[发明专利]一种检测异常线程的方法及系统

说明书

技术领域

本发明涉及计算机安全领域，特别涉及一种检测异常线程的方法及系统。

背景技术

随着科学技术的发展，计算机已经成为人们生活中必不可少的日常用品。无论是工作、学习还是娱乐，计算机都给人们提供了很多的便利。

计算机的核心是操作系统。作为使用计算机的平台，大部分操作都需要通过操作系统来完成。因此，一旦操作系统出现问题，将会严重影响计算机的正常使用。

计算机病毒是指，编制者在计算机程序中插入的、破坏计算机功能或者破坏数据、影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。自从出现以来，计算机病毒便成为了计算机系统及信息安全的最大威胁。有些计算机病毒仅仅是占用系统部分内存，危害性较小，但有些计算机病毒却可以破坏计算机内的数据或清除计算机内的重要信息，甚至瘫痪操作系统，危害性极大。

2010年至2013年中，一种名为TDSS的Rootkit病毒在全球大肆流行。Rootkit是一种特殊的恶意软件，它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息，Rootkit一般都和木马、后门等其他恶意程序结合使用。Rootkit通过加载特殊的驱动，修改系统内核，进而达到隐藏信息的目的。TDSS病毒具有Rootkit的特性，能破坏系统内核，并且很难被普通安全软件检测发现，即使被发现也很难清除，就算将被病毒破坏的系统内核修复，仍然会被重复感染。

发明内容

为了解决上述问题，本发明提供了一种检测异常线程的方法及系统，以对TDSS病毒进行检测，增强计算机的安全性，技术方案如下：

一种检测异常线程的方法，包括：

获取系统当前的内核工作线程；其中，所述内核工作线程为操作系统中最低层的线程实现，用于执行高优先级操作；

对所述内核工作线程进行栈回溯，获得所述内核工作线程的执行逻辑首地址；

获得所述首地址对应的内核工作线程的模块路径；

对所得到的模块路径进行分析，如果所述模块路径为空，或为无效路径，则确定所述模块路径对应的内核工作线程为异常线程。

该方法进一步包括：如果所述模块路径不为空或无效路径，则将所述模块路径和预设异常库中的模块路径进行比较，如果所述模块路径与所述异常库中任意模块路径相同，则确定所述模块路径对应的内核工作线程为异常线程。

该方法进一步包括：在所述确定所述模块路径对应的内核工作线程为异常线程之后，对所述异常线程执行挂起操作或结束该线程。

该方法进一步包括：在所述对所述异常线程执行挂起操作或结束该线程之后，对所述系统的内核进行检测，如果检测结果表明所述系统的内核被破坏，则对所述系统的内核进行修复。

所述获取系统当前的内核工作线程，具体包括：

通过系统提供的导出函数获得工作队列数组的起始地址；其中，系统当前的内核工作线程按照优先级划分到三种类型的工作队列中，不同类型的工作队列中包含不同优先级的内核工作线程，所述工作队列数组包含所述三种类型的工作队列的枚举值；

根据所述起始地址，分别定位所述三种类型的工作队列的首地址；

针对每种类型的工作队列，通过该类型工作队列的首地址，获取该类型工作队列中的内核工作线程。

所述对所述内核工作线程进行栈回溯，获得所述内核工作线程的执行逻辑首地址，具体包括：

遍历所述内核工作线程，得到所述内核工作线程的栈基址；

从栈基址开始，对所述内核工作线程进行栈回溯，获得所述内核工作线程的执行逻辑首地址。

本发明还提供了一种检测异常线程的系统，包括：

线程获取单元、栈回溯单元、模块路径获取单元和异常线程确定单元；其中，

所述线程获取单元用于获取系统当前的内核工作线程；其中，所述内核工作线程为操作系统中最低层的线程实现，用于执行高优先级操作；

所述栈回溯单元用于对所述内核工作线程进行栈回溯，获得所述内核工作线程的执行逻辑首地址；

所述模块路径获取单元用于获得所述首地址对应的内核工作线程的模块路径；

所述异常线程确定单元用于对所得到的模块路径进行分析，如果所述模块路径为空，或为无效路径，则确定所述模块路径对应的内核工作线程为异常线程。

所述异常线程确定单元进一步用于：如果所述模块路径不为空或无效路径，则将所述模块路径和预设异常库中的模块路径进行比较，如果所述模块路径与所述异常库中任意模块路径相同，则确定所述模块路径对应的内核工作线程为异常线程。