发明名称 |
恶意代码检测方法及系统 |
摘要 |
本发明实施例公开了一种恶意代码检测方法和系统,所述方法包括获得难以被恶意代码修改的第一系统信息,以及容易被所述恶意代码修改的第二系统信息,通过识别所述第一系统信息与第二系统信息的差异,检测出所述恶意代码。采用本发明实施例,可对未知的恶意代码进行检测,提高系统安全性,且简单易行。 |
申请公布号 |
CN101304409B |
申请公布日期 |
2011.04.13 |
申请号 |
CN200810029174.5 |
申请日期 |
2008.06.28 |
申请人 |
成都市华为赛门铁克科技有限公司 |
发明人 |
李毅超;顾凌志;杨玉奇;杜欢;白皓文;刘丹;曹跃;梁晓;徐胜;舒柏程;柴方明 |
分类号 |
H04L29/06(2006.01)I;G06F21/00(2006.01)I |
主分类号 |
H04L29/06(2006.01)I |
代理机构 |
广州三环专利代理有限公司 44202 |
代理人 |
郝传鑫;熊贤卿 |
主权项 |
一种恶意代码检测方法,其特征在于,包括:获得难以被恶意代码修改的第一系统信息,以及容易被恶意代码修改的第二系统信息;所述系统信息包括进程信息、端口信息、文件信息、注册表信息、系统服务信息、服务提供商接口信息中一种或多种的组合;所述获得难以被恶意代码修改的第一系统信息,以及容易被恶意代码修改的第二系统信息包括:当所述系统信息类别为进程信息时,读取驱动程序中系统内核态的全局句柄表,并判断该全局句柄表中的进程句柄是否为有效句柄,若是,则将该进程句柄对应的第一进程信息作为所述第一系统信息;调用系统用户态应用程序接口的进程跟踪指令,将该指令响应的第二进程信息作为所述第二系统信息;当所述系统信息类别为端口信息时,创建并调用驱动程序中系统内核态的传输控制协议设备端口情况查询指令,将该指令响应的第一传输控制协议设备端口情况信息作为所述第一系统信息;调用系统用户态应用程序接口的传输控制协议设备端口情况枚举指令,将该指令响应的第二传输控制协议设备端口情况信息作为所述第二系统信息;当所述系统信息类别为文件信息时,创建并调用驱动程序中系统内核态的指定路径文件信息的查询指令,将该指令响应的第一文件信息作为所述第一系统信息;调用系统用户态应用程序接口的指定路径文件信息的查询指令,将该指令响应的第二文件信息作为所述第二系统信息;当所述系统信息类别为注册表信息时,调用系统内核态的注册表信息权限赋予指令,将根据所赋予权限获取的指定路径下的第一注册表键值信息作为所述第一系统信息;调用系统用户态应用程序接口的注册表操作指令,将该指令响应的第二注册表键值信息作为所述第二系统信息;当所述系统信息类别为系统服务信息时,调用系统内核态的注册表信息权限赋予指令,将根据所赋予权限获取的第一系统服务信息作为所述第一系统信息;调用系统用户态应用程序接口的对系统服务信息进行获取的注册表操作指令,将该指令响应的第二系统服务信息作为所述第二系统信息;或者,当所述系统信息类别为服务提供商接口信息时,调用系统内核态的注册表信息权限赋予指令,将根据所赋予权限获取的第二服务提供商接口信息作为所述第一系统信息;调用系统用户态应用程序接口的对服务提供商接口信息进行获取的注册表操作指令,将该指令响应的第二服务提供商接口信息作为所述第二系统信息;通过识别所述第一系统信息与第二系统信息的差异,检测出所述恶意代码。 |
地址 |
611731 四川省成都市高新区西部园区清水河片区 |