一種基于處理器跟蹤的內(nèi)存惡意代碼檢測(cè)方法

基本信息

申請(qǐng)?zhí)?/td> CN202111104188.0 申請(qǐng)日 -
公開(公告)號(hào) CN113569244B 公開(公告)日 2021-12-03
申請(qǐng)公布號(hào) CN113569244B 申請(qǐng)公布日 2021-12-03
分類號(hào) G06F21/56(2013.01)I 分類 計(jì)算;推算;計(jì)數(shù);
發(fā)明人 田紅偉;魏勇;徐文勇 申請(qǐng)(專利權(quán))人 成都數(shù)默科技有限公司
代理機(jī)構(gòu) 成都天嘉專利事務(wù)所(普通合伙) 代理人 趙凱
地址 610000四川省成都市中國(guó)(四川)自由貿(mào)易試驗(yàn)區(qū)成都高新區(qū)天府大道北段28號(hào)1棟2單元15層06號(hào)
法律狀態(tài) -

摘要

摘要 本發(fā)明公開了一種基于處理器跟蹤的內(nèi)存惡意代碼檢測(cè)方法,屬于信息安全技術(shù)領(lǐng)域,其特征在于,包括以下步驟:a、驅(qū)動(dòng)模塊初始化Intel處理器跟蹤功能;b、監(jiān)控目標(biāo)進(jìn)程的代碼執(zhí)行路徑;c、解碼緩沖區(qū)獲取執(zhí)行路徑的完整虛擬地址;d、對(duì)內(nèi)存頁進(jìn)行惡意代碼檢測(cè);e、判斷代碼是否屬于可信內(nèi)存代碼;f、檢測(cè)內(nèi)存代碼API調(diào)用記錄和COM接口調(diào)用記錄,并與異常行為知識(shí)庫進(jìn)行匹配。本發(fā)明除了能對(duì)無文件攻擊中使用的內(nèi)存代碼、經(jīng)過加殼的惡意代碼、加密后的惡意代碼病毒和木馬常見場(chǎng)景進(jìn)行檢測(cè)外,同時(shí)對(duì)漏洞利用過程中的shellcode代碼執(zhí)行同樣也有檢測(cè)效果,不僅檢測(cè)效果好,而且具有很好的普適性。