[发明专利]恶意软件检测方法

权利要求书

1.一种恶意软件检测方法，其特征在于：包括步骤：

设置敏感API接口库；

基于用户级代码设计监视器；

监视器加载目标程序，监视器监视目标程序执行时调用的API接口；

监视器对目标程序调用API接口进行监控，目标程序在调用敏感API接口库中记载的API接口时，监视器暂停目标程序，并将目标程序调用敏感API接口库中记载的API接口的情况由工程人员判断目标程序是否被允许调用该API接口，如果工程人员允许调用API接口，则目标程序继续运行，如果工程人员不允许调用API接口，则终止目标程序。

2.根据权利要求1所述的恶意软件检测方法，其特征在于：监视器加载目标程序时，目标程序被设置CREATE_SUSPENDED 标志。

3.根据权利要求1所述的恶意软件检测方法，其特征在于：目标程序执行时，需要调用ResumeThread()函数，监视器在目标程序调用ResumeThread()函数之前，监视器对目标程序注入监视代码。

4.根据权利要求1所述的恶意软件检测方法，其特征在于：目标程序具有多个进程，每个进程依次执行，监视器监视目标程序所有进程中对于API接口的调用情况。

5.根据权利要求4所述的恶意软件检测方法，其特征在于：监视器向目标程序注入监视代码，并且在目标程序需要依次执行新的进程时，监视器复制监视代码并将监视代码注入至目标程序新的进程内，直至目标程序的所有进程终止。

6.根据权利要求1所述的恶意软件检测方法，其特征在于：在设置敏感API接口库之前，还设置API接口白名单，监视器还能够在目标程序调用敏感API接口库中未记载且处于API白名单中的API接口时，在不经过工程人员判断的情况下，直接允许目标程序调用API接口。

7.根据权利要求1所述的恶意软件检测方法，其特征在于：监视器在进程创建和内存处理上使用标准的hook方法和进程链。

8.根据权利要求1所述的恶意软件检测方法，其特征在于：敏感API接口库至少包括系统时间函数、过程监督和控制/ALC函数、Windows ACL函数、注册表函数、进程通信函数和对LoadLibrary()和 LoadLibraryEx()控制的函数。

9.根据权利要求6所述的恶意软件检测方法，其特征在于：API白名单还包括设备驱动程序的访问和控制功能、处理内存访问和修改函数以及创建和控制新线程的功能。