CN1889004A - 一种病毒处理方法 - Google Patents
一种病毒处理方法 Download PDFInfo
- Publication number
- CN1889004A CN1889004A CN 200510079861 CN200510079861A CN1889004A CN 1889004 A CN1889004 A CN 1889004A CN 200510079861 CN200510079861 CN 200510079861 CN 200510079861 A CN200510079861 A CN 200510079861A CN 1889004 A CN1889004 A CN 1889004A
- Authority
- CN
- China
- Prior art keywords
- virus
- program
- behavior
- described step
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种病毒处理方法,该方法首先确定系统中与系统安全相关的关键数据,并将针对所述关键数据的操作作为病毒行为;之后判断系统中程序的运行行为是否属于病毒行为,如果是,则确定该程序为病毒程序;否则,确定该程序不属于病毒程序。本发明方案解决了目前的安全软件只能查杀已知的病毒,无法防止未知病毒对系统攻击的问题。通过本发明所提供的方案,增强了PC对未知病毒的防范能力,降低了PC的系统风险,并降低了病毒对系统及用户数据可能造成的危害。
Description
技术领域
本发明涉及计算机安全技术领域,更确切地说是涉及一种病毒处理方法。
背景技术
目前,随着计算机的日益发展和普及,计算机已成为人们工作和生活中不可或缺的使用工具。随着计算机的发展,对计算机造成侵害的病毒也在日新月异地发展。众所周知,病毒对计算机的危害相当大,轻则占用计算机内存,引起死机,重则破坏计算机中的文件,使得计算机无法使用。因此,针对病毒防范的安全软件成了所有计算机必须配备的工具。
目前最主流的安全软件是杀毒软件。杀毒软件的原理是:通过对已知病毒的代码分析找到已知病毒的代码特征,将该病毒的特征记录到杀毒软件的病毒库中,之后在查杀病毒时,杀毒软件对系统中文件代码进行扫描,并把文件内容与病毒库中的病毒特征进行比较,从而确定该文件是否有病毒。
从上述描述可以看出,杀毒软件只能查杀已知病毒,并且只能根据文件内容查杀病毒。而病毒的发展和变异是相当快的,如果出现了新病毒,或者病毒稍有变形,则杀毒软件就不能发现这样的病毒了。只有在杀毒软件公司分析了该病毒的代码,提出病毒代码特征并升级病毒库后,才能查杀新病毒。显然,从新病毒出现到建立新的病毒库的过程中,用户的计算机始终处于危险状态,很有可能会因被病毒攻击而造成重大损失。
另外,目前比较流行的安全软件还有防火墙。防火墙虽然也有防止病毒侵袭的功能,但其只能阻止从网络来的病毒对PC的攻击。一旦病毒在本机运行,比如,用户下载了带有病毒的软件,并在本地运行了该软件,或者用户访问了一个特殊网站,该网站利用网络浏览器的缺陷,将病毒程序放到用户的计算机上,并在后台运行,防火墙就无能为力了。
综上所述,目前的安全软件都只能查杀现有的病毒,无法防止未知病毒对系统的攻击。
发明内容
有鉴于此,本发明所要解决的主要问题在于提供一种病毒处理方法,以不用得知病毒的代码就能确定病毒。
为解决上述问题,本发明提供了以下技术方案:
一种病毒处理方法,该方法包括以下步骤:
a.确定系统中与系统安全相关的关键数据,并将针对所述关键数据的操作作为病毒行为;
b.判断系统中程序的运行行为是否属于病毒行为,如果是,则确定该程序为病毒程序;否则,确定该程序不属于病毒程序。
所述步骤a中,所述关键数据包括核心文件和/或关键注册表项。
所述步骤a中,所述病毒行为包括:修改特定的系统内核文件、批量替换特定的文件、在系统启动项中添加程序、打开系统的特定端口、访问系统中的通讯录并向通讯录中所有人发送程序、将自己的线程加到其他内存运行的进程中的一个或任意组合。
该方法进一步包括:设置合法程序和/或合法程序行为;
步骤b中,所述在确定程序为病毒程序之前,进一步包括:判断该程序是否属于合法程序或合法程序行为,如果是,则确定该程序不是病毒程序;否则,确定该程序为病毒程序。
所述合法程序包括:注册表编辑器、杀毒软件升级程序、修改注册表及系统核心程序的系统升级程序、用户自身下载的病毒升级程序中的一个或任意组合。
该方法进一步包括:设置系统监控行为服务程序;
所述步骤b之前进一步包括:所述系统监控行为服务程序在用户启动病毒处理后,确定直接执行所述步骤b;在用户暂停病毒处理后,确定暂停执行步骤b,且在用户重启病毒处理后再执行所述步骤b。
所述系统为Windows系统,且所述系统中的设备对象为堆栈式层次结构;
该方法进一步包括:在堆栈式层次结构中设置过滤器设备对象;
