專利名稱::被病毒程序破壞的數(shù)據(jù)恢復(fù)方法����、裝置及病毒清除方法
技術(shù)領(lǐng)域:
:本發(fā)明涉及一種被病毒程序破壞的數(shù)據(jù)恢復(fù)方法、裝置及病毒程序清除方法����。
背景技術(shù):
:現(xiàn)有的有害計算機程序的清除方法所采用的清除方式基本采用“一刀切”的處理方法,以下舉例說明該方法適用實例的幾種具體步驟第一�,如果一個計算機系統(tǒng)存在的某一個文件本身就是一個病毒程序的可執(zhí)行體,即該文件是一個純粹的病毒程序�,則當(dāng)確認(rèn)該文件是病毒程序時,直接刪除該文件����。第二,如果病毒程序?qū)⒆陨砀郊拥剿拗鞒绦蛑?����,例如附加到宿主程序的尾?如此一來,宿主程序就會增大)�����,并修改宿主程序的入口點來使病毒程序得到激活�,則需要反病毒的殺毒程序找出病毒程序附加至宿主程序尾部或其他位置的插入點����,從而將病毒程序和宿主程序分開,并刪除病毒程序即可����;否則就只能將整個宿主程序刪除。第三�,如果病毒程序使用特殊的感染技巧能夠使宿主大小及宿主文件頭上的入口點保持不變,則現(xiàn)有的反病毒程序只能將其刪除���,而無法進行深入的分析以及宿主程序的恢復(fù)�����。例如對于PE(PortableExecutable)文件格式來說�,Windows中的exe文件�����,dll文件,都是PE格式��。PE文件由多個節(jié)構(gòu)成�,每個節(jié)之間留有按簇大小對齊后的空洞,病毒程序如果足夠小則可以將自身分成幾份并分別插入到每個節(jié)最后的空隙中��,這樣就不必額外增加一個節(jié)�����,因而文件大小保持不變��。近期出現(xiàn)的加殼型病毒程序�,即將宿主程序包裹起來但不改變宿主程序的文件名以及其他屬性,系統(tǒng)運行宿主程序時��,該病毒程序先將所述宿主程序釋放再開始運行���。對于上述的幾種病毒程序��,現(xiàn)有的反病毒程序確定宿主程序帶有病毒程序時����,只能將其刪除,而無法進行深入的分析以及宿主程序的恢復(fù)��。如果需要清除的計算機病毒程序感染了壓縮文件���。例如Win32.crypto病毒程序就可以感染ZIP����,ARJ���,RAR,ACE�����,CAB等諸多類型的壓縮文件��。這些病毒程序的代碼中含有對特定文件類型的壓縮文件�,例如ZIP或ARJ類型的壓縮文件解壓縮和壓縮的代碼段,所述代碼段一般先把壓縮文件中的被壓縮的內(nèi)容解壓縮出來�����,然后對解壓縮出來的文件中的合適的文件進行感染�,最后再將感染后的文件重新壓縮回去����,同時修改壓縮文件頭部的校驗和�����,使所述校驗和的內(nèi)容不變���,或者采用其他手段使該壓縮了已經(jīng)被感染了病毒程序文件的壓縮文件沒有被修改或感染的痕跡�。對于這樣的病毒程序�����,現(xiàn)有的病毒程序的清除方法要么將壓縮文件中感染了病毒程序的文件刪除�,要么由于壓縮文件頭部的校驗和沒有變化根本查不出來?�?梢?��,現(xiàn)有的計算機病毒程序的清除方法在清除病毒程序時����,對被嚴(yán)重破壞的宿主程序�����,或者被破壞嚴(yán)重的數(shù)據(jù)不能進行恢復(fù)����,從而使清除病毒程序后的計算機無法盡可能恢復(fù)到感染病毒程序以前的狀態(tài)。
發(fā)明內(nèi)容鑒于上述問題��,本發(fā)明所要解決的技術(shù)問題是提供一種被病毒程序破壞的數(shù)據(jù)的恢復(fù)方法����、裝置以及病毒程序的清除方法,所述方法能夠比較可靠地定位病毒程序�����,并在清除病毒程序的同時最大限度地恢復(fù)計算機系統(tǒng)中被感染和破壞的數(shù)據(jù)。為解決上述技術(shù)問題,本發(fā)明提供了一種被病毒程序破壞的數(shù)據(jù)恢復(fù)方法�,包括獲得病毒程序的可執(zhí)行的破壞性行為操作步驟;建立所述破壞性行為操作步驟對應(yīng)的逆行為操作步驟����;根據(jù)病毒程序可執(zhí)行的破壞性行為的操作步驟執(zhí)行對應(yīng)的逆行為操作步驟�����。所述方法還包括對計算機操作系統(tǒng)的相關(guān)信息進行備份,并利用所述備份數(shù)據(jù)���,執(zhí)行所述逆行為操作步驟����。所述備份為增量式備份�����。其中,按照下述步驟獲得病毒程序可執(zhí)行破壞性的行為獲得已知病毒程序的破壞性操作行為���;根據(jù)所述破壞性操作行為編制對應(yīng)的控制處理程序����;使控制處理程序獲得對所述破壞性操作行為的控制權(quán);病毒程序調(diào)用相應(yīng)的控制處理程序����,由所述控制處理程序記錄所述病毒程序的破壞性操作行為。所述方法還包括所述控制處理程序向所述待檢測程序返回成功應(yīng)答信息��。其中���,將所述控制處理程序嵌入操作系統(tǒng)或者所述破壞性操作行為對應(yīng)的系統(tǒng)功能調(diào)用程序?qū)⑵淇刂茩?quán)移交給相應(yīng)的控制處理程序,使控制處理程序獲得對所述破壞性操作行為的控制權(quán)�����。按照病毒程序可執(zhí)行的破壞性行為操作步驟的順序執(zhí)行所述逆行為操作步驟。將根據(jù)所述破壞性行為操作步驟建立的相對應(yīng)的逆行為操作步驟以數(shù)據(jù)庫列表的方式進行存儲���。本發(fā)明提供的被病毒破壞的數(shù)據(jù)的恢復(fù)裝置����,包括輸入單元,用于獲取病毒程序可執(zhí)行的破壞性行為操作步驟���;創(chuàng)建單元����,用于建立所述破壞性行為操作步驟對應(yīng)的逆行為操作步驟�;執(zhí)行單元,用于執(zhí)行所述逆行為操作步驟。所述裝置還包括數(shù)據(jù)備份單元,用于對計算機操作系統(tǒng)的相關(guān)信息的備份��,所述執(zhí)行單元利用所述備份信息完成所述逆行為操作步驟�。所述裝置還包括虛擬環(huán)境單元���,用于將根據(jù)所述破壞性操作行為得到的所述控制處理程序嵌入操作系統(tǒng)���,使控制處理程序獲得對所述破壞性操作行為的控制權(quán);當(dāng)病毒程序調(diào)用所述控制處理程序時�����,由所述控制處理程序記錄所述病毒程序的操作行為���。