[发明专利]系统恶意程序检测方法及装置

说明书

技术领域

本发明涉及互联网及网络安全技术领域，尤其涉及一种针对Rootkit类顽固木马的系统恶意程序检测方法及装置。

背景技术

目前，一些恶意木马利用游戏外挂、视频播放器捆绑或者伪装成系统软件等方式在用户系统上安装木马，释放内核驱动，通过驱动来破坏安全软件的防护功能，阻止安全软件对该木马的相关文件、注册表项的扫描操作，保护木马进程不被安全软件结束，从而在用户电脑上安全的隐蔽下来，给用户造成木马反复清除不掉的严重后果。

随着木马病毒、恶意软件的大肆泛滥，各种安全软件越来越重视自身的主动行为防御能力，旨在木马发作前拦截木马的恶意行为，从而保护用户的系统免受破坏。在这种形势下，一些木马作者为了对抗安全软件的主动防御，使用欺骗、伪装等方式诱导用户放过主动防御对木马文件的拦截，然后释放内核驱动，在内核级与安全软件展开对抗。这样，当木马具备了驱动级能力之后，通常能够达到防止木马文件被安全软件识别、防止木马进程被安全软件终止的目的。

Rootkit类木马是一种内核级木马技术，其使用内核驱动隐藏自身，对抗安全软件，达到破坏用户系统的目的。

目前，针对Rootkit类顽固木马，安全软件的应对方法主要有主动防御和文件扫描两种，其中：

主动防御是安全软件用于对付Rootkit类木马的最通用做法，当检测到内核驱动即将在用户机器上释放或执行时，会触发安全软件的检测逻辑，包括驱动释放者的可信度、驱动文件自身的可信度，如果无法确定驱动文件是否安全，安软将会弹出问询窗口由用户决策对该驱动的放行或阻止。

文件扫描是指查询用户系统上安装的内核驱动，对这些内核驱动对应的文件体进行特征码扫描，以识别文件的安全性。

但是，上述两种传统技术方案在应对Rootkit类木马时存在以下缺陷：

在主动防御方案中，当对驱动释放者和驱动文件本身进行的可信度检测未果时，需要询问用户的意见，但是用户不具备准确判定驱动程序是否可信的专业知识，且这些木马文件会依附于游戏外挂、专用播放器中，用户多会选择放行，因此木马漏过的几率极高。 

在文件扫描方案中，由于Rootkit类木马运行在内核级，具备对整个系统的完全控制权，能够轻易的对系统内核进行篡改，因此可以很容易的躲避杀毒软件对木马文件的扫描，或者阻止扫描程序的启动，造成杀毒软件无法扫到木马的假象。

因此，现有的Rootkit防范方法虽然能够应对一部分内核级木马，但是出现漏毒、无法识别隐蔽木马的可能性高，导致木马检测准确率不高。

发明内容

本发明的主要目的在于提供一种系统恶意程序检测方法及装置，旨在提高系统安全性。

为了达到上述目的，本发明提出一种系统恶意程序检测方法，包括：

遍历系统内核空间，获取活跃的驱动程序列表；

从所述驱动程序列表中取出驱动程序，获取驱动程序信息；

基于所述驱动程序信息将所述驱动程序与预先建立的恶意代码特征库中的特征组合进行特征匹配，以检测所述驱动程序是否为恶意程序。

本发明还提出一种系统恶意程序检测装置，包括：

驱动程序列表获取模块，用于遍历系统内核空间，获取活跃的驱动程序列表；

驱动程序信息获取模块，用于从所述驱动程序列表中取出驱动程序，获取驱动程序信息；

检测模块，用于将所述驱动程序信息与预先建立的恶意代码特征库中的特征组合进行特征匹配，以检测所述驱动程序是否为恶意程序。

本发明提出的一种系统恶意程序检测方法及装置，通过获取系统内核空间内活跃的驱动程序，将驱动程序信息与恶意代码特征库中的特征组合进行特征匹配，以检测该驱动程序是否为恶意程序，由此在驱动级检查系统内核的安全状况，检测系统的关键调用路径是否被顽固恶意程序篡改与破坏，并进一步对Rootkit木马等恶意程序选择对应的清除修复策略进行清除修复，极大的提高了系统恶意程序的检测准确率，进而提高了系统的安全性。

附图说明

图1是本发明系统恶意程序检测方法第一实施例的流程示意图；

图2是本发明系统恶意程序检测方法第一实施例中基于所述驱动程序信息将所述驱动程序与预先建立的恶意代码特征库中的特征组合进行特征匹配，以检测所述驱动程序是否为恶意程序的流程示意图；

图3是本发明系统恶意程序检测方法第二实施例的流程示意图；

图4是本发明系统恶意程序检测方法第三实施例的流程示意图；

图5是本发明系统恶意程序检测装置第一实施例的结构示意图；