所述步骤b通过所设置的过滤器设备对象执行。
所述过滤器设备对象为上层过滤器设备对象。
所述步骤b在确定程序为病毒程序后,进一步包括:系统发出报警信息,和/或阻止病毒对系统的行为,和/或关闭该程序的运行。
本发明通过将对关键数据的操作作为病毒行为,并判断系统中运行的程序是否属于病毒行为,使得不需要知道病毒的代码就可以确定病毒程序,从而增强了PC对未知病毒的防范能力,降低了PC的系统风险,降低了病毒对系统及用户数据可能造成的危害。
本发明方案所提供的病毒行为还可以根据病毒的发展动态增加,实现起来非常灵活。
本发明方案所提供的合法程序及合法程序行为可以根据实际情况进行设置或增加,尽可能地降低将合法程序误认为病毒程序的概率,使得对病毒的确定更加准确。
本发明还提供了由用户主动启动/暂停病毒处理的方案,使得用户对病毒处理的使用更加方便。
对于Windows系统来说,本发明还提供了利用过滤器设备对象对程序是否为病毒程序进行监控的方案,而Windows系统是非常普遍的系统,因此该方案使得使用Windows系统的PC能够非常容易地发现病毒。
附图说明
图1为本发明方案中具体实施例的处理流程图。
具体实施方式
本发明方案主要是通过分析病毒在系统中的行为模式提出病毒行为特征,并形成病毒行为库,之后,在系统运行过程中,监视并检查系统中正在运行的各个程序的行为,如果发现有某个程序的运行符合病毒行为,则确定该程序属于病毒程序。其中,由于病毒通常是针对系统中的某些关键数据进行攻击,因此可以首先确定关键数据,并将攻击该关键数据的行为看作是病毒行为。
下面再结合附图及具体实施例对本发明方案作进一步详细的说明。
该方案如图1所示,包括以下步骤:
步骤101、确定系统中与系统安全相关的关键数据。
所确定的系统关键数据可以包括核心文件及关键注册表项,还可以根据需要将其他的数据作为关键数据。
之所以确定系统核心文件及关键的注册表项,是因为这类文件/数据通常是系统的关键数据,这些关键数据在系统运行过程中会影响到系统的稳定性与安全性,而病毒恰恰是希望改变或删除这些关键数据。比如,Windows系统中运行服务的相关文件,如SVCHOST.EXE,就可以称为系统核心文件;注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中的数据也为关键数据,相应的注册表项即为关键注册表项。
步骤102、根据步骤101定义的关键数据定义病毒行为。
病毒对计算机系统造成危害主要是通过修改或扰乱步骤101所定义的系统核心文件、关键注册表项或其他数据造成的。比如,病毒程序可能会修改步骤101所定义的系统内核文件,如用有病毒的内核替换正常的系统内核,或者批量替换某种类型的文件,将病毒复制到这些文件中,以利于自己的传播。再比如,在注册表等系统启动项中添加病毒程序,系统再次启动时该病毒程序就会被启动。还有,打开系统的特定端口,以便向系统外发送用户的密码等重要数据,或使本系统接受其他计算机上的黑客对本系统的控制;访问计算机上的通讯录,并向通讯录上的所有人发送带有病毒的程序;将自己的线程加到在其他内存中运行的进程中,从而扰乱其他计算机的运行。
由此,可以根据病毒在上述情况下所做的处理设置病毒行为,所设置的病毒行为可以包括:修改特定的系统内核文件、批量替换特定的文件、在注册表等系统启动项中添加程序、打开系统的特定端口、访问系统中的通讯录并向通讯录中所有人发送程序、将自己的线程加到其他内存运行的进程中。可以将这些病毒行为设置为病毒行为库。显然,该病毒行为库可以根据需要进行升级。
步骤103、根据步骤102定义的病毒行为对运行的程序进行监视和检查,在确定某个程序的运行符合病毒行为后,即确定该程序为病毒程序。
在确定程序为病毒程序后,系统可以向用户发出报警信息,还可以阻止该进程对系统的行为,甚至还可以在用户许可的情况下,通过进程监控服务来关闭该进程。
通过上述过程即可完成查找系统中的病毒。
另外,系统中有些程序虽然也修改系统内核文件,或者也在注册表中添加程序,但这些程序是合法程序,因此,为进一步准确地确定病毒程序,应该将这些合法程序从病毒程序中区别出来。
具体来说,可以先确定某些程序和/或某些行为属于合法的。比如,由于允许注册表编辑器、杀毒软件升级程序以及Windows升级程序这类的程序对系统相应的部分进行修改,如注册表编辑器可以修改注册表,杀毒软件升级程序可以修改已知的病毒库、病毒行为库以及杀毒功能,Windows升级程序可以修改注册表及系统核心程序等,因此,可以将这类程序预设为合法程序。
还可以根据合法程序的特点确定一些规则,并将这些规则作为合法的行为规则库。比如,上述注册表编辑器可以修改注册表,因此将注册表编辑器对注册表的修改作为合法的行为规则;类似地,可以将杀毒软件升级程序修改病毒库、病毒行为库、杀毒功能,以及Windows升级程序修改注册表及系统核心程序作为合法的行为规则。
