[发明专利]一种检测无实体文件恶意代码的方法及系统

权利要求书

1.一种检测无实体文件恶意代码的方法，其特征在于，包括：

遍历系统内正在运行的进程和模块；

获取所有进程和模块对应的路径和文件名并逐条形成记录；

根据记录中的路径和文件名判断在系统磁盘下是否存在对应的文件，若存在则放弃相应记录，若不存在则阻止相关进程和模块的运行，并进行深度检测。

2.如权利要求1所述的方法，其特征在于，所述获取所有进程和模块对应的路径和文件名并逐条形成记录，具体为：获取所有进程和模块对应的路径和文件名，并以列表的形式记录在内存中。

3.如权利要求1所述的方法，其特征在于，所述根据记录中的路径和文件名判断在系统磁盘下是否存在对应的文件之前，还包括：将路径和文件名记录逐条与白名单匹配，放弃与白名单成功匹配的路径和文件名记录。

4.如权利要求3所述的方法，其特征在于，所述白名单，具体为根据系统文件的路径和文件名生成的白名单。

5.如权利要求1-4任一所述的方法，其特征在于，所述进行深度检测，具体为：分析并判断相关进程和模块是否存在恶意代码，若存在则提取特征添加到特征库，若不存在，则提取路径和文件名添加到白名单。

6.一种检测无实体文件恶意代码的系统，其特征在于，包括：

进程和模块遍历模块，用于遍历系统内正在运行的进程和模块；

路径和文件名获取模块，用于获取所有进程和模块对应的路径和文件名并逐条形成记录；

恶意代码判定模块，用于根据记录中的路径和文件名判断在系统磁盘下是否存在对应的文件，若存在则放弃相应记录，若不存在则阻止相关进程和模块的运行，并进行深度检测。

7.如权利要求6所述的系统，其特征在于，所述路径和文件名获取模块，具体用于：获取所有进程和模块对应的路径和文件名，并以列表的形式记录在内存中。

8.如权利要求6所述的系统，其特征在于，还包括：白名单匹配模块，用于将路径和文件名记录逐条与白名单匹配，放弃与白名单成功匹配的路径和文件名记录。

9.如权利要求8所述的系统，其特征在于，所述白名单，具体为根据系统文件的路径和文件名生成的白名单。

10.如权利要求6-9任一所述的系统，其特征在于，所述进行深度检测，具体为：分析并判断相关进程和模块是否存在恶意代码，若存在则提取特征添加到特征库，若不存在，则提取路径和文件名添加到白名单。