專利名稱:一種病毒處理方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)安全技術(shù)領(lǐng)域����,更確切地說(shuō)是涉及一種病毒處理方法。
背景技術(shù):
目前���,隨著計(jì)算機(jī)的日益發(fā)展和普及���,計(jì)算機(jī)已成為人們工作和生活中不可或缺的使用工具���。隨著計(jì)算機(jī)的發(fā)展,對(duì)計(jì)算機(jī)造成侵害的病毒也在日新月異地發(fā)展��。眾所周知�,病毒對(duì)計(jì)算機(jī)的危害相當(dāng)大,輕則占用計(jì)算機(jī)內(nèi)存�,引起死機(jī),重則破壞計(jì)算機(jī)中的文件��,使得計(jì)算機(jī)無(wú)法使用�。因此,針對(duì)病毒防范的安全軟件成了所有計(jì)算機(jī)必須配備的工具����。
目前最主流的安全軟件是殺毒軟件。殺毒軟件的原理是通過(guò)對(duì)已知病毒的代碼分析找到已知病毒的代碼特征����,將該病毒的特征記錄到殺毒軟件的病毒庫(kù)中,之后在查殺病毒時(shí)�,殺毒軟件對(duì)系統(tǒng)中文件代碼進(jìn)行掃描,并把文件內(nèi)容與病毒庫(kù)中的病毒特征進(jìn)行比較,從而確定該文件是否有病毒�。
從上述描述可以看出,殺毒軟件只能查殺已知病毒�����,并且只能根據(jù)文件內(nèi)容查殺病毒���。而病毒的發(fā)展和變異是相當(dāng)快的,如果出現(xiàn)了新病毒�,或者病毒稍有變形,則殺毒軟件就不能發(fā)現(xiàn)這樣的病毒了��。只有在殺毒軟件公司分析了該病毒的代碼�����,提出病毒代碼特征并升級(jí)病毒庫(kù)后���,才能查殺新病毒��。顯然�����,從新病毒出現(xiàn)到建立新的病毒庫(kù)的過(guò)程中��,用戶的計(jì)算機(jī)始終處于危險(xiǎn)狀態(tài)�,很有可能會(huì)因被病毒攻擊而造成重大損失。
另外��,目前比較流行的安全軟件還有防火墻��。防火墻雖然也有防止病毒侵襲的功能��,但其只能阻止從網(wǎng)絡(luò)來(lái)的病毒對(duì)PC的攻擊�。一旦病毒在本機(jī)運(yùn)行,比如��,用戶下載了帶有病毒的軟件�,并在本地運(yùn)行了該軟件,或者用戶訪問(wèn)了一個(gè)特殊網(wǎng)站���,該網(wǎng)站利用網(wǎng)絡(luò)瀏覽器的缺陷���,將病毒程序放到用戶的計(jì)算機(jī)上,并在后臺(tái)運(yùn)行�,防火墻就無(wú)能為力了。
綜上所述��,目前的安全軟件都只能查殺現(xiàn)有的病毒,無(wú)法防止未知病毒對(duì)系統(tǒng)的攻擊��。
發(fā)明內(nèi)容
有鑒于此����,本發(fā)明所要解決的主要問(wèn)題在于提供一種病毒處理方法,以不用得知病毒的代碼就能確定病毒�����。
為解決上述問(wèn)題����,本發(fā)明提供了以下技術(shù)方案一種病毒處理方法�,該方法包括以下步驟a.確定系統(tǒng)中與系統(tǒng)安全相關(guān)的關(guān)鍵數(shù)據(jù),并將針對(duì)所述關(guān)鍵數(shù)據(jù)的操作作為病毒行為����;b.判斷系統(tǒng)中程序的運(yùn)行行為是否屬于病毒行為,如果是����,則確定該程序?yàn)椴《境绦颍环駝t�,確定該程序不屬于病毒程序。
所述步驟a中,所述關(guān)鍵數(shù)據(jù)包括核心文件和/或關(guān)鍵注冊(cè)表項(xiàng)�。
所述步驟a中,所述病毒行為包括修改特定的系統(tǒng)內(nèi)核文件����、批量替換特定的文件、在系統(tǒng)啟動(dòng)項(xiàng)中添加程序�����、打開(kāi)系統(tǒng)的特定端口�、訪問(wèn)系統(tǒng)中的通訊錄并向通訊錄中所有人發(fā)送程序、將自己的線程加到其他內(nèi)存運(yùn)行的進(jìn)程中的一個(gè)或任意組合����。
