CN116796308A - 一种基于Linux内核的伪装进程可执行程序检测方法及装置 - Google Patents

一种基于Linux内核的伪装进程可执行程序检测方法及装置 Download PDF

Info

Publication number
CN116796308A
CN116796308A CN202310111349.1A CN202310111349A CN116796308A CN 116796308 A CN116796308 A CN 116796308A CN 202310111349 A CN202310111349 A CN 202310111349A CN 116796308 A CN116796308 A CN 116796308A
Authority
CN
China
Prior art keywords
executed
path
executable program
command line
bprm
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202310111349.1A
Other languages
English (en)
Other versions
CN116796308B (zh
Inventor
赵克奉
姜向前
姚纪卫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Anxin Wangdun Beijing Technology Co ltd
Original Assignee
Anxin Wangdun Beijing Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Anxin Wangdun Beijing Technology Co ltd filed Critical Anxin Wangdun Beijing Technology Co ltd
Priority to CN202310111349.1A priority Critical patent/CN116796308B/zh
Publication of CN116796308A publication Critical patent/CN116796308A/zh
Application granted granted Critical
Publication of CN116796308B publication Critical patent/CN116796308B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明公开了一种基于Linux内核的伪装进程可执行程序检测方法及装置,方法包括如下步骤:获取待执行进程命令行的参数;判断命令行的第一个参数是否为绝对路径;如是,则获取待执行进程的真实路径,判断命令行参数中的指定路径与真实路径是否相同,相同则允许待执行进程执行,不相同则判定待执行进程存在伪装行为,并终止待执行进程;如否,则允许待执行进程执行。基于内核对恶意程序实时检测,检测进程启动时是否存在可执行程序路径伪装行为以及阻断进程执行,以解决其伪装可执行程序路径的问题,具有实时性强、检测准确性高等优点。

