CN109214186A - 一种基于内核层的拦截木马病毒系统及方法 - Google Patents
一种基于内核层的拦截木马病毒系统及方法 Download PDFInfo
- Publication number
- CN109214186A CN109214186A CN201810992025.2A CN201810992025A CN109214186A CN 109214186 A CN109214186 A CN 109214186A CN 201810992025 A CN201810992025 A CN 201810992025A CN 109214186 A CN109214186 A CN 109214186A
- Authority
- CN
- China
- Prior art keywords
- trojan horse
- inner nuclear
- nuclear layer
- code
- library
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/65—Updates
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明涉及一种基于内核层的拦截木马病毒系统及其方法,该系统包括策略更新模块、内核层程序监视模块、内核层决策模块,还包括木马病毒库,所述策略更新模块通过TDI创建TCP网络通信,下载并更新本地木马病毒库;所述内核层程序监视模块注册LoadImage回调接口,监视加载项,由内核层程序监视模块将待运行内容放置在内存隔离区内,决策模块进行扫描,如果检测出有木马病毒,则根据用户设置的处理方式,进行处理。本发明由内核层常驻的模块进行木马病毒扫描,防止应用层程序被其他程序终结造成扫描失败,也避免挂起用户输入造成系统不稳定,并能自动更新木马病毒库,保持扫描策略与服务器同步,时效性强。
Description
技术领域
本发明属于木马病毒防治领域,具体涉及一种基于内核层的拦截木马病毒系统及方法。
背景技术
2010年之后,木马病毒与病毒不再有明显界限,而单纯破坏性的病毒也因缺乏利益动机失去市场,目前的病毒基本上都带有木马病毒属性,木马病毒也带有自我繁殖的病毒属性,所以两者查杀基本上是等同的。
木马病毒能对计算机的防御系统进行破坏,并进行自我复制,消耗大量系统资源,有的木马病毒可以盗取系统关键信息造成经济损失,有的木马病毒利用宿主资源发起网络攻击,有的木马病毒利用宿主免费的电力和网络资源进行挖矿运算构成偷盗行为,最严重的木马病毒对系统锁定并勒索金钱,影响极大。
传统的木马病毒查杀手段,其中一个特点是利用特征库对比,然而特征库经年累月越来越大,对比一段代码所需要耗费的系统资源越来越多,所以目前木马病毒查杀并非用单纯的特征库,而是用特征库+策略库结合的方式来构成木马病毒库,病毒库本身包含扫描策略,其本身具有程序属性。
目前大量木马病毒查杀程序采用两种方法。一种是通过应用层对目标程序进行扫描识别然后进行处理,此类方法虽然能识别大部分木马病毒,但是往往在扫描文件时会占用大量的系统资源,导致系统响应速度变慢,甚至影响其他程序正常运行。另一种通过驱动层拦截用户的输入信息,然后将拦截的数据提交到应用层进行识别,确定所述输入信息是否与保存的需要进行保护的敏感信息相同,并给出相应策略;此类方法由于需要频繁的和应用层进行交互,但应用层程序挂起时往往会导致系统不稳定,同时由于应用层程序本身容易被第三方程序卸载,删除或退出,从而导致拦截失效。
发明内容
本发明的目的就在于为了解决背景信息中扫描方法的缺陷,提出一种基于内核层的拦截木马病毒系统和方法。
本发明通过以下技术方案来实现上述目的:
一种基于内核层的拦截木马病毒系统,包括策略更新模块、内核层程序监视模块、内核层决策模块,还包括木马病毒库;
所述策略更新模块于每次拦截木马病毒系统加载时,通过TDI(Transport DriverInterface传送驱动接口)创建TCP网络通信,连接固定IP的服务器并比较服务器中木马病毒库与本地木马病毒库日期,如果本地木马病毒库日期较旧,则下载并更新本地木马病毒库;
所述内核层程序监视模块通过注册LoadImage回调接口,所述回调接口监视加载项,所有准备运行的内容都拦截,由内核层程序监视模块将待运行内容放置在内存隔离区内,由内核层决策模块根据木马病毒库提供的策略进行扫描,没有木马病毒则删除隔离区内容,恢复原代码运行,如果检测出有木马病毒,则根据用户设置的处理方式,进行处理。
作为本发明优选方式,所述用户设置是包括以下处理方式:
方式1,直接删除代码;
方式2,按照木马病毒库提供的策略,对木马病毒代码进行清除并执行清除后的代码,清除失败则删除;
