一种傀儡进程检测方法、装置、电子设备和存储介质

摘要

本发明实施例涉及一种傀儡进程检测方法、装置、电子设备和存储介质，该方法包括：监视进程中各子进程的执行进度；当任意一个进程调用函数恢复该子进程所在的线程的运行时，遍历该子进程所有包含可执行属性的内存区块，并判断其是否符合可移植条件；根据该内存区块是否符合可移植条件，对该内存区块进行镜像文件检测；根据镜像检测的结果，判断该进程是否为傀儡进程。本发明实施例的技术方案，利用傀儡进程需要先将恶意模块写入正常程序的内存，并设置内存为可执行属性的特点对子进程进行检测，在对于傀儡进程的识别率和准确率上得到了显著的提升，同时不会被加壳软件干扰误报，有效地解决了病毒长期潜伏导致用户数据被窃取的技术问题。