[发明专利]一种识别病毒的方法及装置

权利要求书

1.一种识别病毒的方法，其特征在于，包括：

获取用户访问在线支付网站时的内存中的原始内存信息，并对所述原始内存信息进行转存；

对转存后的所述原始内存信息进行分析，获得访问所述在线支付网站中被访问过程中运行的进程的相关信息；

根据所述进程的相关信息，对当前运行的进程是否是病毒样本对应的进程进行识别。

2.根据权利要求1所述的识别病毒的方法，其特征在于，所述获取用户访问在线支付网站时的内存中的原始内存信息，并对所述原始内存信息进行转存的步骤包括：

提高查看系统权限的权限值；

基于提高后的权限值，获得要转存的进程的内存空间地址；其中所述要转存的进程为访问所述在线支付网站中被访问过程；

根据所述内存空间地址，对所述内存空间中的内容进行转存，并将转存的内容保存为一个文件。

3.根据权利要求2所述的识别病毒的方法，其特征在于，对转存后的所述原始内存信息进行分析，获得访问所述在线支付网站中被访问过程中运行的进程的相关信息的步骤包括：

对转存后的所述文件进行分析，获得访问所述在线支付网站中被访问过程中运行的病毒进程要使用的数据以及调用的函数。

4.根据权利要求3所述的识别病毒的方法，其特征在于，对所述文件进行分析，获得访问所述在线支付网站中被访问过程中运行的病毒进程要使用的数据以及调用的函数的步骤包括：

根据字符编码集或者病毒特征库，对所述文件进行全文字符串匹配，获得匹配不成功的无效字符串，并过滤掉所述无效字符串

过滤掉所述无效字符串，得到匹配成功的字符串对应的文件；

根据所述匹配成功的字符串对应的文件，获得病毒进程要使用的数据以及调用的函数。

5.根据权利要求4所述的识别病毒的方法，其特征在于，根据所述进程的相关信息，对当前运行的进程是否是病毒样本对应的进程进行识别的步骤包括：

根据病毒进程要使用的数据以及调用的函数，在所述匹配成功的字符串对应的文件中查找若有与所述数据以及调用的函数相匹配的：节点IE的内容、节点Patch的内容和节点TargetAddr的内容，则确定该进程为病毒进程；其中，所述节点IE的内容为搜索IE窗口控件时使用的内容，所述节点Patch的内容为修改IE网页内容时使用的内容，所述TargetAddr的内容为网购木马病毒要盗取的对应网购地址。

6.一种识别病毒的装置，其特征在于，包括：

内存截取模块，用于获取用户访问在线支付网站时的内存中的原始内存信息，并对所述原始内存信息进行转存；

获取模块，用于对转存后的所述原始内存信息进行分析，获得访问所述在线支付网站中被访问过程中运行的进程的相关信息；

识别模块，用于根据所述进程的相关信息，对当前运行的进程是否是病毒样本对应的进程进行识别。

7.根据权利要求6所述的识别病毒的装置，其特征在于，所述内存截取模块包括：

设置模块，用于提高查看系统权限的权限值；

获得模块，用于基于提高后的权限值，获得要转存的进程的内存空间地址；其中所述要转存的进程为访问所述在线支付网站中被访问过程；

转存模块，用于根据所述内存空间地址，对所述内存空间中的内容进行转存，并将转存的内容保存为一个文件。

8.根据权利要求7所述的识别病毒的装置，其特征在于，所述获得模块具体用于：对转存后的所述文件进行分析，获得访问所述在线支付网站中被访问过程中运行的病毒进程要使用的数据以及调用的函数。

9.根据权利要求8所述的识别病毒的装置，其特征在于，所述获得模块还用于：根据字符编码集或者病毒特征库，对所述文件进行全文字符串匹配，获得匹配不成功的无效字符串，并过滤掉所述无效字符串；过滤掉所述无效字符串，得到匹配成功的字符串对应的文件；根据所述匹配成功的字符串对应的文件，获得病毒进程要使用的数据以及调用的函数。

10.根据权利要求9所述的识别病毒的装置，其特征在于，所述识别模块具体用于：根据病毒进程要使用的数据以及调用的函数，在所述匹配成功的字符串对应的文件中查找若有与所述数据以及调用的函数相匹配的：节点IE的内容、节点Patch的内容和节点TargetAddr的内容，则确定该进程为病毒进程；其中，所述节点IE的内容为搜索IE窗口控件时使用的内容，所述节点Patch的内容为修改IE网页内容时使用的内容，所述TargetAddr的内容为网购木马病毒要盗取的对应网购地址。