一种反病毒安全软件触发蓝屏的处理方法、装置及电子设备的制造方法
【专利摘要】本发明的实施例公开一种反病毒安全软件触发蓝屏的处理方法、装置及电子设备,涉及互联网反病毒安全技术领域,能够准确将触发蓝屏的反病毒安全软件的驱动程序删除,并不再触发蓝屏,解决了现有的技术无法判断是何种驱动程序的崩溃引发的蓝屏,统一将病毒安全软件的驱动程序删除,造成在一定程度上对反病毒安全软件的错误禁用的问题,所述方法包括:创建挂钩于第二缺陷检测函数的钩子函数,所述第二缺陷函数用于检测系统缺陷并产生蓝屏;判断是否为反病毒安全软件的驱动程序触发蓝屏;当确定为反病毒安全软件的驱动程序触发蓝屏,并且达到预设蓝屏计数时,卸载触发蓝屏的反病毒安全软件的驱动程序。
【专利说明】
一种反病毒安全软件触发蓝屏的处理方法、装置及电子设备
技术领域
[0001]本发明涉及互联网反病毒安全技术领域,尤其涉及一种反病毒安全软件触发蓝屏的处理方法、装置及电子设备。
【背景技术】
[0002]电脑蓝屏,又叫蓝屏死机(Blue Screen of Death,简称BSOD),是微软的Windows系列操作系统在无法从一个系统错误中恢复过来时,为保护电脑数据文件不被破坏而强制显示的屏幕图像。
[0003]现有的反病毒安全软件是基于驱动程序和上层界面组成的,驱动程序负责系统的各种防御监控,包括:文件、注册表、服务以及进程等操作的监控,驱动程序是开机后自动启动的,若驱动程序崩溃的话,就会触发蓝屏,造成整个系统无法正常使用;若是上层界面进程崩溃的话,只是进程的崩溃,不会触发蓝屏,也不会造成整个系统无法使用。因此,驱动程序的稳定性很重要。若反病毒安全软件的驱动程序造成了崩溃,比如每次开机后,反病毒安全软件的驱动程序加载后,造成崩溃并触发蓝屏,导致整个系统无法使用,只能重装系统,给反病毒安全软件就会给用户带来极大的不便,从而失去用户的支持,被用户卸载弃用。
[0004]现有技术的方案中,通过利用关机回调函数,统计正常的关机次数,来确定是否加载反病毒安全软件的驱动程序,例如,未统计到一次正常的关机,在再次开机驱动模块加载时,蓝屏计数加I,当计数达到5时,反病毒安全软件的驱动程序就会自退出,达到不加载的效果。但是这种解决方案存在一个问题,就是系统中任意驱动程序都可能引发频繁的蓝屏,而现有技术利用关机回调函数的方案无法区分触发蓝屏是反病毒安全软件的驱动程序导致的,还是其它驱动程序导致的,因此这种统计到一定计数的蓝屏就禁用反病毒安全软件驱动的加载的方案,会在一定程度上造成对反病毒安全软件的错误禁用。
【发明内容】
[0005]有鉴于此,本发明实施例提供一种反病毒安全软件触发蓝屏的处理方法、装置及电子设备,以解决现有技术无法判断是何种驱动程序的崩溃引发的蓝屏,统一将病毒安全软件的驱动程序删除,造成在一定程度上对反病毒安全软件的错误禁用的问题。
[0006]第一方面,本发明实施例提供一种反病毒安全软件触发蓝屏的处理方法,包括:
[0007]创建挂钩于第二缺陷检测函数的钩子函数,所述第二缺陷函数用于检测系统缺陷并产生蓝屏;
[0008]判断是否为反病毒安全软件的驱动程序触发蓝屏;
[0009]当确定为反病毒安全软件的驱动程序触发蓝屏,并且达到预设蓝屏计数时,卸载触发蓝屏的反病毒安全软件的驱动程序。
[0010]结合第一方面,在第一方面的第一种实施方式中,所述创建挂钩于第二缺陷检测函数的钩子函数包括:
[0011]获取第二缺陷检测函数的函数地址,并保存一个全局的第二缺陷检测函数的原始函数地址;
[0012]定义一个钩子函数,在所述钩子函数中调用所述全局的第二缺陷检测函数的原始函数地址。
[0013]结合第一方面,在第一方面的第二种实施方式中,所述获取第二缺陷检测函数的函数地址包括:
[0014]调用获取函数地址的函数,获取到用于检测系统缺陷的第一缺陷检测函数的函数地址;
[0015]通过所述第一缺陷检测函数的函数地址,查找到所述第二缺陷检测函数的函数地址。
[0016]结合第一方面、第一方面的第一种实施方式或第一方面的第二种实施方式,在第一方面的第三种实施方式中,所述判断是否为反病毒安全软件的驱动程序触发蓝屏包括:
[0017]在所述钩子函数中,通过调用获取调用栈函数,获取前八个调用栈;
[0018]若所述前八个调用栈的地址存在于预设的反病毒安全软件驱动程序地址区间内,则确定为反病毒安全软件的驱动程序在触发蓝屏。
[0019]结合第一方面的第三种实施方式,在第一方面的第四种实施方式中,所述当确定为反病毒安全软件的驱动程序触发蓝屏,并且达到预设蓝屏计数时,卸载触发蓝屏的反病毒安全软件的驱动程序包括:
[0020]当确定为反病毒安全软件触发蓝屏时,则把全局的蓝屏计数变量自增加I;
[0021]当蓝屏计数大于或等于蓝屏计数预设值时,则卸载命中于预设的反病毒安全软件驱动程序地址区间的反病毒安全软件驱动程序。
[0022]第二方面,本发明实施例提供一种反病毒安全软件触发蓝屏的处理装置,包括:
[0023]创建单元,用于创建挂钩于第二缺陷检测函数的钩子函数,所述第二缺陷函数用于检测系统缺陷并产生蓝屏;
[0024]判断单元,用于判断是否为反病毒安全软件的驱动程序触发蓝屏;
[0025]卸载单元,用于当确定为反病毒安全软件的驱动程序触发蓝屏,并且达到预设蓝屏计数时,卸载触发蓝屏的反病毒安全软件的驱动程序。
[0026]结合第二方面,在第二方面的第一种实施方式中,所述创建单元包括:
[0027]地址获取模块,用于获取第二缺陷检测函数的函数地址,并保存一个全局的第二缺陷检测函数的原始函数地址;
[0028]地址调用模块,用于定义一个钩子函数,在所述钩子函数中调用所述全局的第二缺陷检测函数的原始函数地址。
[0029]结合第二方面的第一种实施方式,在第二方面的第二种实施方式中,所述地址获取模块包括:
[0030]第一地址获取子模块,用于调用获取函数地址的函数,获取到用于检测系统缺陷的第一缺陷检测函数的函数地址;第二地址获取子模块,用于通过所述第一缺陷检测函数的函数地址,查找到所述第二缺陷检测函数的函数地址。
[0031]结合第二方面、第二方面的第一种实施方式或第二方面的第二种实施方式,在第二方面的第三种实施方式中,所述判断单元包括:
[0032]调用栈模块,用于在所述钩子函数中,通过调用获取调用栈函数,获取前八个调用栈;
[0033]第一判断模块,用于若所述前八个调用栈的地址存在于预设的反病毒安全软件驱动程序地址区间内,则确定为反病毒安全软件的驱动程序在触发蓝屏。
[0034]结合第二方面的第三种实施方式,在第二方面的第四种实施方式中,所述卸载单元包括:
[0035]计数模块,用于当确定为反病毒安全软件触发蓝屏时,则把全局的蓝屏计数变量自增加I;
[0036]卸载模块,用于当蓝屏计数大于或等于预设值时,则卸载命中于预设的反病毒安全软件驱动程序地址区间的反病毒安全软件驱动程序。
[0037]第三方面,本发明实施例提供一种电子设备,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行如下操作:
[0038]创建挂钩于第二缺陷检测函数的钩子函数,所述第二缺陷函数用于检测系统缺陷并产生蓝屏;
[0039]判断是否为反病毒安全软件的驱动程序触发蓝屏;
[0040]当确定为反病毒安全软件的驱动程序触发蓝屏,并且达到预设蓝屏计数时,卸载触发蓝屏的反病毒安全软件的驱动程序。
[0041]第四方面,本发明实施例还提供了一种存储介质,用于存储应用程序,所述应用程序用于执行本发明实施例所提供的一种反病毒安全软件触发蓝屏的处理方法。
[0042]第五方面,本发明实施例还提供了一种应用程序,用于执行本发明实施例所提供的一种反病毒安全软件触发蓝屏的处理方法。
[0043]本发明实施例提供的一种反病毒安全软件触发蓝屏的处理方法、装置及电子设备,通过创建挂钩于第二缺陷检测函数的钩子函数,当判断反病毒安全软件的驱动程序触发蓝屏时,并且达到预设蓝屏计数时,卸载触发蓝屏的反病毒安全软件的驱动程序,即禁用反病毒安全软件的驱动程序触发蓝屏的反病毒安全软件的驱动程序的加载,使得用户能够正常使用电脑,不会造成用户重装系统,提高了用户体验,保证了反病毒安全软件的装载率,避免了由于错误删除反病毒安全软件的驱动程序造成的用户活跃量的影响。
【附图说明】
[0044]为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
[0045]图1为本发明实施例一种反病毒安全软件触发蓝屏的处理方法流程图;
[0046]图2为本发明实施例一种反病毒安全软件触发蓝屏的处理方法中引发蓝屏执行示意图;
[0047]图3为本发明实施例一种反病毒安全软件触发蓝屏的处理装置示意图;
[0048]图4为本发明电子设备一个实施例的结构不意图。
【具体实施方式】
[0049]下面结合附图对本发明实施例一种反病毒安全软件触发蓝屏的处理方法及装置进行详细描述。
[0050]应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
[0051]图1为本发明实施例一种反病毒安全软件触发蓝屏的处理方法流程图,如图1所示,本实施例的方法可以包括:
[0052]步骤101、创建挂钩于第二缺陷检测函数的钩子函数,所述第二缺陷函数用于检测系统缺陷并产生蓝屏;
[0053]在本实施例中,第二缺陷检测函数为windows操作系统中的用于检测系统缺陷并产生蓝屏的KeBugCheck2,而挂钩于第二缺陷检测函数KeBugCheck2的钩子函数即为NewKeBugCheck2。
[0054]需要说明的是,在驱动程序引发蓝屏的函数执行流程中,不同系统流程有所区别,具体如下所示:
[0055]Win7 系统:
[0056]驱动模块(如38sek)—>KeBugCheck—>KeBugCheckEx—>KeBugCheck2
[0057]XP系统:
[0058]驱动模块一>KeBugCheck—>KeBugCheck2
[0059]WinlO 系统:
[0060]驱动模块一>KiBugCheck2—>KeBugCheck2
[0061]为了实现一种通用的方案,本发明实施例例的技术方案选择挂钩第二缺陷检测函数KeBugCheck2内核函数,因为此函数主流系统在驱动程序触发蓝屏时都会执行到,可以实现通用的挂钩、触发蓝屏计数并卸载反病毒安全软件驱动程序的方案。
[0062]但是第二缺陷检测函数KeBUgCheCk2并不是导出函数,需要先查出第二缺陷检测函数KeBugCheck2的函数地址,才可以inline hook挂钩它,本方案以XP系统为例,实现一个挂钩、触发蓝屏计数并卸载反病毒安全软件驱动程序的方法,其它系统原理一样,实现方法相差不大。
[0063]如图2所示,从执行流程中可以看出,第二缺陷检测函数KeBugCheCk2是由用于检测系统缺陷的第一缺陷检测函数KeBugCheck调用而来的,而第一缺陷检测函数KeBugCheck是系统导出的,可调用获取函数地址的函数MmGetSystemRoutineAddress内核函数,获取到第一缺陷检测函数KeBugCheck的函数地址,从反汇编代码可以看出:第一缺陷检测函数KeBugCheck会调用到第二缺陷检测函数KeBugCheCk2,那么,从第一缺陷检测函数KeBugCheck的函数地址,向下查找,找出第二缺陷检测函数KeBugCheck2未导出函数的地址。查找到ff 75 08 e8特征,并通过虚拟地址转换可以得到第二缺陷检测函数KeBugCheck2的函数地址。因此,上述获取第二缺陷检测函数KeBugCheck2的函数地址的方法具体为:调用获取函数地址的函数MmGetSystemRoutineAddress内核函数,获取到第一缺陷检测函数KeBugCheck的函数地址;通过第一缺陷检测函数KeBugCheck的函数地址,查找到第二缺陷检测函数KeBugCheCk2的函数地址。
[0064]有了函数地址,就方便挂钩了,定义一个钩子函数NewKeBugCheck2,保存好一个全局的第一缺陷检测函数KeBugCheck2的原始函数地址,在钩子函数NewKeBugCheck2中调用这个全局的原始函数地址,实现原有的系统功能。再把第二缺陷检测函数KeBugCheCk2的函数地址替换为钩子函数NewKeBugCheck2的函数地址,实现inline hook。系统在触发蓝屏时,都会执行到钩子函数NewKeBugCheck〗,那么本方案就可以实现反病毒安全软件的驱动程序触发蓝屏的计数功能。
[0065]步骤102、判断是否为反病毒安全软件的驱动程序触发蓝屏;
[0066]在本方案的钩子函数NeWKeBugCheCk2中,当有触发蓝屏时,通过调用获取调用栈函数RtlWalkFrameChain,获取调用栈,本方案只获取前八个调用栈;
[0067]调用内核函数ZwQuerySystemlnformat1n(SystemModuIeInformat1n),可获取模块在虚拟内存上的地址区间,获取预设的反病毒安全软件驱动模块地址区间,如kisknl.sys,ksap1.sys等预设的反病毒安全软件的驱动程序模块地址区间。
[0068]有了这些预设的模块地址区间,对比通过调用取调用桟函数RtlWalkFrameChain获取的八个调用栈地址,看这八个地址中是否存在于这些预设的反病毒安全软件的驱动程序模块地址区间内,是就确定是反病毒安全软件的驱动程序在触发蓝屏。
[0069]步骤103、当确定为反病毒安全软件的驱动程序触发蓝屏,并且达到预设蓝屏计数时,卸载触发蓝屏的反病毒安全软件的驱动程序。
[0070]在本步骤中,具体地,当确定为反病毒安全软件触发蓝屏时,则把全局的蓝屏计数变量自增加I;当蓝屏计数大于或等于蓝屏计数预设值时,则卸载命中于预设的反病毒安全软件驱动程序地址区间的反病毒安全软件驱动程序。在本实施例中,蓝屏计数预设值可以设置为5,则当蓝屏计算大于或者等于5时,就卸载命中的预设的反病毒安全软件驱动程序地址区间,如命中了kisknl驱动模块在调用了钩子函数NewKeBugCheck2,那就把反病毒安全软件的ki skn I驱动卸载,卸载方法就是调用对应驱动模块的OnUnLoad例程函数,由例程函数实现启动项等数据的删除,达到禁止启动的目的。
[0071]本发明实施例,利用挂钩内核蓝屏函数,和栈回溯技术确定引发蓝屏的驱动模块,能够准确判断是由反病毒安全软件的哪一个驱动模块引起的频繁蓝屏,并能够准确统计由反病毒安全软件的驱动程序触发蓝屏的次数,在达到蓝屏计数预设值时,禁用触发蓝屏的反病毒安全软件的驱动程序的加载,使得用户能够正常使用电脑,不会造成用户重装系统,提高了用户体验,保证了反病毒安全软件的装载率,对反病毒安全软件的用户活跃量不会造成影响。
[0072]图3为本发明实施例一种反病毒安全软件触发蓝屏的处理装置的结构示意图,如图3所示,本实施例的反病毒安全软件触发蓝屏的处理装置包括:创建单元1、判断单元2和卸载单元3。其中,创建单元I,用于创建挂钩于第二缺陷检测函数KeBugCheck2的钩子函数NewKeBugCheck2,第二缺陷函数KeBugCheck2用于检测系统缺陷并产生蓝屏;判断单元2,用于判断是否为反病毒安全软件的驱动程序触发蓝屏;卸载单元3,用于当确定为反病毒安全软件的驱动程序触发蓝屏,并且达到预设蓝屏计数时,卸载触发蓝屏的反病毒安全软件的驱动程序。
[0073]进一步地,创建单元包括:地址获取模块,用于获取第二缺陷检测函数KeBugCheCk2的函数地址,并保存一个全局的第二缺陷检测函数KeBugCheCk2的原始函数地址;地址调用模块,用于定义一个钩子函数NewKeBugCheck2,在所述钩子函数NewKeBugCheck2中调用所述全局的第二缺陷检测函数KeBugCheck2的原始函数地址。
[0074]进一步地,地址获取模块包括:第一地址获取子模块,用于调用获取函数地址的函数MmGetSy stemRout ineAddress,获取到用于检测系统缺陷的第一缺陷检测函数KeBugCheck的函数地址;第二地址获取子模块,用于通过所述第一缺陷检测函数KeBugCheck的函数地址,查找到所述第二缺陷检测函数KeBugCheck2的函数地址。
[0075]进一步地,判断单元包括:调用桟模块,用于在所述钩子函数NewKeBugCheck2中,通过调用获取调用栈函数RtlWalkFrameChain,获取前八个调用栈;第一判断模块,用于若所述前八个调用栈的地址中存在于预设的反病毒安全软件驱动程序地址区间内,则确定为反病毒安全软件的驱动程序在触发蓝屏。
[0076]进一步地,所述卸载单元3包括:计数模块,用于当确定为反病毒安全软件触发蓝屏时,则把全局的蓝屏计数变量自增加I;卸载模块,用于当蓝屏计数大于或等于预设值时,则卸载命中于预设的反病毒安全软件驱动程序地址区间的反病毒安全软件驱动程序。
[0077]本实施例的装置,可以用于执行图1所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
[0078]本发明实施例还提供一种电子设备。图4为本发明电子设备一个实施例的结构不意图,可以实现本发明图1所示实施例的流程,如图4所示,上述电子设备可以包括:壳体31、处理器32、存储器33、电路板34和电源电路35,其中,电路板34安置在壳体31围成的空间内部,处理器32和存储器33设置在电路板34上;电源电路35,用于为上述电子设备的各个电路或器件供电;存储器33用于存储可执行程序代码;处理器32通过读取存储器33中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一实施例所述反病毒安全软件触发蓝屏的处理方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
[0079]该电子设备以多种形式存在,包括但不限于:
[0080](I)移动通信设备:这类设备的特点是具备移动通信功能,并且以提供话音、数据通信为主要目标。这类终端包括:智能手机(例如iPhone)、多媒体手机、功能性手机,以及低端手机等。
[0081](2)超移动个人计算机设备:这类设备属于个人计算机的范畴,有计算和处理功能,一般也具备移动上网特性。这类终端包括:PDA、MID和UMPC设备等,例如iPad。
[0082](3)便携式娱乐设备:这类设备可以显示和播放多媒体内容。该类设备包括:音频、视频播放模块(例如iPod),掌上游戏机,电子书,以及智能玩具和便携式车载导航设备。
[0083](4)服务器:提供计算服务的设备,服务器的构成包括处理器、硬盘、内存、系统总线等,服务器和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
[0084](5)其他具有数据交互功能的电子设备。
[0085]本发明实施例还提供了一种存储介质,用于存储应用程序,所述应用程序用于执行本发明前述任一实施例所述的反病毒安全软件触发蓝屏的处理方法
[0086]本发明实施例还提供了一种应用程序,用于执行本发明前述任一实施例所述的反病毒安全软件触发蓝屏的处理方法。
[0087]需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个......”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
[0088]本发明实施例,利用挂钩内核蓝屏函数,和栈回溯技术确定引发蓝屏的驱动模块,能够准确判断是由反病毒安全软件的哪一个驱动模块引起的频繁蓝屏,并能够准确统计由反病毒安全软件的驱动程序触发蓝屏的次数,在达到蓝屏计数预设值时,禁用触发蓝屏的反病毒安全软件的驱动程序的加载,使得用户能够正常使用电脑,不会造成用户重装系统,提高了用户体验,保证了反病毒安全软件的装载率,对反病毒安全软件的用户活跃量不会造成影响。
[0089]本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
[0090]以上所述,仅为本发明的【具体实施方式】,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
【主权项】
1.一种反病毒安全软件触发蓝屏的处理方法,其特征在于,包括: 创建挂钩于第二缺陷检测函数的钩子函数,所述第二缺陷函数用于检测系统缺陷并产生蓝屏; 判断是否为反病毒安全软件的驱动程序触发蓝屏; 当确定为反病毒安全软件的驱动程序触发蓝屏,并且达到预设蓝屏计数时,卸载触发蓝屏的反病毒安全软件的驱动程序。2.根据权利要求1所述的方法,其特征在于,所述创建挂钩于第二缺陷检测函数的钩子函数包括: 获取第二缺陷检测函数的函数地址,并保存一个全局的第二缺陷检测函数的原始函数地址; 定义一个钩子函数,在所述钩子函数中调用所述全局的第二缺陷检测函数的原始函数地址。3.根据权利要求1所述的方法,其特征在于,所述获取第二缺陷检测函数的函数地址包括: 调用获取函数地址的函数,获取到用于检测系统缺陷的第一缺陷检测函数的函数地址; 通过所述第一缺陷检测函数的函数地址,查找到所述第二缺陷检测函数的函数地址。4.根据权利要求1-3任一项所述的方法,其特征在于,所述判断是否为反病毒安全软件的驱动程序触发蓝屏包括: 在所述钩子函数中,通过调用获取调用栈函数,获取前八个调用栈; 若所述前八个调用栈的地址存在于预设的反病毒安全软件驱动程序地址区间内,则确定为反病毒安全软件的驱动程序在触发蓝屏。5.根据权利要求4所述的方法,其特征在于,所述当确定为反病毒安全软件的驱动程序触发蓝屏,并且达到预设蓝屏计数时,卸载触发蓝屏的反病毒安全软件的驱动程序包括: 当确定为反病毒安全软件触发蓝屏时,则把全局的蓝屏计数变量自增加I; 当蓝屏计数大于或等于蓝屏计数预设值时,则卸载命中于预设的反病毒安全软件驱动程序地址区间的反病毒安全软件驱动程序。6.一种反病毒安全软件触发蓝屏的处理装置,其特征在于,包括: 创建单元,用于创建挂钩于第二缺陷检测函数的钩子函数,所述第二缺陷函数用于检测系统缺陷并产生蓝屏; 判断单元,用于判断是否为反病毒安全软件的驱动程序触发蓝屏; 卸载单元,用于当确定为反病毒安全软件的驱动程序触发蓝屏,并且达到预设蓝屏计数时,卸载触发蓝屏的反病毒安全软件的驱动程序。7.根据权利要求6所述的装置,其特征在于,所述创建单元包括: 地址获取模块,用于获取第二缺陷检测函数的函数地址,并保存一个全局的第二缺陷检测函数的原始函数地址; 地址调用模块,用于定义一个钩子函数,在所述钩子函数中调用所述全局的第二缺陷检测函数的原始函数地址。8.根据权利要求7所述的装置,其特征在于,所述地址获取模块包括: 第一地址获取子模块,用于调用获取函数地址的函数,获取到用于检测系统缺陷的第一缺陷检测函数的函数地址; 第二地址获取子模块,用于通过所述第一缺陷检测函数的函数地址,查找到所述第二缺陷检测函数的函数地址。9.根据权利要求6-8任一项所述的装置,其特征在于,所述判断单元包括: 调用栈模块,用于在所述钩子函数中,通过调用获取调用栈函数,获取前八个调用栈; 第一判断模块,用于若所述前八个调用栈的地址存在于预设的反病毒安全软件驱动程序地址区间内,则确定为反病毒安全软件的驱动程序在触发蓝屏。10.—种电子设备,其特征在于,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行如下操作: 创建挂钩于第二缺陷检测函数的钩子函数,所述第二缺陷函数用于检测系统缺陷并产生蓝屏; 判断是否为反病毒安全软件的驱动程序触发蓝屏; 当确定为反病毒安全软件的驱动程序触发蓝屏,并且达到预设蓝屏计数时,卸载触发蓝屏的反病毒安全软件的驱动程序。
【文档编号】G06F21/56GK105893102SQ201610498058
【公开日】2016年8月24日
【申请日】2016年6月29日
【发明人】李文靖
【申请人】北京金山安全软件有限公司