本發(fā)明提供的病毒程序清除方法��,包括獲得病毒程序可執(zhí)行的破壞性行為操作步驟��;建立所述破壞性行為操作步驟對應(yīng)的逆行為操作步驟和病毒程序刪除步驟�����;執(zhí)行所述逆操作步驟和所述病毒程序刪除步驟���。與現(xiàn)有技術(shù)相比����,本發(fā)明具有至少以下的優(yōu)點本發(fā)明針對每個不同的病毒程序����,建立了所述病毒程序的破壞性操作對應(yīng)的逆操作步驟,可以對不同的病毒程序采用的破壞性操作采取相應(yīng)的逆處理步驟����,如果該破壞性操作能夠破壞數(shù)據(jù),所述逆操作步驟就能夠?qū)崿F(xiàn)被病毒破壞的數(shù)據(jù)的恢復(fù)���。從而使清除病毒程序后的計算機盡可能的恢復(fù)到感染病毒程序以前的狀態(tài)���。本發(fā)明所述被病毒程序破壞的數(shù)據(jù)的恢復(fù)方法中的所述病毒程序的可執(zhí)行的行為操作步驟,可以通過計算機自行獲取���。所述獲取過程可以通過以下步驟獲得獲得并分解已知病毒程序的破壞性操作行為���;根據(jù)所述破壞性操作行為編制對應(yīng)的控制處理程序�����;將所述控制處理程序嵌入操作系統(tǒng)���;待檢測程序調(diào)用所述控制處理程序,由所述控制處理程序記錄所述待檢測程序的操作行為���,從而實現(xiàn)檢測以及記錄程序的操作行為。該實現(xiàn)方式簡單易行�����,不需要DEBUG�����、PROVIEW等分析用工具程序和專用的試驗用計算機就可以對所述病毒程序的具體工作流程進行分析�����、跟蹤,進而記錄病毒程序的操作行為���。本發(fā)明還提供了一種被病毒程序破壞的數(shù)據(jù)的恢復(fù)裝置�,所述裝置可以針對每個不同的病毒程序的破壞性操作���,進行對應(yīng)的逆操作步驟�����,并利用對系統(tǒng)文件的備份��,進而實現(xiàn)被病毒破壞的數(shù)據(jù)的恢復(fù)����。所述裝置彌補了現(xiàn)有清除病毒的方法對任何病毒都采用相同的“一刀切”模式的處理步驟的缺陷�����,從而使清除病毒程序后的計算機盡可能的恢復(fù)到感染病毒程序以前的狀態(tài)���。下面結(jié)合附圖和具體實施方式對本發(fā)明作進一步詳細(xì)的說明��。圖1是本發(fā)明一種被病毒程序破壞的數(shù)據(jù)的恢復(fù)方法的流程圖��;圖2是一個病毒具有的完成特定功能或結(jié)果的源代碼序列塊的示意圖����;圖3是圖2所示的所述病毒程序源代碼序列塊對應(yīng)的行為操作步驟的示意圖;圖4是本發(fā)明一種被病毒程序破壞的數(shù)據(jù)恢復(fù)裝置的結(jié)構(gòu)示意圖����;圖5是本發(fā)明一種病毒清除方法流程圖;圖6是獲取病毒程序可執(zhí)行的破壞性行為操作流程圖�����;圖7是系統(tǒng)功能調(diào)用表的結(jié)構(gòu)示意圖�;圖8是系統(tǒng)功能調(diào)用程序?qū)嶋H存儲區(qū)的示意圖;圖9是圖7所示的系統(tǒng)功能調(diào)用表存儲有相應(yīng)的控制處理程序時的結(jié)構(gòu)示意圖�;圖10是圖9所示存儲實例的功能調(diào)用程序?qū)嶋H存儲區(qū)的示意圖;圖11是存儲所述控制處理程序的一個獨立的操作行為調(diào)用表的結(jié)構(gòu)示意圖�。具體實施例方式本發(fā)明的核心思想在于根據(jù)獲取的病毒程序可執(zhí)行的破壞性行為操作步驟����,建立對應(yīng)的逆行為操作步驟,并執(zhí)行該逆行為操作步驟�����,從而實現(xiàn)病毒程序操作的逆操作,進而實現(xiàn)對病毒程序的剝離以及對被病毒破壞的數(shù)據(jù)的恢復(fù)���。參照圖1��,是本發(fā)明所述的被病毒程序破壞的數(shù)據(jù)的恢復(fù)方法的步驟流程圖���,包括以下步驟。步驟s1���,獲得病毒程序的可執(zhí)行的破壞性行為操作步驟�;一個病毒程序和任何一個計算機程序一樣���,都具有一系列的能夠完成特定操作的源代碼��,多個這樣的源代碼的集合可以看作是完成一個特定功能或結(jié)果的源代碼序列塊�,例如圖2所示的一個典型的病毒程序就具有N個特定功能或結(jié)果的源代碼序列塊���,即序列塊1���、序列塊2、.......�����、序列塊N。這里所述的序列塊可能用于完成特定的數(shù)據(jù)破壞操作���,例如數(shù)據(jù)的轉(zhuǎn)移�、刪除等���;也可能用于完成自身程序的寄生操作��,例如將自身程序通過修改宿主程序的某個入口指針的方式鑲嵌到該宿主程序中(這種鑲嵌手段作為傳統(tǒng)方法本文不再贅述)�����,或者將宿主程序變?yōu)樽陨淼母綄俪绦?��。因此,通過分析獲得所述每個序列塊的操作結(jié)果和操作行為���,可以獲得病毒程序的可執(zhí)行的行為操作步驟,例如圖3就是圖2所示的病毒程序源代碼序列塊對應(yīng)的行為操作步驟����,其中����,圖2中的序列塊1對應(yīng)圖3中的行為操作步驟1�、圖2中的序列塊2對應(yīng)圖3中的行為操作步驟2,......���,圖2中的序列塊N對應(yīng)圖3中的行為操作步驟N�����。所述的病毒程序的行為操作步驟�����,即完成一個特定功能或結(jié)果的源代碼序列塊�����,可以由分析得出����。通常的分析病毒程序的步驟可以分為動態(tài)和靜態(tài)兩種�。所述動態(tài)分析則是指利用DEBUG等程序調(diào)試工具在內(nèi)存帶毒的情況下,對病毒程序做動態(tài)跟蹤�,觀察病毒程序的具體工作過程�����,以進一步在靜態(tài)分析的基礎(chǔ)上理解病毒程序工作的原理�����。在病毒程序編碼比較簡單的情況下�����,動態(tài)分析不是必須的��。但當(dāng)病毒程序采用了較多的技術(shù)手段時�����,必須使用動�����、靜相結(jié)合的分析方法才能完成整個分析過程��。例如F_lip病毒程序采用隨機加密��,利用對病毒程序的解密程序的動態(tài)分析才能完成解密工作����,從而進行下一步的靜態(tài)分析�����。所述靜態(tài)分析是指利用DEBUG等反匯編程序?qū)⒉《境绦虼a打印成反匯編后的程序清單進行分析�,看病毒程序分成哪些模塊,使用了哪些系統(tǒng)調(diào)用���,采用了哪些技巧��,如何將病毒程序感染文件的過程翻轉(zhuǎn)為清除病毒程序����、修復(fù)被病毒破壞的數(shù)據(jù)的過程����,哪些代碼可被用做特征碼以及如何防御這種病毒程序等。