[发明专利]一种检测恶意代码的方法和装置

权利要求书

1.一种恶意代码的检测方法，其特征在于，所述检测方法包括如下步骤：

步骤1，评估向系统请求查询系统信息的进程是否为恶意应用程序，设置监测点从所述进程处接收系统信息的查询请求，恶意代码检测装置根据所述查询请求优先查询系统信息；

步骤2，根据请求查询的系统信息项的类型来确定所述进程的评分，判断所述评分是否满足预定条件，当所述得分满足预定条件时，修改该进程所查询的系统信息内容，其中，所述修改该进程所查询的系统信息内容包括对系统信息进行虚拟设置，然后将所述虚拟设置后的系统信息发送到所述进程；

步骤3，若所述进程不执行接收到的虚拟设置的系统信息对应的操作，则判断该进程对应的应用程序存在潜在恶意；

步骤4，将判断为存在潜在恶意的应用程序与对应的程序白名单进行比较，若存在于所述白名单上，则判断所述存在潜在恶意的应用程序为正常应用，若不存在所述于所述白名单上时，则对所述存在潜在恶意的应用程序进行静态代码检测。

2.如权利要求1所述的一种恶意代码的检测方法，其特征在于，确定所述进程的评分进一步包括：对进程所请求查询的系统信息内容与参考系统信息内容之间进行相似度计算，并根据相似度计算结果确定所述进程的评分。

3.如权利要求2所述的一种恶意代码的检测方法，其特征在于，所述修改该进程所查询的系统信息内容包括对系统信息进行虚拟设置进一步包括：当对所述进程的评分大于或等于预定阈值时，则初步评估请求查询所述系统信息内容的所述进程是恶意代码，然后将所查询的系统信息虚拟配置为表示虚拟环境的系统信息内容。

4.如权利要求2所述的一种恶意代码的检测方法，其特征在于，所述对进程所请求查询的系统信息内容与参考系统信息内容之间进行相似度计算进一步包括：基于请求查看的系统信息内容与参考系统信息内容之间的相同内容的数量或百分比来确定相似度，其中，所述参考系统信息内容为硬盘信息、文件路径、进程和网络信息中的一种或者多种的组合。

5.如权利要求4所述的一种恶意代码的检测方法，其特征在于，系统信息还包括进程信息、端口信息、文件信息、注册表信息、系统服务信息、服务提供商接口信息中一种或多种的组合。

6.如权利要求5所述的一种恶意代码的检测方法，其特征在于，所述步骤4中的所述对所述存在潜在恶意的应用程序进行静态代码检测进一步包括：首先将存在潜在恶意的应用程序转变为汇编文件，若转变的所述汇编文件可读性正常，则通过分析恶意代码的静态文件结构、二进制字节码、反汇编后的代码、反汇编后的静态系统调用获取恶意代码的静态特征，利用分类算法区分正常代码与恶意代码，若转变的所述汇编文件可读性为非正常，则直接判定存在潜在恶意的应用程序为恶意程序。

7.一种恶意代码的检测装置，通过恶意代码检测装置评估向系统请求查询系统信息的进程是否为恶意应用程序，其特征在于，所述检测装置包括如下模块：

进程信息获取模块，所述进程信息获取模块设置监测点从所述进程处接收系统信息的查询请求，恶意代码检测装置根据所述查询请求优先查询系统信息；

进程评分模块，根据请求查询的系统信息项的类型来确定所述进程的评分，判断所述评分是否满足预定条件，当所述得分满足预定条件时，修改该进程所查询的系统信息内容，其中，所述修改该进程所查询的系统信息内容包括对系统信息进行虚拟设置，然后将所述虚拟设置后的系统信息发送到所述进程；

第一判断模块，若所述进程不执行接收到的虚拟设置的系统信息对应的操作，则判断该进程对应的应用程序存在潜在恶意；

第二判断模块，将判断为存在潜在恶意的应用程序与对应的程序白名单进行比较，若存在于所述白名单上，则判断所述存在潜在恶意的应用程序为正常应用，若不存在所述于所述白名单上时，则对所述存在潜在恶意的应用程序进行静态代码检测。

8.如权利要求7所述的一种恶意代码的检测装置，其特征在于，确定所述进程的评分进一步包括：对进程所请求查询的系统信息内容与参考系统信息内容之间进行相似度计算，并根据相似度计算结果确定所述进程的评分。