CN100373287C - 检测程序操作行为的方法及病毒程序检测、清除方法 - Google Patents
检测程序操作行为的方法及病毒程序检测、清除方法 Download PDFInfo
- Publication number
- CN100373287C CN100373287C CNB2006100076133A CN200610007613A CN100373287C CN 100373287 C CN100373287 C CN 100373287C CN B2006100076133 A CNB2006100076133 A CN B2006100076133A CN 200610007613 A CN200610007613 A CN 200610007613A CN 100373287 C CN100373287 C CN 100373287C
- Authority
- CN
- China
- Prior art keywords
- program
- control
- behavior
- detected
- virus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
Abstract
本发明公开了一种检测程序操作行为的方法,包括:获得已知病毒程序的破坏性操作行为;根据所述破坏性操作行为设置对应的控制处理程序;使控制处理程序获得对所述破坏性操作行为的控制权;待检测程序的破坏性操作行为调用相应的控制处理程序,由所述控制处理程序记录所述待检测程序的操作行为。本发明还可以通过所述控制处理程序返回成功应答的信息,从而诱导所述待检测程序进行下一行为,而实际上,所述待检测程序并没有实际运行。即本发明可以为所述待检测程序提供一个虚拟运行的环境,用于记录所述待检测程序的一系列行为。本发明的还提供一种病毒程序的清除方法,根据所述病毒程序的行为,建立并执行所述病毒程序的逆行为操作,可以实现对被病毒破坏的数据的恢复。
Description
技术领域
本发明涉及一种程序检测方法,尤其涉及一种检测程序操作行为的方法,以及利用所述检测程序操作行为的方法进行病毒程序检测和清除方法。
背景技术
现有的杀毒程序,一般都采用特征码识别的方法对被怀疑为病毒的程序进行检测,这种杀毒程序包括病毒代码库,该病毒代码库存储有经过特别选定的各种计算机病毒程序的代码串;以及对待检测程序进行代码扫描、分析的病毒扫描程序。所述病毒扫描程序能识别的计算机病毒的数目完全取决于病毒代码库内所含病毒的特征码的数量有多少,通过特征码判断一个待检测程序是否为病毒程序。通常,特征码是由反病毒技术人员借助DEBUG、PROVIEW等分析用工具程序和专用的试验用计算机对病毒具体工作流程进行分析、跟踪得出的,也就是说对病毒行为的检测分析是由反病毒技术人员完成的。
现实中,有人提出可以采用病毒行为感染实验的方法诊断一个待检测程序是否为病毒程序。该方法首先运行待检测程序,再运行一些确切知道不带毒的正常程序,然后观察这些正常程序的长度和校验和是否发生变化,如果发现不带毒的正常程序出现程序增长、缩短,或者校验和发生变化,就可判断处该待检测程序为病毒程序。当然,为了保证计算机的安全,一般都会利用软件模拟一个CPU,它可以象真正CPU一样取指,译码,执行,它可以模拟一段代码在真正CPU上运行得到的结果。给定一组机器码序列,虚拟CPU会自动从中取出第一条指令操作码部分,判断操作码类型和寻址方式以确定该指令长度,然后在相应的函数中执行该指令,并根据执行后的结果确定下条指令的位置,如此循环反复直到某个特定情况发生以结束工作,最后在执行完的结果(解密后的病毒体程序明文)中查找病毒的特征码。这里所谓的虚拟,是指染毒文件并没有实际执行,只不过是虚拟CPU模拟了其真实执行时的效果而已。所以这样的技术也没有实现对病毒行为的检测和记录,只能得到病毒运行后的结果而已。
随着程序检测技术的发展,还有人提出可以采用病毒行为监测的方法诊断
一个程序是否为病毒程序。通过对病毒多年的观察、研究,人们发现病毒有一些行为,所述行为即一些特殊的指令操作,例如采用13H中断写磁盘的操作,是病毒的共同行为,而且比较特殊。该方法在待检测程序运行时,监视其行为,如果发现了程序的特殊操作行为,即病毒行为,立即报警。但是,该方法要求杀毒程序能够为待查程序创建一个虚拟的执行环境,提供它可能用到的一切元素,包括硬盘,端口等,其实现难度过大,需模拟元素太多;所以基本还没有将该方法在杀毒软件中实现的例子。并且,这种方法的主要特点是采用单一行为的判断实现一个程序是否为病毒程序的判断的,由于只采用单一行为的判断得到结论,使得这种方法极易产生误判断。例如,如果将采用13H中断写磁盘某个特定区域的操作作为病毒行为,则一个采用这种操作的正常程序也会被视为病毒。
发明内容
鉴于上述问题,本发明的目的是提供一种易于实现的检测程序操作行为的方法。
本发明的另一目的在于提供一个所述待检测程序的虚拟运行环境,通过所述虚拟运行环境,能够有效检测出待检测程序的操作行为,而实际上,所述待检测程序并没有实际运行。
本发明第三个目的在于提供一个利用所述检测程序操作行为的方法进行病毒程序的检测和清除方法。
为解决上述技术问题,一种检测程序操作行为的方法,包括:
获得已知病毒程序的破坏性操作行为;根据所述破坏性操作行为设置对应的控制处理程序;
使控制处理程序获得对所述破坏性操作行为的控制权;
待检测程序的破坏性操作行为调用相应的控制处理程序,由所述控制处理程序记录所述待检测程序的操作行为。
所述方法还包括:所述控制处理程序向所述待检测程序返回成功应答信息。
其中,将所述控制处理程序嵌入操作系统,或者所述破坏性操作行为对应的系统功能调用程序将其控制权移交给相应的控制处理程序,使控制处理程序获得对所述破坏性操作行为的控制权。
按照下述步骤将所述控制处理程序嵌入操作系统:
将调用所述控制处理程序需要的信息添加到操作系统的系统功能调用表;
将系统功能调用程序的地址修改为相应控制处理程序的地址。
也可以按照下述步骤将所述控制处理程序嵌入操作系统:
将调用所述控制处理程序需要的信息存储到一个独立的操作行为调用表;
使所述操作行为调用表具有比操作系统的系统功能调用表具有更高级的优先权。
所述方法还包括:为所述待检测程序设置一封闭的内存运行空间。
通过对所述待检测程序运行时涉及的地址范围的冲突检测或者通过为所述待检测程序分配地址范围的方式为所述待检测程序设置一封闭的内存运行空间。
所述方法还包括:将所述待检测程序转换为现实操作系统不可识别的格式;并存储至指定的存储地址。
所述方法还包括:所述待检测程序运行结束后,输出记录的所述待检测程序的所有行为数据。
而且,在操作系统和控制处理程序之间设置用于在二者之间传送数据的独立的输入/输出逻辑接口。
