[发明专利]恶意进程检测方法、装置、电子设备及存储介质

说明书

本发明实施例提供一种恶意进程检测方法、装置、电子设备及存储介质，用于解决难以识别驱动进程被恶意软件控制的技术问题，其中方法包括：获取目标进程对应的进程标识；根据所述进程标识确定所述目标进程对应的多个线程和多个执行模块；获取所述多个线程中每一线程对应的执行地址空间，以得到多个执行地址空间；根据所述多个执行地址空间和所述多个执行模块确定所述目标进程是否被恶意修改。实施本发明实施例，可提高电子设备的安全性。

技术领域

本发明涉及电子设备技术领域，具体涉及一种恶意进程检测方法、装置、电子设备及存储介质。

背景技术

恶意软件指在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马的程序，通过破坏软件进程来实施控制。且随着电子设备技术的发展，恶意软件的发展和传播速度也越来越快。

驱动程序一般指的是设备驱动程序(Device Driver)，是一种可以使电子设备和设备通信的特殊程序。相当于硬件的接口，操作系统只有通过这个接口，才能控制硬件设备的工作。若恶意软件植入驱动程序，则必然影响电子设备的安全性。

发明内容

本发明实施例提供一种恶意进程检测方法、装置、电子设备及存储介质，用于解决难以识别驱动进程被恶意软件控制的技术问题，可提高电子设备的安全性。

本发明实施例第一方面提供一种恶意进程检测方法，包括：

获取目标进程对应的进程标识；

根据所述进程标识确定所述目标进程对应的多个线程和多个执行模块；

获取所述多个线程中每一线程对应的执行地址空间，以得到多个执行地址空间；

根据所述多个执行地址空间和所述多个执行模块确定所述目标进程是否被恶意修改。

结合本发明实施例第一方面，在本发明实施例第一方面的第一种可能的实现方式中，所述根据所述多个执行地址空间和所述多个执行模块确定所述目标进程是否被恶意修改，包括：

将所述多个执行地址空间中每一执行地址空间与所述多个执行模块中每一执行模块进行匹配；

若所述多个执行地址空间中的目标执行地址空间与所述多个执行模块中每一执行模块均匹配失败，则将所述目标执行地址空间对应的目标线程的线程信息标记为Shellcode线程信息；

根据所述Shellcode线程信息确定所述目标进程是否被恶意修改。

结合本发明实施例第一方面的第一种可能的实现方式，在本发明实施例第一方面的第二种可能的实现方式中，所述根据所述Shellcode线程信息确定所述目标进程是否被恶意修改，包括：

根据所述Shellcode线程信息获取Shellcode线程对应的起始地址；

根据所述起始地址获取所述Shellcode线程对应的Shellcode模块；

获取所述Shellcode模块对应的调试文件信息；

若所述调试文件信息满足预设拦截规则，则确定所述目标进程被恶意修改。

结合本发明实施例第一方面的第二种可能的实现方式，在本发明实施例第一方面的第三种可能的实现方式中，所述方法还包括：

获取预先确定的多个危险进程中每一危险进程对应的可移植可执行PE文件信息，以得到多个PE文件信息；

分析所述多个PE文件信息，以得到多个目标维度；

获取所述多个PE文件信息中每一PE文件信息中与所述多个目标维度中每一目标维度对应的特征信息，以得到多个特征信息集；

根据所述多个特征信息集生成所述预设拦截规则。