【技术实现步骤摘要】
用于保护计算机系统免遭恶意对象活动侵害的系统和方法本申请是分案申请,其原申请的中国国家申请号为201210050079.X,专利技术名称为“用于保护计算机系统免遭恶意对象活动侵害的系统和方法”。
本专利技术所公开的内容总体上涉及计算机安全领域,并且,具体地说,涉及用于保护计算机系统免遭恶意对象的文件、注册表、系统和网络活动侵害的系统、方法和计算机程序产品。
技术介绍
当前计算机技术的发展已经达到了很高的水平。随着计算机技术的发展,数字数据的数量以更快节奏的速率在增长。与此同时,数字数据是易损的并且需要防范恶意对象比如病毒、特洛伊木马、蠕虫、间谍软件及其他类型的恶意软件的侵害。使用反病毒系统来保护信息免受恶意软件的侵害,该反病毒系统的基本任务是阻止恶意对象的危险活动。但情况是:反病毒系统不能以及时的方式来阻止恶意的活动。这种情况出现在,例如,新型的恶意软件出现的时候,反病毒系统的可用方法无法将其检测出来,因为这些系统对新的恶意软件一无所知。另一种情况也可能是:恶意软件利用操作系统的弱点或者反病毒系统自身的不足之处来绕过反病毒系统。已经侵入到计算机系统中的恶意软件可以展现出不同类型的恶意活动:文件活动、注册表活动、系统活动以及网络活动。在恶意的文件活动期间,恶意对象可对文件执行不同的操作,比如移除、更改、或者新文件的创建。恶意注册表活动典型地包括注册表参数和值的创建、修改或者移除。关于注册表活动的许多情况都是已知的,例如,恶意对象更改了注册表的参数以便加载操作系统时引起恶意软件的自动启动(auto-launch)。当恶意软件在计算机系统中开始或者停止进程的时候 ...
【技术保护点】
一种用于计算机恶意软件防护的方法,所述方法包括:识别存储在定期更新可核查事件数据库中的可核查事件列表,所述可核查事件列表识别在应当被监控的计算机上的一个或多个软件对象的执行活动,所述执行活动至少包括由所述一个或多个软件对象进行的文件的创建、更改或者删除事件,系统注册表的参数和值的创建、更改或者删除事件,以及网络连接事件;对所述计算机上的所述一个或多个软件对象的执行事件进行监控;基于所述可核查事件数据库中的所述可核查事件列表,在单独的文件中,识别并记录被监控的所述一个或多个软件对象的事件日志、注册表事件日志以及网络事件日志,包括识别由所述被监控的一个或多个软件对象所创建的任何文件;识别父和子进程与由所述被监控的软件对象所生成的执行线程之间的关系;对所述计算机上的所述被监控的一个或多个软件对象执行恶意软件检查,包括在执行所述被监控的一个或多个软件对象期间所生成的所有进程和线程;如果基于检测到在执行所述对象期间生成的恶意进程或线程从而由所述恶意软件检查确定了对象是恶意的,那么从存储在所述可核查事件数据中的所述文件事件日志、注册表事件日志和网络事件日志中识别一个或多个与所述恶意对象相关联的文件 ...
【技术特征摘要】
1.一种用于计算机恶意软件防护的方法,所述方法包括:识别存储在定期更新可核查事件数据库中的可核查事件列表,所述可核查事件列表识别在应当被监控的计算机上的一个或多个软件对象的执行活动,所述执行活动至少包括由所述一个或多个软件对象进行的文件的创建、更改或者删除事件,系统注册表的参数和值的创建、更改或者删除事件,以及网络连接事件;对所述计算机上的所述一个或多个软件对象的执行事件进行监控;基于所述可核查事件数据库中的所述可核查事件列表,在单独的文件中,识别并记录被监控的所述一个或多个软件对象的事件日志、注册表事件日志以及网络事件日志,包括识别由所述被监控的一个或多个软件对象所创建的任何文件;识别父和子进程与由所述被监控的软件对象所生成的执行线程之间的关系;对所述计算机上的所述被监控的一个或多个软件对象执行恶意软件检查,包括在执行所述被监控的一个或多个软件对象期间所生成的所有进程和线程;如果基于检测到在执行所述对象期间生成的恶意进程或线程从而由所述恶意软件检查确定了对象是恶意的,那么从存储在所述可核查事件数据中的所述文件事件日志、注册表事件日志和网络事件日志中识别一个或多个与所述恶意对象相关联的文件事件、注册表事件以及网络连接事件,并且进一步识别一个或多个被由所述恶意对象所生成的识别的父和子进程以及执行线程所建立的网络连接以及由每个父和子进程以及执行线程所创建的每个文件;通过删除由所述恶意对象所创建的所有被识别的文件以及由每个父和子进程以及执行线程所创建的每个文件,对与所述恶意对象相关联的一个或多个文件事件执行回退操作;对与所述恶意对象相关联的一个或多个注册表事件执行回退操作;终止与所述恶意对象相关联的一个或多个网络连接,并且进一步终止由所述恶意对象所生成的父和子进程以及执行线程所建立的一个或多个被识别的网络连接。2.根据权利要求1的方法,其中执行文件事件的回退操作包括:基于所述识别出的与所述恶意对象相关联的文件事件,识别由所述恶意对象所更改或者删除的一个或多个文件;以及从可信的备份中恢复至少部分的所述被更改和删除的文件。3.根据权利要求1的方法,其中执行注册表事件的回退操作包括:基于所述识别出的与所述恶意对象相关联的注册表事件,识别由所述恶意对象所创建、更改或者删除的一个或多个注册表参数和值;删除由所述恶意对象所创建的新的注册表参数和值;以及从可信的备份中恢复被更改或者删除的注册表参数和值。4.根据权利要求1的方法,其中更进一步地包括:从所述文件事件日志、注册表事件日志中识别与一个或多个相关的父和子进程以及由所述恶意对象所生成的执行线程相关联的一个或多个文件事件和注册表事件。5.根据权利要求4的方法,更进一步的包括:识别一个或多个被所述父和子进程以及由所述恶意对象所生成的执行线程所创建、更改或者删除的系统和非系统文件;从可信的备份中恢复至少部分的所述被更改的系统和非系统文件或者被删除的系统和非系统文件;删除所有识别出的被所述父和子进程以及由所述恶意对象所生成的执行线程所创建的新的非系统文件。6.根据权利要求4的方法,更进一步的包括:识别一个或多个被所述父和子进程以及由所述恶意对象所生成的执行线程所创建、更改或者删除的注册表参数和值;删除一个或多个识别出的被所述父和子进程以及由所述恶意对象所生成的执行线程所创建的新的注册表参数和值;以及从可信的备份中恢复被更改或者删除的注册表参数和值。7.根据权利要求1的方法,更进一步的包括:识别至少一个由所述恶意对象所生成的线程或进程,所述恶意对象执行在所述计算机的安全对象或进程中并创建网络连接;8.根据权利要求7的方法,其中,如果所述安全对象或进程是所述计算机的系统文件,则终止所述网络连接,并且利用从备份数据库中所获得的文件的备份副本来恢复所述系统。9.一种用于计算机恶意软件防护的系统,其中所述计算机具有处理器和存储器,所述系统至少包括以下被加载到所述计算机的所述存储器中并可由所述计算机的所述处理器执行的软件模块:反病毒数据库,其包含与已知恶意对象有关的信息;定...
【专利技术属性】
技术研发人员:米哈伊尔·A·帕夫柳席奇卡,弗拉季斯拉夫·V·马蒂嫩科,尤里·G·斯洛博迪亚努克,
申请(专利权)人:卡巴斯基实验室封闭式股份公司,
类型:发明
国别省市:俄罗斯,RU
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。