CN100422900C - 一种基于数据流的计算机病毒查杀方法 - Google Patents

一种基于数据流的计算机病毒查杀方法 Download PDF

Info

Publication number
CN100422900C
CN100422900C CNB2005101013781A CN200510101378A CN100422900C CN 100422900 C CN100422900 C CN 100422900C CN B2005101013781 A CNB2005101013781 A CN B2005101013781A CN 200510101378 A CN200510101378 A CN 200510101378A CN 100422900 C CN100422900 C CN 100422900C
Authority
CN
China
Prior art keywords
virus
killing
file
data stream
characteristic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CNB2005101013781A
Other languages
English (en)
Other versions
CN1801033A (zh
Inventor
戴光剑
赵闽
王陈
姚辉
蔡山枫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Kingsoft Internet Security Software Co Ltd
Conew Network Technology Beijing Co Ltd
Zhuhai Juntian Electronic Technology Co Ltd
Beijing Cheetah Mobile Technology Co Ltd
Beijing Cheetah Network Technology Co Ltd
Zhuhai Baoqu Technology Co Ltd
Original Assignee
Zhuhai Kingsoft Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhuhai Kingsoft Software Co Ltd filed Critical Zhuhai Kingsoft Software Co Ltd
Priority to CNB2005101013781A priority Critical patent/CN100422900C/zh
Publication of CN1801033A publication Critical patent/CN1801033A/zh
Application granted granted Critical
Publication of CN100422900C publication Critical patent/CN100422900C/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Measuring Or Testing Involving Enzymes Or Micro-Organisms (AREA)

Abstract

本发明涉及计算机应用领域,尤其涉及一种计算机病毒的查杀方法。一种基于数据流的计算机病毒查杀方法,通过病毒特征库的特征与需要查杀的数据流(由内存模块或文件成生数据流)进行匹配来查杀病毒,包括内存查杀病毒方法和文件查杀病毒方法。与现有技术相比,本发明提供一种在不升级或少升级病毒库的情况下完成已知病毒的新变种或部分新病毒的识别。本发明通过对已知病毒的分析提取共性二进制代码做为病毒特征查找病毒的新变种或新病毒的内存模块或文件,而后对该文件(若是内存模块则为内存模块所对应的文件)进行自动特征提取,生成新的文件病毒特征,病毒数据库自动更新。以查杀已知病毒的新变种和部分新病毒及其所有的副本,完成病毒查杀。

