[发明专利]一种恶意程序的检测方法和装置

说明书

本申请提供一种恶意程序的检测方法和装置，涉及通信技术领域，解决了不能识别黑名单中的域名对应的恶意程序的问题。该方法包括：终端获取钩子函数的调用参数；确定DNS解析请求对应的RPC接口；终端获取RPC接口对应的第一进程的标识；终端将第一域名和第一进程的标识存储至共享内存。控制装置读取共享内存中的第一域名和第一进程的标识；若确定第一域名在黑名单中，则控制装置确定第一进程对应的程序是恶意程序。本申请的实施例应用于检测恶意程序。

技术领域

本申请的实施例涉及通信技术领域，尤其涉及一种恶意程序的检测方法和装置。

背景技术

视窗(windows)操作系统中，终端上的恶意程序，通常会通过域名访问黑客的服务器。而用户可以通过购买威胁情报的方式获取域名的黑名单，该黑名单上有通往黑客服务器的域名。这样，用户就可以根据域名的黑名单找出访问这些域名的恶意程序。

目前，获取访问黑名单中域名的恶意程序的方式通常有两种。第一种主要通过网关设备，截取域名系统(domain name system，DNS)缓存(Cache) 服务进程发送的域名解析结果，来获取DNS解析请求的域名和终端的网络协议(internet protocol，IP)的对应关系。第二种方式是在终端上安装数据包分析引擎，用来截取DNS缓存(DNSCache)服务进程发送的域名解析结果，最终得到DNS解析请求的域名和DNSCache服务进程，即系统进程(svchost)的对应关系。

可以看出，第一种方式只能将识别出的域名关联到相关终端上，第二种方式只能将别出的域名关联到终端上的系统进程上。因此，这两种方式都不能识别出发起该DNS请求的进程，也就不能识别出该进程对应的恶意程序。

发明内容

本申请提供一种恶意程序的检测方法和装置，解决了不能识别黑名单中的域名对应的恶意程序的问题。

第一方面，本申请提供一种恶意程序的检测方法，应用于包括控制装置和终端的通信系统中，该检测方法包括：控制装置读取共享内存中的第一域名和第一进程的标识。之后控制装置在黑名单中查询第一域名，若查到该第一域名，则将第一进程对应的程序确定为恶意程序。其中，第一域名是根据DNS解析请求确定的，第一进程的标识是根据DNS解析请求对应的远程过程调用(remote procedure call，RPC)接口确定的。共享内存能够与终端进行数据互通。

上述方案中，控制装置获取：终端截取DNS解析请求后，分析出的第一域名和第一进程的标识。控制装置将第一域名与黑名单中的域名进行比对，根据比对结果，确定第一进程对应的程序是不是恶意程序。这样，当第一进程对应的程序是恶意程序时，能够直接定位到该程序，解决了现有技术中不能定位出域名对应的恶意程序的问题。进一步的，避免了全流量抓取域名解析结果的数据包，并对数据包做协议分析。因此，也节省了识别出恶意程序的开销。

可选的，在一种实现方式中，在确定第一进程对应的程序是恶意程序之后，控制装置根据第一进程的标识获取第一进程的信息，并发出告警。这样，相关人员能够根据该告警，以及第一进程的信息了解到是该恶意程序发起了DNS解析请求。

可选的，在本申请的另一种实现方式中，在确定第一域名在黑名单中之前，控制装置获取黑名单，该黑名单中包括至少一个第二域名，该第二域名用于访问黑客的服务器。

可选的，在读取共享内存中的第一域名和第一进程的标识之前，控制装置获取终端的动态链接库(dynamic link library，DLL)。控制装置遍历终端中所有进程，检查每个进程的启动命令，确定DNS缓存服务进程。控制装置在DNS缓存服务进程中创建远程线程。控制装置通过远程线程，将动态链接库注入到DNS缓存服务进程中。

可选的，在将终端的动态链接库注入DNS缓存服务进程之后，控制装置建立与终端的共享内存。这样，控制装置就可以与终端进行数据互通了。