[发明专利]内核级恶意软件查杀的方法和装置

权利要求书

1.一种内核级恶意软件查杀的方法，包括：

获取操作系统中记录当前正在运行的进程间指向关系的数据结构；

在所述数据结构中定位已加载的杀毒软件进程的前方进程和后方进程，其中，所述前方进程为所述杀毒软件进程所指向的进程，所述后方进程为指向所述杀毒软件进程的进程；

将所述前方进程和所述后方进程的指向关系修改为所述后方进程直接指向所述前方进程；

通过已隐藏的杀毒软件对所述操作系统进行恶意软件的查杀。

2.根据权利要求1所述的方法，其中，所述获取操作系统中记录当前正在运行的进程间指向关系的数据结构，包括：

接收用户对内核级的恶意软件的查杀请求；

通过预先启动的保护工具执行获取操作系统中记录当前正在运行的进程间指向关系的数据结构的操作。

3.根据权利要求1所述的方法，其中，所述获取操作系统中记录当前正在运行的进程间指向关系的数据结构，包括：

在内存中读取用于记录所述操作系统当前正在运行的进程的进程信息的双向链表；

在所述双向链表中读取用于记录进程间指向关系的数据结构。

4.根据权利要求3所述的方法，其中，所述双向链表为PsAcvtiveProcessList链表。

5.根据权利要求1至4任一项所述的方法，其中，所述数据结构为EPROCESS结构；

其中，所述EPROCESS结构中包括LIST_ENTRY结构，所述LIST_ENTRY结构中包括指针成员FLINK和BLINK，所述FLINK中记录的指针用于指向当前EPROCESS结构所属进程的前方进程，所述BLINK中记录的指针用于指向当前EPROCESS结构所属进程的后方进程。

6.根据权利要求5所述的方法，其中，在所述数据结构中定位已加载的杀毒软件进程的前方进程和后方进程，包括：

查找与已加载的杀毒软件进程对应的EPROCESS结构；

读取所述EPROCESS结构中的指针成员FLINK和BLINK所记录的指针；

通过所述指针成员FLINK和BLINK所记录的指针定位所述杀毒软件的前方进程和后方进程。

7.一种内核级恶意软件查杀的装置，包括：

数据结构获取模块，配置为获取操作系统中记录当前正在运行的进程间指向关系的数据结构；

进程定位模块，配置为在所述数据结构中定位已加载的杀毒软件进程的前方进程和后方进程，其中，所述前方进程为所述杀毒软件进程所指向的进程，所述后方进程为指向所述杀毒软件进程的进程；

指向关系修改模块，配置为将所述前方进程和所述后方进程的指向关系修改为所述后方进程直接指向所述前方进程；

查杀模块，配置为通过已隐藏的杀毒软件对所述操作系统进行恶意软件的查杀。

8.根据权利要求7所述的装置，其中，所述数据结构获取模块配置为按照如下方式获取操作系统中记录当前正在运行的进程间指向关系的数据结构：

接收用户对内核级的恶意软件的查杀请求；

通过预先启动的保护工具执行获取操作系统中记录当前正在运行的进程间指向关系的数据结构的操作。

9.根据权利要求7所述的装置，其中，所述数据结构获取模块包括：

链表获取单元，配置为在内存中读取用于记录所述操作系统当前正在运行的进程的进程信息的双向链表；

数据结构读取单元，配置为在所述双向链表中读取用于记录进程间指向关系的数据结构。

10.根据权利要求9所述的装置，其中，所述链表获取单元获取的双向链表为PsAcvtiveProcessList链表。