Description

一种基于数据流的计算机病毒查杀方法
技术领域
本发明涉及计算机应用领域,尤其涉及一种计算机病毒的查杀方法。
背景技术
近年来,计算机在各个领域内获得了广泛的应用,但随之而来的计算机病毒却对它的实际应用带来了威胁。再加上计算机病毒的潜伏性、传染性、破坏性,使病毒的防范工作更加复杂。当今的计算机病毒通常具有自动更新功能,病毒作者习惯使用加壳、重编译、病毒工程小范围修改的方法迅速放出病毒变种,以及采用多种共用的病毒模块重新组合的方式制作新病毒,从而使杀毒软件查杀不到变化后的病毒。目前的计算机病毒查杀方法一般使用入口加偏移的方法来定位病毒特征码,如果病毒采用上述变化后,就完全改变了病毒特征码,导致不能查杀。现阶段的病毒查杀方法只能通过及时升级特征的方法来查杀此类病毒。
发明内容
本发明克服了现有技术中的缺点,提供一种在不升级或少升级病毒库的情况下完成已知病毒变种或部分新病毒的识别。
为了解决上述技术问题,通过以下技术方案实现:
一种基于数据流的计算机病毒查杀方法,通过病毒特征库的病毒特征与需要查杀的数据流进行匹配来查杀病毒,包括内存查杀病毒方法和文件查杀病毒方法,其中,所述病毒特征是病毒的二进制代码;所述病毒特征库为根据已有病毒提取的病毒共性特征集合;所述数据流由内存模块或文件生成;
所述内存查杀毒方法包括如下过程:
A、对已有病毒提取病毒共性特征;
B、建库程序,将所有的特征集合起来,制作成病毒特征库;
C、遍历内存所有的进程模块,将每个进程模块看作一块数据流;
D、判断是否有尚未被过滤的数据流,如果有则继续通过特征库匹配数据流,否则查杀毒完成,退出内存查杀毒过程;
E、如果某进程模块被特征库匹配成功,则认为该进程模块空间为病毒空间,该进程模块所对应的文件为病毒文件,转向步骤F,否则判断该进程模块不是病毒,转向步骤D;
F、对该病毒文件提取一个文件特征;
G、遍历全磁盘,用以查杀该病毒副本;
H、完成查杀该病毒,转向步骤D;
所述文件查杀毒方法包括如下过程:
a、对已有病毒提取病毒特征;
b、建库程序,将所有的特征集合起来,制作成病毒特征库;
c、遍历需要查杀毒的文件;
d、对文件进行预处理,生成数据流;
e、判断是否有尚未被过滤的数据流,如果有则继续通过特征库匹配数据流,否则查杀毒完成,退出文件查杀毒过程;
f、如果数据流被特征库匹配成功,则认为该文件为病毒文件,转向步骤g,否则判断该进程模块不是病毒,转向步骤e;
g、对本文件进行查杀病毒,转向步骤e。
与现有技术相比,本发明提供一种在不升级或少升级病毒库的情况下完成已知病毒的新变种或部分新病毒的识别。本发明通过对已知病毒的分析提取共性二进制代码做为病毒特征查找病毒的新变种或新病毒的内存模块或文件,而后对该文件(若是内存模块则为内存模块所对应的文件)进行自动特征提取,生成新的文件病毒特征,病毒数据库自动更新。以查杀已知病毒的新变种和部分新病毒及其所有的副本,完成病毒查杀。
附图说明
图1是本发明的内存查杀病毒方法流程图;
图2是本发明的文件查杀病毒方法流程图。
具体实施方式
以下结合附图对本发明进行详细说明。
一种基于数据流的计算机病毒查杀方法,通过病毒特征库的特征与需要查杀的(由内存模块或文件生成的)数据流进行匹配来查杀病毒,包括内存查杀病毒方法和文件查杀病毒方法,所述病毒特征数据库可以自动更新。
请参阅图1所示,内存查杀毒方法包括如下过程:
A、对已有病毒提取病毒的共性特征;
B、建库程序,将所有的特征集合起来,制作成病毒特征库;
C、遍历内存所有的进程模块,将每个进程模块看作一块数据流;
D、判断是否有尚未被过滤的数据流,如果有则继续通过特征库匹配数据流,否则查杀毒完成,退出程序;
E、如果某进程模块被特征库匹配成功,则认为该进程模块空间为病毒空间,该进程模块所对应的文件为病毒文件,转向步骤F,否则判断该进程模块不是病毒,转向步骤D;
F、扫描模块自动提取对该病毒文件提取一个文件特征作为病毒特征,所述文件特征是该文件的二进制代码数据;
G、遍历全磁盘,用以查杀该病毒的所有副本;
H、完成查杀该病毒,转向步骤D。
请参阅图2所示,文件查杀毒方法包括如下过程:
A、对已有病毒提取病毒的共性特征;
B、建库程序,将所有的特征集合起来,制作成病毒特征库;
C、遍历需要查杀毒的文件;
D、对文件进行预处理,生成数据流;
E、判断是否有尚未被过滤的数据流,如果有则继续通过特征库配置数据流,否则查杀毒完成,退出程序;
F、如果数据流被特征库匹配成功,则认为该文件为病毒文件,转向步骤G,否则判断该进程模块不是病毒,转向步骤E;
G、对本文件进行查杀病毒,转向步骤E。
所述进程模块指单一程序进入内存后的数据空间,通常只对应一个文件,所述病毒副本是指没有执行的病毒文件副本及进程模块所对应的文件。
下面通过实例介绍本发明查杀病毒的方法:
Mytob与Mydoom是性质相似的不同病毒,Mytob是Mydoom的变种,它们都利用了相同的病毒代码,如:发信引擎、漏洞攻击代码。但由于其它功能组合的方式、编译的方式原因,二者在二进制特征上没有重合的地方,使现有的反病毒软件已有的病毒特征失效,在已知Mydoom病毒的情况下无法查出Mytob病毒。而根据本发明提供的查杀病毒方法,首先提取该类病毒的共性特征病毒代码(发信引擎、漏洞攻击代码),并将该类特征集合起来,制作成病毒特征库,供扫描模块使用。扫描模块进行查毒时,通过病毒特征库配置每个(由内存模块或文件生成的)数据流,如果某数据流被特征库匹配成功,则认为该文件(若是内存模块则为内存模块所对应的文件)为病毒文件。对于内存查杀毒,扫描模块会自动对该病毒文件提取一个文件特征,并遍历全磁盘,用以查杀没有执行的该Mytob病毒副本,最终完成查杀毒。同样,Troj.QQmsgBook,该病毒具有自动更新功能,病毒作者利用互联网可让病毒每天进行升级更新,其采用的方法多为重加壳、多层加壳和病毒变种。接近反病毒软件的病毒库升级速度。其目的在于改变自己的二进制特征,使反病毒软件已有的病毒特征失效。而通过本发明方法找到该类病毒的共性特征,也可以实现查杀其重加壳、多层加壳和变种后的病毒。
本发明通过对已知病毒的分析提取共性二进制代码做为病毒特征查找病毒的新变种或新病毒的内存模块或文件,而后对该文件(若是内存模块侧为内存模块所对应的文件)进行自动特征提取,生成新的文件病毒特征,病毒数据库自动更新。以查杀已知病毒的新变种和部分新病毒及其所有的副本,完成病毒查杀。
以上步骤仅用以说明而非限制本发明的技术方案。不脱离本发明精神和范围的任何修改或局部替换,均应涵盖在本发明的权利要求范围当中。

