[发明专利]木马的查杀方法和装置

权利要求书

1.一种木马的查杀方法，包括以下步骤：

获取木马查杀指令；

根据所述木马查杀指令检测磁盘驱动是否被挂钩；

若检测到磁盘驱动被挂钩，则清除挂钩；

读取磁盘的第一物理扇区的主引导记录；

判断所述第一物理扇区的主引导记录是否符合预设的病毒特征；

若所述第一物理扇区的主引导记录符合预设的病毒特征，则判断磁盘的第二物理扇区上的数据是否为正常的主引导记录；

若所述磁盘的第二物理扇区上的数据为正常的主引导记录，则检测所述第二物理扇区上的主引导记录的结束标志位是否为预定结束标志位；

若所述第二物理扇区上的主引导记录的结束标志位为预定结束标志位，则判断第一物理扇区的分区表是否正常；

若所述第一物理扇区的分区表正常，将所述第二物理扇区上的主引导记录覆盖第一物理扇区的起始处，重启系统以清除木马；

若所述第一物理扇区的分区表不正常，则结束。

2.根据权利要求1所述的方法，其特征在于，所述若检测到磁盘驱动被挂钩，则清除挂钩的步骤包括：

获取磁盘上的文件；

通过所述文件查找所属的虚拟设备；

获取所述虚拟设备所属的驱动；

通过所述驱动获取真实的磁盘驱动指针；

遍历虚拟设备栈；

检测到虚拟设备栈中的虚拟设备所属的驱动指针与对应的真实的磁盘驱动指针不同，则判定所述虚拟设备所属的磁盘驱动被挂钩；

将检测到的虚拟设备所属的假的驱动指针恢复成真实的磁盘驱动指针，清除挂钩。

3.根据权利要求1所述的方法，其特征在于，所述方法还包括：

若检测到所述第二物理扇区上的主引导记录的结束标志位不为预定结束标志位，则对检测的虚拟设备所属的假的驱动指针不做恢复处理。

4.根据权利要求1所述的方法，其特征在于，所述方法还包括：

若检测到磁盘驱动未被挂钩，则直接执行读取磁盘的第一物理扇区的主引导记录的步骤。

5.根据权利要求1所述的方法，其特征在于，所述方法还包括：

在判断出所述第一物理扇区的主引导记录符合预设的病毒特征时，在木马扫描界面提供包含病毒描述和处理方式的提示信息，并提供立即处理入口；

获取立即处理入口的触发指令，根据所述触发指令判断磁盘的第二物理上的数据是否为正常的主引导记录。

6.一种木马的查杀装置，其特征在于，包括：

指令获取模块，用于获取木马查杀指令；

挂钩检测模块，用于根据所述木马查杀指令检测磁盘驱动是否被挂钩；

清除模块，用于若检测到磁盘驱动被挂钩，则清除挂钩；

读取模块，用于读取磁盘的第一物理扇区的主引导记录；

判断模块，用于判断所述第一物理扇区的主引导记录是否符合预设的病毒特征，若是，则进一步判断磁盘的第二物理扇区上的数据是否为正常的主引导记录，若是，则检测所述第二物理扇区上的主引导记录的结束标志位是否为预定结束标志位，若是，则再判断第一物理扇区的分区表是否正常；

拷贝模块，用于当判断出所述第一物理扇区的主引导记录符合预设的病毒特征、磁盘的第二物理扇区上的数据为正常的主引导记录且第一物理扇区的分区表正常时，将所述第二物理扇区上的主引导记录覆盖第一物理扇区的起始处；

重启模块，用于重启系统以清除木马。

7.根据权利要求6所述的装置，其特征在于，所述挂钩检测模块还用于获取磁盘上的文件，通过所述文件查找所属的虚拟设备，并获取所述虚拟设备所属的驱动，再通过所述驱动获取真实的磁盘驱动指针，遍历虚拟设备栈，以及检测到虚拟设备栈中的虚拟设备所属的驱动指针与对应的真实的磁盘驱动指针不同，则判定所述虚拟设备所属的磁盘驱动被挂钩；

所述清除模块还用于将检测到的虚拟设备所属的假的驱动指针恢复成真实的磁盘驱动指针，清除挂钩。