[发明专利]一种检测无实体文件恶意代码的方法及系统

说明书

本发明公开了一种检测无实体文件恶意代码的方法及系统，包括：遍历系统内正在运行的进程和模块；获取所有进程和模块对应的路径和文件名并逐条形成记录；根据记录中的路径和文件名判断在系统磁盘下是否存在对应的文件，若存在则放弃相应记录，若不存在则阻止相关进程和模块的运行，并进行深度检测。本发明所述技术方案能够检测并阻止无实体文件类恶意代码。

技术领域

本发明涉及信息安全技术领域，尤其涉及一种检测无实体文件恶意代码的方法及系统。

背景技术

传统的恶意代码检测软件是遍历计算机磁盘中的所有文件，提取特征码进行对比，以及使用特征对内存进行匹配，这种方法无法有效检出未知的无实体文件类恶意代码。

已经有越来越多的APT（高级可持续性威胁）使用无实体文件的攻击方法，利用这种无实体文件的恶意代码在入侵主机系统后，将自身或衍生的恶意代码注入到系统内存中，并不在磁盘中产生或存在实体文件，传统终端安全产品对这种无实体文件的攻击检出较弱。无实体文件类恶意代码有可能将恶意代码写入注册表中，或恶意代码运行后删除本地文件，这都使得已有的恶意代码检测工具束手无策。

发明内容

针对上述技术问题，本发明基于进程和模块与文件的对应关系来判定是否存在无实体文件恶意代码，解决了传统基于特征码的检测方法无法有效识别无实体文件类恶意代码的问题。

本发明采用如下方法来实现：一种检测无实体文件恶意代码的方法，包括：

遍历系统内正在运行的进程和模块；

获取所有进程和模块对应的路径和文件名并逐条形成记录；

根据记录中的路径和文件名判断在系统磁盘下是否存在对应的文件，若存在则放弃相应记录，若不存在则阻止相关进程和模块的运行，并进行深度检测。

进一步地，所述获取所有进程和模块对应的路径和文件名并逐条形成记录，具体为：获取所有进程和模块对应的路径和文件名，并以列表的形式记录在内存中。

进一步地，所述根据记录中的路径和文件名判断在系统磁盘下是否存在对应的文件之前，还包括：将路径和文件名记录逐条与白名单匹配，放弃与白名单成功匹配的路径和文件名记录。

更进一步地，所述白名单，具体为根据系统文件的路径和文件名生成的白名单。

上述方法中，所述进行深度检测，具体为：分析并判断相关进程和模块是否存在恶意代码，若存在则提取特征添加到特征库，若不存在，则提取路径和文件名添加到白名单。

本发明可以采用如下系统来实现：一种检测无实体文件恶意代码的系统，包括：

进程和模块遍历模块，用于遍历系统内正在运行的进程和模块；

路径和文件名获取模块，用于获取所有进程和模块对应的路径和文件名并逐条形成记录；

恶意代码判定模块，用于根据记录中的路径和文件名判断在系统磁盘下是否存在对应的文件，若存在则放弃相应记录，若不存在则阻止相关进程和模块的运行，并进行深度检测。

进一步地，所述路径和文件名获取模块，具体用于：获取所有进程和模块对应的路径和文件名，并以列表的形式记录在内存中。

进一步地，还包括：白名单匹配模块，用于将路径和文件名记录逐条与白名单匹配，放弃与白名单成功匹配的路径和文件名记录。

更进一步地，所述白名单，具体为根据系统文件的路径和文件名生成的白名单。

上述系统中，所述进行深度检测，具体为：分析并判断相关进程和模块是否存在恶意代码，若存在则提取特征添加到特征库，若不存在，则提取路径和文件名添加到白名单。