CN102208002A - 一种新型计算机病毒查杀装置 - Google Patents
一种新型计算机病毒查杀装置 Download PDFInfo
- Publication number
- CN102208002A CN102208002A CN2011101540319A CN201110154031A CN102208002A CN 102208002 A CN102208002 A CN 102208002A CN 2011101540319 A CN2011101540319 A CN 2011101540319A CN 201110154031 A CN201110154031 A CN 201110154031A CN 102208002 A CN102208002 A CN 102208002A
- Authority
- CN
- China
- Prior art keywords
- virus
- killing
- module
- scanning engine
- layer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Measuring Or Testing Involving Enzymes Or Micro-Organisms (AREA)
- Storage Device Security (AREA)
Abstract
本发明的新型计算机病毒查杀装置包括杀毒模块和病毒扫描引擎模块,特别地,杀毒模块置于计算机系统的固件层内,病毒扫描引擎模块置于计算机系统的硬件层内。病毒扫描引擎模块,用于对计算机系统中的固件层、操作系统层、应用层、网络层进行病毒扫描,并将病毒扫描结果发送至杀毒模块。杀毒模块,用于依据病毒扫描结果进行杀毒处理。本发明技术方案就解决了杀毒引擎自身被感染的问题,从而可有效的扩大病毒查杀范围,提高杀毒软件的查杀效率,解决杀毒软件无法查杀固件(BIOS)、操作系统内核病毒的问题。
Description
技术领域
本发明涉及计算机病毒的防治技术,尤其涉及一种新型的计算机病毒查杀装置。
背景技术
随着计算机应用的日益普及,计算机已经深入到人们日常的生活和工作中,而在计算机为人们提供便利的同时,随之而来的计算机病毒却在一定程度上影响着计算机自身、甚至使用者的利益。
病毒或者木马都是一段特殊代码,根据其特性,为了有效遏止其危害,逐步产生了杀毒技术及杀毒软件。由于病毒都具有潜伏伪装能力,通常状况下不会发作,很难被发现。如何识别病毒是杀毒技术的核心问题及难点所在。常规方法为启动一套杀毒软件,杀毒软件内配有一个病毒扫描引擎,该扫描引擎负责将待检查内容按照一定方式(按文件、按扇区等)进行扫描,判断目标内容(待杀毒内容)中是否包含病毒。
当前杀毒技术将杀毒主程序和病毒扫描引擎做在一起,都采用软件实现。且杀毒程序一般安装存储于计算机系统的操作系统层和应用层之间(介于操作系统内核之上),一般运行于操作系统之上。这样杀毒主程序即有可能遭受计算机系统中的硬件层级的攻击、固件层级的攻击、操作系统层级的攻击、网络层级的攻击等。而病毒扫描引擎存在于杀毒主程序中,可能会遭受硬件层级的攻击、固件层级的攻击、操作系统层级攻击、网络层级攻击等。当前技术中的病毒查杀范围包括:部分操作系统内容(不包括操作系统内核)、应用层应用、网络层。现有的病毒查杀装置还不能实现对操作系统内核的病毒扫描,且病毒查杀范围也较小,无法保证操作系统层以下层级的安全。
此外,病毒扫描引擎是整个杀毒软件的核心所在,同时病毒扫描引擎本身也是一段软件程序,软件本身就存在被病毒感染的风险。若病毒扫描引擎被感染则无法有效的发挥杀毒软件应有的功效。而若将病毒扫描引擎做成硬件的形式,则其将无法被病毒等软件感染和篡改,因而能有效避免杀毒软件本身被病毒感染的风险。
发明内容
本发明的目的在于提供一种可扩大病毒查杀范围、提高病毒查杀效率的新型计算机病毒查杀装置。
本发明解决上述技术问题的技术方案如下:
一种新型计算机病毒查杀装置,包括杀毒模块和病毒扫描引擎模块,特别地,所述杀毒模块置于计算机系统的固件层内,所述病毒扫描引擎模块置于计算机系统的硬件层内;
所述病毒扫描引擎模块,用于对计算机系统中的固件层、操作系统层、应用层、网络层进行病毒扫描,并将病毒扫描结果发送至所述杀毒模块;
所述杀毒模块,用于依据所述病毒扫描结果进行杀毒处理。
进一步地,所述杀毒模块进行的杀毒处理包括清除计算机病毒、以及杀毒前的错误恢复工作。
进一步地,所述固件层为基本输入输出系统和/或可扩展固定接口。
进一步地,所述病毒扫描引擎模块为可信密码模块,该可信密码模块包括病毒扫描引擎单元、微处理器以及输入输出接口单元;其中,
所述病毒扫描引擎单元分别与所述微处理器以及输入输出接口单元相连;
所述病毒扫描引擎单元接收所述杀毒模块通过所述输入输出接口单元发送的病毒扫描目标及病毒库信息,并判断所述病毒扫描目标是否被计算机病毒感染。
进一步地,所述病毒扫描引擎单元设有与所述输入输出接口单元相连的扫描目标输入接口、病毒库输入接口、引擎操作接口、反馈输出接口;
