[发明专利]快速检测恶意代码的方法和系统

权利要求书

1.一种快速检测恶意代码的方法，其特征在于，所述方法包括：

获取预先设定的检测点的所有文件；

对获取的所有文件进行常规引擎扫描；

如果发现可疑文件，则上报可疑文件；

如果没有发现可疑文件，则对所有文件中用于行为模式判定的检测点的文件进行行为模式判定；

如果发现可疑文件，则上报可疑文件。

2.如权利要求1所述的方法，其特征在于：所述预先设定的检测点包括只用于常规引擎扫描的检测点，和用于常规引擎扫描及行为模式判定的检测点；

用于行为模式判定的检测点为用于常规引擎扫描及行为模式判定的检测点。

3.如权利要求2所述的方法，其特征在于：所述只用于常规引擎扫描的检测点包括驱动程序、服务模块、内核模块、IE插件、映像劫持和桌面文件中的至少一个检测点：

驱动程序，具体为：通过系统提供的API枚举所得的当前系统加载的所有驱动程序；

服务模块，具体为：通过系统提供的API枚举所得的当前系统加载的所有服务模块；

内核模块，具体为：通过系统提供的Native API枚举所得的系统加载的所有内核模块；

IE插件，具体为：通过扫描系统注册表相应键值，所得的所有IE插件；

映像劫持，具体为：通过扫描系统注册表相应键值，所得的所有映像劫持；

桌面文件，具体为：当前系统所有桌面文件及快捷方式所指向的文件。

4.如权利要求2所述的方法，其特征在于：所述用于常规引擎扫描及行为模式判定的检测点包括进程模块、启动项、进程加载的模块、加载的系统服务、可执行文件1和可执行文件2中的至少一个检测点：

进程模块，具体为：通过枚举方法所得的当前系统加载的所有进程的二进制映像路径； 

启动项，具体为：通过扫描所有在系统启动时启动程序的方法，枚举系统的启动项； 

进程加载的模块，具体为：通过枚举方法所得的系统特定进程下所有加载的模块； 

可执行文件1，具体为：非只读类文件系统下的autorun.inf及其指向的可执行文件；

可执行文件2，具体为：本身不包含可执行文件的目录下的可执行文件。

5.如权利要求4所述的方法，其特征在于：通过枚举方法所得的当前系统加载的所有进程的二进制映像路径中的枚举方法为下述至少一种方法：

通过系统提供的PSAPI进行枚举的方法；

通过系统提供的Native API进行枚举的方法；

通过枚举PID的方法。

6.如权利要求4所述的方法，其特征在于：通过枚举方法所得的系统特定进程下所有加载的模块中的枚举方法为：通过系统提供的PSAPI进行枚举和/或枚举进程用户空间的方法。

7.如权利要求4所述的方法，其特征在于：加载的系统服务，具体为：通过对HIVE文件进行格式解析和/或遍历当前系统加载的注册表相应键值的方法获得的所有加载的系统服务。

8.如权利要求5所述的方法，其特征在于：对所有文件中用于行为模式判定的检测点的文件进行行为模式判定包括：对于进程模块，比对当前系统加载的所有进程的二进制映像路径，将通过系统提供的PSAPI进行枚举的方法没有获取到、但通过系统提供的Native API进行枚举的方法和通过枚举PID的方法中的至少一种方法获取到的二进制映像路径所对应的进程，判定为可疑文件。

9.如权利要求4所述的方法，其特征在于：对所有文件中用于行为模式判定的检测点的文件进行行为模式判定包括：对于启动项，如果启动目录下有脚本文件，则将所述脚本文件判定为可疑文件。

10.如权利要求6所述的方法，其特征在于：对所有文件中用于行为模式判定的检测点的文件进行行为模式判定包括：对于进程加载的模块，比对通过系统提供的PSAPI进行枚举和枚举进程用户空间的方法所得的系统特定进程下所有加载的模块，将通过系统提供的PSAPI进行枚举的方法没有获取到、但通过枚举进程用户空间的方法获取到的加载的模块，判定为可疑文件。