[发明专利]恶意软件检测方法

说明书

本发明公开了一种恶意软件检测方法，其属于软件技术领域。一种恶意软件检测方法，包括步骤：基于用户级代码设计监视器；设置敏感API接口库；加载目标程序，监视器监视目标程序调用API接口；目标程序在调用敏感API接口库中记载的API接口时，监视器暂停目标程序，并将目标程序调用敏感API接口库中记载的API接口的情况由工程人员判断目标程序是否被允许调用该API接口，如果工程人员允许调用API接口则目标程序继续运行，如果工程人员不允许调用API接口则终止目标程序。本发明提供了一种基于用户级代码设置了监视器，避免了在内核级代码进行设计所带来的操作系统运行不稳定、监视器设计复杂的情况。

技术领域

本发明涉及软件检测技术领域，具体而言，涉及一种恶意软件检测方法。

背景技术

到目前为止，关于恶意软件的检测方式，几乎所有提出的方法都集中在用户级和内核级的混合代码上。内核级代码，使用内核级代码进行完全的操作系统控制，而用户级代码用于导入地址表（IAT）过滤。但是在内核级的代码上设置恶意软件的检测系统，容易导致操作系统在执行过程中崩溃，对于操作系统的友好性很差。

发明内容

本发明的内容部分用于以简要的形式介绍构思，这些构思将在后面的具体实施方式部分被详细描述。本发明的内容部分并不旨在标识要求保护的技术方案的关键特征或必要特征，也不旨在用于限制所要求的保护的技术方案的范围。

为了解决以上背景技术部分提到的技术问题，本发明的一些实施例提供了一种恶意软件检测方法，包括步骤：

设置敏感API接口库；

基于用户级代码设计监视器；

监视器加载目标程序，监视器监视目标程序执行时调用的API接口；

监视器对目标程序调用API接口进行监控，目标程序在调用敏感API接口库中记载的API接口时，监视器暂停目标程序，并将目标程序调用敏感API接口库中记载的API接口的情况由工程人员判断目标程序是否被允许调用该API接口，如果工程人员允许调用API接口，则目标程序继续运行，如果工程人员不允许调用API接口，则终止目标程序。

进一步的，监视器加载目标程序时，目标程序被设置CREATE_SUSPENDED 标志。

进一步的，目标程序执行时，需要调用ResumeThread()函数，监视器在目标程序调用ResumeThread()函数之前，监视器对目标程序注入监视代码。

进一步的，目标程序具有多个进程，每个进程依次执行，监视器监视目标程序所有进程中对于API接口的调用情况。

进一步的，监视器向目标程序注入监视代码，并且在目标程序需要依次执行新的进程时，监视器复制监视代码并将监视代码注入至目标程序新的进程内，直至目标程序的所有进程终止。

进一步的，在设置敏感API接口库之前，还设置了API接口白名单，监视器还能够在目标程序调用敏感API接口库中未记载且处于API白名单中的API接口时，在不经过工程人员判断的情况下，直接允许目标程序调用API接口。

进一步的，监视器在进程创建和内存处理上使用标准的hook方法和进程链。

进一步的，敏感API接口库至少包括系统时间函数、过程监督和控制/ALC函数、Windows ACL函数、注册表函数、进程通信函数和对LoadLibrary()和 LoadLibraryEx()控制的函数。

进一步的，API白名单还包括设备驱动程序的访问和控制功能、处理内存访问和修改函数以及创建和控制新线程的功能。