本发明提供的计算机病毒的检测方法包括:
获得病毒程序的破坏性操作行为;
根据所述破坏性操作行为设置对应的控制处理程序;
使控制处理程序获得对所述破坏性操作行为的控制权;待检测程序的破坏性操作行为调用相应的控制处理程序,由所述控制处理程序记录所述待检测程序的操作行为;
根据获得的所述待检测程序的行为数据或行为数据集合以及预置的典型病毒程序的行为数据或者行为数据集合,判断所述待检测程序是否为病毒程序。
其中,将所述控制处理程序嵌入操作系统,或者所述破坏性操作行为对应的系统功能调用程序将其控制权移交给相应的控制处理程序,使控制处理程序获得对所述破坏性操作行为的控制权。
本发明提供的计算机病毒的清除方法,包括:
获得病毒程序的破坏性操作行为;
根据所述破坏性操作行为设置对应的控制处理程序;
待检测程序调用所述控制处理程序,由所述控制处理程序记录所述待检测程序的操作行为;
根据获得的所述待检测程序的行为数据或行为数据集合以及预置的典型病毒程序的行为数据或者行为数据集合,判断所述待检测程序是否为病毒程序;
如果确认所述待检测程序为计算机病毒程序,则清除所述待检测程序。
所述计算机病毒的清除方法还包括:将所述控制处理程序嵌入操作系统,或者所述破坏性操作行为对应的系统功能调用程序将其控制权移交给相应的控制处理程序,使控制处理程序获得对所述破坏性操作行为的控制权。
所述计算机病毒的清除方法,还包括:
根据获得的所述待检测程序的行为数据或行为数据集合,建立对应的逆行为操作步骤;
执行所述逆行为操作步骤。
与现有技术相比,本发明至少具有以下的优点:
本实施例所述检测程序操作行为的方法通过使控制处理程序获得对所述破坏性操作行为控制权的方式,例如将对应病毒程序的破坏性操作行为的控制处理程序嵌入操作系统,使待检测程序的破坏性操作行为对应的操作指令、参数受控制处理程序的监控,不但不会产生破坏性的操作结果,还能够实现检测以及记录其操作行为。这种实现方式简单易行,可以不需要DEBUG、PROVIEW等分析用工具程序和专用的试验用计算机对病毒具体工作流程进行分析、跟踪。
本实施例所述检测程序操作行为的方法还可以通过所述控制处理程序对所述待检测程序的调用返回成功应答的信息,从而诱导所述待检测程序继续进行下一行为,而实际上,所述待检测程序并没有实际运行。即为所述待检测程序提供了一个虚拟运行的环境,并且该环境不需要模拟整个操作系统、CPU、存储器等,可以提高检测以及记录程序操作行为的效率。
本发明的还提供一个利用所述检测程序操作行为的方法进行病毒程序的检测。通过实践中总结得出一些典型病毒的典型行为,并利用所述检测程序操作行为的方法获取所述待检测程序的行为数据,通过二者之间行为的直接比对,从而判断所述待检测程序是否为病毒。所以本专利不仅仅能识别已知病毒,也可以相当准确地识别多数的未知病毒程序。
本发明的还提供一个利用所述检测程序操作行为的方法进行病毒程序清除方法。所述清除方法,不仅可以清除病毒程序,并且可以根据所述病毒程序的行为,建立并执行所述病毒程序的逆行为操作,故可以实现对被病毒破坏的数据的恢复,以解决虽然清除了病毒却不能被破坏的数据的问题。
附图说明
下面结合附图和具体实施方式对本发明作进一步详细的说明。
图1是本发明所述检测程序操作行为的方法流程图;
图2是系统功能调用表的结构示意图;
图3是系统功能调用程序实际存储区的示意图;
图4是图2所示系统功能调用表存储相应控制处理程序时的结构示意图;
图5是图4所示存储实例的功能调用程序实际存储区的示意图;
图6是将所有控制处理程序存储为一个独立的操作行为调用表的结构示意图;
图7是本发明所述计算机病毒检测方法的流程图;
图8是本发明所述计算机病毒检测和清除方法的流程图;
图9是将所有控制处理程序存储为另一个独立的操作行为调用表的结构示意图。
具体实施方式
本发明的核心思想:通过将病毒程序的破坏性操作行为对应的控制处理程序嵌入操作系统的方式,检测待检测程序的操作行为。通过所述的控制处理程序对所述待检测程序的调用返回成功应答的信息,从而诱导所述待检测程序继续进行下一行为,而实际上,所述待检测程序并没有实际运行。这样就可以记录所述待检测程序的一系列行为操作。
参照图1,是本发明所述检测程序操作行为的方法的步骤流程图,包括以下步骤:
步骤s1,获取病毒程序的破坏性操作行为。技术人员通过对病毒多年的观察、研究,发现病毒有一些行为,是病毒的共同行为,而且比较特殊。所述已知病毒程序的破坏性操作行为的分解和获取可以通过人工完成也可以通过计算机实现。所述的破坏性操作行为一般包括对计算机系统的非常规操作或者造成恶性结果的操作。例如:非常规读写操作、删除某系统文件、导致内存冲突、破坏硬盘分区表等等。下面列举一些可以用于监测病毒的行为:
1、占用INT13H(操作系统13H中断)
所有的引导型病毒都攻击BOOT(引导)扇区或主引导扇区。系统启动时,当BOOT扇区或主引导扇区中的主控程序获得执行控制权时,系统就开始工作。一般引导型病毒都会占用INT13H中断操作,系统引导时其它系统功能调用函数还未设置好,无法利用。引导型病毒占据INT13H中断的系统功能操作,在其中放置病毒程序的代码,即用病毒程序的代码获得或替换INT13H中断的程序代码的控制权。
2、修改系统数据区的内存总量或覆盖区的地址范围,例如DOS系统。病毒常驻内存后,为了防止系统将其覆盖,必须修改内存总量。
3、对COM和EXE文件做写入动作。病毒要感染,而使病毒代码写入或嵌入COM和EXE文件的操作。
4、病毒程序与宿主程序的切换。染毒程序运行时,先运行病毒,而后执行宿主程序;在两者切换时,有一些典型的特征行为。
除了上述较为明显的破坏性操作行为,病毒程序一般还会包括较为正常的操作行为,如果这些操作行为单独或者组合起来有可能产生破坏数据的危险操作,则也属于本发明所述病毒程序的破坏性操作行为的范围内。
通常,一个病毒程序的破坏行为可以由一系列的执行破坏性操作的指令或指令集构成的,而且,每一个所述的指令或指令集至少产生一个独立的破坏性操作行为。因此,分解现有病毒程序的破坏性操作行为,即是将已经存在的病毒程序中包含的独立的破坏性操作行为涉及的指令或指令集提取出来。例如,假设13H中断的03H或05H号功能调用涉及可能的破坏数据的危险操作,则13H中断的03H或05H号功能调用对应的指令就可以被看作是产生一个独立的破坏性操作行为的指令。假设,10H中断的02H号功能调用和11H的06H号功能调用组合在一起涉及可能的破坏数据的危险操作,则10H中断的02H号功能调用和11H的06H号功能调用对应的指令集合就可以被看作是产生一个独立的破坏性操作行为的指令集。如果一个被检测的程序具有这样的指令代码,就可以得知该被检测程序存在一个可能破坏性其他程序或数据的可疑操作行为,将这些行为收集起来,就可以通过程序的行为集合判断一个程序是否为病毒程序以及如何最大限度地恢复相应的病毒程序破坏的数据。
