CN102737203B - 一种基于程序父子基因关系的病毒防御方法及系统 - Google Patents

一种基于程序父子基因关系的病毒防御方法及系统 Download PDF

Info

Publication number
CN102737203B
CN102737203B CN201210244724.1A CN201210244724A CN102737203B CN 102737203 B CN102737203 B CN 102737203B CN 201210244724 A CN201210244724 A CN 201210244724A CN 102737203 B CN102737203 B CN 102737203B
Authority
CN
China
Prior art keywords
file
grey
attribute
security attribute
son
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201210244724.1A
Other languages
English (en)
Other versions
CN102737203A (zh
Inventor
杨振辉
苏文杰
祁伟
孙明焱
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhuhai Baoqu Technology Co Ltd
Original Assignee
Beijing Kingsoft Internet Security Software Co Ltd
Shell Internet Beijing Security Technology Co Ltd
Zhuhai Juntian Electronic Technology Co Ltd
Beijing Kingsoft Internet Science and Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Kingsoft Internet Security Software Co Ltd, Shell Internet Beijing Security Technology Co Ltd, Zhuhai Juntian Electronic Technology Co Ltd, Beijing Kingsoft Internet Science and Technology Co Ltd filed Critical Beijing Kingsoft Internet Security Software Co Ltd
Priority to CN201210244724.1A priority Critical patent/CN102737203B/zh
Publication of CN102737203A publication Critical patent/CN102737203A/zh
Application granted granted Critical
Publication of CN102737203B publication Critical patent/CN102737203B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Storage Device Security (AREA)
  • Document Processing Apparatus (AREA)

Abstract

本发明属于计算机防御技术领域,具体公开了一种基于程序父子基因关系的病毒防御方法及系统。该方法包括以下步骤:记录灰色文件的名称、及其灰色安全属性;将所述灰色文件创建的子文件的安全属性直接标记为灰,并阻止该子文件执行预设的危险动作。该系统包括对应的:属性记录模块,用于记录灰色文件的名称、及其灰色安全属性;子文件属性标记与防御模块,用于将所述灰色文件创建的子文件的安全属性直接标记为灰,并阻止该子文件执行预设的危险动作。采用本发明,可有效防止病毒文件调用系统文件以执行危险动作的情况发生,进一步提高本发明的安全性能。