現(xiàn)有技術(shù)中經(jīng)過上述分析后�����,主要是得出病毒程序的特征碼,存入病毒程序特征碼庫中�����。在本專利中需要得出病毒程序的行為操作步驟�����,即完成一個特定功能或結(jié)果的源代碼序列塊�,用于指導(dǎo)恢復(fù)被病毒程序破壞的數(shù)據(jù)。所述的病毒程序的行為操作步驟���,即完成一個特定功能或結(jié)果的源代碼序列塊�,可以通過計算機程序自動獲取�,該實現(xiàn)方法在后文將進行詳述。步驟s2���,建立所述行為操作步驟對應(yīng)的逆行為操作步驟����。由于步驟s1已經(jīng)獲得病毒程序的可執(zhí)行的行為操作步驟�,因此可以根據(jù)所述行為操作步驟建立所述行為操作步驟對應(yīng)的逆行為操作步驟;例如�����,建立行為操作步驟1、2�、...、N對應(yīng)的逆操作步驟1�����、2��、...���、N。假設(shè)圖3中的行為操作步驟1用于轉(zhuǎn)移存儲數(shù)據(jù)���,則對應(yīng)的逆行為操作步驟1則用于對應(yīng)的逆行為操作���,即恢復(fù)數(shù)據(jù)的操作;如果圖3中的行為操作步驟2用于刪除數(shù)據(jù)���,則對應(yīng)的逆行為操作步驟2用于完成對應(yīng)的逆操作����,以恢復(fù)被刪除的數(shù)據(jù)(例如以冗余校驗的方式恢復(fù)數(shù)據(jù))。所述建立對應(yīng)的逆行為操作步驟��,即生成一個程序源代碼指令的集合�����,所述指令集合所對應(yīng)的操作步驟與所述行為操作步驟所執(zhí)行的操作相反���。由所述行為操作步驟得出對應(yīng)的逆行為操作步驟���,可以通過一個對應(yīng)表來實現(xiàn),即預(yù)置一個數(shù)據(jù)列表�,表中對應(yīng)列出各種行為操作步驟以及相對應(yīng)的逆行為操作步驟;當(dāng)所述病毒程序進行了某個行為操作步驟����,則從所述預(yù)置的數(shù)據(jù)列表中比較得出相對應(yīng)的逆行為操作步驟,例如添加和刪除�;依此即可完成所述病毒程序的所有行為操作步驟向逆行為操作步驟的轉(zhuǎn)換。步驟s3���,執(zhí)行所述逆行為操作步驟���。由于所述逆行為操作步驟就是逆行為操作程序源代碼指令的集合�����,所以對所述逆行為操作步驟的執(zhí)行實際上就是對所述程序源代碼指令進行依次分別調(diào)用的過程����。根據(jù)每個程序源代碼指令進行相應(yīng)的執(zhí)行操作�,從而完成被病毒程序破壞的數(shù)據(jù)的恢復(fù)操作。例如��,建立一個執(zhí)行逆行為操作步驟功能的一個主功能函數(shù)�,在這個主功能函數(shù)里實際上設(shè)置的是將所述程序源代碼指令進行依次分別調(diào)用的過程�����。通常����,可以按照病毒程序可執(zhí)行的行為操作步驟的順序執(zhí)行所述逆行為操作步驟。所述的逆行為操作步驟����,即程序源代碼指令的集合,可以以數(shù)據(jù)庫的方式進行存儲或者以大型數(shù)據(jù)存儲表的方式進行存儲���。例如����,將所述的逆行為操作步驟以數(shù)據(jù)庫列表的方式進行存儲,則某一個病毒程序的逆行為操作步驟就是該數(shù)據(jù)庫中的一個存儲元素(子集)��。該數(shù)據(jù)庫可以采用如下的數(shù)據(jù)結(jié)構(gòu)存儲所述的某一個存儲元素���,即某一個病毒程序的逆行為操作步驟(病毒程序名稱)���、(逆行為操作步驟1,逆行為操作步驟2�����,......逆行為操作步驟N)��、(附加信息段�,刪除病毒程序體);其中�,所述的1、2......N表示了清除病毒程序步驟的順序�����,所述的逆行為操作步驟包括源代碼序列塊,所述源代碼序列塊用以完成所述病毒程序行為操作步驟對應(yīng)的逆操作���。上述的逆行為操作步驟信息中還可以包括相關(guān)操作參數(shù)等���。上述的數(shù)據(jù)結(jié)構(gòu)還可以采用其他方式,例如(病毒程序名稱)���、(逆行為操作步驟1��,逆行為操作步驟2�����,......逆行為操作步驟N,附加信息段)���、(刪除病毒程序體)���;實際上,存儲方式以及存儲的數(shù)據(jù)結(jié)構(gòu)只是編程人員的一種人為設(shè)定���,可以采用任何可行的存儲方式和數(shù)據(jù)結(jié)構(gòu)�����,只要能夠?qū)崿F(xiàn)所述逆行為操作步驟的存儲和調(diào)用即可��。上述的步驟s1����、s2和s3可以完成相當(dāng)情況下被病毒程序破壞的數(shù)據(jù)恢復(fù),但是其并不是最完善的���。當(dāng)病毒程序刪除或者覆蓋了原數(shù)據(jù)�����,則由于該病毒程序行為操作對應(yīng)的源代碼序列塊中并沒有原數(shù)據(jù)的信息���,所以以此建立的逆行為操作步驟也不包括原數(shù)據(jù)的信息,則所述的逆行為操作步驟就無法取回原數(shù)據(jù)進行覆蓋���,以實現(xiàn)被病毒程序破壞的數(shù)據(jù)的恢復(fù)�。因此����,本發(fā)明所述的被病毒程序破壞的數(shù)據(jù)的恢復(fù)方法還可以包括對計算機操作系統(tǒng)的相關(guān)信息的備份�����,以及利用所述備份步驟的備份數(shù)據(jù)�,執(zhí)行所述逆操作步驟���,例如將備份的數(shù)據(jù)調(diào)用回來覆蓋被破壞的數(shù)據(jù)��,進而實現(xiàn)被病毒程序破壞的數(shù)據(jù)的恢復(fù)�。所述的備份數(shù)據(jù)可以存儲在信息備份庫中���,以方便備份數(shù)據(jù)的調(diào)用����。所述的計算機操作系統(tǒng)相關(guān)信息�����,一般為計算機病毒程序容易感染的程序文件和操作系統(tǒng)的敏感文件��,例如注冊表��、系統(tǒng)配置文件等易感染數(shù)據(jù)�。如果病毒程序?qū)τ嬎銠C的某些文件進行了修改或者刪除,而所述文件在信息備份庫中存有備份時���,則就可以從所述信息備份庫中將所述文件的備份文件覆蓋回來���。