專利名稱:檢測程序操作行為的方法及病毒程序檢測�、清除方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種程序檢測方法,尤其涉及一種檢測程序操作行為的方法���,以及利用所述檢測程序操作行為的方法進行病毒程序檢測和清除方法���。
背景技術(shù):
現(xiàn)有的殺毒程序,一般都采用特征碼識別的方法對被懷疑為病毒的程序進行檢測�,這種殺毒程序包括病毒代碼庫,該病毒代碼庫存儲有經(jīng)過特別選定的各種計算機病毒程序的代碼串�����;以及對待檢測程序進行代碼掃描、分析的病毒掃描程序���。所述病毒掃描程序能識別的計算機病毒的數(shù)目完全取決于病毒代碼庫內(nèi)所含病毒的特征碼的數(shù)量有多少����,通過特征碼判斷一個待檢測程序是否為病毒程序���。通常�,特征碼是由反病毒技術(shù)人員借助DEBUG����、PROVIEW等分析用工具程序和專用的試驗用計算機對病毒具體工作流程進行分析、跟蹤得出的���,也就是說對病毒行為的檢測分析是由反病毒技術(shù)人員完成的���。
現(xiàn)實中���,有人提出可以采用病毒行為感染實驗的方法診斷一個待檢測程序是否為病毒程序��。該方法首先運行待檢測程序,再運行一些確切知道不帶毒的正常程序,然后觀察這些正常程序的長度和校驗和是否發(fā)生變化,如果發(fā)現(xiàn)不帶毒的正常程序出現(xiàn)程序增長�����、縮短,或者校驗和發(fā)生變化,就可判斷處該待檢測程序為病毒程序。當然���,為了保證計算機的安全�,一般都會利用軟件模擬一個CPU�,它可以象真正CPU一樣取指,譯碼����,執(zhí)行,它可以模擬一段代碼在真正CPU上運行得到的結(jié)果���。給定一組機器碼序列����,虛擬CPU會自動從中取出第一條指令操作碼部分���,判斷操作碼類型和尋址方式以確定該指令長度�,然后在相應的函數(shù)中執(zhí)行該指令����,并根據(jù)執(zhí)行后的結(jié)果確定下條指令的位置,如此循環(huán)反復直到某個特定情況發(fā)生以結(jié)束工作,最后在執(zhí)行完的結(jié)果(解密后的病毒體程序明文)中查找病毒的特征碼�����。這里所謂的虛擬���,是指染毒文件并沒有實際執(zhí)行��,只不過是虛擬CPU模擬了其真實執(zhí)行時的效果而已��。所以這樣的技術(shù)也沒有實現(xiàn)對病毒行為的檢測和記錄,只能得到病毒運行后的結(jié)果而已。
隨著程序檢測技術(shù)的發(fā)展��,還有人提出可以采用病毒行為監(jiān)測的方法診斷一個程序是否為病毒程序�。通過對病毒多年的觀察、研究�,人們發(fā)現(xiàn)病毒有一些行為��,所述行為即一些特殊的指令操作�����,例如采用13H中斷寫磁盤的操作,是病毒的共同行為���,而且比較特殊����。該方法在待檢測程序運行時,監(jiān)視其行為�����,如果發(fā)現(xiàn)了程序的特殊操作行為�����,即病毒行為�����,立即報警。但是�,該方法要求殺毒程序能夠為待查程序創(chuàng)建一個虛擬的執(zhí)行環(huán)境,提供它可能用到的一切元素�����,包括硬盤��,端口等�,其實現(xiàn)難度過大���,需模擬元素太多����;所以基本還沒有將該方法在殺毒軟件中實現(xiàn)的例子����。并且���,這種方法的主要特點是采用單一行為的判斷實現(xiàn)一個程序是否為病毒程序的判斷的�,由于只采用單一行為的判斷得到結(jié)論��,使得這種方法極易產(chǎn)生誤判斷�。例如��,如果將采用13H中斷寫磁盤某個特定區(qū)域的操作作為病毒行為�����,則一個采用這種操作的正常程序也會被視為病毒���。
發(fā)明內(nèi)容
鑒于上述問題���,本發(fā)明的目的是提供一種易于實現(xiàn)的檢測程序操作行為的方法��。
本發(fā)明的另一目的在于提供一個所述待檢測程序的虛擬運行環(huán)境�,通過所述虛擬運行環(huán)境����,能夠有效檢測出待檢測程序的操作行為,而實際上,所述待檢測程序并沒有實際運行����。
本發(fā)明第三個目的在于提供一個利用所述檢測程序操作行為的方法進行病毒程序的檢測和清除方法���。
為解決上述技術(shù)問題�,本發(fā)明提出了一種檢測程序操作行為的方法,包括獲得已知病毒程序的破壞性操作行為;根據(jù)所述破壞性操作行為設(shè)置對應的控制處理程序;使控制處理程序獲得對所述破壞性操作行為的控制權(quán)��;待檢測程序的破壞性操作行為調(diào)用相應的控制處理程序��,由所述控制處理程序記錄所述待檢測程序的操作行為。
所述方法還包括所述控制處理程序向所述待檢測程序返回成功應答信息����。
其中,將所述控制處理程序嵌入操作系統(tǒng)或者所述破壞性操作行為對應的系統(tǒng)功能調(diào)用程序?qū)⑵淇刂茩?quán)移交給相應的控制處理程序���,使控制處理程序獲得對所述破壞性操作行為的控制權(quán)。
按照下述步驟將所述控制處理程序嵌入操作系統(tǒng)將調(diào)用所述控制處理程序需要的信息添加到操作系統(tǒng)的系統(tǒng)功能調(diào)用表����;將系統(tǒng)功能調(diào)用程序的地址修改為相應控制處理程序的地址。
也可以按照下述步驟將所述控制處理程序嵌入操作系統(tǒng)將調(diào)用所述控制處理程序需要的信息存儲到一個獨立的操作行為調(diào)用表�����;使所述操作行為調(diào)用表具有比操作系統(tǒng)的系統(tǒng)功能調(diào)用表具有更高級的優(yōu)先權(quán)����。
所述方法還包括為所述待檢測程序設(shè)置一封閉的內(nèi)存運行空間����。
通過對所述待檢測程序運行時涉及的地址范圍的沖突檢測或者通過為所述待檢測程序分配地址范圍的方式為所述待檢測程序設(shè)置一封閉的內(nèi)存運行空間。
所述方法還包括將所述待檢測程序轉(zhuǎn)換為現(xiàn)實操作系統(tǒng)不可識別的格式;并存儲至指定的存儲地址�。
所述方法還包括所述待檢測程序運行結(jié)束后,輸出記錄的所述待檢測程序的所有行為數(shù)據(jù)����。
而且��,在操作系統(tǒng)和控制處理程序之間設(shè)置用于在二者之間傳送數(shù)據(jù)的獨立的輸入/輸出邏輯接口。