获取已知病毒程序的破坏性操作行为,也可以通过计算机辅助完成。例如采用申请号为01117726.8、名称为“检测和清除已知及未知计算机病毒的方法、系统和介质”的中国发明专利介绍的,以提供用于诱发病毒感染的感染对象来检测病毒的方法,就可以获得已知和未知病毒程序的破坏性操作行为。由于申请号为01117726.8的发明已经公开,在此不在赘述。
步骤s2,根据所述破坏性操作行为设置或编制该操作行为对应的控制处理程序。
为此,当将现有病毒程序的破坏性操作行为分解出来以后,就可以根据所述破坏性操作行为编制该行为对应的控制处理程序,所述控制处理程序用于响应待检测程序的破坏性操作行为涉及的指令和参数,并反馈所述破坏性操作行为成功的信息以诱导该程序的下一个行为,同时记录所述待检测程序的该项破坏性操作行为。
假设,一个程序中的破坏性操作行为涉及的指令和参数为:DEL(参数1;参数2;参数3),其中,DEL表示删除,参数1表示被删除的盘号,参数2表示被删除的簇号,参数3表示接受删除是否成功的变量,则该破坏性操作行为对应的控制处理程序可以是:
(1)WRITE(FILE1,“DEL(参数1;参数2;参数3)”);
(2)WRITE(DEL(参数1;参数2;参数3),0,0,0);
其中,第(1)行的指令表示将破坏性指令“DEL(参数1;参数2;参数3)”作为字符串记录进文件FILE1中;第(2)行的指令表示向将破坏性指令DEL(参数1;参数2;参数3)反馈操作成功的标志“0”。
步骤s3,将所述控制处理程序嵌入操作系统,使控制处理程序获得对所述破坏性操作行为的控制权,这种控制权可以通过使控制处理程序获得优于操作系统的系统控制权而获得。
为了能够自动快速地检测并记录程序中可能出现的破坏性操作行为,以甄别该程序是否为病毒程序,需要所述控制处理程序获得对被检测程序出现的破坏性操作行为的控制权,以获得被检测程序中出现的破坏性操作行为,为此,采用将所述控制处理程序嵌入到操作系统中的办法使控制处理程序获得相应的破坏性操作行为的控制权;当然,也可以通过其他方式使控制处理程序获得系统的监控权从而检测并记录待检测程序的破坏性操作行为。如果采用将所述控制处理程序嵌入到操作系统中的方式,即可以通过将控制处理程序嵌入到操作系统的功能调用表实现;也可以将控制处理程序存储到一个独立的操作行为调用表,使其具有比操作系统的功能调用表更高级的优先权实现。例如:任何操作系统中都会存在一个系统功能调用表,系统功能调用表根据需要可以有不同的结构。参考图2,图2所示的系统功能调用表包括两个字段,一个是编号字段,用于存储系统功能调用程序的编号;一个是功能调用地址字段,用于存储系统功能调用程序指针,即地址,该地址通常对应系统功能调用程序的首地址。图3是系统功能调用程序实际存储区的示意图,当需要某个操作系统提供的功能时,例如需要13H中断处理程序提供的写磁盘操作,就需要从图2所示的表中提取出13H中断处理程序的地址,再到图3所示的存储区中的相应地址处读取相应的程序到内存中执行即可获得操作结果。如果将所述控制处理程序嵌入到操作系统中,方法之一就是将相应的控制处理程序存储到系统功能调用表中。假设现在有100H(H:表示16进制)个破坏性操作行为被分解出来,而且已经编制好100H个对应的控制处理程序,则,将这100H个控制处理程序的存储地址存入到图2所示表中,存储结果参考图4,图5示出了图4存储实例的功能调用程序实际存储区的示意图。所述控制处理程序的存储地址依次存储到系统功能调用程序地址的后面。
实际中,将所述控制处理程序嵌入到操作系统中的方法不限于图4所示的存储方式,也可以采用图6所示的将所述控制处理程序直接存储为一个独立的操作行为调用表的方式,并将图4中的系统功能调用指针,即功能调用地址字段的系统功能调用程序的地址修改为相应控制处理程序的地址即可,使所述控制处理程序获得优于系统功能调用程序的优先权。以图4为例,假设编号为0A00的A控制处理程序地址与编号为0003的05H中断相对应,就需要将“功能调用地址”字段存储的“05H中断地址”修改为“A控制处理程序地址”,从而在所述破坏性操作行为涉及的指令调用“05H中断地址” 对应的程序时,实际上调用的是“A控制处理程序地址”,从而使“A控制处理程序”获得了优于“05H中断”的系统控制权。继续推广这种思想,就可以将所述控制处理程序嵌入操作系统。
在另外的实施例中,还可以使所述破坏性操作行为对应的系统功能调用程序将其控制权移交给相应的控制处理程序,从而使控制处理程序获得对所述破坏性操作行为的控制权。以图9这种存储方式为例,所有的控制处理程序在系统中形成了另外一张系统功能调用表,只要使该表具有比系统原有的系统功能调用表具有更高的优先级,就可以使控制处理程序获得对所述破坏性操作行为的控制权。例如,在待检测程序调用所述控制处理程序调用系统功能调用程序时,首先调用图9所述的表中的控制处理程序,如果在图9所述的表中不存在被调用的控制处理程序,再去调用图2所述的表中的真正的系统功能调用程序。
由于通过步骤s3,已经使控制处理程序获得对所述破坏性操作行为的控制权,因此待检测程序在步骤s4调用所述控制处理程序,就可以由所述控制处理程序记录所述待检测程序的操作行为。即,所述待检测程序执行时,一旦其中存在的实现破坏性操作行为的指令被执行,即调用相应的系统功能调用程序,就会首先调用相应的控制处理程序,由所述控制处理程序记录所述待检测程序的破坏性操作行为。
通常的病毒程序需要获得一条破坏性的行为操作结果,在得到成功操作的结果时,才继续后续的操作,因此为了对待检测程序进行进一步的判断,还可以通过所述的控制处理程序对所述待检测程序的调用返回成功应答的信息,从而诱导所述待检测程序继续进行下一行为,而实际上,操作系统的控制权由于在步骤s3已由控制处理程序接管,所述待检测程序并没有得到实际运行的效果,其收到的信息是控制处理程序传回的信息,其获得的信息相对于其需求来说是虚假信息,因此待检测程序并没有在操作系统的环境下实际运行,而是在控制处理程序构成主控制权的环境中虚拟运行,从而可以检测和记录所述待检测程序的一系列行为操作,并且不会对系统造成损害。本实施例所述的检测程序操作行为的方法可以理解为:在现实的操作系统内通过软件实现的方法虚拟一个运行环境。这个环境的数据与运行结果与真实的操作系统完全隔离,但是文件或进程的执行过程和结果与在真实的操作系统中运行是完全相同的。
实际中,所述步骤s3是一个可选择的步骤,无论所述控制处理程序是否嵌入操作系统,只要其在程序操作行为涉及的指令运行时具有优于操作系统的控制权,即可形成诱发待检测程序行为的虚拟运行环境,从而检测到所述待检测程序的操作行为。
