WO2014000613A1 - 系统修复方法、装置及存储介质 - Google Patents

Abstract

一种系统修复方法、装置及存储介质。该系统修复方法包括：对系统中的系统文件以及注册表进行安全性检查；当检测结果存在异常时，根据预置的系统修复规则，判断系统文件和/或注册表是否需要修复；若是，则修复系统文件和/或注册表。本发明避免了系统修复时可能存在的异常修复，减小了系统修复存在的风险，提高了系统修复的安全性和准确性，保证了系统修复的可靠性。

Description

系统修复方法、 装置及存储介质

[0001] 本申请要求于 2012 年 6 月 25 日提交中国专利局、 申请号为 201210210425.6、 发明名称为"系统修复方法、 装置及存储介质"的中国专利 申请的优先权， 其全部内容通过引用结合在本申请中。 技术领域

[0002] 本发明涉及操作系统修复技术领域， 尤其涉及一种系统修复方法、 装置及存储介质。 背景技术 [0003] 系统文件和注册表是 windows操作系统的重要内容。 其中， 系统文 件是操作系统的主要文件， 一般在安装操作系统过程中自动创建并存放在 对应的文件夹中。 系统文件直接影响系统的正常运行， 多数系统文件都不 允许随意改变。 因此， 系统文件的存在对维护计算机系统的稳定具有重要 作用。 注册表是 windows操作系统中的一个重要的数据库， 用于储存系统 和应用程序的设置信息。 注册表由键（或称 "项"；)、 子键（子项）和值项构 成， 一个键就是分支中的一个文档夹； 子键则是这个文档夹中的子文档夹， 子键同样是一个键； 一个值项则是一个键的当前定义， 由名称、 数据类型 以及分配的值组成。 一个键可以有一个或多个值， 每个值的名称各不相同， 如果一个值的名称为空， 则该值为该键的默认值。

[0004] 现有的系统修复方法存在着不足， 亟待提出改进的系统修复方法。 发明内容 [0005] 本发明的主要目的在于提供一种系统修复方法、 装置及存储介质， 旨在避免系统修复时可能存在的异常修复， 保证系统修复的可靠性。

[0006] 为了达到上述目的， 本发明提出一种系统修复方法， 包括以下步骤： [0007] 对系统中的系统文件以及注册表进行安全性检查；

[0008] 当检测结果存在异常时， 根据预置的系统修复规则， 判断所述系统 文件和 /或注册表是否需要修复； 以及

[0009] 若需要修复， 则修复所述系统文件和 /或注册表。

[0010] 本发明还提出一种系统修复装置， 包括：

[0011] 安全检查模块， 用于对系统中的系统文件以及注册表进行安全性检 查；

[0012] 修复判断模块， 用于当检测结果存在异常时， 根据预置的系统修复 规则， 判断所述系统文件和 /或注册表是否需要修复； 以及

[0013] 修复模块， 用于当所述修复判断模块判断所述系统文件和 /或注册表 需要修复时， 修复所述系统文件和 /或注册表。

[0014] 本发明还提出一种计算机可读取的存储介质， 在其上存储了使计算 机能够运行的程序， 在程序装入计算机的存储器内后， 使所述计算机对系 统中的系统文件以及注册表进行安全性检查； 当检测结果存在异常时， 根 据预置的系统修复规则， 判断所述系统文件和 /或注册表是否需要修复； 若 需要修复， 则修复所述系统文件和 /或注册表。

[0015] 本发明提出的一种系统修复方法、 装置及存储介质， 避免了系统修 复时可能存在的异常修复， 减小了系统修复存在的风险， 提高了系统修复 的安全性和准确性， 保证了系统修复的可靠性。 附图说明

[0016] 图 1是根据本发明第一实施例的系统修复方法的流程示意图； [0017] 图 2是根据本发明第二实施例的系统修复方法的流程示意图；

[0018] 图 3是根据本发明第二实施例的系统修复方法中一种用户的注册表 项设置示意图；

[0019] 图 4是根据本发明第三实施例的系统修复方法的流程示意图；

[0020] 图 5是根据本发明一实施例的系统修复装置的结构示意图；

[0021] 图 6是根据本发明另一实施例的系统修复装置的结构示意图； 以及 [0022] 图 7是根据本发明再一实施例的系统修复装置的结构示意图。

[0023] 为了使本发明的技术方案更加清楚、 明了， 下面将结合附图作进一 步详述。 具体实施方式

[0024] 根据本发明的一个实施例， 对系统文件以及注册表进行安全性检查， 根据检查结果判断系统是否需要修复， 若需要修复， 则对系统文件和 /或注 册表进行修复； 此外， 在系统修复操作完成后， 检测系统修复是否存在异 常， 如果存在异常， 则根据之前记录的系统状态信息回退到系统状态正常 的情况， 亦可手动还原指定内容， 以提高系统修复可靠性。

[0025] 如图 1 所示， 本发明第一实施例提出一种系统修复方法， 包括步骤 S101-S103。

[0026] 步骤 S101 , 对系统中的系统文件以及注册表进行安全性检查。

[0027] 当系统出现故障时， 本实施例在对系统进行修复时， 不仅要对系统 文件进行检查和修复， 而且还要对系统的注册表进行检查和修复， 以提高 系统修复的可靠性， 避免系统修复异常。

[0028] 首先要对系统中的系统文件以及注册表进行安全性检查， 判断是否 存在安全隐患。

[0029] 在一个示例性实施方案中， 对于系统文件的安全性检查包括查看当 前系统文件是否为与当前操作系统匹配的系统文件。 例如， 可以扫描系统 文件， 根据该系统文件的 MD5到后台去查询系统文件是否为风险文件， 如 果后台上报异常， 表明该系统文件需要修复； 如果后台上报该系统文件不 是风险文件， 则对系统文件进行分级， 若是重要级文件， 则检测其签名， 如果系统文件的签名没有通过检测， 则表明该系统文件与当前系统不匹配， 存在风险， 该系统文件是需要修复的文件； 如果系统文件的签名通过， 则 表明系统文件的安全状态正常。

