CN101304409B

CN101304409B - 恶意代码检测方法及系统

Info

Publication number: CN101304409B
Application number: CN2008100291745A
Authority: CN
Inventors: 李毅超; 顾凌志; 杨玉奇; 杜欢; 白皓文; 刘丹; 曹跃; 梁晓; 徐胜; 舒柏程; 柴方明
Original assignee: Huawei Symantec Technologies Co Ltd
Current assignee: Huawei Digital Technologies Chengdu Co Ltd
Priority date: 2008-06-28
Filing date: 2008-06-28
Publication date: 2011-04-13
Anticipated expiration: 2028-06-28
Also published as: CN101304409A; WO2009155805A1; US20090327688A1

Abstract

本发明实施例公开了一种恶意代码检测方法和系统，所述方法包括获得难以被恶意代码修改的第一系统信息，以及容易被所述恶意代码修改的第二系统信息，通过识别所述第一系统信息与第二系统信息的差异，检测出所述恶意代码。采用本发明实施例，可对未知的恶意代码进行检测，提高系统安全性，且简单易行。

Description

恶意代码检测方法及系统

技术领域

本发明涉及计算机领域，尤其涉及一种恶意代码检测方法及系统。

背景技术

随着互联网的普及，威胁信息安全的事件的发生越来越频繁，其中，恶意代码造成的危害最为严重，不仅使企业和用户蒙受巨大经济损失，更使国家信息安全面临严重威胁。

现有技术提供了一种基于特征码扫描的恶意代码检测技术，它是目前商用恶意代码检测所使用的主要方法，其原理是打开被检测文件/内存，扫描其中是否包含有特征数据库中的恶意代码特征串，如果含有，则判断文件/内存含有恶意代码。随着越来越多的恶意代码使用了变形技术，即使对已知的恶意代码，仅通过扫描文件/内存，现有技术的基于特征码扫描的恶意代码检测技术对于不存在于特征数据库中的未知的恶意代码无法检测。

发明内容

本发明实施例提供了一种恶意代码检测方法，能根据难以被恶意代码修改的第一系统信息与容易被所述恶意代码修改的第二系统信息之间的差异，检测出恶意代码，对未知的恶意代码进行检测。

本发明实施例提出的一种恶意代码检测方法，包括：

获得系统信息类别下难以被恶意代码修改的第一系统信息，以及所述系统信息类别下容易被所述恶意代码修改的第二系统信息；

所述系统信息包括进程信息、端口信息、文件信息、注册表信息、系统服务信息、服务提供商接口信息中一种或多种的组合；

所述获得难以被恶意代码修改的第一系统信息，以及容易被恶意代码修改的第二系统信息包括：

当所述系统信息类别为进程信息时，读取驱动程序中系统内核态的全局句柄表，并判断该全局句柄表中的进程句柄是否为有效句柄，若是，则将该进程句柄对应的第一进程信息作为所述第一系统信息；调用系统用户态应用程序接口的进程跟踪指令，将该指令响应的第二进程信息作为所述第二系统信息；

当所述系统信息类别为端口信息时，创建并调用驱动程序中系统内核态的传输控制协议设备端口情况查询指令，将该指令响应的第一传输控制协议设备端口情况信息作为所述第一系统信息；调用系统用户态应用程序接口的传输控制协议设备端口情况枚举指令，将该指令响应的第二传输控制协议设备端口情况信息作为所述第二系统信息；

当所述系统信息类别为文件信息时，创建并调用驱动程序中系统内核态的指定路径文件信息的查询指令，将该指令响应的第一文件信息作为所述第一系统信息；调用系统用户态应用程序接口的指定路径文件信息的查询指令，将该指令响应的第二文件信息作为所述第二系统信息；

当所述系统信息类别为注册表信息时，调用系统内核态的注册表信息权限赋予指令，将根据所赋予权限获取的指定路径下的第一注册表键值信息作为所述第一系统信息；调用系统用户态应用程序接口的注册表操作指令，将该指令响应的第二注册表键值信息作为所述第二系统信息；

当所述系统信息类别为系统服务信息时，

调用系统内核态的注册表信息权限赋予指令，将根据所赋予权限获取的第一系统服务信息作为所述第一系统信息；调用系统用户态应用程序接口的对系统服务信息进行获取的注册表操作指令，将该指令响应的第二系统服务信息作为所述第二系统信息；或者，

当所述系统信息类别为服务提供商接口信息时，调用系统内核态的注册表信息权限赋予指令，将根据所赋予权限获取的第二服务提供商接口信息作为所述第一系统信息；调用系统用户态应用程序接口的对服务提供商接口信息进行获取的注册表操作指令，将该指令响应的第二服务提供商接口信息作为所述第二系统信息；

通过识别所述第一系统信息与第二系统信息的差异，检测出所述恶意代码。

相应地，本发明实施例还提供了一种恶意代码检测系统，包括：

系统信息收集模块，获得系统信息类别下难以被恶意代码修改的第一系统信息，以及所述系统信息类别下容易被所述恶意代码修改的第二系统信息；

所述系统信息收集模块包括如下子模块中的一种或多种的组合：

进程信息收集子模块，当所述系统信息类别为进程信息时，读取驱动程序中系统内核态的全局句柄表，并判断该全局句柄表中的进程句柄是否为有效句柄，若是，则将该进程句柄对应的第一进程信息作为所述第一系统信息；调用系统用户态应用程序接口的进程跟踪指令，将该指令响应的第二进程信息作为所述第二系统信息；

端口信息收集子模块，当所述系统信息类别为端口信息时，创建并调用驱动程序中系统内核态的传输控制协议设备端口情况查询指令，将该指令响应的第一传输控制协议设备端口情况信息作为所述第一系统信息；调用系统用户态应用程序接口的传输控制协议设备端口情况枚举指令，将该指令响应的第二传输控制协议设备端口情况信息作为所述第二系统信息；

文件信息收集子模块，当所述系统信息类别为文件信息时，创建并调用驱动程序中系统内核态的指定路径文件信息的查询指令，将该指令响应的第一文件信息作为所述第一系统信息；调用系统用户态应用程序接口的指定路径文件信息的查询指令，将该指令响应的第二文件信息作为所述第二系统信息；

注册表信息收集子模块，当所述系统信息类别为注册表信息时，调用系统内核态的注册表信息权限赋予指令，将根据所赋予权限获取的指定路径下的第一注册表键值信息作为所述第一系统信息；调用系统用户态应用程序接口的注册表操作指令，将该指令响应的第二注册表键值信息作为所述第二系统信息；

系统服务信息收集子模块，当所述系统信息类别为系统服务信息时，调用系统内核态的注册表信息权限赋予指令，将根据所赋予权限获取的第一系统服务信息作为所述第一系统信息；调用系统用户态应用程序接口的对系统服务信息进行获取的注册表操作指令，将该指令响应的第二系统服务信息作为所述第二系统信息；

服务提供商接口信息收集子模块，当所述系统信息类别为服务提供商接口信息时，调用系统内核态的注册表信息权限赋予指令，将根据所赋予权限获取的第二服务提供商接口信息作为所述第一系统信息；调用系统用户态应用程序接口的对服务提供商接口信息进行获取的注册表操作指令，将该指令响应的第二服务提供商接口信息作为所述第二系统信息；

恶意行为识别模块，通过识别所述第一系统信息与第二系统信息的差异，检测出所述恶意代码。

本发明实施例通过获得难以被恶意代码修改的第一系统信息，以及容易被恶意代码修改的第二系统信息，通过识别所述第一系统信息与第二系统信息的差异，检测出恶意代码，从而对未知的恶意代码进行检测，提高系统安全性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例的恶意代码检测方法的主要流程图；

图2是本发明实施例的恶意代码检测方法的具体流程图；

图3是本发明实施例的恶意代码检测系统的主要结构图；

图4是本发明实施例的恶意代码检测系统的具体结构图。

具体实施方式

本发明实施例提供了一种恶意代码检测方法及系统，能根据难以被恶意代码修改的第一系统信息与容易被恶意代码修改的第二系统信息之间的差异，检测出恶意代码，从而对未知的恶意代码进行检测，提高系统安全性。

恶意代码侵入系统时，通常需要修改一些可能指明自己身份的系统信息，该系统信息一般包括进程信息、端口信息、文件信息、注册表信息、系统服务信息、服务提供商接口(Service Provider Interface，SPI)信息等。恶意代码修改系统信息的目的在于向检测软件提供不真实的数据，逃避检测。而各系统信息可分成两种系统信息：难以被恶意代码修改的第一系统信息以及容易被恶意代码修改的第二系统信息。

下面结合附图，对本发明实施例进行详细说明。

图1是本发明实施例的恶意代码检测方法的主要流程图，参照该图，该方法主要包括：

101，获得难以被恶意代码修改的第一系统信息，以及容易被恶意代码修改的第二系统信息。具体地，参照上述系统信息类型的描述，可从系统内核态获得难以被恶意代码修改的第一系统信息，可从系统用户态获得与所述第一系统信息对应的容易被恶意代码修改的第二系统信息；需要说明的是，系统的内核态和系统用户态的区分主要基于多用户系统。在多用户系统上每个用户不能相互干扰，也不能互相窥探秘密的信息，即需要一种保护机制。由于多用户操作系统内核代码是大家共享的运行资源，多用户操作系统(包括windows)核心代码必须运行在高优先级和处于最大保护环境中。这样，运行在一台机器上的代码被分成了两个级别：高保护状态的优先级(内核)和一般级别(用户程序)。当CPU正在运行内核代码时就称系统处于内核态，而当CPU正运行用户代码时则称系统处于系统用户态。

102，通过识别所述第一系统信息与第二系统信息的差异，检测出恶意代码。

图2是本发明实施例的恶意代码检测方法的具体流程图，该方法可用于微软Windows操作系统中，参照该图，该方法主要包括以下步骤

201、程序初始化，安装所有用于收集系统信息(包括第一系统信息及第二系统信息)的驱动模块。

202、接收用户的操作信号，即用户可选择进行基于如下一种或多种系统信息类别的恶意代码检测：进程信息、端口信息、文件信息、注册表信息、系统服务信息、服务提供商接口信息、系统服务描述符表信息、全局描述符表信息、中断描述符表信息。

203、获得难以被恶意代码修改的第一系统信息，以及容易被恶意代码修改的第二系统信息，具体地，包含以下几种情况。

A、当系统信息为进程信息时

获得进程信息中难以被恶意代码修改的第一系统信息的主要过程如下：读取驱动程序中系统内核态的全局句柄表，并判断该全局句柄表中的进程句柄是否为有效句柄，若是，则将该进程句柄对应的进程信息作为第一系统信息。具体地，通过DeviceIoControl指令与驱动程序通信，在驱动程序中，直接读取系统内核态中的全局句柄表PspCidTable，采用穷举法，判断全局句柄表中每个可能存在的进程句柄是否存在有效的进程对象。例如，对于从0到0x43dc中每个为4的倍数的包识别码(Packet Identifier，PID)，调用ExMapHandleToPointer指令将句柄映射为对象，判断ExMapHandleToPoint指令的响应结果是否为空，若不为空则判断该进程句柄为有效句柄，将该进程句柄对应的进程信息作为第一系统信息(可作为第一系统信息列表的某一表项)；

获得进程信息中容易被恶意代码修改的第二系统信息的主要过程是：调用系统用户态应用程序接口(Application Programming Interface，API)的进程跟踪指令，如EnumProcess枚举指令，将该指令的响应作为第二系统信息(可作为第二系统信息列表的某一表项)。

B、当所述系统信息类别为端口信息时

获得端口信息中难以被恶意代码修改的第一系统信息的主要过程是：创建并调用驱动程序中系统内核态的传输控制协议(Transmission Control Protocol，TCP)设备端口情况查询指令，将该指令响应的第一TCP设备端口情况信息作为第一系统信息。具体地，通过DeviceIoControl指令与驱动程序通信，在驱动程序中，调用ZwCreateFile指令打开TCP设备对象，调用ObReferenceObjectByHandle指令获取TCP设备对象指针，调用IoBuildDeviceIoControlRequest指令创建TCP设备端口查询请求，即输入输出请求包(Input/Output Request Packet，IRP)，调用IoSetCompletionRoutine指令设定完例程，最后调用IoCallDriver指令发送所述IRP，将对该IRP响应的第一TCP设备端口情况信息作为所述第一系统信息(可作为第一系统信息列表的某一表项)。

获得端口信息容易被恶意代码修改的第二系统信息的主要过程是：调用系统用户态API的TCP设备端口情况枚举指令，如GetTcpTable指令，将该指令响应的第二TCP设备端口情况信息作为第二系统信息(可作为第二系统信息列表的某一表项)。