本实施例所述的检测程序操作行为的方法中,所述控制处理程序具有比操作系统本身的系统功能调用操作更高级的优先权,所以所述控制处理程序就取得了所述待检测程序运行时的控制权,故可以检测记录所述待检测程序的运行情况。并且由于所述控制处理程序会给予所述待检测程序行为操作成功的反馈应答,以诱导所述待检测程序的下一个行为,所以可以得到与在真实的环境中执行完全相同的行为和结果。即使不向待检测程序反馈虚拟的应答,只要待检测程序继续其操作行为,仍然可以被识别出来,但是如此的反映,如果待检测程序为病毒程序,可能出现破坏的结果。因此,在优选的实施例中,通过向待检测程序反馈虚拟的应答使待检测程序得到虚拟的操作执行结果,就可以消除待检测程序在被检测期间出现可能的破坏结果。本实施例所述的检测程序操作行为的方法,所述的控制处理程序只是检测出病毒的行为或一系列行为,并且将这些检验出的行为数据输出到屏幕和/或某个指定的文件中。所述的控制处理程序本身自己不参与对程序的行为分析和是否是病毒的判定。
本实施例所述的检测程序操作行为的方法还可以包括:当所述待检测程序申请运行时,在内存中为其设置一隔离的内存空间。例如,申请空间运行这一功能调用也需要被相应的控制处理程序占有优先权,则就可以实现在内存中设置一隔离的内存空间为所述待检测程序的运行。将所述待检测程序的运行完全隔离在虚拟运行环境中,可以防止在执行程序时对现实的操作系统或者硬件设备产生破坏。所述控制处理程序将所述待检测程序运行所需的内存从逻辑上彻底的隔离开,即其所需的内存是专用的逻辑内存,防止所述待检测程序在内存中执行时感染现实的软硬件。
实际中可以通过对所述待检测程序运行时涉及的地址范围的冲突检测或者通过为所述待检测程序分配地址范围的方式为所述待检测程序设置一封闭的内存运行空间。其中,第二种方式可以使相应的控制处理程序模拟操作系统为应用程序分配地址空间的技术实现,在此不再赘述。而第一种方式则是在相应的控制处理程序获得系统内存的控制权后,通过检测为待检测程序划定的地址空间以外的空间是否被占用或可能被占用,即发生使用或控制冲突,如果被占用或可能被占用,通过自身的内存控制权来限定所述待检测程序的地址范围,从而为所述待检测程序设置一封闭的内存运行空间。
本实施例所述的检测程序操作行为的方法还可以包括:将所述待检测程序转换为现实操作系统不可识别的格式;并存储至指定的存储地址。例如,现实的操作系统为windows,可以将所述待检测程序转换为Linux系统下的文件或其它windows系统不能识别的文件,使其在本系统不可识别,即可尽最大可能的消除所述待检测程序对现实操作系统的影响。也可以将所述待检测程序转变为临时文件并且压缩后存储在指定的物理存储介质上,改变所述待检测程序的性质将可能有害的程序变为现实操作系统不可识别的文件,彻底杜绝了所述待检测程序产生危害的可能性。
本实施例所述的检测程序操作行为的方法还可以包括:在操作系统和控制处理程序之间设置用于在二者之间传送数据的独立的输入/输出逻辑接口。即将现实的操作系统和虚拟运行环境通过独立的I/O逻辑接口完全隔离。数据的交换必须由I/O逻辑接口实现,使虚拟运行环境的有害数据感染现实操作系统的可能性基本被杜绝,实际上是将虚拟运行环境和现实操作系统进行逻辑隔离。由于所述I/O逻辑接口设置在由于所述控制处理程序获得系统有限的控制权而形成的虚拟运行环境和操作系统之间,起到了逻辑隔离的作用,现实操作系统的数据需要经过逻辑格式转换送入虚拟运行环境,并且将虚拟运行环境要返回出的信息通过逻辑格式转换的逆转换传出到现实操作系统。
所述控制处理程序对所述待检测程序的应答、控制、记录等操作,可以理解为对所述待检测程序的行为进行触发、诱导、记录和返回的过程:虚拟运行环境虚拟了一个操作系统,让待检测的文件或程序进入到这个虚拟的操作系统里进行模拟运行,从而达到真实的发现文件或程序的所有行为,并且记录后通过I/O逻辑接口将记录下来的行为返回的过程。
以下列举一个“进行密码试探攻击”的程序来说明该程序在“虚拟运行环境”中模拟运行,被触发、诱导、记录和返回的过程,此过程用windows操作系统为例。
例:当某个程序(以下简称:该程序)利用IPC(Internet ProcessConnection)对guest和administrator等帐号进行密码试探,如果试探成功,则将自己复制到对方系统中的system32目录里,然后注册成为系统服务。
虚拟运行环境根据自定义好的操作系统关键功能调用列表立刻识别出该程序正在利用IPC,这时“虚拟运行环境”模拟实际中的操作系统给该程序一个IPC回应并且返回密码认证成功的信号,同时记录该程序的此项行为。当然,所述回应并且返回成功信号的过程是一个模拟的、假的过程,目的是诱导该程序的下一个行为。以此类推,将所有的行为记录完成后,将这些行为信息通过I/O逻辑接口传出。
参照图7,是本发明提供的一种计算机病毒的检测方法,该方法首先包括本实施例所述的检测程序操作行为的方法,即:
步骤71、获得已知病毒程序的破坏性操作行为;
步骤72、根据所述破坏性操作行为编制对应的控制处理程序;
步骤73、将所述控制处理程序嵌入操作系统;
步骤74、待检测程序的破坏性操作行为调用相应的控制处理程序,由所述控制处理程序记录所述待检测程序的操作行为;
步骤75、根据获得的所述待检测程序的行为数据或行为数据集合以及预置的典型病毒程序的行为数据或者行为数据集合,判断所述待检测程序是否为病毒程序。
由于其他步骤在检测程序操作行为的方法中已经有所描述,所以在此着重描述最后判断识别之步骤75。
所述预置的病毒程序的行为数据或者行为数据集合可以采用数据库的方式进行存储,以方便存储和调用。所述病毒程序的行为数据可以通过上述的人工分析过程或者计算机分析过程得出,也可以直接采用现有的对病毒程序的行为分析结果。所述病毒程序的行为数据也就是符合一定条件的源代码序列块。
将获得的所述待检测程序的行为数据或行为数据集合,与预置的病毒程序的行为数据或者行为数据集合进行比较,就可以判断出所述待检测程序是否为病毒程序。当然,也可以采用其他本领域技术人员熟悉的分析方法,达到判断所述待检测程序是否为病毒程序之目的。所述判断所采用的规则可以是本领域技术人员根据经验得出的,可能存在相当的差异,当然,这些规则都可以给出所述待检测程序是病毒程序或者不是病毒程序的判断结果,只不过判断的准确度有一些差异而已。而且由于采用的分析方法的不同肯定会导致判断采用的规则有所不同,所以本文在此不对采用的分析方法和判断的规则作一定的限制,只要利用了本实施例所述的行为数据比较的方式就在本发明的构思之内。以下已一种判断规则进行说明.
