CN1310393A - 防止计算机病毒传染的方法 - Google Patents
防止计算机病毒传染的方法 Download PDFInfo
- Publication number
- CN1310393A CN1310393A CN 00102686 CN00102686A CN1310393A CN 1310393 A CN1310393 A CN 1310393A CN 00102686 CN00102686 CN 00102686 CN 00102686 A CN00102686 A CN 00102686A CN 1310393 A CN1310393 A CN 1310393A
- Authority
- CN
- China
- Prior art keywords
- system service
- service program
- viral infection
- virus
- high authority
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明是一种防止计算机病毒传染的方法,特别是一种能在计算机病毒未发作之前,即时切断其传染途径的方法,通过Ring0层与Ring3层的同步处理与通讯,对当前所运行的应用程序进行监控,在发现当前的操作代码可能是由计算机病毒发出时,立即拦截所有相关的操作信息,中断相关操作的运行,同时发送提示信息告知使用者,并在使用者确认后,进行相应的防毒处理,而达到在最佳的时机防堵计算机病毒入侵、扩散至其他的系统、程序或文件的目的。
Description
本发明涉及一种防止计算机病毒传染的方法,尤其涉及一种借助过程的同步对文件系统的监控,来切断计算机病毒传染途径的方法。
计算机病毒是一种可执行的计算机程序,是目前计算机的一大危害,其类型依所感染的文件类型与受感染的记录区域可分为:程序型病毒、启动型病毒、隐藏型病毒、变种病毒、复合型病毒、视窗病毒、恶意程序等等。和生物性病毒一样,它们会寻找宿主并依附在其上,就如同感冒病毒会以人为宿主,而计算机病毒则是会依附在某个项目上面,例如计算机的启动区域(引导区)或可执行文件。一般而言一部已受计算机病毒感染的计算机在被关闭计算机之前,大部分的计算机病毒都会活跃于存储器中。等到关闭计算机,计算机病毒就会从存储器中移除,但是它们仍会停留在受到感染的文件或磁盘中。因此当您下回使用计算机时,病毒程序就会再度启动,并依附在更多的程序中;所以,计算机病毒就像一般的生物性病毒一样,是会不断复制的。
目前的防毒软件都着重在查毒和杀毒上,而没有主动切断病毒的传染途径,也就是只有在当前病毒感染和破坏了使用者的系统之后,这种软件才能起作用,因此其过程是一种被动防毒方法,使用者也无法准确把握扫毒和杀毒的最好时机,并且为了应付不断出现的新类型病毒,就需要分别开发出针对不同病毒的各种病毒模板,而且病毒在不断升级的过程中,也需要程序开发者不断地将对应的防毒模板升级,才能达到杀毒的效果,这样一来,防毒软件的开发周期将会变长,成本伴随着也提高,且使用时十分不便。
图1示出了现有技术的查毒及去除方法。通常在使用者执行带有A病毒的程序或文件101后,其所使用的系统以及系统内其他应用程序或文件102便随即遭受到A病毒的感染,此时经由防毒软件103或是使用者本身的查觉,使用者就必需再以手动的方式执行扫毒程序104,也就是进行所谓的扫描(Scan)过程,从其使用的系统环境中找出所有受A病毒感染的程序或文件,再执行如:KILL.EXE之类的杀毒程序,将A病毒从所有程序或文件中杀除105。这样的处理方法虽然可杀掉原来带有病毒的程序或文件,以及之后被感染的程序或文件,但是对于因病毒而造成的损失却已是无法弥补。
传统的防止计算机病毒的方式是在发现计算机中的某一程序或文件被计算机病毒入侵时(此时计算机病毒已扩散入侵至其他的程序或文件中),才由使用者以手动的方式执行扫毒软件,对整个计算机系统进行扫描,再对受感染的程序或文件进行除毒;但是在此时很可能已经有部分应用程序或文件被计算机病毒破坏,而无法运行、开启,所造成的损坏是无法弥补的。
本发明的目的在于提供一种能在计算机病毒未发作之前,即时切断其传染途径的方法,其通过低权限的系统处理程序(例如:Ring3层的处理程序)与高权限的系统处理程序(例如:Ring0层的处理程序)的同步作业方式,对当前所运行的应用程序进行监控,在发现被处理的文件(可以是新加入的文件或已存在于计算机中的文件)受计算机病毒感染时,立即切断该类计算机病毒的传染途径,并为应用程序注入抗体,以抵御计算机病毒的入侵,进而防止计算机病毒入侵其他的系统、程序或文件。
根据本发明,在使用者以低权限的系统处理程序启用任何一个应用程序时,其上层的高权限的系统处理程序均会对其整个运行过程和所处理的文件进行监控,一旦使用者执行了带有计算机病毒的程序或文件,在计算机病毒正要开始传染之时,就可侦测到此程序或文件的异常,然后发出“发现病毒”的提示信息告知使用者,进行杀毒的处理,如此,计算机病毒就会在发作之前予以去除,无法传播,避免了系统及其应用程序受到计算机病毒的入侵,有关本发明的详细内容及技术,下面将参考附图进行说明:
图1是已知的扫毒、杀毒的方法示意图。
图2是本发明的防毒技术的方块示意图。
图3是本发明的防毒的处理方块图。
图4是本发明在防毒处理时Ring0层的操作流程图。
图5是本发明在防毒处理时Ring3层的操作流程图。
图6是本发明的可执行文件的判定流程图。
根据本发明所揭示的技术(参阅图2),在任何情况下当进行计算机中某一事件(例如:使用者启动计算机中的某一应用程序,或进行一文件操作),本发明的防毒系统均会对此事件的整个运行过程进行监控,一旦发现当前的事件中带有计算机病毒,就会立即拦截所有与事件相关操作,此时除了提示使用者有病毒发生之外,还会对此应用程序或文件进行除毒的处理,于是计算机病毒便无法继续传播,其他的应用程序、文件就不会遭受到计算机病毒的入侵;举例来说:使用者执行了一个带有A病毒的程序11,A病毒就会借此机会蕴酿开始传染,此时本发明的防毒系统12将会查觉A病毒的存在,立即拦截当前的所有操作121,发出提示信息告知使用者122,并同时进行除毒的处理123,于是A病毒的传染途径被切断13,计算机中的其他应用程序、文件就不会被A病毒所感染14。根据病毒的传染规律,本发明的防毒处理流程主要分为:模块一20、模块二21、模块三22、以及模块四23等四组处理模块,请参阅图3。在模块一20中,出现一带有A病毒的事件201,在产生此事件的操作202时,将其送入Ring0层的处理程序中进行相关的操作203,于是在满足处理条件(如:对文件写入操作、或是读取操作)的情况下,进入模块二21调用Ring3层的处理程序210,同时中断Ring0层的处理程序211,令其等待被唤醒,调用Ring3层的处理程序210同时转入模块三22,模块三22包括有将来自Ring0层的处理程序的参数进行分析处理220,以及在处理后去调用Ring0层的处理程序221,接着就转到模块四23,在Ring0层的处理程序被唤醒230后,根据Ring3的处理程序的返回值进行处理231,于是形成Ring0的处理程序与Ring3层的处理程序的同步通信及处理。
因此,本发明的技术主要分为两个处理程序,其一为基于Ring0层的处理程序,其二为基于Ring3层的处理程序;其中基于Ring0层的处理程序又包含有:拦截当前操作的步骤、以及被Ring3层唤醒后的步骤;所以,Ring0层的处理程序的主要任务是判断当前事件的操作是否为写入操作,在确认后,即调用Ring3层的处理程序(同时中断Ring0层的处理程序),以进一步确认当前事件的操作对可执行文件(注一)是否具有攻击性(即是否会更改原来的程序结构),如果是具有攻击性的操作,则唤醒Ring0层的处理程序,并由Ring0层的处理程序根据接收到的结果,来决定是否拒绝当前事件的操作,所以这两个程序的交替抑制和交替运行的过程,是一种同步处理、通讯的过程,Ring0层的处理程序能够处理使用者与系统之前的通讯,而Ring3层的处理程序则是保证系统与底层的通讯,两层的处理过程缺一不可。以下就结合图4、图5及图6分别对前述的处理程序作详细说明。【Ring0层的拦截操作】
如图4所示,本发明采用代码判别的方式,首先启动Ring0层代码拦截当前事件的操作(步骤301、302),开始接收有关当前事件操作的参数,并判断当前事件的操作是否为一写入操作(步骤303、304),如果不是,则表明此一操作不会对系统或其他可执行程序造成恶意侵害,可以让其进行此事件的后续相关操作(步骤305),同时返回到本流程的开始部分,等待接收下一次的操作;如果判定当前的操作是写入操作,则调用Ring3层(步骤306),以执行Ring3层的处理程序,同时中断当前Ring0层的处理程序,令Ring0层的处理程序等待被唤醒(步骤307)。【Ring3层操作】
请参阅图5,Ring3层的处理程序在事件开始之初,先处于等待被调用的状态(步骤401、402),当Ring0层的处理程序发出调用信息与Ring3层的处理程序通讯时,即开始接收自Ring0层传来的相关参数(步骤403),并据此判断当前的操作是否为修改可执行文件(步骤404),如果当前操作不是修改可执行文件的代码,则前去唤醒Ring0层的处理程序,同时将返回值设为“真”(True)(步骤405);反之,如果当前操作为修改可执行文件的代码,则向使用者询问以上修改可执行文件代码的操作是否为使用者所指定(步骤406),如果不是,则表示有计算机病毒企图恶意攻击系统或应用程序,也就是在截获一为病毒入侵的确认信息时,随即唤醒Ring0层的处理程序,并将当前的状态设定为“假”(False)(步骤408),如果以上所作修改是使用者所为,就进一步询问使用者是否继续进行当前的操作(步骤407),即等待一确认信息,如果继续进行(即截获一继续事件信息),则跳至步骤405,唤醒Ring0层处理程序,将返回值设定为“真”(True),如果使用者决定不继续进行(即截获一中断事件信息),执行步骤408,唤醒Ring0层处理程序,将返回值设定为“假”(False),并结束操作(步骤409)。【Ring0层被Ring3层唤醒后的操作】
