CN105631329B - Virut感染型病毒免疫方法及其装置 - Google Patents
Virut感染型病毒免疫方法及其装置 Download PDFInfo
- Publication number
- CN105631329B CN105631329B CN201510963750.3A CN201510963750A CN105631329B CN 105631329 B CN105631329 B CN 105631329B CN 201510963750 A CN201510963750 A CN 201510963750A CN 105631329 B CN105631329 B CN 105631329B
- Authority
- CN
- China
- Prior art keywords
- virut
- infection type
- type virus
- hazardous act
- monitoring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/564—Static detection by virus signature recognition
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Measuring Or Testing Involving Enzymes Or Micro-Organisms (AREA)
Abstract
本发明涉及一种Virut感染型病毒免疫方法,包括以下步骤:S1、监控计算机设备中是否出现基于文件的危险行为;S2、若出现所述基于文件的危险行为,判断是否为Virut感染型病毒注入进程;S3、若是所述Virut感染型病毒注入进程,阻止所述Virut感染型病毒的危险行为。本发明的有益效果在于:通过监控计算机设备中Virut感染型病毒是否感染计算机系统,阻止Virut感染型病毒危险行为,让Virut病毒彻底失去感染性,让Virut病毒即使运行也无法感染其他正常的文件。防止计算机感染Virut感染型病毒。
Description
技术领域
本发明涉及计算机技术领域,特别涉及Virut感染型病毒免疫方法及其装置。
背景技术
计算机病毒是编制或者在计算机程序中插入的破坏计算机功能的数据,其会影响计算机的正常使用并且能够自我复制,通常以一组计算机指令或者程序代码的形式呈现。计算机病毒具有破坏性、复制性和传染性的特点。当计算机系统中的文件被病毒感染时,需要通过杀毒软件对系统进行扫描,以便清除这些病毒。由于计算机病毒的传播性较强,因此运行后的病毒会尝试感染系统中的其它文件,导致杀毒软件难以彻底清除系统中的病毒。Virut感染型病毒是一种感染性强,破坏性强的病毒。Virut感染型病毒感染文件的方式主要是通过注入进程进行感染,Virut感染型病毒程序执行之后,会检索计算机全盘的文件,并且感染扩展名为EXE和SCR的文件。此病毒会禁用Windows File Protection文件保护功能,以感染受保护的系统文件。现有的Virut病毒处理方案:在文件被感染Virut病毒后,对被感染的文件进行修复操作,即对感染Virut病毒的文件进行清除被插入的恶意代码段。但是,如果有一个被感染的文件没有被清除干净,则这个被感染的文件就会感染操作系统其它的文件。这种方式无法做到从根本上防止系统再次感染Virut病毒。
发明内容
有鉴于此,本发明的目的是提出Virut感染型病毒免疫方法及其装置,以解决现有技术被感染文件清除不干净,计算机系统容易再次感染Virut病毒的问题。为了对披露的实施例的一些方面有一个基本的理解,下面给出了简单的概括。
本发明公开了一种Virut感染型病毒免疫方法,包括以下步骤:
S1、监控计算机设备中是否出现基于文件的危险行为;
S2、若出现所述基于文件的危险行为,判断是否为Virut感染型病毒注入进程;
S3、若是所述Virut感染型病毒注入进程,阻止所述Virut感染型病毒的危险行为。
进一步地,所述步骤S1中,所述监控计算机设备中是否出现基于文件的危险行为包括:驱动层动态监测NtWriteVirtualMemory函数是否被调用。
进一步地,所述步骤S2中,若出现所述基于文件的危险行为,判断是否为Virut感染型病毒注入进程包括:所述NtWriteVirtualMemory函数被调用,监测虚拟内存中是否有Virut感染型病毒写入的特定字符串。
进一步地,所述监测虚拟内存中是否有Virut感染型病毒写入的特定字符串的步骤包括:监测Buffer+0x2100位置的特征码是否有Virut感染型病毒写入的特定字符串。
进一步地,所述特定字符串为50 50 49 46 75 0e 8b 50 34 85 d2 74 07 ba0100 00 00 eb 02 33 d2 81 f9 50 50 49 46。
进一步地,所述步骤S3中,若是所述Virut感染型病毒注入进程,阻止所述Virut感染型病毒的危险行为的步骤包括:
忽略Virut感染型病毒调用NtWriteVirtualMemory函数的请求或阻止Virut感染型病毒调用NtWriteVirtualMemory函数。
进一步地,所述步骤S1中,所述监测计算机设备的步骤包括:采用外接磁盘监测计算机设备。
本发明的另一个目的是公开了一种Virut感染型病毒免疫的装置,包括:
危险行为监控模块,用于监控计算机设备中是否出现基于文件的危险行为;
危险行为判断模块,用于若出现所述基于文件的危险行为,判断是否为Virut感染型病毒注入进程;
