一种基于内核层的拦截木马病毒系统及方法与流程

本发明属于木马病毒防治领域，具体涉及一种基于内核层的拦截木马病毒系统及方法。

背景技术：

2010年之后，木马病毒与病毒不再有明显界限，而单纯破坏性的病毒也因缺乏利益动机失去市场，目前的病毒基本上都带有木马病毒属性，木马病毒也带有自我繁殖的病毒属性，所以两者查杀基本上是等同的。

木马病毒能对计算机的防御系统进行破坏，并进行自我复制，消耗大量系统资源，有的木马病毒可以盗取系统关键信息造成经济损失，有的木马病毒利用宿主资源发起网络攻击，有的木马病毒利用宿主免费的电力和网络资源进行挖矿运算构成偷盗行为，最严重的木马病毒对系统锁定并勒索金钱，影响极大。

传统的木马病毒查杀手段，其中一个特点是利用特征库对比，然而特征库经年累月越来越大，对比一段代码所需要耗费的系统资源越来越多，所以目前木马病毒查杀并非用单纯的特征库，而是用特征库+策略库结合的方式来构成木马病毒库，病毒库本身包含扫描策略，其本身具有程序属性。

目前大量木马病毒查杀程序采用两种方法。一种是通过应用层对目标程序进行扫描识别然后进行处理，此类方法虽然能识别大部分木马病毒，但是往往在扫描文件时会占用大量的系统资源，导致系统响应速度变慢，甚至影响其他程序正常运行。另一种通过驱动层拦截用户的输入信息，然后将拦截的数据提交到应用层进行识别，确定所述输入信息是否与保存的需要进行保护的敏感信息相同，并给出相应策略；此类方法由于需要频繁的和应用层进行交互，但应用层程序挂起时往往会导致系统不稳定，同时由于应用层程序本身容易被第三方程序卸载，删除或退出，从而导致拦截失效。

技术实现要素：

本发明的目的就在于为了解决背景信息中扫描方法的缺陷，提出一种基于内核层的拦截木马病毒系统和方法。

本发明通过以下技术方案来实现上述目的：

一种基于内核层的拦截木马病毒系统，包括策略更新模块、内核层程序监视模块、内核层决策模块，还包括木马病毒库；

所述策略更新模块于每次拦截木马病毒系统加载时，通过tdi(transportdriverinterface传送驱动接口)创建tcp网络通信，连接固定ip的服务器并比较服务器中木马病毒库与本地木马病毒库日期，如果本地木马病毒库日期较旧，则下载并更新本地木马病毒库；

所述内核层程序监视模块通过注册loadimage回调接口，所述回调接口监视加载项，所有准备运行的内容都拦截，由内核层程序监视模块将待运行内容放置在内存隔离区内，由内核层决策模块根据木马病毒库提供的策略进行扫描，没有木马病毒则删除隔离区内容，恢复原代码运行，如果检测出有木马病毒，则根据用户设置的处理方式，进行处理。

作为本发明优选方式，所述用户设置是包括以下处理方式：

方式1，直接删除代码；

方式2，按照木马病毒库提供的策略，对木马病毒代码进行清除并执行清除后的代码，清除失败则删除；

方式3，按照木马病毒库提供的策略，对木马病毒代码进行清除并执行。清除失败则弹出对话框，询问计算机使用者是否删除。

其中方式2为默认设置，如用户不明白其含义，则提供最保守的策略。

作为本发明优选方式，所述准备运行的内容，包括扩展名为exe与dll的文件。

基于本发明提出的系统的扫描处理木马病毒的方法，包括以下步骤：

步骤0，由用户设置处理方式，如果未选择则选择方式2；

步骤1，加载拦截木马病毒系统；

步骤2，由策略更新模块通过tdi创建tcp网络通信，连接服务器更新木马病毒库；

步骤3，由内核层程序监视模块注册loadimage回调接口，由回调接口监视所有待运行内容，包括扩展名为exe与dll的文件，中断所有待运行的内容并存储至内存隔离区，调用内核层决策模块；

步骤4，内核层决策模块根据木马病毒库提供的扫描策略，对内存隔离区内内容进行扫描，扫描发现木马病毒进入步骤4.1，未发现木马病毒进入步骤5；

步骤4.1，查询用户设置的处理方式，如果是方式1，直接删除代码，进入步骤5；

步骤4.2，利用木马病毒库提供的策略，对木马病毒代码进行清除，成功清除则进入步骤5；

步骤4.3，查询用户设置测处理方式，如果是方式2，则删除代码，进入步骤5；

步骤4.4，弹出对话框，告知用户有木马病毒无法清除，询问用户是否删除代码；用户选择删除则删除代码，进入步骤5，用户选择不删除则不对代码进行操作；

步骤5，对没有删除的代码恢复执行，结束内核层决策模块，调用内核层程序监视模块。

作为本方法的优选，步骤4.4中用户选择不删除后，弹出对话框进行二次警告，提示木马病毒的危害。

本发明的有益效果在于：

1)本发明提供的方案，在内核层设置了策略更新模块、程序监视模块和决策模块，始终保持高的优先级和执行权力，防止被结束进程的风险；

2)本发明提供的方案使用回调接口监视内容加载，不需要扫描全部内存，节约资源；

3)本发明提供的方法使用木马病毒库提供扫描策略，不仅仅是对比特征码，加快了木马病毒的扫描速度。

附图说明

图1：本发明实施例1的流程图。

图2：本发明实施例2的流程图。

图3：本发明各模块关系图。

具体实施方式

下面结合附图对本申请作进一步详细描述，有必要在此指出的是，以下具体实施方式只用于对本申请进行进一步的说明，不能理解为对本申请保护范围的限制，该领域的技术人员可以根据上述申请内容对本申请作出一些非本质的改进和调整。

实施例1

一种基于内核层的拦截木马病毒系统，包括策略更新模块、内核层程序监视模块、内核层决策模块，还包括木马病毒库；

所述策略更新模块于每次拦截木马病毒系统加载时，通过tdi创建tcp网络通信，连接固定ip的服务器并比较服务器中木马病毒库与本地木马病毒库日期，如果本地木马病毒库日期较旧，则下载并更新本地木马病毒库；

所述内核层程序监视模块通过注册loadimage回调接口，所述回调接口监视加载项，所有准备运行的内容都拦截，由内核层程序监视模块将待运行内容放置在内存隔离区内；所述准备运行的内容，包括扩展名为exe与dll的文件。由内核层决策模块根据木马病毒库提供的策略进行扫描，没有木马病毒则删除隔离区内容，恢复原代码运行，如果检测出有木马病毒，则根据用户设置的处理方式，进行处理。

所述用户设置是包括以下处理方式：

方式1，直接删除代码；

方式2，按照木马病毒库提供的策略，对木马病毒代码进行清除并执行清除后的代码，清除失败则删除；

方式3，按照木马病毒库提供的策略，对木马病毒代码进行清除并执行。清除失败则弹出对话框，询问计算机使用者是否删除。

实施例1运行步骤：步骤s100，由用户设置处理方式，如果未选择则选择方式2；

步骤s101，加载拦截木马病毒系统；

步骤s102，由策略更新模块通过tdi创建tcp网络通信，连接服务器更新木马病毒库；

步骤s103，由内核层程序监视模块注册loadimage回调接口，由回调接口监视所有待运行内容，包括扩展名为exe与dll的文件，中断所有待运行的内容并存储至内存隔离区，调用内核层决策模块；

步骤s104，内核层决策模块根据木马病毒库提供的扫描策略，对内存隔离区内内容进行扫描，扫描发现木马病毒进入步骤s104.1，未发现木马病毒进入步骤s105；

步骤s104.1，查询用户设置的处理方式，如果是方式1，直接删除代码，进入步骤s105；

步骤s104.2，利用木马病毒库提供的策略，对木马病毒代码进行清除，成功清除则进入步骤s105；

步骤s104.3，查询用户设置测处理方式，如果是方式2，则删除代码，进入步骤s105；

步骤s104.4，弹出对话框，告知用户有木马病毒无法清除，询问用户是否删除代码；用户选择删除则删除代码，进入步骤s105，用户选择不删除则不对代码进行操作；

步骤s105，对没有删除的代码恢复执行，结束内核层决策模块，调用内核层程序监视模块。

实施例2

一种基于内核层的拦截木马病毒系统，包括策略更新模块、内核层程序监视模块、内核层决策模块，还包括木马病毒库；

所述策略更新模块于每次拦截木马病毒系统加载时，通过tdi创建tcp网络通信，连接固定ip的服务器并比较服务器中木马病毒库与本地木马病毒库日期，如果本地木马病毒库日期较旧，则下载并更新本地木马病毒库；

所述内核层程序监视模块通过注册loadimage回调接口，所述回调接口监视加载项，所有准备运行的内容都拦截，由内核层程序监视模块将待运行内容放置在内存隔离区内；所述准备运行的内容，包括扩展名为exe与dll的文件。由内核层决策模块根据木马病毒库提供的策略进行扫描，没有木马病毒则删除隔离区内容，恢复原代码运行，如果检测出有木马病毒，则根据用户设置的处理方式，进行处理。

所述用户设置是包括以下处理方式：

方式1，直接删除代码；

方式2，按照木马病毒库提供的策略，对木马病毒代码进行清除并执行清除后的代码，清除失败则删除；

方式3，按照木马病毒库提供的策略，对木马病毒代码进行清除并执行。清除失败则弹出对话框，询问计算机使用者是否删除。

实施例1运行步骤：步骤s200，由用户设置处理方式，如果未选择则选择方式2；

步骤s201，加载拦截木马病毒系统；

步骤s202，由策略更新模块通过tdi创建tcp网络通信，连接服务器更新木马病毒库；

步骤s203，由内核层程序监视模块注册loadimage回调接口，由回调接口监视所有待运行内容，包括扩展名为exe与dll的文件，中断所有待运行的内容并存储至内存隔离区，调用内核层决策模块；

步骤s204，内核层决策模块根据木马病毒库提供的扫描策略，对内存隔离区内内容进行扫描，扫描发现木马病毒进入步骤s204.1，未发现木马病毒进入步骤s205；

步骤s204.1，查询用户设置的处理方式，如果是方式1，直接删除代码，进入步骤s205；

步骤s204.2，利用木马病毒库提供的策略，对木马病毒代码进行清除，成功清除则进入步骤s205；

步骤s204.3，查询用户设置测处理方式，如果是方式2，则删除代码，进入步骤s205；

步骤s204.4，弹出对话框，告知用户有木马病毒无法清除，询问用户是否删除代码；用户选择删除则删除代码，进入步骤s205，用户选择不删除弹出对话框进行二次警告，提示木马病毒的危害，坚持选择不删除则不对代码进行操作，选择删除则删除代码，进入步骤s205；

步骤s205，对没有删除的代码恢复执行，结束内核层决策模块，调用内核层程序监视模块，继续监视内容的启动。

以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。