[发明专利]一种离线恶意程序及行为监测方法、装置、介质及设备

权利要求书

1.一种离线恶意程序及行为监测方法，其特征在于，包括以下步骤：

S10、读取主引导扇区，进入检测程序；

S20、所述检测程序扫描硬盘，并根据恶意程序信息匹配识别出恶意程序，对所述恶意程序进行隔离；

S30、执行所述主引导扇区中位于所述检测程序之后的主引导程序，以进入系统；

S40、所述系统加载内核，所述内核包括内核监控模块，所述内核监控模块对所述系统中的行为进行监控，识别并管控其中的恶意行为；

所述检测程序为预先被写入所述主引导扇区的主引导程序之前；

通过安装模块对原始主引导扇区的内容进行修改，以使得所述检测程序被插入到所述原始主引导扇区前446字节内容的最靠前的部分；

所述恶意行为包括破坏数据、篡改系统文件、远程控制、修改注册表、控制鼠标键盘、浏览器劫持中的一种或多种的组合。

2.根据权利要求1所述的离线恶意程序及行为监测方法，其特征在于：

所述内核监控模块为预先被安装到所述内核；

还包括预先被安装部署的综合安全管理服务器，所述综合安全管理服务器与所述系统通信连接，所述综合安全管理服务器向所述系统下发管控策略信息。

3.根据权利要求2所述的离线恶意程序及行为监测方法，其特征在于：步骤S20中所述检测程序包括

接收所述管控策略信息，所述管控策略信息包括所述恶意程序信息；

对所述硬盘进行扫描并通过所述恶意程序信息进行匹配识别；

将与所述恶意程序信息相匹配的程序隔离。

4.根据权利要求3所述的离线恶意程序及行为监测方法，其特征在于：所述管控策略信息还包括外接设备管控策略；

所述检测程序还包括

对所述系统的外接设备进行扫描；

根据所述外接设备管控策略禁止目标外接设备的加载；

保存扫描日志，在进入所述系统后通过所述系统将所述扫描日志上传至所述综合安全管理服务器。

5.根据权利要求2所述的离线恶意程序及行为监测方法，其特征在于：步骤S40所述内核监控模块包括

接收所述管控策略信息，所述管控策略信息包括行为黑名单；

捕获行为消息并获取其控制权；

根据所述行为黑名单和所述行为消息匹配判定所述行为是否为所述恶意行为，若是则禁止所述恶意行为的执行；

记录运行日志并上传至所述综合安全管理服务器。

6.根据权利要求5所述的离线恶意程序及行为监测方法，其特征在于：所述管控策略信息还包括程序白名单，所述行为黑名单还包括运行不属于所述程序白名单中的程序。

7.一种离线恶意程序及行为监测装置，其特征在于，包括：

读取单元，用于读取主引导扇区，进入检测程序；

检测单元，通过所述检测程序扫描硬盘，并根据恶意程序信息匹配识别出恶意程序，对所述恶意程序进行隔离；

启动单元，执行所述主引导扇区中位于所述检测程序之后的主引导程序，以进入系统；

监控单元，通过所述系统加载内核，所述内核包括内核监控模块，所述内核监控模块对所述系统中的行为进行监控，识别并管控其中的恶意行为；

所述检测程序为预先被写入所述主引导扇区的主引导程序之前；

通过安装模块对原始主引导扇区的内容进行修改，以使得所述检测程序被插入到所述原始主引导扇区前446字节内容的最靠前的部分；

所述恶意行为包括破坏数据、篡改系统文件、远程控制、修改注册表、控制鼠标键盘、浏览器劫持中的一种或多种的组合。

8.一种电子设备，其特征在于，包括存储器和处理器，所述存储器存储有计算机程序，所述计算机程序被所述处理器执行时实现如权利要求1-6任一项所述的离线恶意程序及行为监测方法。

9.一种计算机可读存储介质，其特征在于，其上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1-6任一项所述的离线恶意程序及行为监测方法。