CN1352426A - 一种计算机病毒防御方法 - Google Patents
一种计算机病毒防御方法 Download PDFInfo
- Publication number
- CN1352426A CN1352426A CN 01140073 CN01140073A CN1352426A CN 1352426 A CN1352426 A CN 1352426A CN 01140073 CN01140073 CN 01140073 CN 01140073 A CN01140073 A CN 01140073A CN 1352426 A CN1352426 A CN 1352426A
- Authority
- CN
- China
- Prior art keywords
- file
- virus
- user
- computer virus
- prevention method
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种计算机病毒防御方法,包括:宏病毒的防御、脚本病毒的防御、引导扇区和分区表病毒的防御和文件型病毒的防御,本发明能防病毒侵入计算机,不依赖病毒的特征码,采取的是对所有的软件防御有限病毒,以及对有限的软件防御无限病毒的方案,这样既避免了传统反毒方法的升级频繁的麻烦,又使得对病毒问题的解决完成于病毒出现之前,因此使用简单、防御病毒的效果较好。
Description
技术领域:
本发明涉及一种计算机病毒的防御方法。
背景技术:
在人们的生产、生活的中,计算机病毒已成为影响计算机使用效果和效率的重要因素,对计算机病毒进行防治已成为计算机使用过程中的当务之急,同时市场上出现了很多反计算机病毒的软件。但是,目前的反病毒软件所采用的反病毒方法几乎都是依赖于病毒特征码。由于计算机病毒通常都具有各自的身份等特征,当一种计算机病毒出现后,首先找到该病毒具有的特征,依据该特征对该特征所表征的病毒进行搜寻和处理。由于新病毒的层出不穷,反病毒软件需要不断更新或增加反病毒软件病毒库的病毒特征,从而导致升级频繁,对病毒的问题解决总是在病毒出现之后,甚至在灾难发生之后,此时可能已造成数据丢失或系统崩溃等灾难性后果,再好的反病毒软件也无能为力,可见,现有的反计算机病毒的方法以被动方式工作,使用麻烦、反毒效果较差。因此,在计算机病毒的防治过程中迫切需要解决上述问题,以提高对计算机病毒的防御能力。
发明内容:
本发明的目的在于提供一种使用简单、效果较好的计算机病毒防御方法。为达到上述目的,本发明提供的计算机病毒防御方法包括:
(1)宏病毒的防御:当摸板文件关闭时,首先清除其中的宏,然后关闭;文件打开时,检查宏,文件关闭时,检查宏;模板文件打开时检查宏,模板文件关闭时,检查宏;
(2)脚本病毒的防御:当系统存在脚本文件时,提示用户,由用户选择对脚本文件的隔离、保留或删除;
(3)引导扇区和分区表病毒的防御:对引导扇区和分区表进行备份,当引导扇区或分区表异常时,使用上述备份恢复;
(4)文件型病毒的防御:对所有可执行代码的写入进行重定位的备份,当系统突发增加可执行代码时,向用户提示,以及利用知识库进行病毒的查询、杀除和防御。
对于上述方法,所述步骤(1)中还包括;在清除摸板文件中的宏之前,显示找的宏,由用户确定是否清除;以及当摸板文件在运行过程中打开其它文件时,对用户进行提示。
所述步骤(2)中还包括:当脚本文件进行文件的写、删除、修改、创建操作时,对被操作的文件进行屏蔽或提示用户处理。
所述步骤(3)中还包括:创建引导扇区和分区表的外部备份,以在系统被破坏时恢复。
所述步骤(4)中还包括:对一切可执行代码及其相关的配置文件的写入提示用户选择禁止或认可。
本发明所述方法还包括:
检测系统资源的使用状况,如果异常则提示用户处理。
备份文件系统的文件,当系统出现错误时,比较系统文件和备份文件是否有区别,如果有,有选择地备份和恢复。
在执行所有的备份前,检查系统是否感染病毒,当没有感染时进行备份操作,否则仅向用户提示系统已感染病毒。
将系统文件、相关文件或常见软件的内容制作为知识库,以方便取得校验和、局部数据块、局部关键数据块,或者是生成冗余模块,甚至全部备份,从而方便对这些软件的检测。
由上述方案可以看出,与传统方法的不同在于,传统软件依赖病毒的特征码,是对所有的软件防止所有的病毒,由于病毒感染、发作在先,反毒在后,所以无法解决计算机使用中的安全问题;本发明以防为主,不依赖病毒的特征码,采取的是对所有的软件防御有限病毒,以及对有限的软件防御无限病毒的方案;通过对宏病毒、脚本病毒、引导扇区和分区表病毒和文件型病毒的防御,达到病毒防御的目的,这样既避免了传统反毒方法的升级频繁的麻烦,又使得对病毒问题的解决完成于病毒出现之前,因此使用简单、效果较好。
附图说明:
图1是本发明实施例的流程图;
图2是本发明实施例采用的文件重定向防御病毒原理图。
具体实施方式:
下面结合附图对本发明进行详细说明。
计算机病毒的主要攻击对象通常是硬盘数据。病毒的主要宿主是硬盘文件、EMAIL或网页,以及引导记录等可执行的代码;硬盘的感染对象主要是可执行代码,例如二进制的代码、宏病毒以及脚本等。但是无论是宏病毒还是脚本的运行一律依赖二进制代码来激活;
依赖备份能够较好地解决下述问题:采用对系统的所有可执行的代码进行备份,正常工作情况下这些可执行代码不应该变更,如果变更,表明系统运行不正常。
对系统硬盘的一切可执行代码进行监视,可以发现系统的一些典型问题,例如可执行代码序列变长或内容有改变,这样可以防止硬盘文件被感染病毒;
