[发明专利]Linux平台进程内存恶意代码取证方法、控制器及介质

说明书

本发明涉及一种Linux平台进程内存恶意代码取证方法、控制器及介质，所述方法包括遍历Linux系统所有进程，读取所有进程的内存映射文件；基于每一进程内存映射文件获取该进程对应的所有内存片段数据、程序文件路径信息和动态库文件路径信息中的一种或多种,根据每一进程对应的所有内存片段数据和程序文件路径信息，或者，所有内存片段数据和内存映射文件中包含的动态库文件路径信息，或者，程序文件对应的动态库文件路径信息检测该进程的恶意代码。本发明利用Linux操作系统的进程内存映射文件，确定进程的内存地址布局，准确的获取系统内每个进程的完整内存，有效发现Linux系统内存中的恶意代码，提高了系统Linux的安全性，在内存取证方法上具有通用性和稳定性。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种Linux平台进程内存恶意代码取证方法、控制器及介质。

背景技术

Linux系统是一款广泛应用的计算机操作系统，国家重要机构、银行、运营商、互联网行业等众多领域都有大量部署和使用。黑客组织长久以来一直重视对Linux系统的渗透和控制，Linux服务器也是高级持久性威胁(APT)的重要目标。目前在Linux系统恶意代码取证方面，主要存在两个瓶颈：第一、恶意程序利用高级隐藏技术和编码技术，使得其难以被发现和分析，而这些恶意程序对整个信息系统带来的威胁和危害是无法估量的；第二、目前针对Linux服务器系统的攻击取证技术尚不成熟，没有成熟的工具或者系统可以帮助业务人员对可疑服务器进行高效的取证分析工作。面对被攻击的Linux服务器，对其系统进程内存进行高效的安全取证，从中提取关键的恶意代码，是安全事件响应中的重要部分之一。

现有的针对Linux系统进行安全检测方法包括：病毒扫描检测、通用rootkit检测类、主机入侵检测、日志分析检测和特定检测等，但上述方法都是针对系统文件特征检测或部分特定内容的检测(如隐藏进程、隐藏连接)，缺少一套完整的针对Linux系统进程内存的恶意代码检测技术。而在实际取证中，运行在Linux系统内存中的恶意代码是整个恶意攻击中的核心部分，因此，如何有效发现Linux系统内存中的恶意代码，及时阻断恶意攻击，降低攻击带来的损失，提高系统安全性，成为亟待解决的技术问题。

发明内容

本发明所要解决的技术问题在于，提供一种Linux平台进程内存恶意代码取证方法、控制器及介质，利用Linux操作系统的进程内存映射文件，确定进程的内存地址布局，从而准确的获取系统内每个进程的完整内存，有效发现Linux系统内存中的恶意代码，提高了系统Linux的安全性，在内存取证方法上具有通用性和稳定性。

为了解决上述技术问题，本发明提供了一种Linux平台进程内存恶意代码取证方法，包括:

遍历Linux系统所有进程，读取所有进程的内存映射文件；

基于每一进程内存映射文件获取该进程对应的所有内存片段数据、程序文件路径信息和动态库文件路径信息中的一种或多种,所述动态库文件路径信息包括内存映射文件中包含的程序文件对应的动态库文件路径信息和程序文件对应的动态库文件路径信息；

根据每一进程对应的所有内存片段数据和程序文件路径信息，或者，所有内存片段数据和内存映射文件中包含的动态库文件路径信息，或者，程序文件对应的动态库文件路径信息检测该进程的恶意代码。

进一步的，所述遍历Linux系统所有进程，读取所有进程的内存映射文件，包括：

获取Linux系统进程号最大值；

以进程号1为起点，以所述进程号最大值为终点，遍历进程目录/proc下的进程子目录/proc/pid/，获取系统所有进程；

针对每个进程子目录/proc/pid/，获取该进程对应的内存映射文件。