可以通过人工或者计算机分析的过程,对已知的病毒程序进行分析,得出已知病毒的行为数据或者行为数据的集合(下文统一称为行为数据),并可以将所述行为数据存储到数据库中,本文将该数据库称为有害行为库。所述有害行为库中存储的是各种病毒的一系列行为操作数据,所述病毒程序的行为操作还可以是经过技术人员依一定规则选出的,例如:选择病毒程序要实施破坏时经常执行的操作行为数据。例如采用13H中断写磁盘的操作,是病毒程序的共同行为,而且比较特殊。经过操作行为数据的选择,有害行为数据库可以存储较少的用于判断未知程序的数据量,从而提高程序行为数据的比较速率。当然,也可以通过计算机对已知型病毒程序进行自动分析,记录所述病毒程序的所有行为数据,或者通过计算机按照预定义的规则对所述病毒程序的行为数据进行筛选记录。
这样,将所述待检测程序的行为数据和有害行为数据库中的行为数据进行比较,就能够判断出所述待检测程序是否为病毒程序。
判断情况A:当所述待检测程序的行为数据与所述有害行为库中存储的病毒程序行为数据相同或者相似,就可以得出待检测程序就是已知病毒程序或者已知病毒程序类型的一个变种的结论。所述的相同或者相似,可以预定义一个或者多个参数,当所述待检测程序的行为数据和所述典型行为数据的匹配或者包括程度达到或者超过所述参数时,可以认为相同或者相似。
具体的,在一个实施例中,某待检测程序的行为数据为:行为1、行为2、行为3、行为4、行为5、行为6、行为7、行为8;
在有害行为库中存储的某病毒的系列行为数据为:行为2、行为3、行为4、行为5、行为6;
将上述行为数据比较之后得出:所述待检测程序行为完全包含了该病毒程序的行为特征,则可直接判断此待检测程序是该病毒程序的一个变种。
判断情况B:当所述待检测程序的行为数据与所述有害行为库中的病毒程序行为数据中的任何一条都不符合,则判定所述待检测程序为合法程序。
具体的,在一个实施例中,某待检测程序的行为数据为:行为-1、行为-2、行为-3;
在所述有害行为库中的有害行为数据包括:行为1、行为2、行为3、行为4、行为5、行为6......行为n(n为自然数);
将上述行为数据比较之后得出:所述待检测程序行为不包含有害行为库中存储的任何一个行为,认为所述待检测程序合法。
判断情况C:当所述待检测程序的行为数据与所述有害行为库中存储的病毒程序行为数据比较之后,不属于上述判断情况A、B中的任何一个,则需要进行进一步识别。当然这样进一步识别的步骤流程,只是为了增加未知病毒程序识别的准确度,也可以判断情况只有两个分支:是或者否B。
具体的,在一个实施例中,一个待检测程序程序的行为数据为:行为1、行为2、行为3、行为4;
在所述有害行为库中某病毒程序的系列行为包括:行为2、行为3、行为4、行为5、行为6;
比较之后得出:所述待检测程序行为只具有某种病毒程序的系列行为的一部分,则不能直接判断待检测程序的性质,需要对所述待检测程序作进一步判断。当然,也可以直接给出结论,将该待检测程序视为不是病毒程序或者是病毒程序,但是这样的结论是不够精确的。为了提高病毒程序的识别程度,需要对所述待检测程序作进一步判断。
所述的进一步判断可以为通过现在通用的特征码比对进行判断,也可以将上述判断情况C归入判断情况B中,即该情况就判定所述待检测程序为合法程序。当然,这样的处理会使得检测出未知病毒的识别率较低。
参照图8,是本发明提供的一种计算机病毒检测和清除的方法,包括以下步骤:
步骤81、获得已知病毒程序的破坏性操作行为;
步骤82、根据所述破坏性操作行为编制对应的控制处理程序;
步骤83、将所述控制处理程序嵌入操作系统;
步骤84、待检测程序的破坏性操作行为调用相应的控制处理程序,由所述控制处理程序记录所述待检测程序的操作行为;
步骤85、根据获得的所述待检测程序的行为数据或行为数据集合以及预置的典型病毒程序的行为数据或者行为数据集合,判断所述待检测程序是否为病毒程序;
步骤86、如果确认所述待检测程序为计算机病毒程序,则清除所述待检测程序。
上述的计算机病毒检测和清除的方法只是在所述计算机病毒检测方法的基础上,对检测出来的病毒进行清除而已。
本实施例所述的计算机病毒检测和清除的方法还可以实现对被病毒破坏的数据的恢复。所述的对被病毒破坏的数据的恢复操作可以由下面的附加步骤完成:根据获得的所述待检测程序的行为数据或行为数据集合,建立对应的逆行为操作步骤;并执行所述逆行为操作步骤。
由于已经获得病毒程序的可执行的行为操作步骤,因此可以根据所述行为操作步骤建立所述行为操作步骤对应的逆行为操作步骤;例如,建立行为操作步骤1、2、...、N对应的逆操作步骤1、2、...、N。假设行为操作步骤1用于转移存储数据,则对应的逆行为操作步骤1则用于对应的逆行为操作,以恢复数据;如果行为操作步骤2用于删除数据,则对应的逆行为操作步骤2用于完成对应的逆操作,以恢复被删除的数据(例如以冗余校验的方式恢复数据)。所述建立对应的逆行为操作步骤,即生成一个程序源代码指令的集合,所述指令集合相对应的操作步骤与所述行为操作步骤所执行的操作相反。
由于所述逆行为操作步骤就是程序源代码指令的集合,所以对所述逆行为操作步骤的执行实际上就是对所述程序源代码指令进行依次分别的调用的过程。根据每个程序源代码指令进行相应的执行操作,从而完成被病毒程序破坏的数据的恢复操作。例如,建立一个执行逆行为操作步骤功能的一个主功能函数,在这个主功能函数里实际上是将所述程序源代码指令进行依次分别调用的过程。
所述的逆行为操作步骤,即程序源代码指令的集合,可以以数据库的方式进行存储或者以大型数据存储表的方式进行存储。例如,将所述的逆行为操作步骤以数据库列表的方式进行存储,则某一个病毒程序的逆行为操作步骤就是该数据库中的一个存储元素(子集)。该数据库可以采用如下的数据结构存储所述的某一个存储元素,即某一个病毒程序的逆行为操作步骤:
(病毒程序名称)、(逆行为操作步骤1,逆行为操作步骤2,......逆行为操作步骤N)、(附加信息段,删除病毒程序体);
其中,所述的1、2......N表示了清除病毒程序步骤的顺序,所述的逆行为操作步骤包括源代码序列块,所述源代码序列块用以完成所述病毒程序行为操作步骤对应的逆操作。上述的逆行为操作步骤信息中还可以包括相关操作参数等。上述的数据结构还可以采用其他方式,例如:
(病毒程序名称)、(逆行为操作步骤1,逆行为操作步骤2,......逆行为操作步骤N,附加信息段)、(删除病毒程序体);
实际上,上述的存储方式以及存储的数据结构只是为了说明本发明的技术思想而举出的一个具体实施例而已,可以采用其他可行的存储方式和数据结构进行替代,只要能够实现所述逆行为操作步骤的存储和调用即可。
由所述行为操作步骤得出对应的逆行为操作步骤,可以通过一对应表来实现:预置数据列表,表中对应列出了各种行为操作步骤以及相对应的逆行为操作步骤;当所述病毒程序程序进行了某个行为操作步骤,则从所述预置的数据列表中比较得出相对应的逆行为操作步骤,例如:添加和删除;依次完成所述病毒程序的所有行为操作步骤向逆行为操作步骤的转换。
以上对本发明所提供的一种检测程序操作行为的方法及病毒程序检测、清除方法进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (15)
1.一种检测程序操作行为的方法,其特征在于,包括:
获得已知病毒程序的破坏性操作行为;根据所述破坏性操作行为设置对应的控制处理程序;
使控制处理程序获得对所述破坏性操作行为的控制权;
待检测程序的破坏性操作行为调用相应的控制处理程序,由所述控制处理程序记录所述待检测程序的操作行为。
2.如权利要求1所述的检测程序操作行为的方法,其特征在于,还包括:所述控制处理程序向所述待检测程序返回成功应答信息。
3.如权利要求2所述的检测程序操作行为的方法,其特征在于,将所述控制处理程序嵌入操作系统,或者所述破坏性操作行为对应的系统功能调用程序将其控制权移交给相应的控制处理程序,使控制处理程序获得对所述破坏性操作行为的控制权。
4.如权利要求3所述的检测程序操作行为的方法,其特征在于,按照下述步骤将所述控制处理程序嵌入操作系统:
将调用所述控制处理程序需要的信息添加到操作系统的系统功能调用表;
将系统功能调用程序的地址修改为相应控制处理程序的地址。
5.如权利要求3所述的检测程序操作行为的方法,其特征在于,按照下述步骤将所述控制处理程序嵌入操作系统:
将调用所述控制处理程序需要的信息存储到一个独立的操作行为调用表;
使所述操作行为调用表具有比操作系统的系统功能调用表具有更高级的优先权。
6.如权利要求1、2、3、4或5所述的检测程序操作行为的方法,其特征在于,还包括:为所述待检测程序设置一封闭的内存运行空间。
7.如权利要求6所述的检测程序操作行为的方法,其特征在于,通过对所述待检测程序运行时涉及的地址范围的冲突检测或者通过为所述待检测程序分配地址范围的方式为所述待检测程序设置一封闭的内存运行空间。
8.如权利要求1、2、3、4或5所述的检测程序操作行为的方法,其特征在于,还包括:将所述待检测程序转换为现实操作系统不可识别的格式;并存储至指定的存储地址。
9.如权利要求1、2、3、4或5所述的检测程序操作行为的方法,其特征在于,还包括:所述待检测程序运行结束后,输出记录的所述待检测程序的所有行为数据。
10.如权利要求1、2、3、4或5所述的检测程序操作行为的方法,其特征在于,在操作系统和控制处理程序之间设置用于在二者之间传送数据的独立的输入/输出逻辑接口。
11.一种计算机病毒的检测方法,其特征在于,包括:
获得病毒程序的破坏性操作行为;
根据所述破坏性操作行为设置对应的控制处理程序;
使控制处理程序获得对所述破坏性操作行为的控制权;待检测程序的破坏性操作行为调用相应的控制处理程序,由所述控制处理程序记录所述待检测程序的操作行为;
根据获得的所述待检测程序的行为数据或行为数据集合以及预置的典型病毒程序的行为数据或者行为数据集合,判断所述待检测程序是否为病毒程序。
12.如权利要求11述的计算机病毒的检测方法,其特征在于,将所述控制处理程序嵌入操作系统,或者所述破坏性操作行为对应的系统功能调用程序将其控制权移交给相应的控制处理程序,使控制处理程序获得对所述破坏性操作行为的控制权。
13.一种计算机病毒的清除方法,其特征在于,包括:
获得病毒程序的破坏性操作行为;
根据所述破坏性操作行为设置对应的控制处理程序;
待检测程序调用所述控制处理程序,由所述控制处理程序记录所述待检测程序的操作行为;
根据获得的所述待检测程序的行为数据或行为数据集合以及预置的典型病毒程序的行为数据或者行为数据集合,判断所述待检测程序是否为病毒程序;
如果确认所述待检测程序为计算机病毒程序,则清除所述待检测程序。
14.如权利要求13所述的计算机病毒的清除方法,其特征在于,还包括:将所述控制处理程序嵌入操作系统,或者所述破坏性操作行为对应的系统功能调用程序将其控制权移交给相应的控制处理程序,使控制处理程序获得对所述破坏性操作行为的控制权。
15.如权利要求13或14所述的计算机病毒的清除方法,其特征在于,还包括:
根据获得的所述待检测程序的行为数据或行为数据集合,建立对应的逆行为操作步骤;
执行所述逆行为操作步骤。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2006100076133A CN100373287C (zh) | 2005-11-16 | 2006-02-15 | 检测程序操作行为的方法及病毒程序检测、清除方法 |
| EP06805123A EP1962168A4 (en) | 2005-11-16 | 2006-10-31 | METHOD FOR DETECTING THE BEHAVIOR OF THE OPERATION OF A PROGRAM AND METHOD FOR DETECTING AND DELETING THE PROGRAM COMPRISING THE VIRUS |
| PCT/CN2006/002922 WO2007056934A1 (fr) | 2005-11-16 | 2006-10-31 | Procede pour detecter le comportement du fonctionnement d'un programme et procede pour detecter et effacer le programme contenant le virus |
| US12/093,784 US20090133124A1 (en) | 2006-02-15 | 2006-10-31 | A method for detecting the operation behavior of the program and a method for detecting and clearing the virus program |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200510114946.1 | 2005-11-16 | ||
| CN200510114946 | 2005-11-16 | ||
| CNB2006100076133A CN100373287C (zh) | 2005-11-16 | 2006-02-15 | 检测程序操作行为的方法及病毒程序检测、清除方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1936764A CN1936764A (zh) | 2007-03-28 |
| CN100373287C true CN100373287C (zh) | 2008-03-05 |
Family
ID=37954308
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2006100076133A Expired - Fee Related CN100373287C (zh) | 2005-11-16 | 2006-02-15 | 检测程序操作行为的方法及病毒程序检测、清除方法 |
Country Status (3)
| Country | Link |
|---|---|
| EP (1) | EP1962168A4 (zh) |
| CN (1) | CN100373287C (zh) |
| WO (1) | WO2007056934A1 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2166669A1 (en) | 2008-09-17 | 2010-03-24 | Electrolux Home Products Corporation N.V. | Cooktop assembly comprising flush-mounted cooktop panel |
| CN107729751A (zh) * | 2016-08-12 | 2018-02-23 | 阿里巴巴集团控股有限公司 | 数据检测方法及装置 |
| CN110197071B (zh) * | 2018-04-25 | 2023-05-16 | 腾讯科技(深圳)有限公司 | 引导区数据处理方法及装置、计算机存储介质、电子设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6240530B1 (en) * | 1997-09-05 | 2001-05-29 | Fujitsu Limited | Virus extermination method, information processing apparatus and computer-readable recording medium with virus extermination program recorded thereon |
| CN1304092A (zh) * | 2000-01-11 | 2001-07-18 | 神达电脑股份有限公司 | Ide硬盘装置设定在pio传输模式下的病毒检测方法 |
| CN1304089A (zh) * | 2000-01-11 | 2001-07-18 | 神达电脑股份有限公司 | 感染计算机病毒文件的追踪检测方法 |
| CN1314638A (zh) * | 2001-04-29 | 2001-09-26 | 北京瑞星科技股份有限公司 | 检测和清除已知及未知计算机病毒的方法、系统和介质 |
| CN1409222A (zh) * | 2001-09-14 | 2003-04-09 | 北京瑞星科技股份有限公司 | 计算机内存病毒监控和带毒运行方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5964889A (en) * | 1997-04-16 | 1999-10-12 | Symantec Corporation | Method to analyze a program for presence of computer viruses by examining the opcode for faults before emulating instruction in emulator |
| TW452733B (en) * | 1999-11-26 | 2001-09-01 | Inventec Corp | Method for preventing BIOS from viruses infection |
| US6775780B1 (en) * | 2000-03-16 | 2004-08-10 | Networks Associates Technology, Inc. | Detecting malicious software by analyzing patterns of system calls generated during emulation |
| CN1235108C (zh) * | 2004-03-29 | 2006-01-04 | 四川大学 | 一种计算机病毒检测和识别方法 |
-
2006
- 2006-02-15 CN CNB2006100076133A patent/CN100373287C/zh not_active Expired - Fee Related
- 2006-10-31 WO PCT/CN2006/002922 patent/WO2007056934A1/zh active Application Filing
- 2006-10-31 EP EP06805123A patent/EP1962168A4/en not_active Withdrawn
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6240530B1 (en) * | 1997-09-05 | 2001-05-29 | Fujitsu Limited | Virus extermination method, information processing apparatus and computer-readable recording medium with virus extermination program recorded thereon |
| CN1304092A (zh) * | 2000-01-11 | 2001-07-18 | 神达电脑股份有限公司 | Ide硬盘装置设定在pio传输模式下的病毒检测方法 |
| CN1304089A (zh) * | 2000-01-11 | 2001-07-18 | 神达电脑股份有限公司 | 感染计算机病毒文件的追踪检测方法 |
| CN1314638A (zh) * | 2001-04-29 | 2001-09-26 | 北京瑞星科技股份有限公司 | 检测和清除已知及未知计算机病毒的方法、系统和介质 |
| CN1409222A (zh) * | 2001-09-14 | 2003-04-09 | 北京瑞星科技股份有限公司 | 计算机内存病毒监控和带毒运行方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1936764A (zh) | 2007-03-28 |