本發(fā)明提供的計算機病毒的檢測方法包括獲得病毒程序的破壞性操作行為�;根據(jù)所述破壞性操作行為設(shè)置對應的控制處理程序�;使控制處理程序獲得對所述破壞性操作行為的控制權(quán)��;待檢測程序的破壞性操作行為調(diào)用相應的控制處理程序�,由所述控制處理程序記錄所述待檢測程序的操作行為����;根據(jù)獲得的所述待檢測程序的行為數(shù)據(jù)或行為數(shù)據(jù)集合以及預置的典型病毒程序的行為數(shù)據(jù)或者行為數(shù)據(jù)集合�����,判斷所述待檢測程序是否為病毒程序���。
其中,將所述控制處理程序嵌入操作系統(tǒng)���,或者所述破壞性操作行為對應的系統(tǒng)功能調(diào)用程序?qū)⑵淇刂茩?quán)移交給相應的控制處理程序,使控制處理程序獲得對所述破壞性操作行為的控制權(quán)��。
本發(fā)明提供的計算機病毒的清除方法���,包括獲得病毒程序的破壞性操作行為�;根據(jù)所述破壞性操作行為設(shè)置對應的控制處理程序;待檢測程序調(diào)用所述控制處理程序��,由所述控制處理程序記錄所述待檢測程序的操作行為;根據(jù)獲得的所述待檢測程序的行為數(shù)據(jù)或行為數(shù)據(jù)集合以及預置的典型病毒程序的行為數(shù)據(jù)或者行為數(shù)據(jù)集合,判斷所述待檢測程序是否為病毒程序�;如果確認所述待檢測程序為計算機病毒程序�,則清除所述待檢測程序��。
所述計算機病毒的清除方法還包括將所述控制處理程序嵌入操作系統(tǒng)�����,或者所述破壞性操作行為對應的系統(tǒng)功能調(diào)用程序?qū)⑵淇刂茩?quán)移交給相應的控制處理程序�����,使控制處理程序獲得對所述破壞性操作行為的控制權(quán)。
所述計算機病毒的清除方法,還包括根據(jù)獲得的所述待檢測程序的行為數(shù)據(jù)或行為數(shù)據(jù)集合,建立對應的逆行為操作步驟���;執(zhí)行所述逆行為操作步驟�。
與現(xiàn)有技術(shù)相比���,本發(fā)明至少具有以下的優(yōu)點本實施例所述檢測程序操作行為的方法通過使控制處理程序獲得對所述破壞性操作行為控制權(quán)的方式,例如將對應病毒程序的破壞性操作行為的控制處理程序嵌入操作系統(tǒng),使待檢測程序的破壞性操作行為對應的操作指令���、參數(shù)受控制處理程序的監(jiān)控���,不但不會產(chǎn)生破壞性的操作結(jié)果,還能夠?qū)崿F(xiàn)檢測以及記錄其操作行為���。這種實現(xiàn)方式簡單易行,可以不需要DEBUG�����、PROVIEW等分析用工具程序和專用的試驗用計算機對病毒具體工作流程進行分析、跟蹤���。
本實施例所述檢測程序操作行為的方法還可以通過所述控制處理程序?qū)λ龃龣z測程序的調(diào)用返回成功應答的信息,從而誘導所述待檢測程序繼續(xù)進行下一行為�����,而實際上�,所述待檢測程序并沒有實際運行�。即為所述待檢測程序提供了一個虛擬運行的環(huán)境�����,并且該環(huán)境不需要模擬整個操作系統(tǒng)、CPU、存儲器等,可以提高檢測以及記錄程序操作行為的效率����。
本發(fā)明的還提供一個利用所述檢測程序操作行為的方法進行病毒程序的檢測���。通過實踐中總結(jié)得出一些典型病毒的典型行為�,并利用所述檢測程序操作行為的方法獲取所述待檢測程序的行為數(shù)據(jù)�����,通過二者之間行為的直接比對,從而判斷所述待檢測程序是否為病毒。所以本專利不僅僅能識別已知病毒,也可以相當準確地識別多數(shù)的未知病毒程序����。
本發(fā)明的還提供一個利用所述檢測程序操作行為的方法進行病毒程序清除方法����。所述清除方法���,不僅可以清除病毒程序��,并且可以根據(jù)所述病毒程序的行為����,建立并執(zhí)行所述病毒程序的逆行為操作����,故可以實現(xiàn)對被病毒破壞的數(shù)據(jù)的恢復,以解決雖然清除了病毒卻不能被破壞的數(shù)據(jù)的問題����。
下面結(jié)合附圖和具體實施方式
對本發(fā)明作進一步詳細的說明��。
圖1是本發(fā)明所述檢測程序操作行為的方法流程圖����;圖2是系統(tǒng)功能調(diào)用表的結(jié)構(gòu)示意圖�;圖3是系統(tǒng)功能調(diào)用程序?qū)嶋H存儲區(qū)的示意圖;圖4是圖2所示系統(tǒng)功能調(diào)用表存儲相應控制處理程序時的結(jié)構(gòu)示意圖�����;圖5是圖4所示存儲實例的功能調(diào)用程序?qū)嶋H存儲區(qū)的示意圖���;圖6是將所有控制處理程序存儲為一個獨立的操作行為調(diào)用表的結(jié)構(gòu)示意圖���;圖7是本發(fā)明所述計算機病毒檢測方法的流程圖���;圖8是本發(fā)明所述計算機病毒檢測和清除方法的流程圖�����;圖9是將所有控制處理程序存儲為另一個獨立的操作行為調(diào)用表的結(jié)構(gòu)示意圖。
具體實施例方式
本發(fā)明的核心思想通過將病毒程序的破壞性操作行為對應的控制處理程序嵌入操作系統(tǒng)的方式��,檢測待檢測程序的操作行為。通過所述的控制處理程序?qū)λ龃龣z測程序的調(diào)用返回成功應答的信息�����,從而誘導所述待檢測程序繼續(xù)進行下一行為,而實際上���,所述待檢測程序并沒有實際運行�。這樣就可以記錄所述待檢測程序的一系列行為操作���。
參照圖1�����,是本發(fā)明所述檢測程序操作行為的方法的步驟流程圖���,包括以下步驟步驟s1��,獲取病毒程序的破壞性操作行為�。技術(shù)人員通過對病毒多年的觀察�、研究�����,發(fā)現(xiàn)病毒有一些行為�,是病毒的共同行為�,而且比較特殊����。所述已知病毒程序的破壞性操作行為的分解和獲取可以通過人工完成也可以通過計算機實現(xiàn)。所述的破壞性操作行為一般包括對計算機系統(tǒng)的非常規(guī)操作或者造成惡性結(jié)果的操作����。例如非常規(guī)讀寫操作���、刪除某系統(tǒng)文件、導致內(nèi)存沖突����、破壞硬盤分區(qū)表等等。下面列舉一些可以用于監(jiān)測病毒的行為1、占用INT13H(操作系統(tǒng)13H中斷)所有的引導型病毒都攻擊BOOT(引導)扇區(qū)或主引導扇區(qū)��。系統(tǒng)啟動時,當BOOT扇區(qū)或主引導扇區(qū)中的主控程序獲得執(zhí)行控制權(quán)時���,系統(tǒng)就開始工作�����。一般引導型病毒都會占用INT13H中斷操作���,系統(tǒng)引導時其它系統(tǒng)功能調(diào)用函數(shù)還未設(shè)置好,無法利用��。引導型病毒占據(jù)INT13H中斷的系統(tǒng)功能操作��,在其中放置病毒程序的代碼,即用病毒程序的代碼獲得或替換INT13H中斷的程序代碼的控制權(quán)。
2�、修改系統(tǒng)數(shù)據(jù)區(qū)的內(nèi)存總量或覆蓋區(qū)的地址范圍,例如DOS系統(tǒng)。病毒常駐內(nèi)存后�,為了防止系統(tǒng)將其覆蓋�,必須修改內(nèi)存總量�����。
3�、對COM和EXE文件做寫入動作���。病毒要感染�,而使病毒代碼寫入或嵌入COM和EXE文件的操作�����。
4�、病毒程序與宿主程序的切換。染毒程序運行時,先運行病毒��,而后執(zhí)行宿主程序�����;在兩者切換時����,有一些典型的特征行為。
除了上述較為明顯的破壞性操作行為��,病毒程序一般還會包括較為正常的操作行為,如果這些操作行為單獨或者組合起來有可能產(chǎn)生破壞數(shù)據(jù)的危險操作�����,則也屬于本發(fā)明所述病毒程序的破壞性操作行為的范圍內(nèi)����。
通常��,一個病毒程序的破壞行為可以由一系列的執(zhí)行破壞性操作的指令或指令集構(gòu)成的�����,而且��,每一個所述的指令或指令集至少產(chǎn)生一個獨立的破壞性操作行為��。因此,分解現(xiàn)有病毒程序的破壞性操作行為���,即是將已經(jīng)存在的病毒程序中包含的獨立的破壞性操作行為涉及的指令或指令集提取出來�����。例如�,假設(shè)13H中斷的03H或05H號功能調(diào)用涉及可能的破壞數(shù)據(jù)的危險操作,則13H中斷的03H或05H號功能調(diào)用對應的指令就可以被看作是產(chǎn)生一個獨立的破壞性操作行為的指令���。假設(shè)��,10H中斷的02H號功能調(diào)用和11H的06H號功能調(diào)用組合在一起涉及可能的破壞數(shù)據(jù)的危險操作��,則10H中斷的02H號功能調(diào)用和11H的06H號功能調(diào)用對應的指令集合就可以被看作是產(chǎn)生一個獨立的破壞性操作行為的指令集���。如果一個被檢測的程序具有這樣的指令代碼�����,就可以得知該被檢測程序存在一個可能破壞性其他程序或數(shù)據(jù)的可疑操作行為��,將這些行為收集起來,就可以通過程序的行為集合判斷一個程序是否為病毒程序以及如何最大限度地恢復相應的病毒程序破壞的數(shù)據(jù)����。
獲取已知病毒程序的破壞性操作行為,也可以通過計算機輔助完成��。例如采用申請?zhí)枮?1117726.8����、名稱為“檢測和清除已知及未知計算機病毒的方法�����、系統(tǒng)和介質(zhì)”的中國發(fā)明專利介紹的,以提供用于誘發(fā)病毒感染的感染對象來檢測病毒的方法����,就可以獲得已知和未知病毒程序的破壞性操作行為�����。由于申請?zhí)枮?1117726.8的發(fā)明已經(jīng)公開��,在此不在贅述���。
步驟s2,根據(jù)所述破壞性操作行為設(shè)置或編制該操作行為對應的控制處理程序�����。
為此��,當將現(xiàn)有病毒程序的破壞性操作行為分解出來以后����,就可以根據(jù)所述破壞性操作行為編制該行為對應的控制處理程序,所述控制處理程序用于響應待檢測程序的破壞性操作行為涉及的指令和參數(shù),并反饋所述破壞性操作行為成功的信息以誘導該程序的下一個行為��,同時記錄所述待檢測程序的該項破壞性操作行為���。
假設(shè)���,一個程序中的破壞性操作行為涉及的指令和參數(shù)為DEL(參數(shù)1;參數(shù)2���;參數(shù)3)��,其中���,DEL表示刪除,參數(shù)1表示被刪除的盤號���,參數(shù)2表示被刪除的簇號����,參數(shù)3表示接受刪除是否成功的變量�����,則該破壞性操作行為對應的控制處理程序可以是(1)WRITE(FILE1,“DEL(參數(shù)1��;參數(shù)2��;參數(shù)3)”)����;(2)WRITE(DEL(參數(shù)1;參數(shù)2���;參數(shù)3)�,0�,0,0)��;其中�����,第(1)行的指令表示將破壞性指令“DEL(參數(shù)1���;參數(shù)2;參數(shù)3)”作為字符串記錄進文件FILE1中���;第(2)行的指令表示向?qū)⑵茐男灾噶頓EL(參數(shù)1����;參數(shù)2;參數(shù)3)反饋操作成功的標志“0”����。
步驟s3,將所述控制處理程序嵌入操作系統(tǒng)�,使控制處理程序獲得對所述破壞性操作行為的控制權(quán),這種控制權(quán)可以通過使控制處理程序獲得優(yōu)于操作系統(tǒng)的系統(tǒng)控制權(quán)而獲得��。
為了能夠自動快速地檢測并記錄程序中可能出現(xiàn)的破壞性操作行為�,以甄別該程序是否為病毒程序,需要所述控制處理程序獲得對被檢測程序出現(xiàn)的破壞性操作行為的控制權(quán)�����,以獲得被檢測程序中出現(xiàn)的破壞性操作行為�����,為此����,采用將所述控制處理程序嵌入到操作系統(tǒng)中的辦法使控制處理程序獲得相應的破壞性操作行為的控制權(quán)�;當然�,也可以通過其他方式使控制處理程序獲得系統(tǒng)的監(jiān)控權(quán)從而檢測并記錄待檢測程序的破壞性操作行為。如果采用將所述控制處理程序嵌入到操作系統(tǒng)中的方式�,即可以通過將控制處理程序嵌入到操作系統(tǒng)的功能調(diào)用表實現(xiàn);也可以將控制處理程序存儲到一個獨立的操作行為調(diào)用表�����,使其具有比操作系統(tǒng)的功能調(diào)用表更高級的優(yōu)先權(quán)實現(xiàn)���。例如任何操作系統(tǒng)中都會存在一個系統(tǒng)功能調(diào)用表�,系統(tǒng)功能調(diào)用表根據(jù)需要可以有不同的結(jié)構(gòu)��。參考圖2���,圖2所示的系統(tǒng)功能調(diào)用表包括兩個字段��,一個是編號字段�,用于存儲系統(tǒng)功能調(diào)用程序的編號����;一個是功能調(diào)用地址字段�����,用于存儲系統(tǒng)功能調(diào)用程序指針,即地址����,該地址通常對應系統(tǒng)功能調(diào)用程序的首地址。圖3是系統(tǒng)功能調(diào)用程序?qū)嶋H存儲區(qū)的示意圖���,當需要某個操作系統(tǒng)提供的功能時�����,例如需要13H中斷處理程序提供的寫磁盤操作���,就需要從圖2所示的表中提取出13H中斷處理程序的地址,再到圖3所示的存儲區(qū)中的相應地址處讀取相應的程序到內(nèi)存中執(zhí)行即可獲得操作結(jié)果����。如果將所述控制處理程序嵌入到操作系統(tǒng)中,方法之一就是將相應的控制處理程序存儲到系統(tǒng)功能調(diào)用表中�。假設(shè)現(xiàn)在有100H(H表示16進制)個破壞性操作行為被分解出來,而且已經(jīng)編制好100H個對應的控制處理程序�,則,將這100H個控制處理程序的存儲地址存入到圖2所示表中���,存儲結(jié)果參考圖4���,圖5示出了圖4存儲實例的功能調(diào)用程序?qū)嶋H存儲區(qū)的示意圖��。所述控制處理程序的存儲地址依次存儲到系統(tǒng)功能調(diào)用程序地址的后面���。
實際中,將所述控制處理程序嵌入到操作系統(tǒng)中的方法不限于圖4所示的存儲方式�,也可以采用圖6所示的將所述控制處理程序直接存儲為一個獨立的操作行為調(diào)用表的方式,并將圖4中的系統(tǒng)功能調(diào)用指針��,即功能調(diào)用地址字段的系統(tǒng)功能調(diào)用程序的地址修改為相應控制處理程序的地址即可���,使所述控制處理程序獲得優(yōu)于系統(tǒng)功能調(diào)用程序的優(yōu)先權(quán)��。以圖4為例�,假設(shè)編號為0A00的A控制處理程序地址與編號為0003的05H中斷相對應����,就需要將“功能調(diào)用地址”字段存儲的“05H中斷地址”修改為“A控制處理程序地址”,從而在所述破壞性操作行為涉及的指令調(diào)用“05H中斷地址”對應的程序時�,實際上調(diào)用的是“A控制處理程序地址”,從而使“A控制處理程序”獲得了優(yōu)于“05H中斷”的系統(tǒng)控制權(quán)。繼續(xù)推廣這種思想��,就可以將所述控制處理程序嵌入操作系統(tǒng)�。
在另外的實施例中����,還可以使所述破壞性操作行為對應的系統(tǒng)功能調(diào)用程序?qū)⑵淇刂茩?quán)移交給相應的控制處理程序,從而使控制處理程序獲得對所述破壞性操作行為的控制權(quán)�。以圖9這種存儲方式為例,所有的控制處理程序在系統(tǒng)中形成了另外一張系統(tǒng)功能調(diào)用表����,只要使該表具有比系統(tǒng)原有的系統(tǒng)功能調(diào)用表具有更高的優(yōu)先級,就可以使控制處理程序獲得對所述破壞性操作行為的控制權(quán)�����。例如�,在待檢測程序調(diào)用所述控制處理程序調(diào)用系統(tǒng)功能調(diào)用程序時,首先調(diào)用圖9所述的表中的控制處理程序����,如果在圖9所述的表中不存在被調(diào)用的控制處理程序,再去調(diào)用圖2所述的表中的真正的系統(tǒng)功能調(diào)用程序����。
由于通過步驟s3���,已經(jīng)使控制處理程序獲得對所述破壞性操作行為的控制權(quán),因此待檢測程序在步驟s4調(diào)用所述控制處理程序��,就可以由所述控制處理程序記錄所述待檢測程序的操作行為�����。即����,所述待檢測程序執(zhí)行時,一旦其中存在的實現(xiàn)破壞性操作行為的指令被執(zhí)行�,即調(diào)用相應的系統(tǒng)功能調(diào)用程序,就會首先調(diào)用相應的控制處理程序�����,由所述控制處理程序記錄所述待檢測程序的破壞性操作行為�����。
通常的病毒程序需要獲得一條破壞性的行為操作結(jié)果���,在得到成功操作的結(jié)果時���,才繼續(xù)后續(xù)的操作��,因此為了對待檢測程序進行進一步的判斷,還可以通過所述的控制處理程序?qū)λ龃龣z測程序的調(diào)用返回成功應答的信息���,從而誘導所述待檢測程序繼續(xù)進行下一行為�,而實際上���,操作系統(tǒng)的控制權(quán)由于在步驟s3已由控制處理程序接管����,所述待檢測程序并沒有得到實際運行的效果����,其收到的信息是控制處理程序傳回的信息,其獲得的信息相對于其需求來說是虛假信息�,因此待檢測程序并沒有在操作系統(tǒng)的環(huán)境下實際運行,而是在控制處理程序構(gòu)成主控制權(quán)的環(huán)境中虛擬運行���,從而可以檢測和記錄所述待檢測程序的一系列行為操作�,并且不會對系統(tǒng)造成損害。本實施例所述的檢測程序操作行為的方法可以理解為在現(xiàn)實的操作系統(tǒng)內(nèi)通過軟件實現(xiàn)的方法虛擬一個運行環(huán)境�。這個環(huán)境的數(shù)據(jù)與運行結(jié)果與真實的操作系統(tǒng)完全隔離,但是文件或進程的執(zhí)行過程和結(jié)果與在真實的操作系統(tǒng)中運行是完全相同的����。
實際中,所述步驟s3是一個可選擇的步驟����,無論所述控制處理程序是否嵌入操作系統(tǒng),只要其在程序操作行為涉及的指令運行時具有優(yōu)于操作系統(tǒng)的控制權(quán)�,即可形成誘發(fā)待檢測程序行為的虛擬運行環(huán)境,從而檢測到所述待檢測程序的操作行為�����。
