[发明专利]恶意代码检测方法及系统

说明书

技术领域

本发明涉及计算机领域，尤其涉及一种恶意代码检测方法及系统。

背景技术

随着互联网的普及，威胁信息安全的事件的发生越来越频繁，其中，恶意代码造成的危害最为严重，不仅使企业和用户蒙受巨大经济损失，更使国家信息安全面临严重威胁。

现有技术提供了一种基于特征码扫描的恶意代码检测技术，它是目前商用恶意代码检测所使用的主要方法，其原理是打开被检测文件/内存，扫描其中是否包含有特征数据库中的恶意代码特征串，如果含有，则判断文件/内存含有恶意代码。随着越来越多的恶意代码使用了变形技术，即使对已知的恶意代码，仅通过扫描文件/内存，现有技术的基于特征码扫描的恶意代码检测技术对于不存在于特征数据库中的未知的恶意代码无法检测。

发明内容

本发明实施例提供了一种恶意代码检测方法，能根据难以被恶意代码修改的第一系统信息与容易被所述恶意代码修改的第二系统信息之间的差异，检测出恶意代码，对未知的恶意代码进行检测。

本发明实施例提出的一种恶意代码检测方法，包括：

获得系统信息类别下难以被恶意代码修改的第一系统信息，以及所述系统信息类别下容易被所述恶意代码修改的第二系统信息；

所述系统信息包括进程信息、端口信息、文件信息、注册表信息、系统服务信息、服务提供商接口信息中一种或多种的组合；

所述获得难以被恶意代码修改的第一系统信息，以及容易被恶意代码修改的第二系统信息包括：

当所述系统信息类别为进程信息时，读取驱动程序中系统内核态的全局句柄表，并判断该全局句柄表中的进程句柄是否为有效句柄，若是，则将该进程句柄对应的第一进程信息作为所述第一系统信息；调用系统用户态应用程序接口的进程跟踪指令，将该指令响应的第二进程信息作为所述第二系统信息；

当所述系统信息类别为端口信息时，创建并调用驱动程序中系统内核态的传输控制协议设备端口情况查询指令，将该指令响应的第一传输控制协议设备端口情况信息作为所述第一系统信息；调用系统用户态应用程序接口的传输控制协议设备端口情况枚举指令，将该指令响应的第二传输控制协议设备端口情况信息作为所述第二系统信息；

当所述系统信息类别为文件信息时，创建并调用驱动程序中系统内核态的指定路径文件信息的查询指令，将该指令响应的第一文件信息作为所述第一系统信息；调用系统用户态应用程序接口的指定路径文件信息的查询指令，将该指令响应的第二文件信息作为所述第二系统信息；

当所述系统信息类别为注册表信息时，调用系统内核态的注册表信息权限赋予指令，将根据所赋予权限获取的指定路径下的第一注册表键值信息作为所述第一系统信息；调用系统用户态应用程序接口的注册表操作指令，将该指令响应的第二注册表键值信息作为所述第二系统信息；

当所述系统信息类别为系统服务信息时，

调用系统内核态的注册表信息权限赋予指令，将根据所赋予权限获取的第一系统服务信息作为所述第一系统信息；调用系统用户态应用程序接口的对系统服务信息进行获取的注册表操作指令，将该指令响应的第二系统服务信息作为所述第二系统信息；或者，

当所述系统信息类别为服务提供商接口信息时，调用系统内核态的注册表信息权限赋予指令，将根据所赋予权限获取的第二服务提供商接口信息作为所述第一系统信息；调用系统用户态应用程序接口的对服务提供商接口信息进行获取的注册表操作指令，将该指令响应的第二服务提供商接口信息作为所述第二系统信息；

通过识别所述第一系统信息与第二系统信息的差异，检测出所述恶意代码。

相应地，本发明实施例还提供了一种恶意代码检测系统，包括：

系统信息收集模块，获得系统信息类别下难以被恶意代码修改的第一系统信息，以及所述系统信息类别下容易被所述恶意代码修改的第二系统信息；

所述系统信息包括进程信息、端口信息、文件信息、注册表信息、系统服务信息、服务提供商接口信息中一种或多种的组合；

所述系统信息收集模块包括如下子模块中的一种或多种的组合：

进程信息收集子模块，当所述系统信息类别为进程信息时，读取驱动程序中系统内核态的全局句柄表，并判断该全局句柄表中的进程句柄是否为有效句柄，若是，则将该进程句柄对应的第一进程信息作为所述第一系统信息；调用系统用户态应用程序接口的进程跟踪指令，将该指令响应的第二进程信息作为所述第二系统信息；