【技術實現步驟摘要】
本申請涉及計算機及通信,具體而言,涉及一種內存轉儲方法及相關設備。
技術介紹
1、隨著計算機的發展,無文件攻擊、分階段下載等方式已越來越多地應用在網絡攻擊中。現在的惡意代碼會采取一系列如加密、混淆、分階段下載、內存注入等手段進行對抗,以避免投放的木馬文件被安全軟件攔截。在整個攻擊過程中,沒有惡意文件落地,導致安全軟件難以攔截。
技術實現思路
1、本申請的實施例提供了一種內存轉儲方法及相關設備,進而至少在一定程度上可以克服現有技術的安全軟件難以攔截惡意代碼的問題。
2、本申請的其他特性和優點將通過下面的詳細描述變得顯然,或部分地通過本申請的實踐而習得。
3、根據本申請實施例的一個方面,提供了一種內存轉儲方法,包括:通過回調例程對目標進程進行監控,記錄目標內存信息;對所述已記錄的目標內存進行掃描,確定是否存在可執行文件的字段;若存在所述可執行文件的字段,對對應的可執行文件進行定位解析,得到解析結果;若所述解析結果為需要將所述可執行文件轉儲,則將所述可執行文件轉儲至本地。
4、在本申請的一些實施例中,所述若存在所述可執行文件的字段,對對應的可執行文件進行定位解析,得到解析結果,具體包括:若存在所述可執行文件的字段,則對所述可執行文件進行校驗,確定所述可執行文件是否為有效可執行文件;若所述可執行文件為有效可執行文件且并非動態鏈接文件,則確定所述解析結果為需要將所述可執行文件轉儲。
5、在本申請的一些實施例中,所述若存在所述可執行文件的字段,則
6、在本申請的一些實施例中,所述若所述可執行文件存在初步有效性,對所述可執行文件的整體進行校驗,確定所述可執行文件是否具有有效性,具體包括:若所述可執行文件存在初步有效性,則確定所述可執行文件是否為展開文件;根據所述可執行文件是否為展開文件的結果,獲取所述可執行文件的各項標識及大小,確定所述可執行文件是否有效。
7、在本申請的一些實施例中,所述若所述可執行文件為有效可執行文件且并非動態鏈接文件,則確定所述解析結果為需要將所述可執行文件轉儲,具體包括:若所述可執行文件為有效可執行文件且并非動態鏈接文件,則根據所述可執行文件是否為展開文件,確定所述解析結果;若所述可執行文件是為展開文件,則確定所述解析結果為需要將所述可執行文件轉儲,且需要進行重組;若所述可執行文件是不為展開文件,則確定所述解析結果為需要將所述可執行文件轉儲,且不需要進行重組。
8、在本申請的一些實施例中,所述對所述已記錄的目標內存進行掃描,確定是否存在可執行文件的字段,具體包括:每隔預定時間,對所述已記錄的目標內存進行掃描,確定是否存在可執行文件的字段;響應于目標進程預定操作的觸發,對對應的目標內存進行掃描,確定是否存在可執行文件的字段。
9、在本申請的一些實施例中,所述通過回調例程對目標進程進行監控,記錄目標內存信息,具體包括:響應于目標進程的創建,通過預設的進程控制回調例程對所述目標進程進行監控;通過預設掛鉤函數攔截目標進程的所有內存操作,記錄目標內存信息。
10、在本申請的一些實施例中,所述響應于目標進程的創建,通過預設的進程控制回調例程對所述目標進行監控,具體包括:響應于目標進程的創建,通過預設的進程控制回調例程;將所述目標進程與預設掛鉤函數掛鉤,以通過所述預設掛鉤函數監控所述目標進程。
11、在本申請的一些實施例中,所述通過預設掛鉤函數攔截目標進程的所有內存操作,記錄目標內存信息,具體包括:通過預設掛鉤函數攔截目標進程的所有內存操作;響應于所述目標進程分配內存的成功,獲取目標內存塊的屬性;根據所述目標內存塊的屬性,記錄目標內存信息。
12、根據本申請實施例的一個方面,提供了一種內存轉儲裝置,所述內存轉儲裝置包括:進程監控模塊,用于通過回調例程對目標進程進行監控,記錄目標內存信息;內存掃描模塊,用于對所述已記錄的目標內存進行掃描,確定是否存在可執行文件的字段;定位解析模塊,用于若存在所述可執行文件的字段,對對應的可執行文件進行定位解析,得到解析結果;文件轉儲模塊,用于若所述解析結果為需要將所述可執行文件轉儲,則將所述可執行文件轉儲至本地。
13、在本申請的一些實施例中,所述定位解析模塊具體包括:有效判斷子模塊,用于若存在所述可執行文件的字段,則對所述可執行文件進行校驗,確定所述可執行文件是否為有效可執行文件;結果確定子模塊,用于若所述可執行文件為有效可執行文件且并非動態鏈接文件,則確定所述解析結果為需要將所述可執行文件轉儲。
14、在本申請的一些實施例中,所述有效判斷子模塊具體包括:初步判斷單元,用于若存在所述可執行文件的字段,則對所述可執行文件的標頭進行校驗,確定所述可執行文件是否具有初步有效性;整體校驗單元,用于若所述可執行文件存在初步有效性,對所述可執行文件的整體進行校驗,確定所述可執行文件是否具有有效性。
15、在本申請的一些實施例中,所述整體校驗單元具體用于執行:若所述可執行文件存在初步有效性,則確定所述可執行文件是否為展開文件;根據所述可執行文件是否為展開文件的結果,獲取所述可執行文件的各項標識及大小,確定所述可執行文件是否有效。
16、在本申請的一些實施例中,所述結果確定子模塊具體包括:結果確定單元,用于若所述可執行文件為有效可執行文件且并非動態鏈接文件,則根據所述可執行文件是否為展開文件,確定所述解析結果;第一確定單元,用于若所述可執行文件是為展開文件,則確定所述解析結果為需要將所述可執行文件轉儲,且需要進行重組;第二確定單元,用于若所述可執行文件是不為展開文件,則確定所述解析結果為需要將所述可執行文件轉儲,且不需要進行重組。
17、在本申請的一些實施例中,所述內存掃描模塊具體包括:第一掃描子模塊,用于每隔預定時間,對所述已記錄的目標內存進行掃描,確定是否存在可執行文件的字段;第二掃描子模塊,用于響應于目標進程預定操作的觸發,對對應的目標內存進行掃描,確定是否存在可執行文件的字段。
18、在本申請的一些實施例中,所述進程監控模塊具體包括:進程監控子模塊,用于響應于目標進程的創建,通過預設的進程控制回調例程對所述目標進程進行監控;信息記錄子模塊,用于通過預設掛鉤函數攔截目標進程的所有內存操作,記錄目標內存信息。
19、在本申請的一些實施例中,所述進程監控子模塊具體包括:回調例程單元,用于響應于目標進程的創建,通過預設的進程控制回調例程;掛鉤函數單元,用于將所述目標進程與預設掛鉤函數掛鉤,以通過所述預設掛鉤函數監控所述目標進程。
20、在本申請的一些實施例中,所述信息記錄子模塊具體包括:操作攔截單元,用本文檔來自技高網...
【技術保護點】
1.一種內存轉儲方法,其特征在于,包括:
2.如權利要求1所述的內存轉儲方法,其特征在于,所述若存在所述可執行文件的字段,對對應的可執行文件進行定位解析,得到解析結果,具體包括:
3.如權利要求2所述的內存轉儲方法,其特征在于,所述若存在所述可執行文件的字段,則對所述可執行文件進行校驗,確定所述可執行文件是否為有效可執行文件,具體包括:
4.如權利要求3所述的內存轉儲方法,其特征在于,所述若所述可執行文件存在初步有效性,對所述可執行文件的整體進行校驗,確定所述可執行文件是否具有有效性,具體包括:
5.如權利要求2所述的內存轉儲方法,其特征在于,所述若所述可執行文件為有效可執行文件且并非動態鏈接文件,則確定所述解析結果為需要將所述可執行文件轉儲,具體包括:
6.如權利要求1所述的內存轉儲方法,其特征在于,所述對所述已記錄的目標內存進行掃描,確定是否存在可執行文件的字段,具體包括:
7.如權利要求1所述的內存轉儲方法,其特征在于,所述通過回調例程對目標進程進行監控,記錄目標內存信息,具體包括:
8.一
9.一種計算機可讀介質,其上存儲有計算機程序,其特征在于,所述計算機程序被處理器執行時實現如權利要求1至7中任一項所述的內存轉儲方法。
10.一種電子設備,其特征在于,包括:
...【技術特征摘要】
1.一種內存轉儲方法,其特征在于,包括:
2.如權利要求1所述的內存轉儲方法,其特征在于,所述若存在所述可執行文件的字段,對對應的可執行文件進行定位解析,得到解析結果,具體包括:
3.如權利要求2所述的內存轉儲方法,其特征在于,所述若存在所述可執行文件的字段,則對所述可執行文件進行校驗,確定所述可執行文件是否為有效可執行文件,具體包括:
4.如權利要求3所述的內存轉儲方法,其特征在于,所述若所述可執行文件存在初步有效性,對所述可執行文件的整體進行校驗,確定所述可執行文件是否具有有效性,具體包括:
5.如權利要求2所述的內存轉儲方法,其特征在于,所述若所述可執行文件為有...
【專利技術屬性】
技術研發人員:董康偉,李琦,孟文娟,
申請(專利權)人:三六零數字安全科技集團有限公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。