一种检测方法、装置及电子设备与流程

1.本公开涉及计算机技术领域，尤其涉及一种检测方法、装置及电子设备。


背景技术：

2.随着社会的发展，社会逐渐进入信息化时代。在信息化时代中，网络已经变成人们日常生活中，不可获缺的部分。
3.但是在用人们日常使用网络的过程中，存在着遭遇网络攻击的风险。当前比较常见的一种网络攻击就是勒索攻击。勒索攻击通常采用将用户的文件进行加密的方式对用户进行勒索。
4.相关技术中，为了抵御勒索攻击，通常采用的方法是安装终端检测响应平台。但是终端检测响应平台存在被绕过的风险。


技术实现要素：

5.有鉴于此，本公开实施例提供一种检测方法、装置及电子设备，能够提高对网络攻击检测的准确性。
6.第一方面，本公开实施例提供一种检测方法，包括：
7.获取目标驱动调动的函数的函数标识；
8.根据函数标识确定函数返回的结果；
9.在返回的结果满足预设条件的情况下，确定目标驱动对应的程序为攻击程序。
10.根据本公开实施例的一种具体实现方式，在返回的结果满足预设条件的情况下，确定目标驱动对应的程序为攻击程序，包括：
11.在返回的结果为空的情况下，进一步检查被创建的设备名称的符号链接是否存在，若不存在，则确定目标驱动对应的程序为攻击程序。
12.根据本公开实施例的一种具体实现方式，在返回的结果满足预设条件的情况下，确定目标驱动对应的程序为攻击程序，包括：
13.在返回的结果指示返回的路径名称为诱饵文件的名称的情况下，确定目标驱动对应的程序为攻击程序。
14.根据本公开实施例的一种具体实现方式，在返回的结果满足预设条件的情况下，确定目标驱动对应的程序为攻击程序之前，方法还包括：
15.在预设位置设置诱饵文件。
16.第二方面，本公开实施例提供一种检测装置，包括：
17.获取模块，用于获取目标驱动调动的函数的函数标识；
18.第一确定模块，用于根据函数标识确定函数返回的结果；
19.第二确定模块，用于在返回的结果满足预设条件的情况下，确定目标驱动对应的程序为攻击程序
20.第二确定模块，用于在返回的结果满足预设条件的情况下，确定目标驱动对应的
程序为攻击程序。
21.根据本公开实施例的一种具体实现方式，第二确定模块，包括：
22.第一确定单元，用于在返回的结果为空的情况下，进一步检查被创建的设备名称的符号链接是否存在，若不存在，则确定目标驱动对应的程序为攻击程序。
23.根据本公开实施例的一种具体实现方式，第二确定模块，包括：
24.第二确定单元，用于在返回的结果指示返回的路径名称为诱饵文件的名称的情况下，确定目标驱动对应的程序为攻击程序。
25.根据本公开实施例的一种具体实现方式，检测装置还包括：
26.设置模块，在返回的结果满足预设条件的情况下，确定目标驱动对应的程序为攻击程序之前，用于在预设位置设置诱饵文件。
27.第三方面，本公开实施例提供一种电子设备，电子设备包括：壳体、处理器、存储器、电路板和电源电路，其中，电路板安置在壳体围成的空间内部，处理器和存储器设置在电路板上；电源电路，用于为上述电子设备的各个电路或器件供电；存储器用于存储可执行程序代码；处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序，用于执行前述任一实现方式的方法。
28.第四方面，本公开的实施例还提供一种应用程序，应用程序被执行以实现本公开任一实施方式的方法。
29.本公开实施例提供的一种检测方法、装置及电子设备，通过获取目标驱动的函数的函数标识，然后根据函数标识确定函数返回的结果，在函数返回的结果满足预设条件的情况下，确定目标驱动对应的程序为攻击程序。本公开实施例中，由于是对调用函数返回的结果进行检测，能够避免网络攻击绕开常规检测工具的问题，提高了检测的准确性。
附图说明
30.为了更清楚地说明本公开实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本公开的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。
31.图1为本公开实施例一的检测方法的流程示意图；
32.图2为本公开实施例二的检测方法的流程示意图；
33.图3为本公开实施例三的检测方法的流程示意图；
34.图4为本公开实施例四的检测方法的流程示意图；
