技術(shù)領(lǐng)域

本發(fā)明涉及一種非可執(zhí)行文件的病毒查殺方法，特別是涉及一種非可執(zhí)行文 件掛馬檢測方法及其裝置。

背景技術(shù)

目前，非可執(zhí)行文檔，例如word、excel、powerpoint、pdf等，已經(jīng)越來越 多的被利用來傳播木馬。這些非可執(zhí)行文檔往往可以利用溢出漏洞攜帶病毒或者 木馬文件，并在打開該文檔的程序產(chǎn)生溢出時(shí)獲得執(zhí)行權(quán)限，從而生成木馬文件 并運(yùn)行。由于該隱藏在非可執(zhí)行文檔中的病毒或木馬文件，其隱蔽性較強(qiáng)，導(dǎo)致 一般的殺毒軟件無法對其進(jìn)行徹底查殺，導(dǎo)致那些攜帶有病毒或木馬文件的非可 執(zhí)行文檔往往對電腦系統(tǒng)的安全造成巨大危害。

目前，對該類非可執(zhí)行文檔進(jìn)行病毒查殺的手段主要有三種：第一種查殺手 段是特征碼查殺，它是一種先對文件二進(jìn)制和病毒或木馬特征進(jìn)行比較，然后根 據(jù)某些規(guī)則進(jìn)行查殺病毒的方法。然而，由于特征碼查殺的方法主要是通過比較 非可執(zhí)行文檔的二進(jìn)制與病毒庫的病毒特征之間的匹配程度，并利用一定的判斷 規(guī)則來判斷是否是惡意文件，使得它是一種單純對文件進(jìn)行靜態(tài)分析以比對特征 碼的方法，因此它只能針對一些流行木馬或常見掛馬文件起作用，而對于一些病 毒庫尚未收錄的掛馬文件則束手無策，特別是對于一些利用未知漏洞進(jìn)行掛馬的 文檔，由于病毒庫缺少相應(yīng)的特征碼，使得該特征碼查殺方法無法對該病毒進(jìn)行 檢測和查殺。此外，這種特征碼查殺方法對于那些利用已有漏洞來進(jìn)行掛馬的文 檔，也無法進(jìn)行全面查殺。特別的，一些掛馬文檔可能會采用修改特征碼、代碼 變形等手段來避開特征碼檢測，因此，這時(shí)采用特征碼查殺手段來處理這些掛馬 文檔就更是束手無策了。

第二種查殺手段是監(jiān)控系統(tǒng)調(diào)用，它主要是通過監(jiān)控系統(tǒng)接口的非法調(diào)用來 進(jìn)行查殺，并在監(jiān)視到程序非法行為時(shí)掛起進(jìn)程，以警告用戶。例如，windows 系統(tǒng)中監(jiān)控釋放木馬常用的幾個(gè)API，如CreatFileA，WriteFile，WinExec等函 數(shù)是否非法調(diào)用來實(shí)現(xiàn)的。此種方法的缺陷是：一方面，如何判斷這些函數(shù)是否 屬于非法調(diào)用存在困難，例如，某些方法采用判斷該函數(shù)調(diào)用地址的合法性來進(jìn) 行判斷，一般是判斷系統(tǒng)函數(shù)調(diào)用是否來自于非法內(nèi)存地址(例如，堆地址或者 棧地址)，但這種方法可以通過偽造調(diào)用地址繞過，并利用系統(tǒng)函數(shù)地址作為跳板， 偽裝成為系統(tǒng)調(diào)用來避開監(jiān)控；另一方面，該方法的實(shí)施往往處在用戶權(quán)限級別， 因此，可以通過結(jié)束進(jìn)程或者反掛鉤等方法來繞過監(jiān)控。

第三種查殺手段是監(jiān)控程序行為特征，它主要是查看程序行為是否可信，如 果非可信則掛起進(jìn)程并警告用戶。由于該種查殺手段單純依靠行為特征來判斷一 個(gè)程序的行為是否可信存在很大的問題，因此無法從根本上區(qū)分正常程序行為和 可疑程序行為，而且由于非可執(zhí)行文檔的掛馬是利用打開程序的溢出來執(zhí)行代碼， 因此，往往會被認(rèn)為是可信的。顯然，在監(jiān)控非可執(zhí)行文檔掛馬方面單純依靠行 為特征的方法存在盲點(diǎn)。

發(fā)明內(nèi)容

本發(fā)明的目的在于克服現(xiàn)有技術(shù)之不足，提供一種非可執(zhí)行文件掛馬檢測方 法及其裝置，它是利用非可執(zhí)行文件的特殊性，通過監(jiān)控模塊對程序是否釋放出 可執(zhí)行文件的監(jiān)控來防止系統(tǒng)中木馬或者遭到破壞。

本發(fā)明解決其技術(shù)問題所采用的技術(shù)方案是：一種非可執(zhí)行文件掛馬檢測方 法，包括如下步驟：

由設(shè)置在操作系統(tǒng)用戶層的檢測程序確定要檢測的非可執(zhí)行文檔，并打開該 非可執(zhí)行文檔的進(jìn)程信息；

由設(shè)置在操作系統(tǒng)內(nèi)核層的監(jiān)控模塊監(jiān)視打開該非可執(zhí)行文檔的進(jìn)程通信；

操作系統(tǒng)內(nèi)核層的監(jiān)控模塊攔截監(jiān)控進(jìn)程的創(chuàng)建文件操作，判斷該非可執(zhí)行 文檔的創(chuàng)建文件擴(kuò)展名是否可疑，如果是則通知操作系統(tǒng)用戶層的檢測程序掛起 進(jìn)程、警告用戶、記錄可疑行為并禁止執(zhí)行，如果不是則繼續(xù)監(jiān)控；

操作系統(tǒng)內(nèi)核層的監(jiān)控模塊攔截監(jiān)控進(jìn)程的創(chuàng)建文件的寫文件操作，判斷該 非可執(zhí)行文檔的創(chuàng)建文件的寫入文件的格式是否可疑，如果是則通知操作系統(tǒng)用 戶層的檢測程序掛起進(jìn)程、警告用戶、記錄可疑行為并禁止執(zhí)行，如果不是則繼 續(xù)監(jiān)控。

進(jìn)一步的，操作系統(tǒng)用戶層的檢測程序在程序掛起、警告用戶和記錄可疑行 為后，還包括彈出對話框，讓用戶選擇是否允許執(zhí)行，如果用戶選擇允許執(zhí)行， 則恢復(fù)進(jìn)程并繼續(xù)監(jiān)控，如果用戶選擇不允許執(zhí)行，則結(jié)束進(jìn)程，并結(jié)束此次監(jiān) 控。

所述的操作系統(tǒng)內(nèi)核層的監(jiān)控模塊在攔截監(jiān)控進(jìn)程的創(chuàng)建文件操作時(shí)，是采 用IRP攔截方法來攔截監(jiān)控進(jìn)程的創(chuàng)建文件操作。