一种用于清除阻止计算机运行的恶意软件的方法,通过使用针对计算机用户激活的反恶意软件程序而开发的独立防病毒激活设备进行操作,防病毒激活设备由连接到控制总线的连接器、控制器以及激活装置组成,解除限制和恶意软件清除程序包括:检查操作系统的图形子系统状态,搜索所有创建的窗口及用户看过的桌面;分析感染时计算机执行的所有流程;在所收集的数据基础上创建从每一个所述窗口和桌面到特定流程和/或流程层次结构的绑定;分析流程中的数据并识别运行流程中涉及的每个流程的加载模块;搜索操作系统启动过程中自动运行的软件;编译认为恶意的软件列表;隔离每个恶意软件,且从操作系统配置文件中删除其链接,然后终止该软件生成的恶意程序。
【技术实现步骤摘要】
【专利摘要】,通过使用针对计算机用户激活的反恶意软件程序而开发的独立防病毒激活设备进行操作,防病毒激活设备由连接到控制总线的连接器、控制器以及激活装置组成,解除限制和恶意软件清除程序包括:检查操作系统的图形子系统状态,搜索所有创建的窗口及用户看过的桌面;分析感染时计算机执行的所有流程;在所收集的数据基础上创建从每一个所述窗口和桌面到特定流程和/或流程层次结构的绑定;分析流程中的数据并识别运行流程中涉及的每个流程的加载模块;搜索操作系统启动过程中自动运行的软件;编译认为恶意的软件列表;隔离每个恶意软件,且从操作系统配置文件中删除其链接,然后终止该软件生成的恶意程序。【专利说明】
本专利技术涉及防病毒保护领域,尤其是一种用于清除阻止计算机运行的恶意软件的 方法。
技术介绍
现有防恶意软件保护系统可以用两种方法进行检测: ?通过先前从恶意文件内容中所获得的特征数据(签名、图案和校验和等); ?通过恶意软件行为(启发式和行为分析器)。 这两个是经典的有效抵御已知恶意软件的方法。然而不幸地是它们对最近新的恶 意软件不起作用。首要原因是它们的特征数据(签名和校验和)还没有进入反病毒软件的 病毒库。其次在于启发式和行为分析器并没有发现任何危险,因为恶意软件是黑客为了不 引起反病毒程序行为分析器的怀疑而改变其行为专门开发出来的。因此这款对反病毒程序 来说仍然不熟悉的恶意软件在用户运行被感染了的电脑时就会暴露出来。勒索软件就是这 样阻止电脑运行和启动的,例如,通过显示信息,由用户来执行它们的刑事勒索(通常以某 种方式进行支付)。因此,很显然用户的电脑感染了病毒(因为恶意程序要求用户进行一定 操作),电脑运行被阻止,用户不能正常工作,甚至不能启动程序来杀毒。此外,防病毒系统 不检测、也不清除病毒感染,因为它既不能通过典型的迹象也不能通过恶意行为来确定任 何新的威胁。
技术实现思路
本专利技术的目的是提供一种直接由个人计算机用户执行的活动性感染清除程序, 用户可以检测感染并且通过可连接到电脑上的外部激活设备与被感染系统共同运行的防 病毒复合体相互作用而进行杀毒。此外,这个程序可以分析操作系统内部数据的现有状态 (活动性感染),并选择一种特定方法阻止活动性恶意软件。活动性恶意软件以下简称为指 恶意软件,它通过被感染的个人计算机在特定的时间内运行,并以某种方式暴露自己。 因此,因为防病毒系统既不能通过典型的迹象也不能通过恶意行为来确定任何新 的威胁,所以当它们不检测及清除病毒感染时,使用这种方法可以解决上述常规防病毒系 统问题。这是通过用户向杀毒软件反映计算机病毒感染情况,并提前启动搜索和恶意软件 清除程序来实现的,但只适用于活动性感染阶段。因此这种方法的特征在于: ?当恶意程序已禁止或限制使用个人电脑上常规输入设备时,如键盘和鼠标(这 是典型勒索软件行为的例子),使用独立的外围设备可以激活清除程序; ?可以进行恶意软件清除及随后的解除限制步骤而无需重启电脑,也不会丢失当 前未保存的用户数据; ?由于用户启动清除程序之后检测到病毒感染,可以检测并删除或禁用先前并不 存在于反病毒程序病毒库中的恶意软件,并进一步自动分析感染时操作系统的当前状态; ?作为评估一个特定程序被病毒感染的严重程度的主要标准之一,检测行为分析 器未能根据其行为识别的恶意软件不仅仅是通过软件的正式行为呈现的,而且通过用户信 号接受(通过正在使用的激活设备)以及软件特征(时空和情景)来实现的; ?可以简化防病毒复合体和用户之间的互动,其中对于激活恶意软件清除程序,用 户只需要插入设备,然后按下按钮,而不需要其他多余的操作,但要求是计算机安全领域的 高学历人士。 本专利技术的技术效果是在不丢失数据及重启电脑的情况下提供解除电脑限制的可 能性,提升防病毒系统运行的效率,从而提高电脑系统的安全性。 