| 发明名称 |
远程线程注入型木马的检测和处理的方法和装置 |
| 摘要 |
本发明公开了一种远程线程注入型木马的检测方法和处理方法,包括:遍历操作系统中的所有线程,找出可能为木马创建的线程;遍历该线程的父进程的内存空间中的所有内存模块,读取内存模块数据;用木马特征对内存模块数据进行特征匹配;终止远程线程注入型木马所创建的线程,从该线程的父进程的内存空间中卸载用木马特征匹配成功的内存模块,删除该内存模块相关的文件。本发明还公开了一种远程线程注入型木马的检测装置和处理装置,包括:判断模块,读取模块,匹配模块,处理模块。本发明可以对操作系统中存在的远程线程注入型木马进行快速、准确、彻底地检测,并将其查杀清除而不需要重新启动计算机、不影响系统的正常运行。 |
| 申请公布号 |
CN102004882A |
申请公布日期 |
2011.04.06 |
| 申请号 |
CN201010561259.5 |
申请日期 |
2010.11.26 |
| 申请人 |
北京安天电子设备有限公司 |
发明人 |
肖梓航;李伟;尹尚书;李柏松 |
| 分类号 |
G06F21/00(2006.01)I |
主分类号 |
G06F21/00(2006.01)I |
| 代理机构 |
|
代理人 |
|
| 主权项 |
一种远程线程注入型木马的检测方法,其特征在于,包括:遍历操作系统中的所有线程,找出可能为木马创建的线程;对于任何一个可能为木马创建的线程,遍历其父进程的内存空间中的所有内存模块,读取内存模块数据;用木马特征对内存模块数据进行特征匹配;如果匹配成功,则确定所述可能为木马创建的线程为远程线程注入型木马所创建的线程,否则,确定所述可能为木马创建的线程不是远程线程注入型木马所创建的线程。 |
| 地址 |
100085 北京市海淀区农大南路1号硅谷亮城2B-521 |
