專利名稱::用于保護計算機系統(tǒng)免遭惡意對象活動侵害的系統(tǒng)和方法
技術(shù)領(lǐng)域:
:本發(fā)明所公開的內(nèi)容總體上涉及計算機安全領(lǐng)域,并且,具體地說,涉及用于保護計算機系統(tǒng)免遭惡意對象的文件、注冊表、系統(tǒng)和網(wǎng)絡(luò)活動侵害的系統(tǒng)、方法和計算機程序
背景技術(shù):
:當前計算機技術(shù)的發(fā)展已經(jīng)達到了很高的水平。隨著計算機技術(shù)的發(fā)展,數(shù)字數(shù)據(jù)的數(shù)量以更快節(jié)奏的速率在增長。與此同時,數(shù)字數(shù)據(jù)是易損的并且需要防范惡意對象比如病毒、特洛伊木馬、蠕蟲、間諜軟件及其他類型的惡意軟件的侵害。使用反病毒系統(tǒng)來保護信息免受惡意軟件的侵害,該反病毒系統(tǒng)的基本任務(wù)是阻止惡意對象的危險活動。但情況是反病毒系統(tǒng)不能以及時的方式來阻止惡意的活動。這種情況出現(xiàn)在,例如,新型的惡意軟件出現(xiàn)的時候,反病毒系統(tǒng)的可用方法無法將其檢測出來,因為這些系統(tǒng)對新的惡意軟件一無所知。另一種情況也可能是惡意軟件利用操作系統(tǒng)的弱點或者反病毒系統(tǒng)自身的不足之處來繞過反病毒系統(tǒng)。已經(jīng)侵入到計算機系統(tǒng)中的惡意軟件可以展現(xiàn)出不同類型的惡意活動文件活動、注冊表活動、系統(tǒng)活動以及網(wǎng)絡(luò)活動。在惡意的文件活動期間,惡意對象可對文件執(zhí)行不同的操作,比如移除、更改、或者新文件的創(chuàng)建。惡意注冊表活動典型地包括注冊表參數(shù)和值的創(chuàng)建、修改或者移除。關(guān)于注冊表活動的許多情況都是已知的,例如,惡意對象更改了注冊表的參數(shù)以便加載操作系統(tǒng)時引起惡意軟件的自動啟動(auto-launch)。當惡意軟件在計算機系統(tǒng)中開始或者停止進程的時候,或者當它在系統(tǒng)或者程序進程中啟動新的執(zhí)行線程的時候,可能發(fā)生惡意的系統(tǒng)活動。惡意的網(wǎng)絡(luò)活動典型地包括由惡意對象來創(chuàng)建新的網(wǎng)絡(luò)連接。利用這些惡意的活動,惡意軟件可以侵入到計算機系統(tǒng)中,并且可以獲取其上所存儲的數(shù)據(jù)。因此,需要檢測出惡意的活動,并且對惡意活動所損壞、修改或者移動的數(shù)據(jù)進行恢復。
發(fā)明內(nèi)容本文公開了用于保護計算機免遭惡意對象的文件、注冊表、系統(tǒng)和網(wǎng)絡(luò)活動侵害的系統(tǒng)、方法和計算機程序產(chǎn)品。在一個示例性實施例中,所述系統(tǒng)包括反病毒數(shù)據(jù)庫,以及可核查事件數(shù)據(jù)庫,其中反病毒數(shù)據(jù)庫包含與已知惡意對象有關(guān)的信息,可核查事件數(shù)據(jù)庫包含可核查事件的列表,該可核查事件至少包括文件的創(chuàng)建、更改或者刪除事件,系統(tǒng)注冊表的創(chuàng)建、更改或者刪除事件,以及由在計算機上所執(zhí)行的進程進行的網(wǎng)絡(luò)訪問事件。所述系統(tǒng)還包括數(shù)據(jù)收集模塊,其可操作地用于監(jiān)控計算機上一個或多個進程的執(zhí)行事件;基于包含在可核查事件數(shù)據(jù)存儲器中的可核查事件的列表,識別被監(jiān)控事件中的可核查事件;并且在存儲器所包含的單獨的文件、注冊表以及網(wǎng)絡(luò)事件日志中記錄所識別出的可核查事件。所述系統(tǒng)還包括反病毒模塊,其經(jīng)配置以使用包含在反病毒數(shù)據(jù)庫中的關(guān)于已知惡意對象的信息,對計算機上的一個或多個軟件對象執(zhí)行惡意軟件檢查。如果確定了對象是惡意的,那么反病毒模塊從網(wǎng)絡(luò)事件日志中識別一個或多個與所述惡意對象相關(guān)聯(lián)的網(wǎng)絡(luò)事件,并且終止由所述惡意對象所建立的一個或多個網(wǎng)絡(luò)連接。所述系統(tǒng)還包括恢復模塊,其經(jīng)配置以如果確定了對象是惡意的,那么從文件和注冊表事件日志中識別一個或多個與所述惡意對象相關(guān)聯(lián)的文件和注冊表事件,并且對與所述惡意對象相關(guān)聯(lián)的文件事件以及注冊表事件執(zhí)行回退操作(rollback)。在一個示例性實施例中,用于保護計算機免遭惡意軟件侵害的方法包括對計算機上一個或多個進程的執(zhí)行事件進行監(jiān)控;識別被監(jiān)控事件之中的可核查事件,其中可核查事件包括文件的創(chuàng)建、更改或者刪除事件,系統(tǒng)注冊表的創(chuàng)建、更改或者刪除事件,以及由在計算機上所執(zhí)行的進程進行的網(wǎng)絡(luò)訪問事件;在單獨的文件、注冊表以及網(wǎng)絡(luò)事件日志中記錄所識別出的可核查事件;對計算機上的一個或多個軟件對象執(zhí)行惡意軟件檢查;如果確定了對象是惡意的,那么從文件、注冊表和網(wǎng)絡(luò)事件日志中識別與所述惡意對象相關(guān)聯(lián)的事件;對與所述惡意對象相關(guān)聯(lián)的文件事件執(zhí)行回退操作;對與所述惡意對象相關(guān)聯(lián)的注冊表事件執(zhí)行回退操作;終止與所述惡意對象相關(guān)聯(lián)的網(wǎng)絡(luò)連接。上述示例性實施例的簡要概括用于提供對于本發(fā)明的基本理解。這個概括并非對本發(fā)明所有關(guān)注方向的廣泛概述,并且其既非意圖確定所有實施例的關(guān)鍵或者決定因素,也非意圖劃定任何一個實施例或者所有實施例的范圍界限。其唯一的目的是,在下面更加詳細地對本發(fā)明進行描述之前,以簡化的形式來提出一個或多個實施例。為了完成前述事項,所述一個或多個實施例包括了權(quán)利要求中所描述并且具體指出的特征。并入此說明書并構(gòu)成此說明書的一部分的附示了本發(fā)明的一個或多個示例性實施例,并且,與詳細說明一起用來解釋這些實施例的原理和實現(xiàn)過程。