发明名称 |
一种非可执行文件挂马检测方法及其装置 |
摘要 |
本发明公开了一种非可执行文件挂马检测方法及其装置,它利用非可执行文件的挂马特性,通过操作系统用户层的检测程序确定要监视的进程,并用操作系统内核层的监控模块监控进程的创建文件操作,以判断文件扩展名是否为该系统下的可执行文件扩展名,以及判断写入文件的格式是否含有该系统下的可执行文件的格式特征,从而以此来判断程序是否释放出可执行文件,即非可执行文件是否挂马。本发明不仅可以有效保证非可执行文件挂马检测的可靠性,还适于处理批量非可执行文件,以及适于多种操作系统使用。 |
申请公布号 |
CN101826139A |
申请公布日期 |
2010.09.08 |
申请号 |
CN200910113120.1 |
申请日期 |
2009.12.30 |
申请人 |
厦门市美亚柏科信息股份有限公司 |
发明人 |
吴鸿伟;张永光;张婷 |
分类号 |
G06F21/00(2006.01)I;G06F21/22(2006.01)I |
主分类号 |
G06F21/00(2006.01)I |
代理机构 |
厦门市首创君合专利事务所有限公司 35204 |
代理人 |
连耀忠 |
主权项 |
一种非可执行文件挂马检测方法,其特征在于:包括如下步骤:由设置在操作系统用户层的检测程序确定要检测的非可执行文档,并打开该非可执行文档的进程信息;由设置在操作系统内核层的监控模块监视打开该非可执行文档的进程通信;操作系统内核层的监控模块拦截监控进程的创建文件操作,判断该非可执行文档的创建文件扩展名是否可疑,如果是则通知操作系统用户层的检测程序挂起进程、警告用户、记录可疑行为并禁止执行,如果不是则继续监控;操作系统内核层的监控模块拦截监控进程的创建文件的写文件操作,判断该非可执行文档的创建文件的写入文件的格式是否可疑,如果是则通知操作系统用户层的检测程序挂起进程、警告用户、记录可疑行为并禁止执行,如果不是则继续监控。 |
地址 |
361000 福建省厦门市软件园二期观日路12号美亚柏科大厦 |