[发明专利]操作系统威胁检测方法、装置、电子设备及存储介质

权利要求书

1.一种操作系统威胁检测方法，其特征在于，应用于电子设备，所述方法包括：

采集针对所述电子设备的操作系统的目标操作产生的跳转指令；

将所述跳转指令与所述操作系统的跳转指令数据库中的跳转指令数据进行比对；其中，所述跳转指令数据库包括：在所述操作系统处于可信状态时提取的所述操作系统中的跳转指令数据；

在所述跳转指令与所述跳转指令数据库中的跳转指令数据均不匹配的情况下，确定所述操作系统中存在威胁。

2.根据权利要求1所述的操作系统威胁检测方法，其特征在于，所述跳转指令数据，包括以下至少一项：

跳转指令对数组、间接跳转指令数组、子函数调用指令数组和返回值指令数组。

3.根据权利要求2所述的操作系统威胁检测方法，其特征在于，在所述跳转指令数据包括所述返回值指令数组的情况下，所述将所述跳转指令与所述操作系统的跳转指令数据库中的跳转指令数据进行比对，包括：

将所述跳转指令的起始地址from地址偏移，与所述跳转指令数据库中所述返回值指令数组进行比对；

在从所述返回值指令数组中，查找到所述跳转指令的from地址偏移的情况下，将所述跳转指令的目标地址to地址偏移，与用户当前使用的目标栈中子函数调用指令的下一条子函数调用指令进行匹配；

若不匹配，则判定所述跳转指令与所述返回值指令数组不匹配。

4.根据权利要求2所述的操作系统威胁检测方法，其特征在于，所述方法还包括：

在所述跳转指令与所述跳转指令数据库中子函数调用指令数组匹配的情况下，将所述跳转指令的from地址偏移写入目标栈中。

5.根据权利要求1所述的操作系统威胁检测方法，其特征在于，所述将所述跳转指令与所述操作系统的跳转指令数据库中的跳转指令数据进行比对之前，所述方法还包括：

分别将所述跳转指令的from地址和to地址转偏移；在将所述跳转指令的from地址转偏移失败、或者，将所述跳转指令的to地址转偏移失败的情况下，确定所述操作系统中存在威胁；

在分别将所述跳转指令的from地址和to地址完成转偏移的情况下，在所述操作系统的跳转指令数据库中查找与所述跳转指令的from地址偏移或to地址偏移对应的目标模块；在所述跳转指令数据库中未查找到与所述跳转指令的from地址偏移或to地址偏移对应的目标模块的情况下，确定所述操作系统中存在威胁；

或者，在所述操作系统的跳转指令数据库中查找到与所述跳转指令的from地址偏移和to地址偏移对应的目标模块的情况下，在所述跳转指令数据库的所述目标模块中查找与所述跳转指令的from地址偏移或to地址偏移对应的函数；在所述跳转指令数据库的所述目标模块中未查找到与所述跳转指令的from地址偏移或to地址偏移对应的函数的情况下，确定所述操作系统中存在威胁。

6.根据权利要求1所述的操作系统威胁检测方法，其特征在于，所述采集针对所述电子设备的操作系统的目标操作产生的跳转指令之前，还包括：

在所述操作系统处于可信状态时，使用C语言对所述操作系统的镜像进行分析，识别所述操作系统的代码区域；

使用capstone反汇编引擎对所述操作系统的代码区域进行反汇编，输出所述操作系统的跳转指令数据库。

7.一种操作系统威胁检测装置，其特征在于，包括：

采集模块，用于采集针对所述电子设备的操作系统的目标操作产生的跳转指令；

第一比对模块，用于将所述跳转指令与所述操作系统的跳转指令数据库中的跳转指令数据进行比对；其中，所述跳转指令数据库包括：在所述操作系统处于可信状态时提取的所述操作系统中的跳转指令数据；

第一确定模块，用于在所述跳转指令与所述跳转指令数据库中的跳转指令数据均不匹配的情况下，确定所述操作系统中存在威胁。

8.一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现如权利要求1至6任一项所述操作系统威胁检测方法的步骤。