一種基于處理器跟蹤的內(nèi)存惡意代碼檢測方法

基本信息

申請?zhí)?/td> CN202111104188.0 申請日 -
公開(公告)號 CN113569244B 公開(公告)日 2021-12-03
申請公布號 CN113569244B 申請公布日 2021-12-03
分類號 G06F21/56(2013.01)I 分類 計(jì)算;推算;計(jì)數(shù);
發(fā)明人 田紅偉;魏勇;徐文勇 申請(專利權(quán))人 成都數(shù)默科技有限公司
代理機(jī)構(gòu) 成都天嘉專利事務(wù)所(普通合伙) 代理人 趙凱
地址 610000四川省成都市中國(四川)自由貿(mào)易試驗(yàn)區(qū)成都高新區(qū)天府大道北段28號1棟2單元15層06號
法律狀態(tài) -

摘要

摘要 本發(fā)明公開了一種基于處理器跟蹤的內(nèi)存惡意代碼檢測方法,屬于信息安全技術(shù)領(lǐng)域,其特征在于,包括以下步驟:a、驅(qū)動模塊初始化Intel處理器跟蹤功能;b、監(jiān)控目標(biāo)進(jìn)程的代碼執(zhí)行路徑;c、解碼緩沖區(qū)獲取執(zhí)行路徑的完整虛擬地址;d、對內(nèi)存頁進(jìn)行惡意代碼檢測;e、判斷代碼是否屬于可信內(nèi)存代碼;f、檢測內(nèi)存代碼API調(diào)用記錄和COM接口調(diào)用記錄,并與異常行為知識庫進(jìn)行匹配。本發(fā)明除了能對無文件攻擊中使用的內(nèi)存代碼、經(jīng)過加殼的惡意代碼、加密后的惡意代碼病毒和木馬常見場景進(jìn)行檢測外,同時(shí)對漏洞利用過程中的shellcode代碼執(zhí)行同樣也有檢測效果,不僅檢測效果好,而且具有很好的普適性。