰訊科技(深圳)有限公司 |
| 主分類號: | G06F21/56 | 分類號: | G06F21/56 |
| 代理公司: | 北京三高永信知識產(chǎn)權(quán)代理有限責任公司 11138 | 代理人: | 劉映東 |
| 地址: | 518057 廣東省深圳*** | 國省代碼: | 廣東;44 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 驅(qū)動程序 處理 方法 裝置 存儲 介質(zhì) | ||
本發(fā)明實施例公開了一種驅(qū)動程序處理方法、裝置及存儲介質(zhì),屬于信息安全領(lǐng)域。方法包括:確定待檢測的目標驅(qū)動程序;獲取預(yù)設(shè)條件,預(yù)設(shè)條件包括異常驅(qū)動程序的至少一種預(yù)設(shè)行為;按照預(yù)設(shè)條件中至少一種預(yù)設(shè)行為的行為模式以及目標驅(qū)動程序的行為模式,對目標驅(qū)動程序進行行為分析,確定目標驅(qū)動程序是否具有預(yù)設(shè)條件規(guī)定的預(yù)設(shè)行為;當目標驅(qū)動程序具有預(yù)設(shè)條件規(guī)定的預(yù)設(shè)行為時,確定目標驅(qū)動程序為異常驅(qū)動程序。本發(fā)明實施例根據(jù)異常驅(qū)動程序的預(yù)設(shè)行為對目標驅(qū)動程序的行為進行檢測,確定目標驅(qū)動程序是否為異常驅(qū)動程序,不僅可以檢測出已知的異常驅(qū)動程序,還可以檢測出未知的異常驅(qū)動程序,檢測范圍全面,提高了準確性。
技術(shù)領(lǐng)域
本發(fā)明實施例涉及信息安全領(lǐng)域,特別涉及一種驅(qū)動程序處理方法、裝置及存儲介質(zhì)。
背景技術(shù)
Rootkit是指具有惡意行為的異常驅(qū)動程序,往往會在終端上隱藏自身及指定的文件、進程和網(wǎng)絡(luò)鏈接等信息,通過隱藏的信息具有某些惡意行為,從而對終端造成極大的危害,甚至?xí)o用戶帶來財產(chǎn)損失。因此如何準確檢測出Rootkit成為亟待解決的問題。
參見圖1,相關(guān)技術(shù)中,通常會獲取已知的異常驅(qū)動程序,確定這些異常驅(qū)動程序的MD5(Message?Digest?Algorithm,消息摘要算法第五版)值,從而創(chuàng)建包括異常驅(qū)動程序的MD5值的異常特征庫,并確定可能會出現(xiàn)異常驅(qū)動程序的指定目錄,遍歷指定目錄下的驅(qū)動程序,對于遍歷到的每個目標驅(qū)動程序,獲取該目標驅(qū)動程序的MD5值,并將該目標驅(qū)動程序的MD5值與異常特征庫中的MD5值進行匹配,當異常特征庫中包括該目標驅(qū)動程序的MD5值時,確定該目標驅(qū)動程序為異常驅(qū)動程序。
在實現(xiàn)本發(fā)明實施例的過程中,發(fā)明人發(fā)現(xiàn)上述相關(guān)技術(shù)至少存在以下問題:上述檢測異常驅(qū)動程序的方式只能檢測出已知的異常驅(qū)動程序,而無法檢測出未知的異常驅(qū)動程序,檢測范圍狹窄,準確性差。
發(fā)明內(nèi)容
本發(fā)明實施例提供了一種驅(qū)動程序處理方法、裝置及存儲介質(zhì),可以解決相關(guān)技術(shù)的問題。所述技術(shù)方案如下:
第一方面,提供了一種驅(qū)動程序處理方法,所述方法包括:
確定待檢測的目標驅(qū)動程序;
獲取預(yù)設(shè)條件,所述預(yù)設(shè)條件包括異常驅(qū)動程序的至少一種預(yù)設(shè)行為;
按照所述預(yù)設(shè)條件中所述至少一種預(yù)設(shè)行為的行為模式以及所述目標驅(qū)動程序的行為模式,對所述目標驅(qū)動程序進行行為分析,確定所述目標驅(qū)動程序是否具有所述預(yù)設(shè)條件規(guī)定的預(yù)設(shè)行為;
當所述目標驅(qū)動程序具有所述預(yù)設(shè)條件規(guī)定的預(yù)設(shè)行為時,確定所述目標驅(qū)動程序為異常驅(qū)動程序。
第二方面,提供了一種驅(qū)動程序處理方法,所述方法包括:
確定待檢測的目標驅(qū)動程序;
當按照預(yù)設(shè)條件中至少一種預(yù)設(shè)行為的行為模式以及所述目標驅(qū)動程序的行為模式,確定所述目標驅(qū)動程序具有所述預(yù)設(shè)條件規(guī)定的預(yù)設(shè)行為時,確定所述目標驅(qū)動程序為異常驅(qū)動程序,所述預(yù)設(shè)條件包括異常驅(qū)動程序的至少一種預(yù)設(shè)行為;
展示異常提示信息,所述異常提示信息中包括確定為異常驅(qū)動程序的目標驅(qū)動程序。
第三方面,提供了一種驅(qū)動程序處理裝置,所述裝置包括:
程序確定模塊,用于確定待檢測的目標驅(qū)動程序;
獲取模塊,用于獲取預(yù)設(shè)條件,所述預(yù)設(shè)條件包括異常驅(qū)動程序的至少一種預(yù)設(shè)行為;
行為分析模塊,用于按照所述預(yù)設(shè)條件中所述至少一種預(yù)設(shè)行為的行為模式以及所述目標驅(qū)動程序的行為模式,對所述目標驅(qū)動程序進行行為分析,確定所述目標驅(qū)動程序是否具有所述預(yù)設(shè)條件規(guī)定的預(yù)設(shè)行為;
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于騰訊科技(深圳)有限公司,未經(jīng)騰訊科技(深圳)有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201810143129.6/2.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
