本发明专利技术公开了对主引导记录恶意程序进行处理的方法及装置,所述方法包括:在操作系统的注册表中将安全驱动程序注册为系统预留类型,以便操作系统在启动过程中,进行内核初始化时,加载安全驱动程序;在硬盘初始化结束后调用所述安全驱动程序;在所述安全驱动程序被调用后,通过所述安全驱动程序对磁盘的读取操作进行监控;当监控到磁盘的读取/写入操作发生时,对读取/写入的数据进行检测,如果检测出所述读取/写入的数据中包含恶意代码,返回磁盘读取失败,以阻断主引导记录中的恶意程序与磁盘分区中的恶意驱动程序之间的联系。通过本发明专利技术,能够有效的阻止主引导记录恶意程序对计算机的破坏。
【技术实现步骤摘要】
本专利技术涉及计算机安全
,特别是涉及对主引导记录恶意程序进行处理的方法及装置。
技术介绍
磁盘的主引导记录(Master Boot Record,简称MBR)是位于磁盘的O磁头O磁道I扇区,有固定大小的一块存储区域,是计算机开机后访问磁盘所读取的首个区域。主引导记录一般包含三个部分主引导程序、磁盘分区表、以及结束标志字。其中,主引导程序用来在计算机启动时检查分区表是否正确,并且在系统硬件完成自检后将控制权交给磁盘上的系统引导程序。MBR中的主引导程序具有相对于操作系统的独立性,这种独立性体现在计 算机的启动过程中一般的计算启动过程是计算机通电后执行自检,当确定以磁盘作为启动源后由基本输入输出系统将MBR读入内存,控制权交给其中的主引导程序,由主引导程序检查分区表,找到活动的分区,而后将控制权交给活动分区的系统引导程序,由系统引导程序加载操作系统。整个过程中主引导程序的加载和操作系统的加载是两个相对独立的过程,因此MBR中的主引导程序具有相对于操作系统的独立性,即MBR中的主引导程序先于操作系统加载,并且不依赖、也不属于操作系统。正是由于MBR中的主引导程序这种相对于操作系统的独立性,MBR区域成为了一些恶意程序利用的对象,“鬼影”病毒便是其中的代表。该病毒寄存于磁盘的主引导记录中,能够在计算机开机后先于操作系统启动,并且能够使受感染的计算机在系统启动时加载经过精心隐藏的另一个恶意驱动程序B,恶意驱动程序B成功加载后,会实施关闭杀毒软件、下载其他恶意程序等操作,以实现窃取用户信息、破坏用户计算机等不法行为。由于该病毒寄存于磁盘主引导记录中,在其成功运行后,在操作系统中通常找不到任何异常,同时由于磁盘的主引导记录通常不会因重新安装而重写,导致该病毒甚至能够在用户重新安装操作系统后依然存在,并且在计算机启动后仍然能发挥作用,可见该病毒的顽固程度。因此,迫切需要本领域技术人员解决的技术问题就在于,如何有效的阻止此类恶意程序对计算机系统的破坏。
技术实现思路
鉴于上述问题,提出了本专利技术以便提供一种克服上述问题或者至少部分地解决上述问题的对主引导记录恶意程序进行处理的方法和相应的对主引导记录恶意程序进行处理的装置。依据本专利技术的一个方面,提供了一种对主引导记录恶意程序进行处理的方法,包括在启动操作系统的过程中,进行内核初始化时,加载安全驱动程序;在硬盘初始化结束后调用所述安全驱动程序;通过所述安全驱动程序对磁盘的读取操作进行监控;当监控到磁盘的读取/写入操作发生时,对读取/写入的数据进行检测,如果检测出所述读取/写入的数据中包含恶意代码,返回磁盘读取失败,以阻断主引导记录中的恶意程序与磁盘分区中的恶意驱动程序之间的联系。可选地,所述在启动计算机的过程中,系统进行内核初始化时,加载安全驱动程序包括在操作系统的注册表中将安全驱动程序注册为系统预留类型,以便操作系统在启动过程中,进行内核初始化时,加载安全驱动程序。可选地,所述在硬盘初始化结束后调用所述安全驱动程序包括在所述安全驱动程序被加载时,向系统注册回调函数,以便在硬盘初始化结束之后所述安全驱动程序被操作系统调用。 可选地,还包括对所述主引导记录中的恶意程序进行清除。可选地,,所述对所述主引导记录中的恶意程序进行清除包括重建主引导记录。可选地,还包括对所述磁盘分区中的恶意驱动程序进行删除。根据本专利技术的另一方面,提供了一种对主引导记录恶意程序进行处理的装置,包括加载单元,用于在启动操作系统的过程中,进行内核初始化时,加载安全驱动程序;调用单元,用于在硬盘初始化结束后调用所述安全驱动程序;监控单元,用于通过所述安全驱动程序对磁盘的读取操作进行监控;检测单元,用于当监控到磁盘的读取/写入操作发生时,对读取/写入的数据进行检测,如果检测出所述读取/写入的数据中包含恶意代码,返回磁盘读取失败,以阻断主引导记录中的恶意程序与磁盘分区中的恶意驱动程序之间的联系。可选地,所述加载单元包括注册表写入单元,用于在操作系统的注册表中将安全驱动程序注册为系统预留类型,以便操作系统在启动过程中,进行内核初始化时,加载安全驱动程序。可选地,所述调用单元包括回调函数注册单元,用于在所述安全驱动程序被加载时,向系统注册回调函数,以便在硬盘初始化结束之后所述安全驱动程序被操作系统调用。可选地,还包括清除单元,用于对所述主引导记录中的恶意程序进行清除。可选地,所述清除单元包括重建子单元,用于重建主引导记录。可选地,还包括删除单元,用于对所述磁盘分区中的恶意驱动程序进行删除。根据本专利技术的另一方面,提供了一种对主引导记录恶意程序进行处理的设备,包括前述任一项所述的对主引导记录恶意程序进行处理的装置。根据本专利技术提供的具体实施例,本专利技术公开了以下技术效果根据本专利技术的对主引导记录恶意程序进行处理的方法及装置,可以能够在系统启动的早期阶段,MBR、B00TL0ADER、B00TMGR等初始化好后,系统在初始化内核的时候,加载安全驱动程序,然后HOOK系统读写磁盘的操作,当读取的扇区内包含恶意代码的时候,返回失败,从而让恶意驱动无法被加载,完全切断了 MBR和与恶意驱动之间的联系,使MBR恶意程序完全失效,进而可以轻易的处理残留的MBR病毒体,有效的阻止此类恶意程序对计算机系统的破坏。上述说明仅是本专利技术技术方案的概述,为了能够更清楚了解本专利技术的技术手段,而可依照说明书的内容予以实施,并且为了让本专利技术的上述和其它目的、特征和优点能够更明显易懂,以下特举本专利技术的具体实施方式。附图说明 通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本专利技术的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中图I示出了根据本专利技术一个实施例的方法的流程图;以及图2示出了根据本专利技术一个实施例的装置的示意图。具体实施例方式下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。参见图1,本专利技术实施例提供的对主引导记录恶意程序进行处理的方法包括以下步骤SlOl :在启动操作系统的过程中,进行内核初始化时,加载安全驱动程序;在现代操作系统中,应用程序不能直接访问硬件,而是通过调用操作系统提供的接口来使用硬件,而操作系统依赖内核空间来管理和调度这些应用。内核空间由四大部分组成,分别是进程管理(负责分配CPU时间)、文件访问(把设备调配成文件系统,并提供一个一致的接口供上层程序调用)、安全控制(负责强制规定各个进程的具体的权限和单独的内存范围,避免各进程之间发生冲突)和内存管理(负责进程运行时对内存资源的分配、使用、释放和回收)。内核是一种数据结构,Rootkit技术通过修改内核的数据结构来隐藏其他程序的进程、文件、网络通讯和其它相关信息(比如注册表和可能因修改而产生的系统日志等)。Bootkit 是更高级的 Rootkit, Bootkit 通过感染 MBR(Master Boot Record,磁盘主引导记录)的方式,实现绕过内本文档来自技高网...
【技术保护点】
一种对主引导记录恶意程序进行处理的方法,包括:在启动操作系统的过程中,进行内核初始化时,加载安全驱动程序;在硬盘初始化结束后调用所述安全驱动程序;通过所述安全驱动程序对磁盘的读取操作进行监控;当监控到磁盘的读取/写入操作发生时,对读取/写入的数据进行检测,如果检测出所述读取/写入的数据中包含恶意代码,返回磁盘读取失败,以阻断主引导记录中的恶意程序与磁盘分区中的恶意驱动程序之间的联系;其中,所述在启动操作系统的过程中,进行内核初始化时,加载安全驱动程序包括:在操作系统的注册表中将安全驱动程序注册为系统预留类型,以便操作系统在启动过程中,进行内核初始化时,加载安全驱动程序。
【技术特征摘要】
【专利技术属性】
技术研发人员:邵坚磊,
申请(专利权)人:北京奇虎科技有限公司,奇智软件北京有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。