所述扫描目标输入接口,用于接收所述杀毒模块发送的病毒扫描目标;
所述病毒库输入接口,用于接收所述杀毒模块发送的病毒库信息;
所述引擎操作接口,用于接收所述杀毒模块发送的触发信号,控制本病毒扫描引擎单元启动病毒扫描工作;
所述反馈输出接口,用于将病毒扫描结果发送至所述杀毒模块。
进一步地,所述病毒扫描目标为文件、可执行代码、二进制数据中的一项或多项。
本发明的有益效果是:
1.将杀毒模块集成到固件层中,这就可大大提升杀毒主程序调用硬件形式病毒扫描引擎的效率。此外,将病毒扫描引擎模块集成在硬件层,实现了硬件形式的病毒扫描引擎,这就可避免病毒扫描引擎被感染而导致其无法有效查毒的缺陷。也就大大增加了杀毒主程序以及病毒扫描引擎被病毒攻击的难度,减小了可能遭受病毒攻击的范围。
2.本发明技术方案将查杀病毒的范围扩大到固件层、操作系统层(包括操作系统内核)、应用层以及网络层。这就可针对操作系统内核中毒,或者针对操作系统级别的安全威胁具有显著的杀毒效果。
3.因为在固件层直接读写磁盘Block,故不存在病毒文件不能被删除的可能,同时对于固件层杀毒也十分有效。
4.本发明的计算机病毒查杀装置就可直接采用操作系统下的病毒库作为判断目标是否感染病毒的依据,而无需单独实现病毒库。
附图说明
图1为本发明计算机病毒查杀装置在计算机系统内的分布示意图;
图2为本发明中的病毒扫描引擎模块的构成示意图。
具体实施方式
以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。
一种新型计算机病毒查杀装置,包括杀毒模块1和病毒扫描引擎模块2,计算机系统包括硬件层10、固件层20、操作系统层30、应用层40、网络层50,参见图1,本发明计算机病毒查杀装置中的杀毒模块1置于固件层20的基本输入输出系统BIOS/可扩展固定接口UEFI中;病毒扫描引擎模块2置于硬件层10内。
杀毒模块1解析待扫描目标,并调用病毒扫描引擎模块2,由病毒扫描引擎模块2对计算机系统中的固件层20、操作系统层30、应用层40、网络层50进行病毒扫描,并将病毒扫描结果发送至杀毒模块1。由杀毒模块1依据病毒扫描结果进行杀毒处理。进一步地,杀毒模块1进行的杀毒处理可以包括清除计算机病毒、以及杀毒前的错误恢复工作。
因为实现硬件形式的病毒扫描引擎模块2就需要搭建一个需要微处理器、存储器、I/O控制器等基本部件的最小系统,为了降低病毒扫描引擎模块2的成本造价,如图2所示,本发明中的病毒扫描引擎模块2为包含病毒扫描引擎单元22的可信密码模块,即在现有的TCM模块内增设一个用于查毒的病毒扫描引擎单元22。该病毒扫描引擎单元22分别与TCM模块内的微处理器23以及输入输出接口单元21相连。杀毒模块1通过输入输出接口单元21向病毒扫描引擎单元22发送的病毒扫描目标及病毒库信息,并判断该病毒扫描目标是否被计算机病毒感染。
进一步地,病毒扫描引擎单元22上设有与输入输出接口单元21相连的扫描目标输入接口、病毒库输入接口、引擎操作接口、反馈输出接口。其中,扫描目标输入接口,用于接收杀毒模块1发送的病毒扫描目标。病毒库输入接口,用于接收杀毒模块1发送的病毒库信息。引擎操作接口,用于接收杀毒模块1发送的触发信号,控制本病毒扫描引擎单元22启动病毒扫描工作。反馈输出接口,用于将病毒扫描结果发送至杀毒模块1。病毒扫描引擎单元22的四个接口均与输入输出接口单元21相连,即可实现数据的接收与发送。
下面对本发明计算机病毒查杀装置的工作过程进行简单介绍。
在UEFI启动时将系统执行权移交给杀毒软件主程序。杀毒模块1首先解析固件层20、操作系统层30、应用层40、网络层50中的一个或多个区发送的病毒扫描目标;并将解析完的病毒扫描目标发送至病毒扫描引擎模块2。其中,病毒扫描目标可为文件、可执行代码、二进制数据中的一项或多项。
其次,杀毒模块1调用病毒库信息,本发明的病毒库信息可以直接采用操作系统下的病毒库,并将病毒库信息发送至病毒扫描引擎模块2。
接着,杀毒模块1向病毒扫描引擎模块2发送触发信号,病毒扫描引擎模块2在触发信号的作用下启动病毒扫描工作,并调用微处理器23的内存资源完成查毒工作。
最后,病毒扫描引擎模块2通过反馈输出接口将病毒扫描结果发送至杀毒模块1,由杀毒模块1完成病毒处理工作。同时杀毒模块1还可将病毒扫描结果以及处理结果发送至人机交互界面显示,进而通过人机交互界面将本次查杀病毒的结果反馈给用户。
在完成上述病毒查杀工作之后,杀毒模块1将系统控制权重新移交给UEFI,并由UEFI固件负责正常的系统引导。
计算机启动过程中,最初执行的代码都在BIOS中保存,也就是说BIOS具有最优先的运行权力。直接和硬件交互,就有最高的运行权限。从BIOS阶段开始杀毒可以获得更多软硬件资源,大大提高查杀范围和效率。将具有病毒扫描引擎单元22的TCM、BIOS固件、杀毒模块1等各方资源的结合起来形成本发明的新型计算机病毒查杀装置。就解决杀毒引擎自身被感染的问题,从而可有效的扩大病毒查杀范围,提高杀毒软件的查杀效率,解决杀毒软件无法查杀操作系统内核病毒的问题。