Claims (5)

1. 一种基于数据流的计算机病毒查杀方法,通过病毒特征库的病毒特征与需要查杀的数据流进行匹配来查杀病毒,包括内存查杀病毒方法和文件查杀病毒方法,其特征在于,所述病毒特征是病毒的二进制代码;所述病毒特征库为根据已有病毒提取的病毒共性特征集合;所述数据流由内存模块或文件生成;
所述内存查杀毒方法包括如下过程:
A、对已有病毒提取病毒共性特征;
B、建库程序,将所有的特征集合起来,制作成病毒特征库;
C、遍历内存所有的进程模块,将每个进程模块看作一块数据流;
D、判断是否有尚未被过滤的数据流,如果有则继续通过特征库匹配数据流,否则查杀毒完成,退出内存查杀毒过程;
E、如果某进程模块被特征库匹配成功,则认为该进程模块空间为病毒空间,该进程模块所对应的文件为病毒文件,转向步骤F,否则判断该进程模块不是病毒,转向步骤D;
F、对该病毒文件提取一个文件特征;
G、遍历全磁盘,用以查杀该病毒副本;
H、完成查杀该病毒,转向步骤D;
所述文件查杀毒方法包括如下过程:
a、对已有病毒提取病毒特征;
b、建库程序,将所有的特征集合起来,制作成病毒特征库;
c、遍历需要查杀毒的文件;
d、对文件进行预处理,生成数据流;
e、判断是否有尚未被过滤的数据流,如果有则继续通过特征库匹配数据流,否则查杀毒完成,退出文件查杀毒过程;
f、如果数据流被特征库匹配成功,则认为该文件为病毒文件,转向步骤g,否则判断该进程模块不是病毒,转向步骤e;
g、对本文件进行查杀病毒,转向步骤e。
2. 根据权利要求1所述的计算机病毒查杀方法,其特征在于,所述进程模块只对应一个文件。
3. 根据权利要求1或2所述的计算机病毒查杀方法,其特征在于,步骤F中提取文件特征由扫描模块自动提取。
4. 根据权利要求1或2所述的计算机病毒查杀方法,其特征在于,所述病毒副本是指所有已经执行和没有执行的病毒文件副本。
5. 根据权利要求1或2所述的计算机病毒查杀方法,其特征在于,所述文件特征是该文件的二进制代码特征。
CNB2005101013781A 2005-11-17 2005-11-17 一种基于数据流的计算机病毒查杀方法 Active CN100422900C (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CNB2005101013781A CN100422900C (zh) 2005-11-17 2005-11-17 一种基于数据流的计算机病毒查杀方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CNB2005101013781A CN100422900C (zh) 2005-11-17 2005-11-17 一种基于数据流的计算机病毒查杀方法

Publications (2)

Publication Number Publication Date
CN1801033A CN1801033A (zh) 2006-07-12
CN100422900C true CN100422900C (zh) 2008-10-01

Family

ID=36811077

Family Applications (1)

Application Number Title Priority Date Filing Date
CNB2005101013781A Active CN100422900C (zh) 2005-11-17 2005-11-17 一种基于数据流的计算机病毒查杀方法

Country Status (1)