35.图5为本公开实施例五的检测装置的流程示意图；
36.图6为本公开电子设备一个实施例的结构示意图。
具体实施方式
37.下面结合附图对本公开实施例进行详细描述。应当明确，所描述的实施例仅仅是本公开一部分实施例，而不是全部的实施例。基于本公开中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本公开保护的范围。
38.应当理解，本公开的方法实施方式中记载的各个步骤可以按照不同的顺序执行，
和/或并行执行。此外，方法实施方式可以包括附加的步骤和/或省略执行示出的步骤。本公开的范围在此方面不受限制。
39.需要注意，本公开中提及的“第一”、“第二”等概念仅用于对不同的装置、模块或单元进行区分，并非用于限定这些装置、模块或单元所执行的功能的顺序或者相互依存关系。
40.需要注意，本公开中提及的“一个”、“多个”的修饰是示意性而非限制性的，本领域技术人员应当理解，除非在上下文另有明确指出，否则应该理解为“一个或多个”。
41.为了对本公开进行详细的说明，首先对本公开出现的名词进行解释：
42.勒索软件，是一种流行的木马，通过骚扰、恐吓甚至采用绑架用户文件等方式，使用户数据资产或计算资源无法正常使用，并以此为条件向用户勒索钱财。这类用户数据资产包括文档、邮件、数据库、源代码、图片、压缩文件等多种文件。赎金形式包括真实货币、比特币或其它虚拟货币。
43.f l tgetdest i nat i onfi l ename i nformat i on，该函数以规范化格式或“打开的文件”格式返回文件名信息。该函数可以返回正被rename的文件或目录构造一个全路径名。
44.def i nedosdevi ce，定义、重定义或删除msdos的设备名。
45.edr，终端检测响应平台。
46.ri p l ace，调用重命名请求时，过滤器驱动程序将获取回调的请求。安全公司nyotron的研究团队发现，如果在rename之前调用def i nedosdev i ce(创建符号链接的旧函数)，则可以将任意名称作为设备名称，并将原始文件路径作为指向的目标。使用ri p l ace，在调用通用例程f ltgetdest i nat ionfi l ename i nformat ion时，回调函数过滤器驱动程序无法解析任意的目标路径。即使在传递dosdevice路径时返回错误，但是重命名的调用也会成功，因此可以完成通过重命名的操作可以覆盖原始文件又可以绕过安全产品edr的监控。
47.目前，已知大多数勒索软件通过执行以下操作进行勒索：
48.1)打开/读取原始文件；2)在内存中加密内容；3)破坏原始文件。而在破坏原始文件的操作下，还会进一步采用以下几种执行行为进行勒索攻击：a)直接将加密内容写入原始文件；b)在磁盘上保存加密内容，删除原始文件；c)在磁盘上保存加密内容，通过重命名的操作可以覆盖原始文件。
49.而安全公司nyotron的安全研究人员发现了一种名为ri p l ace的新型的、规避edr产品进行替换文件的技术，该技术可被勒索软件用于破坏原始文件步骤的“用加密文件替换原始文件”。目前已有勒索病毒thanos使用ri p l ace技术发起勒索攻击，并且多数edr产品无法针对利用该技术发起的勒索攻击进行检测。
50.为了解决上述技术问题，本公开实施例提供了一种检测方法，可以应用于利用ri p l ace技术的勒索威胁的检测。
51.图1为本公开实施例一提供的一种检测方法流程图，如图1所示，方法可以包括：
52.s110，获取目标驱动调动的函数的函数标识。
53.在一些实施例中，目标驱动可以包括对文件进行调用的驱动。
54.示例性的，目标驱动可以包括mi n i f i l ter驱动，本公开实施例并不对驱动进行具体限定。
55.在一些实施例中，目标驱动调用的函数可以包括ap i函数。
56.在一些实施例中，函数的标识可以包括函数的名称、重要参数，本公开实施例中，并不对函数的标识进行具体限定。
57.s120，根据函数标识确定函数返回的结果。
58.在一些实施例中，可以根据函数的标识确定对应的函数，然后根据对应的函数确定函数返回的结果。
59.在一些实施例中，可以直接根据函数的标识确定函数返回的结果。
