一种恶意代码检测方法、装置和存储介质与流程

1.本发明涉及计算机系统安全技术领域，具体地说，涉及一种恶意代码检测方法、装置和存储介质。


背景技术：

2.恶意代码检测常规方法，是基于代码特征技术实现的，基本方法是：扫描系统磁盘内的文件，提取特征码进行对比；扫描内存特征，并进行特征匹配。显而易见，如果恶意代码使用了加密多态技术，就很难提取检测特征；或者使用无文件攻击方式，即将恶意代码注入到内存，但并不在系统中产生文件，传统检测方法就很难应对。公布号为cn 106778276a的中国发明专利，公开了一种检测无实体文件恶意代码的方法，其主要步骤包括：遍历系统内正在运行的进程和模块；获取所有进程和模块的路径和文件名，判断在系统磁盘下是否存在对应的文件，若存在则放弃记录，若不存在则阻止相关进程和模块的运行，并分析相关进程和模块是否存在恶意代码。该发明仅将有无文件作为判断恶意代码的标准，现实中，一些恶意代码可能通过假文件来骗过检测，因此，上述专利公开的方法存在安全漏洞。


技术实现要素：

3.本发明提供一种恶意代码检测方法、装置和存储介质，用于解决恶意代码企图通过无实体文件或假实体文件的策略，逃过检测的问题。本发明的实施例内容如下：
4.本发明提出一种恶意代码检测方法，包括以下步骤：
5.获取内存中可执行单元的指向文件信息，判断系统中有无所述指向文件；如果不存在所述指向文件，则临时阻断所述可执行单元的执行，并采用第一处理策略，判断所述可执行单元是否为恶意代码；如果存在所述指向文件，则判断所述指向文件的真实性；若所述指向文件为真，则采用第二处理策略，判断所述可执行单元是否为恶意代码；若所述指向文件为假，则临时阻断所述可执行单元的执行，采用第一处理策略，判断所述可执行单元是否为恶意代码；如果所述可执行单元被判定为恶意代码，则不恢复执行，并列入黑名单；如果所述可执行单元未被判定为恶意代码，则恢复其执行。所述可执行单元包括线程、进程、模块等。
6.进一步地，所述获取内存中执行单元信息的方法，包括：扫描所述系统内存，获取内存中已有的所述可执行单元的信息；检测到新的可执行单元创建时，获取所述可执行单元的信息。
7.进一步地，所述判断所述指向文件的真实性，包括判断所述指向文件是否为所述可执行单元的对应文件。
8.进一步地，当考虑以执行效率优先时，所述第一处理策略为直接判定所述代码为恶意代码。
9.进一步地，当考虑以恶意代码判断的准确度优先时，所述第一处理策略包括：判断所述可执行单元的代码是否加密，若加密，则进行解密处理；若解密成功，则采用特征代码
法，并基于匹配结果判断其是否为恶意代码，或采用虚拟化检测方法，虚拟执行所述代码，执行结果，判断是否为恶意代码；若解密失败，则将所述可执行单元采用虚拟化检测方法虚拟执行，视执行结果判断其是否为恶意代码；若未加密，则采用特征代码法，并基于匹配结果判断其是否为恶意代码，或采用虚拟化检测方法，虚拟执行所述代码，执行结果，判断是否为恶意代码。
10.进一步地，所述第二处理策略包括：采用特征代码法、校验和法等判断所述可执行单元是否为恶意代码。
11.本发明提出与上述恶意代码检测方法对应的一种恶意代码检测装置，包括：信息获取模块，用于获取内存中可执行单元的信息；判断模块，用于判断所述可执行单元是否存在指向文件及所述指向文件的真实性；第一处理策略模块，用于执行第一处理策略；第二处理策略模块，用于执行第二处理策略；可执行单元控制模块，用于阻止或恢复所述可执行单元的执行。
12.进一步地，所述第一处理策略模块，包括：判断子模块，用于判断可执行单元的代码是否加密；解密子模块，用于解密所述代码；虚拟化检测子模块，用于虚拟执行所述代码。
13.进一步地，所述第二处理策略模块，包括：特征代码法检测子模块或校验和法检测子模块。
14.本发明提出与上述恶意代码检测方法对应的一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时，实现上述任意一项所述恶意代码检测方法。
15.本发明提出的恶意代码检测方法、装置和存储介质，对恶意代码的检测不依赖于常规特征，恶意代码采用无实体文件或假实体文件都可以检测，解决恶意代码企图通过无实体文件或假实体文件的策略，逃过检测的问题，同时也可以解决恶意代码采用加密技术、多态技术、更换加载技术逃避检测的问题。
附图说明
16.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
17.图1实施例中恶意代码检测方法流程图；
18.图2优选实施例中恶意代码检测方法流程图；
19.图3恶意代码检测装置示意图。
具体实施方式