該方法進(jìn)一步包括設(shè)置合法程序和/或合法程序行為;步驟b中����,所述在確定程序?yàn)椴《境绦蛑埃M(jìn)一步包括判斷該程序是否屬于合法程序或合法程序行為���,如果是�,則確定該程序不是病毒程序�;否則���,確定該程序?yàn)椴《境绦颉?br>
所述合法程序包括注冊(cè)表編輯器、殺毒軟件升級(jí)程序��、修改注冊(cè)表及系統(tǒng)核心程序的系統(tǒng)升級(jí)程序���、用戶自身下載的病毒升級(jí)程序中的一個(gè)或任意組合�����。
該方法進(jìn)一步包括設(shè)置系統(tǒng)監(jiān)控行為服務(wù)程序�����;
所述步驟b之前進(jìn)一步包括所述系統(tǒng)監(jiān)控行為服務(wù)程序在用戶啟動(dòng)病毒處理后,確定直接執(zhí)行所述步驟b�;在用戶暫停病毒處理后,確定暫停執(zhí)行步驟b��,且在用戶重啟病毒處理后再執(zhí)行所述步驟b�����。
所述系統(tǒng)為Windows系統(tǒng)�,且所述系統(tǒng)中的設(shè)備對(duì)象為堆棧式層次結(jié)構(gòu)�;該方法進(jìn)一步包括在堆棧式層次結(jié)構(gòu)中設(shè)置過(guò)濾器設(shè)備對(duì)象���;所述步驟b通過(guò)所設(shè)置的過(guò)濾器設(shè)備對(duì)象執(zhí)行�����。
所述過(guò)濾器設(shè)備對(duì)象為上層過(guò)濾器設(shè)備對(duì)象�。
所述步驟b在確定程序?yàn)椴《境绦蚝?�,進(jìn)一步包括系統(tǒng)發(fā)出報(bào)警信息�,和/或阻止病毒對(duì)系統(tǒng)的行為,和/或關(guān)閉該程序的運(yùn)行��。
本發(fā)明通過(guò)將對(duì)關(guān)鍵數(shù)據(jù)的操作作為病毒行為�����,并判斷系統(tǒng)中運(yùn)行的程序是否屬于病毒行為���,使得不需要知道病毒的代碼就可以確定病毒程序��,從而增強(qiáng)了PC對(duì)未知病毒的防范能力��,降低了PC的系統(tǒng)風(fēng)險(xiǎn)�����,降低了病毒對(duì)系統(tǒng)及用戶數(shù)據(jù)可能造成的危害�����。
本發(fā)明方案所提供的病毒行為還可以根據(jù)病毒的發(fā)展動(dòng)態(tài)增加�����,實(shí)現(xiàn)起來(lái)非常靈活�。
本發(fā)明方案所提供的合法程序及合法程序行為可以根據(jù)實(shí)際情況進(jìn)行設(shè)置或增加,盡可能地降低將合法程序誤認(rèn)為病毒程序的概率�����,使得對(duì)病毒的確定更加準(zhǔn)確�。
本發(fā)明還提供了由用戶主動(dòng)啟動(dòng)/暫停病毒處理的方案����,使得用戶對(duì)病毒處理的使用更加方便。
對(duì)于Windows系統(tǒng)來(lái)說(shuō)����,本發(fā)明還提供了利用過(guò)濾器設(shè)備對(duì)象對(duì)程序是否為病毒程序進(jìn)行監(jiān)控的方案�����,而Windows系統(tǒng)是非常普遍的系統(tǒng)���,因此該方案使得使用Windows系統(tǒng)的PC能夠非常容易地發(fā)現(xiàn)病毒。
圖1為本發(fā)明方案中具體實(shí)施例的處理流程圖���。
具體實(shí)施例方式
本發(fā)明方案主要是通過(guò)分析病毒在系統(tǒng)中的行為模式提出病毒行為特征�����,并形成病毒行為庫(kù)��,之后��,在系統(tǒng)運(yùn)行過(guò)程中���,監(jiān)視并檢查系統(tǒng)中正在運(yùn)行的各個(gè)程序的行為,如果發(fā)現(xiàn)有某個(gè)程序的運(yùn)行符合病毒行為�����,則確定該程序?qū)儆诓《境绦?��。其中�,由于病毒通常是針?duì)系統(tǒng)中的某些關(guān)鍵數(shù)據(jù)進(jìn)行攻擊,因此可以首先確定關(guān)鍵數(shù)據(jù)��,并將攻擊該關(guān)鍵數(shù)據(jù)的行為看作是病毒行為�����。