[0030] 在另一个示例性实施方案中， 对于注册表的安全性检查包括查看注 册表的当前信息是否存在恶意修改项。 例如， 将注册表当前值与注册表默 认值进行比较， 判断注册表的当前值是否有修改， 如果有修改， 而且这种 修改符合异常修改（比如将值从 0改为 1 ), 则认为该注册表需要修复； 如 果注册表的修改是指向的一个文件， 则对该文件进行检查， 具体根据该文 件的 MD5到后台去查询， 判断该文件是否为存在风险的文件， 若是， 则表 明该注册表需要修复， 如果不是， 则表明该注册表不需要修复。

[0031] 通过系统文件检查和注册表检查，可以确定系统的安全状态。例如， 特洛伊木马 Troj an.Neprodoor会感染系统的 ndis . sys文件， 同时， 该木马会 修改系统的启动项注册表， 在系统启动时加载该木马进程。 该木马不但使 驱动文件 ndis.sys保持原有的功能，同时将后门程序注入到 Service.exe程序 中。 木马运行后可能接受远程指令而盗取用户信息。 因此， 通过系统安全 性检查， 会检查到系统文件 ndis.sys被病毒修改， 因此该文件存在异常； 另 夕卜， 通过安全性检查， 检查到注册表的启动项也被修改为指向病毒进程的 启动项， 因此注册表中指向病毒进程的启动项也同样存在异常。

[0032] 步骤 S102, 当检测结果异常时， 根据预置的系统修复规则， 判断所 述系统文件和 /或注册表是否需要修复； 若是， 则进入步骤 S103。

[0033] 当步骤 S101中系统的安全性检查结果为异常时， 根据预先设置的系 统修复规则， 来判断系统是否需要修复。

[0034] 根据一个示例性实施方案， 对于系统文件的修复判断， 系统修复规 则的设定方式可以为： 将系统文件分级为重要和非重要， 其中， 重要级文 件是指对操作系统启动和运行非常重要的文件， 若这些文件被感染或者被 破坏将会导致系统无法启动、 无法正常运行或者导致病毒进程被加载， 因 此， 这类重要级系统文件遭到破坏就需要对其进行修复， 如 windows\system32 目录下的 kernel32.dll文件； 而非重要级文件是指对系统 安全性影响较小的系统文件， 或者不会对系统的安全产生影响的系统文件， 而且是病毒进程一般不会感染的系统文件， 这类系统文件在未对系统安全 产生影响的条件下， 不需要 ^ί'爹复该类系统文件。

[0035] 根据一个示例性实施方案， 对于注册表的修复判断， 系统修复规则 的设定方式可以为： 将注册表的当前信息与注册表对应项的默认设置进行 比较， 以此来判断是否需要修复。

[0036] 注册表项分级为重要项和非重要项。 其中重要项包括： 容易被木马 或病毒修改用于加载进程项， 以及用户或者应用软件修改项； 非重要项是 指一般很少改动的项。

[0037] 通过对比系统默认项和检测用户修改项以及其指向的文件的安全 性， 判断系统是否需要修复。 如果判断某些注册表项被恶意修改或者某些 启动项指向的文件为危险文件， 则该项注册表需要修复。

[0038] 步骤 S103 , 修复所述系统文件和 /或注册表。

[0039] 若通过修复判断， 需要修复系统， 则根据判断结果修复系统文件或 修复注册表项。

[0040] 对于系统文件的修复可以包括， 如果发现系统文件被修改， 则先检 查系统文件的版本信息， 然后调用后台查询修改文件的安全性。 如果发现 系统文件被删减或修改， 则从预设的标准库中导入相应的系统文件或者替 换对应的系统文件。

[0041] 对于注册表的修复， 可以包括将注册表中被修改的选项恢复到系统 默认的安全设置， 或者是恢复到用户对注册表中修改后的信息。

[0042] 例如， 若检测到系统的驱动文件 serial.sys被病毒感染， 则从标准库 文件中找到该文件并替换； 对于注册表的修复则首先判断注册表是否需要 删除， 若为指向危险文件的启动项， 则需要删除该启动项注册表， 用户或 者应用软件修改的其他安全的启动项注册表则保留； 又如， 若检测到注册 表项的 IE首页指向为一个挂马网址， 则将其修改为默认值 blank即可。

[0043] 本实施例通过对系统文件以及注册表进行安全性检查， 根据检查结 果判断系统是否需要修复， 若需要修复， 则对系统文件和 /或注册表进行修 复， 减小了系统修复存在的风险， 提高了系统修复的安全性和准确性。

[0044] 如图 2所示， 根据本发明第二实施例提出一种系统修复方法， 在上 述第一实施例的基础上， 该系统修复方法还包括步骤 S104、 S105和 S106。

[0045] 在上述步骤 S102判断系统文件和 /或注册表需要修复的之后，所述修 复方法还包括步骤 S104, 对系统状态信息进行记录。

[0046] 在上述步骤 S103修复系统文件和 /或注册表的之后，所述修复方法还 包括：

[0047] 步骤 S105 , 判断用户是否选择系统还原； 若是， 则进入步骤 S106; 步骤 S106, 对所述系统进行还原。

[0048] 本实施例与上述第一实施例的区别在于， 本实施例在实现对系统的 修复后， 还可在用户选择需要还原系统时， 实现对系统的还原。

[0049] 具体地， 为了实现对系统的还原， 本实施例在判断系统文件和 /或注 册表需要修复时， 记录系统的状态信息。

[0050] 根据示例性实施方案， 系统的状态信息记录包括两部分： 系统文件 状态信息的记录以及注册表状态信息的记录， 并分别形成系统文件状态信 息表和注册表状态信息表。 记录的系统状态信息用于例如在系统修复失败 时或者用户选择还原系统时的系统还原。 在本实施例中采用以下系统状态 信息记录方法：