本實施例所述的檢測程序操作行為的方法中�����,所述控制處理程序具有比操作系統(tǒng)本身的系統(tǒng)功能調(diào)用操作更高級的優(yōu)先權(quán)����,所以所述控制處理程序就取得了所述待檢測程序運行時的控制權(quán),故可以檢測記錄所述待檢測程序的運行情況����。并且由于所述控制處理程序會給予所述待檢測程序行為操作成功的反饋應答��,以誘導所述待檢測程序的下一個行為�����,所以可以得到與在真實的環(huán)境中執(zhí)行完全相同的行為和結(jié)果����。即使不向待檢測程序反饋虛擬的應答��,只要待檢測程序繼續(xù)其操作行為���,仍然可以被識別出來,但是如此的反映��,如果待檢測程序為病毒程序�����,可能出現(xiàn)破壞的結(jié)果����。因此���,在優(yōu)選的實施例中,通過向待檢測程序反饋虛擬的應答使待檢測程序得到虛擬的操作執(zhí)行結(jié)果���,就可以消除待檢測程序在被檢測期間出現(xiàn)可能的破壞結(jié)果��。本實施例所述的檢測程序操作行為的方法��,所述的控制處理程序只是檢測出病毒的行為或一系列行為���,并且將這些檢驗出的行為數(shù)據(jù)輸出到屏幕和/或某個指定的文件中。所述的控制處理程序本身自己不參與對程序的行為分析和是否是病毒的判定�。
本實施例所述的檢測程序操作行為的方法還可以包括當所述待檢測程序申請運行時,在內(nèi)存中為其設(shè)置一隔離的內(nèi)存空間����。例如,申請空間運行這一功能調(diào)用也需要被相應的控制處理程序占有優(yōu)先權(quán)����,則就可以實現(xiàn)在內(nèi)存中設(shè)置一隔離的內(nèi)存空間為所述待檢測程序的運行。將所述待檢測程序的運行完全隔離在虛擬運行環(huán)境中��,可以防止在執(zhí)行程序時對現(xiàn)實的操作系統(tǒng)或者硬件設(shè)備產(chǎn)生破壞�����。所述控制處理程序?qū)⑺龃龣z測程序運行所需的內(nèi)存從邏輯上徹底的隔離開,即其所需的內(nèi)存是專用的邏輯內(nèi)存��,防止所述待檢測程序在內(nèi)存中執(zhí)行時感染現(xiàn)實的軟硬件����。
實際中可以通過對所述待檢測程序運行時涉及的地址范圍的沖突檢測或者通過為所述待檢測程序分配地址范圍的方式為所述待檢測程序設(shè)置一封閉的內(nèi)存運行空間。其中����,第二種方式可以使相應的控制處理程序模擬操作系統(tǒng)為應用程序分配地址空間的技術(shù)實現(xiàn),在此不再贅述���。而第一種方式則是在相應的控制處理程序獲得系統(tǒng)內(nèi)存的控制權(quán)后,通過檢測為待檢測程序劃定的地址空間以外的空間是否被占用或可能被占用�,即發(fā)生使用或控制沖突,如果被占用或可能被占用�,通過自身的內(nèi)存控制權(quán)來限定所述待檢測程序的地址范圍,從而為所述待檢測程序設(shè)置一封閉的內(nèi)存運行空間����。
本實施例所述的檢測程序操作行為的方法還可以包括將所述待檢測程序轉(zhuǎn)換為現(xiàn)實操作系統(tǒng)不可識別的格式;并存儲至指定的存儲地址�。例如���,現(xiàn)實的操作系統(tǒng)為windows,可以將所述待檢測程序轉(zhuǎn)換為Linux系統(tǒng)下的文件或其它windows系統(tǒng)不能識別的文件�,使其在本系統(tǒng)不可識別,即可盡最大可能的消除所述待檢測程序?qū)ΜF(xiàn)實操作系統(tǒng)的影響��。也可以將所述待檢測程序轉(zhuǎn)變?yōu)榕R時文件并且壓縮后存儲在指定的物理存儲介質(zhì)上����,改變所述待檢測程序的性質(zhì)將可能有害的程序變?yōu)楝F(xiàn)實操作系統(tǒng)不可識別的文件,徹底杜絕了所述待檢測程序產(chǎn)生危害的可能性�。
本實施例所述的檢測程序操作行為的方法還可以包括在操作系統(tǒng)和控制處理程序之間設(shè)置用于在二者之間傳送數(shù)據(jù)的獨立的輸入/輸出邏輯接口。即將現(xiàn)實的操作系統(tǒng)和虛擬運行環(huán)境通過獨立的I/O邏輯接口完全隔離�。數(shù)據(jù)的交換必須由I/O邏輯接口實現(xiàn),使虛擬運行環(huán)境的有害數(shù)據(jù)感染現(xiàn)實操作系統(tǒng)的可能性基本被杜絕����,實際上是將虛擬運行環(huán)境和現(xiàn)實操作系統(tǒng)進行邏輯隔離。由于所述I/O邏輯接口設(shè)置在由于所述控制處理程序獲得系統(tǒng)有限的控制權(quán)而形成的虛擬運行環(huán)境和操作系統(tǒng)之間�����,起到了邏輯隔離的作用��,現(xiàn)實操作系統(tǒng)的數(shù)據(jù)需要經(jīng)過邏輯格式轉(zhuǎn)換送入虛擬運行環(huán)境,并且將虛擬運行環(huán)境要返回出的信息通過邏輯格式轉(zhuǎn)換的逆轉(zhuǎn)換傳出到現(xiàn)實操作系統(tǒng)���。
所述控制處理程序?qū)λ龃龣z測程序的應答��、控制�、記錄等操作����,可以理解為對所述待檢測程序的行為進行觸發(fā)、誘導����、記錄和返回的過程虛擬運行環(huán)境虛擬了一個操作系統(tǒng),讓待檢測的文件或程序進入到這個虛擬的操作系統(tǒng)里進行模擬運行�,從而達到真實的發(fā)現(xiàn)文件或程序的所有行為,并且記錄后通過I/O邏輯接口將記錄下來的行為返回的過程���。
以下列舉一個“進行密碼試探攻擊”的程序來說明該程序在“虛擬運行環(huán)境”中模擬運行,被觸發(fā)�����、誘導�、記錄和返回的過程,此過程用windows操作系統(tǒng)為例�。
例當某個程序(以下簡稱該程序)利用IPC(Internet ProcessConnection)對guest和administrator等帳號進行密碼試探�����,如果試探成功����,則將自己復制到對方系統(tǒng)中的system32目錄里����,然后注冊成為系統(tǒng)服務(wù)。
虛擬運行環(huán)境根據(jù)自定義好的操作系統(tǒng)關(guān)鍵功能調(diào)用列表立刻識別出該程序正在利用IPC���,這時“虛擬運行環(huán)境”模擬實際中的操作系統(tǒng)給該程序一個IPC回應并且返回密碼認證成功的信號�����,同時記錄該程序的此項行為��。當然�,所述回應并且返回成功信號的過程是一個模擬的���、假的過程�����,目的是誘導該程序的下一個行為�。以此類推,將所有的行為記錄完成后����,將這些行為信息通過I/O邏輯接口傳出。
參照圖7���,是本發(fā)明提供的一種計算機病毒的檢測方法���,該方法首先包括本實施例所述的檢測程序操作行為的方法,即步驟71���、獲得已知病毒程序的破壞性操作行為�;步驟72���、根據(jù)所述破壞性操作行為編制對應的控制處理程序�;步驟73�����、將所述控制處理程序嵌入操作系統(tǒng)��;步驟74����、待檢測程序的破壞性操作行為調(diào)用相應的控制處理程序,由所述控制處理程序記錄所述待檢測程序的操作行為�;步驟75、根據(jù)獲得的所述待檢測程序的行為數(shù)據(jù)或行為數(shù)據(jù)集合以及預置的典型病毒程序的行為數(shù)據(jù)或者行為數(shù)據(jù)集合�,判斷所述待檢測程序是否為病毒程序。
由于其他步驟在檢測程序操作行為的方法中已經(jīng)有所描述���,所以在此著重描述最后判斷識別之步驟75�����。
所述預置的病毒程序的行為數(shù)據(jù)或者行為數(shù)據(jù)集合可以采用數(shù)據(jù)庫的方式進行存儲��,以方便存儲和調(diào)用��。所述病毒程序的行為數(shù)據(jù)可以通過上述的人工分析過程或者計算機分析過程得出���,也可以直接采用現(xiàn)有的對病毒程序的行為分析結(jié)果。所述病毒程序的行為數(shù)據(jù)也就是符合一定條件的源代碼序列塊���。
將獲得的所述待檢測程序的行為數(shù)據(jù)或行為數(shù)據(jù)集合�����,與預置的病毒程序的行為數(shù)據(jù)或者行為數(shù)據(jù)集合進行比較��,就可以判斷出所述待檢測程序是否為病毒程序�����。當然��,也可以采用其他本領(lǐng)域技術(shù)人員熟悉的分析方法���,達到判斷所述待檢測程序是否為病毒程序之目的���。所述判斷所采用的規(guī)則可以是本領(lǐng)域技術(shù)人員根據(jù)經(jīng)驗得出的,可能存在相當?shù)牟町?��,當然����,這些規(guī)則都可以給出所述待檢測程序是病毒程序或者不是病毒程序的判斷結(jié)果��,只不過判斷的準確度有一些差異而已。而且由于采用的分析方法的不同肯定會導致判斷采用的規(guī)則有所不同�����,所以本文在此不對采用的分析方法和判斷的規(guī)則作一定的限制�����,只要利用了本實施例所述的行為數(shù)據(jù)比較的方式就在本發(fā)明的構(gòu)思之內(nèi)���。以下已一種判斷規(guī)則進行說明.
可以通過人工或者計算機分析的過程,對已知的病毒程序進行分析����,得出已知病毒的行為數(shù)據(jù)或者行為數(shù)據(jù)的集合(下文統(tǒng)一稱為行為數(shù)據(jù)),并可以將所述行為數(shù)據(jù)存儲到數(shù)據(jù)庫中��,本文將該數(shù)據(jù)庫稱為有害行為庫�。所述有害行為庫中存儲的是各種病毒的一系列行為操作數(shù)據(jù),所述病毒程序的行為操作還可以是經(jīng)過技術(shù)人員依一定規(guī)則選出的�,例如選擇病毒程序要實施破壞時經(jīng)常執(zhí)行的操作行為數(shù)據(jù)。例如采用13H中斷寫磁盤的操作�,是病毒程序的共同行為,而且比較特殊���。經(jīng)過操作行為數(shù)據(jù)的選擇�����,有害行為數(shù)據(jù)庫可以存儲較少的用于判斷未知程序的數(shù)據(jù)量�,從而提高程序行為數(shù)據(jù)的比較速率。當然���,也可以通過計算機對已知型病毒程序進行自動分析�,記錄所述病毒程序的所有行為數(shù)據(jù)�����,或者通過計算機按照預定義的規(guī)則對所述病毒程序的行為數(shù)據(jù)進行篩選記錄���。
這樣����,將所述待檢測程序的行為數(shù)據(jù)和有害行為數(shù)據(jù)庫中的行為數(shù)據(jù)進行比較���,就能夠判斷出所述待檢測程序是否為病毒程序����。
判斷情況A當所述待檢測程序的行為數(shù)據(jù)與所述有害行為庫中存儲的病毒程序行為數(shù)據(jù)相同或者相似,就可以得出待檢測程序就是已知病毒程序或者已知病毒程序類型的一個變種的結(jié)論�����。所述的相同或者相似����,可以預定義一個或者多個參數(shù)�,當所述待檢測程序的行為數(shù)據(jù)和所述典型行為數(shù)據(jù)的匹配或者包括程度達到或者超過所述參數(shù)時,可以認為相同或者相似����。
具體的,在一個實施例中���,某待檢測程序的行為數(shù)據(jù)為行為1���、行為2、行為3�、行為4、行為5�����、行為6、行為7��、行為8����;在有害行為庫中存儲的某病毒的系列行為數(shù)據(jù)為行為2、行為3�、行為4、行為5���、行為6�;將上述行為數(shù)據(jù)比較之后得出所述待檢測程序行為完全包含了該病毒程序的行為特征�,則可直接判斷此待檢測程序是該病毒程序的一個變種。
判斷情況B當所述待檢測程序的行為數(shù)據(jù)與所述有害行為庫中的病毒程序行為數(shù)據(jù)中的任何一條都不符合����,則判定所述待檢測程序為合法程序。
具體的��,在一個實施例中��,某待檢測程序的行為數(shù)據(jù)為行為-1�、行為-2、行為-3;在所述有害行為庫中的有害行為數(shù)據(jù)包括行為1��、行為2�、行為3、行為4�����、行為5����、行為6......行為n(n為自然數(shù))�;將上述行為數(shù)據(jù)比較之后得出所述待檢測程序行為不包含有害行為庫中存儲的任何一個行為,認為所述待檢測程序合法�。
判斷情況C當所述待檢測程序的行為數(shù)據(jù)與所述有害行為庫中存儲的病毒程序行為數(shù)據(jù)比較之后,不屬于上述判斷情況A�、B中的任何一個,則需要進行進一步識別����。當然這樣進一步識別的步驟流程,只是為了增加未知病毒程序識別的準確度����,也可以判斷情況只有兩個分支是或者否B。
具體的,在一個實施例中�,一個待檢測程序程序的行為數(shù)據(jù)為行為1、行為2��、行為3����、行為4;在所述有害行為庫中某病毒程序的系列行為包括行為2����、行為3、行為4��、行為5����、行為6;比較之后得出所述待檢測程序行為只具有某種病毒程序的系列行為的一部分�����,則不能直接判斷待檢測程序的性質(zhì)���,需要對所述待檢測程序作進一步判斷����。當然,也可以直接給出結(jié)論�,將該待檢測程序視為不是病毒程序或者是病毒程序,但是這樣的結(jié)論是不夠精確的���。為了提高病毒程序的識別程度��,需要對所述待檢測程序作進一步判斷��。
所述的進一步判斷可以為通過現(xiàn)在通用的特征碼比對進行判斷�����,也可以將上述判斷情況C歸入判斷情況B中�����,即該情況就判定所述待檢測程序為合法程序。當然����,這樣的處理會使得檢測出未知病毒的識別率較低。
參照圖8�����,是本發(fā)明提供的一種計算機病毒檢測和清除的方法,包括以下步驟步驟81���、獲得已知病毒程序的破壞性操作行為���;步驟82、根據(jù)所述破壞性操作行為編制對應的控制處理程序����;步驟83、將所述控制處理程序嵌入操作系統(tǒng)�����;步驟84����、待檢測程序的破壞性操作行為調(diào)用相應的控制處理程序,由所述控制處理程序記錄所述待檢測程序的操作行為����;步驟85、根據(jù)獲得的所述待檢測程序的行為數(shù)據(jù)或行為數(shù)據(jù)集合以及預置的典型病毒程序的行為數(shù)據(jù)或者行為數(shù)據(jù)集合���,判斷所述待檢測程序是否為病毒程序�����;步驟86���、如果確認所述待檢測程序為計算機病毒程序����,則清除所述待檢測程序��。
上述的計算機病毒檢測和清除的方法只是在所述計算機病毒檢測方法的基礎(chǔ)上����,對檢測出來的病毒進行清除而已。
本實施例所述的計算機病毒檢測和清除的方法還可以實現(xiàn)對被病毒破壞的數(shù)據(jù)的恢復��。所述的對被病毒破壞的數(shù)據(jù)的恢復操作可以由下面的附加步驟完成根據(jù)獲得的所述待檢測程序的行為數(shù)據(jù)或行為數(shù)據(jù)集合�,建立對應的逆行為操作步驟�;并執(zhí)行所述逆行為操作步驟。
由于已經(jīng)獲得病毒程序的可執(zhí)行的行為操作步驟��,因此可以根據(jù)所述行為操作步驟建立所述行為操作步驟對應的逆行為操作步驟����;例如�,建立行為操作步驟1�、2、...��、N對應的逆操作步驟1���、2�����、...����、N�。假設(shè)行為操作步驟1用于轉(zhuǎn)移存儲數(shù)據(jù),則對應的逆行為操作步驟1則用于對應的逆行為操作����,以恢復數(shù)據(jù);如果行為操作步驟2用于刪除數(shù)據(jù)�����,則對應的逆行為操作步驟2用于完成對應的逆操作,以恢復被刪除的數(shù)據(jù)(例如以冗余校驗的方式恢復數(shù)據(jù))�。所述建立對應的逆行為操作步驟,即生成一個程序源代碼指令的集合����,所述指令集合相對應的操作步驟與所述行為操作步驟所執(zhí)行的操作相反。
由于所述逆行為操作步驟就是程序源代碼指令的集合����,所以對所述逆行為操作步驟的執(zhí)行實際上就是對所述程序源代碼指令進行依次分別的調(diào)用的過程。根據(jù)每個程序源代碼指令進行相應的執(zhí)行操作�,從而完成被病毒程序破壞的數(shù)據(jù)的恢復操作。例如��,建立一個執(zhí)行逆行為操作步驟功能的一個主功能函數(shù)�,在這個主功能函數(shù)里實際上是將所述程序源代碼指令進行依次分別調(diào)用的過程。
所述的逆行為操作步驟�����,即程序源代碼指令的集合���,可以以數(shù)據(jù)庫的方式進行存儲或者以大型數(shù)據(jù)存儲表的方式進行存儲�。例如�����,將所述的逆行為操作步驟以數(shù)據(jù)庫列表的方式進行存儲��,則某一個病毒程序的逆行為操作步驟就是該數(shù)據(jù)庫中的一個存儲元素(子集)�����。該數(shù)據(jù)庫可以采用如下的數(shù)據(jù)結(jié)構(gòu)存儲所述的某一個存儲元素���,即某一個病毒程序的逆行為操作步驟(病毒程序名稱)�����、(逆行為操作步驟1����,逆行為操作步驟2��,......逆行為操作步驟N)��、(附加信息段�,刪除病毒程序體);其中���,所述的1����、2......N表示了清除病毒程序步驟的順序,所述的逆行為操作步驟包括源代碼序列塊��,所述源代碼序列塊用以完成所述病毒程序行為操作步驟對應的逆操作�。上述的逆行為操作步驟信息中還可以包括相關(guān)操作參數(shù)等。上述的數(shù)據(jù)結(jié)構(gòu)還可以采用其他方式��,例如(病毒程序名稱)����、(逆行為操作步驟1,逆行為操作步驟2����,......逆行為操作步驟N,附加信息段)�����、(刪除病毒程序體)���;實際上�,上述的存儲方式以及存儲的數(shù)據(jù)結(jié)構(gòu)只是為了說明本發(fā)明的技術(shù)思想而舉出的一個具體實施例而已,可以采用其他可行的存儲方式和數(shù)據(jù)結(jié)構(gòu)進行替代��,只要能夠?qū)崿F(xiàn)所述逆行為操作步驟的存儲和調(diào)用即可����。
由所述行為操作步驟得出對應的逆行為操作步驟�,可以通過一對應表來實現(xiàn)預置數(shù)據(jù)列表,表中對應列出了各種行為操作步驟以及相對應的逆行為操作步驟���;當所述病毒程序程序進行了某個行為操作步驟����,則從所述預置的數(shù)據(jù)列表中比較得出相對應的逆行為操作步驟����,例如添加和刪除;依次完成所述病毒程序的所有行為操作步驟向逆行為操作步驟的轉(zhuǎn)換�����。
以上對本發(fā)明所提供的一種檢測程序操作行為的方法及病毒程序檢測���、清除方法進行了詳細介紹���,本文中應用了具體個例對本發(fā)明的原理及實施方式進行了闡述�,以上實施例的說明只是用于幫助理解本發(fā)明的方法及其核心思想�;同時,對于本領(lǐng)域的一般技術(shù)人員����,依據(jù)本發(fā)明的思想,在具體實施方式
及應用范圍上均會有改變之處�,綜上所述,本說明書內(nèi)容不應理解為對本發(fā)明的限制���。
權(quán)利要求
1.一種檢測程序操作行為的方法����,其特征在于����,包括獲得已知病毒程序的破壞性操作行為;根據(jù)所述破壞性操作行為設(shè)置對應的控制處理程序��;使控制處理程序獲得對所述破壞性操作行為的控制權(quán)�;待檢測程序的破壞性操作行為調(diào)用相應的控制處理程序��,由所述控制處理程序記錄所述待檢測程序的操作行為��。
2.如權(quán)利要求1所述的檢測程序操作行為的方法����,其特征在于����,還包括所述控制處理程序向所述待檢測程序返回成功應答信息�。
3.如權(quán)利要求2所述的檢測程序操作行為的方法,其特征在于���,將所述控制處理程序嵌入操作系統(tǒng)或者所述破壞性操作行為對應的系統(tǒng)功能調(diào)用程序?qū)⑵淇刂茩?quán)移交給相應的控制處理程序��,使控制處理程序獲得對所述破壞性操作行為的控制權(quán)����。
4.如權(quán)利要求3所述的檢測程序操作行為的方法���,其特征在于���,按照下述步驟將所述控制處理程序嵌入操作系統(tǒng)將調(diào)用所述控制處理程序需要的信息添加到操作系統(tǒng)的系統(tǒng)功能調(diào)用表;將系統(tǒng)功能調(diào)用程序的地址修改為相應控制處理程序的地址。
5.如權(quán)利要求3所述的檢測程序操作行為的方法����,其特征在于,按照下述步驟將所述控制處理程序嵌入操作系統(tǒng)將調(diào)用所述控制處理程序需要的信息存儲到一個獨立的操作行為調(diào)用表���;使所述操作行為調(diào)用表具有比操作系統(tǒng)的系統(tǒng)功能調(diào)用表具有更高級的優(yōu)先權(quán)����。
6.如權(quán)利要求1���、2�����、3���、4或5所述的檢測程序操作行為的方法,其特征在于���,還包括為所述待檢測程序設(shè)置一封閉的內(nèi)存運行空間���。
7.如權(quán)利要求6所述的檢測程序操作行為的方法����,其特征在于���,通過對所述待檢測程序運行時涉及的地址范圍的沖突檢測或者通過為所述待檢測程序分配地址范圍的方式為所述待檢測程序設(shè)置一封閉的內(nèi)存運行空間���。
8.如權(quán)利要求1�、2、3��、4或5所述的檢測程序操作行為的方法�����,其特征在于�����,還包括將所述待檢測程序轉(zhuǎn)換為現(xiàn)實操作系統(tǒng)不可識別的格式����;并存儲至指定的存儲地址。
9.如權(quán)利要求1�、2��、3����、4或5所述的檢測程序操作行為的方法���,其特征在于����,還包括所述待檢測程序運行結(jié)束后��,輸出記錄的所述待檢測程序的所有行為數(shù)據(jù)�。
10.如權(quán)利要求1、2����、3、4或5所述的檢測程序操作行為的方法���,其特征在于����,在操作系統(tǒng)和控制處理程序之間設(shè)置用于在二者之間傳送數(shù)據(jù)的獨立的輸入/輸出邏輯接口�����。
11.一種計算機病毒的檢測方法,其特征在于���,包括獲得病毒程序的破壞性操作行為����;根據(jù)所述破壞性操作行為設(shè)置對應的控制處理程序����;使控制處理程序獲得對所述破壞性操作行為的控制權(quán);待檢測程序的破壞性操作行為調(diào)用相應的控制處理程序�����,由所述控制處理程序記錄所述待檢測程序的操作行為�����;根據(jù)獲得的所述待檢測程序的行為數(shù)據(jù)或行為數(shù)據(jù)集合以及預置的典型病毒程序的行為數(shù)據(jù)或者行為數(shù)據(jù)集合�,判斷所述待檢測程序是否為病毒程序���。
12.如權(quán)利要求11述的計算機病毒的檢測方法�,其特征在于,將所述控制處理程序嵌入操作系統(tǒng)���,或者所述破壞性操作行為對應的系統(tǒng)功能調(diào)用程序?qū)⑵淇刂茩?quán)移交給相應的控制處理程序�����,使控制處理程序獲得對所述破壞性操作行為的控制權(quán)�。
13.一種計算機病毒的清除方法��,其特征在于�,包括獲得病毒程序的破壞性操作行為;根據(jù)所述破壞性操作行為設(shè)置對應的控制處理程序�����;待檢測程序調(diào)用所述控制處理程序����,由所述控制處理程序記錄所述待檢測程序的操作行為;根據(jù)獲得的所述待檢測程序的行為數(shù)據(jù)或行為數(shù)據(jù)集合以及預置的典型病毒程序的行為數(shù)據(jù)或者行為數(shù)據(jù)集合�,判斷所述待檢測程序是否為病毒程序;如果確認所述待檢測程序為計算機病毒程序���,則清除所述待檢測程序�。
14.如權(quán)利要求13所述的計算機病毒的清除方法,其特征在于�,還包括將所述控制處理程序嵌入操作系統(tǒng),或者所述破壞性操作行為對應的系統(tǒng)功能調(diào)用程序?qū)⑵淇刂茩?quán)移交給相應的控制處理程序�����,使控制處理程序獲得對所述破壞性操作行為的控制權(quán)��。
15.如權(quán)利要求13或14所述的計算機病毒的清除方法���,其特征在于��,還包括根據(jù)獲得的所述待檢測程序的行為數(shù)據(jù)或行為數(shù)據(jù)集合�,建立對應的逆行為操作步驟�;執(zhí)行所述逆行為操作步驟。
全文摘要
本發(fā)明公開了一種檢測程序操作行為的方法�,包括獲得已知病毒程序的破壞性操作行為;根據(jù)所述破壞性操作行為設(shè)置對應的控制處理程序��;使控制處理程序獲得對所述破壞性操作行為的控制權(quán)��;待檢測程序的破壞性操作行為調(diào)用相應的控制處理程序��,由所述控制處理程序記錄所述待檢測程序的操作行為��。本發(fā)明還可以通過所述控制處理程序返回成功應答的信息�����,從而誘導所述待檢測程序進行下一行為��,而實際上���,所述待檢測程序并沒有實際運行����。即本發(fā)明可以為所述待檢測程序提供一個虛擬運行的環(huán)境���,用于記錄所述待檢測程序的一系列行為���。本發(fā)明的還提供一種病毒程序的清除方法,根據(jù)所述病毒程序的行為����,建立并執(zhí)行所述病毒程序的逆行為操作,可以實現(xiàn)對被病毒破壞的數(shù)據(jù)的恢復�����。
文檔編號G06F1/00GK1936764SQ20061000761
公開日2007年3月28日 申請日期2006年2月15日 優(yōu)先權(quán)日2005年11月16日
發(fā)明者白杰, 魯征宇, 李薇 申請人:白杰, 李薇, 魯征宇