本专利技术提供一种清除阻止电脑运行的恶意软件的方法,这种方法通过专门针对计 算机用户运行的反病毒软件程序激活而开发的独立的反病毒激活设备来操作的,反病毒激 活设备由连接到控制总线的连接器、通过控制总线提供设备运行软硬件的逻辑电路和通信 的控制器以及激活装置组成。上述方法包括: 1.连接防病毒激活设备和计算机。 2.从激活装置发送激活信号。 3.通过激活设备启动解除限制和恶意软件清除程序。 因此,所述解除限制和恶意软件清除程序包括:检查操作系统的图形子系统状态, 搜索所有创建的窗口及用户看过的桌面;分析感染时计算机执行的所有流程;在所收集的 数据基础上创建从每一个所述窗口和桌面到特定流程和/或流程层次结构的绑定;分析流 程中的数据并识别运行流程中涉及的每个流程的加载模块;搜索操作系统启动过程中自动 运行的软件;编译认为恶意的软件列表;隔离每个恶意软件,且从操作系统配置文件中删 除其链接,然后终止该软件生成的恶意程序。 【专利附图】【附图说明】 图1所示为一种防病毒激活设备概念实施例的示意图。 图2所示为以勒索软件为例,阐述清除恶意软件的基本步骤。 图3所示为解除限制和恶意软件清除程序的流程图。 【具体实施方式】 为解决所述及相关问题,下面将结合说明和附图对本专利技术实施例进行具体描述。 然而,这些实施例仅仅是使用所公开原则的一些可能的方法,旨在涵盖所有相似及相同的 说明。下面将结合附图对其它优点和特点进行详细描述。 下面将进行具体详细描述以便全面理解本专利技术。然而显而易见的是没有具体详细 描述,也可以实施一些新颖的具体实施例。此外,为了方便描述,将通过流程图阐述常规的 步骤、结构和装置。 用于激活恶意软件清除程序的防病毒激活设备(图1)可以通过个人计算机中的 标准通信总线,如通用串行总线(USB)、COM端口、LPT端口、(s) ΑΤΑ端口及火线等,连接到 计算机上。因此,反病毒激活设备由连接到特定控制总线的连接器1、通过控制总线提供设 备运行硬软件的逻辑电路和通信的控制器2以及激活装置3组成,激活装置可以配置成按 钮、感应器或开关。值得注意的是在本说明书中只对具体实施例中的一个进行描述,因此其 余具体实施例的技术效果可能会显著不同。 以勒索软件为例,进一步阐述清除恶意软件的基本步骤(图2)。 1.运行计算机(21)时输入数据及创建新的文件(26)会使用户的计算机感染 (22)勒索软件,要求用户支付一定钱款或执行任何其他操作以获得电脑恢复运行的方法。 恶意软件禁止或限制键盘和鼠标的操作,从而使用户不能使用现有电脑设施删除该款恶意 软件,也不能继续运行电脑或甚至保存已输入数据。 2.用户把防病毒激活设备(10)连接(23)到个人计算机。通过标准通信总线连接 器连接到计算机后会发生以下的情况: a.电脑硬件(总线控制器和低级输入输出系统)及内存地址空间中当前加载和计 算机处理器运行的操作系统28识别防病毒激活设备10 ; b.电脑硬件运行的当前操作系统28发送相应信号,使防病毒激活设备10可以加 载管理应用程序(设备驱动程序)。 C.管理应用程序(驱动程序)为当前操作系统28设置防病毒激活设备10,尤其 使其能使用硬件资源。 3.用户按本文档来自技高网...
【技术保护点】
一种用于清除阻止计算机运行的恶意软件的方法,通过使用针对计算机用户激活的反恶意软件程序而开发的独立防病毒激活设备进行操作,防病毒激活设备由连接到控制总线的连接器、通过控制总线提供设备运行软硬件的逻辑电路和通信的控制器以及激活装置组成,其特征在于,该方法包括:连接防病毒激活设备和计算机;从激活装置发送激活信号;和通过激活设备启动解除限制和恶意软件清除程序;其中所述解除限制和恶意软件清除程序包括:检查操作系统的图形子系统状态,搜索所有创建的窗口及用户看过的桌面;分析感染时计算机执行的所有流程;在所收集的数据基础上创建从每一个所述窗口和桌面到特定流程和/或流程层次结构的绑定;分析流程中的数据并识别运行流程中涉及的每个流程的加载模块;搜索操作系统启动过程中自动运行的软件;编译认为恶意的软件列表;隔离每个恶意软件,且从操作系统配置文件中删除其链接,然后终止该软件生成的恶意程序。
【技术特征摘要】
...
【专利技术属性】
技术研发人员:保达诺夫·丹尼斯,
申请(专利权)人:NANO安全有限公司,
类型:发明
国别省市:俄罗斯;RU
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。