在附圖中圖I示出了根據(jù)一個示例性實施例的惡意軟件保護系統(tǒng)的示意圖;圖2示出了根據(jù)另一個示例性實施例的惡意軟件保護系統(tǒng)的操作示意圖;圖3示出了根據(jù)另一個示例性實施例的惡意軟件保護系統(tǒng)的操作示意圖;圖4A-4E示出了根據(jù)多個示例性實施例的惡意軟件保護系統(tǒng)的操作算法;圖5示出了根據(jù)一個示例性實施例的計算機系統(tǒng)的示意圖。具體實施例方式在此圍繞用于保護計算機免遭惡意軟件侵害的系統(tǒng)、方法和計算機程序產(chǎn)品來描述本發(fā)明的示例性實施例。那些本領(lǐng)域的普通技術(shù)人員將意識到以下描述僅僅是說明性的而并非意圖以任何方式進行限定。受益于此公開內(nèi)容,本領(lǐng)域技術(shù)人員可以容易地想到其它實施例。現(xiàn)在進行詳細地介紹以實現(xiàn)附圖中所圖示的本發(fā)明的示例性實施例。所有的附圖以及隨后的描述中都盡可能使用相同的附圖標記來表示相同的或者相似的項目。圖I示出了根據(jù)一個示例性實施例的惡意軟件保護系統(tǒng)100的示意圖。系統(tǒng)100可由在個人計算機或者網(wǎng)絡(luò)服務(wù)器上所配置的軟件應(yīng)用程序來實現(xiàn),在下面的圖5中對其進行了更為詳細地描述。在一個示例性實施例中,系統(tǒng)100包括了反病毒模塊120,其執(zhí)行軟件對象110的反病毒檢查,所述軟件對象110包括對象111,112和113,例如系統(tǒng)和程序文件、腳本及其它在部署有系統(tǒng)100的個人計算機或者服務(wù)器上運行的可執(zhí)行程序代碼。軟件對象110中的對象112是惡意的。在一個示例性實施例中,反病毒模塊120可以是程序模塊,其使用驅(qū)動器來與其上部署有系統(tǒng)100的計算機的操作系統(tǒng)的核心進行交互。反病毒模塊120可以使用不同的惡意軟件檢測技術(shù),例如簽名檢查(signalcheck),或者試探和行為分析(heuristicandbehavioralanalysis),或者其它用于對象110分析的方法。簽名檢查是以被分析對象110的字節(jié)代碼與存儲在惡意軟件簽名中的不同的惡意對象代碼之間的比較為基礎(chǔ)的。在搜索惡意對象時,試探分析使用了分析引擎,該分析引擎靈活地運用了設(shè)定模式(setpattern),例如利用模糊邏輯來描述的模式。在特定情況中,行為分析是以對系統(tǒng)事件的觀察為基礎(chǔ)的。對于惡意對象的確定是以其在系統(tǒng)中的行為在對惡意軟件行為所設(shè)定規(guī)則的框架內(nèi)為基礎(chǔ)的。在對于對象110進行反病毒檢查期間,反病毒模塊120也可以檢查在這些對象的執(zhí)行期間所啟動的進程和線程。在對象110和相關(guān)進程以及線程的分析期間,反病毒模塊120可以使用包含在反病毒數(shù)據(jù)庫121中的惡意軟件簽名和行為簽名。惡意軟件對象的簽名是字節(jié)序列,其與正在被檢查的對象的程序代碼進行比較。在一個示例中,可以將簽名視為以校驗和(checksum)的形式存在的,其為每個惡意對象加以創(chuàng)建并且存儲在反病毒數(shù)據(jù)庫121中。在這種情況下,反病毒模塊120可以將正在被分析的對象的校驗和與已知的惡意對象的簽名進行比較。如果二者之間存在匹配,則表示正在被分析的對象是惡意的。而行為簽名包含了有關(guān)潛在惡意對象可能的行為的信息,例如啟動系統(tǒng)函數(shù)、弓丨用注冊表數(shù)據(jù)等等。反病毒模塊120可以監(jiān)控對象110的行為以及相關(guān)的進程和線程;如果所述對象的行為與來自反病毒數(shù)據(jù)庫121的已知的惡意對象的行為簽名相似,則將被監(jiān)控對象112認定為是惡意的。在一個示例性實施例中,如果反病毒模塊120檢測到了惡意對象112,則其將關(guān)于該惡意對象的識別信息傳送給數(shù)據(jù)收集模塊150。該識別信息可以包含到惡意對象112的路徑、該對象的名稱或者,例如,惡意軟件的校驗和。此外,反病毒模塊120可以請求數(shù)據(jù)收集模塊150向反病毒模塊120提供與某些系統(tǒng)活動有關(guān)的信息,所述系統(tǒng)活動與所識別的惡意對象112的執(zhí)行相關(guān)聯(lián),以便檢測出任何與該惡意對象相關(guān)聯(lián)的有關(guān)惡意進程和線程。在另一個示例性實施例中,反病毒模塊120也可以將與所檢測出的惡意軟件有關(guān)的信息經(jīng)由因特網(wǎng)180發(fā)送給遠程的中央反病毒服務(wù)器(未圖示)。而該反病毒服務(wù)器可以將與所檢測出的惡意對象有關(guān)的信息分發(fā)給其它的有權(quán)訪問所述反病毒服務(wù)器的惡意軟件保護系統(tǒng)。通過中央反病毒服務(wù)器,惡意軟件信息在部署于網(wǎng)絡(luò)中的不同計算機上的惡意軟件保護系統(tǒng)100之間進行交換,由此可以阻止新型的惡意軟件的傳播。當反病毒模塊120檢測到危險的系統(tǒng)活動時,例如由該對象112所啟動的危險進程或者由該對象112在另一個進程中所執(zhí)行的危險線程的啟動,則反病毒模塊120被配置為終止該危險活動。特別地,反病毒模塊120終止了危險進程或者執(zhí)行線程的執(zhí)行,并且將識別信息傳送給數(shù)據(jù)收集模塊150,所述識別信息與啟動這一進程或者執(zhí)行線程的惡意對象112有關(guān)。在一個示例性實施例中,數(shù)據(jù)收集模塊150經(jīng)配置以對不同對象110所執(zhí)行的活動進行監(jiān)控,并且將對象活動的歷史收集到文件或注冊表或者其它事件152-154的日志中。例如,在對象110,諸如對象111,112和113的執(zhí)行的過程中,這些對象可以啟動實現(xiàn)文件修改(文件活動)、注冊表的更改(注冊表活動)、和/或網(wǎng)絡(luò)連接的創(chuàng)建(網(wǎng)絡(luò)活動)的進程。該數(shù)據(jù)收集模塊150經(jīng)配置以記錄此活動的歷史。