C、当所述系统信息类别为文件信息时

获得文件信息中难以被恶意代码修改的第一系统信息的主要过程是：创建并调用驱动程序中系统内核态的指定路径文件信息的查询指令，将该指令响应的第一文件信息作为第一系统信息。具体地，对指定的文件信息的路径进行下述操作，通过DeviceIoControl指令与驱动程序通信，在驱动程序中，首先调用ZwOpenFile指令获取该文件目录句柄，调用ObReferenceObjectByHandle指令获取对应的文件对象，再使用IoAllocateIrp指令分配IRP(即查询指令)，并填写IRP各个域以准备查询该文件目录，最后调用IoCallDriver指令发送IRP，将该IRP响应的第一文件信息作为第一系统信息，该第一文件信息包括子目录，以及子文件名称、大小、创建日期、修改日期等信息。另外，对子目录也进行其下所有文件信息的获取，直至查询完指定路径下所有的文件(可作为第一系统信息列表的某一表项)。

获得文件信息中容易被恶意代码修改的第二系统信息的主要过程是：调用系统用户态API的指定路径文件信息的查询指令，如FindFirstFile指令和FindNextFile指令，将该指令响应的第二文件信息作为第二系统信息(可作为第二系统信息列表的某一表项)。

D、当所述系统信息类别为注册表信息时

由于注册表信息要求系统重启后仍然有效，所有注册表信息应是以Hive文件的形式保存在磁盘中的，注册表中的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\hivelist记录着系统Hive文件的保存路径，而系统许多功能的实现是依赖于其中记录的这些文件提供的信息，因此系统Hive文件是安全的，内容也是最完整的，通常操作系统是不允许其他程序在系统范围内访问这些Hive文件，因此要获得第一系统信息，需要绕过这些Hive文件的保护来读取其中的信息，因此：

获得注册表信息中难以被恶意代码修改的第一系统信息的主要过程是，调用系统内核态的注册表信息权限赋予指令，将根据所赋予权限获取的指定路径下的第一注册表键值信息作为第一系统信息。具体地，可调用如下6指令来完成本步骤：调用RktRegInitialize指令完成注册表检测模块的初始化，包括获取Hive文件读取权限，将注册表信息保存为Hive文件，并可确定HKEY_CURRENT_USER和HKEY_CURRENT_ROOT在Hive文件中的位置；调用RktRegUninitialize指令来释放资源，关闭Hive文件；调用RktRegOpenKey指令在Hive文件中打开指定的键；调用RktRegCloseKey指令在Hive文件中关闭指定的键；调用RktRegEnumKey指令在Hive文件中获取某个打开键的所有子键；调用RktRegEnumValue指令在Hive文件中获取某个打开键的所有值，则在调用RktRegInitialize指令完成注册表检测模块的初始化，获取Hive文件读取权限后，可调用上述6指令中的其他指令来获取的指定路径下的第一注册表键值信息作为第一系统信息(可作为第一系统信息列表的某一表项)。

获得注册表信息中容易被恶意代码修改的第二系统信息的主要过程是，调用系统用户态API的注册表操作指令，将该指令响应的第二注册表键值信息作为第二系统信息(可作为第二系统信息列表的某一表项)。。

E、当所述系统信息类别为系统服务信息时

获得系统服务信息中难以被恶意代码修改的第一系统信息的主要过程是，调用系统内核态的注册表信息权限赋予指令，将根据所赋予权限获取的第一系统服务信息作为第一系统信息。具体地，系统服务信息保存在注册表的HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services中，包括：

e1，进行初始化，判断是否调用过RktRegInitialize指令，若是，则直接转入e2；若否，则调用RktRegInitialize指令进行初始化，包括获取Hive文件读取权限，将注册表信息保存为Hive文件；

e2，打开当前服务所在Hive文件，定位到服务键；

e3，若RktRegEnumKey指令所有子键都已经枚举，则调用RktRegEnumKey指令枚举所有子键，若存在未枚举的子键，转执行e4；

e4，调用RktRegOpenKey打开子键，调用RktRegEnumValue指令读取服务相关值的数据，判断该子键是否是第一系统服务信息，若是，则以该第一系统服务信息作为第一系统信息(可作为第一系统信息列表的某一表项)并转执行e3，否则直接转执行e3；

获得系统服务信息中容易被恶意代码修改的第二系统信息的主要过程是，调用系统用户态API的对系统服务信息进行获取的注册表操作指令，将该指令响应的第二系统服务信息作为第二系统信息(可作为第二系统信息列表的某一表项)。

