一种病毒处理方法技术

技术编号:2846712 阅读:206 留言:0更新日期:2012-04-11 18:40
本发明专利技术公开了一种病毒处理方法,该方法首先确定系统中与系统安全相关的关键数据,并将针对所述关键数据的操作作为病毒行为;之后判断系统中程序的运行行为是否属于病毒行为,如果是,则确定该程序为病毒程序;否则,确定该程序不属于病毒程序。本发明专利技术方案解决了目前的安全软件只能查杀已知的病毒,无法防止未知病毒对系统攻击的问题。通过本发明专利技术所提供的方案,增强了PC对未知病毒的防范能力,降低了PC的系统风险,并降低了病毒对系统及用户数据可能造成的危害。

【技术实现步骤摘要】

本专利技术涉及计算机安全
,更确切地说是涉及。
技术介绍
目前,随着计算机的日益发展和普及,计算机已成为人们工作和生活中不可或缺的使用工具。随着计算机的发展,对计算机造成侵害的病毒也在日新月异地发展。众所周知,病毒对计算机的危害相当大,轻则占用计算机内存,引起死机,重则破坏计算机中的文件,使得计算机无法使用。因此,针对病毒防范的安全软件成了所有计算机必须配备的工具。目前最主流的安全软件是杀毒软件。杀毒软件的原理是通过对已知病毒的代码分析找到已知病毒的代码特征,将该病毒的特征记录到杀毒软件的病毒库中,之后在查杀病毒时,杀毒软件对系统中文件代码进行扫描,并把文件内容与病毒库中的病毒特征进行比较,从而确定该文件是否有病毒。从上述描述可以看出,杀毒软件只能查杀已知病毒,并且只能根据文件内容查杀病毒。而病毒的发展和变异是相当快的,如果出现了新病毒,或者病毒稍有变形,则杀毒软件就不能发现这样的病毒了。只有在杀毒软件公司分析了该病毒的代码,提出病毒代码特征并升级病毒库后,才能查杀新病毒。显然,从新病毒出现到建立新的病毒库的过程中,用户的计算机始终处于危险状态,很有可能会因被病毒攻击而造成重大损失。另外,目前比较流行的安全软件还有防火墙。防火墙虽然也有防止病毒侵袭的功能,但其只能阻止从网络来的病毒对PC的攻击。一旦病毒在本机运行,比如,用户下载了带有病毒的软件,并在本地运行了该软件,或者用户访问了一个特殊网站,该网站利用网络浏览器的缺陷,将病毒程序放到用户的计算机上,并在后台运行,防火墙就无能为力了。综上所述,目前的安全软件都只能查杀现有的病毒,无法防止未知病毒对系统的攻击。
技术实现思路
有鉴于此,本专利技术所要解决的主要问题在于提供,以不用得知病毒的代码就能确定病毒。为解决上述问题,本专利技术提供了以下技术方案,该方法包括以下步骤a.确定系统中与系统安全相关的关键数据,并将针对所述关键数据的操作作为病毒行为;b.判断系统中程序的运行行为是否属于病毒行为,如果是,则确定该程序为病毒程序;否则,确定该程序不属于病毒程序。所述步骤a中,所述关键数据包括核心文件和/或关键注册表项。所述步骤a中,所述病毒行为包括修改特定的系统内核文件、批量替换特定的文件、在系统启动项中添加程序、打开系统的特定端口、访问系统中的通讯录并向通讯录中所有人发送程序、将自己的线程加到其他内存运行的进程中的一个或任意组合。该方法进一步包括设置合法程序和/或合法程序行为;步骤b中,所述在确定程序为病毒程序之前,进一步包括判断该程序是否属于合法程序或合法程序行为,如果是,则确定该程序不是病毒程序;否则,确定该程序为病毒程序。所述合法程序包括注册表编辑器、杀毒软件升级程序、修改注册表及系统核心程序的系统升级程序、用户自身下载的病毒升级程序中的一个或任意组合。该方法进一步包括设置系统监控行为服务程序; 所述步骤b之前进一步包括所述系统监控行为服务程序在用户启动病毒处理后,确定直接执行所述步骤b;在用户暂停病毒处理后,确定暂停执行步骤b,且在用户重启病毒处理后再执行所述步骤b。所述系统为Windows系统,且所述系统中的设备对象为堆栈式层次结构;该方法进一步包括在堆栈式层次结构中设置过滤器设备对象;所述步骤b通过所设置的过滤器设备对象执行。所述过滤器设备对象为上层过滤器设备对象。所述步骤b在确定程序为病毒程序后,进一步包括系统发出报警信息,和/或阻止病毒对系统的行为,和/或关闭该程序的运行。本专利技术通过将对关键数据的操作作为病毒行为,并判断系统中运行的程序是否属于病毒行为,使得不需要知道病毒的代码就可以确定病毒程序,从而增强了PC对未知病毒的防范能力,降低了PC的系统风险,降低了病毒对系统及用户数据可能造成的危害。本专利技术方案所提供的病毒行为还可以根据病毒的发展动态增加,实现起来非常灵活。本专利技术方案所提供的合法程序及合法程序行为可以根据实际情况进行设置或增加,尽可能地降低将合法程序误认为病毒程序的概率,使得对病毒的确定更加准确。本专利技术还提供了由用户主动启动/暂停病毒处理的方案,使得用户对病毒处理的使用更加方便。对于Windows系统来说,本专利技术还提供了利用过滤器设备对象对程序是否为病毒程序进行监控的方案,而Windows系统是非常普遍的系统,因此该方案使得使用Windows系统的PC能够非常容易地发现病毒。附图说明图1为本专利技术方案中具体实施例的处理流程图。具体实施例方式本专利技术方案主要是通过分析病毒在系统中的行为模式提出病毒行为特征,并形成病毒行为库,之后,在系统运行过程中,监视并检查系统中正在运行的各个程序的行为,如果发现有某个程序的运行符合病毒行为,则确定该程序属于病毒程序。其中,由于病毒通常是针对系统中的某些关键数据进行攻击,因此可以首先确定关键数据,并将攻击该关键数据的行为看作是病毒行为。下面再结合附图及具体实施例对本专利技术方案作进一步详细的说明。该方案如图1所示,包括以下步骤步骤101、确定系统中与系统安全相关的关键数据。所确定的系统关键数据可以包括核心文件及关键注册表项,还可以根据需要将其他的数据作为关键数据。之所以确定系统核心文件及关键的注册表项,是因为这类文件/数据通常是系统的关键数据,这些关键数据在系统运行过程中会影响到系统的稳定性与安全性,而病毒恰恰是希望改变或删除这些关键数据。比如,Windows系统中运行服务的相关文件,如SVCHOST.EXE,就可以称为系统核心文件;注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中的数据也为关键数据,相应的注册表项即为关键注册表项。步骤102、根据步骤101定义的关键数据定义病毒行为。病毒对计算机系统造成危害主要是通过修改或扰乱步骤101所定义的系统核心文件、关键注册表项或其他数据造成的。比如,病毒程序可能会修改步骤101所定义的系统内核文件,如用有病毒的内核替换正常的系统内核,或者批量替换某种类型的文件,将病毒复制到这些文件中,以利于自己的传播。再比如,在注册表等系统启动项中添加病毒程序,系统再次启动时该病毒程序就会被启动。还有,打开系统的特定端口,以便向系统外发送用户的密码等重要数据,或使本系统接受其他计算机上的黑客对本系统的控制;访问计算机上的通讯录,并向通讯录上的所有人发送带有病毒的程序;将自己的线程加到在其他内存中运行的进程中,从而扰乱其他计算机的运行。由此,可以根据病毒在上述情况下所做的处理设置病毒行为,所设置的病毒行为可以包括修改特定的系统内核文件、批量替换特定的文件、在注册表等系统启动项中添加程序、打开系统的特定端口、访问系统中的通讯录并向通讯录中所有人发送程序、将自己的线程加到其他内存运行的进程中。可以将这些病毒行为设置为病毒行为库。显然,该病毒行为库可以根据需要进行升级。步骤103、根据步骤102定义的病毒行为对运行的程序进行监视和检查,在确定某个程序的运行符合病毒行为后,即确定该程序为病毒程序。在确定程序为病毒程序后,系统可以向用户发出报警信息,还可以阻止该进程对系统的行为,甚至还可以在用户许可的情况下,通过进程监控服务来关闭该进程。通过上述过程即可完成查找系统中的病毒。另外,系统中有些程本文档来自技高网
...

【技术保护点】
一种病毒处理方法,其特征在于,该方法包括以下步骤:a.确定系统中与系统安全相关的关键数据,并将针对所述关键数据的操作作为病毒行为;b.判断系统中程序的运行行为是否属于病毒行为,如果是,则确定该程序为病毒程序;否则,确定该程序 不属于病毒程序。

【技术特征摘要】
1.一种病毒处理方法,其特征在于,该方法包括以下步骤a.确定系统中与系统安全相关的关键数据,并将针对所述关键数据的操作作为病毒行为;b.判断系统中程序的运行行为是否属于病毒行为,如果是,则确定该程序为病毒程序;否则,确定该程序不属于病毒程序。2.根据权利要求1所述的方法,其特征在于,所述步骤a中,所述关键数据包括核心文件和/或关键注册表项。3.根据权利要求1所述的方法,其特征在于,所述步骤a中,所述病毒行为包括修改特定的系统内核文件、批量替换特定的文件、在系统启动项中添加程序、打开系统的特定端口、访问系统中的通讯录并向通讯录中所有人发送程序、将自己的线程加到其他内存运行的进程中的一个或任意组合。4.根据权利要求1所述的方法,其特征在于,该方法进一步包括设置合法程序和/或合法程序行为;步骤b中,所述在确定程序为病毒程序之前,进一步包括判断该程序是否属于合法程序或合法程序行为,如果是,则确定该程序不是病毒程序;否则,确定该程序为病毒程序。5.根据权利要求4...

【专利技术属性】
技术研发人员:杨文兵黄高贵
申请(专利权)人:联想北京有限公司
类型:发明
国别省市:11[中国|北京]

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1