60.s130，在返回的结果满足预设条件的情况下，确定目标驱动对应的程序为攻击程序。
61.在一些实施例中，预设条件可以包括用户自定义设置的条件，本公开并不对预设条件进行具体限定。
62.本公开实施例提供的一种检测方法，通过获取目标驱动的函数的函数标识，然后根据函数标识确定函数返回的结果，在函数返回的结果满足预设条件的情况下，确定目标驱动对应的程序为攻击程序。本公开实施例中，由于是对调用函数返回的结果进行检测，能够避免网络攻击绕开常规检测工具的问题，提高了检测的准确性。
63.图2为本公开实施例二提供的另一种检测方法流程图，如图2所示，步骤s130可以包括：
64.s210，在返回的结果为空的情况下，进一步检查被创建的设备名称的符号链接是否存在，若不存在，则确定目标驱动对应的程序为攻击程序。
65.在一个实施例中，函数在正常的调用情况下，调用的结果通常都不会是空结果，因此在返回结果为空的情况下，此次调用可能是勒索软件的调用。
66.在一个实施例中，监控mi n i f i l ter驱动调用的ap i函数f l tgetdest i nat i onfi l ename i nformat i on，如果发现该函数返回的结果为空，例如procmon监控到的文件名“fi l ename:”为空的情况，则此次调用可能为非法调用。
67.进一步地，如果返回的结果为空，说明本次调用可能为非法调用，可挂起本次调用所对应的进程，再进一步检查def i nedosdevi ce创建的ms-dos设备名称的符号链接是否真实存在，例如thanos勒索软件中创建的“reso l ve”，系统中存在“c:”、“d:”，并不存在“reso l ve”的情况，所以如果存在“reso l ve”，则此次调用为疑似攻击；否则恢复此次进程。
68.本公开实施例提供的一种检测方法，通过获取目标驱动的函数的函数标识，然后根据函数标识确定函数返回的结果，在函数返回的结果满足预设条件的情况下，确定目标驱动对应的程序为攻击程序。本公开实施例中，由于是对调用函数返回的结果进行检测，能够避免网络攻击绕开常规检测工具的问题，提高了检测的准确性。
69.图3为本公开实施例三提供的再一种检测方法流程图，如图3所示，步骤s130可以包括：
70.s310，在返回的结果指示返回的路径名称为诱饵文件的名称的情况下，确定目标驱动对应的程序为攻击程序。
71.图4为本公开实施例四提供的另一种检测方法流程图，如图4所示，在返回的结果满足预设条件的情况下，确定目标驱动对应的程序为攻击程序之前，方法还包括：
72.s410，在预设位置设置诱饵文件。
73.本公开实施例提供的一种检测方法，通过获取目标驱动的函数的函数标识，然后根据函数标识确定函数返回的结果，在函数返回的结果满足预设条件的情况下，确定目标驱动对应的程序为攻击程序。本公开实施例中，由于是对调用函数返回的结果进行检测，能够避免网络攻击绕开常规检测工具的问题，提高了检测的准确性。
74.为了对本公开实施例进行具体的说明，下面提供一种具体的示例，监控mi n i f i l ter驱动调用的ap i函数f l tgetdest i nat i onf i l ename i nformat i on。若调用的ap i函数的返回结果为空，则挂起驱动对应的进程并检查def i nedosdev i ce创建的ms-dos设备名称的符号链接。若符号链接真实存在则恢复挂起的进程，若符号链接不存在则判断上述驱动对应的程序为攻击程序。
75.若调用的ap i函数的返回结果不为空，则检查返回的全路径名是否为诱饵文件的路径，若是，则判断上述驱动对应的程序为攻击程序。基于同一发明构思，本公开实施例中还提供了一种检测装置，如下面的实施例。由于该装置实施例解决问题的原理与上述方法实施例相似，因此该装置实施例的实施可以参见上述方法实施例的实施，重复之处不再赘述。
76.图5示出本公开实施例五中一种数据处理装置示意图。
77.如图5所示，该装置包括：
78.获取模块510，用于获取目标驱动调动的函数的函数标识；
79.第一确定模块520，用于根据函数标识确定函数返回的结果；
80.第二确定模块，用于在返回的结果满足预设条件的情况下，确定目标驱动对应的程序为攻击程序
81.第二确定模块530，用于在返回的结果满足预设条件的情况下，确定目标驱动对应的程序为攻击程序。