[0051] 系统文件状态信息可以包括： 系统文件数目、 文件名和系统文件的 版本信息以及校验信息。 在记录系统文件状态信息的同时， 将该信息进行 备份。 系统文件状态信息的记录格式可以如下表 1所示：

表 1

[0052] 由于系统文件数目大， 如果记录所有文件， 将会影响文件的记录效 率和后续查询效率。 因此， 根据本发明的一个优选实施例， 可以采用移动 的压缩方法， 包括： 对于非常见不易修改的系统文件， 采用文件夹记录的 方式， 只记录文件夹中文件的数目和校验信息， 而不记录每个文件的版本 信息， 以减小记录信息的存储量和提高记录的效率。 [0053] 同时， 还要记录各类别文件的 MD5信息， 并对其进行 MD5加密， 用于后续系统还原判定。 如： 将内核的校验信息加密得到 MD513 ( MD51 , MD52, MD53, ),将驱动校验信息加密得到 MD547 ( MD54, MD55, MD56, MD57 ) , 最终得到 MD517。 MD517记录了整个系统文件的状态信息。

[0054] 系统的注册表状态信息记录可以包括记录系统默认的状态表各项的 键值， 以及用户或者应用软件修改后的注册表各项的键值。 其记录格式可 以如下表 2所示：

表 2

[0055] 由于系统注册表项较多， 包括 5个大类， 而每个大类又包含多个项， 每项又包含多个子项信息。 如果记录每个子项的状态信息， 则需要很大的 存储空间， 而且后续查询效率低下。 因此， 在示例性实例中， 可以在记录 注册表状态信息时， 对注册表状态信息进行压缩， 以提高存储效率和后续 查询速度。

[0056] 一种示例性的实现为： 将注册表分为 5部分， 对应注册表的 5大类。 对于每一类注册表， 将表项分为重要表项和非重要表项， 其中重要表项是 指与系统安全相关的经常被木马或病毒软件利用的表项，如系统启动项、 IE 默认项、 系统服务、 协议相关表项， 以及用户可能会修改的表项， 如： 由 于安装软件修改的打开方式注册表项等； 非重点表项是指很少被修改的表 项。

[0057] 对于非重要表项， 将所有默认值映射成一个值， 而将重要表项的每 一项对应一个值， 然后计算重要项的所有值以及非重点项映射值的合集， 以确定该注册表是否被修改。

[0058] 图 3是一种用户的注册表项信息设置示意图。 其中， 注册表项 1是 安装 PPlive修改的注册表项， 注册表项 2是 IE默认首页注册表项， 注册表 项 1和注册表项 2均属于重要注册表项。 注册表项 3不属于经常易被利用 的注册表项和经常被修改的注册表项， 因此属于非重要注册表项。

[0059] 注册表状态信息的记录方式与系统文件状态信息的记录方式类似， 分别记录重要项和非重要项， 将重要项和非重要项合并成该类注册表的记 录， 然后将各类注册表的记录信息合并成整个注册表的信息。

[0060] 例 如 图 3 中 的 重 要 注 册 表 项 1 的 信 息 为 ： HKEY_CLASSES_ROOT\Synacast\Shell\Open\Command"C:\Program

Files\PPLive\PPTV\PPLive.exe" " % 1 " , 以上字符加密后得到 MD51 , 重要注 册 表 项 2 的 信 息 为 ： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet

Explorer\MAIN\Start Page http://www.google.com.hk, 以上字符加密后得到

MD52, 将两类重要注册表项 1、 2的信息再次加密后得到 MD512 ( MD51 , MD52 ) , 非 重 要 注 册 表 项 3 的 信 息 为 ： HKEY_CURRENT_CONFIG\Software\Fonts, 以上字符加密后得到 MD53, 最终得到 MD513 ( MD512, MD53 )表示整个注册表的记录信息。 [0061] 这里使用的加密方法为 MD5方法， 但是， 实际操作中还可以使用其 他信息加密方法获取系统的整体信息。

[0062] 当系统修复后， 用户需要手动还原， 则根据之前记录的系统修复前 的状态信息， 分别将系统文件和注册表信息还原到修复前的状态。 一种示 例性的还原方法包括：

[0063] 对于系统文件， 首先查找系统文件的状态信息表， 通过 MD5信息确 定系统文件修改类别， 然后采用同样的方法查找对应的重要级文件或非重 要级文件集， 最后找到对应的版本信息和校验信息， 从备份文件中查找对 应的系统文件并还原。

[0064] 对于注册表信息， 采用两种还原方式： 一种方式是根据记录的注册 表状态信息查找注册表修改项在修改前的设定值， 将修复后的设定值还原 到修改前的设定值； 另一种方式是向用户反馈注册表修改内容， 由用户手 动指定还原内容。

[0065] 注册表还原采用和系统文件还原类似的方法： 查寻到对应的类别， 然后找到对应的注册表项， 还原为所记录的状态， 直至还原完成。

[0066] 本实施例通过对系统文件以及注册表进行安全性检查， 根据检查结 果判断系统是否需要修复， 若需要修复， 则对系统文件和 /或注册表进行相 应的修复； 此外， 在系统修复操作完成后， 若用户需要手动还原系统， 则 根据之前记录的系统状态信息， 由用户手动还原指定内容， 从而减小了系 统修复存在的风险， 提高了系统修复的安全性和准确性， 并有利于对系统 的还原。

[0067] 如图 4所示， 根据本发明第三实施例提出一种系统修复方法， 在上 述第二实施例的基础上， 在上述步骤 S103修复系统文件和 /或注册表之后， 所述修复方法还包括：

[0068] 步骤 S107, 判断所述系统修复是否异常； 若是， 则进入步骤 S106; 否则， 进入步骤 S105。

[0069] 本实施例与上述第二实施例的区别在于， 本实施例在实现对系统的 修复后， 还可对系统修复异常进行判断， 若系统修复异常， 则对系统进行 还原。

[0070] 具体地， 为了实现对系统的还原， 本实施例在判断系统文件和 /或注 册表需要修复时， 记录系统的状态信息， 该过程与上述第二实施例相同， 在此不再赘述。

[0071] 由于对系统文件的修复和系统注册表的修复可能存在一定的风险， 一旦修改失败， 可能会导致新的问题， 甚至使系统崩溃。 因此， 可以在系 统修复完成时， 对系统修复进行判断， 以确定是否会出现修复异常。

[0072] 例如， 对注册表的修复策略采用了恢复默认注册表值， 而木马或者 病毒采取的方式是： 隔段时间检查注册表项是否被修复， 如果发现被修复 则进行回写。 因此， 在注册表修复时直接将注册表恢复成默认值并不合理， 还存在修复后被回写的情况。 若某些被系统安全软件修复项被回写， 则在 上述修复判定中被判定为修复异常。

[0073] 具体地， 对系统文件修复异常的判断策略为， 对修复的系统文件和 注册表信息做异常监测， 例如可以包括： 对于系统文件， 将被修复的系统 文件和用于修复的系统文件提交至后台服务器进行检测， 确认被修复的系 统文件会产生系统安全问题， 而用于修复的系统文件不会产生安全问题。 通过对用于修复的系统文件的异常监测， 可以发现被修复的文件再次感染， 从而判定为修复异常， 以避免病毒的反复回写。

[0074] 对于注册表修复， 若注册表的修复策略采用了恢复默认注册表值， 则需要检查默认注册表值是否存在修复后被病毒回写， 若某些被系统安全 软件修复项被回写， 则在上述修复判定中被判定为修复异常。

[0075] 此外， 若注册表的修复策略采用用户或系统安全软件对注册表进行 修改， 则将按照修改策略修改后的注册表与系统修复前用户或系统安全软 件对注册表的修改进行比较， 同时检查注册表修改项对应的文件的属性， 并进行安全性校验。 如果修改项不存在用户的修改值， 则修改为默认值， 判定为正常修复； 若修改项存在用户设定值， 则判定用户设定值的指向， 然后将设置值指向内容提交至后台处理， 以检测其是否存在安全风险， 若 存在安全风险， 则判定修复异常， 否则， 判定修复正常。

[0076] 需要说明的是， 对于上述注册表修复策略问题， 对比修复后的注册 表项与修复前的注册表项是否存在用户修改项， 并查找用户修改项的值， 然后检验其安全性， 确定是按照上述修复策略设置为默认值， 还是修改为 病毒修改前的用户修改值。 如果用户修改值的指向不存在安全风险， 而修 改策略将其设置为默认值， 则认为修复异常； 或者用户并未修改， 而修改 策略将其修改为非默认值， 也确定为修复异常。

[0077] 当确定系统修复异常， 或者修复后用户需要手动还原时， 需要对系 统修复进行还原， 以避免由于异常修复导致的其它系统问题。 根据之前记 录的系统修复前的系统状态信息， 分别将系统文件和注册表信息还原到修 复前的状态。 具体还原方法为：

[0078] 对于系统文件， 查找系统文件的状态信息表， 通过 MD5信息确定系 统文件修改类别， 然后采用同样的方法查找对应的重要级文件或非重要级 文件集， 最后找到对应的版本信息和校验信息， 从备份文件中查找对应的 文件并还原。

[0079] 如上表 1所示， 如果确定系统修复异常， 首先判断 MD517变化， 然 后查找到驱动校验信息 MD547变化， 最后确定是由于修复 fastfat.sys导致 MD54变化引起， 因此， 还原该系统文件即可。

[0080] 对于注册表信息， 采用两种还原方式： 一种方式是根据记录的注册 表状态信息， 查找注册表修改项在修改前的设定值， 将修复后的设定值还 原到修改前的设定值； 另一种方式是向用户反馈注册表修改内容， 由用户 手动指定还原内容。

[0081] 注册表还原采用和系统文件还原类似的方法： 查寻到对应的类别， 然后找到对应的注册表项， 还原为所记录的状态， 直至还原完成。

[0082] 本实施例通过对系统文件以及注册表进行安全性检查， 根据检查结 果判断系统是否需要修复， 若需要修复， 则对系统文件和 /或注册表进行修 复； 此外， 在系统修复操作完成后， 检测系统修复是否存在异常， 如果存 在异常， 则根据之前记录的系统状态信息回退到系统状态正常的情况， 亦 可手动还原指定内容。 如果系统修复没有异常则确定系统修复完成， 从而 避免了系统修复时可能存在的异常修复， 减小了系统修复存在的风险， 提 高了系统修复的安全性、 准确性和可靠性。

[0083] 如图 5所示， 根据本发明一实施例提出的一种系统修复装置包括： 安全检查模块 501、 修复判断模块 502以及修复模块 503 , 其中：

[0084] 安全检查模块 501 ,用于对系统中的系统文件以及注册表进行安全性 检查；

[0085] 修复判断模块 502, 用于当检测结果异常时，根据预置的系统修复规 贝' J , 判断所述系统文件和 /或注册表是否需要修复； 以及

[0086] 修复模块 503 , 用于当所述修复判断模块判断所述系统文件和 /或注 册表需要修复时， 修复所述系统文件和 /或注册表。

[0087] 根据本发明的该实施例， 当系统出现故障时， 在对系统进行修复时， 不仅要对系统文件进行检查和修复， 而且还要对系统的注册表进行检查和 修复， 以提高系统修复的可靠性， 避免系统修复异常。

[0088] 首先， 通过安全检查模块 501 对系统中的系统文件以及注册表进行 安全性检查， 判断是否存在安全隐患。

[0089] 对于系统文件的安全性检查例如可以包括查看当前系统文件是否为 与当前操作系统匹配的系统文件。 扫描系统文件， 根据该系统文件的 MD5 到后台去查询系统文件是否为风险文件， 如果后台上报异常， 表明该系统 文件需要修复； 如果后台上报该系统文件不是风险文件， 则对系统文件进 行分级， 若果是重要级文件， 则检测其签名， 如果系统文件的签名没有通 过检测， 则表明该系统文件与当前系统不匹配， 存在风险， 该系统文件是 需要修复的文件； 如果系统文件的签名通过， 则表明系统文件的安全状态 正常。

[0090] 对于注册表的安全性检查例如可以包括查看注册表的当前信息是否 存在恶意修改项。 将注册表当前值与注册表默认值进行比较， 判断当前注 册表的值是否有修改， 如果有修改， 而且这种修改符合异常修改（比如将 值从 0改为 1 ), 则认为该注册表需要修复； 如果注册表的修改是指向的一 个文件， 则对该文件进行检查， 具体根据该文件的 MD5到后台去查询， 判 断该文件是否为存在风险的文件， 若是， 则表明该注册表需要修复， 如果 不是， 则表明该注册表不需要修复。

[0091] 通过系统文件检查和注册表检查， 可以确定系统的安全状态。 例如， 特洛伊木马 Troj an.Neprodoor会感染系统的 ndis . sys文件， 同时， 该木马会 修改系统的启动项注册表， 在系统启动时加载该木马进程。 该木马不但使 驱动文件 ndis.sys保持原有的功能，同时将后门程序注入到 Service.exe程序 中。 木马运行后可能接受远程指令而盗取用户信息。 因此， 通过系统安全 性检查， 会检查到系统文件 ndis.sys被病毒修改， 因此该文件存在异常； 另 夕卜， 通过安全性检查， 检查到注册表的启动项也被修改为指向病毒进程的 启动项， 因此注册表中指向病毒进程的启动项也同样存在异常。

[0092] 修复判断模块 502根据上述安全检查模块 501检测获得系统的安全 性检查结果， 以及预先设置的系统修复规则， 来判断系统是否需要修复。

[0093] 其中， 对于系统文件的修复判断， 系统修复规则的设定方式可以为： 将系统文件分级为重要和非重要， 其中， 重要级文件是指对操作系统启动 和运行非常重要的文件， 若这些文件被感染或者被破坏将会导致系统无法 启动、 无法正常运行或者导致病毒进程被加载， 因此， 这类重要级系统文 件遭到破坏就需要对其进行修复，如 windows\system32目录下的 kernel32.dll 文件； 而非重要级文件是指对系统安全性影响较小的系统文件， 或者不会 对系统的安全产生影响的系统文件， 而且是病毒进程一般不会感染的系统 文件， 这类系统文件在未对系统安全产生影响的条件下， 不需要修复该类 系统文件。

[0094] 对于注册表的修复判断， 系统修复规则的设定方式可以为： 将注册 表的当前信息与注册表对应项的默认设置进行比较， 以此来判断是否需要 修复。

[0095] 注册表项分级为重要项和非重要项。 其中重要项包括： 容易被木马 或病毒修改用于加载进程项， 以及用户或者应用软件修改项； 非重要项是 指一般很少改动的项。

[0096] 通过对比系统默认项和检测用户修改项以及其指向的文件的安全 性， 判断系统是否需要修复。 如果判断某些注册表项被恶意修改或者某些 启动项指向的文件为危险文件， 则该项注册表需要修复。

[0097] 若通过修复判断， 需要修复系统， 修复模块 503 则根据判断结果修 复系统文件或修复注册表项。在一个示例性实施方案中， 所述修复模块 503 被配置为：

[0098] 对于系统文件的修复， 如果发现系统文件被修改， 则先检查系统文 件的版本信息， 然后调用后台查询修改文件的安全性。 如果发现系统文件 被删减或修改， 则从预设的标准库中导入相应的系统文件或者替换对应的 系统文件。

[0099] 对于注册表的修复， 则是将注册表中被修改的选项恢复到系统默认 的安全设置， 或者是恢复到用户对注册表中修改后的信息。

[0100] 例如， 若检测到系统的驱动文件 serial.sys被病毒感染， 则所述爹复 模块 503被配置为从标准库文件中找到该文件并替换； 对于注册表的修复 则首先判断注册表是否需要删除， 若为指向危险文件的启动项， 则所述修 复模块 503被配置为删除该启动项注册表， 用户或者应用软件修改的其他 安全的启动项注册表则被所述修复模块 503保留； 又如， 若检测到注册表 项的 IE首页指向为一个挂马网址， 则所述修复模块 503被配置为将其修改 为默认值 blank。

[0101] 本实施例通过对系统文件以及注册表进行安全性检查， 根据检查结 果判断系统是否需要修复， 若需要修复， 则对系统文件和 /或注册表进行相 应的修复， 减小了系统修复存在的风险， 提高了系统修复的安全性和准确 性。

[0102] 如图 6所示， 根据本发明另一实施例提出一种系统修复装置， 在上 述第一实施例的基础上， 还包括： 状态记录模块 504以及还原模块 505 , 其 中：

[0103] 状态记录模块 504, 连接到修复判断模块 502和修复模块 503 , 用于 对系统状态信息进行记录； 以及

[0104] 还原模块 505 , 连接到修复模块 503 , 用于对所述系统进行还原。

[0105] 本实施例与上述第一实施例的区别在于， 本实施例在实现对系统的 修复后， 还可在用户选择需要还原系统时， 实现对系统的还原。

[0106] 具体地， 为了实现对系统的还原， 本实施例在判断系统文件和 /或注 册表需要修复时， 通过状态记录模块 504记录系统的状态信息。

[0107] 其中， 系统的状态信息记录包括两部分： 系统文件状态信息的记录 以及注册表状态信息的记录， 并分别形成系统文件状态信息表和注册表状 态信息表。 记录的系统状态信息用于在系统修复失败时的还原。 本实施例 采用以下系统状态信息记录方法：

[0108] 系统文件状态信息包括： 系统文件数目、 文件名和系统文件的版本 信息以及校验信息。 在记录系统文件状态信息的同时， 将该信息进行备份。 系统文件状态信息的记录格式可以如上表 1所示。

[0109] 由于系统文件数目大， 如果记录所有文件， 将会影响文件的记录效 率和后续查询效率。 因此， 在本发明的一个优选实施例中， 可以采用移动 的压缩方法， 包括： 对于非常见不易修改的系统文件， 采用文件夹记录的 方式， 只记录文件夹中文件的数目和校验信息， 而不记录每个文件的版本 信息， 以减小记录信息的存储量和提高记录的效率。

[0110] 同时， 还要记录各类别文件的 MD5信息， 并对其进行 MD5加密， 用于后续系统还原判定。 如： 将内核的校验信息加密得到 MD513 ( MD51 , MD52, MD53, ),将驱动校验信息加密得到 MD547 ( MD54, MD55, MD56, MD57 ) , 最终得到 MD517。 MD517记录了整个系统文件的状态信息。

[0111] 系统的注册表状态信息记录是指记录系统默认的状态表各项的键 值， 以及用户或者应用软件修改后的注册表各项的键值。 其记录格式如上 表 2所示：

[0112] 由于系统注册表项较多， 包括 5个大类， 而每个大类又包含多个项， 每项又包含多个子项信息。 如果记录每个子项的状态信息， 则需要很大的 存储空间， 而且后续查询效率低下。 因此， 在记录注册表状态信息时， 可 以对注册表状态信息进行压缩， 以提高存储效率和后续查询速度。

[0113] 一种示例性的实现包括： 将注册表分为 5部分计算， 对应注册表的 5 大类。 对于每一类注册表， 将表项分为重要表项和非重要表项， 其中重要 表项是指与系统安全相关的经常被木马或病毒软件利用的表项， 如系统启 动项、 IE默认项、 系统服务、 协议相关表项， 以及用户可能会修改的表项， 如： 由于安装软件修改的打开方式注册表项等； 非重点表项是指很少被修 改的表项。

[0114] 对于非重要表项， 将所有默认值映射成一个值， 而将重要表项的每 一项对应一个值， 然后计算重要项的所有值以及非重点项映射值的合集， 以确定该注册表是否被修改。

[0115] 如图 3所示， 图 3是一种用户的注册表项信息设置示意图。 其中， 注册表项 1是安装 PPlive修改的注册表项， 注册表项 2是 IE默认首页注册 表项， 注册表项 1和注册表项 2均属于重要注册表项。 注册表项 3不属于 经常易被利用的注册表项和经常被修改的注册表项， 因此属于非重要注册 表项。

[0116] 注册表状态信息的记录方式与系统文件状态信息的记录方式类似， 分别记录重要项和非重要项， 将重要项和非重要项合并成该类注册表的记 录， 然后将各类注册表的记录信息合并成整个注册表的信息。

[0117] 例 如 图 3 中 的 重 要 注 册 表 项 1 的 信 息 为 ： HKEY_CLASSES_ROOT\Synacast\Shell\Open\Command"C:\Program

Files\PPLive\PPTV\PPLive.exe" " % 1 " , 以上字符加密后得到 MD51 , 重要注 册 表 项 2 的 信 息 为 ：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet

Explorer\MAIN\Start Page http://www.google.com.hk, 以上字符加密后得到

MD52, 将两类重要注册表项 1、 2的信息再次加密后得到 MD512 ( MD51 , MD52 ) , 非 重 要 注 册 表 项 3 的 信 息 为 ： HKEY_CURRENT_CONFIG\Software\Fonts, 以上字符加密后得到 MD53, 最终得到 MD513 ( MD512, MD53 )表示整个注册表的记录信息。

[0118] 这里使用的加密方法为 MD5方法， 但是， 实际操作中还可以使用其 他信息加密方法获取系统的整体信息。

[0119] 当系统修复后， 用户需要手动还原， 则由还原模块 505根据之前记 录的系统修复前的状态信息， 分别将系统文件和注册表信息还原到修复前 的状态。 在一个示例性实施方案中， 所述还原模块 505被配置为：

[0120] 对于系统文件， 首先查找系统文件的状态信息表， 通过 MD5信息确 定系统文件修改类别， 然后采用同样的方法查找对应的重要级文件或非重 要级文件集， 最后找到对应的版本信息和校验信息， 从备份文件中查找对 应的系统文件并还原； 以及

[0121] 对于注册表信息， 采用两种还原方式： 一种方式是根据记录的注册 表状态信息查找注册表修改项在修改前的设定值， 将修复后的设定值还原 到修改前的设定值； 另一种方式是向用户反馈注册表修改内容， 由用户手 动指定还原内容。

[0122] 注册表还原采用和系统文件还原类似的方法： 通过类别查到到对应 的类别， 然后找到对应的注册表项， 还原为记录状态， 直至还原完成。

[0123] 本实施例通过对系统文件以及注册表进行安全性检查， 根据检查结 果判断系统是否需要修复， 若需要修复， 则对系统文件和 /或注册表进行修 复； 此外， 在系统修复操作完成后， 若用户需要手动还原系统， 则根据之 前记录的系统状态信息， 由用户手动还原指定内容， 从而减小了系统修复 存在的风险， 提高了系统修复的安全性和准确性， 并有利于对系统的还原。

[0124] 如图 7所示， 根据本发明再一实施例提出一种系统修复装置， 在上 述第二实施例的基础上， 还包括： 异常判断模块 506, 其中：

[0125] 异常判断模块 506与还原模块 505均连接到修复模块 503。异常判断 模块 506用于判断所述系统修复是否异常； 若所述系统修复异常， 则由所 述还原模块 505对所述系统进行还原。

[0126] 本实施例与上述第二实施例的区别在于， 本实施例在实现对系统的 修复后， 还可对系统修复异常进行判断， 若系统修复异常， 则对系统进行 还原。 [0127] 为了实现对系统的还原， 本实施例在判断系统文件和 /或注册表需要 修复时， 通过状态记录模块 504记录系统的状态信息， 该过程与上述第二 实施例相同， 在此不再赘述。

[0128] 由于对系统文件的修复和系统注册表的修复可能存在一定的风险， 一旦修改失败， 可能会导致新的问题， 甚至使系统崩溃。 因此， 可以在系 统修复完成时， 对系统修复进行判断， 以确定是否会出现修复异常。

[0129] 例如， 对注册表的修复策略采用了恢复默认注册表值， 而木马或者 病毒采取的方式是： 隔段时间检查注册表项是否被修复， 如果发现被修复 则进行回写。 因此， 在注册表修复时直接将注册表恢复成默认值并不合理， 还存在修复后被回写的情况。 若某些被系统安全软件修复项被回写， 则上 述修复判定为修复异常。

[0130] 异常判断模块 506对系统文件修复异常的判断策略为， 对修复的系 统文件和注册表信息做异常监测， 可以包括： 对于系统文件， 将被修复的 系统文件和用于修复的系统文件提交至后台服务器进行检测， 确认被修复 的系统文件会产生系统安全问题， 而用于修复的系统文件不会产生安全问 题。 通过对用于修复的系统文件的异常监测， 可以发现被修复的文件再次 感染， 从而判定为修复异常， 以避免病毒的反复回写。

[0131] 对于注册表修复， 若注册表的修复策略采用了恢复默认注册表值， 则需要检查默认注册表值是否存在修复后被病毒回写， 若某些被系统安全 软件修复项被回写， 则上述修复判定为修复异常。

[0132] 此外， 若注册表的修复策略采用用户或系统安全软件对注册表进行 修改， 则将按照修改策略修改后的注册表与系统修复前用户或系统安全软 件对注册表的修改进行比较， 同时检查注册表修改项对应的文件的属性， 并进行安全性校验。 如果修改项不存在用户的修改值， 则修改为默认值， 判定为正常修复； 若修改项存在用户设定值， 则判定用户设定值的指向， 然后将设置值指向内容提交至后台处理， 以检测其是否存在安全风险， 若 存在安全风险， 则判定修复异常， 否则， 判定修复正常。

[0133] 需要说明的是， 对于上述注册表修复策略问题， 对比修复后的注册 表项与修复前的注册表项是否存在用户修改项， 并查找用户修改项的值， 然后检验其安全性， 确定是按照上述修复策略设置为默认值， 还是修改为 病毒修改前的用户修改值。 如果用户修改值的指向不存在安全风险， 而修 改策略将其设置为默认值， 则认为修复异常； 或者用户并未修改， 而修改 策略将其修改为非默认值， 也确定为修复异常。

[0134] 当确定系统修复异常， 或者修复后用户需要手动还原时， 需要对系 统修复进行还原， 以避免由于异常修复导致的其它系统问题。 根据之前记 录的系统修复前的系统状态信息， 分别将系统文件和注册表信息还原到修 复前的状态。 具体还原方法为：

[0135] 对于系统文件， 查找系统文件的状态信息表， 通过 MD5信息确定系 统文件修改类别， 然后采用同样的方法查找对应的重要级文件或非重要级 文件集， 最后找到对应的版本信息和校验信息， 从备份文件中查找对应的 文件并还原。

[0136] 如上表 1所示， 如果确定系统修复异常， 首先判断 MD517变化， 然 后查找到驱动校验信息 MD547变化， 最后确定是由于修复 fastfat.sys导致 MD54变化引起， 因此， 还原该系统文件即可。

[0137] 对于注册表信息， 采用两种还原方式： 一种方式是根据记录的注册 表状态信息， 查找注册表修改项在修改前的设定值， 将修复后的设定值还 原到修改前的设定值； 另一种方式是向用户反馈注册表修改内容， 由用户 手动指定还原内容。

[0138] 注册表还原采用和系统文件还原类似的方法： 通过类别查到到对应 的类别， 然后找到对应的注册表项， 还原为记录状态， 直至还原完成。 [0139] 本实施例通过对系统文件以及注册表进行安全性检查， 根据检查结 果判断系统是否需要修复， 若需要修复， 则对系统文件和 /或注册表进行修 复； 此外， 在系统修复操作完成后， 检测系统修复是否存在异常， 如果存 在异常， 则根据之前记录的系统状态信息回退到系统状态正常的情况， 亦 可手动还原指定内容。 如果系统修复没有异常则确定系统修复完成， 从而 避免了系统修复时可能存在的异常修复， 减小了系统修复存在的风险， 提 高了系统修复的安全性、 准确性， 保证了修复的可靠性。

[0140] 此外， 本发明还提出一种计算机可读取的存储介质， 在其上存储了 使计算机能够运行的程序， 在程序装入计算机的存储器内后， 使所述计算 机对系统中的系统文件以及注册表进行安全性检查； 当检测结果存在异常 时， 根据预置的系统修复规则， 判断所述系统文件和 /或注册表是否需要修 复； 若需要修复， 则修复所述系统文件和 /或注册表。

[0141] 本发明上述实施例均以 windows 操作系统举例说明， 但并不限于 windows操作系统，其他操作系统也可以参照采用本发明的上述方案进行系 统修复， 比如 mac或者 linux系统等， 其修复原理在此不再赘述。

[0142] 以上所述仅为本发明的优选实施例， 并非因此限制本发明的专利范 围， 凡是利用本发明说明书及附图内容所作的等效结构或流程变换， 或直 接或间接运用在其它相关的技术领域， 均同理包括在本发明的专利保护范 围内。

Claims

权 利 要 求

1、 一种系统修复方法， 包括：

对系统中的系统文件以及注册表进行安全性检查；

当检测结果存在异常时， 根据预置的系统修复规则， 判断所述系统文 件和 /或注册表是否需要修复； 以及

若需要修复， 则修复所述系统文件和 /或注册表。

2、根据权利要求 1所述的方法， 其中， 所述判断系统文件和 /或注册表 需要修复的步骤之后还包括：

对系统状态信息进行记录；

所述修复系统文件和 /或注册表的步骤之后还包括：

根据记录的系统状态信息对所述系统进行还原。

3、 根据权利要求 2所述的方法， 其中， 所述对系统进行还原之前还包 括：

判断所述系统修复是否异常； 若所述系统修复异常， 则对所述系统进 行还原。

4、 根据权利要求 1或 2所述的方法， 所述对系统中的系统文件以及注 册表进行安全性检查的步骤包括：

查看当前系统文件是否为与所述系统匹配的系统文件， 若不匹配， 则 当前系统文件存在异常； 以及

查看所述注册表的当前信息是否存在恶意修改项； 若存在恶意修改项， 则当前注册表存在异常。

5、 根据权利要求 4所述的方法， 所述根据检查结果以及预置的系统修 复规则， 判断所述系统文件是否需要修复的步骤包括：

当所述系统文件存在异常时， 判断所述系统文件是否为重要级文件； 若所述系统文件为重要级文件， 则所述系统文件需要修复， 否则， 不需要 修复。

6、 根据权利要求 4所述的方法， 所述根据检查结果以及预置的系统修 复规则， 判断所述注册表是否需要修复的步骤包括：

当所述注册表的当前信息存在异常时， 将所述注册表的当前信息与注 册表对应项的默认设置进行比较； 以及

若所述注册表对应项中存在重要级注册表项被恶意修改， 或者存在启 动项指向的文件为危险文件的情形， 则判定所述注册表需要修改； 否则， 判断所述注册表不需要修改。

7、 根据权利要求 2所述的方法， 所述对系统状态信息进行记录的步骤 包括：

分别记录所述系统文件以及所述注册表的状态信息， 并对所述状态信 息进行压缩、 加密和 /或备份处理。

8、 一种系统修复装置， 包括：

安全检查模块， 用于对系统中的系统文件以及注册表进行安全性检查； 修复判断模块， 用于当检测结果存在异常时， 根据预置的系统修复规 则， 判断所述系统文件和 /或注册表是否需要修复； 以及

修复模块， 用于当所述修复判断模块判断所述系统文件和 /或注册表需 要修复时， 修复所述系统文件和 /或注册表。

9、 根据权利要求 8所述的装置， 还包括：

状态记录模块， 用于对系统状态信息进行记录；

还原模块， 用于根据所述状态记录模块记录的系统状态信息对所述系 统进行还原。

10、 根据权利要求 8所述的装置， 还包括：

异常判断模块， 用于判断所述系统修复是否异常； 若所述系统修复异 常， 则由所述还原模块对所述系统进行还原。

11、 根据权利要求 8或 9所述的装置， 所述安全检查模块还用于查看 当前系统文件是否为与所述系统匹配的系统文件， 若不匹配， 则判定当前 系统文件存在异常； 以及用于查看所述注册表的当前信息是否存在恶意修 改项； 若存在恶意修改项， 则判定当前注册表存在异常。

12、 根据权利要求 8或 9所述的装置， 所述修复判断模块还用于当所 述系统文件存在异常时， 判断所述系统文件是否为重要级文件； 若所述系 统文件是重要级文件， 则判定所述系统文件需要修复， 否则， 判定所述系 统文件不需要修复； 以及还用于当所述注册表的当前信息存在异常时， 将 所述注册表的的当前信息与注册表对应项的默认设置进行比较； 若所述注 册表对应项中存在重要级注册表项被恶意修改， 或者存在启动项指向的文 件为危险文件的情形， 则判定所述注册表需要修改； 判断所述注册表不需 要修改。

13、 根据权利要求 9所述的装置， 所述状态记录模块还用于分别记录 所述系统文件以及所述注册表的状态信息， 并对所述状态信息进行压缩、 加密和 /或备份处理。

14、 一种计算机可读取的存储介质， 在其上存储了使计算机能够运行 的程序， 在程序装入计算机的存储器内后， 使所述计算机对系统中的系统 文件以及注册表进行安全性检查； 当检测结果存在异常时， 根据预置的系 统修复规则， 判断所述系统文件和 /或注册表是否需要修复； 若需要修复， 则修复所述系统文件和 /或注册表。