当Ring3层的处理程序执行完毕,再次唤醒Ring0层的处理程序时,Ring0层的处理程序便继续(图4)所示的流程,是自步骤307开始,接收经Ring3层的处理程序处理后的返回值,判断该返回值的内容(步骤309),如果返回值为“真”(True),则跳至步骤305继续运行此事件的后续操作,如果返回值是“假”(False),则拒绝继续运行当前操作,并结束程序(步骤310)。注一:上述的可执行文件,其种类主要有三种:PE、LE和NE格式文件等;要判断一个文件是否为可执行文件,请参阅图6,首先读取文件头(File Head)的内容(步骤501、502),再根据偏移量,找到一文件格式标志,确认是否此份文件是:PE或LE或NE格式文件中的任一种,也就是确认此文件是否为可执行文件(步骤503、504),如果是可执行文件,还有必要进一步检查当前的操作是否为写入操作(步骤505);反之,如果判定结果为不是可执行文件,则无须进一步判定当前操作是否为写入操作,直接结束判定过程(步骤506)。【示例】
以目前最流行的CIH计算机病毒为例,其感染过程为:CIH计算机病毒在感染时首先是在底层获得控制权,然后当有可执行文件进行操作时,便改受CIH计算机病毒的操作,去调用Ring_File I0完成对其他可执行文件的感染,并且将这种感染逐一传给所有的可执行文件。所以根据本发明所揭露的技术,首先是启动Ring0层代码,依图4中的步骤301~307,将CIH计算机病毒的Ring_File I0操作拦截下来,并接收有关CIH计算机病毒操作的相关参数,接着判断此时的操作是否为写入操作,如果是写入操作,则调用Ring3层的处理程序,并且中断当前Ring0层的处理程序,等待被再次唤醒,此时,处于等待状态的Ring3层的处理程序会因Ring0层的调用开始运行(图5中的步骤401~408),接收关于CIH病毒的参数,判断当前的操作是否为修改可执行文件,如果是,则将返回值设定为“假”(False),并且唤醒Ring0层的处理程序(图4中的步骤308~310),由Ring0层接收到返回值,拒绝CIH病毒的进一步运行,从而使CIH病毒在欲改写第一个可执行文件时,即被中止,切断了CIH病毒的感染途径,达到了防毒的目的。
本发明所揭露的技术可在计算机病毒欲进行感染其他应用程序或文件之际,能立即拦截有关计算机病毒操作的相关参数,切断计算机病毒的感染途径,而达到防止计算机病毒扩散至其他的应用程序、文件。以上所述仅为本发明的较佳实施例,并不限于以上所述内容,本领域的普通技术人员在本发明的精神下所作的任何修改均在本申请所附的权利要求范围内。
Claims (13)
1.一种防止计算机病毒传染的方法,包括下列步骤:
以一高权限的系统处理程序接收当前的一事件;
在该事件对一可执行文件作一写入操作时,调用一低权限的系统处理程序,并中断该高权限的系统处理程序;
由该低权限的系统处理程序接收该高权限的系统处理程序传来的与该事件相关的参数;
在该写入操作用以修改该可执行文件,且在收到一确认信息时,唤醒该高权限的系统处理程序;
自该低权限的系统处理程序传送一返回值给该高权限的系统处理程序;以及
该高权限的系统处理程序根据该返回值,执行相应的该事件。
2.根据权利要求1的防止计算机病毒传染的方法,其特征在于该事件是对一文件进行操作。
3.根据权利要求1的防止计算机病毒传染的方法,其特征在于该事件是启动一应用程序。
4.根据权利要求1的防止计算机病毒传染的方法,其特征在于该可执行文件包含有:一文件头以及一文件格式标志。
5.根据权利要求1的防止计算机病毒传染的方法,其特征在于该确认信息为一病毒入侵信息时,该低权限的系统处理程序传送“真”的返回值给高权限的系统处理程序。
6.根据权利要求1的防止计算机病毒传染的方法,其特征在于该确认信息不是病毒入侵信息时,该低权限的系统处理程序在接收一继续事件信息后,传送“假”的返回值给该高权限的系统处理程序。
7.根据权利要求1的防止计算机病毒传染的方法,其特征在于该确认信息不是病毒入侵信息时,该低权限的系统处理程序接收一中断事件信息后,传送“真”的返回值给该高权限的系统处理程序。
8.根据权利要求1的防止计算机病毒传染的方法,其特征在于还包含:
在该写入操作不是修改该可执行文件时,唤醒该高权限的系统处理程序;
自该低权限的系统处理程序传送该返回值给该高权限的系统处理程序;以及
该高权限的系统处理程序根据该返回值,进行相应的处理。
9.根据权利要求8的防止计算机病毒传染的方法,其特征在于该返回值为“真”。
10.根据权利要求1的防止计算机病毒传染的方法,其特征在于该写入操作由该计算机病毒所产生。
11.根据权利要求1的防止计算机病毒传染的方法,其特征在于该写入操作由该事件所产生。
12.根据权利要求1的防止计算机病毒传染的方法,其特征在于该高权限的系统处理程序为一Ring0层处理程序。
13.根据权利要求1的防止计算机病毒传染的方法,其特征在于该低权限的系统处理程序为一Ring3层处理程序。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 00102686 CN1310393A (zh) | 2000-02-24 | 2000-02-24 | 防止计算机病毒传染的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 00102686 CN1310393A (zh) | 2000-02-24 | 2000-02-24 | 防止计算机病毒传染的方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN1310393A true CN1310393A (zh) | 2001-08-29 |
