本发明专利技术属于网络安全技术领域,具体而言涉及一种恶意程序监测方法、装置、介质及设备。通过修改主引导扇区的内容,插入检测程序,在系统启动之前对计算机进行全盘扫描,并且通过在系统内核安装内核监控模块,系统启动之后加载内核以自动监控运行程序可能的恶意行为。实现了在操作系统启动前后对恶意程序的检测管控,保证了检测程序在所有程序之前运行,避免被绕过,提高了信息系统的安全性。提高了信息系统的安全性。提高了信息系统的安全性。
【技术实现步骤摘要】
一种恶意程序监测方法、装置、介质及设备
[0001]本专利技术属于网络安全
,具体而言涉及一种恶意程序监测方法、装置、介质及设备。
技术介绍
[0002]终端设备是计算机信息系统的重要组成部分,是信息系统中进行数据处理的设备,在计算机系统中,计算机终端数量多、分布广,终端使用者的技术水平参差不齐,使得计算机终端容易成为网络攻击的目标,针对计算机终端的安全攻击事件时有发生。通常计算机终端还会被攻击者作为跳板,发起对特定服务器或者特定网络的攻击。
[0003]从计算机诞生以来,计算机终端无时无刻不遭受计算机病毒和恶意代码的攻击。在一些与互联网隔离的政府、军队等专用的信息系统,计算机终端的安全问题也不容忽视,一方面光盘和U盘信息交互检查不严格造成病毒感染和传播,另一方面计算机终端使用控制不严格导致数据有泄露风险。
[0004]所以,计算机终端信息系统对于恶意程序的有效检测显得尤为重要,本专利技术的目的在于提高计算机信息系统的安全性能。
技术实现思路
[0005]基于上述现有技术存在的不足,本专利技术提供一种恶意程序监测方法,以提高计算机系统对于恶意程序监测的安全性能,包括以下步骤:S10、读取主引导扇区,进入检测程序;S20、所述检测程序扫描硬盘,并根据恶意程序信息匹配识别出恶意程序,对所述恶意程序进行隔离;S30、执行所述主引导扇区中位于所述检测程序之后的主引导程序,以进入系统;S40、所述系统加载内核,所述内核包括内核监控模块,所述内核监控模块对所述系统中的行为进行监控,识别并管控其中的恶意行为。
[0006]在一些实施例中,所述检测程序为预先被写入所述主引导扇区的主引导程序之前;所述内核监控模块为预先被安装到所述内核;还包括预先被安装部署的综合安全管理服务器,所述综合安全管理服务器与所述系统通信连接,所述综合安全管理服务器向所述系统下发管控策略信息。
[0007]在一些实施例中,步骤S20中所述检测程序包括接收所述管控策略信息,所述管控策略信息包括恶意程序信息;对所述硬盘进行扫描并通过所述恶意程序信息进行匹配识别;将与所述恶意程序信息相匹配的程序隔离。
[0008]在一些实施例中,所述管控策略信息还包括外接设备管控策略;所述检测程序还包括
对所述系统的外接设备进行扫描;根据所述外接设备管控策略禁止目标外接设备的加载;保存扫描日志,在进入所述系统后通过所述系统将所述扫描日志上传至所述综合安全管理服务器。
[0009]在一些实施例中,步骤S40所述内核监控模块包括接收所述管控策略信息,所述管控策略信息包括行为黑名单;捕获行为消息并获取其控制权;根据所述行为黑名单和所述行为消息匹配判定所述行为是否为所述恶意行为,若是则禁止所述恶意行为的执行;记录运行日志并上传至所述综合安全管理服务器。
[0010]在一些实施例中,所述行为黑名单包括破坏数据、篡改系统文件、远程控制、修改注册表、控制鼠标键盘、浏览器劫持中的一种或多种的组合。
[0011]在一些实施例中,所述管控策略信息还包括程序白名单,所述行为黑名单还包括运行不属于所述程序白名单中的程序。
[0012]本专利技术还提供一种恶意程序监测装置,包括:读取单元,用于读取主引导扇区,进入检测程序;检测单元,通过所述检测程序扫描硬盘,并根据恶意程序信息匹配识别出恶意程序,对所述恶意程序进行隔离;启动单元,执行所述主引导扇区中位于所述检测程序之后的主引导程序,以进入系统;监控单元,通过所述系统加载内核,所述内核包括内核监控模块,所述内核监控模块对所述系统中的行为进行监控,识别并管控其中的恶意行为。
[0013]本专利技术还提供一种电子设备,包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时实现如上任一项所述的恶意程序监测方法。
[0014]本专利技术还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如上任一项所述的恶意程序监测方法。
[0015]本专利技术提供的技术方案,通过修改主引导扇区的内容,插入检测程序,在系统启动之前对计算机进行全盘扫描,并且通过在系统内核安装内核监控模块,系统启动之后加载内核以自动监控运行程序可能的恶意行为。实现了在操作系统启动前后对恶意程序的检测管控,保证了检测程序在所有程序之前运行,避免被绕过,提高了信息系统的安全性。
附图说明
[0016]为了更清楚地说明本说明书实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本说明书实施例中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
[0017]图1为本专利技术提供的一种恶意程序监测方法流程图;图2为本专利技术实施例应用的网络环境拓扑图;图3为本专利技术实施例检测程序流程图;
图4为本专利技术实施例内核监控模块流程图;图5为本专利技术提供的一种恶意程序监测装置架构示意图;图6为本专利技术提供的一种电子设备架构示意图。
具体实施方式
[0018]为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
[0019]为便于对本申请实施例的理解,下面将结合附图以具体实施例做进一步的解释说明,实施例并不构成对本申请实施例的限定。
[0020]本专利技术实施例提供一种恶意程序监测方法,如图1所示,包括以下步骤:S10、读取主引导扇区,进入检测程序。
[0021]其中,主引导扇区是计算机系统开机以后访问硬盘时所必须要读取的第一个扇区,主引导记录程序是指的系统未被修改过的主引导扇区的开头的446字节记载的内容,此外,原始的主引导扇区还包括主引导记录程序之后的4个16字节的“磁盘分区表”(DPT),以及2字节的结束标志(55AA)。在一些实施例中,通过安装模块对系统的原始主引导扇区的内容进行修改,可以将检测程序或者其加载程序插入到原始主引导扇区前446字节内容的最靠前的部分,以实现在执行主引导记录程序启动系统之前便对计算机的先行扫描。
[0022]具体地,修改系统主引导扇区,写入磁盘0柱面0磁头1扇区可执行程序的过程包括:复制0000:7c00h地址的 512字节到0000:0600的位置。
[0023]强行跳转到60:10e的位置开始运行,即程序由0柱面 0磁头1扇区的位置跳转到复制到后面的0600处开始。
[0024]调用INT13 AH:8 DL:80H得到当前硬盘的驱动器参数。
[0025]调用INT13 AH:41h DL:80H,如果出错,即CF 进位标志寄存器被设置 则转入到normal_int13,否则设置成功的标志 extendint13为YES.41h功能是本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种恶意程序监测方法,其特征在于,包括以下步骤:S10、读取主引导扇区,进入检测程序;S20、所述检测程序扫描硬盘,并根据恶意程序信息匹配识别出恶意程序,对所述恶意程序进行隔离;S30、执行所述主引导扇区中位于所述检测程序之后的主引导程序,以进入系统;S40、所述系统加载内核,所述内核包括内核监控模块,所述内核监控模块对所述系统中的行为进行监控,识别并管控其中的恶意行为。2.根据权利要求1所述的恶意程序监测方法,其特征在于:所述检测程序为预先被写入所述主引导扇区的主引导程序之前;所述内核监控模块为预先被安装到所述内核;还包括预先被安装部署的综合安全管理服务器,所述综合安全管理服务器与所述系统通信连接,所述综合安全管理服务器向所述系统下发管控策略信息。3.根据权利要求2所述的恶意程序监测方法,其特征在于:步骤S20中所述检测程序包括接收所述管控策略信息,所述管控策略信息包括所述恶意程序信息;对所述硬盘进行扫描并通过所述恶意程序信息进行匹配识别;将与所述恶意程序信息相匹配的程序隔离。4.根据权利要求3所述的恶意程序监测方法,其特征在于:所述管控策略信息还包括外接设备管控策略;所述检测程序还包括对所述系统的外接设备进行扫描;根据所述外接设备管控策略禁止目标外接设备的加载;保存扫描日志,在进入所述系统后通过所述系统将所述扫描日志上传至所述综合安全管理服务器。5.根据权利要求2所述的恶意程序监测方法,其特征在于:步骤S40所述内核监控模块包括接收所述管控策略信息,所...
【专利技术属性】
技术研发人员:宋焱淼,王耀,王鹏飞,李彦琛,汪文晓,黄河,胡敏,苏怀方,牛晋太,冯中华,郑吉,陈卓,杜丽,宋健,
申请(专利权)人:中国人民解放军六一六六零部队,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。