優(yōu)選的,為了保證對用戶計算機空間的影響�����,僅僅選擇備份操作系統(tǒng)的敏感信息��,因為一般的病毒程序感染這些信息的機會較大�,而且對用戶計算機的影響最大。當(dāng)然�����,如果用戶的計算機允許���,則最好可以將用戶計算機上的所有文件或者用戶認(rèn)為重要的文件都進行備份����,這樣不僅可以將病毒程序殺除干凈,并且可以最大限度的恢復(fù)被病毒程序破壞的數(shù)據(jù)文件��。所述的對計算機操作系統(tǒng)相關(guān)信息的備份�����,也可以是增量式的備份�����。當(dāng)首次使用本發(fā)明所述被病毒程序破壞的數(shù)據(jù)的恢復(fù)方法時�,可以對操作系統(tǒng)的敏感部分(例如注冊表、系統(tǒng)配置文件等易感染數(shù)據(jù))進行初始化備份�����,將備份的數(shù)據(jù)或信息進行分類存儲在信息備份庫中�����。當(dāng)每次合法程序?qū)@些敏感部分進行更改后�,對更改的部分進行實時的增量式備份,即只需要將修改信息進行相應(yīng)位置的備份即可���。當(dāng)然也可以根據(jù)用戶計算機的許可,定時的對所有文件進行備份。參照下面的實施例��,對所述被病毒程序破壞的數(shù)據(jù)的恢復(fù)方法進行更詳細(xì)的說明�����。假設(shè)一個名稱為ABC的病毒程序����,人工或者計算機對該病毒程序進行分析后,得出該病毒程序的行為操作步驟是(1)覆蓋了注冊表里HKEY_LOCAL_MACHINE\SOFTWARE\456項的值��,(2)將abc.exe文件的文件位置添加到注冊表相應(yīng)的啟動項里����,(3)病毒程序自動釋放一個名為123.exe的木馬文件。那么�����,根據(jù)上述病毒程序ABC的行為操作步驟���,建立的逆行為操作步驟如下(ABC)�����、(從“信息備份庫”里與HKEY_LOCAL_MACHINE\SOFTWARE\456項對應(yīng)的值再覆蓋回來��,從注冊表中刪除該病毒程序建立的啟動項)���、(刪除123.exe文件�����,刪除ABC病毒程序體)在上述的存儲元素中�,病毒程序名稱ABC����;清除方法1從“信息備份庫”里與HKEY_LOCAL_MACHINE\SOFTWARE\456項對應(yīng)的值再覆蓋回來。清除方法2從注冊表中刪除該病毒程序建立的啟動項���。附加信息段刪除123.exe文件�,刪除ABC病毒程序體上述的信息結(jié)構(gòu)是所述逆行為操作步驟的人為設(shè)定的一種存儲方式�。當(dāng)然,也可以采用其他的結(jié)構(gòu)方式進行存儲�,例如(ABC)、(從“信息備份庫”里與HKEY_LOCAL_MACHINE\SOFTWARE\456項對應(yīng)的值再覆蓋回來�����,從注冊表中刪除該病毒程序建立的啟動項,刪除123.exe文件)��、(刪除ABC病毒程序體)上述的存儲信息中還可以包括所述逆行為操作步驟的相關(guān)操作參數(shù)���。當(dāng)然,在計算機實際的運行過程中��,不可能把人類的邏輯語言以上述的形式描述給計算機�����,上述例子在計算機里實現(xiàn)的過程實際上就是將上述的人類的邏輯語言描述更換成為功能函數(shù)和指令��。即所述的逆行為操作步驟實際上就是這個具體實施例中的一系列函數(shù)序列(以下簡稱“函數(shù)序列”)���。例如(ABC)�、(F(*P(X(456)))��,G(*Q(Y(K))))����、(DEL(*PATH(123.exe)),DEL(*PATH(ABC)))對上述表達(dá)式解釋說明如下ABC代表病毒程序體名稱��。F()代表將值覆蓋寫入注冊表項的功能函數(shù)。*P()代表指向“信息備份庫”里關(guān)于注冊表的備份數(shù)據(jù)的指針函數(shù)�。X()代表“HKEY_LOCAL_MACHINE\SOFTWARE\456項”在注冊表里的路徑函數(shù)。G()代表執(zhí)行刪除注冊表內(nèi)某項的功能函數(shù)���。*Q()代表指向注冊表內(nèi)的指針函數(shù)�����。Y()代表病毒程序在注冊表內(nèi)建立的啟動項的路徑函數(shù)����。變量K代表病毒程序在注冊表內(nèi)建立的啟動項��。DEL()代表執(zhí)行刪除文件的功能函數(shù)�����。*PATH()代表指向文件路徑的指針函數(shù)��。根據(jù)上述實施例可以看出計算機所述執(zhí)行逆行為操作步驟的過程�,也就是將一系列的函數(shù)序列依次分別執(zhí)行的過程。在計算機里的實現(xiàn)過程中所述執(zhí)行逆行為操作步驟可以是建立一個執(zhí)行逆行為操作步驟功能的一個主功能函數(shù)��,該主功能函數(shù)將某一“函數(shù)序列”依次分別調(diào)用����,從而實現(xiàn)執(zhí)行逆行為操作步驟功能�����,進而恢復(fù)被病毒程序破壞的數(shù)據(jù)。例主功能函數(shù)(){............函數(shù)1()�;函數(shù)2();......函數(shù)N()��;............}參照圖4����,是本發(fā)明一種被病毒程序破壞的數(shù)據(jù)恢復(fù)裝置的結(jié)構(gòu)示意圖。所述的被病毒程序破壞的數(shù)據(jù)的恢復(fù)裝置包括輸入單元41���、創(chuàng)建單元42以及執(zhí)行單元43���。所述輸入單元41,用于獲取病毒程序可執(zhí)行的破壞性行為操作步驟�����。所述的病毒程序可執(zhí)行的破壞性行為操作步驟可以預(yù)先分析得出�,以數(shù)據(jù)庫的形式存儲在用戶的計算機系統(tǒng)中�����,所述被病毒程序破壞的數(shù)據(jù)恢復(fù)裝置的輸入單元41直接調(diào)用該數(shù)據(jù)庫即可獲取所述病毒程序可執(zhí)行的破壞性行為操作步驟����。所述的病毒程序可執(zhí)行的破壞性行為操作步驟也可以預(yù)先分析得出���,以數(shù)據(jù)庫的形式存儲在公共服務(wù)器中�,所述被病毒程序破壞的數(shù)據(jù)的恢復(fù)裝置的輸入單元41通過網(wǎng)絡(luò)連接該數(shù)據(jù)庫即可獲取所述病毒程序可執(zhí)行的破壞性行為操作步驟�。