Description

一种基于程序父子基因关系的病毒防御方法及系统
技术领域
本发明属于计算机防御技术领域,具体涉及一种基于程序父子基因关系的病毒防御方法及系统。
背景技术
计算机病毒,是编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。
计算机病毒不是天然存在的,是某些人利用计算机软件和硬件所固有的脆弱性编制的一组指令集或程序代码。它能通过某种途径潜伏在计算机的存储介质(或程序)里,当达到某种条件时即被激活,通过修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中,从而感染其他程序,对计算机资源进行破坏,所谓的病毒就是人为造成的,对其他用户的危害性很大!其传播途径,主要是通过日常文件传递过程中夹带病毒文件。
为了防止病毒给计算机系统带来破坏,现有病毒防御系统采取的措施是对下载到计算机中的文件进行黑白扫描,即是根据现有的数据库或者规则判读该文件的安全属性为病毒文件(也称黑文件)、安全文件(也称白文件)、或者未知文件(也称灰文件),黑文件直接报毒查杀,白文件允许其正常运行,灰色文件给出相应的提示由用户选择执行或者不予执行。
按照现有的黑白扫描规则,每个文件黑白灰属性只与其扫描结果有关,只要该文件经过黑白扫描判定其属性为白,无论该文件是如何产生的,都允许其执行任何动作。比如:文件A.exe经过扫描为灰文件,文件B.exe是A.exe创建的子文件,文件B.exe经过扫描为白文件,文件B.exe运行时仍然运行其正常运行。
对于一些系统文件而言(比如:cmd.exe,reg.exe,net.exe),按照现有的扫描机制,都是将其默认的白文件,即是不会阻止它们执行任何动作,包括删除系统文件、修改系统文件、创建注册表等危险动作。如果此类文件被一个未知病毒文件(其扫描结果为灰文件)创建或调用以执行删除系统文件、修改系统文件、创建注册表等危险动作,现有防御机制将无能为力。
发明内容
为了解决上述问题,本发明的目的在于提供基于程序父子基因关系的病毒防御方法及系统,以防止病毒文件调用系统文件以执行危险动作。
为了实现上述发明目的,本发明所采用的技术方案如下:
一种基于程序父子基因关系的病毒防御方法,包括以下步骤:
记录灰色文件的名称、及其灰色安全属性;
将所述灰色文件创建的子文件的安全属性直接标记为灰,并阻止该子文件执行预设的危险动作。
进一步的,所述记录灰色文件的名称、及其灰色安全属性,具体是:将所述灰色文件的名称与其灰色安全属性记录在一进程链中。
进一步的,所述预设的危险动作包括删除系统文件、修改系统文件、以及创建注册表。
进一步的,在记录灰色文件的名称、及其灰色安全属性之前,还包括扫描待测文件的安全属性;若为白,则允许其运行;若为黑,则阻止其运行并查杀;若为灰,则产生提示信息由用户决定是否执行,并顺序执行后续步骤。
一种基于程序父子基因关系的病毒防御系统,包括:
属性记录模块,用于记录灰色文件的名称、及其灰色安全属性;
子文件属性标记与防御模块,用于将所述灰色文件创建的子文件的安全属性直接标记为灰,并阻止该子文件执行预设的危险动作。
进一步的,所述记录灰色文件的名称、及其灰色安全属性,具体是:将所述灰色文件的名称与其灰色安全属性记录在一进程链中。
进一步的,所述预设的危险动作包括删除系统文件、修改系统文件、以及创建注册表。
进一步的,该系统还包括一病毒扫描模块,用于在记录灰色文件的名称、及其灰色安全属性之前,扫描待测文件的安全属性;
若为白,则允许其运行;
若为黑,则阻止其运行并查杀;
若为灰,则产生提示信息由用户决定是否执行,并启动属性记录模块。
本发明执行过程中,只要其父辈文件为灰色文件,其子文件就一定为灰文件,不再通过现有扫描系统去验证其安全属性,这将提高现有防御系统的扫描效率,这也是本发明称为基于程序父子基因关系病毒防御技术的原因。本发明执行过程中,将阻止该子文件执行预设的危险动作,从而防止病毒文件调用系统文件以执行危险动作的情况发生,进一步提高本发明的安全性能。
附图说明
此附图说明所提供的图片用来辅助对本发明的进一步理解,构成本申请的一部分,并不构成对本发明的不当限定,在附图中:
图1是本发明方法对应的流程图;
图2是本发明系统对应的框图。
具体实施方式
如图1所示,本实施例公开了一种基于程序父子基因关系的病毒防御方法,包括以下步骤:
Step1:扫描待测文件的安全属性,具体可以采用现有的杀毒软件或者病毒防御系统;
若为白,则允许其运行;
若为黑,则阻止其运行并查杀;
若为灰,顺序执行Step2。
Step2:产生提示信息由用户决定是否执行,并顺序执行Step3。
Step3:记录灰色文件的名称、及其灰色安全属性,具体可以是将所述灰色文件的名称与其灰色安全属性记录在一进程链中。
Step4:将所述灰色文件创建的子文件的安全属性直接标记为灰,并阻止该子文件执行预设的危险动作,所述预设的危险动作包括删除系统文件、修改系统文件、以及创建注册表等。
本实施例还公开了一种基于程序父子基因关系的病毒防御系统,其包括:
病毒扫描模块1,用于在记录灰色文件的名称、及其灰色安全属性之前,扫描待测文件的安全属性;
若为白,则允许其运行;
若为黑,则阻止其运行并查杀;
若为灰,则产生提示信息由用户决定是否执行,并启动属性记录模块2;
属性记录模块2,用于记录灰色文件的名称、及其灰色安全属性,具体可是将所述灰色文件的名称与其灰色安全属性记录在一进程链中;
子文件属性标记与防御模块3,用于将所述灰色文件创建的子文件的安全属性直接标记为灰,并阻止该子文件执行预设的危险动作,所述预设的危险动作包括删除系统文件、修改系统文件、以及创建注册表等。
例如:文件A.exe经过扫描为灰文件,文件B.exe是A.exe创建的子文件;
由于文件B.exe是文件A.exe的子文件,那么文件B.exe将直接被标记为灰色文件,即是文件B.exe是系统文件也将被标记为灰,因此,系统将不会对其直接放行。
一旦文件B.exe执行包括删除系统文件、修改系统文件、以及创建注册表等危险动作,将被阻止执行,进而防止可能是病毒的文件A.exe调用一个系统白文件执行破坏动作,进一步提高现有病毒防御的安全性。
以上详细描述了本发明的较佳具体实施例,应当理解,本领域的普通技术无需创造性劳动就可以根据本发明的构思做出诸多修改和变化。因此,凡本技术领域中技术人员依本发明构思在现有技术基础上通过逻辑分析、推理或者根据有限的实验可以得到的技术方案,均应该在由本权利要求书所确定的保护范围之中。