在一個示例性實施例中,該數(shù)據(jù)收集模塊150可以參考可核查(auditable)事件數(shù)據(jù)庫151以獲得應(yīng)受監(jiān)控的事件的列表。該可核查事件列表151包括但是不局限于,文件創(chuàng)建、修改和刪除事件,注冊表更改事件,進程或者線程生成事件,網(wǎng)絡(luò)連接創(chuàng)建事件,以及其它可能具有惡意活動特征的事件。此外,為了收集事件數(shù)據(jù),數(shù)據(jù)收集模塊150也可以通過跟蹤是由哪個進程在何時安裝了哪些文件,以及是由哪個進程在何時生成了哪個進程(即,父子關(guān)系),來識別不同對象之間的父子關(guān)系。在這些實施例之一中,數(shù)據(jù)收集模塊150可以監(jiān)控所有在可核查事件數(shù)據(jù)庫151中識別出來的系統(tǒng)事件和/或與特定對象相關(guān)聯(lián)的事件。最后,數(shù)據(jù)收集模塊150可以包含被惡意軟件保護系統(tǒng)100所監(jiān)控的軟件對象110的指標列表,例如系統(tǒng)地址。對于所監(jiān)控的對象,數(shù)據(jù)收集模塊150可以將文件創(chuàng)建、移除或者改變的事件,還有注冊表值的創(chuàng)建、移除或者更改的事件,以及其它在可核查事件數(shù)據(jù)庫151中被指示的事件記錄到事件的日志152-154。例如,如果該計算機系統(tǒng)中的某個對象在操作系統(tǒng)的系統(tǒng)文件夾中創(chuàng)建了文件,其中反病毒模塊120并未確定該對象的惡意性,那么數(shù)據(jù)收集模塊150可以記錄這一事件,并且是由什么對象創(chuàng)建了什么文件將會為人所知。隨后,當反病毒檢查時,如果發(fā)現(xiàn)這一文件是由惡意對象所創(chuàng)建的,那么可由恢復模塊160將這一文件移除,以下將更為詳細地對其進行描述。在一個示例性實施例中,數(shù)據(jù)收集模塊150也可為不同類型的可核查事件維護單獨的日志,例如文件事件的日志152以及注冊表事件的日志153,其用于存儲與被監(jiān)控對象的文件以及注冊表活動有關(guān)的信息。在其它的實施例中,系統(tǒng)100還可以保存其它事件的日志154,例如用戶活動事件、數(shù)據(jù)輸入-輸出事件、網(wǎng)絡(luò)活動事件等等。以這種方式,系統(tǒng)100可以收集不同對象的系統(tǒng)、文件、注冊表以及網(wǎng)絡(luò)活動的歷史。在一個示例性實施例中,該文件事件日志152可包含執(zhí)行文件活動的對象的標識符(例如,文件名,進程或者線程標識符)、文件活動的類型(例如,新文件的創(chuàng)建,文件的更改,文件的移除)以及對其執(zhí)行操作的文件的標識符。所述文件標識符可實現(xiàn)為,例如,文件路徑、文件校驗和、或者文件-路徑(file-path)校驗和。在一個示例性實施例中,該注冊表事件日志153可包含執(zhí)行注冊表活動的對象的標識符、注冊表活動的類型(例如,新的注冊表參數(shù)的創(chuàng)建,注冊表參數(shù)值的改變,注冊表參數(shù)或者值的移除)以及對其執(zhí)行操作的注冊表參數(shù)的名稱。在一個示例性實施例中,網(wǎng)絡(luò)事件日志154可包含執(zhí)行網(wǎng)絡(luò)活動的對象的標識符(例如,文件名,進程或者線程標識符)、網(wǎng)絡(luò)活動的類型(例如,新的網(wǎng)絡(luò)連接的創(chuàng)建,網(wǎng)絡(luò)連接的端口數(shù)或者類型,例如TCP,UDP或者FTP等等)以及經(jīng)由已建立的連接所傳送/接收的數(shù)據(jù)的類型(例如,所接收/傳送的文件的標識符)。所述文件標識符可實現(xiàn)為,例如,文件路徑、文件校驗和、或者文件-路徑校驗和。在一個示例性實施例中,可以定期更新可核查事件數(shù)據(jù)庫151以及反病毒數(shù)據(jù)庫121。可以伴隨著新型威脅的出現(xiàn)來定期地更新該反病毒數(shù)據(jù)庫121,以使該反病毒模塊120以及時的方式來可靠執(zhí)行對惡意對象及其他威脅的檢測。也應(yīng)當對存儲在數(shù)據(jù)庫151中的可核查事件的列表進行定期地更新,以確保新型的惡意活動可被該惡意軟件保護系統(tǒng)所監(jiān)控??梢酝ㄟ^更新模塊170來更新數(shù)據(jù)庫121以及151,所述更新模塊170使用到因特網(wǎng)180的連接,可以從該中央反病毒服務(wù)器下載反病毒定義以及可核查事件的最新版本。該更新模塊170可以實現(xiàn)為基于提供網(wǎng)絡(luò)連接的網(wǎng)絡(luò)適配器的軟件模塊。在一個示例性實施例中,在常規(guī)惡意軟件檢查期間,當該反病毒模塊120檢測到惡意對象112時,模塊120將與該惡意對象112有關(guān)的信息傳達給數(shù)據(jù)收集模塊150。模塊150從文件事件日志152、注冊表事件日志153以及網(wǎng)絡(luò)事件日志154中提取關(guān)于該惡意對象112的文件、注冊表、以及網(wǎng)絡(luò)活動的信息。此外,模塊150識別與對象112所生成的所有父進程和子進程以及執(zhí)行線程相關(guān)聯(lián)的所有文件、注冊表以及網(wǎng)絡(luò)活動。然后,模塊150將這一信息發(fā)送給恢復模塊160。根據(jù)所接收到的信息,如果曾創(chuàng)建了新的文件或者注冊表參數(shù),則恢復模塊160確定哪些文件或者注冊表參數(shù)需要被移除;以及如果這些文件或者注冊表參數(shù)已經(jīng)被更改或者移除,則恢復模塊160確定哪些文件或者注冊表參數(shù)需要被修復。在一個示例性實施例中,已經(jīng)利用數(shù)據(jù)收集模塊150接收了數(shù)據(jù)的恢復模塊160對與惡意對象相關(guān)聯(lián)的文件和注冊表事件執(zhí)行回退操作。例如,恢復模塊160可以刪除所有由該惡意對象112創(chuàng)建的新的非系統(tǒng)文件和注冊表參數(shù)。