CN101154253A - 计算机安全防护方法及计算机安全防护工具 - Google Patents
计算机安全防护方法及计算机安全防护工具 Download PDFInfo
- Publication number
- CN101154253A CN101154253A CNA2006101417031A CN200610141703A CN101154253A CN 101154253 A CN101154253 A CN 101154253A CN A2006101417031 A CNA2006101417031 A CN A2006101417031A CN 200610141703 A CN200610141703 A CN 200610141703A CN 101154253 A CN101154253 A CN 101154253A
- Authority
- CN
- China
- Prior art keywords
- data
- state
- computer system
- disk
- protected location
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明公开了一种计算机安全防护方法,启动计算机系统的安全检测;对于未检测到恶意程序的情况,进行计算机系统状态保存;对于检测到恶意程序的情况,还原已保存的系统状态;还公开了一种计算机安全防护工具,包括安全检测模块和相连接的保存/还原模块。通过本发明公开的方法及工具,彻底清除了计算机系统中的恶意程序,尤其是顽固型的恶意程序;提高了计算机系统的安全性;简单可靠,并且不受计算机系统型号、品牌的限制。
Description
技术领域
本发明涉及一种计算机安全防护方法及计算机安全防护工具,特别是一种针对恶意程序的通用计算机安全防护方法及通用计算机安全防护工具,属于计算机安全技术领域。
背景技术
随着计算机技术的发展,在各种应用软件不断对陈出新的同时,包括文件病毒、蠕虫、脚本病毒、木马以及黑客程序等以攻击和破坏计算机正常操作为目的恶意程序也层出不穷;根据最新的网络安全报告显示,最近一两年对计算机产生安全成胁的恶意程序中,相对于传统的普通病毒、蠕虫和垃圾邮件,间谍软件、广告软件、黑客软件以及网络钓鱼软件(Phishing)等新型的恶意程序更具攻击性和破坏力,已经毫无争议的成为计算机安全的首要威胁。而且,由于现代社会信息处理对计算机技术的依赖日益加深,因此恶意程序的攻击所产生的危害性也越来越大,比如,在过去的几年中,每年都会爆发大规模的病毒和蠕虫的攻击,使得全球几千万台计算机受到破坏,导致难以估计的经济损失。
为了将恶意软件的危害性降低到最低程度,人们研制了众多的计算机安全防护工具来保护计算机免受恶意程序的攻击和破坏,目前比较流行的计算机安全防护工具可以分为两种类型:
一类是通过实时的安全防护,对入侵的恶意程序进行隔离的计算机安全防护工具,比如具有实时防护功能病毒防护工具,能够实时的对当前活跃的程序和文件进行病毒分析和检测,从而在病毒入侵和驻留之前将其清除;再比如防火墙,通过对通讯端口和通讯协议等进行限制来阻止恶意程序的入侵;
一类是对可能形成威胁的感染文件进行搜索和检测的计算机安全防护工具,例如现有的杀毒软件和木马检测软件,利用已知的病毒和木马代码特征,通过扫描发现并清除有害的恶意程序以及其感染的文件。
随着计算机安全防护工具技术水平的提高,不仅能够通过恶意程序的特征码对已知的恶意程序进行有效和可靠的识别,而且,还有一些比较优秀的安全防护工具能够根据表现出来的破坏性行为特征来识别一些未知的恶意程序。也就是说,现有的安全防护工具在技术上已经能够很好的识别和发现已知和未知的恶意程序。
但问题是在现有技术中,计算机安全防护工具面向恶意程序对抗性处理都是着眼于单个的恶意程序,通过移除或者隔离的方式随时发现随时清理,这就给大量采用了防移除技术的已知和未知恶意程序带来了可乘之机,实现对计算机安全防护工具的对抗。例如,通过直接注入到计算机操作系统的关键程序,甚至是计算机操作系统的内核程序中,阻止计算机安全防护工具的发现以及进一步删除;或者,恶意程序通过特殊的恢复技术来保护自己不被安全防护软件清除,即使安全防护软件删除了部分恶意程序的进程,恶意进程也可能通过自身的恢复技术重新驻留到计算机系统之中;甚至,恶意进程同时具有隐性进程和显性进程,只有在安全防护工具实时清除或者检索清除恶意程序的显性进程时,才突然触发隐藏的隐性攻击进程,而导致整个计算机系统的崩溃。显然,在现有技术中,仅能做到对恶意程序特征码和行为特征的发现和识别是不够的,必须提供能够克服防移除程序的技术方案来保证计算机系统的安全。
发明内容
本发明的目的是解决现有技术中无法彻底清除计算机系统的恶意程序,特别是顽固型恶意程序,进而难以有效保证计算机系统安全的技术问题。
为实现上述目的,本发明提供了一种计算机安全防护方法,包括以下步骤:
启动对计算机系统的安全检测;对于未检测到恶意程序的情况,进行计算机系统状态保存;对于检测到恶意程序的情况,还原已保存的系统状态。
较佳的技术方案是对计算机系统进行安全检测之前,还包括:
实时监控并暂停对计算机系统磁盘分区的任一修改;提取所述磁盘分区被修改地址的原有数据并写入当前磁盘数据保护区,并在与当前磁盘数据保护区对应的磁盘状态修改日志中记录磁盘分区修改信息;对所述磁盘分区执行所述修改。
