(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN111062035A(43)申请公布日2020.04.24(21)申请号201911126701.9(22)申请日2019.11.18(71)申请人哈尔滨安天科技集团股份有限公司地址150028黑龙江省哈尔滨市哈尔滨高新技术产业开发区科技创新城创新创业广场7号楼（世坤路838号）(72)发明人李柏松曹鑫磊刘佳男(51)Int.Cl.G06F21/56(2013.01)H04L29/06(2006.01)权利要求书2页说明书6页附图3页(54)发明名称一种勒索软件检测方法、装置、电子设备及存储介质(57)摘要本发明实施例提供了一种勒索软件检测方法、装置、电子设备及存储介质，用以解决现有技术中采用特征检测的方法检测勒索软件，不具有通用性，而采用检测拦截API调用的方法，对系统性能有影响的问题。该方法包括：构造虚假进程信息列表；Hook当前系统枚举进程及结束进程所需的所有API；若枚举进程的API被调用，正常调用该API，并在其返回信息中添加对应的虚假进程信息；若结束进程的API被调用，则判断该API操作对象的信息是否在虚假进程信息中，若是，进一步判断API调用者是否为已知正常程序，若API调用者非已知正常程序，则判定当前系统存在勒索软件。CN111062035ACN111062035A权利要求书1/2页1.一种勒索软件检测方法，其特征在于，包括：构造虚假进程信息列表；Hook当前系统枚举进程及结束进程所需的所有API；若枚举进程的API被调用，正常调用该API，并在其返回信息中添加对应的虚假进程信息；若结束进程的API被调用，则判断该API操作对象的信息是否在虚假进程信息中，若是，进一步判断API调用者是否为已知正常程序，若API调用者非已知正常程序，则判定当前系统存在勒索软件。2.如权利要求1所述的方法，其特征在于，所述构造虚假进程信息列表，具体为：根据已知勒索软件勒索过程，生成预虚假进程信息列表；检测系统活跃进程生成活跃进程信息列表；比较预虚假进程信息列表和活跃进程信息列表，若所述预虚假进程信息列表包含活跃进程信息列表中的进程信息，则在所述预虚假进程信息列表中去除所述进程信息，生成虚假进程信息列表；否则预虚假进程信息列表直接生成虚假进程信息列表。3.如权利要求1所述的方法，其特征在于，若枚举进程的API被调用，正常调用该API，并在其返回信息中添加对应的虚假进程信息，且所述虚假进程信息添加在返回信息之前。4.如权利要求1所述的方法，其特征在于，判定当前系统存在勒索软件之后，还包括：挂起API调用者进程，并向用户告警。5.一种勒索软件检测装置，其特征在于，包括：虚假进程信息列表构造模块：用于构造虚假进程信息列表；API钩取模块：用于Hook当前系统枚举进程及结束进程所需的所有API；虚假进程信息添加模块：用于若枚举进程的API被调用，正常调用该API，并在其返回信息中添加对应的虚假进程信息；勒索软件判定模块：用于若结束进程的API被调用，则判断该API操作对象的信息是否在虚假进程信息中，若是，进一步判断API调用者是否为已知正常程序，若API调用者非已知正常程序，则判定当前系统存在勒索软件。6.如权利要求5所述的装置，其特征在于，虚假进程信息列表构造模块还包含：预虚假进程信息列表生成模块：用于根据已知勒索软件勒索过程，生成预虚假进程信息列表；活跃进程信息列表生成模块：用于检测系统活跃进程生成活跃进程信息列表；比较模块：用于比较预虚假进程信息列表和活跃进程信息列表，若所述预虚假进程信息列表包含活跃进程信息列表中的进程信息，则在所述预虚假进程信息列表中去除所述进程信息，生成虚假进程信息列表；否则预虚假进程信息列表直接生成虚假进程信息列表。7.如权利要求5所述的装置，其特征在于，若枚举进程的API被调用，正常调用该API，并在其返回信息中添加对应的虚假进程信息，且所述虚假进程信息添加在返回信息之前。8.如权利要求5所述的装置，其特征在于，还包括告警模块：用于挂起API调用者进程，并向用户告警。9.一种电子设备，其特征在于，所述电子设备包括：壳体、处理器、存储器、电路板和电源电路，其中，电路板安置在壳体围成的空间内部，处理器和存储器设置在电路板上；电源2CN111062035A权利要求书2/2页电路，用于为上述电子设备的各个电路或器件供电；存储器用于存储可执行程序代码；处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序，用于执行前述权利要求1至4任一项所述的勒索软件检测的方法。10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现前述权利要求1至4中