Description

一种基于Linux内核的伪装进程可执行程序检测方法及装置
技术领域
本发明涉及软件检测技术领域,特别涉及一种基于Linux内核的伪装进程可执行程序检测方法及装置。
背景技术
许多的恶意程序为了隐藏自身,躲避追踪,常常会利用伪装手段混淆自己。常见的一种伪装手段是伪装命令行信息为常见的***进程的命令行信息,特别是伪装可执行程序路径,这样就造成ps命令查看到的进程信息是正常的***进程信息,以此达到隐藏自身的目的。Linux调用execve函数执行新程序时可以设置一系列参数以及环境变量,第一个命令行参数一般是可执行程序的路径,人们往往依据ps命令展示的命令行信息去判断一个进程的异常,基于此,恶意程序常常在调用execve时通过伪装第一个命令行参数为一个常见***命令的方式伪装自己。
为了解决伪装可执行程序路径的问题,本发明公开了一种基于内核的实时检测方法,可以检测进程启动时是否存在可执行程序路径伪装行为以及阻断进程执行。
发明内容
本发明实施例的目的是提供一种基于Linux内核的伪装进程可执行程序检测及装置,基于内核对恶意程序实时检测,检测进程启动时是否存在可执行程序路径伪装行为以及阻断进程执行,以解决其伪装可执行程序路径的问题,具有实时性强、检测准确性高等优点。
为解决上述技术问题,本发明实施例的第一方面提供了一种基于Linux内核的伪装进程可执行程序检测方法,包括如下步骤:
获取待执行进程命令行的参数;
判断所述命令行的第一个参数是否为绝对路径;
如是,则获取所述待执行进程的真实路径,判断所述命令行参数中的指定路径与所述真实路径是否相同,相同则允许所述待执行进程执行,不相同则判定所述待执行进程存在伪装行为,并终止所述待执行进程;
如否,则允许所述待执行进程执行。
进一步地,所述判定所述待执行进程存在伪装行为之后,还包括:
判断所述待执行进程是否为误报;
如所述待执行进程位于伪装进程白名单中,则允许所述待执行进程执行;
如所述待执行进程未位于所述伪装进程白名单中,则终止所述待执行进程。
进一步地,所述获取待执行进程命令行的参数,包括:
向LSM的security_bprm_check_security hook点注册回调函数;
计算argv和environ的字节数;
获取预设字节长度的缓存,所述预设字节长度的字节数为bprm->p-bprm->exec;
调用access_remote_vm函数,获取从bprm->p开始的所述预设字节长度个字节到所述缓存中;
处理所述缓存并得到所述命令行的参数。
进一步地,所述终止所述待执行进程之后,还包括:
解注册LSM的security_bprm_check_security hook函数。
相应地,本发明实施例的第二方面提供了一种基于Linux内核的伪装进程可执行程序检测装置,包括:
参数获取模块,其用于获取待执行进程命令行的参数;
第一判断模块,其用于判断所述命令行的第一个参数是否为绝对路径;
第二判断模块,其用于在所述命令行的第一个参数为绝对路径时,获取所述待执行进程的真实路径,判断所述命令行参数中的指定路径与所述真实路径是否相同,相同则允许所述待执行进程执行,不相同则判定所述待执行进程存在伪装行为,并终止所述待执行进程;
所述第一判断模块还用于在所述命令行的第一个参数不为绝对路径时,允许所述待执行进程执行。
进一步地,所述基于Linux内核的伪装进程可执行程序检测装置还包括:误报判断模块,所述误报判断模块包括:
误报判断单元,其用于判断所述待执行进程是否为误报;
控制单元,其用于在所述待执行进程位于伪装进程白名单中时,允许所述待执行进程执行;
所述控制单元还用于在所述待执行进程未位于所述伪装进程白名单中,终止所述待执行进程。
进一步地,所述参数获取模块包括:
回调函数注册单元,其用于向LSM的security_bprm_check_security hook点注册回调函数;
字节计算单元,其用于计算argv和environ的字节数;
缓存获取单元,其用于获取预设字节长度的缓存,所述预设字节长度的字节数为bprm->p-bprm->exec;
参数缓存单元,其用于调用access_remote_vm函数,获取从bprm->p开始的预设字节长度个字节到所述缓存中;
参数处理单元,其用于处理所述缓存并得到所述命令行的参数。
进一步地,所述参数获取模块还包括:
回调函数解注册单元,其用于解注册LSM的security_bprm_check_security hook函数。
相应地,本发明实施例的第三方面还提供了一种电子设备,包括:至少一个处理器;以及与所述至少一个处理器连接的存储器;其中,所述存储器存储有可被所述一个处理器执行的指令,所述指令被所述一个处理器执行,以使所述至少一个处理器执行上述基于Linux内核的伪装进程可执行程序检测方法。
相应地,本发明实施例的第四方面还提供了一种计算机可读存储介质,其上存储有计算机指令,该指令被处理器执行时实现上述基于Linux内核的伪装进程可执行程序检测方法。
本发明实施例的上述技术方案具有如下有益的技术效果:
基于内核对恶意程序实时检测,检测进程启动时是否存在可执行程序路径伪装行为以及阻断进程执行,以解决其伪装可执行程序路径的问题,具有实时性强、检测准确性高等优点。
附图说明
图1是本发明实施例提供的基于Linux内核的伪装进程可执行程序检测方法流程图;
图2是本发明实施例提供的基于Linux内核的伪装进程可执行程序检测方法逻辑图;
图3是本发明实施例提供的驱动安装示意图;
图4是本发明实施例提供的驱动卸载示意图;
图5是本发明实施例提供的基于Linux内核的伪装进程可执行程序检测装置模块框图;
图6是本发明实施例提供的参数获取模块框图;
图7是本发明实施例提供的误报判断模块框图。
附图标记:
1、参数获取模块,11、回调函数注册单元,12、字节计算单元,13、缓存获取单元,14、参数缓存单元,15、参数处理单元,16、回调函数解注册单元,2、第一判断模块,3、第二判断模块,4、误报判断模块,41、误报判断单元,42、控制单元。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明了,下面结合具体实施方式并参照附图,对本发明进一步详细说明。应该理解,这些描述只是示例性的,而并非要限制本发明的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明的概念。
请参照图1,本发明实施例的第一方面提供了一种基于Linux内核的伪装进程可执行程序检测方法,包括如下步骤:
步骤S100,获取待执行进程命令行的参数。
步骤S200,判断命令行的第一个参数是否为绝对路径。
步骤S300,如是,则获取待执行进程的真实路径,判断命令行参数中的指定路径与真实路径是否相同,相同则允许待执行进程执行,不相同则判定待执行进程存在伪装行为,并终止待执行进程。
步骤S400,如否,则允许待执行进程执行。
进一步地,步骤S300中,判定待执行进程存在伪装行为之后,还包括:
步骤S510,判断待执行进程是否为误报。
步骤S520,如待执行进程位于伪装进程白名单中,则允许待执行进程执行。
步骤S530,如待执行进程未位于伪装进程白名单中,则终止待执行进程。
请参照图2、图3和图4,具体的,步骤S100中的获取待执行进程命令行的参数,包括:
步骤S110,向Linux安全模块LSM(Linux Security Module),security_bprm_check_security hook点注册回调函数。
步骤S120,计算argv和environ的字节数。
步骤S130,获取预设字节长度的缓存,预设字节长度的字节数为bprm->p-bprm->exec。
步骤S140,调用access_remote_vm函数,获取从bprm->p开始的预设字节长度个字节到缓存中。
步骤S150,处理缓存并得到命令行的参数。
进一步地,步骤S300中的终止待执行进程之后,还包括:
步骤S160,解注册LSM的security_bprm_check_security hook函数。
请参照图2,基于Linux内核的伪装进程可执行程序检测方法执行时,具体过程如下:
1、驱动安装时,向LSM的security_bprm_check_security hook点注册回调函数。2、在security_bprm_check_security回调函数中,根据struct linux_binprm类型的参数计算出argv和environ的字节数。然后申请一块大小为len=bprm->p-bprm->exec的连续内存buf,调用access_remote_vm函数,获取从bprm->p开始的len个字节到buf中,buf中包含进程执行的环境变量和运行参数,处理buf,获取进程命令行参数。3、获取第一个命令行参数,判断是否是一个绝对路径;如果是,根据bprm->file对象获取可执行程序的真实路径,比较真实路径与第一个命令行参数指定的路径是否相同;如果不相同,则存在伪装进程可执行程序路径行为,然后根据防误报和阻断策略判断是否需要阻断进程执行;如果是,则返回-EPERM阻断进程继续执行,否则返回0,允许进程执行。如果不存在伪装进程可执行程序路径行为,则返回0,允许进程执行。4、驱动卸载时,解注册LSM的security_bprm_check_security hook函数。
上述方法基于内核对恶意程序实时检测,检测进程启动时是否存在可执行程序路径伪装行为以及阻断进程执行,以解决其伪装可执行程序路径的问题,具有实时性强、检测准确性高等优点。
相应地,请参照图5,本发明实施例的第二方面提供了一种基于Linux内核的伪装进程可执行程序检测装置,包括:
参数获取模块1,其用于获取待执行进程命令行的参数;
第一判断模块2,其用于判断命令行的第一个参数是否为绝对路径;
第二判断模块3,其用于在命令行的第一个参数为绝对路径时,获取待执行进程的真实路径,判断命令行参数中的指令路径与真实路径是否相同,相同则允许待执行进程执行,不相同则判定待执行进程存在伪装行为,并终止待执行进程;
第一判断模块2还用于在命令行的第一个参数不为绝对路径时,允许待执行进程执行。
进一步地,请参照图6,参数获取模块1包括:
回调函数注册单元11,其用于向LSM的security_bprm_check_security hook点注册回调函数;
字节计算单元12,其用于计算argv和environ的字节数;
缓存获取单元13,其用于获取预设字节长度的缓存,预设字节长度的字节数为bprm->p-bprm->exec;
参数缓存单元14,其用于调用access_remote_vm函数,获取从bprm->p开始的预设字节长度个字节到缓存中;
参数处理单元15,其用于处理缓存并得到命令行的参数。
进一步地,参数获取模块1还包括:
回调函数解注册单元16,其用于解注册LSM的security_bprm_check_securityhook函数。
进一步地,请参照图7,基于Linux内核的伪装进程可执行程序检测装置还包括:误报判断模块4,误报判断模块4包括:
误报判断单元41,其用于判断待执行进程是否为误报;
控制单元42,其用于在待执行进程位于伪装进程白名单中时,允许待执行进程执行;
控制单元42还用于在待执行进程未位于伪装进程白名单中,终止待执行进程。
上述装置基于内核对恶意程序实时检测,检测进程启动时是否存在可执行程序路径伪装行为以及阻断进程执行,以解决其伪装可执行程序路径的问题,具有实时性强、检测准确性高等优点。
相应地,本发明实施例的第三方面还提供了一种电子设备,包括:至少一个处理器;以及与至少一个处理器连接的存储器;其中,存储器存储有可被一个处理器执行的指令,指令被一个处理器执行,以使至少一个处理器执行上述基于Linux内核的伪装进程可执行程序检测方法。
相应地,本发明实施例的第四方面还提供了一种计算机可读存储介质,其上存储有计算机指令,该指令被处理器执行时实现上述基于Linux内核的伪装进程可执行程序检测方法。
本发明实施例旨在保护一种基于Linux内核的伪装进程可执行程序检测方法及装置,方法包括如下步骤:获取待执行进程命令行的参数;判断命令行的第一个参数是否为绝对路径;如是,则获取待执行进程的真实路径,判断命令行参数中的指令路径与真实路径是否相同,相同则允许待执行进程执行,不相同则判定待执行进程存在伪装行为,并终止待执行进程;如否,则允许待执行进程执行。上述技术方案具备如下效果:
基于内核对恶意程序实时检测,检测进程启动时是否存在可执行程序路径伪装行为以及阻断进程执行,以解决其伪装可执行程序路径的问题,具有实时性强、检测准确性高等优点。
本领域内的技术人员应明白,本申请的实施例可提供为方法、***、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制,尽管参照上述实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者等同替换,而未脱离本发明精神和范围的任何修改或者等同替换,其均应涵盖在本发明的权利要求保护范围之内。

Claims (10)

1.一种基于Linux内核的伪装进程可执行程序检测方法,其特征在于,包括如下步骤:
获取待执行进程命令行的参数;
判断所述命令行的第一个参数是否为绝对路径;
如是,则获取所述待执行进程的真实路径,判断所述命令行参数中的指定路径与所述真实路径是否相同,相同则允许所述待执行进程执行,不相同则判定所述待执行进程存在伪装行为,并终止所述待执行进程;
如否,则允许所述待执行进程执行。
2.根据权利要求1所述的基于Linux内核的伪装进程可执行程序检测方法,其特征在于,所述判定所述待执行进程存在伪装行为之后,还包括:
判断所述待执行进程是否为误报;
如所述待执行进程位于伪装进程白名单中,则允许所述待执行进程执行;
如所述待执行进程未位于所述伪装进程白名单中,则终止所述待执行进程。
3.根据权利要求1或2所述的基于Linux内核的伪装进程可执行程序检测方法,其特征在于,所述获取待执行进程命令行的参数,包括:
向LSM的security_bprm_check_security hook点注册回调函数;
计算argv和environ的字节数;
获取预设字节长度的缓存,所述预设字节长度的字节数为bprm->p-bprm->exec;
调用access_remote_vm函数,获取从bprm->p开始的所述预设字节长度个字节到所述缓存中;
处理所述缓存并得到所述命令行的参数。
4.根据权利要求3所述的基于Linux内核的伪装进程可执行程序检测方法,其特征在于,所述终止所述待执行进程之后,还包括:
解注册LSM的security_bprm_check_security hook函数。
5.一种基于Linux内核的伪装进程可执行程序检测装置,其特征在于,包括:
参数获取模块,其用于获取待执行进程命令行的参数;
第一判断模块,其用于判断所述命令行的第一个参数是否为绝对路径;
第二判断模块,其用于在所述命令行的第一个参数为绝对路径时,获取所述待执行进程的真实路径,判断所述命令行参数中的指令路径与所述真实路径是否相同,相同则允许所述待执行进程执行,不相同则判定所述待执行进程存在伪装行为,并终止所述待执行进程;
所述第一判断模块还用于在所述命令行的第一个参数不为绝对路径时,允许所述待执行进程执行。
6.根据权利要求5所述的基于Linux内核的伪装进程可执行程序检测装置,其特征在于,还包括:误报判断模块,所述误报判断模块包括:
误报判断单元,其用于判断所述待执行进程是否为误报;
控制单元,其用于在所述待执行进程位于伪装进程白名单中时,允许所述待执行进程执行;
所述控制单元还用于在所述待执行进程未位于所述伪装进程白名单中,终止所述待执行进程。
7.根据权利要求5或6所述的基于Linux内核的伪装进程可执行程序检测方法,其特征在于,所述参数获取模块包括:
回调函数注册单元,其用于向LSM的security_bprm_check_security hook点注册回调函数;
字节计算单元,其用于计算argv和environ的字节数;
缓存获取单元,其用于获取预设字节长度的缓存,所述预设字节长度的字节数为bprm->p-bprm->exec;
参数缓存单元,其用于调用access_remote_vm函数,获取从bprm->p开始的预设字节长度个字节到所述缓存中;
参数处理单元,其用于处理所述缓存并得到所述命令行的参数。
8.根据权利要求7所述的基于Linux内核的伪装进程可执行程序检测方法,其特征在于,所述参数获取模块还包括:
回调函数解注册单元,其用于解注册LSM的security_bprm_check_security hook函数。
9.一种电子设备,其特征在于,包括:至少一个处理器;以及与所述至少一个处理器连接的存储器;其中,所述存储器存储有可被所述一个处理器执行的指令,所述指令被所述一个处理器执行,以使所述至少一个处理器执行如权利要求1-4任一所述的基于Linux内核的伪装进程可执行程序检测方法。
10.一种计算机可读存储介质,其特征在于,其上存储有计算机指令,该指令被处理器执行时实现如权利要求1-4任一所述的基于Linux内核的伪装进程可执行程序检测方法。
CN202310111349.1A 2023-02-03 2023-02-03 一种基于Linux内核的伪装进程可执行程序检测方法及装置 Active CN116796308B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310111349.1A CN116796308B (zh) 2023-02-03 2023-02-03 一种基于Linux内核的伪装进程可执行程序检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310111349.1A CN116796308B (zh) 2023-02-03 2023-02-03 一种基于Linux内核的伪装进程可执行程序检测方法及装置

Publications (2)

Publication Number Publication Date
CN116796308A true CN116796308A (zh) 2023-09-22
CN116796308B CN116796308B (zh) 2024-04-12

Family

ID=88038081

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310111349.1A Active CN116796308B (zh) 2023-02-03 2023-02-03 一种基于Linux内核的伪装进程可执行程序检测方法及装置

Country Status (1)

Country Link
CN (1) CN116796308B (zh)

Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110271342A1 (en) * 2010-04-28 2011-11-03 Electronics And Telecommunications Research Institute Defense method and device against intelligent bots using masqueraded virtual machine information
CN103279707A (zh) * 2013-06-08 2013-09-04 北京奇虎科技有限公司 一种用于主动防御恶意程序的方法、设备及***
KR20150017925A (ko) * 2013-08-08 2015-02-23 에스지에이 주식회사 절대 경로 관리를 통한 악성 프로그램 검사 시스템
CN105303107A (zh) * 2014-06-06 2016-02-03 中兴通讯股份有限公司 一种异常进程检测方法及装置
WO2017148271A1 (zh) * 2016-03-04 2017-09-08 中兴通讯股份有限公司 一种Linux***复位处理方法、装置及计算机存储介质
KR20200052524A (ko) * 2018-11-07 2020-05-15 주식회사 이스트시큐리티 위장 프로세스를 이용한 랜섬웨어 행위 탐지 및 방지 장치, 이를 위한 방법 및 이 방법을 수행하는 프로그램이 기록된 컴퓨터 판독 가능한 기록매체
WO2020114342A1 (zh) * 2018-12-07 2020-06-11 阿里巴巴集团控股有限公司 内核安全检测方法、装置、设备及存储介质
CN113360913A (zh) * 2021-08-10 2021-09-07 杭州安恒信息技术股份有限公司 一种恶意程序检测方法、装置、电子设备及存储介质
CN113722002A (zh) * 2020-05-26 2021-11-30 网神信息技术(北京)股份有限公司 用于获取命令行参数的方法和***、电子设备和存储介质
CN114003941A (zh) * 2021-12-28 2022-02-01 麒麟软件有限公司 基于Linux操作***的软件权限控制***及方法
CN114254314A (zh) * 2021-11-09 2022-03-29 杭州大晚成信息科技有限公司 一种Linux下基于内核的防勒索病毒的方法
CN115543463A (zh) * 2022-10-26 2022-12-30 安芯网盾(北京)科技有限公司 一种检测傀儡进程创建的方法及***

Patent Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110271342A1 (en) * 2010-04-28 2011-11-03 Electronics And Telecommunications Research Institute Defense method and device against intelligent bots using masqueraded virtual machine information
CN103279707A (zh) * 2013-06-08 2013-09-04 北京奇虎科技有限公司 一种用于主动防御恶意程序的方法、设备及***
KR20150017925A (ko) * 2013-08-08 2015-02-23 에스지에이 주식회사 절대 경로 관리를 통한 악성 프로그램 검사 시스템
CN105303107A (zh) * 2014-06-06 2016-02-03 中兴通讯股份有限公司 一种异常进程检测方法及装置
WO2017148271A1 (zh) * 2016-03-04 2017-09-08 中兴通讯股份有限公司 一种Linux***复位处理方法、装置及计算机存储介质
KR20200052524A (ko) * 2018-11-07 2020-05-15 주식회사 이스트시큐리티 위장 프로세스를 이용한 랜섬웨어 행위 탐지 및 방지 장치, 이를 위한 방법 및 이 방법을 수행하는 프로그램이 기록된 컴퓨터 판독 가능한 기록매체
WO2020114342A1 (zh) * 2018-12-07 2020-06-11 阿里巴巴集团控股有限公司 内核安全检测方法、装置、设备及存储介质
CN113722002A (zh) * 2020-05-26 2021-11-30 网神信息技术(北京)股份有限公司 用于获取命令行参数的方法和***、电子设备和存储介质
CN113360913A (zh) * 2021-08-10 2021-09-07 杭州安恒信息技术股份有限公司 一种恶意程序检测方法、装置、电子设备及存储介质
CN114254314A (zh) * 2021-11-09 2022-03-29 杭州大晚成信息科技有限公司 一种Linux下基于内核的防勒索病毒的方法
CN114003941A (zh) * 2021-12-28 2022-02-01 麒麟软件有限公司 基于Linux操作***的软件权限控制***及方法
CN115543463A (zh) * 2022-10-26 2022-12-30 安芯网盾(北京)科技有限公司 一种检测傀儡进程创建的方法及***

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
PWI999: ""Linux mem 1.1 用户态进程空间的创建 --- execve() 详解"", Retrieved from the Internet <URL:https://blog.csdn.net/pwl999/article/details/109289451> *
Y. GUO: ""Building Trust in Container Environment"", 2019 18TH IEEE INTERNATIONAL CONFERENCE ON TRUST, SECURITY AND PRIVACY IN COMPUTING AND COMMUNICATIONS/13TH IEEE INTERNATIONAL CONFERENCE ON BIG DATA SCIENCE AND ENGINEERING (TRUSTCOM/BIGDATASE), 31 October 2019 (2019-10-31), pages 1 - 9 *
姜斌等: ""一种Linux平台下的可执行文件防篡改方法"", 杭州电子科技大学学报, 15 October 2011 (2011-10-15), pages 87 - 90 *

Also Published As

Publication number Publication date
CN116796308B (zh) 2024-04-12

Similar Documents

Publication Publication Date Title
KR101122646B1 (ko) 위장 가상 머신 정보를 이용한 인텔리전트 봇 대응 방법 및 장치
US8627478B2 (en) Method and apparatus for inspecting non-portable executable files
KR101671795B1 (ko) 동적 링크 라이브러리 삽입 공격을 방지하는 컴퓨터 시스템 및 방법
US20160232347A1 (en) Mitigating malware code injections using stack unwinding
US20110154489A1 (en) System for analyzing malicious botnet activity in real time
KR100897849B1 (ko) 비정상 프로세스 탐지 방법 및 장치
US20160196428A1 (en) System and Method for Detecting Stack Pivot Programming Exploit
IL132915A (en) Method for secure function execution by calling address validation
US7562391B1 (en) Reducing false positive indications of buffer overflow attacks
US11120124B2 (en) Method for detecting a deviation of a security state of a computing device from a desired security state
US20140359183A1 (en) Snoop-Based Kernel Integrity Monitoring Apparatus And Method Thereof
US20200226246A1 (en) Preventing execution of malicious instructions based on address specified in a branch instruction
CN115688106A (zh) 一种Java agent无文件注入内存马的检测方法及装置
CN116796308B (zh) 一种基于Linux内核的伪装进程可执行程序检测方法及装置
CN112307469A (zh) 入侵内核的防御方法及装置、计算设备、计算机存储介质
US20160335439A1 (en) Method and apparatus for detecting unsteady flow in program
KR101982734B1 (ko) 악성 코드 탐지 장치 및 방법
CN115795462B (zh) Linux内核模块执行进程的检测方法及装置
CN105844161A (zh) 安全防御方法、装置与***
US11263307B2 (en) Systems and methods for detecting and mitigating code injection attacks
CN111901318A (zh) 一种命令注入攻击检测的方法、***及设备
US20220138311A1 (en) Systems and methods for detecting and mitigating code injection attacks
CN106557693A (zh) 一种恶意Hook行为检测方法及***
KR20110057297A (ko) 악성 봇 동적 분석 시스템 및 방법
KR20110032731A (ko) 윈도우즈 커널 변조 탐지방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant