[发明专利]恶意驱动检测方法、装置、设备及介质

说明书

本发明公开了一种恶意驱动检测方法，涉及网络安全技术领域，旨在多方面检测和提取恶意驱动，降低恶意驱动的误报率，该方法包含以下步骤：检测被Rootkit技术隐藏的驱动对象，建立驱动对象集合P1；遍历操作系统得到正常驱动对象，合并所述正常驱动对象建立所述驱动对象集合P2；采用双指针解引用遍历并解析内存结构数据，得到驱动对象集合P3；对所述驱动对象集合P1、所述驱动对象集合P2和所述驱动对象集合P3进行计算得到目标恶意驱动集合。本发明还公开了一种恶意驱动检测装置、电子设备和计算机存储介质。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种恶意驱动检测方法、装置、设备及介质。

背景技术

随着网络安全趋势对抗愈发激烈，恶意代码技术愈发成熟并难以查杀，对网络安全带来极大的危害。常见挖矿木马、勒索病毒、远控病毒都会附带恶意驱动用于自我保护、CC窃取隐私数据和通信等，目前的恶意驱动大多采用了Rootkit技术，利用系统漏洞绕过安全机制，并在内核态下对操作系统进行攻击与对抗，实现隐蔽自身存在并驻留在内存对计算机发动持久性攻击，对计算机安全带来极大的威胁。

实现对恶意驱动的定位是清除恶意驱动的前提，当前已有的恶意驱动检测工具有三种。第一种工具为：通过未公开的API ObReferenceObjectByName函数或其他内核全局变量，对驱动对象DRIVER_OBJECT进行获取，然后通过全局双项链表遍历全局内核驱动对象。该恶意驱动检测工具在应用中存在的不足之处在于：当恶意驱动对全局双向链表进行摘链后，就无法通过遍历全局双向链表对驱动对象进行进一步地排查，并且恶意驱动有可能会截获(HOOK)ObReferenceObjectByName函数，并操纵该函数，使得获取的数据无效或不再精准。第二种工具为：通过内核数据结构KPCR获取内核全局变量ObpDirectoryObjectType对象的内核地址，该地址包含驱动对象的哈希表，该哈希表中每一项都是_OBJECT_DIRECTORY_ENTRY结构指针数组，通过_OBJECT_DIRECTORY_ENTRY.Object地址去寻找DRIVER_OBJECT的内核结构体。第二种工具利用枚举标志位Directory的结构进行恶意驱动遍历，仍无法遍历被摘链的哈希表，并且对ObpDirectoryObjectType对象的地址修改无效。第三种工具为：通过采用内存枚举遍历，将未导出的API MmNonPagedPoolStart等全局内存变量，以0x4bit递增去匹配数据，依赖Tag匹配标志去匹配驱动对象。为对抗第三种工具，恶意驱动利用DKOM技术将自身修改为双指针引用，使得解析OBJECT_TYPE结构数据时得到的数据是错误的，从而可能会把部分双指针引用的恶意驱动漏掉。

综上所述，目前还不存在精确有效的检测方法将恶意隐藏的恶意驱动进行标识。

发明内容

为了克服现有技术的不足，本发明的目的之一在于提供一种恶意驱动检测方法，能更深层次地遍历恶意驱动，有效避免相关数据结构被操控后出现恶意驱动无法被获取的情况。

本发明的目的之一采用以下技术方案实现：

一种恶意驱动检测方法，包括以下步骤：

检测SSDT中被截获的函数指针，通过所述函数指针去定位截获所述函数指针的第一驱动对象，然后通过主动截获所述SSDT中未被截获的函数指针去检测被Rootkit技术隐藏的第二驱动对象，合并所述第一驱动对象和第二驱动对象，得到驱动对象集合P1；

遍历操作系统得到正常驱动对象，合并所述正常驱动对象建立所述驱动对象集合P2；

采用双指针解引用遍历并解析内存结构数据，得到驱动对象集合P3；

对所述驱动对象集合P1、所述驱动对象集合P2和所述驱动对象集合P3进行逻辑运算得到目标恶意驱动集合；

其中，对所述驱动对象集合P1、所述驱动对象集合P2和所述驱动对象集合P3进行逻辑运算包括：