82.本公开实施例提供的一种检测装置，通过获取目标驱动的函数的函数标识，然后根据函数标识确定函数返回的结果，在函数返回的结果满足预设条件的情况下，确定目标驱动对应的程序为攻击程序。本公开实施例中，由于是对调用函数返回的结果进行检测，能够避免网络攻击绕开常规检测工具的问题，提高了检测的准确性。
83.根据本公开实施例的一种具体实现方式，第二确定模块，包括：
84.第一确定单元，用于在返回的结果为空的情况下，进一步检查被创建的设备名称的符号链接是否存在，若不存在，则确定目标驱动对应的程序为攻击程序。
85.根据本公开实施例的一种具体实现方式，第二确定模块，包括：
86.第二确定单元，用于在返回的结果指示返回的路径名称为诱饵文件的名称的情况下，确定目标驱动对应的程序为攻击程序。
87.根据本公开实施例的一种具体实现方式，检测装置还包括：
88.设置模块，在返回的结果满足预设条件的情况下，确定目标驱动对应的程序为攻击程序之前，用于在预设位置设置诱饵文件。
89.图6为本公开电子设备一个实施例的结构示意图，可以实现本公开图1-4所示实施例的流程，如图6所示，上述电子设备可以包括：壳体41、处理器42、存储器43、电路板44和电源电路45，其中，电路板44安置在壳体41围成的空间内部，处理器42和存储器43设置在电路
板44上；电源电路45，用于为上述电子设备的各个电路或器件供电；存储器43用于存储可执行程序代码；处理器42通过读取存储器43中存储的可执行程序代码来运行与可执行程序代码对应的程序，用于执行前述任一实施例的方法的步骤。
90.处理器42对上述步骤的具体执行过程以及处理器42通过运行可执行程序代码来进一步执行的步骤，可以参见本公开图1-4所示实施例的描述，在此不再赘述。
91.该电子设备以多种形式存在，包括但不限于：
92.(1)移动通信设备：这类设备的特点是具备移动通信功能，并且以提供话音、数据通信为主要目标。这类终端包括：智能手机(例如i phone)、多媒体手机、功能性手机，以及低端手机等。
93.(2)超移动个人计算机设备：这类设备属于个人计算机的范畴，有计算和处理功能，一般也具备移动上网特性。这类终端包括：pda、m i d和umpc设备等，例如i pad。
94.(3)便携式娱乐设备：这类设备可以显示和播放多媒体内容。该类设备包括：音频、视频播放器(例如i pod)，掌上游戏机，电子书，以及智能玩具和便携式车载导航设备。
95.(4)服务器：提供计算服务的设备，服务器的构成包括处理器、硬盘、内存、系统总线等，服务器和通用的计算机架构类似，但是由于需要提供高可靠的服务，因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
96.(5)其他具有数据交互功能的电子设备。
97.第五方面，本公开的实施例还提供一种应用程序，应用程序被执行以实现本公开任一实施例提供的方法。
98.需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。
99.本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。
100.尤其，对于装置实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
101.为了描述的方便，描述以上装置是以功能分为各种单元/模块分别描述。当然，在实施本公开时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。
102.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，的存储介质可为磁碟、光盘、只读存储记忆体(read-on l y memory，rom)或随机存储记忆体(random access memory，ram)等。
103.以上，仅为本公开的具体实施方式，但本公开的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本公开揭露的技术范围内，可轻易想到的变化或替换，都应涵盖
在本公开的保护范围之内。因此，本公开的保护范围应以权利要求的保护范围为准。