[发明专利]一种基于内核层的拦截木马病毒系统及方法在审
| 申请号: | 201810992025.2 | 申请日: | 2018-08-29 |
| 公开(公告)号: | CN109214186A | 公开(公告)日: | 2019-01-15 |
| 发明(设计)人: | 朱代林 | 申请(专利权)人: | 厦门快快网络科技有限公司 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56;G06F8/65 |
| 代理公司: | 合肥中谷知识产权代理事务所(普通合伙) 34146 | 代理人: | 洪玲 |
| 地址: | 361000 福建省厦门市*** | 国省代码: | 福建;35 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 木马病毒 内核层 内核层程序 监视模块 策略更新 决策模块 拦截 扫描 木马病毒扫描 服务器同步 处理方式 回调接口 扫描策略 用户设置 运行内容 自动更新 时效性 应用层 挂起 加载 下载 监视 终结 隔离 检测 更新 失败 通信 创建 | ||
1.一种基于内核层的拦截木马病毒系统,其特征在于,包括策略更新模块、内核层程序监视模块、内核层决策模块,还包括木马病毒库;
所述策略更新模块于每次拦截木马病毒系统加载时,通过TDI创建TCP网络通信,连接固定IP的服务器并比较服务器中木马病毒库与本地木马病毒库日期,如果本地木马病毒库日期较旧,则下载并更新本地木马病毒库;
所述内核层程序监视模块通过注册LoadImage回调接口,所述回调接口监视加载项,所有准备运行的内容都拦截,由内核层程序监视模块将待运行内容放置在内存隔离区内,由内核层决策模块根据木马病毒库提供的策略进行扫描,没有木马病毒则删除隔离区内容,恢复原代码运行,如果检测出有木马病毒,则根据用户设置的处理方式,进行处理。
2.根据权利要求1所述的一种基于内核层的拦截木马病毒系统,其特征在于:所述用户设置是包括以下处理方式:
方式1,直接删除代码;
方式2,按照木马病毒库提供的策略,对木马病毒代码进行清除并执行清除后的代码,清除失败则删除;
方式3,按照木马病毒库提供的策略,对木马病毒代码进行清除并执行。清除失败则弹出对话框,询问计算机使用者是否删除。
3.根据权利要求1所述的一种基于内核层的拦截木马病毒系统,其特征在于:所述准备运行的内容,包括扩展名为EXE与DLL的文件。
4.一种基于权利要求1~3所述的一种基于内核层的拦截木马病毒系统的方法,其特征在于,包括以下步骤:
步骤0,由用户设置处理方式,如果未选择则选择方式2;
步骤1,加载拦截木马病毒系统;
步骤2,由策略更新模块通过TDI创建TCP网络通信,连接服务器更新木马病毒库;
步骤3,由内核层程序监视模块注册LoadImage回调接口,由回调接口监视所有待运行内容,包括扩展名为exe与dll的文件,中断所有待运行的内容并存储至内存隔离区,调用内核层决策模块;
步骤4,内核层决策模块根据木马病毒库提供的扫描策略,对内存隔离区内内容进行扫描,扫描发现木马病毒进入步骤4.1,未发现木马病毒进入步骤5;
步骤4.1,查询用户设置的处理方式,如果是方式1,直接删除代码,进入步骤5;
步骤4.2,利用木马病毒库提供的策略,对木马病毒代码进行清除,成功清除则进入步骤5;
步骤4.3,查询用户设置测处理方式,如果是方式2,则删除代码,进入步骤5;
步骤4.4,弹出对话框,告知用户有木马病毒无法清除,询问用户是否删除代码;用户选择删除则删除代码,进入步骤5,用户选择不删除则不对代码进行操作;
步骤5,对没有删除的代码恢复执行,结束内核层决策模块,调用内核层程序监视模块。
5.根据权利要求4所述的一种基于内核层的拦截木马病毒系统的方法,其特征在于,步骤4.4中用户选择不删除后,弹出对话框进行二次警告,提示木马病毒的危害。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于厦门快快网络科技有限公司,未经厦门快快网络科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201810992025.2/1.html,转载请声明来源钻瓜专利网。
