内存马的检测方法、装置及电子设备与流程

本发明涉及网络安全，具体而言，涉及一种内存马的检测方法、装置及电子设备。

背景技术：

1、内存马，又被称为无文件马，随着近年攻防对抗强度的上升，攻击者为了躲避日益成熟的文件查杀方案，开始将攻击载荷投递方式从文件转化为内存，实现更加隐蔽的攻击。

2、目前，现有技术中对c#进程进行内存马检测时，通常采用通用的内存扫描引擎对c#进程进行全局扫描，扫描时间较长，扫描效率较低，导致内存马的检测效率较低，性能影响较大。

3、针对上述的问题，目前尚未提出有效的解决方案。

技术实现思路

1、本发明实施例提供了一种内存马的检测方法、装置及电子设备，以至少解决现有技术中采用对c#进程进行全局扫描的方式实现内存马检测，存在扫描效率较低导致内存马的检测效率较低的技术问题。

2、根据本发明实施例的一个方面，提供了一种内存马的检测方法，包括：确定目标设备中处于运行状态的c#进程，并获取c#进程对应的内存索引，其中，内存索引包含c#进程的目标特征信息的存储位置信息；在c#进程对应的内存中，依据内存索引定位待检测的目标位置；对待检测的目标位置上的代码内容进行检测，得到检测结果，其中，检测结果用于表征c#进程是否被注入内存马。

3、进一步地，在c#进程对应的内存中，依据内存索引定位待检测的目标位置，包括：依据内存索引定位第一类对象，并从第一类对象中获取第一指针，其中，第一类对象用于处理元数据和模块，第一指针用于指向第二类对象，第二类对象用于解析和处理可执行文件；依据第一指针定位第二类对象，并判断内存中是否存在目标结构，其中，目标结构用于描述元数据信息；若内存中存在目标结构，则基于第一索引链路，从第二类对象定位至目标结构，并将目标结构的位置作为待检测的目标位置，其中，第一索引链路包含目标结构以及用于定位目标结构的第一信息。

4、进一步地，在判断内存中是否存在目标结构之后，该方法还包括：若内存中不存在目标结构，则在元数据表流已被压缩的情况下，基于第二索引链路，从第二类对象定位至第四类对象，并将第四类对象的位置作为待检测的目标位置，其中，第二索引链路包含第四类对象以及用于定位第四类对象的第二信息，第四类对象用于处理已被压缩的元数据表流；在元数据表流未被压缩的情况下，基于第三索引链路，从第二类对象定位至第五类对象，并将第五类对象的位置作为待检测的目标位置，其中，第三索引链路包含第五类对象以及用于定位第五类对象的第三信息，第五类对象用于处理未被压缩的元数据表流。

5、进一步地，第一信息包括第三类对象和目标布局信息，第三类对象用于提供目标布局信息，目标布局信息用于提供中间语言，基于第一索引链路，从第二类对象定位至目标结构，包括：从第二类对象中获取第二指针，并依据第二指针定位第三类对象，其中，第二指针用于指向第三类对象；从第三类对象中获取第三指针，并依据第三指针定位目标布局信息，其中，第三指针用于指向目标布局信息；从目标布局信息中获取第四指针，并依据第四指针定位目标结构，其中，第四指针用于指向目标结构。

6、进一步地，第二信息包括第一接口实现类和第六类对象，第一接口实现类为用于获取元数据信息的只读类型的实现类，第六类对象用于保存元数据信息，基于第二索引链路，从第二类对象定位至第四类对象，包括：从第二类对象中获取第五指针，并依据第五指针定位第一接口实现类，其中，第五指针用于指向第一接口实现类；从第一接口实现类中获取第六指针，并依据第六指针定位第六类对象，其中，第六指针用于指向第六类对象；从第六类对象中获取第七指针，并依据第七指针定位第四类对象，其中，第七指针用于指向第四类对象。

7、进一步地，第三信息包括第二接口实现类和第七类对象，第二接口实现类为用于获取元数据信息的可写类型的实现类，第七类对象为第六类对象的子类，基于第三索引链路，从第二类对象定位至第五类对象，包括：从第二类对象中获取第五指针，并依据第五指针定位第二接口实现类，其中，第五指针还用于指向第二接口实现类；从第二接口实现类中获取第八指针，并依据第八指针定位第七类对象，其中，第八指针用于指向第七类对象；从第七类对象中获取第七指针，并依据第七指针定位第五类对象，其中，第七指针还用于指向第五类对象。

8、进一步地，对待检测的目标位置上的代码内容进行检测，得到检测结果，包括：若待检测的目标位置为目标结构的位置，则对目标结构中的元数据参数的代码内容进行检测，得到检测结果；若待检测的目标位置为第四类对象的位置或第五类对象的位置，则对第四类对象或第五类对象中的目标对象的代码内容进行检测，得到检测结果，其中，目标对象包括以下至少之一：存储元数据表的数组、存储元数据字符串的字符串流、存储二进制对象的二进制对象流、存储用户定义的字符串的用户字符串流。

9、进一步地，在确定目标设备中处于运行状态的c#进程之前，该方法还包括：从c#进程对应的内存中获取c#进程的目标特征信息，并基于目标特征信息构建内存索引。

10、根据本发明实施例的另一方面，还提供了一种内存马的检测装置，包括：获取模块，用于确定目标设备中处于运行状态的c#进程，并获取c#进程对应的内存索引，其中，内存索引包含c#进程的目标特征信息的存储位置信息；第一定位模块，用于在c#进程对应的内存中，依据内存索引定位待检测的目标位置；检测模块，用于对待检测的目标位置上的代码内容进行检测，得到检测结果，其中，检测结果用于表征c#进程是否被注入内存马。

11、根据本发明实施例的另一方面，还提供了一种电子设备，该电子设备包括一个或多个处理器；存储器，用于存储一个或多个程序，当一个或多个程序被一个或多个处理器执行时，使得一个或多个处理器实现用于运行程序，其中，程序被设置为运行时执行上述的内存马的检测方法。

12、在本发明实施例中，采用通过构建的内存索引定位c#进程的元数据的方式，首先确定目标设备中处于运行状态的c#进程，并获取c#进程对应的内存索引，其中，内存索引包含c#进程的目标特征信息的存储位置信息，然后在c#进程对应的内存中，依据内存索引定位待检测的目标位置，然后对待检测的目标位置上的代码内容进行检测，得到检测结果，其中，检测结果用于表征c#进程是否被注入内存马。

13、在上述过程中，依据内存索引指示的关键对象可以逐步定位到待检测的目标位置(即c#进程的元数据所在的内存区域)，通过对待检测的目标位置上的代码内容进行检测，实现了只对元数据所在的内存区域的代码内容进行检测，与采用对c#进程进行全局扫描的方式实现内存马检测相比，减少了内存扫描的内容和时间，有效提高了内存扫描的效率，从而能够提高内存马的检测效率，并且，降低了扫描的资源消耗。

14、由此可见，通过本发明的技术方案，达到了快速实现内存马检测的目的，从而实现了提高扫描效率，提高内存马的检测效率的技术效果，进而解决了现有技术中采用对c#进程进行全局扫描的方式实现内存马检测，存在扫描效率较低导致内存马的检测效率较低的技术问题。

技术特征：

1.一种内存马的检测方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，在所述c#进程对应的内存中，依据所述内存索引定位待检测的目标位置，包括：

3.根据权利要求2所述的方法，其特征在于，在判断所述内存中是否存在目标结构之后，所述方法还包括：

4.根据权利要求2所述的方法，其特征在于，所述第一信息包括第三类对象和目标布局信息，所述第三类对象用于提供所述目标布局信息，所述目标布局信息用于提供中间语言，基于第一索引链路，从所述第二类对象定位至所述目标结构，包括：

5.根据权利要求3所述的方法，其特征在于，所述第二信息包括第一接口实现类和第六类对象，所述第一接口实现类为用于获取元数据信息的只读类型的实现类，所述第六类对象用于保存元数据信息，基于第二索引链路，从所述第二类对象定位至第四类对象，包括：

6.根据权利要求5所述的方法，其特征在于，所述第三信息包括第二接口实现类和第七类对象，所述第二接口实现类为用于获取元数据信息的可写类型的实现类，所述第七类对象为所述第六类对象的子类，基于第三索引链路，从所述第二类对象定位至第五类对象，包括：

7.根据权利要求3所述的方法，其特征在于，对所述待检测的目标位置上的代码内容进行检测，得到检测结果，包括：

8.根据权利要求1至7中任一项所述的方法，其特征在于，在确定目标设备中处于运行状态的c#进程之前，所述方法还包括：

9.一种内存马的检测装置，其特征在于，包括：

10.一种电子设备，其特征在于，所述电子设备包括一个或多个处理器；存储器，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现用于运行程序，其中，所述程序被设置为运行时执行权利要求1至8任一项中所述的内存马的检测方法。

技术总结本发明公开了一种内存马的检测方法、装置及电子设备，涉及网络安全技术领域。该方法包括：确定目标设备中处于运行状态的C#进程，并获取C#进程对应的内存索引，其中，内存索引包含C#进程的目标特征信息的存储位置信息；在C#进程对应的内存中，依据内存索引定位待检测的目标位置；对待检测的目标位置上的代码内容进行检测，得到检测结果，其中，检测结果用于表征C#进程是否被注入内存马。本发明解决了现有技术中采用对C#进程进行全局扫描的方式实现内存马检测，存在扫描效率较低导致内存马的检测效率较低的技术问题。技术研发人员：肖郴,王磊,陈健,华磊,吉伟受保护的技术使用者：山石网科通信技术股份有限公司技术研发日：技术公布日：2024/11/18