Family
ID=4576501
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN 00102686 Pending CN1310393A (zh) | 2000-02-24 | 2000-02-24 | 防止计算机病毒传染的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN1310393A (zh) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100416585C (zh) * | 2005-03-29 | 2008-09-03 | 国际商业机器公司 | 源代码修复方法和代码管理库系统 |
CN100423016C (zh) * | 2005-03-29 | 2008-10-01 | 国际商业机器公司 | 源代码修复方法和代码管理库系统 |
CN101441687B (zh) * | 2007-11-21 | 2010-07-14 | 珠海金山软件股份有限公司 | 一种提取病毒文件的病毒特征的方法及其装置 |
CN1643876B (zh) * | 2002-03-29 | 2010-09-29 | 思科技术公司 | 用于降低网络入侵检测系统的误报率的方法和系统 |
US8099785B1 (en) | 2007-05-03 | 2012-01-17 | Kaspersky Lab, Zao | Method and system for treatment of cure-resistant computer malware |
CN1964262B (zh) * | 2005-11-10 | 2012-05-23 | 株式会社日立制作所 | 信息处理系统以及信息处理装置的分配方法 |
CN105095754A (zh) * | 2015-05-11 | 2015-11-25 | 北京奇虎科技有限公司 | 一种处理病毒应用的方法、和装置和移动终端 |
CN102637248B (zh) * | 2004-02-17 | 2018-04-24 | 微软技术许可有限责任公司 | 符合层叠对象相关的信任决定的用户界面 |
US10284576B2 (en) | 2004-02-17 | 2019-05-07 | Microsoft Technology Licensing, Llc | Tiered object-related trust decisions |
-
2000
- 2000-02-24 CN CN 00102686 patent/CN1310393A/zh active Pending
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1643876B (zh) * | 2002-03-29 | 2010-09-29 | 思科技术公司 | 用于降低网络入侵检测系统的误报率的方法和系统 |
CN102637248B (zh) * | 2004-02-17 | 2018-04-24 | 微软技术许可有限责任公司 | 符合层叠对象相关的信任决定的用户界面 |
US10284576B2 (en) | 2004-02-17 | 2019-05-07 | Microsoft Technology Licensing, Llc | Tiered object-related trust decisions |
CN100416585C (zh) * | 2005-03-29 | 2008-09-03 | 国际商业机器公司 | 源代码修复方法和代码管理库系统 |
CN100423016C (zh) * | 2005-03-29 | 2008-10-01 | 国际商业机器公司 | 源代码修复方法和代码管理库系统 |
CN1964262B (zh) * | 2005-11-10 | 2012-05-23 | 株式会社日立制作所 | 信息处理系统以及信息处理装置的分配方法 |
US8099785B1 (en) | 2007-05-03 | 2012-01-17 | Kaspersky Lab, Zao | Method and system for treatment of cure-resistant computer malware |
CN101441687B (zh) * | 2007-11-21 | 2010-07-14 | 珠海金山软件股份有限公司 | 一种提取病毒文件的病毒特征的方法及其装置 |
