1.一种恶意线程检测方法,其特征在于,包括:
获取中转指针的地址,得到第一地址;所述中转指针为线程在用户层和内核层间转换时的中转站;
预设第一函数;所述第一函数用于检测恶意线程和初始化线程;
获取所述第一函数的入口地址,得到第二地址;
设置所述中转指针的地址为所述第二地址;
设置所述第一函数的函数指针指向所述第一地址。
2.根据权利要求1所述的一种恶意线程检测方法,其特征在于,所述检测恶意线程具体为:
获取所述中转指针中存储的线程地址;
获取安全的地址空间;
判断所述线程地址是否在所述地址空间的范围内,若是,则初始化线程,否则,返回错误信息。
3.根据权利要求1所述的一种恶意线程检测方法,其特征在于,所述检测恶意线程具体为:
获取所述中转指针中存储的线程地址;
获取系统函数的索引;
根据所述系统函数的索引和线程地址识别出线程所要执行的操作,得到当前操作名;
获取危险操作表;所述危险操作表中存储对创建所述线程的进程会造成损害的操作的名称;
在所述危险操作表中搜索是否存在所述当前操作名,若是,则返回错误信息,否则,初始化线程。
4.根据权利要求2或3所述的一种恶意线程检测方法,其特征在于,所述返回错误信息之前,还包括:
存储所述线程地址至黑名单;所述黑名单用于保存已识别的恶意线程的地址。
5.根据权利要求1所述的一种恶意线程检测方法,其特征在于,所述检测恶意线程具体为:
获取所述中转指针中存储的线程地址;
获取黑名单;所述黑名单用于保存已识别的恶意线程的地址;
在所述黑名单中搜索是否存在所述线程地址,若存在,则返回错误信息,否则,初始化线程。
6.一种恶意线程检测系统,其特征在于,包括:
第一获取模块,用于获取中转指针的地址,得到第一地址;所述中转指针为线程在用户层和内核层间转换时的中转站;
预设模块,用于预设第一函数;所述第一函数用于检测恶意线程和初始化线程;
第二获取模块,用于获取所述第一函数的入口地址,得到第二地址;
第一设置模块,用于设置所述中转指针的地址为所述第二地址;
第二设置模块,用于设置所述第一函数的函数指针指向所述第一地址。
7.根据权利要求6所述的一种恶意线程检测系统,其特征在于,还包括:
第三获取模块,用于获取所述中转指针中存储的线程地址;
第四获取模块,用于获取安全的地址空间;
第一判断模块,用于判断所述线程地址是否在所述地址空间的范围内,若是,则初始化线程,否则,返回错误信息。
8.根据权利要求6所述的一种恶意线程检测系统,其特征在于,还包括:
第五获取模块,用于获取所述中转指针中存储的线程地址;
第六获取模块,用于获取系统函数的索引;
识别模块,用于根据所述系统函数的索引和线程地址识别出线程所要执行的操作,得到当前操作名;
第七获取模块,用于获取危险操作表;所述危险操作表中存储对创建所述线程的进程会造成损害的操作的名称;
第一搜索模块,用于在所述危险操作表中搜索是否存在所述当前操作名,若是,则返回错误信息,否则,初始化线程。
9.根据权利要求6所述的一种恶意线程检测系统,其特征在于,还包括:
存储模块,用于存储所述线程地址至黑名单;所述黑名单用于保存已识别的恶意线程的地址。
10.根据权利要求6所述的一种恶意线程检测系统,其特征在于,还包括:
第八获取模块,用于获取所述中转指针中存储的线程地址;
第九获取模块,用于获取黑名单;所述黑名单用于保存已识别的恶意线程的地址;
第二搜索模块,用于在所述黑名单中搜索是否存在所述线程地址,若存在,则返回错误信息,否则,初始化线程。