Country Link
CN (1) CN100422900C (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101373502B (zh) * 2008-05-12 2012-06-20 公安部第三研究所 基于Win32平台下病毒行为的自动化分析系统
CN101599947B (zh) * 2008-06-06 2014-04-23 盛趣信息技术(上海)有限公司 基于web网页的木马病毒扫描方法
CN102073815B (zh) * 2010-12-27 2013-11-20 奇瑞汽车股份有限公司 一种车载杀毒系统及其杀毒方法
CN102945342B (zh) * 2012-09-29 2015-08-05 北京奇虎科技有限公司 进程识别方法、装置和终端设备
CN111191233B (zh) * 2019-07-31 2024-05-24 腾讯科技(深圳)有限公司 一种宏病毒处理方法、装置和存储介质
CN112149115A (zh) * 2020-08-28 2020-12-29 杭州安恒信息技术股份有限公司 一种病毒库的更新方法、装置、电子装置和存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6006329A (en) * 1997-08-11 1999-12-21 Symantec Corporation Detection of computer viruses spanning multiple data streams
CN1409222A (zh) * 2001-09-14 2003-04-09 北京瑞星科技股份有限公司 计算机内存病毒监控和带毒运行方法
CN1584857A (zh) * 2003-08-22 2005-02-23 童勤业 变结构文件防病毒及其软、硬件实现方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6006329A (en) * 1997-08-11 1999-12-21 Symantec Corporation Detection of computer viruses spanning multiple data streams
CN1409222A (zh) * 2001-09-14 2003-04-09 北京瑞星科技股份有限公司 计算机内存病毒监控和带毒运行方法
CN1584857A (zh) * 2003-08-22 2005-02-23 童勤业 变结构文件防病毒及其软、硬件实现方法

Also Published As

Publication number Publication date
CN1801033A (zh) 2006-07-12

Similar Documents

Publication Publication Date Title
Haq et al. A survey of binary code similarity
Bayer et al. Scalable, behavior-based malware clustering.
Zeng et al. WATSON: Abstracting Behaviors from Audit Logs via Aggregation of Contextual Semantics.
Crussell et al. Andarwin: Scalable detection of semantically similar android applications
CN101924761B (zh) 一种依据白名单进行恶意程序检测的方法
CN100422900C (zh) 一种基于数据流的计算机病毒查杀方法
Alrabaee et al. Oba2: An onion approach to binary code authorship attribution
CN101923617B (zh) 一种基于云的样本数据库动态维护方法
US8955120B2 (en) Flexible fingerprint for detection of malware
Zhang et al. Libid: reliable identification of obfuscated third-party android libraries
Kirat et al. Sigmal: A static signal processing based malware triage
Masud et al. Cloud-based malware detection for evolving data streams
Kholidy et al. DDSGA: A data-driven semi-global alignment approach for detecting masquerade attacks
US20160094564A1 (en) Taxonomic malware detection and mitigation
RU2617654C2 (ru) Система и способ формирования набора антивирусных записей, используемых для обнаружения вредоносных файлов на компьютере пользователя
US10191726B2 (en) Biosequence-based approach to analyzing binaries
Alrabaee et al. A survey of binary code fingerprinting approaches: taxonomy, methodologies, and features
Patrick-Evans et al. Probabilistic naming of functions in stripped binaries
CN103607381A (zh) 白名单生成及恶意程序检测方法、客户端和服务器
CN103475671A (zh) 恶意程序检测方法
CN109583201A (zh) 识别恶意中间语言文件的系统和方法
Eskandari et al. Frequent sub‐graph mining for intelligent malware detection
Mahawer et al. Metamorphic malware detection using base malware identification approach
CN103593614B (zh) 一种未知病毒检索方法
EP2819054A1 (en) Flexible fingerprint for detection of malware

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
C56 Change in the name or address of the patentee
CP01 Change in the name or title of a patent holder

Address after: Jinshan computer Building No. 8 Jingshan Hill Road, Lane 519015 Lianshan Jida Zhuhai city in Guangdong Province

Patentee after: Zhuhai Kingsoft Software Co.,Ltd.

Address before: Jinshan computer Building No. 8 Jingshan Hill Road, Lane 519015 Lianshan Jida Zhuhai city in Guangdong Province

Patentee before: Zhuhai Kingsoft Software Co.,Ltd.

ASS Succession or assignment of patent right

Owner name: ZHUHAI JUNTIAN ELECTRONICS TECHNOLOGY CO., LTD.

Free format text: FORMER OWNER: ZHUHAI KINGSOFT SOFTWARE CO., LTD.

