技術領域

本發明涉及計算機領域，尤其涉及一種惡意代碼檢測方法及系統。

背景技術

隨著互聯網的普及，威脅信息安全的事件的發生越來越頻繁，其中，惡意代碼造成的危害最為嚴重，不僅使企業和用戶蒙受巨大經濟損失，更使國家信息安全面臨嚴重威脅。

現有技術提供了一種基于特征碼掃描的惡意代碼檢測技術，它是目前商用惡意代碼檢測所使用的主要方法，其原理是打開被檢測文件/內存，掃描其中是否包含有特征數據庫中的惡意代碼特征串，如果含有，則判斷文件/內存含有惡意代碼。隨著越來越多的惡意代碼使用了變形技術，即使對已知的惡意代碼，僅通過掃描文件/內存，現有技術的基于特征碼掃描的惡意代碼檢測技術對于不存在于特征數據庫中的未知的惡意代碼無法檢測。

發明內容

本發明實施例提供了一種惡意代碼檢測方法，能根據難以被惡意代碼修改的第一系統信息與容易被所述惡意代碼修改的第二系統信息之間的差異，檢測出惡意代碼，對未知的惡意代碼進行檢測。

本發明實施例提出的一種惡意代碼檢測方法，包括：

獲得系統信息類別下難以被惡意代碼修改的第一系統信息，以及所述系統信息類別下容易被所述惡意代碼修改的第二系統信息；

所述系統信息包括進程信息、端口信息、文件信息、注冊表信息、系統服務信息、服務提供商接口信息中一種或多種的組合；

所述獲得難以被惡意代碼修改的第一系統信息，以及容易被惡意代碼修改的第二系統信息包括：

當所述系統信息類別為進程信息時，讀取驅動程序中系統內核態的全局句柄表，并判斷該全局句柄表中的進程句柄是否為有效句柄，若是，則將該進程句柄對應的第一進程信息作為所述第一系統信息；調用系統用戶態應用程序接口的進程跟蹤指令，將該指令響應的第二進程信息作為所述第二系統信息；

當所述系統信息類別為端口信息時，創建并調用驅動程序中系統內核態的傳輸控制協議設備端口情況查詢指令，將該指令響應的第一傳輸控制協議設備端口情況信息作為所述第一系統信息；調用系統用戶態應用程序接口的傳輸控制協議設備端口情況枚舉指令，將該指令響應的第二傳輸控制協議設備端口情況信息作為所述第二系統信息；

當所述系統信息類別為文件信息時，創建并調用驅動程序中系統內核態的指定路徑文件信息的查詢指令，將該指令響應的第一文件信息作為所述第一系統信息；調用系統用戶態應用程序接口的指定路徑文件信息的查詢指令，將該指令響應的第二文件信息作為所述第二系統信息；

當所述系統信息類別為注冊表信息時，調用系統內核態的注冊表信息權限賦予指令，將根據所賦予權限獲取的指定路徑下的第一注冊表鍵值信息作為所述第一系統信息；調用系統用戶態應用程序接口的注冊表操作指令，將該指令響應的第二注冊表鍵值信息作為所述第二系統信息；

當所述系統信息類別為系統服務信息時，

調用系統內核態的注冊表信息權限賦予指令，將根據所賦予權限獲取的第一系統服務信息作為所述第一系統信息；調用系統用戶態應用程序接口的對系統服務信息進行獲取的注冊表操作指令，將該指令響應的第二系統服務信息作為所述第二系統信息；或者，

當所述系統信息類別為服務提供商接口信息時，調用系統內核態的注冊表信息權限賦予指令，將根據所賦予權限獲取的第二服務提供商接口信息作為所述第一系統信息；調用系統用戶態應用程序接口的對服務提供商接口信息進行獲取的注冊表操作指令，將該指令響應的第二服務提供商接口信息作為所述第二系統信息；

通過識別所述第一系統信息與第二系統信息的差異，檢測出所述惡意代碼。

相應地，本發明實施例還提供了一種惡意代碼檢測系統，包括：

系統信息收集模塊，獲得系統信息類別下難以被惡意代碼修改的第一系統信息，以及所述系統信息類別下容易被所述惡意代碼修改的第二系統信息；

所述系統信息包括進程信息、端口信息、文件信息、注冊表信息、系統服務信息、服務提供商接口信息中一種或多種的組合；

所述系統信息收集模塊包括如下子模塊中的一種或多種的組合：

進程信息收集子模塊，當所述系統信息類別為進程信息時，讀取驅動程序中系統內核態的全局句柄表，并判斷該全局句柄表中的進程句柄是否為有效句柄，若是，則將該進程句柄對應的第一進程信息作為所述第一系統信息；調用系統用戶態應用程序接口的進程跟蹤指令，將該指令響應的第二進程信息作為所述第二系統信息；