则进行计算机系统状态保存具体为:
停止实时监控;清空当前磁盘数据保护区中的数据和对应的磁盘状态修改日志的记录;启动实时监控。
或者,停止实时监控;新建空的磁盘状态修改日志和磁盘数据保护区,并设置为当前磁盘数据保护区和对应的磁盘状态修改日志;启动实时监控。
还原已保存的系统状态具体为:
停止实时监控;根据磁盘状态修改日志,将当前磁盘数据保护区中的数据逐一覆盖到磁盘分区的对应地址;启动实时监控。
或者,停止实时监控;进行磁盘数据保护区的选择;根据对应的磁盘状态修改日志,将所选择的磁盘数据保护区中的数据逐一覆盖到磁盘分区的对应地址;启动实时监控。
在上述技术方案中,对计算机系统进行安全检测可以实时、达到预设时刻和/或手动触发时发生,可具体为:
扫描任一检测对象的特征码和特征行为序列,并将扫描结果与规则库中预存的恶意程序规则进行匹配。
本发明还提供了一种计算机安全防护工具,包括:
安全检测模块;
保存/还原模块,与所述安全检测模块连接,用于在未检测到恶意程序的情况下进行计算机系统状态保存;以及在检测到恶意程序的情况下,还原已保存的系统状态。
其中,所述安全检测模块包括:
特征码单元,用于保存、更新已知恶意程序的特征码;
特征行为序列单元,用于保存、更新未知恶意程序的特征行为序列;
扫描匹配单元,分别与所述特征码单元和所述特征行为序列单元连接,用于对计算机系统进行扫描,并将每一被扫描对象与所述特征码单元和所述特征行为序列单元中的数据的匹配或者不匹配结果发送给所述保存/还原模块。
为了增加安全性,较佳的技术方案是所述保存/还原模块与磁盘数据保护区连接,用于写入磁盘分区被修改地址的原有数据;所述磁盘数据保护区独立于计算机系统磁盘分区,包括一个或者多个区域,其中一个为当前磁盘数据保护区。
所述保存/还原模块包括:
系统状态监控单元,与所述磁盘数据保护区连接,用于实时监控对计算机系统磁盘分区的任一修改,提取所述磁盘分区被修改地址的原有数据写入当前磁盘数据保护区,并在当前磁盘状态修改日志中记录磁盘分区修改信息;
磁盘状态修改日志单元,与所述系统状态监控单元连接,用于保存与所述磁盘数据保护区对应的磁盘状态修改日志;并在与当前磁盘数据保护区对应的磁盘状态修改日志中记录磁盘分区修改信息,作为还原所保存的系统状态的根据;
状态保存单元,分别与安全检测模块、系统状态监控单元、磁盘状态修改日志单元、磁盘数据保护区连接,用于根据所述安全检测模块发送的不匹配结果,停止和启动所述系统状态监控单元的实时监控,并设置或者清空当前磁盘数据保护区和对应的磁盘状态修改日志,实现计算机系统状态保存;
状态还原单元,分别与安全检测模块、系统状态监控单元、磁盘状态修改日志单元、磁盘数据保护区连接,用于根据安全检测模块发送的匹配结果,停止和启动所述系统状态监控单元的实时监控,并根据对应的磁盘状态修改日志,将当前或者所选择磁盘数据保护区中的数据逐一覆盖到磁盘分区的对应地址,实现计算机系统状态的还原。
由上述技术方案可知,本发明通过在发现计算机系统被恶意程序入侵和攻击的时候,将计算机系统恢复到一个安全健康的状态,采用计算机系统状态保存与还原技术的结合,具有以下有益效果:
1、彻底清除了计算机系统中的恶意程序,尤其是顽固型的恶意程序;
2、提高了计算机系统的安全性;
3、计算机系统的整体更新,简单可靠,并且不受计算机系统型号、品牌的限制。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
图1为本发明所提供的计算机安全防护方法的实施例的流程图;
图2为本发明所提供方法中进行安全检测的实施例的流程图;
图3为本发明所提供方法中进行计算机系统状态值保存的一个实施例的流程图;
图4为本发明所提供方法中进行计算机系统状态值还原的一个实施例的流程图;
图5为本发明所提供的计算机安全防护工具的一个实施例的框图;
图6为本发明所提供的计算机安全防护工具的另一个实施例的框图;
图7为本发明所提供的状态保存单元被安全检测模块调用时的示意图;
图8为本发明所提供的状态还原单元被安全检测模块调用时的示意图。
具体实施方式
为了克服现有技术中,仅就各个恶意程序加以移除所存在的安全性隐患,本发明提供了一种计算机安全防护方法以及一种计算机安全防护工具,下面分别加以具体说明。
参见图1,为本发明所提供的计算机安全防护方法实施例的流程图,包括以下步骤:
步骤1、启动计算机系统的安全检测,判断是否发现恶意程序,否则执行步骤2,是则执行步骤3;
步骤2、进行计算机系统状态保存,本次安全检测完成;
步骤3、还原已保存的系统状态,本次安全检测完成。
其中,步骤1中对计算机系统进行安全检测可以以多种方式进行,比如可以为实时运行,即在Windows的启动项中添加自动运行安全检测的标记,这样,安全检测程序随着Windows的启动而自动加载运行,并实时监控恶意程序,发现则直接执行步骤3;步骤1中对计算机系统进行安全检测可以为根据预设的时间被Windows自动加载运行;另外,步骤1中对计算机系统进行安全检测还可以为计算机用户手工启动安全检测程序来进行对计算机系统的安全检测。步骤1中对计算机系统进行安全检测还可以为本领域技术人员所知的其他方式。
如上所述,步骤1中对计算机系统进行安全检测可以以多种方式运行,包括对计算机系统的各项关键部位进行实时的检测,也可以通过手工的方式对整个计算机系统进行静态的扫描和检测。因为对于部分恶意程序,需要进行实时的监控和检测,捕获和分析其综合的行为特征,才能判定其是否具有恶意软件的行为特征;而对于大部分已知的病毒、木马等恶意软件,以手工方式进行静态扫描和检测就能够实现识别;因此,在实际使用过程中,一般将两种方式结合起来使用,在本发明中,安全检测以何种方式运行,并不对本发明的效果产生影响。
对计算机系统进行安全检测具体为:扫描任一检测对象的特征码和特征行为序列,并将扫描结果与规则库中预存的恶意程序规则进行匹配;当全部或者部分匹配时,作为检测到恶意程序的情况,进行后续处理。比如,通过扫描计算机的操作系统内核程序、操作系统注册表或者磁盘上的文件,从中检测到符合规则的恶意程序;或者,实时侦测到计算机系统中某个程序或者文件的行为特征部分或者完全符合恶意程序的行为特征,即可判断计算机系统受到恶意程序的感染和破坏。
如图2所示,为本发明所提供的计算机安全防护方法中进行安全检测的实施例的流程图,包括以下步骤:
步骤11、启动安全检测程序;
步骤12、对计算机系统的当前项目进行检测和扫描,包括且不限于磁盘文件、活动进程、网络端口、物理端口、系统注册表、操作系统内核、驱动程序、内存、中断向量、CPU状态等;
步骤13、将当前被检测项目在已知和未知恶意程序规则进行匹配,部分或者全部匹配则为发现恶意程序,执行步骤3,否则为未发现恶意程序,执行步骤14;
步骤14、判断当前被检测项目是否为最后一项,是则执行步骤2,否则将被检测项目指向下一项,重新执行步骤12。
即,如果没有发现与已知和未知恶意程序规则相匹配的特征,则继续循环下去,直到所有被检测项目都被检测完毕。此时,因为没有发现计算机系统中存在恶意程序,因此,我们可以认为此刻的计算机系统状态是可靠的,安全的,就可以提示用户或者自动进入计算机系统状态保存的流程即步骤2。
如果在检测过程中,发现被检测项目的特征符合已知或未知恶意程序规则,那么说明,当前的计算机系统已经被恶意程序驻留。此刻,可以将此检测结果写入日志,其后仍可继续完成所有的后续检测项目,也可以立即中断安全检测。此后,可以通过提示用户或者自动进入的方式,继续执行步骤3的恶意程序清理的流程。
需要强调的是,步骤12中计算机系统的被检测项目并非局限于上述提到的内容,随着安全检测模块技术的进步,会有更多的被检测项目被加入到被检测项目的集合中去。这样一来,安全检测模块所能检测的项目将更加广泛,其检测结果就更加可靠。
显然,对计算机系统进行安全检测之后,存在两种结果,第一种结果是在安全检测之后发现了计算机系统中没有恶意程序,表明当前的计算机系统处于安全的、健康的运行状态,可以建议用户或者自动的将当前的安全的、健康的计算机系统状态保存起来;第二种结果是在安全检测之后发现了计算机系统中存在恶意程序,则表明当前的计算机系统处于不安全、不健康的运行状态,则建议用户或者自动的将计算机系统还原到以前保存的安全的、健康的计算机系统状态,从而彻底的从计算机系统中清除恶意程序。
由于现有技术中,能够实现保存/还原功能的技术和产品有很多种,比如Ghost,Windows系统自带的系统还原等,均可用于保存计算机系统状态和还原计算机系统状态,因此,在本发明中对于计算机系统状态保存和还原具有多种机制,比如,可以通过对安全健康状态的计算机系统进行整体的压缩备份实现保存,以及通过相应的解压缩覆盖实现还原。具体的保存/还原方法具体采用何种机制,并不对本发明的效果产生影响。
由于各种恶意程序的繁殖、破坏都是建立在对系统磁盘分区数据的修改实现的,因此,本发明提供的保存还原方法通过保存还原任一对磁盘分区修改前的原始数据,能够实现对恶意程序及其衍生物的彻底移除。
具体的,对计算机系统进行安全检测之前,还包括:
实时监控并暂停对计算机系统磁盘分区的任一修改;提取所述磁盘分区被修改地址的原有数据并写入当前磁盘数据保护区,并在与当前磁盘数据保护区对应的磁盘状态修改日志中记录磁盘分区修改信息;对所述磁盘分区执行所述修改。
比如,用户要更新或者新建一个文件,这个修改行为被实时监控得到;
则暂缓该修改行为,并获取这个“更新”或者“新建”动作中包含的待修改磁盘分区的地址为ABCD0000开始的32个扇区;提取存储在ABCD0000开始的32个扇区中的数据,并写入磁盘数据保护区中地址为BCDE2322开始的32个扇区;在当前磁盘数据保护区对应的磁盘状态修改日志中记录如下信息:将地址ABCD0000开始的32个扇区数据写入磁盘数据保护区的BCDE2322开始的32个扇区;然后,将用户更新的数据写入到地址为ABCD0000开始的32个扇区,此刻原有的数据被覆盖。
假设此时用户更新的数据为恶意程序,则通过系统还原,可以将磁盘数据保护区的原有数据还原,实现恶意程序清除;假设此时用户更新的数据不是恶意程序,则当启动对计算机系统的安全检测后,就能够确认当前状态安全,无需再行备份该修改的原始数据,因此相应的清除磁盘数据保护区中的数据和对应的磁盘状态修改日志的记录,实现对计算机系统当前状态的接受或者称为状态保存。这种记录修改的系统保存还原方式,相对于现有技术中的整体系统备份,能够极大地减少计算机系统资源的占用。
参见图3,为本发明所提供方法中进行计算机系统状态值保存的一个实施例的流程图,包括以下步骤:
步骤21、接收到未检测到恶意程序的指令后,停止对系统状态修改的实时监控;
步骤22、清空当前磁盘数据保护区中的数据;
步骤23、清空对应的磁盘状态修改日志的记录;
步骤24、重新启动对系统状态修改的实时监控;
保存完成。
经过上一实施例的保存工作,用户不能够再还原保存前的数据,即还原点只有一个。在系统资源允许的情况下,也可以设置多个还原点,即接收到未检测到恶意程序的指令后,新建空的磁盘状态修改日志和磁盘数据保护区,此后的修改都在该新建磁盘状态修改日志和磁盘数据保护区中记录,则可同时保存多个版本的系统安全状态,更有利于提高计算机系统安全性。因此,本发明所提供方法中进行计算机系统状态值保存的另一个实施例包括以下步骤:
停止实时监控;新建空的磁盘状态修改日志和磁盘数据保护区,并设置为当前磁盘数据保护区和对应的磁盘状态修改日志;启动实时监控。
参见图4,为本发明所提供方法中进行计算机系统状态值还原的一个实施例的流程图,包括以下步骤:
步骤31、接收到检测到恶意程序的指令后,停止对系统状态修改的实时监控;
步骤32、选择要还原的磁盘数据保护区和磁盘状态修改日志;
步骤33、逐项读取磁盘状态修改日志;
步骤34、将磁盘数据保护区中的对应磁盘状态修改日志当前项记录的数据覆盖到磁盘分区中;
步骤35、检查是否所选定磁盘状态修改日志中全部项都处理完成,是则执行步骤35,否则重新执行步骤33;
步骤36、清空该磁盘状态修改日志;
步骤37、重新启动对系统状态修改的实时监控;
还原完成。
如果计算机系统仅仅具有一个还原点,则无需步骤32的选择过程,直接根据磁盘状态修改日志,将当前磁盘数据保护区中的数据逐一覆盖到磁盘分区的对应地址即可。即本发明所提供方法中进行计算机系统状态值还原的另一个实施例包括:停止实时监控;根据磁盘状态修改日志,将当前磁盘数据保护区中的数据逐一覆盖到磁盘分区的对应地址;启动实时监控。
综上所述,本发明所提供的计算机安全防护方法不依赖于操作系统类型,也不依赖于操作系统软件提供商,而是在现有的计算机安全技术的基础上,与计算机系统状态保存与还原技术进行结合,能够通用于任何类型和品牌的计算机系统,简单可靠。同时,不是针对某一个恶意程序加以移除,能够有效地实现对顽固的恶意程序的彻底清除。
参见图5,为本发明所提供的计算机安全防护工具一个实施例的框图,包括安全检测模块A和保存/还原模块B,其中保存/还原模块B,与所述安全检测模块A连接,用于在未检测到恶意程序的情况下进行计算机系统状态保存;以及在检测到恶意程序的情况下,还原已保存的系统状态。
上述计算机安全防护工具可以应用于任何计算机操作系统中,比如Unix,Linux,Window等等,我们仅以在微软的Windows操作系统中的实施为例。
在Windows操作系统中安装一个安全检测模块A。该安全检测模块A是专门用来检测恶意程序的检测模块,它可以根据恶意程序的特征码来从计算机系统中检测出已知的恶意程序,也可以根据恶意程序的行为特征来检测未知的恶意程序。安全检测模块A可以检测各种恶意程序,如病毒,蠕虫,垃圾邮件,木马软件,间谍软件,广告软件,网络钓鱼软件等。
安全检测模块A可以按照多种方式来运行,比如,安全检测模块可以实时运行,具体的做法可以是将安全检测模块A安装到Windows操作系统之中,然后在Windows的启动项中添加自动运行的标记,这样,安全检测模块A即可随着Windows的启动而被Windows的加载程序自动加载运行;安全检测模块A还可以根据预设的时间被Windows自动加载运行;另外,计算机用户也可以手工的启动安全检测模块A来进行对计算机系统的安全检测。
安全检测模块A在运行时,它可以检测到当前计算机系统中符合恶意软件特征的已知或者未知恶意程序。对于在安全检测之后发现计算机系统中没有恶意程序的情况,安全检测模块A可以建议用户或者自动的向保存/还原模块B发出指令,使保存/还原模块B执行将当前的安全的、健康的计算机系统状态保存起来的操作;对于安全检测之后发现了计算机系统中存在恶意程序,安全检测模块A则建议用户或者自动的向保存/还原模块B发出指令,使保存/还原模块B执行将计算机系统还原到以前保存的安全的、健康的计算机系统状态,从而彻底的从计算机系统中清除恶意程序。
保存/还原模块B用于保存健康可靠的计算机系统状态,并且当安全检测模块A检测到计算机系统被恶意软件攻击和驻留时,安全检测模块A调用保存/还原模块B中的还原功能,将计算机系统还原到以前保存的健康可靠的状态。能够实现保存/还原模块B功能的技术和产品有很多种,比如Ghost,Windows系统自带的系统还原等,均可用于保存计算机系统状态和还原计算机系统状态。在本发明中,保存/还原模块B具体采用何种机制,并不对本发明的效果产生影响。
参见图6,为本发明所提供的计算机安全防护工具另一个实施例的框图,给出了较佳的保存/还原结构,包括:安全检测模块A和保存/还原模块B,为了增加所保存的计算机系统状态值的安全性,所述保存/还原模块B与磁盘数据保护区C连接,用于写入磁盘分区被修改地址的原有数据;所述磁盘数据保护区独立于计算机系统磁盘分区,包括一个或者多个区域,其中一个为当前磁盘数据保护区C1(图中未示),即当前磁盘数据保护区C1为磁盘数据保护区C或者为磁盘数据保护区C的一部分。为了叙述方便,对当前磁盘数据保护区C1和磁盘数据保护区C其他区域的操作都标识为对磁盘数据保护区C的操作。
其中,对于安全检测模块A,具体包括:
特征码单元A1,用于保存、更新已知恶意程序的特征码;
特征行为序列单元A2,用于保存、更新未知恶意程序的特征行为序列;
扫描匹配单元A3,分别与所述特征码单元A1和所述特征行为序列单元A2连接,用于对计算机系统进行扫描,并将每一被扫描对象与所述特征码单元A1和所述特征行为序列单元A2中数据的匹配或者不匹配结果发送给所述保存/还原模块B。
对于保存/还原模块B,具体包括系统状态监控单元B1,与所述磁盘数据保护区C连接,用于实时监控对计算机系统磁盘分区的任一修改,提取所述磁盘分区被修改地址的原有数据写入当前磁盘数据保护区C,并在当前磁盘状态修改日志B2中记录磁盘分区修改信息;在本实施例中,其功能具体包括实时监控计算机系统存储设备的状态变化,并拦截对已经设置写保护的区域的数据修改;对于在非写保护区域进行的任一修改,于进行修改之前,将被修改区域原有的数据备份到当前磁盘数据保护区C中,并在磁盘状态修改日志单元B2中记录其变化。
磁盘状态修改日志单元B2,与所述系统状态监控单元B1连接,用于保存与所述磁盘数据保护区C对应的磁盘状态修改日志;并在与当前磁盘数据保护区C对应的磁盘状态修改日志中记录磁盘分区修改信息,作为还原所保存的系统状态的根据;
状态保存单元B3,分别与安全检测模块A、系统状态监控单元B1、磁盘状态修改日志单元B2、磁盘数据保护区C连接,用于进行计算机系统状态值的保存;具体为根据所述安全检测模块A发送的不匹配结果,停止和启动所述系统状态监控单元B1的实时监控,并设置或者清空当前磁盘数据保护区C和对应的磁盘状态修改日志,实现计算机系统状态保存;其中,设置所指为重新设置空的磁盘数据保护区和对应的磁盘状态修改日志,并作为当前磁盘数据保护区和对应的磁盘状态修改日志。
状态还原单元B4,分别与安全检测模块A、系统状态监控单元B1、磁盘状态修改日志单元B2、磁盘数据保护区C连接,用于进行计算机系统状态值的还原;具体为根据安全检测模块A发送的匹配结果,停止和启动所述系统状态监控单元B1的实时监控,并根据对应的磁盘状态修改日志,将当前或者所选择磁盘数据保护区C中的数据逐一覆盖到磁盘分区的对应地址,实现计算机系统状态的还原。
如图7所示,为状态保存单元B3被安全检测模块A调用时的示意图,包括:安全检测模块A(也可以是用户或者其他模块)调用保存/还原模块B的状态保存单元B3时,状态保存单元B3先通知系统状态监控单元B1暂停对系统的监控;然后清除磁盘数据保护区C中的数据,并清空磁盘状态修改日志B2;最后,状态保存单元B3通知系统状态监控单元B1重新启动对系统的监控,到此为止,计算机系统状态保存的流程完毕。
如图8所示,为状态还原单元B4被安全检测模块A调用时的示意图,包括:安全检测模块A(也可以是用户或者其他模块)调用保存/还原模块B的状态还原单元B4时,状态还原单元B4先通知系统状态监控单元B1暂停对系统的监控;然后根据磁盘状态修改日志B2中的记录将磁盘数据保护区C中的数据还原到原始位置,然后清除磁盘数据保护区C中的数据,并清空磁盘状态修改日志B2;最后,状态还原单元B4通知系统状态监控单元B1重新启动对系统的监控,到此为止,通过将计算机系统状态还原到以前保存的安全、健康状态来实现对恶意程序清理的流程完毕。
综上所述,本发明所提供的计算机安全防护工具不依赖于操作系统类型,也不依赖于操作系统软件提供商,而是在现有的计算机安全技术的基础上,与计算机系统状态保存与还原技术进行结合,能够通用于任何类型和品牌的计算机系统,简单可靠。同时,不是针对某一个恶意程序加以移除,能够有效地实现对顽固的恶意程序的彻底清除。
最后所应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范围。
Claims (12)
1.一种计算机安全防护方法,包括启动对计算机系统的安全检测;其特征在于还包括以下步骤:
对于未检测到恶意程序的情况,进行计算机系统状态保存;对于检测到恶意程序的情况,还原已保存的系统状态。
2.根据权利要求1所述的计算机安全防护方法,其特征在于对计算机系统进行安全检测之前,还包括:
实时监控并暂停对计算机系统磁盘分区的任一修改;
提取所述磁盘分区被修改地址的原有数据并写入当前磁盘数据保护区,并在与当前磁盘数据保护区对应的磁盘状态修改日志中记录磁盘分区修改信息;
对所述磁盘分区执行所述修改。
3.根据权利要求2所述的计算机安全防护方法,其特征在于进行计算机系统状态保存具体为:
停止实时监控;
清空当前磁盘数据保护区中的数据和对应的磁盘状态修改日志的记录;
启动实时监控。
4.根据权利要求2所述的计算机安全防护方法,其特征在于进行计算机系统状态保存具体为:
停止实时监控;
新建空的磁盘状态修改日志和磁盘数据保护区,并设置为当前磁盘数据保护区和对应的磁盘状态修改日志;
启动实时监控。
5.根据权利要求2所述的计算机安全防护方法,其特征在于还原已保存的系统状态具体为:
停止实时监控;
根据磁盘状态修改日志,将当前磁盘数据保护区中的数据逐一覆盖到磁盘分区的对应地址;
启动实时监控。
6.根据权利要求2所述的计算机安全防护方法,其特征在于还原已保存的系统状态具体为:
停止实时监控;
进行磁盘数据保护区的选择;
根据对应的磁盘状态修改日志,将所选择的磁盘数据保护区中的数据逐一覆盖到磁盘分区的对应地址;
启动实时监控。
7.根据权利要求1-6任一所述的计算机安全防护方法,其特征在于实时、达到预设时刻和/或手动触发时,对计算机系统进行安全检测。
8.根据权利要求1-6任一所述的计算机安全防护方法,其特征在于对计算机系统进行安全检测具体为:
扫描任一检测对象的特征码和特征行为序列,并将扫描结果与规则库中预存的恶意程序规则进行匹配。
9.一种计算机安全防护工具,包括安全检测模块,其特征在于还包括:
保存/还原模块,与所述安全检测模块连接,用于在未检测到恶意程序的情况下进行计算机系统状态保存;以及在检测到恶意程序的情况下,还原已保存的系统状态。
10.根据权利要求9所述的计算机安全防护工具,其特征在于所述安全检测模块包括:
特征码单元,用于保存、更新已知恶意程序的特征码;
特征行为序列单元,用于保存、更新未知恶意程序的特征行为序列;
扫描匹配单元,分别与所述特征码单元和所述特征行为序列单元连接,用于对计算机系统进行扫描,并将每一被扫描对象与所述特征码单元和所述特征行为序列单元中数据的匹配或者不匹配结果发送给所述保存/还原模块。
11.根据权利要求9或10所述的计算机安全防护工具,其特征在于所述保存/还原模块与磁盘数据保护区连接,用于写入磁盘分区被修改地址的原有数据;所述磁盘数据保护区独立于计算机系统磁盘分区,包括一个或者多个区域,其中一个为当前磁盘数据保护区。
12.根据权利要求11所述的计算机安全防护工具,其特征在于所述保存/还原模块包括:
系统状态监控单元,与所述磁盘数据保护区连接,用于实时监控对计算机系统磁盘分区的任一修改,提取所述磁盘分区被修改地址的原有数据写入当前磁盘数据保护区,并在当前磁盘状态修改日志中记录磁盘分区修改信息;
磁盘状态修改日志单元,与所述系统状态监控单元连接,用于保存与所述磁盘数据保护区对应的磁盘状态修改日志;并在与当前磁盘数据保护区对应的磁盘状态修改日志中记录磁盘分区修改信息,作为还原所保存的系统状态的根据;
状态保存单元,分别与安全检测模块、系统状态监控单元、磁盘状态修改日志单元、磁盘数据保护区连接,用于根据所述安全检测模块发送的不匹配结果,停止和启动所述系统状态监控单元的实时监控,并设置或者清空当前磁盘数据保护区和对应的磁盘状态修改日志,实现计算机系统状态保存;
状态还原单元,分别与安全检测模块、系统状态监控单元、磁盘状态修改日志单元、磁盘数据保护区连接,用于根据安全检测模块发送的匹配结果,停止和启动所述系统状态监控单元的实时监控,并根据对应的磁盘状态修改日志,将当前或者所选择磁盘数据保护区中的数据逐一覆盖到磁盘分区的对应地址,实现计算机系统状态的还原。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006101417031A CN101154253B (zh) | 2006-09-26 | 2006-09-26 | 计算机安全防护方法及计算机安全防护装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006101417031A CN101154253B (zh) | 2006-09-26 | 2006-09-26 | 计算机安全防护方法及计算机安全防护装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101154253A true CN101154253A (zh) | 2008-04-02 |
| CN101154253B CN101154253B (zh) | 2011-08-10 |
Family
ID=39255904
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006101417031A Expired - Fee Related CN101154253B (zh) | 2006-09-26 | 2006-09-26 | 计算机安全防护方法及计算机安全防护装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101154253B (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101950336A (zh) * | 2010-08-18 | 2011-01-19 | 奇智软件(北京)有限公司 | 一种清除恶意程序的方法和装置 |
| CN102012982A (zh) * | 2010-11-17 | 2011-04-13 | 许丽涛 | 一种保护智能设备安全运行的方法及装置 |
| CN102377753A (zh) * | 2010-08-19 | 2012-03-14 | 腾讯科技(深圳)有限公司 | 系统信息识别方法、装置和系统 |
| CN101571825B (zh) * | 2008-04-29 | 2012-11-21 | 联想(北京)有限公司 | 一种保存和扫描磁盘修改记录的方法和装置 |
| CN103065091A (zh) * | 2011-12-22 | 2013-04-24 | 微软公司 | 用恶意软件检测扩充系统还原 |