20.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
21.根据本发明的实施例，提供了一种恶意代码检测方法，图1为恶意代码检测方法流
程图，包括以下步骤：获取内存中可执行单元的指向文件信息，判断系统中有无所述指向文件，其中可执行单元包括线程、进程、模块等；如果不存在指向文件，则临时阻断可执行单元的执行，并采用第一处理策略，即采用虚拟化检测方法，虚拟执行所述代码，并判断是否为恶意代码；如果存在指向文件，则判断指向文件的真实性；若指向文件为真，则采用第二处理策略，即采用特征代码法，判断可执行单元是否为恶意代码；若指向文件为假，则临时阻断可执行单元的执行，采用第一处理策略，判断可执行单元是否为恶意代码；如果可执行单元被判定为恶意代码，则不恢复执行，并列入黑名单；如果可执行单元未被判定为恶意代码，则恢复其执行。
22.通过上述方法，可以解决恶意代码企图通过无实体文件或假实体文件的策略，逃过检测的问题，增强了计算机系统的安全性。
23.本发明的一优选实施例中，所述获取内存中执行单元信息的方法，包括：扫描所述系统内存，获取内存中已有的所述可执行单元的信息；检测到新的可执行单元创建时，获取所述可执行单元的信息。通过这两种方法的组合，既可以检测到内存中已经存在的恶意代码，又可以检测新进入内存的恶意代码。
24.本发明的一优选实施例中，所述判断所述指向文件的真实性，包括判断所述指向文件是否为所述可执行单元的对应文件。如果可执行单元指向的文件是其应该对应的文件，则可以认为该指向文件是真是的；如果可执行单元指向的文件不是其应该对应的文件，则认为该指向文件是虚假的，该可执行单元的代码恶意隐藏其没有真实指向文件的事实，那么该代码应属于恶意代码。
25.本发明的一优选实施例中，如图2所示，考虑以执行效率优先，包括以下步骤：获取内存中可执行单元的指向文件信息，判断系统中有无所述指向文件，其中可执行单元包括线程、进程、模块等；如果不存在指向文件，则判定所述可执行单元为恶意代码；如果存在指向文件，则判断指向文件的真实性；若指向文件为真，则采用特征代码法，判断可执行单元是否为恶意代码；若指向文件为假，则判定该可执行单元为恶意代码；如果可执行单元被判定为恶意代码，则不恢复执行，并列入黑名单；如果可执行单元未被判定为恶意代码，则恢复其执行。
26.本发明的一优选实施例中，所述第一处理策略包括：判断所述可执行单元的代码是否加密，若加密，则进行解密处理；若解密成功，则采用特征代码法，并基于匹配结果判断其是否为恶意代码，或采用虚拟化检测方法，虚拟执行所述代码，执行结果，判断是否为恶意代码；若解密失败，则将所述可执行单元采用虚拟化检测方法虚拟执行，视执行结果判断其是否为恶意代码；若未加密，则采用特征代码法，对匹配结果进行分析，或采用虚拟化检测方法，虚拟执行所述代码，并基于执行结果，判断是否为恶意代码。在本实施例中，对于没有对应文件的可执行单元，采用特征代码匹配的方法，对匹配结果进行分析，或采用虚拟化执行的方法，将其隔离在实际系统之外执行，对其虚拟执行过程和结果进行分析，判断其是否为恶意代码；如果代码无法解密，难以提取特征代码，只能在虚拟执行的过程中，对其执行过程和执行结果进行分析，确定其是否为恶意代码，以保证系统运行的安全。
27.本发明的一优选实施例中，所述第二处理策略还可以采用校验和法等方法，判断所述可执行单元是否为恶意代码。
28.根据本发明的实施例，提供了一种恶意代码检测装置，图3是该装置的示意图，包
括：信息获取模块，用于获取内存中可执行单元的信息。判断模块，用于判断所述可执行单元是否存在指向文件及所述指向文件的真实性。第一处理策略模块，包括：判断子模块，用于判断可执行单元的代码是否加密；解密子模块，用于解密所述代码；虚拟化检测子模块，用于虚拟执行所述代码。第二处理策略模块，包括：特征代码法检测子模块或校验和法子模块。可执行单元控制模块，用于阻止或恢复所述可执行单元的执行。该恶意代码检测装置用于执行前述恶意代码检测方法，判断内存中的可执行单元是否为恶意代码，并根据判断结果对可执行单元进行处理，如果为恶意代码则阻止其执行，并列入黑名单；如果不是恶意代码，则恢复其执行。
29.根据本发明的实施例，提供了一种计算机可读存储介质，包括光盘、u盘、硬盘、随机存储器(ram)、只读存储器(rom)、可编程rom以及技术领域内所公知的任意其他形式的存储介质。该计算机可读存储介质用于存储计算机程序，该计算机程序被处理器执行时，实现上述任意一项本发明提出的恶意代码检测方法。
30.以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。