显然,合法程序以及合法的行为规则库也可以根据需要进行升级或修改。比如,用户可以手工添加自己需求的合法程序或添加用于修改系统的临时程序,具体来说,用户可以将自己下载的病毒升级程序添加为合法程序,并且可以进一步设置该程序的行为规则为:在下载后只在系统中运行一次。
在设置了合法程序和/或合法的行为规则库之后,在上述步骤103中,在对系统中运行的程序进行监视和检查时,如果确定某个程序符合步骤102所定义的病毒行为,但该程序又属于合法程序,或符合合法的行为规则库,则可以认为该程序为合法程序。换言之,如果确定某个程序符合步骤102所定义的病毒行为,并且该程序不属于合法程序,也不属于合法的行为规则,则确定该程序为病毒程序。
下面针对Windows系统,对本发明方案中系统通过监控功能对运行的程序进行监视和检查的实现方式进行描述。
在Windows系统中,Windows是面向对象设计的操作系统,所有的事务都是通过一系列的对象进行操作和处理来完成的。在设备的管理和驱动方面,任何物理设备在系统中运行时,系统都为该设备在内存中建立一个或多个设备对象,通过对设备对象的操作最终完成对物理设备的访问。其中,设备对象具体可以分为物理设备对象(PDO)、功能设备对象(FDO)以及过滤器设备对象(Filter DO)。PDO直接代表系统中查找到的物理设备本身;FDO代表功能驱动程序所对应的设备对象,驱动程序通过该设备对象接受和处理设备访问请求,实现设备的功能;Filter DO代表过滤器驱动程序所对应的设备对象,过滤器驱动程序通过此设备对象接受和处理设备请求,以改变或约束设备行为。
基于上述设备对象的分类,WINNT及WIN2000下设备和驱动程序存在明显的堆栈式层次结构:处于堆栈最低层的设备对象为PDO,与其对应的驱动程序为总线驱动程序;处于设备对象堆栈中间的设备对象为FDO,与其对应的驱动程序为功能驱动程序;在FDO的上面以及FDO与PDO之间还有一些设备对象,为Filter DO,其中,位于FDO上面的过滤器设备对象为上层过滤器,与其对应的驱动程序为上层过滤器驱动程序,位于FDO与PDO之间的过滤器设备对象为下层过滤器,与其对应的驱动程序为下层过滤器驱动程序。
在上述的堆栈式结构下,进行I/O请求时,每个影响到设备的操作都使用IRP,并且IRP通常先被送到堆栈的最上层驱动程序,即上层过滤器驱动程序,然后逐渐过滤到下面的驱动程序。每层驱动程序都可以决定如何处理IRP,比如,驱动程序可能只是向下层传递该IRP;也可能是直接处理该IRP,且不再向下传递;还可能是既进行处理,并向下传递。具体如何处理需要取决于驱动程序所对应的设备,以及IRP中所携带的内容。
基于上述情况,如果想拦截系统的文件操作,则必须拦截发向每个文件系统驱动程序的IRP。显然,拦截IRP最简单的方法就是创建一个上层过滤器设备对象,并将其加入到文件系统设备所在的设备堆栈中,即采用文件过滤驱动方式。由于上层过滤器设备对象最先接收到IRP,因此可以在最开始就对IRP进行监控。所设置的上层过滤器设备对象在对IPR进行监控时,对其读写进行判断,即判断该IRP的操作是否会修改预先定义的系统核心文件、或修改注册表的关键表项等预先定义的行为,如果不符合,则允许该操作执行;否则,阻止该行为,并向用户报警。
当然,也可以在设备堆栈的其他位置设置相应的过滤器设备对象,比如,在PDO与FDO之间设置下层过滤器设备对象。对于这种设置方式来说,由于在最开始没有对IRP进行监测,因此监测病毒程序的能力要弱一些。
另外,还可以在系统上层设置系统监控行为服务,以便根据用户控制是否进行病毒监控。对于设置上层过滤驱动设备对象的方案来说,该系统监控行为服务应位于之前所设置的上层过滤驱动设备对象的上层,以便及时根据用户操作,通知上层过滤驱动设备对象修改或临时改变过滤操作。比如,用户需要打系统补丁,由于打补丁需要修改系统的核心文件,因此用户可以通过系统监控行为服务程序进行设置,即设置暂停病毒监控,系统监控行为服务程序则通知该上层过滤驱动设备对象暂停操作,并在用户完成系统升级、打好补丁、并通过系统监控行为服务程序设置重启病毒监控后,再通知该上层过滤驱动设备对象重新启动病毒监控。
由于对于Windows系统来说,其以核心态运行的程序可以对系统中运行的各种程序进行处理,因此,本发明所提供的监控程序可以设置为以核心态运行,该监控程序既可包括上层过滤驱动设备对象所对应的驱动程序,也可包括系统监控行为服务。
以上所述仅为本发明方案的较佳实施例,并不用以限定本发明的保护范围。
Claims (9)
1、一种病毒处理方法,其特征在于,该方法包括以下步骤:
a.确定系统中与系统安全相关的关键数据,并将针对所述关键数据的操作作为病毒行为;
b.判断系统中程序的运行行为是否属于病毒行为,如果是,则确定该程序为病毒程序;否则,确定该程序不属于病毒程序。
2、根据权利要求1所述的方法,其特征在于,所述步骤a中,所述关键数据包括核心文件和/或关键注册表项。