危险行为处理模块,用于若是所述Virut感染型病毒注入进程,阻止所述Virut感染型病毒的危险行为。
进一步地,所述装置还包括:监测系统内核函数模块,用于驱动层动态监测NtWriteVirtualMemory函数是否被调用。
进一步地,所述装置还包括:执行模块,用于忽略Virut感染型病毒调用NtWriteVirtualMemory函数的请求或阻止Virut感染型病毒调用NtWriteVirtualMemory函数。
本发明的有益效果在于:通过监控计算机设备中Virut感染型病毒是否感染计算机系统,阻止Virut感染型病毒危险行为,让Virut病毒彻底失去感染性,让Virut病毒即使运行也无法感染其他正常的文件。防止计算机感染Virut感染型病毒。
为了上述以及相关的目的,一个或多个实施例包括后面将详细说明并在权利要求中特别指出的特征。其它的益处和新颖性特征将随着下面的详细说明结合附图考虑而变得明显,所公开的实施例是要包括所有这些方面以及它们的等同。
附图说明
图1是本发明实施例的流程图。
具体实施方式
在以下详细描述中,提出大量特定细节,以便于提供对本发明的透彻理解。但是,本领域的技术人员会理解,即使没有这些特定细节也可实施本发明。在其它情况下,没有详细描述众所周知的过程和组件,以免影响对本发明的理解。
下面参考附图和优选实施例,对本发明做详细描述。
在一些说明性实施例中,如图1所示,一种Virut感染型病毒免疫方法,包括以下步骤:
S1、监控计算机设备中是否出现基于文件的危险行为;
S2、若出现所述基于文件的危险行为,判断是否为Virut感染型病毒注入进程;
S3、若是所述Virut感染型病毒注入进程,阻止所述Virut感染型病毒的危险行为。
其中,一种Virut感染型病毒免疫方法,通过监控计算机设备中Virut感染型病毒是否感染计算机系统,阻止Virut感染型病毒危险行为,从源头上杜绝了Virut感染型病毒的感染,做到了对Virut感染型病毒治本的效果。
在一些说明性实施例中,所述步骤S1中,所述监控计算机设备中是否出现基于文件的危险行为包括:驱动层动态监测NtWriteVirtualMemory函数是否被调用。
在一些说明性实施例中,所述步骤S2中,若出现所述基于文件的危险行为,判断是否为Virut感染型病毒注入进程包括:所述NtWriteVirtualMemory函数被调用,监测虚拟内存中是否有Virut感染型病毒写入的特定字符串。
在一些说明性实施例中,所述监测虚拟内存中是否有Virut感染型病毒写入的特定字符串的步骤包括:监测Buffer+0x2100位置的特征码是否有Virut感染型病毒写入的特定字符串。
在一些说明性实施例中,所述特定字符串为50 50 49 46 75 0e 8b 50 3485 d274 07 ba 01 00 00 00 eb 02 33 d2 81 f9 50 50 49 46。
在一些说明性实施例中,所述步骤S3中,若是所述Virut感染型病毒注入进程,阻止所述Virut感染型病毒的危险行为的步骤包括:忽略Virut感染型病毒调用NtWriteVirtualMemory函数的请求或阻止Virut感染型病毒调用NtWriteVirtualMemory函数。
其中,忽略Virut感染型病毒调用NtWriteVirtualMemory函数的请求后,Virut感染型病毒无法调用NtWriteVirtualMemory函数来注入进程,Virut感染型病毒就无法对其他EXE文件和SCR文件进行感染,从而让操作系统达到对Virut病毒免疫的效果。
在一些说明性实施例中,所述步骤S1中,所述监测计算机设备的步骤包括:采用外接磁盘监测计算机设备。
在一些说明性实施例中,一种Virut感染型病毒免疫的装置,包括:
危险行为监控模块,用于监控计算机设备中是否出现基于文件的危险行为;
危险行为判断模块,用于若出现所述基于文件的危险行为,判断是否为Virut感染型病毒注入进程;
危险行为处理模块,用于若是所述Virut感染型病毒注入进程,阻止所述Virut感染型病毒的危险行为。
在一些说明性实施例中,所述装置还包括:监测系统内核函数模块,用于驱动层动态监测NtWriteVirtualMemory函数是否被调用。
在一些说明性实施例中,所述装置还包括:执行模块,用于忽略Virut感染型病毒调用NtWriteVirtualMemory函数的请求或阻止Virut感染型病毒调用NtWriteVirtualMemory函数。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (6)
1.一种Virut感染型病毒免疫方法,其特征在于,包括以下步骤:
S1、监控计算机设备中是否出现基于文件的危险行为;其中,所述监控计算机设备中是否出现基于文件的危险行为包括:驱动层动态监测NtWriteVirtualMemory函数是否被调用;
S2、若出现所述基于文件的危险行为,判断是否为Virut感染型病毒注入进程;包括:所述NtWriteVirtualMemory函数被调用,监测虚拟内存中是否有Virut感染型病毒写入的特定字符串;
其中,所述监测虚拟内存中是否有Virut感染型病毒写入的特定字符串的步骤包括:监测Buffer+0x2100位置的特征码是否有Virut感染型病毒写入的特定字符串;
S3、若是所述Virut感染型病毒注入进程,阻止所述Virut感染型病毒的危险行为。
2.根据权利要求1所述的Virut感染型病毒免疫方法,其特征在于,所述特定字符串为50 50 49 46 75 0e 8b 50 34 85d2 74 07ba 01 00 00 00eb 02 33d2 81f9 50 504946。
3.根据权利要求1所述的Virut感染型病毒免疫方法,其特征在于,所述步骤S3中,若是所述Virut感染型病毒注入进程,阻止所述Virut感染型病毒的危险行为的步骤包括:
忽略Virut感染型病毒调用NtWriteVirtualMemory函数的请求或阻止Virut感染型病毒调用NtWriteVirtualMemory函数。
4.根据权利要求1所述的Virut感染型病毒免疫方法,其特征在于,所述步骤S1中,所述监测计算机设备的步骤包括:采用外接磁盘监测计算机设备。
5.一种Virut感染型病毒免疫的装置,其特征在于,包括:
危险行为监控模块,用于监控计算机设备中是否出现基于文件的危险行为;
监测系统内核函数模块,用于驱动层动态监测NtWriteVirtualMemory函数是否被调用;
危险行为判断模块,用于若出现所述基于文件的危险行为,判断是否为Virut感染型病毒注入进程;包括:所述NtWriteVirtualMemory函数被调用,监测虚拟内存中是否有Virut感染型病毒写入的特定字符串;
其中,所述监测虚拟内存中是否有Virut感染型病毒写入的特定字符串的步骤包括:监测Buffer+0x2100位置的特征码是否有Virut感染型病毒写入的特定字符串;
危险行为处理模块,用于若是所述Virut感染型病毒注入进程,阻止所述Virut感染型病毒的危险行为。
6.根据权利要求5所述的装置,其特征在于,所述装置还包括:执行模块,用于忽略Virut感染型病毒调用NtWriteVirtualMemory函数的请求或阻止Virut感染型病毒调用NtWriteVirtualMemory函数。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510963750.3A CN105631329B (zh) | 2015-12-21 | 2015-12-21 | Virut感染型病毒免疫方法及其装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510963750.3A CN105631329B (zh) | 2015-12-21 | 2015-12-21 | Virut感染型病毒免疫方法及其装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105631329A CN105631329A (zh) | 2016-06-01 |
| CN105631329B true CN105631329B (zh) | 2019-05-10 |
Family
ID=56046253
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510963750.3A Active CN105631329B (zh) | 2015-12-21 | 2015-12-21 | Virut感染型病毒免疫方法及其装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105631329B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101256480A (zh) * | 2007-02-28 | 2008-09-03 | 欧蜀平 | 一种能够标记存储器中某些位置的处理器 |
| CN101414339A (zh) * | 2007-10-15 | 2009-04-22 | 北京瑞星国际软件有限公司 | 保护进程内存及确保驱动程序加载的安全性的方法 |
| CN102867146A (zh) * | 2012-09-18 | 2013-01-09 | 珠海市君天电子科技有限公司 | 一种防止计算机病毒反复感染系统的方法及系统 |
| CN103049695A (zh) * | 2012-12-11 | 2013-04-17 | 北京奇虎科技有限公司 | 一种计算机病毒的监控方法和装置 |
| CN103353930A (zh) * | 2012-12-21 | 2013-10-16 | 北京安天电子设备有限公司 | 一种防范感染式病毒感染的方法和装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7370360B2 (en) * | 2002-05-13 | 2008-05-06 | International Business Machines Corporation | Computer immune system and method for detecting unwanted code in a P-code or partially compiled native-code program executing within a virtual machine |
-
2015
- 2015-12-21 CN CN201510963750.3A patent/CN105631329B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101256480A (zh) * | 2007-02-28 | 2008-09-03 | 欧蜀平 | 一种能够标记存储器中某些位置的处理器 |
| CN101414339A (zh) * | 2007-10-15 | 2009-04-22 | 北京瑞星国际软件有限公司 | 保护进程内存及确保驱动程序加载的安全性的方法 |
| CN102867146A (zh) * | 2012-09-18 | 2013-01-09 | 珠海市君天电子科技有限公司 | 一种防止计算机病毒反复感染系统的方法及系统 |
| CN103049695A (zh) * | 2012-12-11 | 2013-04-17 | 北京奇虎科技有限公司 | 一种计算机病毒的监控方法和装置 |
| CN103353930A (zh) * | 2012-12-21 | 2013-10-16 | 北京安天电子设备有限公司 | 一种防范感染式病毒感染的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105631329A (zh) | 2016-06-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102307534B1 (ko) | 다수 소프트웨어 개체들에 걸쳐서 악성 행동을 트래킹하기 위한 시스템들 및 방법들 | |
| US11797677B2 (en) | Cloud based just in time memory analysis for malware detection | |
| Kovah et al. | New results for timing-based attestation | |
| RU2522019C1 (ru) | Система и способ обнаружения угроз в коде, исполняемом виртуальной машиной | |
| EP2951955B1 (en) | Method and system for protecting web applications against web attacks | |
| JP2017527931A (ja) | マルウェア検出の方法及びそのシステム | |
| EP2782040A1 (en) | Malware Discovery Method and System | |
| US8904538B1 (en) | Systems and methods for user-directed malware remediation | |
| US11151252B2 (en) | Just in time memory analysis for malware detection | |
| WO2007035575A2 (en) | Method and apparatus for removing harmful software | |
| WO2007035417A2 (en) | Method and apparatus for removing harmful software | |
| Ramilli et al. | Multi-stage delivery of malware | |
| CN106326737A (zh) | 用于检测可在虚拟堆栈机上执行的有害文件的系统和方法 | |
| JP2010262609A (ja) | 効率的なマルウェアの動的解析手法 | |
| Ramilli et al. | Multiprocess malware | |
| JP2006031718A (ja) | ワームの封じ込め | |
| Ray et al. | Introduction to Malware and Malware Analysis: A brief overview | |
| JP5951621B2 (ja) | コンピュータセキュリティのためのイノキュレータ及び抗体 | |
| CN105631329B (zh) | Virut感染型病毒免疫方法及其装置 | |
| CN109460658B (zh) | 一种针对恶意勒索样本的检测方法 | |
| CN102222179A (zh) | 一种基于Windows内核的反键盘记录技术 | |
| US20180103044A1 (en) | Anti-malware client | |
| CN108667812A (zh) | 用于专用主机的多指标评分的白环境可信度分析方法 | |
| CN111460451A (zh) | 一种基于病毒疫苗技术的软件防病毒感染系统及方法 | |
| CN109359465A (zh) | 一种基于数字证书的程序防御方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100041, room 2, building 3, building 30, Xing Xing street, Shijingshan District, Beijing, Patentee after: Beijing Falcon Safety Technology Co., Ltd Address before: 100041, room 2, building 3, building 30, Xing Xing street, Shijingshan District, Beijing, Patentee before: BEIJING KINGSOFT SECURITY MANAGEMENT SYSTEM TECHNOLOGY Co.,Ltd. |
|
| CP01 | Change in the name or title of a patent holder |