一些典型的非破坏性病毒往往采取占用CPU资源,占用屏幕,占用内存,大量写入硬盘等方式来影响用户的电脑使用,因此可以通过对系统资源使用的检测来发现此类病毒。
本发明的具体实施方案参考图1,图1是本发明实施例的流程图。按照图1实施本发明,共有四个大步骤,步骤1是对宏病毒的防御。对于宏病毒,由于宏病毒的传染是通过模板文件,所以要有效抑制宏病毒的传播需要严格控制模板的写操作;本发明对模板文件的写入采取许可策略,在模板文件打开时,检查宏,文件关闭时,也检查宏,模板文件一旦关闭,立即清除其中的宏,这样就可以有效防止宏病毒的蔓延。
就目前国内来说,宏在用户中的应用非常少,所以采取直接清除文档中的宏的做法非常安全;对于特殊用户,可以列举寻找到的宏,提醒用户这些宏是否用户确实认可的。因此,本发明的具体实施中,在清除摸板文件中的宏之前,显示找的宏,由用户确定是否清除。
如果宏病毒在运行中打开其他文件进行写操作的情况,可以在本发明具体实施时进行如下处理:当摸板文件在运行过程中打开其它文件时,对用户进行提示,由系统提醒用户一个新的文件被打开,询问是否用户自己打开的文件,由于用户自己打开的文件都很清楚,而非用户打开的文件用户就会提出质疑,这样既有利于防止宏病毒的蔓延,也有利于提醒用户电脑上携带了宏病毒。当然,实际中也可以在每个文件被打开时,先清除所有的宏。
步骤2是对脚本病毒的防御。正常使用情况下,用户的电脑中通常不应该有脚本的存在,因此可以通过扫描系统,如果有脚本要提醒用户,如果用户不认识,那么选择把脚本文件隔离。因此,对脚本病毒的防御,可以通过当系统存在脚本文件时,提示用户,由用户选择对脚本文件的隔离、保留或删除来实现。由于脚本病毒要传播或者感染一定需要透过系统的文件支持;从正常的脚本来看,几乎不需要进行文件操作;所以直接屏蔽程序的文件写,删,改,创建操作就可以有效控制脚本文件的传播和运行;
步骤3是对引导扇区和分区表病毒的防御。由于引导扇区和分区表通常具有固定的格式和内容,可以采取直接备份的方式来解决,在系统运行过程中经常性检查引导扇区和分区表,发现变更立即恢复。因此在该步骤对引导扇区和分区表进行备份,当引导扇区或分区表异常时,使用上述备份恢复。为本步骤更完善,实际中还可以创建分区表的外部备份,例如在软盘上备份,以在系统被破坏时恢复。
步骤4是对文件型病毒的防御。对所有可执行代码的写入进行重定位的备份,例如在硬盘上另外寻找一个空间来保存这些数据,原始数据不改变,但是透过软件的支持来保证系统能够正常找到这个文件;当系统突发增加可执行代码时,例如系统突然增加较多的可执行代码序列时,如增加较多的.EXE或.COM文件,应向用户提示。另外,在本步骤中还可以通过对一切可执行代码及其相关的配置文件的写入提示用户选择禁止或认可来辅助实现。
上面所述对所有可执行代码的写入进行重定位的备份的方法,可以透过禁止新的可执行代码的生成来限制“黑客”或者“木马”程序以及其它种类病毒的入侵和破坏行为,即限制病毒程序在计算机中的生成和驻留。本发明所述的数据重定向防御病毒的原理参考图2。首先在逻辑上将硬盘划为保护区和非保护区,所述非保护区即为可执行代码的重定位区,保护区的文件对用户来说是隐藏的,非保护区的重定位文件对用户来说是可见的,保护区内的文件都不会被破坏或者改写。当保护区内的文件1被写的时候,在非保护区(重定向区)会先产生一个与文件1同样的新文件1,对系统而言,新文件1和文件1完全等同;当发现非保护区的新文件1可疑,或者被破坏,可以立即启用保护区的文件1(隐藏),这样就达到了防止病毒破坏的目的。
对计算机病毒的防御还可以通过采用下述手段来辅助实现。
由于计算机病毒往往通过传染、破坏或占用系统资源的方式干扰计算机的正常工作,因此在本发明的具体实施过程中,通过检测系统资源的使用状况,例如检测CPU、内存或硬盘的占用率状况,如果发现这些内容变更比较快即可判定异常,需要立即对用户提出警告,如果用户认为不正常,则可以立即采取措施。
备份文件系统的文件,当系统出现错误时,比较系统文件和备份文件是否有区别,如果有,有选择地备份和恢复。
值得指出,在本发明具体实施过程中,在执行所有的备份前,应检查系统是否感染病毒,如通过辅助查毒软件检查,当没有感染时进行备份操作,否则仅向用户提示系统已感染病毒。只有在系统不存在病毒时,备份才有意义。
为使对计算机的检测更有效,对于有限的软件,比如市场上常见的软件,可以将其内容制作成知识库,以方便对这些内容进行检测。
所述知识库,是包括文件名字,日期,大小,各种校验和,文件关键区,文件内容;或者使用其他的冗余的方式形成的与原始文件相关的数据包。由于制作知识库时系统是干净无毒的,那么透过做知识库,可以将系统文件、相关文件或常见软件的有关内容集合到知识库中,以方便取得校验和、局部数据块、局部关键数据块,或者是生成冗余模块,甚至全部备份,从而利用所述知识库有效检测、清除病毒以及对绝大多数计算机直接杀毒。
简言之,通过制作知识库,用原始文件的有关信息形成知识库的内容,即可根据知识库,检查原始文件是否正确,如果不正确,报警,同时根据知识库进行恢复操作。
Claims (10)
1、一种计算机病毒防御方法,包括:
(1)宏病毒的防御:当摸板文件关闭时,首先清除其中的宏,然后关闭;文件打开时,检查宏,文件关闭时,检查宏;模板文件打开时检查宏,模板文件关闭时,检查宏;
(2)脚本病毒的防御:当系统存在脚本文件时,提示用户,由用户选择对脚本文件的隔离、保留或删除;
