[发明专利]一种恶意代码发现和预防方法有效
| 申请号: | 201110375297.6 | 申请日: | 2011-11-23 |
| 公开(公告)号: | CN102542196A | 公开(公告)日: | 2012-07-04 |
| 发明(设计)人: | 李伟;李柏松;肖新光 | 申请(专利权)人: | 北京安天电子设备有限公司 |
| 主分类号: | G06F21/00 | 分类号: | G06F21/00 |
| 代理公司: | 暂无信息 | 代理人: | 暂无信息 |
| 地址: | 100084 北京市海*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种恶意代码发现和预防方法,该方法主要包括获取系统句柄信息步骤,获取系统内核对象信息步骤,内核对象过滤步骤,匹配处理步骤,创建内核对象步骤。本发明克服了恶意代码静态检测中启发式检测的不准确性问题;增加了恶意代码静态检测中恶意代码免杀者定位修改特征码的难度,使其免杀普通特征码的样本难以躲过本发明提出的检测方法;克服了动态监测中虚拟机检测执行指令数的限制;本发明克服了恶意代码预防方法中主动防御占用过多系统资源的问题。 | ||
| 搜索关键词: | 一种 恶意代码 发现 预防 方法 | ||
【主权项】:
一种恶意代码发现和预防方法,其特征在于,包括步骤:获取当前系统环境中所有内核对象(object)的信息;所述内核对象是代表系统资源的数据结构;过滤所述内核对象的类型,获取指定类型的内核对象作为待检测内核对象;将待检测内核对象的名称与特征库中预先获取的恶意代码创建的内核对象的名称进行特征匹配,如果匹配成功则判断待检测内核对象为感染恶意代码的内核对象;分别创建用于阻塞等待,与所述感染恶意代码的内核对象名称相同的内核对象;获取所述感染恶意代码的内核对象的进程PID,根据所述进程PID获取进程名;如果能够成功获取进程名,并且成功获取的进程为白名单进程,则重新启动所述成功获取的进程;所述白名单进程是指系统进程或第三方软件的进程;否则,终止所述感染恶意代码的内核对象的进程。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京安天电子设备有限公司,未经北京安天电子设备有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201110375297.6/,转载请声明来源钻瓜专利网。
- 上一篇:应用于光伏并网逆变器的储能电路及控制方法
- 下一篇:粉粒状物料风送设备
