[发明专利]一种干扰恶意程序的方法

权利要求书

1.一种干扰恶意程序的方法，其特征在于，包括以下步骤：

根据CS恶意程序进程获取恶意程序堆信息，并进行特征分析得到恶意程序内存特征，将所述恶意程序内存特征编写为检测规则；

遍历主机运行时的每一个进程内存的堆信息，并根据所述检测规则，扫描出内存恶意程序进程；

从内存恶意程序进程中获取初始配置文件，并对所述初始配置文件进行解密，得到解密配置文件；

根据所述解密配置文件构造若干组干扰请求包，并将若干组所述干扰请求包重复发送至服务端；

判断服务端是否下发攻击者任务，若是，则构造干扰结果发送至服务端，若否，则继续重复发送干扰请求包至服务端。

2.根据权利要求1所述的一种干扰恶意程序的方法，其特征在于，根据CS恶意程序进程获取恶意程序堆信息，并进行特征分析得到恶意程序内存特征，包括以下步骤：

通过Windows调试工具对所述恶意程序堆信息进行分析，得到分析结果；

根据所述分析结果对所述恶意程序堆信息进行区分，得到恶意程序内存特征。

3.根据权利要求2所述的一种干扰恶意程序的方法，其特征在于，所述恶意程序内存特征为64位内存特征或32位内存特征。

4.根据权利要求1所述的一种干扰恶意程序的方法，其特征在于，对所述初始配置文件进行解密，得到解密配置文件，包括以下步骤：

获取内存恶意程序进程中与所述初始配置文件对应的第一密钥；

通过所述第一密钥对所述初始配置文件进行解密，得到解密配置文件。

5.根据权利要求1所述的一种干扰恶意程序的方法，其特征在于，根据所述解密配置文件构造若干组干扰请求包，并将若干组所述干扰请求包重复发送至服务端，包括以下步骤：

获取所述解密配置文件内的干扰基础数据，并将所述干扰基础数据按照JSON格式进行罗列；

根据所述干扰基础数据，获取服务端的IP地址、服务端进行恶意程序存储至主机的端口号、服务端的发包请求URL路径和主机的虚假基础信息；

获取所述解密配置文件内的RSA公钥，并根据RSA公钥对所述虚假基础信息进行加密，得到加密虚假基础信息；

将所述服务端的IP地址、服务端进行恶意程序存储至主机的端口号、服务端的发包请求URL路径和加密虚假基础信息生成若干组主机干扰数据，并根据AES算法，对每组所述主机干扰数据生成第二密钥；

将每一组所述主机干扰数据和对应的第二密钥进行打包，并通过RSA加密方法，得到若干组干扰请求包；

将每组所述干扰请求包通过服务端的发包请求URL路径重复发送至服务端。

6.根据权利要求1所述的一种干扰恶意程序的方法，其特征在于，判断服务端是否下发攻击者任务，包括以下步骤：

将干扰请求包发送至服务端后，判断服务端是否下发返回数据；

若是，则服务端下发过攻击者任务；

若否，则服务端未下发过攻击者任务。

7.根据权利要求6所述的一种干扰恶意程序的方法，其特征在于，所述攻击者任务为根据AES算法进行加密过的任务数据。

8.根据权利要求7所述的一种干扰恶意程序的方法，其特征在于，所述构造干扰结果，包括以下步骤：

获取服务端发送给主机的攻击者任务，通过所述第二密钥对所述攻击者任务进行解密，得到明文数据；

根据所述明文数据，构造虚假任务执行结果，并通过AES加密方法对所述虚假任务执行结果进行加密，得到干扰结果。

9.根据权利要求5所述的一种干扰恶意程序的方法，其特征在于，所述虚假基础信息包括主机IP地址、主机用户名、主机名称、主机程序名、主机进程控制符和主机架构。

10.一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时，实现权利要求1-9任意一项所述的干扰恶意程序的方法。