| WO2007056934A1 (fr) | 2007-05-24 |
| EP1962168A1 (en) | 2008-08-27 |
| EP1962168A4 (en) | 2009-04-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100437614C (zh) | 未知病毒程序的识别及清除方法 | |
| CN107590388B (zh) | 恶意代码检测方法和装置 | |
| RU2472215C1 (ru) | Способ выявления неизвестных программ с использованием эмуляции процесса загрузки | |
| Bishop et al. | A critical analysis of vulnerability taxonomies | |
| CN100465978C (zh) | 被病毒程序破坏的数据恢复方法、装置及病毒清除方法 | |
| JP3079087B2 (ja) | マクロ・ウイルスを発生する方法及びシステム | |
| CN101183414A (zh) | 一种程序检测的方法、装置及程序分析的方法 | |
| US20070261120A1 (en) | Method & system for monitoring integrity of running computer system | |
| Ho et al. | PREC: practical root exploit containment for android devices | |
| US20020162015A1 (en) | Method and system for scanning and cleaning known and unknown computer viruses, recording medium and transmission medium therefor | |
| CN106055385B (zh) | 监控虚拟机进程的系统和方法、过滤page fault异常的方法 | |
| US20080178290A1 (en) | Method of secure data processing on a computer system | |
| CN107851155A (zh) | 用于跨越多个软件实体跟踪恶意行为的系统及方法 | |
| CN1954297A (zh) | 在具有病毒、间谍软件以及黑客防护特征的虚拟处理空间中的隔离复用多维处理 | |
| CN107450964B (zh) | 一种用于发现虚拟机自省系统中是否存在漏洞的方法 | |
| Le Charlier et al. | Dynamic detection and classification of computer viruses using general behaviour patterns | |
| CN105683985B (zh) | 用于虚拟机内省的系统、方法及非暂时性计算机可读介质 | |
| CN109800569A (zh) | 程序鉴别方法及装置 | |
| CN100373287C (zh) | 检测程序操作行为的方法及病毒程序检测、清除方法 | |
| CN109857520B (zh) | 一种虚拟机自省中的语义重构改进方法及系统 | |
| Peisert et al. | Principles-driven forensic analysis | |
| Al-Sharif et al. | The Effects of Platforms and Languages on the Memory Footprint of the Executable Program: A Memory Forensic Approach. | |
| US20230315850A1 (en) | Rootkit detection based on system dump sequence analysis | |
| CN103677746A (zh) | 指令重组方法及装置 | |
| US20090133124A1 (en) | A method for detecting the operation behavior of the program and a method for detecting and clearing the virus program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: JIANG ZHIYUAN Free format text: FORMER OWNER: BAI JIE Effective date: 20120731 Free format text: FORMER OWNER: LI WEI LU ZHENGYU Effective date: 20120731 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: 100089 HAIDIAN, BEIJING TO: 264012 YANTAI, SHANDONG PROVINCE |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20120731 Address after: 264012, No. 9, No. 6, agriculture support, Zhifu District, Yantai, Shandong Patentee after: Jiang Zhiyuan Address before: 100089 No. 203, building 16, little Nanzhuang, Beijing, Haidian District Co-patentee before: Li Wei Patentee before: Bai Jie Co-patentee before: Lu Zhengyu |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20080305 Termination date: 20150215 |
|
| EXPY | Termination of patent right or utility model |