下面再結(jié)合附圖及具體實(shí)施例對(duì)本發(fā)明方案作進(jìn)一步詳細(xì)的說(shuō)明�。
該方案如圖1所示,包括以下步驟步驟101��、確定系統(tǒng)中與系統(tǒng)安全相關(guān)的關(guān)鍵數(shù)據(jù)�。
所確定的系統(tǒng)關(guān)鍵數(shù)據(jù)可以包括核心文件及關(guān)鍵注冊(cè)表項(xiàng),還可以根據(jù)需要將其他的數(shù)據(jù)作為關(guān)鍵數(shù)據(jù)�。
之所以確定系統(tǒng)核心文件及關(guān)鍵的注冊(cè)表項(xiàng),是因?yàn)檫@類文件/數(shù)據(jù)通常是系統(tǒng)的關(guān)鍵數(shù)據(jù)��,這些關(guān)鍵數(shù)據(jù)在系統(tǒng)運(yùn)行過(guò)程中會(huì)影響到系統(tǒng)的穩(wěn)定性與安全性�,而病毒恰恰是希望改變或刪除這些關(guān)鍵數(shù)據(jù)。比如�,Windows系統(tǒng)中運(yùn)行服務(wù)的相關(guān)文件����,如SVCHOST.EXE�����,就可以稱為系統(tǒng)核心文件����;注冊(cè)表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中的數(shù)據(jù)也為關(guān)鍵數(shù)據(jù)��,相應(yīng)的注冊(cè)表項(xiàng)即為關(guān)鍵注冊(cè)表項(xiàng)��。
步驟102�、根據(jù)步驟101定義的關(guān)鍵數(shù)據(jù)定義病毒行為。
病毒對(duì)計(jì)算機(jī)系統(tǒng)造成危害主要是通過(guò)修改或擾亂步驟101所定義的系統(tǒng)核心文件���、關(guān)鍵注冊(cè)表項(xiàng)或其他數(shù)據(jù)造成的��。比如����,病毒程序可能會(huì)修改步驟101所定義的系統(tǒng)內(nèi)核文件��,如用有病毒的內(nèi)核替換正常的系統(tǒng)內(nèi)核����,或者批量替換某種類型的文件�����,將病毒復(fù)制到這些文件中����,以利于自己的傳播���。再比如���,在注冊(cè)表等系統(tǒng)啟動(dòng)項(xiàng)中添加病毒程序,系統(tǒng)再次啟動(dòng)時(shí)該病毒程序就會(huì)被啟動(dòng)����。還有,打開(kāi)系統(tǒng)的特定端口����,以便向系統(tǒng)外發(fā)送用戶的密碼等重要數(shù)據(jù),或使本系統(tǒng)接受其他計(jì)算機(jī)上的黑客對(duì)本系統(tǒng)的控制�����;訪問(wèn)計(jì)算機(jī)上的通訊錄,并向通訊錄上的所有人發(fā)送帶有病毒的程序��;將自己的線程加到在其他內(nèi)存中運(yùn)行的進(jìn)程中�,從而擾亂其他計(jì)算機(jī)的運(yùn)行���。
由此�,可以根據(jù)病毒在上述情況下所做的處理設(shè)置病毒行為�����,所設(shè)置的病毒行為可以包括修改特定的系統(tǒng)內(nèi)核文件�����、批量替換特定的文件����、在注冊(cè)表等系統(tǒng)啟動(dòng)項(xiàng)中添加程序、打開(kāi)系統(tǒng)的特定端口���、訪問(wèn)系統(tǒng)中的通訊錄并向通訊錄中所有人發(fā)送程序�、將自己的線程加到其他內(nèi)存運(yùn)行的進(jìn)程中��。可以將這些病毒行為設(shè)置為病毒行為庫(kù)���。顯然����,該病毒行為庫(kù)可以根據(jù)需要進(jìn)行升級(jí)�。
步驟103、根據(jù)步驟102定義的病毒行為對(duì)運(yùn)行的程序進(jìn)行監(jiān)視和檢查�,在確定某個(gè)程序的運(yùn)行符合病毒行為后,即確定該程序?yàn)椴《境绦颉?br>
在確定程序?yàn)椴《境绦蚝?���,系統(tǒng)可以向用戶發(fā)出報(bào)警信息,還可以阻止該進(jìn)程對(duì)系統(tǒng)的行為���,甚至還可以在用戶許可的情況下�����,通過(guò)進(jìn)程監(jiān)控服務(wù)來(lái)關(guān)閉該進(jìn)程�����。
通過(guò)上述過(guò)程即可完成查找系統(tǒng)中的病毒�����。
另外�,系統(tǒng)中有些程序雖然也修改系統(tǒng)內(nèi)核文件,或者也在注冊(cè)表中添加程序�,但這些程序是合法程序����,因此,為進(jìn)一步準(zhǔn)確地確定病毒程序����,應(yīng)該將這些合法程序從病毒程序中區(qū)別出來(lái)。
具體來(lái)說(shuō)�����,可以先確定某些程序和/或某些行為屬于合法的���。比如�,由于允許注冊(cè)表編輯器��、殺毒軟件升級(jí)程序以及Windows升級(jí)程序這類的程序?qū)ο到y(tǒng)相應(yīng)的部分進(jìn)行修改�����,如注冊(cè)表編輯器可以修改注冊(cè)表,殺毒軟件升級(jí)程序可以修改已知的病毒庫(kù)����、病毒行為庫(kù)以及殺毒功能,Windows升級(jí)程序可以修改注冊(cè)表及系統(tǒng)核心程序等�,因此,可以將這類程序預(yù)設(shè)為合法程序���。
還可以根據(jù)合法程序的特點(diǎn)確定一些規(guī)則�,并將這些規(guī)則作為合法的行為規(guī)則庫(kù)����。比如,上述注冊(cè)表編輯器可以修改注冊(cè)表���,因此將注冊(cè)表編輯器對(duì)注冊(cè)表的修改作為合法的行為規(guī)則����;類似地�,可以將殺毒軟件升級(jí)程序修改病毒庫(kù)、病毒行為庫(kù)��、殺毒功能,以及Windows升級(jí)程序修改注冊(cè)表及系統(tǒng)核心程序作為合法的行為規(guī)則�。
顯然,合法程序以及合法的行為規(guī)則庫(kù)也可以根據(jù)需要進(jìn)行升級(jí)或修改�����。比如�����,用戶可以手工添加自己需求的合法程序或添加用于修改系統(tǒng)的臨時(shí)程序��,具體來(lái)說(shuō)����,用戶可以將自己下載的病毒升級(jí)程序添加為合法程序����,并且可以進(jìn)一步設(shè)置該程序的行為規(guī)則為在下載后只在系統(tǒng)中運(yùn)行一次。
在設(shè)置了合法程序和/或合法的行為規(guī)則庫(kù)之后���,在上述步驟103中����,在對(duì)系統(tǒng)中運(yùn)行的程序進(jìn)行監(jiān)視和檢查時(shí),如果確定某個(gè)程序符合步驟102所定義的病毒行為�����,但該程序又屬于合法程序����,或符合合法的行為規(guī)則庫(kù),則可以認(rèn)為該程序?yàn)楹戏ǔ绦?��。換言之����,如果確定某個(gè)程序符合步驟102所定義的病毒行為�,并且該程序不屬于合法程序,也不屬于合法的行為規(guī)則�,則確定該程序?yàn)椴《境绦颉?br>
下面針對(duì)Windows系統(tǒng),對(duì)本發(fā)明方案中系統(tǒng)通過(guò)監(jiān)控功能對(duì)運(yùn)行的程序進(jìn)行監(jiān)視和檢查的實(shí)現(xiàn)方式進(jìn)行描述��。
在Windows系統(tǒng)中�����,Windows是面向?qū)ο笤O(shè)計(jì)的操作系統(tǒng)����,所有的事務(wù)都是通過(guò)一系列的對(duì)象進(jìn)行操作和處理來(lái)完成的��。在設(shè)備的管理和驅(qū)動(dòng)方面��,任何物理設(shè)備在系統(tǒng)中運(yùn)行時(shí)�����,系統(tǒng)都為該設(shè)備在內(nèi)存中建立一個(gè)或多個(gè)設(shè)備對(duì)象��,通過(guò)對(duì)設(shè)備對(duì)象的操作最終完成對(duì)物理設(shè)備的訪問(wèn)����。其中����,設(shè)備對(duì)象具體可以分為物理設(shè)備對(duì)象(PDO)、功能設(shè)備對(duì)象(FDO)以及過(guò)濾器設(shè)備對(duì)象(Filter DO)。PDO直接代表系統(tǒng)中查找到的物理設(shè)備本身�;FDO代表功能驅(qū)動(dòng)程序所對(duì)應(yīng)的設(shè)備對(duì)象,驅(qū)動(dòng)程序通過(guò)該設(shè)備對(duì)象接受和處理設(shè)備訪問(wèn)請(qǐng)求�����,實(shí)現(xiàn)設(shè)備的功能�����;Filter DO代表過(guò)濾器驅(qū)動(dòng)程序所對(duì)應(yīng)的設(shè)備對(duì)象��,過(guò)濾器驅(qū)動(dòng)程序通過(guò)此設(shè)備對(duì)象接受和處理設(shè)備請(qǐng)求�,以改變或約束設(shè)備行為。
基于上述設(shè)備對(duì)象的分類���,WINNT及WIN2000下設(shè)備和驅(qū)動(dòng)程序存在明顯的堆棧式層次結(jié)構(gòu)處于堆棧最低層的設(shè)備對(duì)象為PDO�����,與其對(duì)應(yīng)的驅(qū)動(dòng)程序?yàn)榭偩€驅(qū)動(dòng)程序�;處于設(shè)備對(duì)象堆棧中間的設(shè)備對(duì)象為FDO�,與其對(duì)應(yīng)的驅(qū)動(dòng)程序?yàn)楣δ茯?qū)動(dòng)程序;在FDO的上面以及FDO與PDO之間還有一些設(shè)備對(duì)象����,為Filter DO,其中����,位于FDO上面的過(guò)濾器設(shè)備對(duì)象為上層過(guò)濾器,與其對(duì)應(yīng)的驅(qū)動(dòng)程序?yàn)樯蠈舆^(guò)濾器驅(qū)動(dòng)程序,位于FDO與PDO之間的過(guò)濾器設(shè)備對(duì)象為下層過(guò)濾器�,與其對(duì)應(yīng)的驅(qū)動(dòng)程序?yàn)橄聦舆^(guò)濾器驅(qū)動(dòng)程序。
在上述的堆棧式結(jié)構(gòu)下����,進(jìn)行I/O請(qǐng)求時(shí),每個(gè)影響到設(shè)備的操作都使用IRP��,并且IRP通常先被送到堆棧的最上層驅(qū)動(dòng)程序����,即上層過(guò)濾器驅(qū)動(dòng)程序,然后逐漸過(guò)濾到下面的驅(qū)動(dòng)程序����。每層驅(qū)動(dòng)程序都可以決定如何處理IRP,比如�,驅(qū)動(dòng)程序可能只是向下層傳遞該IRP;也可能是直接處理該IRP��,且不再向下傳遞���;還可能是既進(jìn)行處理,并向下傳遞��。具體如何處理需要取決于驅(qū)動(dòng)程序所對(duì)應(yīng)的設(shè)備,以及IRP中所攜帶的內(nèi)容����。
基于上述情況,如果想攔截系統(tǒng)的文件操作����,則必須攔截發(fā)向每個(gè)文件系統(tǒng)驅(qū)動(dòng)程序的IRP。顯然����,攔截IRP最簡(jiǎn)單的方法就是創(chuàng)建一個(gè)上層過(guò)濾器設(shè)備對(duì)象,并將其加入到文件系統(tǒng)設(shè)備所在的設(shè)備堆棧中���,即采用文件過(guò)濾驅(qū)動(dòng)方式�����。由于上層過(guò)濾器設(shè)備對(duì)象最先接收到IRP��,因此可以在最開(kāi)始就對(duì)IRP進(jìn)行監(jiān)控���。所設(shè)置的上層過(guò)濾器設(shè)備對(duì)象在對(duì)IPR進(jìn)行監(jiān)控時(shí),對(duì)其讀寫(xiě)進(jìn)行判斷�,即判斷該IRP的操作是否會(huì)修改預(yù)先定義的系統(tǒng)核心文件�����、或修改注冊(cè)表的關(guān)鍵表項(xiàng)等預(yù)先定義的行為����,如果不符合�,則允許該操作執(zhí)行;否則�,阻止該行為,并向用戶報(bào)警���。
當(dāng)然��,也可以在設(shè)備堆棧的其他位置設(shè)置相應(yīng)的過(guò)濾器設(shè)備對(duì)象�����,比如����,在PDO與FDO之間設(shè)置下層過(guò)濾器設(shè)備對(duì)象�����。對(duì)于這種設(shè)置方式來(lái)說(shuō)��,由于在最開(kāi)始沒(méi)有對(duì)IRP進(jìn)行監(jiān)測(cè)�����,因此監(jiān)測(cè)病毒程序的能力要弱一些�����。
另外�����,還可以在系統(tǒng)上層設(shè)置系統(tǒng)監(jiān)控行為服務(wù)�����,以便根據(jù)用戶控制是否進(jìn)行病毒監(jiān)控����。對(duì)于設(shè)置上層過(guò)濾驅(qū)動(dòng)設(shè)備對(duì)象的方案來(lái)說(shuō),該系統(tǒng)監(jiān)控行為服務(wù)應(yīng)位于之前所設(shè)置的上層過(guò)濾驅(qū)動(dòng)設(shè)備對(duì)象的上層�����,以便及時(shí)根據(jù)用戶操作,通知上層過(guò)濾驅(qū)動(dòng)設(shè)備對(duì)象修改或臨時(shí)改變過(guò)濾操作�。比如,用戶需要打系統(tǒng)補(bǔ)丁���,由于打補(bǔ)丁需要修改系統(tǒng)的核心文件�,因此用戶可以通過(guò)系統(tǒng)監(jiān)控行為服務(wù)程序進(jìn)行設(shè)置�,即設(shè)置暫停病毒監(jiān)控,系統(tǒng)監(jiān)控行為服務(wù)程序則通知該上層過(guò)濾驅(qū)動(dòng)設(shè)備對(duì)象暫停操作��,并在用戶完成系統(tǒng)升級(jí)�����、打好補(bǔ)丁���、并通過(guò)系統(tǒng)監(jiān)控行為服務(wù)程序設(shè)置重啟病毒監(jiān)控后����,再通知該上層過(guò)濾驅(qū)動(dòng)設(shè)備對(duì)象重新啟動(dòng)病毒監(jiān)控�����。
由于對(duì)于Windows系統(tǒng)來(lái)說(shuō)����,其以核心態(tài)運(yùn)行的程序可以對(duì)系統(tǒng)中運(yùn)行的各種程序進(jìn)行處理����,因此�����,本發(fā)明所提供的監(jiān)控程序可以設(shè)置為以核心態(tài)運(yùn)行���,該監(jiān)控程序既可包括上層過(guò)濾驅(qū)動(dòng)設(shè)備對(duì)象所對(duì)應(yīng)的驅(qū)動(dòng)程序,也可包括系統(tǒng)監(jiān)控行為服務(wù)��。
以上所述僅為本發(fā)明方案的較佳實(shí)施例�����,并不用以限定本發(fā)明的保護(hù)范圍��。
權(quán)利要求
1.一種病毒處理方法���,其特征在于�����,該方法包括以下步驟a.確定系統(tǒng)中與系統(tǒng)安全相關(guān)的關(guān)鍵數(shù)據(jù)����,并將針對(duì)所述關(guān)鍵數(shù)據(jù)的操作作為病毒行為;b.判斷系統(tǒng)中程序的運(yùn)行行為是否屬于病毒行為��,如果是����,則確定該程序?yàn)椴《境绦颍环駝t����,確定該程序不屬于病毒程序。
2.根據(jù)權(quán)利要求1所述的方法��,其特征在于��,所述步驟a中���,所述關(guān)鍵數(shù)據(jù)包括核心文件和/或關(guān)鍵注冊(cè)表項(xiàng)�����。
3.根據(jù)權(quán)利要求1所述的方法����,其特征在于,所述步驟a中���,所述病毒行為包括修改特定的系統(tǒng)內(nèi)核文件�、批量替換特定的文件��、在系統(tǒng)啟動(dòng)項(xiàng)中添加程序��、打開(kāi)系統(tǒng)的特定端口�����、訪問(wèn)系統(tǒng)中的通訊錄并向通訊錄中所有人發(fā)送程序�����、將自己的線程加到其他內(nèi)存運(yùn)行的進(jìn)程中的一個(gè)或任意組合����。
4.根據(jù)權(quán)利要求1所述的方法���,其特征在于��,該方法進(jìn)一步包括設(shè)置合法程序和/或合法程序行為�;步驟b中,所述在確定程序?yàn)椴《境绦蛑?��,進(jìn)一步包括判斷該程序是否屬于合法程序或合法程序行為����,如果是����,則確定該程序不是病毒程序;否則�,確定該程序?yàn)椴《境绦颉?br>
5.根據(jù)權(quán)利要求4所述的方法,其特征在于�,所述合法程序包括注冊(cè)表編輯器、殺毒軟件升級(jí)程序��、修改注冊(cè)表及系統(tǒng)核心程序的系統(tǒng)升級(jí)程序���、用戶自身下載的病毒升級(jí)程序中的一個(gè)或任意組合�。
6.根據(jù)權(quán)利要求1所述的方法�,其特征在于,該方法進(jìn)一步包括設(shè)置系統(tǒng)監(jiān)控行為服務(wù)程序;所述步驟b之前進(jìn)一步包括所述系統(tǒng)監(jiān)控行為服務(wù)程序在用戶啟動(dòng)病毒處理后�,確定直接執(zhí)行所述步驟b;在用戶暫停病毒處理后�,確定暫停執(zhí)行步驟b,且在用戶重啟病毒處理后再執(zhí)行所述步驟b�����。
7.根據(jù)權(quán)利要求1所述的方法����,其特征在于,所述系統(tǒng)為Windows系統(tǒng)�,且所述系統(tǒng)中的設(shè)備對(duì)象為堆棧式層次結(jié)構(gòu)��;該方法進(jìn)一步包括在堆棧式層次結(jié)構(gòu)中設(shè)置過(guò)濾器設(shè)備對(duì)象���;所述步驟b通過(guò)所設(shè)置的過(guò)濾器設(shè)備對(duì)象執(zhí)行���。
8.根據(jù)權(quán)利要求7所述的方法,其特征在于����,所述過(guò)濾器設(shè)備對(duì)象為上層過(guò)濾器設(shè)備對(duì)象。
9.根據(jù)權(quán)利要求1所述的方法,其特征在于�,所述步驟b在確定程序?yàn)椴《境绦蚝螅M(jìn)一步包括系統(tǒng)發(fā)出報(bào)警信息�����,和/或阻止病毒對(duì)系統(tǒng)的行為�,和/或關(guān)閉該程序的運(yùn)行。
全文摘要
本發(fā)明公開(kāi)了一種病毒處理方法����,該方法首先確定系統(tǒng)中與系統(tǒng)安全相關(guān)的關(guān)鍵數(shù)據(jù),并將針對(duì)所述關(guān)鍵數(shù)據(jù)的操作作為病毒行為����;之后判斷系統(tǒng)中程序的運(yùn)行行為是否屬于病毒行為,如果是���,則確定該程序?yàn)椴《境绦?��;否則,確定該程序不屬于病毒程序�。本發(fā)明方案解決了目前的安全軟件只能查殺已知的病毒,無(wú)法防止未知病毒對(duì)系統(tǒng)攻擊的問(wèn)題�。通過(guò)本發(fā)明所提供的方案�����,增強(qiáng)了PC對(duì)未知病毒的防范能力�����,降低了PC的系統(tǒng)風(fēng)險(xiǎn)���,并降低了病毒對(duì)系統(tǒng)及用戶數(shù)據(jù)可能造成的危害。
文檔編號(hào)G06F1/00GK1889004SQ20051007986
公開(kāi)日2007年1月3日 申請(qǐng)日期2005年6月29日 優(yōu)先權(quán)日2005年6月29日
發(fā)明者楊文兵, 黃高貴 申請(qǐng)人:聯(lián)想(北京)有限公司