(3)引导扇区和分区表病毒的防御:对引导扇区和分区表进行备份,当引导扇区或分区表异常时,使用上述备份恢复;
(4)文件型病毒的防御:对所有可执行代码的写入进行重定位,当系统执行该可执行代码时,向用户提示,以及利用与病毒样本和特征码无关的知识库进行病毒的查询、杀除和防御。
2、根据权利要求1所述的计算机病毒防御方法,其特征在于所述步骤(1)中还包括:在清除摸板文件中的宏之前,显示找的宏,由用户确定是否清除。
3、根据权利要求1所述的计算机病毒防御方法,其特征在于在所述步骤(1)中还包括:当摸板文件在运行过程中打开其它文件时,对用户进行提示。
4、根据权利要求1所述的计算机病毒防御方法,其特征在于所述步骤(2)中还包括:当脚本文件进行文件的写、删除、修改、创建操作时,对被操作的文件进行屏蔽或提示用户处理。
5、根据权利要求1所述的计算机病毒防御方法,其特征在于所述步骤(3)中还包括:创建引导扇区和分区表的外部备份,以在系统被破坏时恢复。
6、根据权利要求1所述的计算机病毒防御方法,其特征在于所述步骤(4)中还包括:对一切可执行代码及其相关的配置文件的写入提示用户选择禁止或认可。
7、根据权利要求1所述的计算机病毒防御方法,其特征在于所述方法还包括:检测系统资源的使用状况,如果异常则提示用户处理。
8、根据权利要求1所述的计算机病毒防御方法,其特征在于所述方法还包括:备份整个或者局部系统的文件,当系统出现错误时,比较系统文件和备份文件是否有区别,如果有,有选择地备份和恢复。
9、根据权利要求1、2、3、4、5、6、7或8所述的计算机病毒防御方法,其特征在于所述方法还包括:在执行所有的备份前,检查系统是否感染病毒,当没有感染时进行备份操作,否则仅向用户提示系统已感染病毒。
10、根据权利要求8所述的计算机病毒防御方法,其特征在于所述方法还包括:将系统文件、相关文件或常见软件的内容制作为知识库,以方便取得校验和、局部数据块、局部关键数据块,或者是生成冗余模块,甚至全部备份,从而方便对这些软件的检测。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 01140073 CN1352426A (zh) | 2001-11-26 | 2001-11-26 | 一种计算机病毒防御方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 01140073 CN1352426A (zh) | 2001-11-26 | 2001-11-26 | 一种计算机病毒防御方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN1352426A true CN1352426A (zh) | 2002-06-05 |
Family
ID=4675633
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN 01140073 Pending CN1352426A (zh) | 2001-11-26 | 2001-11-26 | 一种计算机病毒防御方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN1352426A (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100437498C (zh) * | 2005-11-07 | 2008-11-26 | 珠海金山软件股份有限公司 | 一种预防与解决数据丢失的方法 |
CN1740945B (zh) * | 2004-05-28 | 2011-01-19 | 微软公司 | 用于识别出潜在的不需要的软件的方法和系统 |
CN101685483B (zh) * | 2008-09-22 | 2011-07-20 | 成都市华为赛门铁克科技有限公司 | 一种病毒特征码提取的方法和装置 |
CN102622551A (zh) * | 2012-04-11 | 2012-08-01 | 无锡华御信息技术有限公司 | 一种文档安全防护方法 |
CN103530558A (zh) * | 2006-12-04 | 2014-01-22 | 格拉斯沃(Ip)有限公司 | 对阻止有害代码和数据扩散的改进 |
CN107301348A (zh) * | 2017-05-19 | 2017-10-27 | 深圳市同泰怡信息技术有限公司 | 一种检测mbr内容合理性的算法 |
-
2001
- 2001-11-26 CN CN 01140073 patent/CN1352426A/zh active Pending
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1740945B (zh) * | 2004-05-28 | 2011-01-19 | 微软公司 | 用于识别出潜在的不需要的软件的方法和系统 |
CN100437498C (zh) * | 2005-11-07 | 2008-11-26 | 珠海金山软件股份有限公司 | 一种预防与解决数据丢失的方法 |
CN103530558A (zh) * | 2006-12-04 | 2014-01-22 | 格拉斯沃(Ip)有限公司 | 对阻止有害代码和数据扩散的改进 |
CN101611412B (zh) * | 2006-12-04 | 2014-02-12 | 格拉斯沃(Ip)有限公司 | 对阻止有害代码和数据扩散的改进 |
