一种互联网信息安全技术领域的基于统一可扩展固定接口(UEFI)的恶意代码防范方法,通过采用UEFI提供的编程接口实现网络连接模块,维护远程服务器上的基于特征码的恶意代码检查的恶意代码特征库以及用于数据恢复的程序备份;然后在本地硬盘创建一个存储空间,存储作为完整性检查信息的核心文件的摘要集合和清理系统的垃圾信息及顽固数据的配置信息;最后执行恶意代码防范。本发明专利技术利用UEFI的优点,先于操作系统的加载进行相关操作,在UEFI环境中进行恶意代码检测和清除,能够有效对付当前流行的内核级恶意代码。
【技术实现步骤摘要】
本专利技术涉及的是一种互联网信息安全
的方法,具体是一种基于统一可 扩展固定接口(UEFI)的恶意代码防范方法。
技术介绍
随着网络应用和电子商务的不断发展,计算机系统的安全问题日益突出。现有 的计算机系统及其安全防护手段显然不能满足应用对安全的需求,人们开始从计算机体 系结构上探寻全面彻底的安全解决方案。TCG (Trusted Computing Group,可信计算组织) 拟定的可信平台规范就是其中一个很好的思路,已经得到大多数安全研究人员的认同。 UEFI是Intel提出的全新计算机固件接口标准,它正逐步取代传统的BIOS。UEFI提供 了一个高效的嵌入式应用平台,可根据需要开发出各种各样特殊的应用。恶意代码(含传统计算机病毒)防范是信息安全领域的难点之一。在当前,仅依 赖运行在操作系统上的杀毒软件来防范恶意代码是远远不够的,典型的问题包括有些 恶意代码会先于安全软件加载到系统,优先控制系统;有些恶意代码寄生在核心服务中, 安全软件不能对其进行有效清除。现有恶意代码防范软件不能较好地处理上述情况。经对现有技术文献的检索发现,中国专利文献号CN101436247A,公开日2009-5-20,记载了一种“基于UEFI的生物身份识别方法及系统”,该技术包括预存 用户的生物特征识别码;调用图形库用户身份认证界面;显示用户登录图形界面,提示 用户输入生物身份识别数据信息;采集用户的生物身份识别数据信息;提取特征值,获 得生物特征识别码;调用生物特征识别码与预存的生物特征识别码相比对;判断是否相 匹配;如果相匹配,则用户认证成功。以及中国专利文献号CN101587451A,公开日2009_11_25,记载了一种“基于 EFI固件的数据备份与恢复方法利”,该技术通过EFI_BLOCK_IO_PROTOCOL(块输入输出接口 )对硬盘扇区进行读/写操作,通过EFI_FILE_PROTOCOL(文件接口 )对文件 进行读/写操作。在接收到数据备份指令时,将源分区中的引导扇区数据和所有文件备 份入映像文件;在接收到系统恢复指令时,将映像文件中的引导扇区和文件数据信息写 入目标分区,上述技术进行了身份认证以及数据备份与恢复工作,没有涉及恶意代码的 防范内容。中国专利文献号CN101482907A,公开日2009_07_15,记载了一种“基于专家系统的主机恶意代码行为检测系统”,该技术主要包括行为捕获模块、输出规格化处理 模块、推理机和行为知识库内容,应用该系统能够检测具有特定行为的特征码已知或未 知的恶意代码,该技术是目前恶意代码防范的典型代表系统,这类系统都在操作系统环 境进行恶意代码的检测和清除工作,但是,却存在无法应付内核级恶意代码的局面。
技术实现思路
本专利技术针对现有技术存在的上述不足,提供一种,利用UEFI的优点,先于操作系统的加载进行相关操作,在UEFI环境 中进行恶意代码检测和清除,能够有效对付当前流行的内核级恶意代码。本专利技术是通过以下技术方案实现的,本专利技术包括以下步骤第一步,采用UEFI提供的编程接口,实现网络连接模块,维护远程服务器上的 数据。远程服务器上存放两类数据一类是恶意代码特征库,该库服务于基于特征码的 恶意代码检查;另一类是用于数据恢复的程序备份。所述的恶意代码特征码,具体为,可以唯一标示恶意代码的二进制代码串,如 果一个对象含有该串,则说明该对象被恶意代码感染;反之,则没被感染。所述的恢复用程序备份,具体为,操作系统的核心程序具有稳定性且数量有 限,事先把这些核心程序备份到远程服务器。如果该程序被破坏,可以从远程数据库下 载更新,以实现恢复。第二步,本地存储管理。采用UEFI提供的编程接口,在本地硬盘创建一个存储 空间,存储完整性检查信息和数据清理配置信息。其中完整性检查信息是核心文件的摘 要集合;程序根据数据清理配置信息清除系统的垃圾信息、顽固数据。所述的存储空间,具体为,该空间有UEFI创建于本地硬盘,是操作系统所不能 访问的空间。所述的完整性检查是指首先对所述操作系统的核心程序进行MD5摘要,并把 摘要信息进行详细的记录,判断当计算得到的摘要与存储的摘要不同时,该核心程序遭 到篡改。所述的垃圾信息,具体为,操作系统的暂存数据、缓存文件。所述的顽固数据,具体为,在操作系统环境下无法删除的数据。这些数据可以 在UEFI环境下删除。第三步,恶意代码防范模块。恶意代码防范的具体工作都在本模块完成,其主 要包括操作系统的核心文件的完整性检查及恢复;各种数据清理;特洛伊木马程序的检 查及清除;操作系统恶意启动项的检查及处理;基于特征码的恶意代码检查及处理几项 工作。所述的核心文件是指Windows操作系统中,System目录下的所有文件及 System32目录下的部分文件。所述的数据清理,具体为,清理系统里的垃圾数据、顽固数据。所述的特洛伊木马程序的检查及清除是指根据木马程序的静态特征在注册 表、启动文件处查找木马的自启动项并进行清除。所述的操作系统恶意启动项的检查及处理是指在注册表的特定位置、win.ini 系统文件特定位置检查是否有异常的启动项,当存在有异常的启动项时则自动清除或提 示用户。所述的基于特征码的恶意代码检查及处理是指采用特征码扫描技术识别操作 系统文件是否含有恶意代码并进行清除、隔离或恢复。与现有恶意代码防范技术相比,本专利技术的防范过程在操作系统加载前进行,具 有如下有益效果依赖于操作系统的恶意代码尚未运行,即不能对该防范程序形成威 胁,也完全做到了先发制人的目的,因此,可以实现真正的恶意代码防范。用户给计算机加电,计算机进入UEFI环境;第二,UEEI进行验证,以确保自 身的完整性;第三步是本专利技术的核心内容,即基于UEFI的恶意代码防范。经过第三步 处理操作系统的安全验证、修复及恶意代码清除工作都已完成,可以确保安全地进入操 作系统启动阶段。第四,开始操作系统的加载工作,既开始正常地启动操作系统。第 五,操作系统启动成功,进入正常的系统使用阶段。如果去掉第三步,剩下的几个步骤 是典型的UEFI启动过程。本专利技术的创新之处在于,把恶意代码防范模块集成在UEFI环 境中,并在操作系统加载前完成恶意代码防范的核心工作。附图说明 图1是本专利技术流程示意图。图2是实施例部署示意图。具体实施例方式下面对本专利技术的实施例作详细说明,本实施例在以本专利技术技术方案为前提下进 行实施,给出了详细的实施方式和具体的操作过程,但本专利技术的保护范围不限于下述的 实施例。实施例如图1和图2所示,本实施例包括以下步骤第一步,远程数据访问。采用UEFI提供的网络编程接口,实现网络连接模块, 维护远程服务器上的数据。远程服务器上存放两类数据一类是恶意代码特征库,该库 服务于基于特征码的恶意代码检查;另一类是用于数据恢复的程序备份。所述的UEFI网络编程接口,具体为,UEFI提供丰富的网络协议编程接口。本 专利技术在UEFI环境下实现网络连接客户端,通过Socket连接方式和远程服务器建立连接, 并维护远程服务器上的数据。所述的恶意代码特征库,具体为,由恶意代码特征码形成的库文件。为了节省 本地存储空间,该文件存放在远程服务器上。当防范程序需要使用该数据时,从远程服 务器下载。恶意代码特征库的组织方式如表1所本文档来自技高网...
【技术保护点】
一种基于统一可扩展固定接口的恶意代码防范方法,其特征在于,包括以下步骤:第一步,采用UEFI提供的编程接口实现网络连接模块,维护远程服务器上的基于特征码的恶意代码检查的恶意代码特征库以及用于数据恢复的程序备份;第二步,采用UEFI提供的编程接口在本地硬盘创建一个存储空间,存储作为完整性检查信息的核心文件的摘要集合和清理系统的垃圾信息及顽固数据的配置信息;第三步,执行包含操作系统的核心文件的完整性检查及恢复、垃圾信息及顽固数据清理、特洛伊木马程序的检查及清除、操作系统恶意启动项的检查及处理以及基于特征码的恶意代码检查及处理的恶意代码防范。
【技术特征摘要】
【专利技术属性】
技术研发人员:刘功申,胡佩华,
申请(专利权)人:上海交通大学,
类型:发明
国别省市:31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。