[发明专利]一种恶意程序的检测方法和装置

权利要求书

1.一种恶意程序的检测方法，其特征在于，应用于包括控制装置和终端的通信系统中，包括：

所述控制装置读取共享内存中的第一域名和第一进程的标识；所述共享内存用于所述控制装置与所述终端进行数据互通；所述终端获取的钩子函数的调用参数包括所述第一域名，所述调用参数由域名系统DNS解析请求触发钩子函数的调用时生成；所述第一进程的标识由所述终端根据所述DNS解析请求对应的远程过程调用RPC接口确定；

若确定所述第一域名在黑名单中，则所述控制装置确定所述第一进程对应的程序是恶意程序。

2.根据权利要求1所述的检测方法，其特征在于，在确定所述第一进程对应的程序是恶意程序之后，所述检测方法还包括：

所述控制装置根据所述第一进程的标识获取所述第一进程的信息，并发出告警。

3.根据权利要求1所述的检测方法，其特征在于，在确定所述第一域名在黑名单中之前，所述检测方法还包括：

所述控制装置获取所述黑名单；所述黑名单中包括至少一个第二域名；所述第二域名用于访问黑客的服务器。

4.根据权利要求1所述的检测方法，其特征在于，在读取共享内存中的第一域名和第一进程的标识之前，所述检测方法还包括：

所述控制装置获取所述终端的动态链接库；

所述控制装置遍历所述终端中所有进程，检查每个进程的启动命令，确定DNS缓存服务进程；

所述控制装置在所述DNS缓存服务进程中创建远程线程；

所述控制装置通过所述远程线程，将所述动态链接库注入到所述DNS缓存服务进程中。

5.根据权利要求4所述的检测方法，其特征在于，在将所述动态链接库注入到所述DNS缓存服务进程中之后，所述检测方法还包括：

所述控制装置建立与所述终端的共享内存。

6.根据权利要求4所述的检测方法，其特征在于，所述检测方法还包括：

所述控制装置向所述终端发送卸载通知；所述卸载通知用于指示所述终端中的钩子函数卸载所述动态链接库。

7.一种恶意程序的检测方法，其特征在于，应用于包括控制装置和终端的通信系统中，所述检测方法包括：

所述终端获取钩子函数的调用参数；所述调用参数包括第一域名；所述调用参数由域名系统DNS解析请求触发所述钩子函数的调用时生成；

所述终端确定所述DNS解析请求对应的远程过程调用RPC接口；

所述终端获取所述RPC接口对应的第一进程的标识；

所述终端将所述第一域名和所述第一进程的标识存储至共享内存，以使得若所述控制装置确定所述第一域名在黑名单中，则所述控制装置确定所述第一进程对应的程序是恶意程序；所述共享内存用于所述终端与控制装置进行数据互通；所述第一域名用于确定黑客服务器；所述第一进程的标识用于确定恶意程序。

8.根据权利要求7所述的检测方法，其特征在于，在获取钩子函数的调用参数之前，所述检测方法还包括：

所述终端获取所述钩子函数的地址；

所述终端在动态链接库的入口函数中，搜索DNS缓存服务进程的内存空间中，RPC服务的标识所在的目标地址；所述动态链接库由所述控制装置通过远程线程，注入到所述DNS缓存服务进程中；

所述终端根据所述目标地址确定所述RPC服务的分发函数表的地址；

所述终端获取所述RPC服务分发函数表的地址中，分发函数的地址；

所述终端将所述分发函数的地址替换为所述钩子函数的地址。

9.根据权利要求8所述的检测方法，其特征在于，所述检测方法还包括：

所述终端调用所述分发函数；所述分发函数用于对所述DNS解析请求做出响应。