3、根据权利要求1所述的方法,其特征在于,所述步骤a中,所述病毒行为包括:修改特定的系统内核文件、批量替换特定的文件、在系统启动项中添加程序、打开系统的特定端口、访问系统中的通讯录并向通讯录中所有人发送程序、将自己的线程加到其他内存运行的进程中的一个或任意组合。
4、根据权利要求1所述的方法,其特征在于,该方法进一步包括:设置合法程序和/或合法程序行为;
步骤b中,所述在确定程序为病毒程序之前,进一步包括:判断该程序是否属于合法程序或合法程序行为,如果是,则确定该程序不是病毒程序;否则,确定该程序为病毒程序。
5、根据权利要求4所述的方法,其特征在于,所述合法程序包括:注册表编辑器、杀毒软件升级程序、修改注册表及系统核心程序的系统升级程序、用户自身下载的病毒升级程序中的一个或任意组合。
6、根据权利要求1所述的方法,其特征在于,该方法进一步包括:设置系统监控行为服务程序;
所述步骤b之前进一步包括:所述系统监控行为服务程序在用户启动病毒处理后,确定直接执行所述步骤b;在用户暂停病毒处理后,确定暂停执行步骤b,且在用户重启病毒处理后再执行所述步骤b。
7、根据权利要求1所述的方法,其特征在于,所述系统为Windows系统,且所述系统中的设备对象为堆栈式层次结构;
该方法进一步包括:在堆栈式层次结构中设置过滤器设备对象;
所述步骤b通过所设置的过滤器设备对象执行。
8、根据权利要求7所述的方法,其特征在于,所述过滤器设备对象为上层过滤器设备对象。
9、根据权利要求1所述的方法,其特征在于,所述步骤b在确定程序为病毒程序后,进一步包括:系统发出报警信息,和/或阻止病毒对系统的行为,和/或关闭该程序的运行。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200510079861 CN1889004A (zh) | 2005-06-29 | 2005-06-29 | 一种病毒处理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200510079861 CN1889004A (zh) | 2005-06-29 | 2005-06-29 | 一种病毒处理方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1889004A true CN1889004A (zh) | 2007-01-03 |
Family
ID=37578282
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200510079861 Pending CN1889004A (zh) | 2005-06-29 | 2005-06-29 | 一种病毒处理方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1889004A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100437614C (zh) * | 2005-11-16 | 2008-11-26 | 白杰 | 未知病毒程序的识别及清除方法 |
| CN101872391A (zh) * | 2009-04-23 | 2010-10-27 | 盛大计算机(上海)有限公司 | 基于三环体系的安全防护系统 |
| CN102012982A (zh) * | 2010-11-17 | 2011-04-13 | 许丽涛 | 一种保护智能设备安全运行的方法及装置 |
| CN101370305B (zh) * | 2008-09-23 | 2011-10-26 | 中兴通讯股份有限公司 | 一种保护数据业务安全的方法和系统 |
| CN102902921A (zh) * | 2012-09-18 | 2013-01-30 | 北京奇虎科技有限公司 | 一种检测和清除计算机病毒的方法和装置 |
| CN103699838A (zh) * | 2013-12-02 | 2014-04-02 | 百度国际科技(深圳)有限公司 | 病毒的识别方法及设备 |
| CN105045661A (zh) * | 2015-08-05 | 2015-11-11 | 北京瑞星信息技术有限公司 | 扫描任务的调度方法及系统 |
| WO2018129916A1 (zh) * | 2017-01-16 | 2018-07-19 | 华为技术有限公司 | 沙箱检测的方法、沙箱系统和沙箱设备 |
-
2005
- 2005-06-29 CN CN 200510079861 patent/CN1889004A/zh active Pending
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100437614C (zh) * | 2005-11-16 | 2008-11-26 | 白杰 | 未知病毒程序的识别及清除方法 |
| CN101370305B (zh) * | 2008-09-23 | 2011-10-26 | 中兴通讯股份有限公司 | 一种保护数据业务安全的方法和系统 |
| CN101872391A (zh) * | 2009-04-23 | 2010-10-27 | 盛大计算机(上海)有限公司 | 基于三环体系的安全防护系统 |
| CN102012982A (zh) * | 2010-11-17 | 2011-04-13 | 许丽涛 | 一种保护智能设备安全运行的方法及装置 |
| CN102902921A (zh) * | 2012-09-18 | 2013-01-30 | 北京奇虎科技有限公司 | 一种检测和清除计算机病毒的方法和装置 |
| CN102902921B (zh) * | 2012-09-18 | 2015-11-25 | 北京奇虎科技有限公司 | 一种检测和清除计算机病毒的方法和装置 |
| CN103699838A (zh) * | 2013-12-02 | 2014-04-02 | 百度国际科技(深圳)有限公司 | 病毒的识别方法及设备 |
| CN105045661A (zh) * | 2015-08-05 | 2015-11-11 | 北京瑞星信息技术有限公司 | 扫描任务的调度方法及系统 |
| CN105045661B (zh) * | 2015-08-05 | 2018-06-22 | 北京瑞星网安技术股份有限公司 | 扫描任务的调度方法及系统 |
| WO2018129916A1 (zh) * | 2017-01-16 | 2018-07-19 | 华为技术有限公司 | 沙箱检测的方法、沙箱系统和沙箱设备 |
| CN108319850A (zh) * | 2017-01-16 | 2018-07-24 | 华为技术有限公司 | 沙箱检测的方法、沙箱系统和沙箱设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1889004A (zh) | 一种病毒处理方法 | |
| KR101443932B1 (ko) | 시스템 분석 및 관리 | |
| US8505069B1 (en) | System and method for updating authorized software | |
| US8650578B1 (en) | System and method for intercepting process creation events | |
| CA2199520C (en) | Method of operating a computer system | |
| CN1940805A (zh) | 计算机系统及其安全加固方法 | |
| US20070113062A1 (en) | Bootable computer system circumventing compromised instructions | |
| US9589131B2 (en) | Method and computer device to control software file downloads | |
| US8291493B2 (en) | Windows registry modification verification | |
| CN1900940A (zh) | 计算机安全启动的方法 | |
| CN1773417A (zh) | 聚集反病毒软件应用程序的知识库的系统和方法 | |
| EP2748755B1 (en) | Computer device with anti-tamper resource security | |
| CN1818876A (zh) | 在微处理器实现的设备上执行进程的系统和方法 | |
| US9898603B2 (en) | Offline extraction of configuration data | |
| CN1831771A (zh) | 一种更新软件的方法 | |
| CN115840940A (zh) | 一种无文件木马检测方法、系统、介质及设备 | |
| CN1625125A (zh) | 用于客户端设备的系统环境规则违反的检测方法 | |
| US11983272B2 (en) | Method and system for detecting and preventing application privilege escalation attacks | |
| CN1779594A (zh) | 一种实现查杀病毒的方法及实现该方法的计算机 | |
| CN111343000B (zh) | 用于配置网关以保护自动化系统的系统和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |