(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111509951.8 (22)申请日 2021.12.10 (71)申请人 奇安信科技 集团股份有限公司 地址 100088 北京市西城区新 街口外大街 28号102号楼3层3 32号 申请人 网神信息技 术 （北京） 股份有限公司 (72)发明人 林岳川　孙诚　 (74)专利代理 机构 北京路浩知识产权代理有限 公司 11002 专利代理师 王宇杨 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/133(2022.01) (54)发明名称 一种远程调用检测方法、 装置、 电子设备及 存储介质 (57)摘要 本发明提供一种远程调用检测方法、 装置、 电子设备及存储介质， 其中， 远程调用检测方法 包括： 将Services.exe进程确定为目标进程； 在 目标进程允许注入的情况下， 在目标进程的远程 过程调用的svcctl服务操作接口中注入用于检 测远程调用操作的钩子函数； 通过钩子函数监测 服务启动项操作行为， 并在监测到服务启动项操 作行为的情况下， 根据服务启动项操作行为的远 程过程调用数据确定服务启动项操作行为是远 程调用操作， 并获取发起远程调用操作的终端的 信息。 通过本发明提供的远程调用检测方法， 从 而能够精确检测到远程调用操作， 提升系统安全 性。 权利要求书2页 说明书9页 附图3页 CN 114465752 A 2022.05.10 CN 114465752 A 1.一种远程调用检测方法， 其特 征在于， 包括： 将Services.exe进程确定为目标进程； 在所述目标进程允许注入的情况下， 在所述目标进程的远程过程调用的svcctl服务操 作接口中注入用于检测远程调用操作的钩子函数； 通过所述钩子函数监测服务启动项操作行为， 在监测到服务启动项操作行为的情况 下， 根据所述服务启动项操作行为的远程过程调用数据确定所述服务启动项操作行为是远 程调用操作， 并获取发起所述远程调用操作的终端的信息 。 2.根据权利要求1所述的远程调用检测方法， 其特征在于， 所述在所述目标进程的远程 过程调用的svc ctl服务操作接口中注入用于检测远程调用操作的钩子函数， 包括： 在以下至少一个svcctl服务操作接口中注入用于检测远程调用操作的钩子函数： RCreateServiceW， RC hangeServiceCo nfigW和RDeleteService。 3.根据权利要求1所述的远程调用检测方法， 其特征在于， 在根据 所述服务启动项操作 行为的远程过程调用数据确定所述服务启动项操作行为是远程调用操作， 并获取发起所述 远程调用操作的终端的信息之后， 方法还 包括： 将所述服务启动项操作行为的远程过程调用数据与所述发起所述远程调用操作的终 端的信息传输 至预设的威胁行为识别引擎， 以检测所述远程调用操作是否为远程 攻击。 4.根据权利要求1至 3任一项所述的远程调用检测方法， 其特 征在于， 方法还 包括： 在所述目标进程不允许注入的情况下， 通过跟踪记录机制记录服务启动项操作行为的 参数数据以及网络连接传输信息数据； 根据所述服务启动项操作 行为的参数数据， 确定所述服务启动项操作 行为是远程调用 操作； 根据所述网络连接传输信息数据， 获取发起所述远程调用操作的终端的信息 。 5.根据权利要求4所述的远程调用检测方法， 其特征在于， 所述通过跟踪记录机制记录 服务启动项操作行为的参数 数据以及网络连接传输信息数据， 包括： 通过跟踪记录 机制启动服 务控制管理器事 件和网络信息连接事 件； 通过所述服务控制管理器事件监测服务启动项操作行为， 并在监测到服务启动项操作 行为的情况 下， 记录服 务启动项操作行为的参数 数据； 通过所述网络信息连接事 件监测并记录所述目标进程的网络连接传输信息数据。 6.根据权利要求4所述的远程调用检测方法， 其特征在于， 在所述通过所述网络信 息连 接事件监控所述目标进程的网络连接传输信息数据之后， 方法还 包括： 判断所述服务启动项操作行为的参数数据中的时间戳信息与网络连接传输信息数据 中的时间戳信息之间的时间差是否在预设时间差范围内； 在所述时间差在预设时间差范围内的情况下， 将所述服务启动项操作 行为的参数数据 与所述发起所述远程调用操作的终端的信息传输至预设的威胁行为识别引擎， 以检测所述 远程调用操作是否为远程 攻击。 7.一种远程调用检测装置， 其特 征在于， 包括： 目标进程确定模块， 用于将Services.exe进程确定为目标进程； 函数注入模块， 用于在所述目标进程允许注入的情况下， 在所述目标进程的远程过程 调用的svc ctl服务操作接口中注入用于检测远程调用操作的钩子函数；权　利　要　求　书 1/2 页 2 CN 114465752 A 2远程调用操作确定模块， 用于通过所述钩子函数监测服务启动项操作行为， 并在监测 到服务启动项操作行为的情况下， 根据所述服务启动项操作行为的远程过程调用数据确定 所述服务启动项操作行为是远程调用操作， 并获取发起所述远程调用操作的终端的信息 。 8.一种电子设备， 包括存储器、 处理器及存储在所述存储器上并可在所述处理器上运 行的计算机程序， 其特征在于， 所述处理器执行所述程序时实现如权利要求1至6任一项所 述远程调用检测方法的步骤。 9.一种非暂态计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机 程序被处 理器执行时实现如权利要求1至 6任一项所述远程调用检测方法的步骤。权　利　要　求　书 2/2 页 3 CN 114465752 A 3