1.一種攔截可疑程序運(yùn)行的方法，其特征在于，包括以下步驟：

（1）．生成被保護(hù)計(jì)算機(jī)的白名單；

在本程序第一次啟動(dòng)時(shí)遍歷計(jì)算機(jī)本地硬盤上所有文件，并篩選出其中的PE文件以及計(jì)算所述PE文件的特征值，最后將所述PE文件特征記錄在白名單中；

（2）．?dāng)r截所有啟動(dòng)的進(jìn)程；

通過驅(qū)動(dòng)程序在操作系統(tǒng)內(nèi)核級(jí)利用SSDT的HOOK技術(shù)實(shí)現(xiàn)攔截NtCreateSection函數(shù)，通過其參數(shù)中的SectionPageProtection和AllocationAttributes能夠判斷操作系統(tǒng)加載的文件是不是PE文件，并從參數(shù)FileHandle中獲取將要被加載的PE文件路徑；

（3）．判斷進(jìn)程是否可疑；

在通過驅(qū)動(dòng)程序從操作系統(tǒng)內(nèi)核級(jí)獲取到將要加載的PE文件后，首先判斷該P(yáng)E文件的大小和居中的8字節(jié)是否在黑白名單中，如果該P(yáng)E文件不在黑白名單中則繼續(xù)驗(yàn)證該P(yáng)E文件的數(shù)字簽名，如果其數(shù)字簽名有效則允許該P(yáng)E文件加載，如果其數(shù)字簽名驗(yàn)證失敗則阻止該P(yáng)E文件加載；如果在黑白名單中，則根據(jù)PE文件大小計(jì)算相應(yīng)的SHA值，對(duì)于在黑名單中且SHA值也相等的PE文件直接阻止其加載運(yùn)行，對(duì)于在白名單中且SHA值也相等的PE文件則放行允許其加載；

（4）．黑白名單文件保護(hù)；

通過驅(qū)動(dòng)程序在操作系統(tǒng)內(nèi)核級(jí)利用SSDT的HOOK技術(shù)實(shí)現(xiàn)攔截打開文件操作的函數(shù)NtCreateFile和NtOpenFile，以及修改文件操作的NtSetInformationFile函數(shù)，從其參數(shù)ObjectAttributes->RootDirectory和ObjectAttributes->ObjectName中獲取目標(biāo)文件是否為黑白名單文件,并通過函數(shù)IoGetCurrentProcess得到操作目標(biāo)文件的進(jìn)程名，從而檢測(cè)出試圖修改黑白名單的其他進(jìn)程，最終通過向函數(shù)NtCreateFile、NtOpenFile和NtSetInformationFile返回調(diào)用失敗來實(shí)現(xiàn)攔截其他進(jìn)程修改黑白名單以保護(hù)黑白名單的可靠性；

（5）．生成報(bào)告日志；

對(duì)于操作系統(tǒng)加載的所有PE文件在攔截或放行后，生成一份日志報(bào)表，用以監(jiān)控目前計(jì)算機(jī)上運(yùn)行進(jìn)程的狀態(tài)；

（6）．上報(bào)樣本；

對(duì)于檢測(cè)過程中發(fā)現(xiàn)的既不在白名單也不在黑名單中的PE文件，則將該文件保存一份樣本并上報(bào)給樣本服務(wù)器以供后續(xù)分析試用。

2.根據(jù)權(quán)利要求1所述的一種攔截可疑程序運(yùn)行的方法，其特征在于，所述步驟（1）中采用了加速的哈希比對(duì)算法。

3.根據(jù)權(quán)利要求1所述的一種攔截可疑程序運(yùn)行的方法，其特征在于，所述計(jì)算PE文件的特征值的具體步驟如下：

1)將PE文件內(nèi)容使用SHA計(jì)算哈希值并保存；

2)獲取PE文件大小并保存；

3)獲取PE文件內(nèi)容中居中的8BYTE作為快速索引保存。