[发明专利]恶意代码检测方法及系统

权利要求书

1.一种恶意代码检测方法，其特征在于，包括：

获得难以被恶意代码修改的第一系统信息，以及容易被恶意代码修改的第二系统信息；

所述系统信息包括进程信息、端口信息、文件信息、注册表信息、系统服务信息、服务提供商接口信息中一种或多种的组合；

所述获得难以被恶意代码修改的第一系统信息，以及容易被恶意代码修改的第二系统信息包括：

当所述系统信息类别为进程信息时，读取驱动程序中系统内核态的全局句柄表，并判断该全局句柄表中的进程句柄是否为有效句柄，若是，则将该进程句柄对应的第一进程信息作为所述第一系统信息；调用系统用户态应用程序接口的进程跟踪指令，将该指令响应的第二进程信息作为所述第二系统信息；

当所述系统信息类别为端口信息时，创建并调用驱动程序中系统内核态的传输控制协议设备端口情况查询指令，将该指令响应的第一传输控制协议设备端口情况信息作为所述第一系统信息；调用系统用户态应用程序接口的传输控制协议设备端口情况枚举指令，将该指令响应的第二传输控制协议设备端口情况信息作为所述第二系统信息；

当所述系统信息类别为文件信息时，创建并调用驱动程序中系统内核态的指定路径文件信息的查询指令，将该指令响应的第一文件信息作为所述第一系统信息；调用系统用户态应用程序接口的指定路径文件信息的查询指令，将该指令响应的第二文件信息作为所述第二系统信息；

当所述系统信息类别为注册表信息时，调用系统内核态的注册表信息权限赋予指令，将根据所赋予权限获取的指定路径下的第一注册表键值信息作为所述第一系统信息；调用系统用户态应用程序接口的注册表操作指令，将该指令响应的第二注册表键值信息作为所述第二系统信息；

当所述系统信息类别为系统服务信息时，

调用系统内核态的注册表信息权限赋予指令，将根据所赋予权限获取的第一系统服务信息作为所述第一系统信息；调用系统用户态应用程序接口的对系统服务信息进行获取的注册表操作指令，将该指令响应的第二系统服务信息作为所述第二系统信息；或者，

当所述系统信息类别为服务提供商接口信息时，调用系统内核态的注册表信息权限赋予指令，将根据所赋予权限获取的第二服务提供商接口信息作为所述第一系统信息；调用系统用户态应用程序接口的对服务提供商接口信息进行获取的注册表操作指令，将该指令响应的第二服务提供商接口信息作为所述第二系统信息；

通过识别所述第一系统信息与第二系统信息的差异，检测出所述恶意代码。

2.如权利要求1所述的恶意代码检测方法，其特征在于，该方法还包括：

获得系统服务描述符表信息、全局描述符表信息或中断描述符表信息，作为恶意代码检测时提供给用户的参考信息。

3.如权利要求1所述的恶意代码检测方法，其特征在于，该方法还包括：

阻断所述恶意代码的执行和/或记录相关信息。