當(dāng)然,也可以定時或者不定時的將本地用戶的計算機系統(tǒng)中存儲的所述破壞性行為操作步驟的數(shù)據(jù)庫通過網(wǎng)絡(luò)連接公共服務(wù)器�,進行升級,以完善該本地數(shù)據(jù)庫����。本專利在前面對恢復(fù)方法的描述中已經(jīng)詳述了分析得出病毒程序的可執(zhí)行的破壞性行為操作步驟的過程,在此不再贅述���。所述創(chuàng)建單元42�����,用于建立所述破壞性行為操作步驟對應(yīng)的逆行為操作步驟�����。根據(jù)所述破壞性行為操作步驟建立所述破壞性行為操作步驟對應(yīng)的逆行為操作步驟����;例如,建立破壞性行為操作步驟1�����、2��、...���、N對應(yīng)的逆操作步驟1、2����、...、N���。假設(shè)破壞性行為操作步驟1用于轉(zhuǎn)移存儲數(shù)據(jù)���,則對應(yīng)的逆行為操作步驟1則用于對應(yīng)的逆行為操作��,以恢復(fù)數(shù)據(jù)����;如果破壞性行為操作步驟2用于刪除數(shù)據(jù)�,則對應(yīng)的逆行為操作步驟2用于完成對應(yīng)的逆操作,以恢復(fù)被刪除的數(shù)據(jù)(例如以冗余校驗的方式恢復(fù)數(shù)據(jù))����。所述建立對應(yīng)的逆行為操作步驟,即生成一個程序源代碼指令的集合���,所述指令集合相對應(yīng)的操作步驟與所述行為操作步驟所執(zhí)行的操作相反�����。所述執(zhí)行單元43�����,用于執(zhí)行所述逆操作步驟�����。由于所述逆行為操作步驟就是程序源代碼指令的集合���,所以對所述逆行為操作步驟的執(zhí)行實際上就是對所述程序源代碼指令進行依次分別的調(diào)用過程�����。根據(jù)每個程序源代碼指令進行相應(yīng)的執(zhí)行操作���,從而完成被病毒程序破壞的數(shù)據(jù)的恢復(fù)操作。例如�,建立一個執(zhí)行逆行為操作步驟功能的一個主功能函數(shù),在這個主功能函數(shù)里實際上是將所述程序源代碼指令進行依次分別調(diào)用的過程���。所述被病毒程序破壞的數(shù)據(jù)的恢復(fù)裝置還可以包括數(shù)據(jù)備份單元44�,用于對計算機操作系統(tǒng)的相關(guān)信息的備份��,所述備份信息輔助所述執(zhí)行單元43完成所述逆行為操作步驟�����。所述的備份數(shù)據(jù)可以存儲在信息備份庫中��,以方便備份數(shù)據(jù)的調(diào)用���。所述輸入單元41��、創(chuàng)建單元42和執(zhí)行單元43可以完成相當(dāng)情況下被病毒程序破壞的數(shù)據(jù)恢復(fù)���,但是其并不是最完善的。當(dāng)病毒程序刪除或者覆蓋了原數(shù)據(jù)��,則由于該病毒程序破壞性行為操作對應(yīng)的源代碼序列塊中并沒有原數(shù)據(jù)的信息�����,所以以此建立的逆行為操作步驟也不包括原數(shù)據(jù)的信息����,則所述的逆行為操作步驟就無法取回原數(shù)據(jù)進行覆蓋,以實現(xiàn)被病毒程序破壞的數(shù)據(jù)的恢復(fù)�。因此,本發(fā)明所述的被病毒程序破壞的數(shù)據(jù)的恢復(fù)裝置還可以包括對計算機操作系統(tǒng)的相關(guān)信息進行預(yù)先備份的數(shù)據(jù)備份單元44���。所述的計算機操作系統(tǒng)相關(guān)信息����,一般為計算機病毒程序容易感染的程序文件和操作系統(tǒng)的敏感文件等�����,例如注冊表、系統(tǒng)配置文件等易感染數(shù)據(jù)�����。如果病毒程序?qū)τ嬎銠C的某些文件進行了修改或者刪除���,而所述文件在信息備份庫中存有備份時����,則就可以從所述信息備份庫中將所述文件的備份文件覆蓋回來�����。優(yōu)選的���,為了保證對用戶計算機存儲空間的影響�,僅僅選擇備份操作系統(tǒng)的敏感信息����,因為一般的病毒程序感染這些信息的機會較大�����,而且對用戶計算機的影響最大。當(dāng)然��,如果用戶的計算機允許��,則最好可以將用戶計算機上的所有文件或者用戶認(rèn)為重要的文件都進行備份�,這樣不僅可以將病毒程序殺除干凈,并且可以最大限度的恢復(fù)被病毒程序破壞的數(shù)據(jù)文件�。所述的數(shù)據(jù)備份單元44,可以首先對操作系統(tǒng)的敏感部分(例如注冊表�、系統(tǒng)配置文件等易感染數(shù)據(jù))進行初始化備份,將備份的數(shù)據(jù)或信息進行分類存儲在信息備份庫中��。當(dāng)每次合法程序?qū)@些敏感部分進行更改后�,對更改的部分再進行實時的增量式備份,即只需要將修改信息進行相應(yīng)位置的備份即可�����。當(dāng)然也可以根據(jù)用戶計算機的許可�,定時的對所有文件進行備份。所示被病毒程序破壞的數(shù)據(jù)的恢復(fù)裝置����,還可以包括虛擬環(huán)境單元45�。所述虛擬環(huán)境單元45��,用于將根據(jù)所述破壞性操作行為編制得到的所述控制處理程序嵌入操作系統(tǒng)���,當(dāng)待檢測程序中所述破壞性操作指令調(diào)用所述控制處理程序時�����,由所述控制處理程序記錄所述待檢測程序的破壞性操作行為��;并返回成功應(yīng)答信息����,誘導(dǎo)所述待檢測程序在虛擬環(huán)境中繼續(xù)運行��,從而檢測和記錄所述病毒程序的一系列可執(zhí)行的破壞性行為操作及步驟��。參照圖5�,是本發(fā)明一種病毒程序清除方法的步驟流程圖,包括以下步驟步驟51����,獲得病毒程序可執(zhí)行的破壞性行為操作步驟。所述破壞性行為操作步驟是指能夠完成一個特定功能或結(jié)果的代碼序列塊����;步驟52,建立所述行為操作步驟對應(yīng)的逆操作步驟和病毒程序刪除步驟��;步驟53����,執(zhí)行所述逆操作步驟和所述病毒程序刪除步驟。所述病毒程序清除方法與本實施方式所述被病毒程序破壞的數(shù)據(jù)的恢復(fù)方法具有相同的原理�,主要區(qū)別在于在恢復(fù)被病毒程序破壞的數(shù)據(jù)的基礎(chǔ)上,同時將所述病毒程序刪除���。所以對所述病毒程序清除方法的說明參見本專利對所述被病毒程序破壞的數(shù)據(jù)的恢復(fù)方法的描述即可����。