如果已經(jīng)更改了任意一些文件或者注冊表值,或者已經(jīng)移除了任意一些文件、注冊表值或者參數(shù),那么執(zhí)行原始文件、注冊表值以及參數(shù)的恢復。對于原始文件以及注冊表數(shù)據(jù),恢復模塊160可以參考文件備份數(shù)據(jù)庫161以及注冊表備份數(shù)據(jù)庫162。在其它的實施例中,系統(tǒng)100也可以包括其它數(shù)據(jù)備份數(shù)據(jù)庫163,用于諸如用戶數(shù)據(jù)的其它類型數(shù)據(jù)。在一個示例性實施例中,該文件備份數(shù)據(jù)庫161可包含對于其上部署有系統(tǒng)100的計算機系統(tǒng)的操作來說具有特殊意義的文件130的副本。此類文件可包括系統(tǒng)文件,例如ntoskrnl.exe、ntdetect.com、hal.dll、boot,ini及其它在Microsoft^WindowSNT家族的操作系統(tǒng)中的文件。此外,文件備份數(shù)據(jù)庫161還可以存儲其他文件,這些文件的完整性對于該計算機系統(tǒng)或者系統(tǒng)用戶來說是非常重要的。該注冊表備份數(shù)據(jù)庫162可包含影響操作系統(tǒng)性能的注冊表數(shù)據(jù)140的副本。為了恢復計算機系統(tǒng)的文件130以及注冊表數(shù)據(jù)140,恢復模塊160對從數(shù)據(jù)收集模塊150所接收到的數(shù)據(jù)進行處理,并且接收關(guān)于被更改或移除的文件或者注冊表參數(shù)的信息。此后,恢復模塊160在備份數(shù)據(jù)庫161和162中檢索對應(yīng)的文件以及注冊表參數(shù)。如果找到了這樣的文件以及注冊表數(shù)據(jù),那么恢復模塊160修復被所述惡意對象更改或者移除的文件以及注冊表數(shù)據(jù)。在特定的實施例中,恢復模塊160可以只對被更改文件的修改部分進行修復而并非對整個文件進行修復。在這種情況下,備份文件數(shù)據(jù)庫161也將包含文件的最有可能遭受到惡意行為侵害的部分。在一個示例性實施例中,可由用戶或者經(jīng)由更新模塊170從遠程的中央反病毒數(shù)據(jù)庫來對所述備份數(shù)據(jù)庫161-163進行文件以及注冊表信息的填寫。在后一種情況下,更新模塊170使用新的文件以及注冊表值來啟動對備份數(shù)據(jù)庫161-163的填寫,其中所述新的文件以及注冊表值的列表是由更新模塊170通過因特網(wǎng)180從中央反病毒服務(wù)器或者其它可靠數(shù)據(jù)源接收而來的。此后,更新模塊170可以開始更新進程,并且恢復模塊160將文件、注冊表及其他數(shù)據(jù)的備份副本分別填寫到備份數(shù)據(jù)庫161-163中。圖2示出了根據(jù)一個示例性實施例的惡意軟件保護系統(tǒng)的操作示意圖。惡意對象的文件活動可以并非僅包括文件的創(chuàng)建和移除,而在僅包括文件的創(chuàng)建和移除的情況下將由恢復模塊160對文件進行相應(yīng)地移除或者修復。惡意對象的其它行為也是可能的,例如更改文件。在圖2中,惡意對象212更改了對象213,該對象213在該更改行為之前是無害的。該更改行為可以包括例如將惡意代碼引入到原始文件213中。在對象213中發(fā)生這些改變之后,對象212停止執(zhí)行任何活動。在另一方面,對象213開始執(zhí)行例如與文件130或者注冊表值140的移除相關(guān)聯(lián)的活動。與此同時,與對象213的活動相關(guān)聯(lián)的行為可能會被數(shù)據(jù)收集模塊150所記錄。如果,在反病毒檢查的過程中,反病毒模塊120確定對象213具有威脅性,亦即,其是惡意的;模塊120可以阻斷對象213的活動并且將有關(guān)這一對象的信息傳送給數(shù)據(jù)收集模塊150和反病毒服務(wù)器(未圖示)。數(shù)據(jù)收集模塊150將有關(guān)活動歷史記錄的信息傳送給恢復模塊160,其中恢復模塊160利用備份數(shù)據(jù)庫161-163來修復已被更改的數(shù)據(jù)。與此同時,如果對象213的副本在文件備份數(shù)據(jù)庫161中,那么恢復模塊160也對對象213進行修復。此外,反病毒模塊120可以請求數(shù)據(jù)收集模塊150提供有關(guān)與對象213相關(guān)聯(lián)的活動的信息。作為響應(yīng),數(shù)據(jù)收集模塊150可以向反病毒模塊120提供對象213已經(jīng)被對象212所更改的信息。然后反病毒模塊120可以進行針對對象212的反病毒檢查,確定其是惡意的并且對其進行阻斷,由此來阻止此對象進一步的惡意行為。圖3示出了根據(jù)另一個示例性實施例的惡意軟件保護系統(tǒng)的操作示意圖。某些對象310在其執(zhí)行過程中可以創(chuàng)建新的網(wǎng)絡(luò)連接,例如,到因特網(wǎng)180的連接。如果網(wǎng)絡(luò)連接是由惡意對象創(chuàng)建的,那么由于其增加了計算機的易受攻擊性,則可能會導致對于計算機的威脅。惡意對象可以從該計算機傳送數(shù)據(jù)或者從因特網(wǎng)下載其它的危險對象到該計算機上。為了防止這樣的情況發(fā)生,根據(jù)一個實例性實施例,可由數(shù)據(jù)收集模塊150監(jiān)控對象的網(wǎng)絡(luò)活動并且將其記錄到網(wǎng)絡(luò)事件日志154中。更具體地說,如果反病毒模塊120檢測到了惡意對象,那么反病毒模塊120可以向數(shù)據(jù)收集模塊150請求與惡意對象的網(wǎng)絡(luò)活動或者任何與所述惡意對象相關(guān)的對象、進程或線程有關(guān)的信息。在上述的示例中,對象312為具有網(wǎng)絡(luò)活動的惡意對象,其中由數(shù)據(jù)收集模塊150將所述網(wǎng)絡(luò)活動記錄在網(wǎng)絡(luò)事件日志154中。在確定了對象312是惡意的并且識別出與對象312相關(guān)聯(lián)的網(wǎng)絡(luò)事件之后,反病毒模塊120可以終止/阻斷所有由惡意對象312所建立的網(wǎng)絡(luò)連接,終止惡意對象312的執(zhí)行,并且如果對于這一對象或者任何相關(guān)的對象已經(jīng)觀察到了惡意的文件或者注冊表活動,則將有關(guān)對象312的信息傳送給數(shù)據(jù)收集模塊150以便隨后對文件和注冊表數(shù)據(jù)進行修復。情況也可能是惡意對象312在計算機的安全對象或者進程311中生成了進程或者執(zhí)行線程,然后所述進程或者執(zhí)行線程又創(chuàng)建了記錄在網(wǎng)絡(luò)事件日志154中的網(wǎng)絡(luò)連接。隨著這種情況的出現(xiàn),可以區(qū)分出兩種情形當惡意對象312將其自身引入到安全對象311或者安全進程中而沒有影響系統(tǒng)性能的時候,或者當惡意對象312將其自身引入到表示系統(tǒng)文件或者系統(tǒng)進程的對象313中的時候。在第一種情形下,當被感染的對象或者進程并非系統(tǒng)進程的時候,反病毒模塊120會隨后記錄感染以及后續(xù)網(wǎng)絡(luò)活動的實際情況,并且阻斷被修改的對象311。在阻斷該對象的過程中,停止其以下活動文件活動該對象不能執(zhí)行文件操作;注冊表活動阻斷訪問系統(tǒng)注冊表的可能性;系統(tǒng)活動終止所有由該對象啟動的進程和流程;網(wǎng)絡(luò)活動阻斷創(chuàng)建網(wǎng)絡(luò)連接的可能性。如果反病毒模塊120檢測到執(zhí)行線程是由惡意對象312生成在進程311中的,那么將由反病毒模塊120終止所述線程,以及還可由反病毒模塊120自動地終止所有與進程311相關(guān)聯(lián)的網(wǎng)絡(luò)連接。在系統(tǒng)文件或者進程313被修改的情況下,反病毒模塊120通常不能阻斷系統(tǒng)對象313,因為這樣會導致操作系統(tǒng)的故障。然而,一旦檢測到了所述被修改的系統(tǒng)文件313的網(wǎng)絡(luò)活動,反病毒模塊120可以停止該網(wǎng)絡(luò)活動,并且終止僅由所引入的那部分代碼所啟動的網(wǎng)絡(luò)連接,同時對象313保持操作。然后可以利用系統(tǒng)對象313在文件備份數(shù)據(jù)庫161中的備份副本來對其進行修復。如果惡意執(zhí)行線程是由對象312生成在系統(tǒng)對象313中的,那么該惡意線程執(zhí)行可以被終止而并不影響對象313。圖4A示出了根據(jù)一個示例性實施例的惡意軟件保護系統(tǒng)的操作算法。在步驟401-403,可利用更新模塊170來更新反病毒數(shù)據(jù)庫121、可核查事件數(shù)據(jù)庫151以及備份數(shù)據(jù)庫161-163。緊接著,在步驟404,反病毒模塊120在計算機系統(tǒng)中執(zhí)行針對對象110的反病毒檢查。如果在步驟405中,發(fā)現(xiàn)正在檢查的對象或者由這些對象所啟動的進程都不是惡意的,那么可以在隨后的時段重復步驟405的過程。然而,如果對象110或者相應(yīng)進程中的任何一個是惡意的,那么則在步驟406中停止該惡意對象的執(zhí)行。此外,在步驟407,將識別這一對象的信息傳送給數(shù)據(jù)收集模塊150,并且在步驟408傳送給反病毒服務(wù)器。此外,也可以從反病毒服務(wù)器接收關(guān)于所檢測的對象在其它用戶的計算機中活動的信息。還可以由反病毒模塊120來使用這一信息。在下一個步驟409中,對于是否存在這一對象的活動執(zhí)行檢查。具體地,針對所述惡意對象或者任何相關(guān)進程、線程等的活動,在文件事件日志152、注冊表事件日志153及其他可用事件日志154中執(zhí)行數(shù)據(jù)搜索。如果發(fā)現(xiàn)了所述惡意對象的惡意文件或者注冊表活動的記錄,那么在步驟410將涉及由所述對象所執(zhí)行的活動的數(shù)據(jù)傳送給恢復模塊160。在步驟411,恢復模塊160使用這一數(shù)據(jù),并利用來自數(shù)據(jù)庫161和162的文件和注冊表備份數(shù)據(jù),對文件和注冊表數(shù)據(jù)進行修復。圖4B示出了惡意軟件保護系統(tǒng)響應(yīng)于惡意網(wǎng)絡(luò)活動的操作算法的一個示例性實施例。在步驟501,反病毒模塊120檢查被檢測到的惡意對象312或者與其相關(guān)聯(lián)的進程是否已經(jīng)請求或者打開任何網(wǎng)絡(luò)連接。可以利用數(shù)據(jù)收集模塊150來獲取這一信息。在步驟502,在由反病毒模塊120阻斷該惡意對象312之后,自動終止由該惡意對象312本身所直接創(chuàng)建的網(wǎng)絡(luò)連接。如果來自數(shù)據(jù)收集模塊150的信息還指示了這一惡意對象已經(jīng)對其它的對象311、312做了修改,其中在對象311、312中也已經(jīng)觀察到了網(wǎng)絡(luò)活動,那么在步驟503,反病毒模塊120檢查被修改的對象是否為系統(tǒng)對象。如果被修改的對象311不是系統(tǒng)對象,那么在步驟502,反病毒模塊120阻斷這一對象,并且自動終止該網(wǎng)絡(luò)連接。如果是系統(tǒng)對象313發(fā)生了更改,那么是不可能阻斷所述對象的,因為這樣可能會導致操作系統(tǒng)的故障。然而,在步驟504,反病毒模塊120可以終止由該被修改的系統(tǒng)對象313中被引入的部分所啟動的網(wǎng)絡(luò)連接。該對象本身仍保持操作。然后,可以利用恢復模塊160來修復這一系統(tǒng)對象。在系統(tǒng)進程中加載了惡意線程的情況下,也可以停止這一惡意執(zhí)行線程。圖4C示出了惡意軟件保護系統(tǒng)響應(yīng)于惡意系統(tǒng)活動的操作算法的一個示例性實施例。系統(tǒng)活動包括由惡意對象所啟動的進程的出現(xiàn),以及在其它進程中執(zhí)行線程的啟動。在步驟601,如果反病毒模塊120通過例如利用數(shù)據(jù)收集模塊150來請求信息從而識別出惡意對象的系統(tǒng)活動,那么反病毒模塊120可在步驟602終止所有與該對象相關(guān)聯(lián)的進程和線程。此外,可將與被終止的進程有關(guān)的信息轉(zhuǎn)發(fā)給恢復模塊160,所述恢復模塊160確定是否有任何受感染的文件或者注冊表數(shù)據(jù)需要更新。圖4D示出了惡意軟件保護系統(tǒng)響應(yīng)于惡意注冊表活動的操作算法的一個示例性實施例。在步驟701,反病毒模塊120利用數(shù)據(jù)收集模塊150來確定注冊表140是否受到感染,例如通過惡意對象的活動生成了新的注冊表入口。如果檢測到這種活動,則在步驟702可以指令恢復模塊160將新建數(shù)據(jù)從注冊表中移除。如果注冊表參數(shù)的值已被更改或者移除,或者如果注冊表參數(shù)已被刪除,那么在步驟703恢復模塊160檢查受感染的注冊表值和參數(shù)是否在備份注冊表數(shù)據(jù)庫162中。如果發(fā)現(xiàn)了備份數(shù)據(jù),則在步驟705恢復模塊160采用備份的副本來修復被更改或者被移除的注冊表值或者參數(shù)。圖4E示出了惡意軟件保護系統(tǒng)響應(yīng)于惡意文件活動的操作算法的一個示例性實施例。在步驟801,反病毒模塊120利用數(shù)據(jù)收集模塊150來請求關(guān)于所有由惡意對象所創(chuàng)建的新文件的信息。如果創(chuàng)建了新的文件,則在步驟802指令恢復模塊160移除此文件。如果沒有創(chuàng)建新的文件,但是惡意對象已經(jīng)更改或者移除了現(xiàn)有的文件,則在步驟803,恢復模塊160確定在數(shù)據(jù)庫161中的受感染文件的備份副本是否可用。如果在步驟804發(fā)現(xiàn)了所需的文件,則在步驟805恢復模塊160修復受感染的文件。圖5描繪了其上可部署惡意軟件保護系統(tǒng)100的計算機系統(tǒng)5的示例性實施例。計算機系統(tǒng)5可以包括網(wǎng)絡(luò)服務(wù)器、個人計算機、筆記本、平板電腦、智能電話、媒體接收器或者其它類型的數(shù)據(jù)處理和計算裝置。計算機5可以包括一個或多個由系統(tǒng)總線10所連接的處理器15、存儲器20、一個或多個硬盤驅(qū)動器30、一個或多個光盤驅(qū)動器35、一個或多個串行端口40、圖形卡45、聲卡50和網(wǎng)卡55。系統(tǒng)總線10可以是多種類型總線結(jié)構(gòu)中的任何一種,其中所述總線結(jié)構(gòu)包括了存儲器總線或者存儲器控制器、外圍總線以及使用各種已知的總線架構(gòu)中的任意一種的局部總線。處理器15可以包括一個或多個IntelCore2Quad2.33GHz處理器或者其它種類的微處理器。系統(tǒng)存儲器20可以包括只讀存儲器(ROM)21以及隨機存取存儲器(RAM)23。存儲器20可實現(xiàn)為DRAM(動態(tài)隨機存取存儲器)、EPROM、EEPR0M、閃存或者其它類型的存儲器架構(gòu)。ROM21存儲了包含有基本例行程序的基本輸入/輸出系統(tǒng)22(BIOS),所述基本例行程序有助于在計算機系統(tǒng)5的組件之間傳送信息,例如在啟動期間。RAM23存儲了操作系統(tǒng)24(OS),例如WindowsXPProfessional或者其它類型的操作系統(tǒng),所述操作系統(tǒng)負責對計算機系統(tǒng)5中的進程進行管理和協(xié)調(diào),并且對計算機系統(tǒng)5中的硬件資源進行配置和共享。系統(tǒng)存儲器20也存儲了應(yīng)用程序和程序25,例如服務(wù)306。系統(tǒng)存儲器20也存儲了由程序25所使用的各種運行時(runtime)數(shù)據(jù)26。計算機系統(tǒng)5可更進一步地包括硬盤驅(qū)動器30,例如SATA磁性硬盤驅(qū)動器(HDD),以及用于從可移動光盤,例如CD-ROM、DVD-ROM或者其它光媒體進行讀取或者寫入的光盤驅(qū)動器35。驅(qū)動器30和35及其相關(guān)聯(lián)的計算機可讀媒體提供了計算機可讀指令、數(shù)據(jù)結(jié)構(gòu)、應(yīng)用程序和程序模塊/子程序的非易失性存儲,其中上述計算機可讀指令、數(shù)據(jù)結(jié)構(gòu)、應(yīng)用程序和程序模塊/子程序?qū)崿F(xiàn)了在此公開的算法以及方法。雖然示范性的計算機系統(tǒng)5使用了磁盤以及光盤,但是本領(lǐng)域技術(shù)人員應(yīng)該了解到在所述計算機系統(tǒng)的可替換實施例中也可以使用其他類型的可以儲存計算機系統(tǒng)5可訪問的數(shù)據(jù)的計算機可讀介質(zhì),例如磁帶盒、閃存卡、數(shù)字視頻光盤、隨機存取存儲器、只讀存儲器、可擦除可編程只讀存儲器及其它類型的存儲器。計算機系統(tǒng)5更進一步地包括多個串行端口40,例如通用串行總線(USB),其用于連接數(shù)據(jù)輸入設(shè)備75,例如鍵盤、鼠標、觸摸板及其它設(shè)備。串行端口40也可用于連接數(shù)據(jù)輸出設(shè)備80,例如打印機、掃描儀及其他設(shè)備,以及連接其它的外圍設(shè)備85,例如外部數(shù)據(jù)存儲設(shè)備等。系統(tǒng)5也可包括圖形卡45,例如nVidiaGeForceGT240M或者其它的視頻卡,用于與監(jiān)視器60或者其它的視頻再現(xiàn)設(shè)備相連接。系統(tǒng)5也可包括聲卡50,用于經(jīng)由內(nèi)部或者外接揚聲器65再現(xiàn)聲音。此外,系統(tǒng)5可以包括網(wǎng)卡55,例如以太網(wǎng)、WiFi、GSM、藍牙或者其它有線、無線或蜂窩網(wǎng)絡(luò)接口,用于將計算機系統(tǒng)5連接到網(wǎng)絡(luò)70,例如因特網(wǎng)。在不同的實施例中,在此所描述的算法以及方法都可以通過硬件、軟件、固件或者其任何組合方式來實現(xiàn)。如果用軟件來實現(xiàn),那么其功能可以以一個或多個指令或者代碼的方式存儲在非暫時性計算機可讀介質(zhì)上。計算機可讀介質(zhì)同時包括計算機存儲和通信介質(zhì),二者有助于將計算機程序從一個地方傳送到另一個地方。存儲介質(zhì)可以是可由計算機訪問的任何可用介質(zhì)。舉例來說,而并非限定,這種計算機可讀介質(zhì)可以包括RAM、ROM、EEPROM、CD-ROM或其它的光盤存儲器、磁盤存儲器或其它的磁存儲設(shè)備、或者任何其它可用于攜帶或存儲所需的以指令或者數(shù)據(jù)結(jié)構(gòu)的形式存在的程序代碼并且可由計算機訪問的介質(zhì)。此外,任何連接都可被稱為計算機可讀介質(zhì)。例如,如果利用同軸電纜、光纖電纜、雙絞線、數(shù)字用戶線路(DSL)或者無線技術(shù)如紅外線、無線電和微波來從網(wǎng)站、服務(wù)器或者其它的遠程資源傳輸軟件,則其均包括在所述介質(zhì)的定義中。為了清楚起見,在此并未對實施例的所有常規(guī)特征加以示出和描述。應(yīng)當意識到在任何這類實際的實施方式的開發(fā)過程中,必須做出大量特定的實施方式?jīng)Q策以實現(xiàn)開發(fā)者的特定目標,同時應(yīng)當意識到這些特定目標將隨實施方式的不同以及開發(fā)者的不同而改變。而且,應(yīng)當意識到這類開發(fā)工作可能是復雜且耗費時間的,但是對于受益于本文公開內(nèi)容的本領(lǐng)域的普通技術(shù)人員而言,都將是常規(guī)的工程任務(wù)。此外,可以理解的是在此使用的措辭或術(shù)語是為了描述而非限定的目的,以便本領(lǐng)域的技術(shù)人員根據(jù)在此提出的教導及指引并結(jié)合相關(guān)領(lǐng)域技術(shù)人員所掌握的知識來解讀本說明書中的措辭或術(shù)語。而且,除非如此明確的予以闡述,否則本說明書或權(quán)利要求中的任何術(shù)語均并非意圖歸結(jié)為非常規(guī)或者特殊的含義。在此披露的各種實施例包含在此通過示例的方式所提及的已知組件的現(xiàn)在和將來的已知等同物。而且,盡管已經(jīng)示出及描述了實施例及其應(yīng)用,但對于受益于本發(fā)明的本領(lǐng)域的技術(shù)人員而言顯而易見的是,在不脫離本申請中所披露的發(fā)明構(gòu)思的情況下,比以上提及的更多的修改是可能的。權(quán)利要求1.一種用于計算機惡意軟件防護的方法,所述方法包括對計算機上一個或多個進程的執(zhí)行事件進行監(jiān)控;識別所述被監(jiān)控事件之中的可核查事件,其中所述可核查事件至少包括文件的創(chuàng)建、更改或者刪除事件,系統(tǒng)注冊表的參數(shù)和值的創(chuàng)建、更改或者刪除事件,以及由在計算機上所執(zhí)行的進程進行的網(wǎng)絡(luò)訪問事件;在單獨的文件、注冊表以及網(wǎng)絡(luò)事件日志中記錄所述識別出的可核查事件;對計算機上的一個或多個軟件對象執(zhí)行惡意軟件檢查;如果確定了對象是惡意的,那么從所述文件、注冊表和網(wǎng)絡(luò)事件日志中識別一個或多個與所述惡意對象相關(guān)聯(lián)的文件、注冊表以及網(wǎng)絡(luò)事件;對與所述惡意對象相關(guān)聯(lián)的一個或多個文件事件執(zhí)行回退操作;對與所述惡意對象相關(guān)聯(lián)的一個或多個注冊表事件執(zhí)行回退操作;終止與所述惡意對象相關(guān)聯(lián)的一個或多個網(wǎng)絡(luò)連接。2.根據(jù)權(quán)利要求I的方法,其中執(zhí)行文件事件的回退操作包括基于所述識別出的與所述惡意對象相關(guān)聯(lián)的文件事件,識別由所述惡意對象所創(chuàng)建、更改或者刪除的一個或多個文件;刪除所述識別出的由所述惡意對象所創(chuàng)建的新文件;以及從可信的備份中恢復至少部分的所述被更改和刪除的文件。3.根據(jù)權(quán)利要求I的方法,其中執(zhí)行注冊表事件的回退操作包括基于所述識別出的與所述惡意對象相關(guān)聯(lián)的注冊表事件,識別由所述惡意對象所創(chuàng)建、更改或者刪除的一個或多個注冊表參數(shù)和值;刪除由所述惡意對象所創(chuàng)建的新的注冊表參數(shù)和值;以及從可信的備份中恢復被更改或者刪除的注冊表參數(shù)和值。4.根據(jù)權(quán)利要求I的方法,其中對所述計算機上一個或多個進程的執(zhí)行事件進行監(jiān)控更進一步地包括識別被監(jiān)控的父和子進程以及由所述被監(jiān)控的進程所生成的執(zhí)行線程之間的關(guān)系;從所述文件、注冊表和網(wǎng)絡(luò)事件日志中識別與一個或多個相關(guān)的父和子進程以及由所述惡意對象所生成的執(zhí)行線程相關(guān)聯(lián)的一個或多個文件、注冊表和網(wǎng)絡(luò)事件。5.根據(jù)權(quán)利要求4的方法,更進一步的包括識別一個或多個被所述父和子進程以及由所述惡意對象所生成的執(zhí)行線程所創(chuàng)建、更改或者刪除的系統(tǒng)和非系統(tǒng)文件;從可信的備份中恢復至少部分的所述被更改的系統(tǒng)和非系統(tǒng)文件或者被刪除的系統(tǒng)和非系統(tǒng)文件;刪除所有識別出的被所述父和子進程以及由所述惡意對象所生成的執(zhí)行線程所創(chuàng)建的新的非系統(tǒng)文件。6.根據(jù)權(quán)利要求4的方法,更進一步的包括識別一個或多個被所述父和子進程以及由所述惡意對象所生成的執(zhí)行線程所創(chuàng)建、更改或者刪除的注冊表參數(shù)和值;刪除一個或多個識別出的被所述父和子進程以及由所述惡意對象所生成的執(zhí)行線程所創(chuàng)建的新的注冊表參數(shù)和值;以及從可信的備份中恢復被更改或者刪除的注冊表參數(shù)和值。7.根據(jù)權(quán)利要求4的方法,更進一步的包括識別一個或多個被所述父和子進程以及由所述惡意對象所生成的執(zhí)行線程所建立的網(wǎng)絡(luò)連接;終止一個或多個識別出的被所述父和子進程以及由所述惡意對象所生成的執(zhí)行線程所建立的網(wǎng)絡(luò)連接。8.一種用于計算機惡意軟件防護的系統(tǒng),其中所述計算機具有處理器和存儲器,所述系統(tǒng)至少包括以下被加載到所述計算機的所述存儲器中并可由所述計算機的所述處理器執(zhí)行的軟件模塊反病毒數(shù)據(jù)庫,其包含與已知惡意對象有關(guān)的信息;可核查事件數(shù)據(jù)庫,其包含可核查事件的列表,其中所述可核查事件至少包括文件的創(chuàng)建、更改或者刪除事件,系統(tǒng)注冊表的參數(shù)和值的創(chuàng)建、更改或者刪除事件,以及由在計算機上所執(zhí)行的進程進行的網(wǎng)絡(luò)訪問事件;數(shù)據(jù)收集模塊,其經(jīng)配置以對計算機上一個或多個進程的執(zhí)行事件進行監(jiān)控;基于包含在所述可核查事件數(shù)據(jù)庫中的所述可核查事件的列表來識別所述被監(jiān)控的事件之中的可核查事件;以及在包含在所述存儲器中的單獨的文件、注冊表以及網(wǎng)絡(luò)事件日志中記錄所述識別出的可核查事件;反病毒模塊,其經(jīng)配置以使用包含在所述反病毒數(shù)據(jù)庫中的所述與已知惡意對象有關(guān)的信息,對所述計算機上的一個或多個軟件對象執(zhí)行惡意軟件檢查;如果確定了對象是惡意的,那么從所述網(wǎng)絡(luò)事件日志中識別一個或多個與所述惡意對象相關(guān)聯(lián)的網(wǎng)絡(luò)事件;以及終止由所述惡意對象所建立的一個或多個網(wǎng)絡(luò)連接;恢復模塊,其經(jīng)配置以如果確定了所述對象是惡意的,那么從所述文件和注冊表事件日志中識別一個或多個與所述惡意對象相關(guān)聯(lián)的文件和注冊表事件;對與所述惡意對象相關(guān)聯(lián)的一個或多個文件事件執(zhí)行回退操作;對與所述惡意對象相關(guān)聯(lián)的一個或多個注冊表事件執(zhí)行回退操作。9.根據(jù)權(quán)利要求8的系統(tǒng),其中對于對文件事件執(zhí)行回退操作,所述恢復模塊更進一步地經(jīng)配置以基于所述識別出的與所述惡意對象相關(guān)聯(lián)的文件事件,識別由所述惡意對象所創(chuàng)建、更改或者刪除的一個或多個文件;刪除所述識別出的由所述惡意對象所創(chuàng)建的新文件;以及從可信的備份中恢復至少部分的所述被更改和刪除的文件。10.根據(jù)權(quán)利要求8的系統(tǒng),其中對于對注冊表事件執(zhí)行回退操作,所述恢復模塊更進一步地經(jīng)配置以基于所述識別出的與所述惡意對象相關(guān)聯(lián)的注冊表事件,識別由所述惡意對象所創(chuàng)建、更改或者刪除的一個或多個注冊表參數(shù)和值;刪除由所述惡意對象所創(chuàng)建的新的注冊表參數(shù)和值;以及從可信的備份中恢復被更改或者刪除的注冊表參數(shù)和值。11.根據(jù)權(quán)利要求8的系統(tǒng),其中對于對一個或多個進程的執(zhí)行事件進行監(jiān)控,所述數(shù)據(jù)收集模塊更進一步地經(jīng)配置以識別被監(jiān)控的父和子進程以及由所述被監(jiān)控的進程所生成的執(zhí)行線程之間的關(guān)系;從所述文件、注冊表和網(wǎng)絡(luò)事件日志中識別與一個或多個相關(guān)的父和子進程以及由所述惡意對象所生成的執(zhí)行線程相關(guān)聯(lián)的一個或多個文件、注冊表和網(wǎng)絡(luò)事件。12.根據(jù)權(quán)利要求11的系統(tǒng),其中所述恢復模塊更進一步地經(jīng)配置以識別一個或多個被所述父和子進程以及由所述惡意對象所生成的執(zhí)行線程所創(chuàng)建、更改或者刪除的系統(tǒng)和非系統(tǒng)文件;從可信的備份中恢復至少部分的所述被更改的系統(tǒng)和非系統(tǒng)文件或者被刪除的系統(tǒng)和非系統(tǒng)文件;刪除所有識別出的被所述父和子進程以及由所述惡意對象所生成的執(zhí)行線程所創(chuàng)建的新的非系統(tǒng)文件。13.根據(jù)權(quán)利要求11的系統(tǒng),其中所述恢復模塊更進一步地經(jīng)配置以識別一個或多個被所述父和子進程以及由所述惡意對象所生成的執(zhí)行線程所創(chuàng)建、更改或者刪除的注冊表參數(shù)和值;刪除一個或多個識別出的被所述父和子進程以及由所述惡意對象所生成的執(zhí)行線程所創(chuàng)建的新的注冊表參數(shù)和值;以及從可信的備份中恢復被更改或者刪除的注冊表參數(shù)和值。14.根據(jù)權(quán)利要求11的系統(tǒng),其中所述反病毒模塊更進一步地經(jīng)配置以識別一個或多個被所述父和子進程以及由所述惡意對象所生成的執(zhí)行線程所建立的網(wǎng)絡(luò)連接;以及終止一個或多個識別出的被所述父和子進程以及由所述惡意對象所生成的執(zhí)行線程所建立的網(wǎng)絡(luò)連接。全文摘要本發(fā)明公開了用于保護計算機免遭惡意對象活動侵害的系統(tǒng)、方法和計算機程序產(chǎn)品。該方法包括對計算機上一個或多個進程的執(zhí)行事件進行監(jiān)控;識別被監(jiān)控事件之中的可核查事件,包括文件的創(chuàng)建、更改或者刪除事件,系統(tǒng)注冊表的更改事件,以及由在計算機上所執(zhí)行的進程進行的網(wǎng)絡(luò)訪問事件;在單獨的文件、注冊表以及網(wǎng)絡(luò)事件日志中記錄識別出的可核查事件;對計算機上的一個或多個軟件對象執(zhí)行惡意軟件檢查;如果確定了對象是惡意的,那么從文件、注冊表和網(wǎng)絡(luò)事件日志中識別與所述惡意對象相關(guān)聯(lián)的事件;對與所述惡意對象相關(guān)聯(lián)的文件事件執(zhí)行回退操作;對與所述惡意對象相關(guān)聯(lián)的注冊表事件執(zhí)行回退操作;終止與所述惡意對象相關(guān)聯(lián)的網(wǎng)絡(luò)連接。文檔編號G06F21/20GK102629310SQ201210050079公開日2012年8月8日申請日期2012年2月29日優(yōu)先權(quán)日2012年2月29日發(fā)明者尤里·G·斯洛博迪亞努克,弗拉季斯拉夫·V·馬蒂嫩科,米哈伊爾·A·帕夫柳席奇卡申請人:卡巴斯基實驗室封閉式股份公司