本發明涉及一種基于內核層的攔截木馬病毒系統及其方法，該系統包括策略更新模塊、內核層程序監視模塊、內核層決策模塊，還包括木馬病毒庫，所述策略更新模塊通過TDI創建TCP網絡通信，下載并更新本地木馬病毒庫；所述內核層程序監視模塊注冊LoadImage回調接口，監視加載項，由內核層程序監視模塊將待運行內容放置在內存隔離區內，決策模塊進行掃描，如果檢測出有木馬病毒，則根據用戶設置的處理方式，進行處理。本發明由內核層常駐的模塊進行木馬病毒掃描，防止應用層程序被其他程序終結造成掃描失敗，也避免掛起用戶輸入造成系統不穩定，并能自動更新木馬病毒庫，保持掃描策略與服務器同步，時效性強。

技術領域

本發明屬于木馬病毒防治領域，具體涉及一種基于內核層的攔截木馬病毒系統及方法。

背景技術

2010年之后，木馬病毒與病毒不再有明顯界限，而單純破壞性的病毒也因缺乏利益動機失去市場，目前的病毒基本上都帶有木馬病毒屬性，木馬病毒也帶有自我繁殖的病毒屬性，所以兩者查殺基本上是等同的。

木馬病毒能對計算機的防御系統進行破壞，并進行自我復制，消耗大量系統資源，有的木馬病毒可以盜取系統關鍵信息造成經濟損失，有的木馬病毒利用宿主資源發起網絡攻擊，有的木馬病毒利用宿主免費的電力和網絡資源進行挖礦運算構成偷盜行為，最嚴重的木馬病毒對系統鎖定并勒索金錢，影響極大。

傳統的木馬病毒查殺手段，其中一個特點是利用特征庫對比，然而特征庫經年累月越來越大，對比一段代碼所需要耗費的系統資源越來越多，所以目前木馬病毒查殺并非用單純的特征庫，而是用特征庫+策略庫結合的方式來構成木馬病毒庫，病毒庫本身包含掃描策略，其本身具有程序屬性。

目前大量木馬病毒查殺程序采用兩種方法。一種是通過應用層對目標程序進行掃描識別然后進行處理，此類方法雖然能識別大部分木馬病毒，但是往往在掃描文件時會占用大量的系統資源，導致系統響應速度變慢，甚至影響其他程序正常運行。另一種通過驅動層攔截用戶的輸入信息，然后將攔截的數據提交到應用層進行識別，確定所述輸入信息是否與保存的需要進行保護的敏感信息相同，并給出相應策略；此類方法由于需要頻繁的和應用層進行交互，但應用層程序掛起時往往會導致系統不穩定，同時由于應用層程序本身容易被第三方程序卸載，刪除或退出，從而導致攔截失效。

發明內容

本發明的目的就在于為了解決背景信息中掃描方法的缺陷，提出一種基于內核層的攔截木馬病毒系統和方法。

本發明通過以下技術方案來實現上述目的：

一種基于內核層的攔截木馬病毒系統，包括策略更新模塊、內核層程序監視模塊、內核層決策模塊，還包括木馬病毒庫；

所述策略更新模塊于每次攔截木馬病毒系統加載時，通過TDI(Transport DriverInterface傳送驅動接口)創建TCP網絡通信，連接固定IP的服務器并比較服務器中木馬病毒庫與本地木馬病毒庫日期，如果本地木馬病毒庫日期較舊，則下載并更新本地木馬病毒庫；

所述內核層程序監視模塊通過注冊LoadImage回調接口，所述回調接口監視加載項，所有準備運行的內容都攔截，由內核層程序監視模塊將待運行內容放置在內存隔離區內，由內核層決策模塊根據木馬病毒庫提供的策略進行掃描，沒有木馬病毒則刪除隔離區內容，恢復原代碼運行，如果檢測出有木馬病毒，則根據用戶設置的處理方式，進行處理。

作為本發明優選方式，所述用戶設置是包括以下處理方式：

方式1，直接刪除代碼；

方式2，按照木馬病毒庫提供的策略，對木馬病毒代碼進行清除并執行清除后的代碼，清除失敗則刪除；

方式3，按照木馬病毒庫提供的策略，對木馬病毒代碼進行清除并執行。清除失敗則彈出對話框，詢問計算機使用者是否刪除。

其中方式2為默認設置，如用戶不明白其含義，則提供最保守的策略。