CN101685483B (zh) * | 2008-09-22 | 2011-07-20 | 成都市华为赛门铁克科技有限公司 | 一种病毒特征码提取的方法和装置 |
CN102622551A (zh) * | 2012-04-11 | 2012-08-01 | 无锡华御信息技术有限公司 | 一种文档安全防护方法 |
CN107301348A (zh) * | 2017-05-19 | 2017-10-27 | 深圳市同泰怡信息技术有限公司 | 一种检测mbr内容合理性的算法 |
CN107301348B (zh) * | 2017-05-19 | 2020-11-13 | 深圳市同泰怡信息技术有限公司 | 一种检测mbr内容合理性的算法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11507663B2 (en) | Method of remediating operations performed by a program and system thereof | |
US9230098B2 (en) | Real time lockdown | |
US9317686B1 (en) | File backup to combat ransomware | |
US7716743B2 (en) | Privacy friendly malware quarantines | |
US8566943B2 (en) | Asynchronous processing of events for malware detection | |
US7779472B1 (en) | Application behavior based malware detection | |
US20110047618A1 (en) | Method, System, and Computer Program Product for Malware Detection, Analysis, and Response | |
US8220053B1 (en) | Shadow copy-based malware scanning | |
EP3362937B1 (en) | Method of remediating a program and system thereof by undoing operations | |
JP2003196112A (ja) | ウィルスチェックソフトウェアのウィルスチェック方法 | |
JPH10501354A (ja) | コンピュータ・ウィルス・トラップ装置 | |
KR20060051383A (ko) | 바이러스 방지 소프트웨어 어플리케이션들의 지식 베이스를모으는 시스템 및 방법 | |
EP2306356B1 (en) | Asynchronous processing of events for malware detection | |
Nadim et al. | Characteristic features of the kernel-level rootkit for learning-based detection model training | |
CN1352426A (zh) | 一种计算机病毒防御方法 | |
US7350235B2 (en) | Detection of decryption to identify encrypted virus | |
US8341428B2 (en) | System and method to protect computing systems | |
Vasudevan | MalTRAK: Tracking and eliminating unknown malware | |
US20060242707A1 (en) | System and method for protecting a computer system | |
Brumley et al. | Sting: An end-to-end self-healing system for defending against internet worms | |
Guo et al. | A survey on feature extraction methods of heuristic backdoor detection | |
Dai et al. | Holography: a hardware virtualization tool for malware analysis | |
Li et al. | Agis: Towards automatic generation of infection signatures | |
RU2363045C1 (ru) | Способ и система для лечения вредоносных программ, которые препятствуют лечению | |
Wang et al. | CanCal: Towards Real-time and Lightweight Ransomware Detection and Response in Industrial Environments |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |