| 发明名称 |
一种恶意代码发现和预防方法 |
| 摘要 |
本发明公开了一种恶意代码发现和预防方法,该方法主要包括获取系统句柄信息步骤,获取系统内核对象信息步骤,内核对象过滤步骤,匹配处理步骤,创建内核对象步骤。本发明克服了恶意代码静态检测中启发式检测的不准确性问题;增加了恶意代码静态检测中恶意代码免杀者定位修改特征码的难度,使其免杀普通特征码的样本难以躲过本发明提出的检测方法;克服了动态监测中虚拟机检测执行指令数的限制;本发明克服了恶意代码预防方法中主动防御占用过多系统资源的问题。 |
| 申请公布号 |
CN102542196A |
申请公布日期 |
2012.07.04 |
| 申请号 |
CN201110375297.6 |
申请日期 |
2011.11.23 |
| 申请人 |
北京安天电子设备有限公司 |
发明人 |
李伟;李柏松;肖新光 |
| 分类号 |
G06F21/00(2006.01)I |
主分类号 |
G06F21/00(2006.01)I |
| 代理机构 |
|
代理人 |
|
| 主权项 |
一种恶意代码发现和预防方法,其特征在于,包括步骤:获取当前系统环境中所有内核对象(object)的信息;所述内核对象是代表系统资源的数据结构;过滤所述内核对象的类型,获取指定类型的内核对象作为待检测内核对象;将待检测内核对象的名称与特征库中预先获取的恶意代码创建的内核对象的名称进行特征匹配,如果匹配成功则判断待检测内核对象为感染恶意代码的内核对象;分别创建用于阻塞等待,与所述感染恶意代码的内核对象名称相同的内核对象;获取所述感染恶意代码的内核对象的进程PID,根据所述进程PID获取进程名;如果能够成功获取进程名,并且成功获取的进程为白名单进程,则重新启动所述成功获取的进程;所述白名单进程是指系统进程或第三方软件的进程;否则,终止所述感染恶意代码的内核对象的进程。 |
| 地址 |
100084 北京市海淀区农大南路1号硅谷亮城2B-521 |