所述病毒程序可執(zhí)行的破壞性行為操作步驟���,即完成一個特定功能或結(jié)果的源代碼序列塊�,可以預(yù)先分析得出�����,也可以通過計算機程序自動獲取的��。參照圖6,所述計算機獲取病毒程序的可執(zhí)行的行為操作步驟的方法可以包括以下步驟�����。步驟a�����,獲取已知病毒程序的破壞性操作行為�����。病毒程序有一些行為�����,是病毒程序的共同行為��,而且比較特殊�。所述已知病毒程序的破壞性操作行為的獲取可以通過人工完成也可以通過計算機實現(xiàn)。所述的破壞性操作行為一般包括對計算機系統(tǒng)的非常規(guī)操作或者易造成惡性結(jié)果的操作���。例如非常規(guī)讀寫操作�����、刪除某系統(tǒng)文件�����、導(dǎo)致內(nèi)存沖突��、破壞硬盤分區(qū)表等等��。下面列舉一些具體的可以作為監(jiān)測病毒程序的操作行為占用INT13H�����、修改DOS系統(tǒng)數(shù)據(jù)區(qū)的內(nèi)存總量�、對COM和EXE文件做寫入動作����、病毒程序與宿主程序的切換特征等。除了上述較為明顯的破壞性操作行為���,病毒程序一般還會包括較為正常的操作行為�,如果單獨或者組合起來有可能產(chǎn)生破壞數(shù)據(jù)的危險操作��,則也屬于本發(fā)明所述病毒程序的破壞性操作行為的范圍內(nèi)。除了上述較為明顯的破壞性操作行為���,病毒程序一般還會包括較為正常的操作行為��,如果這些操作行為單獨或者組合起來有可能產(chǎn)生破壞數(shù)據(jù)的危險操作�����,則也屬于本發(fā)明所述病毒程序的破壞性操作行為的范圍內(nèi)�����。通常�����,一個病毒程序的破壞行為可以由一系列的執(zhí)行破壞性操作的指令或指令集以及必要的參數(shù)構(gòu)成的��,每一個所述指令或指令集至少產(chǎn)生一個獨立的破壞性操作行為�����。因此����,獲得現(xiàn)有病毒程序的破壞性操作行為,即是將已經(jīng)存在的病毒程序中包含的獨立的破壞性操作行為涉及的指令或指令集以及必要的參數(shù)提取出來��。例如�����,假設(shè)13H中斷的03H或05H號功能調(diào)用涉及可能的破壞數(shù)據(jù)的危險操作�����,則13H中斷的03H或05H號功能調(diào)用對應(yīng)的指令就可以被看作是產(chǎn)生一個獨立的破壞性操作行為的指令���。假設(shè),10H中斷的02H號功能調(diào)用和11H的06H號功能調(diào)用組合在一起涉及可能的破壞數(shù)據(jù)的危險操作�����,則10H中斷的02H號功能調(diào)用和11H的06H號功能調(diào)用對應(yīng)的指令集合就可以被看作是產(chǎn)生一個獨立的破壞性操作行為的指令集��。如果一個被檢測的程序具有這樣的指令代碼��,就可以得知該被檢測程序存在一個可能破壞性其他程序或數(shù)據(jù)的可疑操作行為���,將這些行為操作收集起來�,就可以通過程序的行為集合判斷一個程序是否為病毒程序以及如何最大限度地恢復(fù)相應(yīng)的病毒程序破壞的數(shù)據(jù)。獲取已知病毒程序的破壞性操作行為���,也可以通過計算機輔助完成�。例如采用申請?zhí)枮?1117726.8�、名稱為“檢測和清除已知及未知計算機病毒的方法、系統(tǒng)和介質(zhì)”的中國發(fā)明專利介紹的��,以提供用于誘發(fā)病毒感染的感染對象來檢測病毒的方法���,就可以獲得已知和未知病毒程序的破壞性操作行為�。由于申請?zhí)枮?1117726.8的發(fā)明已經(jīng)公開�,在此不在贅述。步驟b�,根據(jù)所述破壞性操作行為設(shè)置或編制該操作行為對應(yīng)的控制處理程序。為此���,當(dāng)將現(xiàn)有病毒程序的破壞性操作行為分解出來以后��,就可以根據(jù)所述破壞性操作行為設(shè)置該行為對應(yīng)的控制處理程序���,所述控制處理程序用于響應(yīng)待檢測程序的破壞性操作行為涉及的指令和參數(shù),并反饋所述破壞性操作行為成功的信息����,以誘導(dǎo)該待檢測程序的下一個行為�����,同時記錄所述待檢測程序的該項破壞性操作行為���。假設(shè),一個程序中的破壞性操作行為涉及的指令和參數(shù)為DEL(參數(shù)1�;參數(shù)2;參數(shù)3)�,其中,DEL表示刪除���,參數(shù)1表示被刪除的盤號,參數(shù)2表示被刪除的簇號�����,參數(shù)3表示接受刪除是否成功的變量�����,則該破壞性操作行為對應(yīng)的控制處理程序可以是(1)WRITE(FILE1���,“DEL(參數(shù)1�;參數(shù)2;參數(shù)3)”)�����;(2)WRITE(DEL(參數(shù)1����;參數(shù)2;參數(shù)3)����,0,0���,0)����;其中��,第(1)行的指令表示將破壞性指令“DEL(參數(shù)1����;參數(shù)2���;參數(shù)3)”作為字符串記錄進文件FILE1中;第(2)行的指令表示向?qū)⑵茐男灾噶頓EL(參數(shù)1�����;參數(shù)2����;參數(shù)3)反饋操作成功的標(biāo)志“0”。步驟c�,將所述控制處理程序嵌入操作系統(tǒng),使控制處理程序獲得對所述破壞性操作行為的控制權(quán)�����,這種控制權(quán)可以通過使控制處理程序獲得優(yōu)于操作系統(tǒng)的系統(tǒng)控制權(quán)而獲得�����。為了能夠自動快速地檢測并記錄程序中可能出現(xiàn)的破壞性操作行為���,以甄別該程序是否為病毒程序,需要所述控制處理程序獲得對被檢測程序出現(xiàn)的破壞性操作行為的控制權(quán)�����,以獲得被檢測程序中出現(xiàn)的破壞性操作行為,為此�,采用將所述控制處理程序嵌入到操作系統(tǒng)中的辦法使控制處理程序獲得相應(yīng)的破壞性操作行為的控制權(quán);當(dāng)然����,也可以通過其他方式使控制處理程序獲得系統(tǒng)的監(jiān)控權(quán)從而達(dá)到檢測并記錄待檢測程序的破壞性操作行為之目的。如果采用將所述控制處理程序嵌入到操作系統(tǒng)中的方式�����,即可以通過將控制處理程序嵌入到操作系統(tǒng)的功能調(diào)用表實現(xiàn)�����;也可以將控制處理程序存儲到一個獨立的操作行為調(diào)用表��,使其具有比操作系統(tǒng)的功能調(diào)用表更高級的優(yōu)先權(quán)實現(xiàn)�����。例如任何操作系統(tǒng)中都會存在一個系統(tǒng)功能調(diào)用表����,系統(tǒng)功能調(diào)用表根據(jù)需要可以有不同的結(jié)構(gòu)�。參考圖7�,圖7所示的系統(tǒng)功能調(diào)用表包括兩個字段,一個是編號字段�,用于存儲系統(tǒng)功能調(diào)用程序的編號;一個是功能調(diào)用地址字段�,用于存儲系統(tǒng)功能調(diào)用程序指針,即地址��,該地址通常對應(yīng)系統(tǒng)功能調(diào)用程序的首地址��。圖8是系統(tǒng)功能調(diào)用程序?qū)嶋H存儲區(qū)的示意圖�,當(dāng)需要某個操作系統(tǒng)提供的功能時,例如需要13H中斷處理程序提供的寫磁盤操作����,就需要從圖7所示的系統(tǒng)功能調(diào)用表中提取出13H中斷處理程序的地址,再到圖8所示的存儲區(qū)中的相應(yīng)地址處讀取相應(yīng)的程序到內(nèi)存中執(zhí)行即可獲得操作結(jié)果����。如果將所述控制處理程序嵌入到操作系統(tǒng)中,方法之一就是將相應(yīng)的控制處理程序存儲到系統(tǒng)功能調(diào)用表中����。假設(shè)現(xiàn)在有100H(H表示16進制)個破壞性操作行為被分解出來���,而且已經(jīng)編制好100H個對應(yīng)的控制處理程序��,則����,將這100H個控制處理程序的存儲地址存入到圖7所示表中,存儲結(jié)果參考圖9����,圖10示出了圖9所述存儲實例的功能調(diào)用程序?qū)嶋H存儲區(qū)的示意圖。所述控制處理程序的存儲地址依次存儲到系統(tǒng)功能調(diào)用程序地址的后面�。實際中,將所述控制處理程序嵌入到操作系統(tǒng)中的方法并不限于圖9所示的存儲方式�,也可以采用圖11所示的將所述控制處理程序直接存儲為一個獨立的操作行為調(diào)用表的方式,并使所述控制處理程序獲得優(yōu)于系統(tǒng)功能調(diào)用程序的優(yōu)先權(quán)�����,該步驟的實現(xiàn)方式是將圖7中的系統(tǒng)功能調(diào)用指針�����,即功能調(diào)用地址字段的系統(tǒng)功能調(diào)用程序的地址修改為相應(yīng)控制處理程序的地址即可����。以圖9為例�����,假設(shè)編號為0A00的A控制處理程序地址與編號為0003的05H中斷相對應(yīng)��,就需要將“功能調(diào)用地址”字段存儲的“05H中斷地址”修改為“A控制處理程序地址”�,從而在所述破壞性操作行為涉及的指令調(diào)用“05H中斷地址”對應(yīng)的程序時�����,實際上調(diào)用的是“A控制處理程序地址”����,從而使“A控制處理程序”獲得了優(yōu)于“05H中斷”的系統(tǒng)控制權(quán)。繼續(xù)推廣這種思想�,就可以將所述控制處理程序嵌入操作系統(tǒng)。在另外的實施例中�����,還可以使所述破壞性操作行為對應(yīng)的系統(tǒng)功能調(diào)用程序?qū)⑵淇刂茩?quán)移交給相應(yīng)的控制處理程序�,從而使控制處理程序獲得對所述破壞性操作行為的控制權(quán)。以圖11這種存儲方式為例����,所有的控制處理程序在系統(tǒng)中形成了另外一張系統(tǒng)功能調(diào)用表,只要使該表具有比系統(tǒng)原有的系統(tǒng)功能調(diào)用表具有更高的優(yōu)先級���,就可以使控制處理程序獲得對所述破壞性操作行為的控制權(quán)���。例如,在待檢測程序調(diào)用所述控制處理程序調(diào)用系統(tǒng)功能調(diào)用程序時���,首先調(diào)用圖11所述的表中的控制處理程序��,如果在圖11所述的表中不存在被調(diào)用的控制處理程序����,再去調(diào)用圖2所述的表中的真正的系統(tǒng)功能調(diào)用程序����。由于通過步驟c,已經(jīng)使控制處理程序獲得對所述破壞性操作行為的控制權(quán)�,因此待檢測程序在步驟d調(diào)用所述控制處理程序時,就可以由所述控制處理程序記錄所述待檢測程序的操作行為���。即�,所述待檢測程序執(zhí)行時,一旦其中存在的實現(xiàn)破壞性操作行為的指令被執(zhí)行���,即調(diào)用相應(yīng)的系統(tǒng)功能調(diào)用程序���,就會首先調(diào)用相應(yīng)的控制處理程序,由所述控制處理程序?qū)ζ溥M行應(yīng)答并記錄所述待檢測程序的破壞性操作行為�����。通常的病毒程序需要獲得一條破壞性的行為操作結(jié)果�,在得到成功操作的結(jié)果時,才繼續(xù)后續(xù)的操作��,因此為了對待檢測程序進行進一步的判斷����,還可以通過所述的控制處理程序?qū)λ龃龣z測程序的調(diào)用返回成功應(yīng)答的信息,從而誘導(dǎo)所述待檢測程序繼續(xù)進行下一行為����;而實際上,操作系統(tǒng)的控制權(quán)由于在步驟c已由控制處理程序接管�,所述待檢測程序并沒有得到實際運行的效果,其收到的信息是控制處理程序傳回的信息�,其獲得的信息相對于其需求來說是虛假信息���,因此待檢測程序并沒有在操作系統(tǒng)的環(huán)境下實際運行,而是在控制處理程序構(gòu)成主控制權(quán)的環(huán)境中虛擬運行����,從而可以檢測和記錄所述待檢測程序的一系列行為操作����,并且不會對系統(tǒng)造成損害。上述的獲得病毒程序可執(zhí)行的破壞性行為操作的方法可以理解為在現(xiàn)實的操作系統(tǒng)內(nèi)通過軟件實現(xiàn)的方法虛擬一個運行環(huán)境���。這個環(huán)境的數(shù)據(jù)與運行結(jié)果與真實的操作系統(tǒng)完全隔離����,但是文件或進程的執(zhí)行過程和結(jié)果與在真實的操作系統(tǒng)中運行是完全相同的��。