【技术实现步骤摘要】
恶意软件检测方法
[0001]本专利技术涉及软件检测
,具体而言,涉及一种恶意软件检测方法。
技术介绍
[0002]到目前为止,关于恶意软件的检测方式,几乎所有提出的方法都集中在用户级和内核级的混合代码上。内核级代码,使用内核级代码进行完全的操作系统控制,而用户级代码用于导入地址表(IAT)过滤。但是在内核级的代码上设置恶意软件的检测系统,容易导致操作系统在执行过程中崩溃,对于操作系统的友好性很差。
技术实现思路
[0003]本专利技术的内容部分用于以简要的形式介绍构思,这些构思将在后面的具体实施方式部分被详细描述。本专利技术的内容部分并不旨在标识要求保护的技术方案的关键特征或必要特征,也不旨在用于限制所要求的保护的技术方案的范围。
[0004]为了解决以上
技术介绍
部分提到的技术问题,本专利技术的一些实施例提供了一种恶意软件检测方法,包括步骤:设置敏感API接口库;基于用户级代码设计监视器;监视器加载目标程序,监视器监视目标程序执行时调用的API接口;监视器对目标程序调用API接口进行监控,目标...
【技术保护点】
【技术特征摘要】
1.一种恶意软件检测方法,其特征在于:包括步骤:设置敏感API接口库;基于用户级代码设计监视器;监视器加载目标程序,监视器监视目标程序执行时调用的API接口;监视器对目标程序调用API接口进行监控,目标程序在调用敏感API接口库中记载的API接口时,监视器暂停目标程序,并将目标程序调用敏感API接口库中记载的API接口的情况由工程人员判断目标程序是否被允许调用该API接口,如果工程人员允许调用API接口,则目标程序继续运行,如果工程人员不允许调用API接口,则终止目标程序。2.根据权利要求1所述的恶意软件检测方法,其特征在于:监视器加载目标程序时,目标程序被设置CREATE_SUSPENDED 标志。3.根据权利要求1所述的恶意软件检测方法,其特征在于:目标程序执行时,需要调用ResumeThread()函数,监视器在目标程序调用ResumeThread()函数之前,监视器对目标程序注入监视代码。4.根据权利要求1所述的恶意软件检测方法,其特征在于:目标程序具有多个进程,每个进程依次执行,监视器监视目标程序所有进程中对于API接口的调用情况。5.根据权利要求...
【专利技术属性】
技术研发人员:张佩琦,张路金,乔晓冬,
申请(专利权)人:中科九度北京空间信息技术有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。