申请/专利权人:戎码科技(北京)有限公司
申请日:2024-03-12
公开(公告)日:2024-05-10
公开(公告)号:CN118013524A
主分类号:G06F21/56
分类号:G06F21/56;G06F21/57
优先权:
专利状态码:在审-实质审查的生效
法律状态:2024.05.28#实质审查的生效;2024.05.10#公开
摘要:本申请实施例提供一种可疑行为监测方法、装置、电子设备及存储介质,所述方法包括:注册预设的回调函数;通过所述回调函数监测驱动程序在系统中的可疑行为;所述可疑行为包括:关闭驱动签名强制组件、加载目标内核进程文件、映射可疑代码至内核中的一种或多种;生成包括所述可疑行为的行为信息的日志。通过将正常软件在系统中不常见的行为列为可疑行为,利用回调函数监测系统中可疑行为的发生,能有效地捕捉到rootkit攻击在系统中的行为,为后续的攻击检测提供更丰富与可靠的检测数据。
主权项:1.一种可疑行为监测方法,其特征在于,所述方法包括:注册预设的回调函数;通过所述回调函数监测驱动程序在系统中的可疑行为;所述可疑行为包括:关闭驱动签名强制组件、加载目标内核进程文件、映射可疑代码至内核中的一种或多种;生成包括所述可疑行为的行为信息的日志。
全文数据:
权利要求:
百度查询: 戎码科技(北京)有限公司 一种可疑行为监测方法、装置、电子设备及存储介质
免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。