技術(shù)領(lǐng)域

本發(fā)明涉及互聯(lián)網(wǎng)及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種針對Rootkit類頑固木馬的系統(tǒng)惡意程序檢測方法及裝置。

背景技術(shù)

目前，一些惡意木馬利用游戲外掛、視頻播放器捆綁或者偽裝成系統(tǒng)軟件等方式在用戶系統(tǒng)上安裝木馬，釋放內(nèi)核驅(qū)動(dòng)，通過驅(qū)動(dòng)來破壞安全軟件的防護(hù)功能，阻止安全軟件對該木馬的相關(guān)文件、注冊表項(xiàng)的掃描操作，保護(hù)木馬進(jìn)程不被安全軟件結(jié)束，從而在用戶電腦上安全的隱蔽下來，給用戶造成木馬反復(fù)清除不掉的嚴(yán)重后果。

隨著木馬病毒、惡意軟件的大肆泛濫，各種安全軟件越來越重視自身的主動(dòng)行為防御能力，旨在木馬發(fā)作前攔截木馬的惡意行為，從而保護(hù)用戶的系統(tǒng)免受破壞。在這種形勢下，一些木馬作者為了對抗安全軟件的主動(dòng)防御，使用欺騙、偽裝等方式誘導(dǎo)用戶放過主動(dòng)防御對木馬文件的攔截，然后釋放內(nèi)核驅(qū)動(dòng)，在內(nèi)核級與安全軟件展開對抗。這樣，當(dāng)木馬具備了驅(qū)動(dòng)級能力之后，通常能夠達(dá)到防止木馬文件被安全軟件識別、防止木馬進(jìn)程被安全軟件終止的目的。

Rootkit類木馬是一種內(nèi)核級木馬技術(shù)，其使用內(nèi)核驅(qū)動(dòng)隱藏自身，對抗安全軟件，達(dá)到破壞用戶系統(tǒng)的目的。

目前，針對Rootkit類頑固木馬，安全軟件的應(yīng)對方法主要有主動(dòng)防御和文件掃描兩種，其中：

主動(dòng)防御是安全軟件用于對付Rootkit類木馬的最通用做法，當(dāng)檢測到內(nèi)核驅(qū)動(dòng)即將在用戶機(jī)器上釋放或執(zhí)行時(shí)，會觸發(fā)安全軟件的檢測邏輯，包括驅(qū)動(dòng)釋放者的可信度、驅(qū)動(dòng)文件自身的可信度，如果無法確定驅(qū)動(dòng)文件是否安全，安軟將會彈出問詢窗口由用戶決策對該驅(qū)動(dòng)的放行或阻止。

文件掃描是指查詢用戶系統(tǒng)上安裝的內(nèi)核驅(qū)動(dòng)，對這些內(nèi)核驅(qū)動(dòng)對應(yīng)的文件體進(jìn)行特征碼掃描，以識別文件的安全性。

但是，上述兩種傳統(tǒng)技術(shù)方案在應(yīng)對Rootkit類木馬時(shí)存在以下缺陷：

在主動(dòng)防御方案中，當(dāng)對驅(qū)動(dòng)釋放者和驅(qū)動(dòng)文件本身進(jìn)行的可信度檢測未果時(shí)，需要詢問用戶的意見，但是用戶不具備準(zhǔn)確判定驅(qū)動(dòng)程序是否可信的專業(yè)知識，且這些木馬文件會依附于游戲外掛、專用播放器中，用戶多會選擇放行，因此木馬漏過的幾率極高。?

在文件掃描方案中，由于Rootkit類木馬運(yùn)行在內(nèi)核級，具備對整個(gè)系統(tǒng)的完全控制權(quán)，能夠輕易的對系統(tǒng)內(nèi)核進(jìn)行篡改，因此可以很容易的躲避殺毒軟件對木馬文件的掃描，或者阻止掃描程序的啟動(dòng)，造成殺毒軟件無法掃到木馬的假象。

因此，現(xiàn)有的Rootkit防范方法雖然能夠應(yīng)對一部分內(nèi)核級木馬，但是出現(xiàn)漏毒、無法識別隱蔽木馬的可能性高，導(dǎo)致木馬檢測準(zhǔn)確率不高。

發(fā)明內(nèi)容

本發(fā)明的主要目的在于提供一種系統(tǒng)惡意程序檢測方法及裝置，旨在提高系統(tǒng)安全性。

為了達(dá)到上述目的，本發(fā)明提出一種系統(tǒng)惡意程序檢測方法，包括：

遍歷系統(tǒng)內(nèi)核空間，獲取活躍的驅(qū)動(dòng)程序列表；

從所述驅(qū)動(dòng)程序列表中取出驅(qū)動(dòng)程序，獲取驅(qū)動(dòng)程序信息；

基于所述驅(qū)動(dòng)程序信息將所述驅(qū)動(dòng)程序與預(yù)先建立的惡意代碼特征庫中的特征組合進(jìn)行特征匹配，以檢測所述驅(qū)動(dòng)程序是否為惡意程序。

本發(fā)明還提出一種系統(tǒng)惡意程序檢測裝置，包括：

驅(qū)動(dòng)程序列表獲取模塊，用于遍歷系統(tǒng)內(nèi)核空間，獲取活躍的驅(qū)動(dòng)程序列表；

驅(qū)動(dòng)程序信息獲取模塊，用于從所述驅(qū)動(dòng)程序列表中取出驅(qū)動(dòng)程序，獲取驅(qū)動(dòng)程序信息；

檢測模塊，用于將所述驅(qū)動(dòng)程序信息與預(yù)先建立的惡意代碼特征庫中的特征組合進(jìn)行特征匹配，以檢測所述驅(qū)動(dòng)程序是否為惡意程序。

本發(fā)明提出的一種系統(tǒng)惡意程序檢測方法及裝置，通過獲取系統(tǒng)內(nèi)核空間內(nèi)活躍的驅(qū)動(dòng)程序，將驅(qū)動(dòng)程序信息與惡意代碼特征庫中的特征組合進(jìn)行特征匹配，以檢測該驅(qū)動(dòng)程序是否為惡意程序，由此在驅(qū)動(dòng)級檢查系統(tǒng)內(nèi)核的安全狀況，檢測系統(tǒng)的關(guān)鍵調(diào)用路徑是否被頑固惡意程序篡改與破壞，并進(jìn)一步對Rootkit木馬等惡意程序選擇對應(yīng)的清除修復(fù)策略進(jìn)行清除修復(fù)，極大的提高了系統(tǒng)惡意程序的檢測準(zhǔn)確率，進(jìn)而提高了系統(tǒng)的安全性。

附圖說明

圖1是本發(fā)明系統(tǒng)惡意程序檢測方法第一實(shí)施例的流程示意圖；

圖2是本發(fā)明系統(tǒng)惡意程序檢測方法第一實(shí)施例中基于所述驅(qū)動(dòng)程序信息將所述驅(qū)動(dòng)程序與預(yù)先建立的惡意代碼特征庫中的特征組合進(jìn)行特征匹配，以檢測所述驅(qū)動(dòng)程序是否為惡意程序的流程示意圖；

圖3是本發(fā)明系統(tǒng)惡意程序檢測方法第二實(shí)施例的流程示意圖；

圖4是本發(fā)明系統(tǒng)惡意程序檢測方法第三實(shí)施例的流程示意圖；

圖5是本發(fā)明系統(tǒng)惡意程序檢測裝置第一實(shí)施例的結(jié)構(gòu)示意圖；