Claims (6)

1.一种基于程序父子基因关系的病毒防御方法,其特征在于包括以下步骤:
扫描待测文件的安全属性;
若为白,则允许其运行;
若为黑,则阻止其运行并查杀;
若为灰,则产生提示信息由用户决定是否执行,并顺序执行后续步骤;
记录灰色文件的名称、及其灰色安全属性;
将所述灰色文件创建的子文件的安全属性直接标记为灰,并阻止该子文件执行预设的危险动作;避免了逐一扫描文件去验证其安全属性,提高现有防御系统的扫描效率。
2.根据权利要求1所述的基于程序父子基因关系的病毒防御方法,其特征在于,所述记录灰色文件的名称、及其灰色安全属性,具体是:
将所述灰色文件的名称与其灰色安全属性记录在一进程链中。
3.根据权利要求1所述的基于程序父子基因关系的病毒防御方法,其特征在于:
所述预设的危险动作包括删除系统文件、修改系统文件、以及创建注册表。
4.一种基于程序父子基因关系的病毒防御系统,其特征在于包括:
病毒扫描模块,用于扫描待测文件的安全属性;
若为白,则允许其运行;
若为黑,则阻止其运行并查杀;
若为灰,则产生提示信息由用户决定是否执行,并启动属性记录模块;
属性记录模块,用于记录灰色文件的名称、及其灰色安全属性;
子文件属性标记与防御模块,用于将所述灰色文件创建的子文件的安全属性直接标记为灰,并阻止该子文件执行预设的危险动作;避免了逐一扫描文件去验证其安全属性,提高现有防御系统的扫描效率。
5.根据权利要求4所述的基于程序父子基因关系的病毒防御系统,其特征在于,所述记录灰色文件的名称、及其灰色安全属性,具体是:
将所述灰色文件的名称与其灰色安全属性记录在一进程链中。
6.根据权利要求4所述的基于程序父子基因关系的病毒防御系统,其特征在于:
所述预设的危险动作包括删除系统文件、修改系统文件、以及创建注册表。
CN201210244724.1A 2012-07-13 2012-07-13 一种基于程序父子基因关系的病毒防御方法及系统 Active CN102737203B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201210244724.1A CN102737203B (zh) 2012-07-13 2012-07-13 一种基于程序父子基因关系的病毒防御方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201210244724.1A CN102737203B (zh) 2012-07-13 2012-07-13 一种基于程序父子基因关系的病毒防御方法及系统

Publications (2)

Publication Number Publication Date
CN102737203A CN102737203A (zh) 2012-10-17
CN102737203B true CN102737203B (zh) 2015-10-21

Family

ID=46992687

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201210244724.1A Active CN102737203B (zh) 2012-07-13 2012-07-13 一种基于程序父子基因关系的病毒防御方法及系统

Country Status (1)

Country Link
CN (1) CN102737203B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102982275A (zh) * 2012-11-14 2013-03-20 北京奇虎科技有限公司 一种运行应用程序的安全控制方法和装置
CN103970766A (zh) * 2013-01-29 2014-08-06 腾讯科技(深圳)有限公司 一种数据文件处理的方法、装置及终端
CN113127865B (zh) * 2019-12-31 2023-11-07 深信服科技股份有限公司 一种恶意文件的修复方法、装置、电子设备及存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1885224A (zh) * 2005-06-23 2006-12-27 福建东方微点信息安全有限责任公司 计算机反病毒防护系统和方法
CN101414996A (zh) * 2007-10-15 2009-04-22 北京瑞星国际软件有限公司 防火墙及其方法
CN101706851A (zh) * 2009-11-03 2010-05-12 广州广电运通金融电子股份有限公司 自助终端的进程控制方法及系统
CN101924761A (zh) * 2010-08-18 2010-12-22 奇智软件(北京)有限公司 一种依据白名单进行恶意程序检测的方法
CN102176224A (zh) * 2005-06-30 2011-09-07 普瑞维克斯有限公司 用于处理恶意软件的方法和装置
CN102184356A (zh) * 2011-04-21 2011-09-14 奇智软件(北京)有限公司 利用沙箱技术进行防御的方法、装置及安全浏览器

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1885224A (zh) * 2005-06-23 2006-12-27 福建东方微点信息安全有限责任公司 计算机反病毒防护系统和方法
CN102176224A (zh) * 2005-06-30 2011-09-07 普瑞维克斯有限公司 用于处理恶意软件的方法和装置
CN101414996A (zh) * 2007-10-15 2009-04-22 北京瑞星国际软件有限公司 防火墙及其方法
CN101706851A (zh) * 2009-11-03 2010-05-12 广州广电运通金融电子股份有限公司 自助终端的进程控制方法及系统
CN101924761A (zh) * 2010-08-18 2010-12-22 奇智软件(北京)有限公司 一种依据白名单进行恶意程序检测的方法
CN102184356A (zh) * 2011-04-21 2011-09-14 奇智软件(北京)有限公司 利用沙箱技术进行防御的方法、装置及安全浏览器

Also Published As

Publication number Publication date
CN102737203A (zh) 2012-10-17

Similar Documents

Publication Publication Date Title
Bhat et al. A survey on various threats and current state of security in android platform
RU2610254C2 (ru) Система и способ определения измененных веб-страниц
Sbîrlea et al. Automatic detection of inter-application permission leaks in android applications
Tramèr et al. Adversarial: Perceptual ad blocking meets adversarial machine learning
Tang et al. A novel hybrid method to analyze security vulnerabilities in android applications
RU2624552C2 (ru) Способ обнаружения вредоносных файлов, исполняемых с помощью стековой виртуальной машины
CN110445769B (zh) 业务系统的访问方法及装置
CN105760787B (zh) 用于检测随机存取存储器中的恶意代码的系统及方法
Rangwala et al. A taxonomy of privilege escalation attacks in Android applications
Song et al. Appis: Protect android apps against runtime repackaging attacks
Elish et al. A static assurance analysis of android applications
CN102737203B (zh) 一种基于程序父子基因关系的病毒防御方法及系统
Müller et al. Processing dangerous paths
Gupta et al. Evaluation and monitoring of XSS defensive solutions: a survey, open research issues and future directions
CN111881446B (zh) 一种工业互联网恶意代码识别方法及装置
CN102799824B (zh) 一种针对具有数字签名信息的病毒文件的防御方法及系统
Abusnaina et al. Burning the adversarial bridges: Robust windows malware detection against binary-level mutations
KR20110129020A (ko) 코드 분석기법을 이용한 악성코드 차단 시스템 및 방법
Simpson SAFECode whitepaper: Fundamental practices for secure software development 2nd edition
James et al. Malware attacks: A survey on mitigation measures
Kudo et al. Access control mechanism to mitigate cordova plugin attacks in hybrid applications
Ahirao Proactive technique for securing smart cities against malware attacks using static and dynamic analysis
Mu et al. Vulnerability analysis for iot devices of multi-agent systems: a cryptographic function identification approach
Jung et al. AVPASS: automatically bypassing android malware detection system
JP6752347B1 (ja) 情報処理装置、コンピュータプログラム及び情報処理方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
ASS Succession or assignment of patent right

