[发明专利]木马查杀方法、装置、电子设备及计算机可读存储介质在审
| 申请号: | 202111152178.4 | 申请日: | 2021-09-29 |
| 公开(公告)号: | CN113868655A | 公开(公告)日: | 2021-12-31 |
| 发明(设计)人: | 朱庆芬 | 申请(专利权)人: | 北京天融信网络安全技术有限公司;北京天融信科技有限公司;北京天融信软件有限公司 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56;G06F8/53 |
| 代理公司: | 北京超凡宏宇专利代理事务所(特殊普通合伙) 11463 | 代理人: | 蒋姗 |
| 地址: | 100000 北京*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 木马 方法 装置 电子设备 计算机 可读 存储 介质 | ||
本申请提供了一种木马查杀方法、装置、电子设备及计算机可读存储介质,其中,该方法包括:在杀毒环境中,执行经过指定方式处理的一项或多项木马;获取所述一项或多项木马中未被查杀的目标木马的目标木马;对所述目标木马进行反编译处理,以确定出所述目标木马的功能数据地址;根据所述功能数据地址,确定出所述功能数据的解密算法和第一密钥;根据所述解密算法和所述第一密钥,对加密后的目标木马进行解密;对解密后的目标木马进行查杀。能够提高对木马查杀的能力。
技术领域
本申请涉及计算机安全技术领域,具体而言,涉及一种木马查杀方法、装置、电子设备及计算机可读存储介质。
背景技术
木马是一种影响计算机安全的计算机恶意程序。但是现有的一些木马会通过一些加壳或者将木马的明文二进制数据以局部变量形式存储的方式实现免杀,目前已经能够通过一些手段能够对上述的免杀木马实现查杀,但是还是存在一些木马不能够实现定位及查杀。
发明内容
本申请的目的在于提供一种木马查杀方法、装置、电子设备及计算机可读存储介质,能够解决提高对免杀木马的查杀能力。
第一方面,本申请实施例提供一种木马查杀方法,包括:
获取未被查杀的目标木马;
对所述目标木马进行反编译处理,以确定出所述目标木马的功能数据地址;
根据所述功能数据地址,确定出所述功能数据的解密算法和第一密钥;
根据所述解密算法和所述第一密钥,对加密后的目标木马进行解密;
对解密后的目标木马进行查杀。
在一种可选的实施方式中,所述对所述目标木马进行反编译处理,以确定出所述目标木马的功能数据地址,包括:
对所述目标木马进行反编译处理,以确定所述目标木马的文件的加载方法;
根据所述加载方法确定出所述目标木马的功能数据地址。
在一种可选的实施方式中,所述对所述目标木马进行反编译处理,以确定所述目标木马的文件的加载方法,包括:
对所述目标木马进行反编译处理,以确定所述目标木马的入口点方法;
根据所述入口点方法确定出所述目标木马的文件的加载方法。
在上述实施方式中,通过反编译的方式找到入口点方法,以进一步地确定出目标木马的文件的加载方法,从而可以实现对木马的更准确的定位。
在一种可选的实施方式中,所述根据所述解密算法和所述第一密钥,对加密后的目标木马进行解密,包括:
根据所述解密算法和所述第一密钥操作数据来源,确定出加密后的目标木马的存储位置;
获取所述存储位置中的加密木马;
使用所述解密算法和所述第一密钥对所述加密木马进行解密。
在一种可选的实施方式中,所述获取未被查杀的目标木马,包括:
在杀毒环境中,执行经过指定方式处理的一项或多项木马;
获取所述一项或多项木马中未被查杀的目标木马。
在上述实施方式中,可以通过在杀毒环境中运行经过指定方式处理的木马,可以筛选出免杀能力高的木马,基于对免杀能力高的木马再使用上述的反编译的流程,实现更精准的查杀。
在一种可选的实施方式中,所述目标木马通过以下方式构建:
获取明文木马;
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京天融信网络安全技术有限公司;北京天融信科技有限公司;北京天融信软件有限公司,未经北京天融信网络安全技术有限公司;北京天融信科技有限公司;北京天融信软件有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202111152178.4/2.html,转载请声明来源钻瓜专利网。