| CN103428212A (zh) * | 2013-08-08 | 2013-12-04 | 电子科技大学 | 一种恶意代码检测及防御的方法 |
| CN103957193A (zh) * | 2014-04-04 | 2014-07-30 | 华为技术有限公司 | 客户端、服务器和事件类型确定方法 |
| CN107168863A (zh) * | 2016-03-08 | 2017-09-15 | 展讯通信(天津)有限公司 | 用于移动终端系统的应用安全测试方法、装置及测试工具 |
| CN113282916A (zh) * | 2021-05-06 | 2021-08-20 | 广东电力信息科技有限公司 | 一种云安全服务实现方法和系统安全验证服务实现方法 |
| CN113434872A (zh) * | 2021-08-27 | 2021-09-24 | 迅管(深圳)科技有限公司 | 一种可针对恶意程序进行识别防御的数据库安全系统 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7188368B2 (en) * | 2001-05-25 | 2007-03-06 | Lenovo (Singapore) Pte. Ltd. | Method and apparatus for repairing damage to a computer system using a system rollback mechanism |
| JP2004361994A (ja) * | 2003-05-30 | 2004-12-24 | Toshiba Corp | データ管理装置、データ管理方法及びプログラム |
| CN100489728C (zh) * | 2004-12-02 | 2009-05-20 | 联想(北京)有限公司 | 一种建立计算机中可信任运行环境的方法 |
-
2006
- 2006-09-26 CN CN2006101417031A patent/CN101154253B/zh not_active Expired - Fee Related
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101571825B (zh) * | 2008-04-29 | 2012-11-21 | 联想(北京)有限公司 | 一种保存和扫描磁盘修改记录的方法和装置 |
| CN101950336B (zh) * | 2010-08-18 | 2015-08-26 | 北京奇虎科技有限公司 | 一种清除恶意程序的方法和装置 |
| CN101950336A (zh) * | 2010-08-18 | 2011-01-19 | 奇智软件(北京)有限公司 | 一种清除恶意程序的方法和装置 |
| CN102377753A (zh) * | 2010-08-19 | 2012-03-14 | 腾讯科技(深圳)有限公司 | 系统信息识别方法、装置和系统 |
| CN102012982A (zh) * | 2010-11-17 | 2011-04-13 | 许丽涛 | 一种保护智能设备安全运行的方法及装置 |
| US9613209B2 (en) | 2011-12-22 | 2017-04-04 | Microsoft Technology Licensing, Llc. | Augmenting system restore with malware detection |
| CN103065091B (zh) * | 2011-12-22 | 2016-03-09 | 微软技术许可有限责任公司 | 用恶意软件检测扩充系统还原 |
| CN103065091A (zh) * | 2011-12-22 | 2013-04-24 | 微软公司 | 用恶意软件检测扩充系统还原 |
| CN103428212A (zh) * | 2013-08-08 | 2013-12-04 | 电子科技大学 | 一种恶意代码检测及防御的方法 |
| CN103957193A (zh) * | 2014-04-04 | 2014-07-30 | 华为技术有限公司 | 客户端、服务器和事件类型确定方法 |
| CN107168863A (zh) * | 2016-03-08 | 2017-09-15 | 展讯通信(天津)有限公司 | 用于移动终端系统的应用安全测试方法、装置及测试工具 |
| CN113282916A (zh) * | 2021-05-06 | 2021-08-20 | 广东电力信息科技有限公司 | 一种云安全服务实现方法和系统安全验证服务实现方法 |
| CN113434872A (zh) * | 2021-08-27 | 2021-09-24 | 迅管(深圳)科技有限公司 | 一种可针对恶意程序进行识别防御的数据库安全系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101154253B (zh) | 2011-08-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101154253B (zh) | 计算机安全防护方法及计算机安全防护装置 | |
| EP1751649B1 (en) | Systems and method for computer security | |
| US8161552B1 (en) | White list creation in behavior monitoring system | |
| US8261344B2 (en) | Method and system for classification of software using characteristics and combinations of such characteristics | |
| US8719935B2 (en) | Mitigating false positives in malware detection | |
| CN101350054B (zh) | 计算机有害程序自动防护方法及装置 | |
| US8782791B2 (en) | Computer virus detection systems and methods | |
| US8739285B1 (en) | Differential virus scan | |
| RU2487405C1 (ru) | Система и способ для исправления антивирусных записей | |
| US20120017276A1 (en) | System and method of identifying and removing malware on a computer system | |
| US20140053267A1 (en) | Method for identifying malicious executables | |
| CN102024114B (zh) | 基于统一可扩展固定接口的恶意代码防范方法 | |
| EP2637121A1 (en) | A method for detecting and removing malware | |
| WO2007056933A1 (fr) | Procede pour identifier des virus inconnus et les supprimer | |
| JPH10501354A (ja) | コンピュータ・ウィルス・トラップ装置 | |
| RU2628921C1 (ru) | Система и способ выполнения антивирусной проверки файла на виртуальной машине | |
| US20120030766A1 (en) | Method and system for defining a safe storage area for use in recovering a computer system | |
| US9251350B2 (en) | Trusted operating environment for malware detection | |
| US20100071064A1 (en) | Apparatus, systems, and methods for content selfscanning in a storage system | |
| KR101580624B1 (ko) | 벌점기반의 알려지지 않은 악성코드 탐지 및 대응 방법 | |
| CN115840940A (zh) | 一种无文件木马检测方法、系统、介质及设备 | |
| RU96267U1 (ru) | Система пополнения антивирусных баз при обнаружении неизвестных вредоносных компонент | |
| CN103679024A (zh) | 病毒的处理方法及设备 | |
| CN104834861B (zh) | 木马的查杀方法和装置 | |
| RU2468427C1 (ru) | Система и способ защиты компьютерной системы от активности вредоносных объектов |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20200916 Address after: Room 13143, building 21 (22), No. 1692 Xinghu Avenue, Nantong Development Zone, Jiangsu Province 226000 Patentee after: NANTONG JINGXI INFORMATION TECHNOLOGY Co.,Ltd. Address before: 100085, Beijing, Haidian District, East Road, No. 5-2, Beijing, Mongolia hi tech building, B floor Patentee before: Star Softcomm Pte. Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110810 |