病毒扫描引擎模块2可采用多种查毒判定方法,例如特征值扫描法(又叫特征代码法)、校验和法、行为检测法等。下面以特征值扫描法为例进行简单介绍。
一方面,需要采集已知病毒的样本,抽取病毒的特征代码,建立特征代码病毒库。抽取的特征代码要有适当长度,一方面是为了维持特征代码的唯一性,另一方面是使得特征代码不至于有太大的空间与时间的开销。进一步地,在保持特征代码唯一性的前提下,为了减少空间与时间开销,还要使得特征代码的长度要尽量短。
另一方面,病毒扫描引擎模块2读入病毒扫描目标,病毒扫描引擎模块2根据病毒库信息,在病毒扫描目标中搜索病毒数据库中的病毒特征代码串或者病毒特征字。如果在病毒扫描目标中发现病毒特征代码,由于特征代码与病毒一一对应,便可以断定被查目标已感染病毒,以及被何种病毒所感染。
上述的特征值扫描法具有检测准确快速、误报警率低等优点,同时还可识别病毒的名称,因此便可依据检测结果进行杀毒处理。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (6)
1.一种新型计算机病毒查杀装置,包括杀毒模块和病毒扫描引擎模块,其特征在于,
所述杀毒模块置于计算机系统的固件层内,所述病毒扫描引擎模块置于计算机系统的硬件层内;
所述病毒扫描引擎模块,用于对计算机系统中的固件层、操作系统层、应用层、网络层进行病毒扫描,并将病毒扫描结果发送至所述杀毒模块;
所述杀毒模块,用于依据所述病毒扫描结果进行杀毒处理。
2.按照权利要求1所述的新型计算机病毒查杀装置,其特征在于,
所述杀毒模块进行的杀毒处理包括清除计算机病毒、以及杀毒前的错误恢复工作。
3.按照权利要求1或2所述的新型计算机病毒查杀装置,其特征在于,所述固件层为基本输入输出系统和/或可扩展固定接口。
4.按照权利要求1或2所述的新型计算机病毒查杀装置,其特征在于,所述病毒扫描引擎模块为可信密码模块,该可信密码模块包括病毒扫描引擎单元、微处理器以及输入输出接口单元;其中,
所述病毒扫描引擎单元分别与所述微处理器以及输入输出接口单元相连;
所述病毒扫描引擎单元接收所述杀毒模块通过所述输入输出接口单元发送的病毒扫描目标及病毒库信息,并判断所述病毒扫描目标是否被计算机病毒感染。
5.按照权利要求4所述的新型计算机病毒查杀装置,其特征在于,
所述病毒扫描引擎单元设有与所述输入输出接口单元相连的扫描目标输入接口、病毒库输入接口、引擎操作接口、反馈输出接口;
所述扫描目标输入接口,用于接收所述杀毒模块发送的病毒扫描目标;
所述病毒库输入接口,用于接收所述杀毒模块发送的病毒库信息;
所述引擎操作接口,用于接收所述杀毒模块发送的触发信号,控制本病毒扫描引擎单元启动病毒扫描工作;
所述反馈输出接口,用于将病毒扫描结果发送至所述杀毒模块。
6.按照权利要求4所述的新型计算机病毒查杀装置,其特征在于,
所述病毒扫描目标为文件、可执行代码、二进制数据中的一项或多项。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110154031.9A CN102208002B (zh) | 2011-06-09 | 2011-06-09 | 一种新型计算机病毒查杀装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110154031.9A CN102208002B (zh) | 2011-06-09 | 2011-06-09 | 一种新型计算机病毒查杀装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102208002A true CN102208002A (zh) | 2011-10-05 |
CN102208002B CN102208002B (zh) | 2015-03-04 |
Family
ID=44696830
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201110154031.9A Active CN102208002B (zh) | 2011-06-09 | 2011-06-09 | 一种新型计算机病毒查杀装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102208002B (zh) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102902921A (zh) * | 2012-09-18 | 2013-01-30 | 北京奇虎科技有限公司 | 一种检测和清除计算机病毒的方法和装置 |
CN103778369A (zh) * | 2012-10-17 | 2014-05-07 | 腾讯科技(深圳)有限公司 | 防止病毒文件对用户设备进行非法操作的装置及方法 |
CN103996005A (zh) * | 2014-06-05 | 2014-08-20 | 四川九成信息技术有限公司 | 一种终端设备启动的监测方法 |
