在计算机存储设备上查找有害程序的方法技术

在计算机存储设备上查找有害程序的方法，至少包含以下步骤：有害程序分析：提取通用或专有的有害程序相关信息生成特征库；查找前预处理：如果需要，提供与本次查找相关的信息，并准备必要的软硬件环境；有害程序查找；使用专用查找程序，遍历文件系统，分析每个可执行程序或包含可执行文件的压缩包的特征，并依据上述特征库来判断该程序是否是有害程序；结果显示：将查找到的有害程序及相关信息汇总形成列表；备份输出：如果需要，可将确定的或可疑的可执行程序备份，供进一步分析与更新特征库之用。本发明专利技术适合在计算机中查找各种违法违规程序，优点是准确率好，效率高。

【技术实现步骤摘要】

本专利技术涉及一种计算机有害程序查找的实现技术，更具体的说，涉及一种在计算机存储设备中，查找某类或某个特定可执行程序的方法。
技术介绍
随着计算机应用的日益普及，各种各样的计算机程序存在于计算机存储设备中。对于网吧等公用计算机、或单位中的办公用机等，违法或违反本单位规定的程序很容易被存放在其存储设备中，而且难于被发现。对于这种情况，管理人员经常感到束手无策，因为单凭人力，甄别每个程序是否为有害程序是一件工作量庞大的事情，而部分软件，不需要安装，复制后就可直接使用，使用windows的用户权限管理也不能很好的解决该类程序扩散的问题。因此，使用专用软件，对有害程序的特征进行提取，并基于生成的特征库，在计算机中自动进行查找，为解决这个问题提供了一种简单快捷的方法。
技术实现思路
本专利技术的目的在于，提供一种快速扫描存储设备中可能存在的有害程序的方法，并且在使用上简单易用，方便快捷。，至少包含以下几个步骤步骤1有害程序分析提取有害程序相关(通用或专有的)信息生成特征库；步骤2查找前预处理如果需要，提供与本次查找相关的信息，并准备必要的软硬件环境；步骤3有害程序查找使用专用查找程序，遍历文件系统，分析每个可执行程序(或包含可执行文件的压缩包)的特征，并依据上述特征库来判断该程序是否是有害程序；步骤4结果显示将查找到的有害程序及相关信息汇总形成列表；步骤5备份输出如果需要，可将确定的或可疑的可执行程序备份，供进一步分析与更新特征库之用。本专利技术的主要特点在于，在特征提取时，区分了有害程序的通用特征和专有特征。其通用特征，包含该类别程序代码段的共有部分、可预知的程序行为(如硬件访问、网络使用等等)、所执行的系统API调用以及这些调用的次序关系、与其它文件(动态链接库文件、配置文件、媒体文件等等)之间的关系等，以及其他通过分析该类别程序的类似性可提取的特征；其专有特征，包含该程序的长度、PE结构、代码段内容、资源段内容等等，以及其他通过分析该可执行文件本身的数据内容可提取的特征。通过通用特征，可以判断某程序是否可能为某类有害程序，并根据分析计算，提供它是有害程序的确信度；通过专用特征，则可判断某程序是否为某个确定的有害程序。本专利技术的另一个主要特点在于，查找过程包括快速特征匹配、确定特征匹配、模糊特征匹配三个阶段。在分析初期利用某些快速特征进行预判，可以大大提高分析的效率，利用模糊特征进行扩展分析，可以增加有害程序被发现的几率，并提供一种自我完善系统专有特征库的方法。附图说明图1为本专利技术的一个特征提取流程。图2为本专利技术分析某文件是否为有害程序的流程图。图3为本专利技术软件结构框图具体实施方式下面结合附图和具体实施方式对本专利技术做进一步的详细说明参见图1，在本专利技术的一个实现中，进行特征提取的流程，用户将需要查找的有害程序以及相关文件打包，通过专用库管理程序按固定格式存入原始程序库中，除了添加外，使用库管理程序还可以对这些原始程序修改或进行删除。对原始程序库，使用特征提取工具可以自动分析，并生成快速特征库、确定特征库、模糊特征库和特征关联库等四个特征库。快速特征库用于快速特征匹配，确定特征库用于确定特征匹配，模糊特征库用于模糊特征匹配，而特征关联库，则记录了有害程序的说明，以及几个库之间的关联关系等等。此外，在特征提取过程中还要进行相同特征过滤的操作，将不同有害程序中完全相同的文件剔出，以避免在分析时无法确定该文件到底属于哪个有害程序。参见图2，在本专利技术的一个实现中，在遍历文件系统时，对某个文件一个简化的判断流程为先根据已确定列表，判断该文件是否是已分析到的某个有害程序相关的文件，如果是则无需重复判断，直接跳过即可，如果不是进入判断流程。首先，进行快速特征匹配，提取该文件的快速特征，与快速特征表进行比对，判断它是否有可能是某有害程序，如果没有怀疑的对象，则跳过该文件分析下一个文件。如果再快速特征匹配中有怀疑的对象，那么先进行确定特征匹配，以判断该文件是否属于某特定的有害程序，其方法是逐一比对怀疑目标的确定特征，如果完全一致，则可确定为该有害程序，如果都不一致，则进入模糊特征匹配阶段。模糊匹配的方法也类似，逐一比对怀疑目标的模糊特征，并计算其确信度，直到某一怀疑目标的确信度达到百分之百，如果所有怀疑目标的确信度都为未达到百分之百，那么取其中最大的一个(存在多个相同最大确信度的怀疑目标时，先匹配到的优先)，为防止误配，在确定是否将其判断为有害程序前，判断其确信度是否高于某个预设的阀值，如果高于才判断其为某有害程序。如果在上述过程中，判定了该文件属于某有害程序，那么将该结果进行记录及显示，并且要将该有害程序的其他相关文件加入到已确定列表中，当以后分析到该文件时便可跳过，以提高分析速度。此外，在本专利技术的一个实现中，还利用了压栈的方式，对上述匹配的顺序进行了调整，如在某一目录或子目录下，先匹配的可执行程序、先进行所有文件的确定匹配再进行模糊匹配等等，以进一步提高查找效率和精确度。本文档来自技高网...

【技术保护点】
在计算机存储设备上查找有害程序的方法，其特征为至少包含以下步骤：步骤１：有害程序分析：提取通用或专有的有害程序相关信息生成特征库；步骤２：查找前预处理：如果需要，提供与本次查找相关的信息，并准备必要的软硬件环境；步骤３：有害 程序查找：使用专用查找程序，遍历文件系统，分析每个可执行程序或包含可执行文件的压缩包的特征，并依据上述特征库来判断该程序是否是有害程序；步骤４：结果显示：将查找到的有害程序及相关信息汇总形成列表；步骤５：备份输出：如果需要，可将确定的或可疑的可执行程序备份，供进一步分析与更新特征库之用。

【技术特征摘要】
1.在计算机存储设备上查找有害程序的方法，其特征为至少包含以下步骤步骤1有害程序分析提取通用或专有的有害程序相关信息生成特征库；步骤2查找前预处理如果需要，提供与本次查找相关的信息，并准备必要的软硬件环境；步骤3有害程序查找使用专用查找程序，遍历文件系统，分析每个可执行程序或包含可执行文件的压缩包的特征，并依据上述特征库来判断该程序是否是有害程序；步骤4结果显示将查找到的有害程序及相关信息汇总形成列表；步骤5备份输出如果需要，可将确定的或可疑的可执行程序备份，供进一步分析与更新特征库之用。2.根据权利要求1所述的查找有害程序特征的方法，其特征是设有包含分析该有害程序的通用特征和专有特征，其中通用特征为其所属类别所有有害程序的共同特征，专有特征为该程序自身所特有的特征。3.根据权利要求1或2所述的查找有害程序通用特征的方法，其特征是设有分析该类别程序代码段的共有部分、可预知的硬件访问、网络使用程序行为、所执行的系统API调用以及这些调用的次序关系、与动态链接库文件、配置文件或媒体文件文件之间的关系，以及其他通过分析该类别程序的类似性可提取的特征。4.根据权利要求1或2所述的查找有害程序专有特征的方法，其特征是设有分析该程序的长度、...

【专利技术属性】
技术研发人员：蔡圣闻，陈勇，伍卫民，吴剑洪，
申请(专利权)人：南京树声科技有限公司，
类型：发明
国别省市：84[中国|南京]