方式3,按照木马病毒库提供的策略,对木马病毒代码进行清除并执行。清除失败则弹出对话框,询问计算机使用者是否删除。
其中方式2为默认设置,如用户不明白其含义,则提供最保守的策略。
作为本发明优选方式,所述准备运行的内容,包括扩展名为EXE与DLL的文件。
基于本发明提出的系统的扫描处理木马病毒的方法,包括以下步骤:
步骤0,由用户设置处理方式,如果未选择则选择方式2;
步骤1,加载拦截木马病毒系统;
步骤2,由策略更新模块通过TDI创建TCP网络通信,连接服务器更新木马病毒库;
步骤3,由内核层程序监视模块注册LoadImage回调接口,由回调接口监视所有待运行内容,包括扩展名为exe与dll的文件,中断所有待运行的内容并存储至内存隔离区,调用内核层决策模块;
步骤4,内核层决策模块根据木马病毒库提供的扫描策略,对内存隔离区内内容进行扫描,扫描发现木马病毒进入步骤4.1,未发现木马病毒进入步骤5;
步骤4.1,查询用户设置的处理方式,如果是方式1,直接删除代码,进入步骤5;
步骤4.2,利用木马病毒库提供的策略,对木马病毒代码进行清除,成功清除则进入步骤5;
步骤4.3,查询用户设置测处理方式,如果是方式2,则删除代码,进入步骤5;
步骤4.4,弹出对话框,告知用户有木马病毒无法清除,询问用户是否删除代码;用户选择删除则删除代码,进入步骤5,用户选择不删除则不对代码进行操作;
步骤5,对没有删除的代码恢复执行,结束内核层决策模块,调用内核层程序监视模块。
作为本方法的优选,步骤4.4中用户选择不删除后,弹出对话框进行二次警告,提示木马病毒的危害。
本发明的有益效果在于:
1)本发明提供的方案,在内核层设置了策略更新模块、程序监视模块和决策模块,始终保持高的优先级和执行权力,防止被结束进程的风险;
2)本发明提供的方案使用回调接口监视内容加载,不需要扫描全部内存,节约资源;
3)本发明提供的方法使用木马病毒库提供扫描策略,不仅仅是对比特征码,加快了木马病毒的扫描速度。
附图说明
图1:本发明实施例1的流程图。
图2:本发明实施例2的流程图。
图3:本发明各模块关系图。
具体实施方式
下面结合附图对本申请作进一步详细描述,有必要在此指出的是,以下具体实施方式只用于对本申请进行进一步的说明,不能理解为对本申请保护范围的限制,该领域的技术人员可以根据上述申请内容对本申请作出一些非本质的改进和调整。
实施例1
一种基于内核层的拦截木马病毒系统,包括策略更新模块、内核层程序监视模块、内核层决策模块,还包括木马病毒库;
所述策略更新模块于每次拦截木马病毒系统加载时,通过TDI创建TCP网络通信,连接固定IP的服务器并比较服务器中木马病毒库与本地木马病毒库日期,如果本地木马病毒库日期较旧,则下载并更新本地木马病毒库;
所述内核层程序监视模块通过注册LoadImage回调接口,所述回调接口监视加载项,所有准备运行的内容都拦截,由内核层程序监视模块将待运行内容放置在内存隔离区内;所述准备运行的内容,包括扩展名为EXE与DLL的文件。由内核层决策模块根据木马病毒库提供的策略进行扫描,没有木马病毒则删除隔离区内容,恢复原代码运行,如果检测出有木马病毒,则根据用户设置的处理方式,进行处理。
所述用户设置是包括以下处理方式:
方式1,直接删除代码;
方式2,按照木马病毒库提供的策略,对木马病毒代码进行清除并执行清除后的代码,清除失败则删除;
方式3,按照木马病毒库提供的策略,对木马病毒代码进行清除并执行。清除失败则弹出对话框,询问计算机使用者是否删除。
实施例1运行步骤:步骤S100,由用户设置处理方式,如果未选择则选择方式2;
步骤S101,加载拦截木马病毒系统;
步骤S102,由策略更新模块通过TDI创建TCP网络通信,连接服务器更新木马病毒库;
步骤S103,由内核层程序监视模块注册LoadImage回调接口,由回调接口监视所有待运行内容,包括扩展名为exe与dll的文件,中断所有待运行的内容并存储至内存隔离区,调用内核层决策模块;
步骤S104,内核层决策模块根据木马病毒库提供的扫描策略,对内存隔离区内内容进行扫描,扫描发现木马病毒进入步骤S104.1,未发现木马病毒进入步骤S105;
步骤S104.1,查询用户设置的处理方式,如果是方式1,直接删除代码,进入步骤S105;
步骤S104.2,利用木马病毒库提供的策略,对木马病毒代码进行清除,成功清除则进入步骤S105;
步骤S104.3,查询用户设置测处理方式,如果是方式2,则删除代码,进入步骤S105;
步骤S104.4,弹出对话框,告知用户有木马病毒无法清除,询问用户是否删除代码;用户选择删除则删除代码,进入步骤S105,用户选择不删除则不对代码进行操作;
步骤S105,对没有删除的代码恢复执行,结束内核层决策模块,调用内核层程序监视模块。
实施例2
一种基于内核层的拦截木马病毒系统,包括策略更新模块、内核层程序监视模块、内核层决策模块,还包括木马病毒库;
所述策略更新模块于每次拦截木马病毒系统加载时,通过TDI创建TCP网络通信,连接固定IP的服务器并比较服务器中木马病毒库与本地木马病毒库日期,如果本地木马病毒库日期较旧,则下载并更新本地木马病毒库;
所述内核层程序监视模块通过注册LoadImage回调接口,所述回调接口监视加载项,所有准备运行的内容都拦截,由内核层程序监视模块将待运行内容放置在内存隔离区内;所述准备运行的内容,包括扩展名为EXE与DLL的文件。由内核层决策模块根据木马病毒库提供的策略进行扫描,没有木马病毒则删除隔离区内容,恢复原代码运行,如果检测出有木马病毒,则根据用户设置的处理方式,进行处理。
所述用户设置是包括以下处理方式:
方式1,直接删除代码;
方式2,按照木马病毒库提供的策略,对木马病毒代码进行清除并执行清除后的代码,清除失败则删除;
方式3,按照木马病毒库提供的策略,对木马病毒代码进行清除并执行。清除失败则弹出对话框,询问计算机使用者是否删除。
实施例1运行步骤:步骤S200,由用户设置处理方式,如果未选择则选择方式2;
步骤S201,加载拦截木马病毒系统;
步骤S202,由策略更新模块通过TDI创建TCP网络通信,连接服务器更新木马病毒库;
步骤S203,由内核层程序监视模块注册LoadImage回调接口,由回调接口监视所有待运行内容,包括扩展名为exe与dll的文件,中断所有待运行的内容并存储至内存隔离区,调用内核层决策模块;
步骤S204,内核层决策模块根据木马病毒库提供的扫描策略,对内存隔离区内内容进行扫描,扫描发现木马病毒进入步骤S204.1,未发现木马病毒进入步骤S205;
步骤S204.1,查询用户设置的处理方式,如果是方式1,直接删除代码,进入步骤S205;
步骤S204.2,利用木马病毒库提供的策略,对木马病毒代码进行清除,成功清除则进入步骤S205;
步骤S204.3,查询用户设置测处理方式,如果是方式2,则删除代码,进入步骤S205;
步骤S204.4,弹出对话框,告知用户有木马病毒无法清除,询问用户是否删除代码;用户选择删除则删除代码,进入步骤S205,用户选择不删除弹出对话框进行二次警告,提示木马病毒的危害,坚持选择不删除则不对代码进行操作,选择删除则删除代码,进入步骤S205;
步骤S205,对没有删除的代码恢复执行,结束内核层决策模块,调用内核层程序监视模块,继续监视内容的启动。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。
Claims (5)
1.一种基于内核层的拦截木马病毒系统,其特征在于,包括策略更新模块、内核层程序监视模块、内核层决策模块,还包括木马病毒库;
所述策略更新模块于每次拦截木马病毒系统加载时,通过TDI创建TCP网络通信,连接固定IP的服务器并比较服务器中木马病毒库与本地木马病毒库日期,如果本地木马病毒库日期较旧,则下载并更新本地木马病毒库;
所述内核层程序监视模块通过注册LoadImage回调接口,所述回调接口监视加载项,所有准备运行的内容都拦截,由内核层程序监视模块将待运行内容放置在内存隔离区内,由内核层决策模块根据木马病毒库提供的策略进行扫描,没有木马病毒则删除隔离区内容,恢复原代码运行,如果检测出有木马病毒,则根据用户设置的处理方式,进行处理。
2.根据权利要求1所述的一种基于内核层的拦截木马病毒系统,其特征在于:所述用户设置是包括以下处理方式:
方式1,直接删除代码;
方式2,按照木马病毒库提供的策略,对木马病毒代码进行清除并执行清除后的代码,清除失败则删除;
方式3,按照木马病毒库提供的策略,对木马病毒代码进行清除并执行。清除失败则弹出对话框,询问计算机使用者是否删除。
3.根据权利要求1所述的一种基于内核层的拦截木马病毒系统,其特征在于:所述准备运行的内容,包括扩展名为EXE与DLL的文件。
4.一种基于权利要求1~3所述的一种基于内核层的拦截木马病毒系统的方法,其特征在于,包括以下步骤:
步骤0,由用户设置处理方式,如果未选择则选择方式2;
步骤1,加载拦截木马病毒系统;
步骤2,由策略更新模块通过TDI创建TCP网络通信,连接服务器更新木马病毒库;
步骤3,由内核层程序监视模块注册LoadImage回调接口,由回调接口监视所有待运行内容,包括扩展名为exe与dll的文件,中断所有待运行的内容并存储至内存隔离区,调用内核层决策模块;
步骤4,内核层决策模块根据木马病毒库提供的扫描策略,对内存隔离区内内容进行扫描,扫描发现木马病毒进入步骤4.1,未发现木马病毒进入步骤5;
步骤4.1,查询用户设置的处理方式,如果是方式1,直接删除代码,进入步骤5;
步骤4.2,利用木马病毒库提供的策略,对木马病毒代码进行清除,成功清除则进入步骤5;
步骤4.3,查询用户设置测处理方式,如果是方式2,则删除代码,进入步骤5;
步骤4.4,弹出对话框,告知用户有木马病毒无法清除,询问用户是否删除代码;用户选择删除则删除代码,进入步骤5,用户选择不删除则不对代码进行操作;
步骤5,对没有删除的代码恢复执行,结束内核层决策模块,调用内核层程序监视模块。
5.根据权利要求4所述的一种基于内核层的拦截木马病毒系统的方法,其特征在于,步骤4.4中用户选择不删除后,弹出对话框进行二次警告,提示木马病毒的危害。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810992025.2A CN109214186A (zh) | 2018-08-29 | 2018-08-29 | 一种基于内核层的拦截木马病毒系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810992025.2A CN109214186A (zh) | 2018-08-29 | 2018-08-29 | 一种基于内核层的拦截木马病毒系统及方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN109214186A true CN109214186A (zh) | 2019-01-15 |
Family
ID=64986728
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810992025.2A Pending CN109214186A (zh) | 2018-08-29 | 2018-08-29 | 一种基于内核层的拦截木马病毒系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109214186A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110851831A (zh) * | 2019-11-12 | 2020-02-28 | 腾讯科技(深圳)有限公司 | 病毒处理方法、装置、计算机设备及计算机可读存储介质 |
CN111967004A (zh) * | 2020-07-31 | 2020-11-20 | 深圳比特微电子科技有限公司 | 数字货币矿机的病毒扫描方法、装置和数字货币矿机 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102867146A (zh) * | 2012-09-18 | 2013-01-09 | 珠海市君天电子科技有限公司 | 一种防止计算机病毒反复感染系统的方法及系统 |
CN106203108A (zh) * | 2016-06-29 | 2016-12-07 | 北京市国路安信息技术股份有限公司 | 基于内核模块的Linux白名单系统保护方法和装置 |
CN107679399A (zh) * | 2017-10-19 | 2018-02-09 | 郑州云海信息技术有限公司 | 一种基于容器的恶意代码检测沙盒系统及检测方法 |
-
2018
- 2018-08-29 CN CN201810992025.2A patent/CN109214186A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102867146A (zh) * | 2012-09-18 | 2013-01-09 | 珠海市君天电子科技有限公司 | 一种防止计算机病毒反复感染系统的方法及系统 |
CN106203108A (zh) * | 2016-06-29 | 2016-12-07 | 北京市国路安信息技术股份有限公司 | 基于内核模块的Linux白名单系统保护方法和装置 |
CN107679399A (zh) * | 2017-10-19 | 2018-02-09 | 郑州云海信息技术有限公司 | 一种基于容器的恶意代码检测沙盒系统及检测方法 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110851831A (zh) * | 2019-11-12 | 2020-02-28 | 腾讯科技(深圳)有限公司 | 病毒处理方法、装置、计算机设备及计算机可读存储介质 |
CN110851831B (zh) * | 2019-11-12 | 2023-04-28 | 腾讯科技(深圳)有限公司 | 病毒处理方法、装置、计算机设备及计算机可读存储介质 |
CN111967004A (zh) * | 2020-07-31 | 2020-11-20 | 深圳比特微电子科技有限公司 | 数字货币矿机的病毒扫描方法、装置和数字货币矿机 |
CN111967004B (zh) * | 2020-07-31 | 2021-06-04 | 深圳比特微电子科技有限公司 | 数字货币矿机的病毒扫描方法、装置和数字货币矿机 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102662667B (zh) | 一种软件卸载方法及装置 | |
US9015829B2 (en) | Preventing and responding to disabling of malware protection software | |
US9117079B1 (en) | Multiple application versions in a single virtual machine | |
US8397297B2 (en) | Method and apparatus for removing harmful software | |
US7673341B2 (en) | System and method of efficiently identifying and removing active malware from a computer | |
CN108830084B (zh) | 实现漏洞扫描与防护加固的手持式终端及防护方法 | |
US10402563B2 (en) | Automated classification of exploits based on runtime environmental features | |
US20040237071A1 (en) | Method and system for intercepting an application program interface | |
US20130247198A1 (en) | Emulator updating system and method | |
US20070067843A1 (en) | Method and apparatus for removing harmful software | |
EP3502944B1 (en) | Detecting script-based malware cross reference to related applications | |
CN106778243B (zh) | 基于虚拟机的内核漏洞检测文件保护方法及装置 | |
CN102081722A (zh) | 一种保护指定应用程序的方法及装置 | |
CN106778244B (zh) | 基于虚拟机的内核漏洞检测进程保护方法及装置 | |
US20160371492A1 (en) | Method and system for searching and killing macro virus | |
CN105117649B (zh) | 一种用于虚拟机的防病毒方法与系统 | |
CN106778242B (zh) | 基于虚拟机的内核漏洞检测方法及装置 | |
CN109214186A (zh) | 一种基于内核层的拦截木马病毒系统及方法 | |
CN105320884A (zh) | 虚拟机的安全防护方法及系统 | |
CN106886422A (zh) | 软件升级方法及装置、电子设备 | |
CN101667236B (zh) | 一种控制驱动程序安装的方法和装置 | |
US7818807B1 (en) | System and method of logical prefetching for optimizing file scanning operations | |
US20060236108A1 (en) | Instant process termination tool to recover control of an information handling system | |
US9990493B2 (en) | Data processing system security device and security method | |
CN108038380B (zh) | 用于计算机安全的接种器和抗体 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190115 |