一種無文件攻擊檢測方法及裝置

基本信息

申請?zhí)?/td> CN202111362553.8 申請日 -
公開(公告)號 CN114218564A 公開(公告)日 2022-03-22
申請公布號 CN114218564A 申請公布日 2022-03-22
分類號 G06F21/55(2013.01)I 分類 計算;推算;計數(shù);
發(fā)明人 王丹陽 申請(專利權(quán))人 奇安信科技集團(tuán)股份有限公司
代理機(jī)構(gòu) 北京路浩知識產(chǎn)權(quán)代理有限公司 代理人 王宇楊
地址 100088北京市西城區(qū)新街口外大街28號102號樓3層332號
法律狀態(tài) -

摘要

摘要 本發(fā)明實施例提供的無文件攻擊檢測方法方法及裝置,其中,該方法包括:通過Hook的Excel進(jìn)程中的接收函數(shù)接收基于遠(yuǎn)程過程調(diào)用協(xié)議的消息;獲取基于遠(yuǎn)程過程調(diào)用協(xié)議的消息中的請求的接口標(biāo)識符和函數(shù)標(biāo)識符;根據(jù)請求的接口標(biāo)識符和請求的函數(shù)標(biāo)識符,確定基于遠(yuǎn)程過程調(diào)用協(xié)議的消息訪問的接口的函數(shù);將基于遠(yuǎn)程過程調(diào)用協(xié)議的消息與接口的函數(shù)進(jìn)行對比,基于對比的結(jié)果確定基于遠(yuǎn)程過程調(diào)用協(xié)議的消息中的目標(biāo)宏代碼是否訪問接口;若目標(biāo)宏代碼訪問接口,對接收函數(shù)進(jìn)行攔截。通過對訪問接口目標(biāo)宏代碼進(jìn)行識別,攔截目標(biāo)宏代碼所在的接收函數(shù)可以實現(xiàn)對基于宏代碼的無文件攻擊的檢測和攔截,保護(hù)系統(tǒng)的安全。