Owner name: KINGSOFT CORPORATION LIMITED BEIKE INTERNET (BEIJI

Effective date: 20130503

C41 Transfer of patent application or patent right or utility model
TA01 Transfer of patent application right

Effective date of registration: 20130503

Address after: Jingshan Hill Road, Lane 519015 Lianshan Jida Guangdong province Zhuhai City No. 8

Applicant after: ZHUHAI JUNTIAN ELECTRONIC TECHNOLOGY Co.,Ltd.

Applicant after: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd.

Applicant after: SHELL INTERNET (BEIJING) SECURITY TECHNOLOGY Co.,Ltd.

Applicant after: BEIJING KINGSOFT NETWORK TECHNOLOGY Co.,Ltd.

Address before: Jingshan Hill Road, Lane 519015 Lianshan Jida Guangdong province Zhuhai City No. 8

Applicant before: Zhuhai Juntian Electronic Technology Co.,Ltd.

C14 Grant of patent or utility model
GR01 Patent grant
CP03 Change of name, title or address
CP03 Change of name, title or address

Address after: 519070, six level 601F, 10 main building, science and technology road, Tangjia Bay Town, Zhuhai, Guangdong.

Co-patentee after: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd.

Patentee after: ZHUHAI JUNTIAN ELECTRONIC TECHNOLOGY Co.,Ltd.

Co-patentee after: Beijing Cheetah Mobile Technology Co.,Ltd.

Co-patentee after: Beijing Cheetah Network Technology Co.,Ltd.

Address before: 519015 8 Lanshan lane, Jida Jingshan Hill Road, Zhuhai, Guangdong

Co-patentee before: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd.

Patentee before: Zhuhai Juntian Electronic Technology Co.,Ltd.

Co-patentee before: SHELL INTERNET (BEIJING) SECURITY TECHNOLOGY Co.,Ltd.

Co-patentee before: BEIJING KINGSOFT NETWORK TECHNOLOGY Co.,Ltd.

CP03 Change of name, title or address
CP03 Change of name, title or address

Address after: 519070, six level 601F, 10 main building, science and technology road, Tangjia Bay Town, Zhuhai, Guangdong.

Co-patentee after: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd.

Patentee after: ZHUHAI JUNTIAN ELECTRONIC TECHNOLOGY Co.,Ltd.

Co-patentee after: Beijing Cheetah Mobile Technology Co.,Ltd.

Co-patentee after: Beijing Cheetah Network Technology Co.,Ltd.

Address before: 519015 8 Lanshan lane, Jida Jingshan Hill Road, Zhuhai, Guangdong

Co-patentee before: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd.

Patentee before: Zhuhai Juntian Electronic Technology Co.,Ltd.

Co-patentee before: SHELL INTERNET (BEIJING) SECURITY TECHNOLOGY Co.,Ltd.

Co-patentee before: BEIJING KINGSOFT NETWORK TECHNOLOGY Co.,Ltd.

TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20191125

Address after: Room 105-53811, No. 6 Baohua Road, Hengqin New District, Zhuhai City, Guangdong Province

Patentee after: Zhuhai Leopard Technology Co.,Ltd.

Address before: 519070, No. 10, main building, No. six, science Road, Harbour Road, Tang Wan Town, Guangdong, Zhuhai, 601F

Co-patentee before: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd.

Patentee before: Zhuhai Juntian Electronic Technology Co.,Ltd.

Co-patentee before: Beijing Cheetah Mobile Technology Co.,Ltd.

Co-patentee before: Beijing Cheetah Network Technology Co.,Ltd.