本申請實施例提供了一種惡意應用程序檢測方法、裝置、電子設備及可讀存儲介質，確定目標設備中內核模塊對應的內存區域，作為待檢測內存區域；確定待檢測內存區域中的內存數據所指向的內核模塊，作為待檢測內核模塊；基于待檢測內核模塊，確定目標設備中是否存在惡意應用程序。基于上述處理，能夠提高惡意應用程序的檢測精度。

技術領域

本申請涉及計算機技術領域，特別是涉及一種惡意應用程序檢測方法、裝置、電子設備及可讀存儲介質。

背景技術

惡意攻擊者可以通過網絡或其他方式，向被攻擊的目標設備發送惡意應用程序，進而，通過惡意應用程序對目標設備進行攻擊。

相關技術中，一些惡意應用程序往往以內核模塊的形式，運行于目標設備中。例如，RootKit等惡意應用程序。為了檢測目標設備中是否存在該類惡意應用程序，可以遍歷目標設備的操作系統提供的內核模塊鏈表，確定目標設備中是否存在該類惡意應用程序，內核模塊鏈表表示該操作系統當前已加載的內核模塊。

然而，該類惡意應用程序可能會通過DKOM(Direct Kernel ObjectManipulation，直接內核對象操作)方式，將自身從目標設備的操作系統提供的內核模塊鏈表中刪除，相應的，基于現有技術，則會確定目標設備中不存在該類惡意應用程序，降低惡意應用程序的檢測精度。

發明內容

本申請實施例的目的在于提供一種惡意應用程序檢測方法、裝置、電子設備及可讀存儲介質，能夠提高惡意應用程序的檢測精度。具體技術方案如下：

第一方面，為了達到上述目的，本申請實施例公開了一種惡意應用程序檢測方法，所述方法包括：

確定目標設備中內核模塊對應的內存區域，作為待檢測內存區域；

確定所述待檢測內存區域中的內存數據所指向的內核模塊，作為待檢測內核模塊；

基于所述待檢測內核模塊，確定所述目標設備中是否存在惡意應用程序。

可選的，所述基于所述待檢測內核模塊，確定所述目標設備中是否存在惡意應用程序，包括：

如果所述待檢測內核模塊，與所述目標設備的操作系統提供的內核模塊鏈表中記錄的內核模塊不一致，確定所述目標設備中存在惡意應用程序。

可選的，在所述確定所述目標設備中存在惡意應用程序之后，所述方法還包括：

確定所述待檢測內核模塊與所述內核模塊鏈表中記錄的內核模塊中不一致的內核模塊，作為目標內核模塊；

分別對所述目標內核模塊對應的文件進行二進制掃描；

基于掃描結果，從所述目標內核模塊對應的文件中，確定出惡意應用程序。

可選的，所述確定所述待檢測內存區域中的內存數據所指向的內核模塊，作為待檢測內核模塊，包括：

針對所述待檢測內存區域中每一頁面，判斷該頁面存儲的內存數據是否符合驅動對象的有效數據結構；

如果該頁面存儲的內存數據符合驅動對象的有效數據結構，將該頁面存儲的內存數據指向的內核模塊，確定為待檢測內核模塊。

可選的，所述判斷該頁面存儲的內存數據是否符合驅動對象的有效數據結構，包括：

當該頁面存儲的內存數據滿足預設條件時，判定該頁面存儲的內存數據符合驅動對象的有效數據結構，其中，所述預設條件包括：

該頁面存儲的內存數據中記錄的魔術頭Magic Header位為預設數值；

該頁面存儲的內存數據指向的模塊的文件大小屬于預設大小范圍；