CN104573511A (zh) * | 2013-10-15 | 2015-04-29 | 联想(北京)有限公司 | 一种查杀内核型病毒的方法及系统 |
CN105468969A (zh) * | 2015-11-19 | 2016-04-06 | 中科创达软件股份有限公司 | 一种提升杀毒应用程序安全性的方法及系统 |
CN106529290A (zh) * | 2016-10-11 | 2017-03-22 | 北京金山安全软件有限公司 | 一种恶意软件防护方法、装置以及电子设备 |
CN107358102A (zh) * | 2017-07-14 | 2017-11-17 | 合肥执念网络科技有限公司 | 一种基于计算机的病毒查杀系统 |
CN111967004A (zh) * | 2020-07-31 | 2020-11-20 | 深圳比特微电子科技有限公司 | 数字货币矿机的病毒扫描方法、装置和数字货币矿机 |
CN113205401A (zh) * | 2021-05-27 | 2021-08-03 | 则思科技(苏州)有限公司 | 一种大数据军工企业智慧管理平台使用方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN200972654Y (zh) * | 2006-10-18 | 2007-11-07 | 何华科技股份有限公司 | 通用接口解毒装置 |
CN101714197A (zh) * | 2008-09-30 | 2010-05-26 | 英特尔公司 | 基于硬件的反病毒扫描服务 |
CN101795267A (zh) * | 2009-12-30 | 2010-08-04 | 成都市华为赛门铁克科技有限公司 | 病毒检测方法、装置和网关设备 |
CN101901308A (zh) * | 2009-05-27 | 2010-12-01 | 同方股份有限公司 | 一种计算机杀毒软件的使用方法 |
-
2011
- 2011-06-09 CN CN201110154031.9A patent/CN102208002B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN200972654Y (zh) * | 2006-10-18 | 2007-11-07 | 何华科技股份有限公司 | 通用接口解毒装置 |
CN101714197A (zh) * | 2008-09-30 | 2010-05-26 | 英特尔公司 | 基于硬件的反病毒扫描服务 |
CN101901308A (zh) * | 2009-05-27 | 2010-12-01 | 同方股份有限公司 | 一种计算机杀毒软件的使用方法 |
CN101795267A (zh) * | 2009-12-30 | 2010-08-04 | 成都市华为赛门铁克科技有限公司 | 病毒检测方法、装置和网关设备 |
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102902921B (zh) * | 2012-09-18 | 2015-11-25 | 北京奇虎科技有限公司 | 一种检测和清除计算机病毒的方法和装置 |
WO2014044187A3 (zh) * | 2012-09-18 | 2014-05-22 | 北京奇虎科技有限公司 | 一种检测和清除计算机病毒的方法和装置 |
CN102902921A (zh) * | 2012-09-18 | 2013-01-30 | 北京奇虎科技有限公司 | 一种检测和清除计算机病毒的方法和装置 |
WO2014044187A2 (zh) * | 2012-09-18 | 2014-03-27 | 北京奇虎科技有限公司 | 一种检测和清除计算机病毒的方法和装置 |
CN103778369B (zh) * | 2012-10-17 | 2016-12-21 | 腾讯科技(深圳)有限公司 | 防止病毒文件对用户设备进行非法操作的装置及方法 |
CN103778369A (zh) * | 2012-10-17 | 2014-05-07 | 腾讯科技(深圳)有限公司 | 防止病毒文件对用户设备进行非法操作的装置及方法 |
CN104573511A (zh) * | 2013-10-15 | 2015-04-29 | 联想(北京)有限公司 | 一种查杀内核型病毒的方法及系统 |
CN103996005A (zh) * | 2014-06-05 | 2014-08-20 | 四川九成信息技术有限公司 | 一种终端设备启动的监测方法 |
CN105468969A (zh) * | 2015-11-19 | 2016-04-06 | 中科创达软件股份有限公司 | 一种提升杀毒应用程序安全性的方法及系统 |
CN106529290A (zh) * | 2016-10-11 | 2017-03-22 | 北京金山安全软件有限公司 | 一种恶意软件防护方法、装置以及电子设备 |
CN106529290B (zh) * | 2016-10-11 | 2020-02-18 | 北京金山安全软件有限公司 | 一种恶意软件防护方法、装置以及电子设备 |
CN107358102A (zh) * | 2017-07-14 | 2017-11-17 | 合肥执念网络科技有限公司 | 一种基于计算机的病毒查杀系统 |
CN111967004A (zh) * | 2020-07-31 | 2020-11-20 | 深圳比特微电子科技有限公司 | 数字货币矿机的病毒扫描方法、装置和数字货币矿机 |
CN111967004B (zh) * | 2020-07-31 | 2021-06-04 | 深圳比特微电子科技有限公司 | 数字货币矿机的病毒扫描方法、装置和数字货币矿机 |
CN113205401A (zh) * | 2021-05-27 | 2021-08-03 | 则思科技(苏州)有限公司 | 一种大数据军工企业智慧管理平台使用方法 |
Also Published As
Publication number | Publication date |
---|---|
CN102208002B (zh) | 2015-03-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102208002A (zh) | 一种新型计算机病毒查杀装置 | |
US10872151B1 (en) | System and method for triggering analysis of an object for malware in response to modification of that object | |
US10657251B1 (en) | Multistage system and method for analyzing obfuscated content for malware | |
US10581879B1 (en) | Enhanced malware detection for generated objects | |
KR101574652B1 (ko) | 모바일 침해사고 분석시스템 및 방법 | |
JP5326062B1 (ja) | 非実行ファイル検査装置及び方法 | |
Liu et al. | A novel approach for detecting browser-based silent miner | |
US9135443B2 (en) | Identifying malicious threads | |
RU2487405C1 (ru) | Система и способ для исправления антивирусных записей | |
CN102622543B (zh) | 一种动态检测恶意网页脚本的方法和装置 | |
CN101826139B (zh) | 一种非可执行文件挂马检测方法及其装置 | |
CN109586282B (zh) | 一种电网未知威胁检测系统及方法 | |
RU2726032C2 (ru) | Системы и способы обнаружения вредоносных программ с алгоритмом генерации доменов (dga) | |
RU2723665C1 (ru) | Динамический индикатор репутации для оптимизации операций по обеспечению компьютерной безопасности | |
CN103473501A (zh) | 一种基于云安全的恶意软件追踪方法 | |
CN112084497A (zh) | 嵌入式Linux系统恶意程序检测方法及装置 | |
CN103049695A (zh) | 一种计算机病毒的监控方法和装置 | |
CN103218561A (zh) | 一种保护浏览器的防篡改方法和装置 | |
US11916937B2 (en) | System and method for information gain for malware detection | |
CN105791250B (zh) | 应用程序检测方法及装置 | |
CN115840940A (zh) | 一种无文件木马检测方法、系统、介质及设备 | |
Bhat et al. | CogramDroid–An approach towards malware detection in Android using opcode ngrams | |
CN103593614B (zh) | 一种未知病毒检索方法 | |
US20150007324A1 (en) | System and method for antivirus protection | |
CN109063479A (zh) | 一种木马感染终端的网络定位方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |