[發明專利]一種基于內核層的攔截木馬病毒系統及方法在審
| 申請號: | 201810992025.2 | 申請日: | 2018-08-29 |
| 公開(公告)號: | CN109214186A | 公開(公告)日: | 2019-01-15 |
| 發明(設計)人: | 朱代林 | 申請(專利權)人: | 廈門快快網絡科技有限公司 |
| 主分類號: | G06F21/56 | 分類號: | G06F21/56;G06F8/65 |
| 代理公司: | 合肥中谷知識產權代理事務所(普通合伙) 34146 | 代理人: | 洪玲 |
| 地址: | 361000 福建省廈門市*** | 國省代碼: | 福建;35 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 木馬病毒 內核層 內核層程序 監視模塊 策略更新 決策模塊 攔截 掃描 木馬病毒掃描 服務器同步 處理方式 回調接口 掃描策略 用戶設置 運行內容 自動更新 時效性 應用層 掛起 加載 下載 監視 終結 隔離 檢測 更新 失敗 通信 創建 | ||
1.一種基于內核層的攔截木馬病毒系統,其特征在于,包括策略更新模塊、內核層程序監視模塊、內核層決策模塊,還包括木馬病毒庫;
所述策略更新模塊于每次攔截木馬病毒系統加載時,通過TDI創建TCP網絡通信,連接固定IP的服務器并比較服務器中木馬病毒庫與本地木馬病毒庫日期,如果本地木馬病毒庫日期較舊,則下載并更新本地木馬病毒庫;
所述內核層程序監視模塊通過注冊LoadImage回調接口,所述回調接口監視加載項,所有準備運行的內容都攔截,由內核層程序監視模塊將待運行內容放置在內存隔離區內,由內核層決策模塊根據木馬病毒庫提供的策略進行掃描,沒有木馬病毒則刪除隔離區內容,恢復原代碼運行,如果檢測出有木馬病毒,則根據用戶設置的處理方式,進行處理。
2.根據權利要求1所述的一種基于內核層的攔截木馬病毒系統,其特征在于:所述用戶設置是包括以下處理方式:
方式1,直接刪除代碼;
方式2,按照木馬病毒庫提供的策略,對木馬病毒代碼進行清除并執行清除后的代碼,清除失敗則刪除;
方式3,按照木馬病毒庫提供的策略,對木馬病毒代碼進行清除并執行。清除失敗則彈出對話框,詢問計算機使用者是否刪除。
3.根據權利要求1所述的一種基于內核層的攔截木馬病毒系統,其特征在于:所述準備運行的內容,包括擴展名為EXE與DLL的文件。
4.一種基于權利要求1~3所述的一種基于內核層的攔截木馬病毒系統的方法,其特征在于,包括以下步驟:
步驟0,由用戶設置處理方式,如果未選擇則選擇方式2;
步驟1,加載攔截木馬病毒系統;
步驟2,由策略更新模塊通過TDI創建TCP網絡通信,連接服務器更新木馬病毒庫;
步驟3,由內核層程序監視模塊注冊LoadImage回調接口,由回調接口監視所有待運行內容,包括擴展名為exe與dll的文件,中斷所有待運行的內容并存儲至內存隔離區,調用內核層決策模塊;
步驟4,內核層決策模塊根據木馬病毒庫提供的掃描策略,對內存隔離區內內容進行掃描,掃描發現木馬病毒進入步驟4.1,未發現木馬病毒進入步驟5;
步驟4.1,查詢用戶設置的處理方式,如果是方式1,直接刪除代碼,進入步驟5;
步驟4.2,利用木馬病毒庫提供的策略,對木馬病毒代碼進行清除,成功清除則進入步驟5;
步驟4.3,查詢用戶設置測處理方式,如果是方式2,則刪除代碼,進入步驟5;
步驟4.4,彈出對話框,告知用戶有木馬病毒無法清除,詢問用戶是否刪除代碼;用戶選擇刪除則刪除代碼,進入步驟5,用戶選擇不刪除則不對代碼進行操作;
步驟5,對沒有刪除的代碼恢復執行,結束內核層決策模塊,調用內核層程序監視模塊。
5.根據權利要求4所述的一種基于內核層的攔截木馬病毒系統的方法,其特征在于,步驟4.4中用戶選擇不刪除后,彈出對話框進行二次警告,提示木馬病毒的危害。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于廈門快快網絡科技有限公司,未經廈門快快網絡科技有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201810992025.2/1.html,轉載請聲明來源鉆瓜專利網。