CN105095754A (zh) * | 2015-05-11 | 2015-11-25 | 北京奇虎科技有限公司 | 一种处理病毒应用的方法、和装置和移动终端 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8561192B2 (en) | Method and apparatus for automatically protecting a computer against a harmful program | |
CN103842971B (zh) | 用于间接接口监视和垂线探测的系统和方法 | |
AU2006210698B2 (en) | Intrusion detection for computer programs | |
US7673341B2 (en) | System and method of efficiently identifying and removing active malware from a computer | |
US8370931B1 (en) | Multi-behavior policy matching for malware detection | |
US5842002A (en) | Computer virus trap | |
RU2530210C2 (ru) | Система и способ выявления вредоносных программ, препятствующих штатному взаимодействию пользователя с интерфейсом операционной системы | |
US8695094B2 (en) | Detecting secondary infections in virus scanning | |
US7203962B1 (en) | System and method for using timestamps to detect attacks | |
CN100547513C (zh) | 基于程序行为分析的计算机防护方法 | |
CN102208002B (zh) | 一种新型计算机病毒查杀装置 | |
US20060230454A1 (en) | Fast protection of a computer's base system from malicious software using system-wide skins with OS-level sandboxing | |
US20100306851A1 (en) | Method and apparatus for preventing a vulnerability of a web browser from being exploited | |
WO2011050089A2 (en) | Preventing and responding to disabling of malware protection software | |
WO2007035575A2 (en) | Method and apparatus for removing harmful software | |
US9542557B2 (en) | Snoop-based kernel integrity monitoring apparatus and method thereof | |
WO2009049555A1 (fr) | Procédé et appareil pour détecter le comportement malveillant d'un programme informatique | |
WO2007035417A2 (en) | Method and apparatus for removing harmful software | |
CN102004882A (zh) | 远程线程注入型木马的检测和处理的方法和装置 | |
CN100557545C (zh) | 一种区分有害程序行为的方法 | |
CN1310393A (zh) | 防止计算机病毒传染的方法 | |
CN113486335A (zh) | 一种基于rasp零规则的jni恶意攻击检测方法及装置 | |
US8141153B1 (en) | Method and apparatus for detecting executable software in an alternate data stream | |
KR101126532B1 (ko) | 평판 정보를 이용한 포지티브 보안 기반의 악성코드 실행 방지 방법 및 이를 이용한 악성코드 실행 방지 시스템 | |
KR100937010B1 (ko) | 유해 프로세스 검출/차단 재발방지 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C06 | Publication | ||
PB01 | Publication | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |