專利名稱:一種計算機病毒自動防護方法
一種計算機病毒自動防護方法技術領域
本發(fā)明屬于計算機技術領域���,涉及計算機病毒防護����,采用人體免疫系統(tǒng)對細菌和 病毒的免疫方法模型實現(xiàn)計算機對病毒程序的自我防護����,為一種計算機病毒自動防護方 法。
背景技術:
目前全球范圍內殺毒軟件大多使用“特征碼”殺毒技術�����?����!疤卣鞔a”殺毒技術在病 毒不斷增多的當今網絡環(huán)境中�,缺點顯露病毒庫不斷膨脹;需要定期聯(lián)網更新����;始終滯后 于病毒��;用戶時常感染新病毒�。
現(xiàn)有的多種殺毒軟件的技術及缺陷如下
權利要求
1. 一種計算機病毒自動防護方法��,其特征是以人體免疫系統(tǒng)為模型����,構建防護程序安 裝于計算機中,所述防護程序通過監(jiān)視新程序�����、工程逆向��、判斷擴散性復制語句并獲取復制 目標路徑�����、自動創(chuàng)建高權限抗體文件夾�,模擬人體免疫系統(tǒng)中的BCR同源判斷、MHC II提呈 肽段���、B細胞釋放抗體的過程��,實現(xiàn)計算機對病毒程序的免疫��,所述防護程序的運行環(huán)境為 單機���,操作系統(tǒng)為WindoWS2000及之后版本的所有Windows系統(tǒng),包括以下步驟1)監(jiān)視新程序防護程序對注冊表進行設置��,將任何COM�、EXE程序以所述防護程序作 為打開方式,打開COM�、EXE程序時即激活防護程序,通過Command啟動參數(shù)獲知所打開程 序的文件路徑名稱�����,保存于變量fil印ath中���,隨后防護程序通過調用Windows系統(tǒng)自帶的 Wintrust. dll判斷新運行的COM����、EXE程序是否擁有合法的��、未被篡改的、未過期的數(shù)字簽 名���,若通過則釋放運行�����;若不通過則暫時滯留程序����,作為可疑程序不允許該COM�����、EXE程序運 行�,隨后將該掛起的C0M、EXE程序的程序路徑通過DDE消息在防護程序內部傳遞���,進入下一 處理流程�����;2)工程逆向設置脫殼程序供防護程序調用����,防護程序將接收的fil印ath作為啟動參 數(shù),調用外部脫殼程序�,脫殼程序返回可疑程序被解殼另存的地址至防護程序,所述地址保 存于變量UnpackedPath中�����,防護程序將變量UnpackedPath記載的可疑程序的OPCODE碼與 對應的匯編碼進行轉換�,實現(xiàn)對可疑程序的反匯編����,反匯編結果自動臨時存儲,防護程序在 反匯編結果中自動搜索所有的“CALL DWORD PTR[XXXXXXX] ”語句���,即搜索被脫殼的可疑程 序的反匯編代碼中所有的調用子過程語句��,其中[XXXXXXX]表示匯編代碼�����,每搜索到一處 "CALL DWORD PTR[XXXXXXX] ”語句��,自動在這一句匯編指令上方直到上一句“CALL DWORD PTR[XXXXXXX] ”區(qū)間中尋找“Push”語句�,若在兩個調用子過程語句區(qū)間內�����,發(fā)現(xiàn)連續(xù)兩次的 Push語句,則確定所發(fā)現(xiàn)的兩個Push語句和第一個搜索到的“CALL DWORD PTR[XXXXXXX]����,, 語句共同組成復制語句���;防護程序對所述兩個push語句的地址分別進行記錄�����,將這兩條 Push語句分別進行Push目標地址定位�,隨后根據(jù)push目標地址確定與地址對應的可疑程 序的16進制編碼數(shù)據(jù)���,并將16進制數(shù)據(jù)轉換為Unicode碼的明文形式���,獲取所述Unicode 碼并將其按照在可疑程序中的順序依次保存在數(shù)組push (η)中;防護程序進行判斷�����,若返回的數(shù)組push (η)均為標準的程序文件路徑格式�����,則判定搜 索到的復制語句是在進行程序文件復制;在進行上述截取疑似復制命令的調用子過程調用 語句-轉換目標地址為16進制并進一步轉換為Unicode碼-判斷是否為復制語句的過程 中����,遍歷檢索可疑程序的反匯編代碼,總結出所有遇到的復制語句�;保存push (η),進行下 一步處理����;3)擴散性復制判斷定義一個初始值為0的分數(shù)變量Count��,push(η)數(shù)組中�,每兩個 Push目標地址的字符,前一個為原始路徑�,后一個為復制的目標路徑;每出現(xiàn)一次原始路 徑為可疑程序的自我路徑��,Coimt+10�,每出現(xiàn)一次目標路徑為可移動設備或局域網存儲,屬 于明顯擴散傳播復制�����,Count+40 ;每出現(xiàn)一次目標路徑為Windows系統(tǒng)目錄��,屬于系統(tǒng)內部 駐留����,Count+5 ;若Count高于100�����,按100分計算�;設置擴散性復制的閾值,閾值與防護程序的安全級別對應����,閾值越小則防護的安全級 別越高,若Count高于閾值小于100���,則判為有擴散性復制�;反之�����,Count小于閾值則為無擴 散性復制��,解除對所涉及的可疑程序的凍結,允許其運行���;被判為有擴散性復制的程序隨即進入下一步處理��;4)同名高權限文件夾創(chuàng)建防護程序進行創(chuàng)建文件夾操作�����,在該具備擴散性復制的程 序的所有擴散性復制目標路徑創(chuàng)建文件夾�����,所述文件夾與可疑程序的復制目標路徑的文件 同名��,通過VB中修改文件屬性的方法設置文件夾為隱藏,并通過adVapi32和Kerne132的 API調用�,臨時建立計算機的系統(tǒng)權限用戶“Sysher”,將剛剛建立的隱藏文件夾設置為 “Sysher”權限�,即系統(tǒng)用戶權限;5)病毒出錯退出執(zhí)行完步驟4)���,解除對滯留可疑程序的凍結�����,允許其運行��,則具有擴 散性復制的可疑程序進行執(zhí)行到文件復制指令時�,便遇上步驟4)創(chuàng)建的同名文件夾,也就 是高權限抗體文件夾�����,出現(xiàn)RimtimeError錯誤�,彈出各類出錯對話框,在彈出出錯對話框 后�����,可疑程序由于微軟操作系統(tǒng)的特性��,出錯并被操作系統(tǒng)結束�;經過以上步驟,實現(xiàn)計算機對病毒程序的自動防護���。
2.根據(jù)權利要求1所述的一種計算機病毒自動防護方法����,其特征是步驟幻中�,通過 遍歷計算機硬盤盤符名或者Kerne132API判斷出復制目標中的可移動存儲器�、網絡存儲機 制�����。
3.根據(jù)權利要求1或2所述的一種計算機病毒自動防護方法�����,其特征是步驟4)執(zhí)行防 護程序刪除經過脫殼的可疑程序臨時文件��。
全文摘要
一種計算機病毒自動防護方法���,以人體免疫系統(tǒng)為模型�����,構建防護程序安裝于計算機中�,所述防護程序通過監(jiān)視新程序���、工程逆向、判斷擴散性復制語句并獲取復制目標路徑�、自動創(chuàng)建高權限抗體文件夾,模擬人體免疫系統(tǒng)中的BCR同源判斷���、MHC II提呈肽段��、B細胞釋放抗體的過程���,實現(xiàn)計算機對病毒程序的免疫����,本發(fā)明與現(xiàn)有技術相比無病毒庫��,無需手動掃描��,無需聯(lián)網更新病毒庫�����,針對計算機惡意程序自動制造抗體����,有效攔截計算機惡意程序,使計算機對病毒具備主動防御能力���。經測試�����,對所測病毒的攔截率可達到99.7%以上�����。
文檔編號G06F21/00GK102034047SQ20101059823
公開日2011年4月27日 申請日期2010年12月21日 優(yōu)先權日2010年12月21日
發(fā)明者姚志浩 申請人:姚志浩