實際中�����,所述步驟c是一個可選擇的步驟���,無論所述控制處理程序是否嵌入操作系統(tǒng)����,只要其在程序操作行為涉及的指令運行時具有優(yōu)于操作系統(tǒng)的控制權(quán),即可形成誘發(fā)待檢測程序行為的虛擬運行環(huán)境����,從而檢測到所述待檢測程序的操作行為。通過上述方法計算機自行獲取或者預(yù)先分析得出病毒程序的可執(zhí)行的行為操作��,則就可以建立所述行為操作步驟對應(yīng)的逆行為操作步驟�,并根據(jù)病毒程序的可執(zhí)行的行為操作步驟執(zhí)行所述對應(yīng)的逆行為操作步驟,從而完成本發(fā)明所述恢復(fù)被病毒程序破壞的數(shù)據(jù)的操作��。以上對本發(fā)明所提供的一種被病毒程序破壞的數(shù)據(jù)恢復(fù)方法����、裝置及病毒程序清除方法進行了詳細(xì)介紹,本文中應(yīng)用了具體個例對本發(fā)明的原理及實施方式進行了闡述�,以上實施例的說明只是用于幫助理解本發(fā)明的方法及其核心思想;同時����,對于本領(lǐng)域的一般技術(shù)人員,依據(jù)本發(fā)明的思想��,在具體實施方式及應(yīng)用范圍上均會有改變之處�����,綜上所述,本說明書內(nèi)容不應(yīng)理解為對本發(fā)明的限制�����。權(quán)利要求1.一種被病毒程序破壞的數(shù)據(jù)恢復(fù)方法���,其特征在于包括獲得病毒程序的可執(zhí)行的破壞性行為操作步驟;建立所述破壞性行為操作步驟對應(yīng)的逆行為操作步驟���;根據(jù)病毒程序可執(zhí)行的破壞性行為的操作步驟執(zhí)行對應(yīng)的逆行為操作步驟��。2.如權(quán)利要求1所述的被病毒程序破壞的數(shù)據(jù)恢復(fù)方法����,其特征在于���,還包括對計算機操作系統(tǒng)的相關(guān)信息進行備份����,并利用所述備份數(shù)據(jù)�,執(zhí)行所述逆行為操作步驟����。3.如權(quán)利要求2所述的被病毒程序破壞的數(shù)據(jù)恢復(fù)方法�,其特征在于所述備份為增量式備份。4.如權(quán)利要求1或2所述的被病毒程序破壞的數(shù)據(jù)恢復(fù)方法����,其特征在于,按照下述步驟獲得病毒程序可執(zhí)行破壞性的行為獲得已知病毒程序的破壞性操作行為���;根據(jù)所述破壞性操作行為編制對應(yīng)的控制處理程序�;使控制處理程序獲得對所述破壞性操作行為的控制權(quán)��;病毒程序調(diào)用相應(yīng)的控制處理程序�����,由所述控制處理程序記錄所述病毒程序的破壞性操作行為�����。5.如權(quán)利要求4所述的被病毒程序破壞的數(shù)據(jù)恢復(fù)方法�,其特征在于,還包括所述控制處理程序向所述待檢測程序返回成功應(yīng)答信息�����。6.如權(quán)利要求4所述的被病毒程序破壞的數(shù)據(jù)恢復(fù)方法,其特征在于將所述控制處理程序嵌入操作系統(tǒng)或者所述破壞性操作行為對應(yīng)的系統(tǒng)功能調(diào)用程序?qū)⑵淇刂茩?quán)移交給相應(yīng)的控制處理程序���,使控制處理程序獲得對所述破壞性操作行為的控制權(quán)���。7.如權(quán)利要求6所述的被病毒程序破壞的數(shù)據(jù)恢復(fù)方法,其特征在于按照病毒程序可執(zhí)行的破壞性行為操作步驟的順序執(zhí)行所述逆行為操作步驟�����。8.如權(quán)利要求1或2所述的被病毒程序破壞的數(shù)據(jù)恢復(fù)方法�����,其特征在于將根據(jù)所述破壞性行為操作步驟建立的相對應(yīng)的逆行為操作步驟以數(shù)據(jù)庫列表的方式進行存儲�。9.一種被病毒破壞的數(shù)據(jù)的恢復(fù)裝置�����,其特征在于���,包括輸入單元�����,用于獲取病毒程序可執(zhí)行的破壞性行為操作步驟�;創(chuàng)建單元,用于建立所述破壞性行為操作步驟對應(yīng)的逆行為操作步驟�����;執(zhí)行單元����,用于執(zhí)行所述逆行為操作步驟。10.如權(quán)利要求9所述的被病毒程序破壞的數(shù)據(jù)恢復(fù)裝置��,其特征在于���,還包括數(shù)據(jù)備份單元��,用于對計算機操作系統(tǒng)的相關(guān)信息的備份���,所述執(zhí)行單元利用所述備份信息完成所述逆行為操作步驟。11.如權(quán)利要求9所述的被病毒程序破壞的數(shù)據(jù)恢復(fù)裝置��,其特征在于,還包括虛擬環(huán)境單元���,用于將根據(jù)所述破壞性操作行為得到的所述控制處理程序嵌入操作系統(tǒng)���,使控制處理程序獲得對所述破壞性操作行為的控制權(quán);當(dāng)病毒程序調(diào)用所述控制處理程序時���,由所述控制處理程序記錄所述病毒程序的操作行為�����。12.一種病毒程序清除方法����,其特征在于�����,包括獲得病毒程序可執(zhí)行的破壞性行為操作步驟����;建立所述破壞性行為操作步驟對應(yīng)的逆行為操作步驟和病毒程序刪除步驟�;執(zhí)行所述逆操作步驟和所述病毒程序刪除步驟。全文摘要本發(fā)明公開了一種被病毒程序破壞的數(shù)據(jù)的恢復(fù)方法,包括獲得病毒程序的可執(zhí)行的破壞性行為操作步驟�����;建立所述破壞性行為操作步驟對應(yīng)的逆行為操作步驟�;根據(jù)病毒程序可執(zhí)行的破壞性行為的操作步驟執(zhí)行對應(yīng)的逆行為操作步驟。本發(fā)明還提供了一種病毒程序清除方法���,根據(jù)病毒程序的行為操作步驟建立相對應(yīng)的逆行為操作步驟��,并執(zhí)行所述逆行為操作步驟以及清除所述待檢測程序�����。本發(fā)明所述方法針對不同的病毒程序���,采用不同的逆行為操作步驟,實現(xiàn)被病毒程序破壞的數(shù)據(jù)的恢復(fù)���,改變了現(xiàn)有的清除病毒程序的方法對任何病毒程序都采用相同的處理步驟的缺陷�����,從而使清除病毒程序后的計算機盡可能的恢復(fù)到感染病毒程序以前的狀態(tài)�。文檔編號G06F21/56GK1936911SQ20061000761公開日2007年3月28日申請日期2006年2月15日優(yōu)先權(quán)日2005年11月16日發(fā)明者白杰,魯征宇,李薇申請人:白杰,李薇,魯征宇