F、当所述系统信息类别为SPI信息时

获得SPI信息中难以被恶意代码修改的第一系统信息的主要过程是，调用系统内核态的注册表信息权限赋予指令，将根据所赋予权限获取的第二SPI信息作为第一系统信息(可作为第一系统信息列表的某一表项)。

具体地，SPI的所有动态链接库(Dynamic Link Library，DLL)路径保存在注册表HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries中，包括：

f1，进行初始化，判断是否调用过RktRegInitialize指令，若是，则直接转入f2；若否，则调用RktRegInitialize指令进行初始化，包括获取Hive文件读取权限，将注册表信息保存为Hive文件；

f2，打开当前服务所在Hive文件，定位到服务键，打开SPI所在键；

f3，若RktRegEnumKey指令所有子键都已经枚举，则调用RktRegEnumKey指令枚举所有子键，若存在未枚举的子键，转执行f4；

f4，调用RktRegOpenKey打开子键，调用RktRegEnumValue指令读取SPI数据，并转执行f3；

获得SPI信息中容易被恶意代码修改的第二系统信息的主要过程是，调用系统用户态API的对SPI信息进行获取的注册表操作指令，将该指令响应的第二SPI信息作为第二系统信息(可作为第二系统信息列表的某一表项)。

另外，203步骤还可以包括：

获得系统服务描述符表(System Descriptor Table，SDT)信息、全局描述符表(Global Descriptor Table，GDT)信息或中断描述符表(Interrupt Descriptor Table，IDT)信息，该SDT信息/GDT信息/IDT信息在进行恶意代码检测时，作为提供给用户(如高级用户)的参考信息，获得SDT信息/GDT信息/IDT信息的方式具体为：

调用系统内核态的SDT获取指令，如KeServiceDescriptorTable指令，来获得SDT信息；

调用系统内核态的GDT获取指令，如sgdt指令，并复制相关项，来获得GDT信息；

调用系统内核态的IDT获取指令，如sidt指令，并复制相关项，来获得IDT信息。

204、通过识别所述第一系统信息与第二系统信息的差异，检测出恶意代码。具体地，若系统信息类别为进程信息，则比较作为第一系统信息的第一进程信息(或列表，下同)以及作为第二系统信息的第二进程信息(或列表，下同)是否一致；若系统信息类别为端口信息，则比较作为第一系统信息的第一端口信息以及作为第二系统信息的第二端口信息是否一致；若系统信息类别为文件信息，则比较作为第一系统信息的第一文件信息(文件目录名、文件名等)以及作为第二系统信息的第二文件信息是否一致；若系统信息类别为注册表信息时，则比较作为第一系统信息的第一注册表键值信息以及作为第二系统信息的第二注册表键值信息是否一致；若系统信息类别为系统服务信息时，则比较作为第一系统信息的第一系统服务信息以及作为第二系统信息的第二系统服务信息是否一致；若系统信息类别为SPI信息时，则比较作为第一系统信息的第一SPI信息以及作为第二系统信息的第二SPI信息是否一致，若上述比较得到第一系统信息与第二系统信息具有差异，则检测出了恶意代码，则将所述第一系统信息和第二系统信息之间的差异作为恶意代码可疑行为；

另外，当所述第一系统信息与第二系统信息没有差异时，可释放所述第一系统信息及第二系统信息，以节省存储空间。

205、将恶意代码可疑行为的相关信息提示给用户，询问用户是否忽略或阻断恶意代码的执行。

206、当用户选择忽略或阻断恶意代码的执行时，阻断该恶意代码的执行，还可以记录本次检测过程、检测结果、检测时间等相关信息到日志中。

图3是本发明实施例的恶意代码检测系统的主要结构图，参照该图，该系统主要包括：

系统信息收集模块31，获得难以被恶意代码修改的第一系统信息，以及容易被恶意代码修改的第二系统信息。具体地，可从系统内核态获得难以被恶意代码修改的第一系统信息，可从系统用户态获得与所述第一系统信息对应的容易被所述恶意代码修改的第二系统信息，所述系统信息可以为进程信息、端口信息、文件信息、注册表信息、系统服务信息、服务提供商接口信息中一种或多种的组合；

恶意行为检测模块32，通过识别所述第一系统信息与第二系统信息的差异，检测出恶意代码。

图4是本发明实施例的恶意代码检测系统具体的结构图，该系统可用于微软Windows操作系统中，参照该图，该系统包括以下组成。

系统信息收集模块41，获得难以被恶意代码修改的第一系统信息，以及容易被恶意代码修改的第二系统信息。具体地，该系统信息收集模块41可包括如下各子模块中的一种或多种的组合：

进程信息收集子模块411，用于获得进程信息中，难以被恶意代码修改的第一系统信息和容易被恶意代码修改的第二系统信息；

为了获得进程信息中难以被恶意代码修改的第一系统信息，进程信息收集子模块411读取驱动程序中系统内核态的全局句柄表，并判断该全局句柄表中的进程句柄是否为有效句柄，若是，则将该进程句柄对应的进程信息作为第一系统信息。具体地，通过DeviceIoControl指令与驱动程序通信，在驱动程序中，直接读取系统内核态中的全局句柄表PspCidTable，采用穷举法，判断全局句柄表中每个可能存在的进程句柄是否存在有效的进程对象。例如，对于从0到0x43dc中每个为4的倍数的PID，调用ExMapHandleToPointer指令将句柄映射为对象，判断ExMapHandleToPoint指令的响应结果是否为空，若不为空则判断该进程句柄为有效句柄，将该进程句柄对应的进程信息作为第一系统信息(可作为第一系统信息列表的某一表项)；

为了获得进程信息中容易被恶意代码修改的第二系统信息，进程信息收集子模块411调用系统用户态API的进程跟踪指令，如EnumProcess枚举指令，将该指令的响应作为第二系统信息(可作为第二系统信息列表的某一表项)；

端口信息收集子模块412，用于获得端口信息中，难以被恶意代码修改的第一系统信息和容易被恶意代码修改的第二系统信息；

为了获得端口信息中难以被恶意代码修改的第一系统信息，所述端口信息收集子模块412创建并调用驱动程序中系统内核态的TCP设备端口情况查询指令，将该指令响应的第一TCP设备端口情况信息作为第一系统信息，具体地，通过DeviceIoControl指令与驱动程序通信，在驱动程序中，调用ZwCreateFile指令打开TCP设备对象，调用ObReferenceObjectByHandle指令获取TCP设备对象指针，调用IoBuildDeviceIoControlRequest指令创建TCP设备端口查询请求，即IRP，调用IoSetCompletionRoutine指令设定完例程，最后调用IoCallDriver指令发送所述IRP，根据对该IRP响应的第一TCP设备端口情况信息作为所述第一系统信息(可作为第一系统信息列表的某一表项)；

为了获得端口信息中容易被恶意代码修改的第二系统，所述端口信息收集子模块412信息调用系统用户态API的TCP设备端口情况枚举指令，如GetTcpTable指令，将该指令响应的第二TCP设备端口情况信息作为第二系统信息(可作为第二系统信息列表的某一表项)；

文件信息收集子模块413，用于获得文件信息中，难以被恶意代码修改的第一系统信息和容易被恶意代码修改的第二系统信息；

为了获得文件信息中难以被恶意代码修改的第一系统信息，所述文件信息收集子模块413创建并调用驱动程序中系统内核态的指定路径文件信息的查询指令，将该指令响应的第一文件信息作为第一系统信息，具体地，对指定的文件信息的路径进行下述操作，通过DeviceIoControl指令与驱动程序通信，在驱动程序中，首先调用ZwOpenFile指令获取该文件目录句柄，调用ObReferenceObjectByHandle指令获取对应的文件对象，再使用IoAllocateIrp指令分配IRP(即查询指令)，并填写IRP各个域以准备查询该文件目录，最后调用IoCallDriver指令发送IRP，将该IRP响应的第一文件信息作为第一系统信息(可作为第一系统信息列表的某一表项)，该第一文件信息包括子目录，以及子文件名称、大小、创建日期、修改日期等信息，另外，对子目录也进行其下所有文件信息的获取，直至查询完指定路径下所有的文件；

为了获得文件信息中容易被恶意代码修改的第二系统，所述文件信息收集子模块413调用系统用户态API的指定路径文件信息的查询指令，如FindFirstFile指令和FindNextFile指令，将该指令响应的第二文件信息作为第二系统信息(可作为第二系统信息列表的某一表项)；

注册表信息收集子模块414，用于获得注册表信息中，难以被恶意代码修改的第一系统信息和容易被恶意代码修改的第二系统信息；

由于注册表信息要求系统重启后仍然有效，所有注册表信息应是以Hive文件的形式保存在磁盘中的，注册表中的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\hivelist记录着系统Hive文件的保存路径，而系统许多功能的实现是依赖于其中记录的这些文件提供的信息，因此系统Hive文件是安全的，内容也是最完整的，通常操作系统是不允许其他程序在系统范围内访问这些Hive文件，因此要获得第一系统信息，需要绕过这些Hive文件的保护来读取其中的信息。

为了获得注册表信息中难以被恶意代码修改的第一系统信息，注册表信息收集子模块414调用系统内核态的注册表信息权限赋予指令，将根据所赋予权限获取的指定路径下的第一注册表键值信息作为第一系统信息，具体地，可调用如下6指令来完成本子模块功能：调用RktRegInitialize指令完成注册表检测模块的初始化，包括获取Hive文件读取权限，将注册表信息保存为Hive文件，并可确定HKEY_CURRENT_USER和HKEY_CURRENT_ROOT在Hive文件中的位置；调用RktRegUninitialize指令来释放资源，关闭Hive文件；调用RktRegOpenKey指令在Hive文件中打开指定的键；调用RktRegCloseKey指令在Hive文件中关闭指定的键；调用RktRegEnumKey指令在Hive文件中获取某个打开键的所有子键；调用RktRegEnumValue指令在Hive文件中获取某个打开键的所有值，则在调用RktRegInitialize指令完成注册表检测模块的初始化，获取Hive文件读取权限后，可调用上述6指令中的其他指令来获取的指定路径下的第一注册表键值信息作为第一系统信息(可作为第一系统信息列表的某一表项)；

为了获得注册表信息中容易被恶意代码修改的第二系统信息，注册表信息收集子模块414调用系统用户态API的注册表操作指令，将该指令响应的第二注册表键值信息作为第二系统信息(可作为第二系统信息列表的某一表项)；

系统服务信息收集子模块415，用于获得系统服务信息中，难以被恶意代码修改的第一系统信息和容易被恶意代码修改的第二系统信息；

为了获得系统服务信息中，难以被恶意代码修改的第一系统信息，系统服务信息收集子模块415调用系统内核态的注册表信息权限赋予指令，将根据所赋予权限获取的第一系统服务信息作为第一系统信息，具体地，系统服务信息保存在注册表的HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services中，首先，进行初始化，判断是否调用过RktRegInitialize指令，若是，则直接打开当前服务所在的Hive文件读取权限，定位到服务键；若否，则调用RktRegInitialize指令进行初始化，包括获取Hive文件读取权限，将注册表信息保存为Hive文件后打开当前服务所在Hive文件，定位到服务键，若RktRegEnumKey指令所有子键都已经枚举，则调用RktRegEnumKey指令枚举所有子键，若存在未枚举的子键，调用RktRegOpenKey打开子键，调用RktRegEnumValue指令读取服务相关值的数据，判断该子键是否是第一系统服务信息，若是，则以该第一系统服务信息作为第一系统信息(可作为第一系统信息列表的某一表项)；

为了获得系统服务信息中容易被恶意代码修改的第二系统信息，系统服务信息收集子模块415调用系统用户态API的对系统服务信息进行获取的注册表操作指令，将该指令响应的第二系统服务信息作为第二系统信息(可作为第二系统信息列表的某一表项)；

服务提供商接口信息收集子模块416，用于获得服务提供商接口信息中，难以被恶意代码修改的第一系统信息和容易被恶意代码修改的第二系统信息；

为了获得服务提供商接口信息中，难以被恶意代码修改的第一系统信息，服务提供商接口信息收集子模块416调用系统内核态的注册表信息权限赋予指令，将根据所赋予权限获取的第一SPI信息作为第一系统信息(可作为第一系统信息列表的某一表项)，具体地，SPI的所有DLL路径保存在注册表HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries中，首先，进行初始化，判断是否调用过RktRegInitialize指令，若是，则打开当前服务所在Hive文件，定位到服务键，打开SPI所在键；若否，则调用RktRegInitialize指令进行初始化，包括获取Hive文件读取权限，将注册表信息保存为Hive文件后再打开当前服务所在Hive文件，定位到服务键，打开SPI所在键，若RktRegEnumKey指令所有子键都已经枚举，则调用RktRegEnumKey指令枚举所有子键，若存在未枚举的子键，调用RktRegOpenKey打开子键，调用RktRegEnumValue指令读取SPI数据；

为了获得服务提供商接口信息中，容易被恶意代码修改的第二系统信息，服务提供商接口信息收集子模块416调用系统用户态API的对SPI信息进行获取的注册表操作指令，将该指令响应的第二SPI信息作为第二系统信息(可作为第二系统信息列表的某一表项)。

另外，该系统信息收集模块41还可以包括：

参考信息收集子模块417，获得SDT信息、GDT信息或IDT信息，所述SDT信息、GDT信息或IDT信息在进行恶意代码检测时，作为提供给用户(如高级用户)的参考信息。具体地，可调用系统内核态的SDT获取指令，如KeServiceDescriptorTable指令，来获得SDT信息；调用系统内核态的GDT获取指令，如sgdt指令，并复制相关项，来获得GDT信息；或者调用系统内核态的IDT获取指令，如sidt指令，并复制相关项，来获得IDT信息；

恶意行为检测模块42，通过识别所述第一系统信息与第二系统信息的差异，检测出所述恶意代码。具体地，若系统信息类别为进程信息，则比较作为第一系统信息的第一进程信息(或列表，下同)以及作为第二系统信息的第二进程信息(或列表，下同)是否一致；若系统信息类别为端口信息，则比较作为第一系统信息的第一端口信息以及作为第二系统信息的第二端口信息是否一致；若系统信息类别为文件信息，则比较作为第一系统信息的第一文件信息(文件目录名、文件名等)以及作为第二系统信息的第二文件信息是否一致；若系统信息类别为注册表信息时，则比较作为第一系统信息的第一注册表键值信息以及作为第二系统信息的第二注册表键值信息是否一致；若系统信息类别为系统服务信息时，则比较作为第一系统信息的第一系统服务信息以及作为第二系统信息的第二系统服务信息是否一致；若系统信息类别为SPI信息时，则比较作为第一系统信息的第一SPI信息以及作为第二系统信息的第二SPI信息是否一致，若上述比较得到第一系统信息与第二系统信息具有差异，则将所述第一系统信息和第二系统信息之间的差异作为恶意代码可疑行为；

恶意行为阻断单元43，将恶意代码可疑行为的相关信息提示给用户，询问用户是否忽略或阻断恶意代码的执行，当用户选择阻断恶意代码的执行时，阻断该恶意代码的执行，还可以记录本次检测过程、检测结果、检测时间等相关信息到日志中。

通过实施上述本发明实施例，根据难以被恶意代码修改的第一系统信息及容易被恶意代码修改的第二系统信息，通过两者差异的识别，并且将所述第一系统信息和第二系统信息之间的差异作为恶意代码可疑行为，可以有效地检测出各种隐藏的恶意代码，由于检测针对的是恶意代码可疑行为，而不是恶意代码本身，因此恶意代码无论如何变形都可从系统信息中检测出来，从而提高系统安全性。

另外，本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory，ROM)或随机存储记忆体(Random Access Memory，RAM)等。

以上所述是本发明的具体实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也视为本发明的保护范围。

Claims

1.一种恶意代码检测方法，其特征在于，包括：

获得难以被恶意代码修改的第一系统信息，以及容易被恶意代码修改的第二系统信息；

当所述系统信息类别为系统服务信息时，

2.如权利要求1所述的恶意代码检测方法，其特征在于，该方法还包括：

获得系统服务描述符表信息、全局描述符表信息或中断描述符表信息，作为恶意代码检测时提供给用户的参考信息。

3.如权利要求1所述的恶意代码检测方法，其特征在于，该方法还包括：

阻断所述恶意代码的执行和/或记录相关信息。

4.一种恶意代码检测系统，其特征在于，包括：

系统信息收集模块，获得难以被恶意代码修改的第一系统信息，以及容易被所述恶意代码修改的第二系统信息；

恶意行为检测模块，通过识别所述第一系统信息与第二系统信息的差异，检测出所述恶意代码。

5.如权利要求4所述的恶意代码检测系统，其特征在于，所述系统信息收集模块还包括：

参考信息收集子模块，获得系统服务描述符表信息、全局描述符表信息或中断描述符表信息，作为恶意代码检测时提供给用户的参考信息。

6.如权利要求4所述的恶意代码检测系统，其特征在于，该系统还包括：

恶意行为阻断模块，阻断所述恶意代码的执行和/或记录相关信息。