Effective date: 20110426

C41 Transfer of patent application or patent right or utility model
COR Change of bibliographic data

Free format text: CORRECT: ADDRESS; FROM: 519015 KINGSOFT COMPUTER BUILDING, NO. 8, LIANSHAN LANE, JINGSHAN ROAD, JIDA, ZHUHAI CITY, GUANGDONG PROVINCE TO: 519015 KINGSOFT COMPUTER BUILDING, NO. 8, LIANSHAN LANE, JINGSHAN ROAD, JIDA, ZHUHAI, GUANGDONG

TR01 Transfer of patent right

Effective date of registration: 20110426

Address after: 519015 Guangdong Zhuhai, Jingshan Hill Road, Lane 8, Jinshan building computer Lianshan

Patentee after: ZHUHAI JUNTIAN ELECTRONIC TECHNOLOGY Co.,Ltd.

Address before: Jinshan computer Building No. 8 Jingshan Hill Road, Lane 519015 Lianshan Jida Zhuhai city in Guangdong Province

Patentee before: Zhuhai Kingsoft Software Co.,Ltd.

ASS Succession or assignment of patent right

Owner name: BEIKE INTERNET (BEIJING) SECURITY TECHNOLOGY CO.,

Free format text: FORMER OWNER: ZHUHAI JUNTIAN ELECTRONICS TECHNOLOGY CO., LTD.

Effective date: 20140704

Owner name: BEIJING GOLDEN HILL NETWORK TECHNOLOGY CO., LTD. K

Effective date: 20140704

C41 Transfer of patent application or patent right or utility model
COR Change of bibliographic data

Free format text: CORRECT: ADDRESS; FROM: 519015 ZHUHAI, GUANGDONG PROVINCE TO: 100041 SHIJINGSHAN, BEIJING

TR01 Transfer of patent right

Effective date of registration: 20140704

Address after: 100041 Beijing, Shijingshan District Xing Xing street, building 30, No. 3, building 2, A-0071

Patentee after: SHELL INTERNET (BEIJING) SECURITY TECHNOLOGY Co.,Ltd.

Patentee after: BEIJING KINGSOFT NETWORK TECHNOLOGY Co.,Ltd.

Patentee after: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd.

Patentee after: CONEW NETWORK TECHNOLOGY (BEIJING) Co.,Ltd.

Patentee after: ZHUHAI JUNTIAN ELECTRONIC TECHNOLOGY Co.,Ltd.

Address before: Jinshan computer Building No. 8 Jingshan Hill Road, Lane 519015 Lianshan Jida Zhuhai city in Guangdong Province

Patentee before: Zhuhai Juntian Electronic Technology Co.,Ltd.

CP01 Change in the name or title of a patent holder

Address after: 100041 A-0071, 2nd floor, No. 3 Courtyard, 30 Shixing Street, Shijingshan District, Beijing

Co-patentee after: Beijing Cheetah Network Technology Co.,Ltd.

Patentee after: Beijing Cheetah Mobile Technology Co.,Ltd.

Co-patentee after: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd.

Co-patentee after: CONEW NETWORK TECHNOLOGY (BEIJING) Co.,Ltd.

Co-patentee after: ZHUHAI JUNTIAN ELECTRONIC TECHNOLOGY Co.,Ltd.

Address before: 100041 A-0071, 2nd floor, No. 3 Courtyard, 30 Shixing Street, Shijingshan District, Beijing

Co-patentee before: BEIJING KINGSOFT NETWORK TECHNOLOGY Co.,Ltd.

Patentee before: SHELL INTERNET (BEIJING) SECURITY TECHNOLOGY Co.,Ltd.

Co-patentee before: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd.

Co-patentee before: CONEW NETWORK TECHNOLOGY (BEIJING) Co.,Ltd.

Co-patentee before: ZHUHAI JUNTIAN ELECTRONIC TECHNOLOGY Co.,Ltd.

CP01 Change in the name or title of a patent holder
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20181226

Address after: 519031 Room 105-53811, No. 6 Baohua Road, Hengqin New District, Zhuhai City, Guangdong Province

Patentee after: Zhuhai Leopard Technology Co.,Ltd.

Address before: 100041 A-0071, 2nd floor, No. 3 Courtyard, 30 Shixing Street, Shijingshan District, Beijing

Co-patentee before: Beijing Cheetah Network Technology Co.,Ltd.

Patentee before: Beijing Cheetah Mobile Technology Co.,Ltd.

Co-patentee before: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd.

Co-patentee before: CONEW NETWORK TECHNOLOGY (BEIJING) Co.,Ltd.

Co-patentee before: ZHUHAI JUNTIAN ELECTRONIC TECHNOLOGY Co.,Ltd.