[发明专利]一种Windows隐蔽性恶意软件检测方法

权利要求书

1.一种Windows隐蔽性恶意软件检测方法，其步骤包括：

(1)调试Windows内核系统，获得所有内核对象的数据结构；

(2)确定内核对象在系统内存区的存储区域；

(3)创建每一类内核对象头的标志；

(4)搜索步骤(2)中的内存区域，得到与内核对象头标志匹配内核对象的起始地址；

(5)记录内核对象的起始地址，并根据所述步骤(1)获得的内核对象结构，读出其中内核对象体数据信息；

(6)调用Windows API，获取系统的内核对象数据信息；

(7)比较所述步骤(5)和所述步骤(6)得到的信息，如果存在步骤(6)中没有的数据，判定该WINDOWS系统包含隐蔽性恶意软件。

2.如权利要求1所述的Windows隐蔽性恶意软件检测方法，其特征在于所述步骤(1)调试Windows不同版本下的内核系统，获得所述所有内核对象的数据结构。

3.如权利要求1所述的Windows隐蔽性恶意软件检测方法，其特征在于所述步骤(1)中Windows系统通过内核调试工具Windbg软件结合Windows的内核符号表，利用结构查看命令获得内核对象的数据结构。

4.如权利要求2或3所述的Windows隐蔽性恶意软件检测方法，其特征在于所述内核对象数据结构包括对象头、对象体及对象体内数据成员的偏移信息。

5.如权利要求1所述的Windows隐蔽性恶意软件检测方法，其特征在于所述步骤(2)在系统内存不变的内存地址0ffdff034h位置查询Window调试数据结构PKDDEBUGGER_DATA64，从其数据结构中得到系统未导出变量，即为内核对象存储区域的起始地址。

6.如权利要求1所述的Windows隐蔽性恶意软件检测方法，其特征在于所述步骤(3)每一类内核对象头都位于系统内核对象类型管理目录下。

7.如权利要求1所述的Windows隐蔽性恶意软件检测方法，其特征在于所述步骤(3)用内核对象打开操作函数和内核对象引用操作函数方法建立某一类内核对象头标志。

8.如权利要求1所述的Windows隐蔽性恶意软件检测方法，其特征在于所述步骤(4)搜索时按照4字节对齐方式进行处理，从内核对象的存储起始地址起每次搜索递增4个字节。

9.如权利要求1所述的Windows隐蔽性恶意软件检测方法，其特征在于所述步骤(5)通过定义内核对象的起始位置i、内核对象的数据成员的类型type、内核对象内数据的偏移offset，将i类型转换为(type)(i+offset)读出对象体中的数据信息。

10.如权利要求1所述的Windows隐蔽性恶意软件检测方法，其特征在于所述步骤(6)调用Windows进程枚举库函数查看进程列表信息，调用Windows驱动枚举库函数查看驱动列表信息。