木马的查杀方法和装置的制造方法

木马的查杀方法和装置的制造方法
【技术领域】
[0001]本发明涉及计算机安全领域，特别是涉及一种木马的查杀方法和装置。
【背景技术】
[0002]木马是一种计算机病毒，即计算机恶意程序，能危害计算机安全。木马种类很多，其中，“暗云”是一个迄今为止最复杂的木马之一，感染了数以百万的计算机，暗云木马能长期地潜伏在用户的计算机系统中，暗云木马使用了 Bootkit技术，直接感染磁盘的引导区，感染后即使重装系统格式化硬盘也无法清除该木马。Bootkit是更高级的Rootkit，该概念最早于2005年被eEye Digtal公司在他们的BootRoot项目中提及，该项目通过感染MBR(Master Boot Record，磁盘主引记录)的方式，实现绕过内核检查和启动隐身。暗云木马具有以下特点:
[0003]第一，隐蔽性非常高，通过Hook磁盘驱动实现对已感染的MBR进行保护，防止被杀毒软件检测和清除，并且使用对象劫持技术躲避安全人员的手工检测，隐蔽性极高，传统的杀毒软件都无法检测和查杀该木马。
[0004]第二，木马以轻量级的身躯隐藏于磁盘最前端的30个扇区中，这些常驻与系统中代码并没有传统木马的功能，这些代码的功能仅仅是到执行的服务器(云端)下载其他功能代码到内存中直接执行，这些功能模块每次开机由隐藏的模块从云端下载。因此该木马体积小巧，且云端控制性强。
[0005]第三，Ring 3与Ring O的通信方式。微软正统的通信方式是Ring O代码创建驱动设备，Ring 3代码通过打开Ring O创建的设备实现相互之间的通信。常见的木马使用的通信方式是在Ring O对指定的API函数进行Hook，而暗云木马是通过注册回调的方式来实现。
[0006]第四，操作系统全量兼容。一份BootKit同时兼容x86、x64两种版本的操作系统，且能够兼容Xp、Win7等目前主流的操作系统版本，因此影响范围十分广泛。
[0007]第五，有效对抗杀软。由于该木马的主体在内核中运行，且启动时间比传统的杀毒软件都早，因此大部分的杀毒软件无法拦截和检测该木马的恶意行为。该木马能够在内核中直接结束部分杀毒软件进程，同时可以向任意杀毒软件进程插入APC(Asynchronousprocedure call，异步调用程序)执行。插入的APC代码不稳定，且会关闭杀毒软件的设备句柄，会导致杀毒软件崩溃或退出，大大减少了被检测的机率。
[0008]传统的木马查杀是在用户主动触发杀毒软件进行扫描时，检查MBR是否是正常系统的引导记录来发现风险和处理，然而，对于已经Hook 了磁盘驱动来保护自身的Bootkit木马，在检查MBR时，会被木马监控到，并欺骗，读取到的MBR是木马伪造的完全正常的内容，因此无法检查出木马。

【发明内容】

[0009]基于此，有必要针对传统的杀毒软件无法检查出Bootkit木马的问题，提供一种木马查杀方法，能检测出Bootkit木马，并查杀。
[0010]一种木马的查杀方法，包括以下步骤:
[0011]获取木马查杀指令；
[0012]根据所述木马查杀指令检测磁盘驱动是否被挂钩；
[0013]若检测到磁盘驱动被挂钩，则清除挂钩；
[0014]读取磁盘的第一物理扇区的主引导记录；
[0015]判断所述第一物理扇区的主引导记录是否符合预设的病毒特征，若是，则判断磁盘的第二物理扇区上的数据是否为正常的主引导记录，若是，则判断第一物理扇区的分区表是否正常，若是，将所述第二物理扇区上的主引导记录覆盖第一物理扇区的起始处，重启系统以清除木马；否则结束。
[0016]一种木马的查杀装置，包括:
[0017]指令获取模块，用于获取木马查杀指令；
[0018]挂钩检测模块，用于根据所述木马查杀指令检测磁盘驱动是否被挂钩；
[0019]清除模块，用于若检测到磁盘驱动被挂钩，则清除挂钩；
[0020]读取模块，用于读取磁盘的第一物理扇区的主引导记录；
[0021]判断模块，用于判断所述第一物理扇区的主引导记录是否符合预设的病毒特征，若是，则进一步判断磁盘的第二物理扇区上的数据是否为正常的主引导记录，若是，则再判断第一物理扇区的分区表是否正常；
[0022]拷贝模块，用于当判断出所述第一物理扇区的主引导记录符合预设的病毒特征、磁盘的第二物理扇区上的数据为正常的主引导记录且第一物理扇区的分区表正常时，将所述第二物理扇区上的主引导记录覆盖第一物理扇区的起始处；
[0023]重启模块，用于重启系统以清除木马。
[0024]上述木马的查杀方法和装置，检测到磁盘驱动被挂钩后，清除挂钩，然后读取第一物理扇区上的主引导记录，判断该主引导记录符合预设的病毒特征，则判定中毒，然后判断第二物理扇区上的主引导记录正常且分区表正常，则将第二物理扇区上的主引导记录覆盖到第一物理扇区的起始处，然后重启系统清除木马，实现了对Bootkit木马的查杀。
【附图说明】
[0025]图1A中的终端的内部结构框图；
[0026]图1B为一个实施例中服务器的内部结构框图；
[0027]图2为一个实施例中木马的查杀方法的流程图；
[0028]图3为杀毒软件菜单界面示意图；
[0029]图4为显示Rootkit病毒检测的界面；
[0030]图5为木马扫描界面提供扫描结果的示意图；
[0031]图6为木马清除需重启计算机的提示界面示意图；
[0032]图7为一个实施例中若检测到磁盘驱动被挂钩，清除挂钩的具体步骤的流程图；
[0033]图8为另一个实施例中木马的查杀方法的流程图；
[0034]图9为一个实施例中木马的查杀装置的结构框图；
[0035]图10为另一个实施例中木马的查杀装置的结构框图。
【具体实施方式】
[0036]为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
[0037]图1A中的终端的内部结构框图。如图1A所示，该终端包括通过系统总线连接的处理器、存储介质、内存、网络接口、显示屏和输入装置。其中，终端的存储介质存储有操作系统，还包括一种木马的查杀装置，该木马的查杀装置用于实现一种木马的查杀方法。该处理器用于提供计算和控制能力，支撑整个终端的运行。终端中的内存为存储介质中的木马的查杀装置的运行提供环境，网络接口用于与服务器进行网络通信，如发送病毒数据更新请求至服务器，接收服务器返回的病毒数据等。终端的显示屏可以是液晶显示屏或者电子墨水显示屏等，输入装置可以是显示屏上覆盖的触摸层，也可以是终端外壳上设置的按键、轨迹球或触控板，也可以是外接的键盘、触控板或鼠标等。该终端可以是手机、平板电脑、台式计算机、笔记本电脑或者个人数字助理等。本领域技术人员可以理解，图1A中示出的结构，仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的终端的限定，具体的终端可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。
[0038]图1B为一个实施例中服务器的内部结构框图。如图1B所示，该服务器包括通过系统总线连接的处理器、存储介质、内存和网络接口。其中，该服务器的存储介质存储有操作系统、数据库和木马的查杀装置，数据库中存储有计算机病毒数据，该木马的查杀装置用于实现适用于服务器的一种木马的查杀方法。该服务器的处理器用于提供计算和控制能力，支撑整个服务器的运行。该服务器的内存为存储介质中的木马的查杀装置的运行提供环境。该服务器的网络接口用于据以与外部的终端通过网络连接通信，比如接收终端发送的病毒更新请求以及向终端返回新的病毒数据等。服务器可以用独立的服务器或者是多个服务器组成的服务器集群来实现。本领域技术人员可以理解，图1B中示出的结构，仅仅是与本申请方