一種傀儡進程檢測方法、裝置、電子設(shè)備和存儲介質(zhì)

基本信息

申請?zhí)?/td> CN202210272614.X 申請日 -
公開(公告)號 CN114707149A 公開(公告)日 2022-07-05
申請公布號 CN114707149A 申請公布日 2022-07-05
分類號 G06F21/56(2013.01)I 分類 計算;推算;計數(shù);
發(fā)明人 張宗元 申請(專利權(quán))人 安芯網(wǎng)盾(北京)科技有限公司
代理機構(gòu) 北京中創(chuàng)云知識產(chǎn)權(quán)代理事務(wù)所(普通合伙) 代理人 -
地址 100085北京市海淀區(qū)上地五街高立二千大廈二層西側(cè)
法律狀態(tài) -

摘要

摘要 本發(fā)明實施例涉及一種傀儡進程檢測方法、裝置、電子設(shè)備和存儲介質(zhì),該方法包括:監(jiān)視進程中各子進程的執(zhí)行進度;當任意一個進程調(diào)用函數(shù)恢復(fù)該子進程所在的線程的運行時,遍歷該子進程所有包含可執(zhí)行屬性的內(nèi)存區(qū)塊,并判斷其是否符合可移植條件;根據(jù)該內(nèi)存區(qū)塊是否符合可移植條件,對該內(nèi)存區(qū)塊進行鏡像文件檢測;根據(jù)鏡像檢測的結(jié)果,判斷該進程是否為傀儡進程。本發(fā)明實施例的技術(shù)方案,利用傀儡進程需要先將惡意模塊寫入正常程序的內(nèi)存,并設(shè)置內(nèi)存為可執(zhí)行屬性的特點對子進程進行檢測,在對于傀儡進程的識別率和準確率上得到了顯著的提升,同時不會被加殼軟件干擾誤報,有效地解決了病毒長期潛伏導(dǎo)致用戶數(shù)據(jù)被竊取的技術(shù)問題。