用于保护计算机系统免遭恶意对象活动侵害的系统和方法技术方案

本发明专利技术公开了用于保护计算机免遭恶意对象活动侵害的系统、方法和计算机程序产品。该方法包括：对计算机上一个或多个进程的执行事件进行监控；识别被监控事件之中的可核查事件，包括文件的创建、更改或者删除事件，系统注册表的更改事件，以及由在计算机上所执行的进程进行的网络访问事件；在单独的文件、注册表以及网络事件日志中记录识别出的可核查事件；对计算机上的一个或多个软件对象执行恶意软件检查；如果确定了对象是恶意的，那么从文件、注册表和网络事件日志中识别与所述恶意对象相关联的事件；对与所述恶意对象相关联的文件事件执行回退操作；对与所述恶意对象相关联的注册表事件执行回退操作；终止与所述恶意对象相关联的网络连接。

【技术实现步骤摘要】
用于保护计算机系统免遭恶意对象活动侵害的系统和方法本申请是分案申请，其原申请的中国国家申请号为201210050079.X，专利技术名称为“用于保护计算机系统免遭恶意对象活动侵害的系统和方法”。
本专利技术所公开的内容总体上涉及计算机安全领域，并且，具体地说，涉及用于保护计算机系统免遭恶意对象的文件、注册表、系统和网络活动侵害的系统、方法和计算机程序产品。
技术介绍
当前计算机技术的发展已经达到了很高的水平。随着计算机技术的发展，数字数据的数量以更快节奏的速率在增长。与此同时，数字数据是易损的并且需要防范恶意对象比如病毒、特洛伊木马、蠕虫、间谍软件及其他类型的恶意软件的侵害。使用反病毒系统来保护信息免受恶意软件的侵害，该反病毒系统的基本任务是阻止恶意对象的危险活动。但情况是：反病毒系统不能以及时的方式来阻止恶意的活动。这种情况出现在，例如，新型的恶意软件出现的时候，反病毒系统的可用方法无法将其检测出来，因为这些系统对新的恶意软件一无所知。另一种情况也可能是：恶意软件利用操作系统的弱点或者反病毒系统自身的不足之处来绕过反病毒系统。已经侵入到计算机系统中的恶意软件可以展现出不同类型的恶意活动：文件活动、注册表活动、系统活动以及网络活动。在恶意的文件活动期间，恶意对象可对文件执行不同的操作，比如移除、更改、或者新文件的创建。恶意注册表活动典型地包括注册表参数和值的创建、修改或者移除。关于注册表活动的许多情况都是已知的，例如，恶意对象更改了注册表的参数以便加载操作系统时引起恶意软件的自动启动(auto-launch)。当恶意软件在计算机系统中开始或者停止进程的时候，或者当它在系统或者程序进程中启动新的执行线程的时候，可能发生恶意的系统活动。恶意的网络活动典型地包括由恶意对象来创建新的网络连接。利用这些恶意的活动，恶意软件可以侵入到计算机系统中，并且可以获取其上所存储的数据。因此，需要检测出恶意的活动，并且对恶意活动所损坏、修改或者移动的数据进行恢复。
技术实现思路
本文公开了用于保护计算机免遭恶意对象的文件、注册表、系统和网络活动侵害的系统、方法和计算机程序产品。在一个示例性实施例中，所述系统包括反病毒数据库，以及可核查事件数据库，其中反病毒数据库包含与已知恶意对象有关的信息，可核查事件数据库包含可核查事件的列表，该可核查事件至少包括文件的创建、更改或者删除事件，系统注册表的创建、更改或者删除事件，以及由在计算机上所执行的进程进行的网络访问事件。所述系统还包括数据收集模块，其可操作地用于监控计算机上一个或多个进程的执行事件；基于包含在可核查事件数据存储器中的可核查事件的列表，识别被监控事件中的可核查事件；并且在存储器所包含的单独的文件、注册表以及网络事件日志中记录所识别出的可核查事件。所述系统还包括反病毒模块，其经配置以：使用包含在反病毒数据库中的关于已知恶意对象的信息，对计算机上的一个或多个软件对象执行恶意软件检查。如果确定了对象是恶意的，那么反病毒模块从网络事件日志中识别一个或多个与所述恶意对象相关联的网络事件，并且终止由所述恶意对象所建立的一个或多个网络连接。所述系统还包括恢复模块，其经配置以：如果确定了对象是恶意的，那么从文件和注册表事件日志中识别一个或多个与所述恶意对象相关联的文件和注册表事件，并且对与所述恶意对象相关联的文件事件以及注册表事件执行回退操作(rollback)。在一个示例性实施例中，用于保护计算机免遭恶意软件侵害的方法包括：对计算机上一个或多个进程的执行事件进行监控；识别被监控事件之中的可核查事件，其中可核查事件包括文件的创建、更改或者删除事件，系统注册表的创建、更改或者删除事件，以及由在计算机上所执行的进程进行的网络访问事件；在单独的文件、注册表以及网络事件日志中记录所识别出的可核查事件；对计算机上的一个或多个软件对象执行恶意软件检查；如果确定了对象是恶意的，那么从文件、注册表和网络事件日志中识别与所述恶意对象相关联的事件；对与所述恶意对象相关联的文件事件执行回退操作；对与所述恶意对象相关联的注册表事件执行回退操作；终止与所述恶意对象相关联的网络连接。上述示例性实施例的简要概括用于提供对于本专利技术的基本理解。这个概括并非对本专利技术所有关注方向的广泛概述，并且其既非意图确定所有实施例的关键或者决定因素，也非意图划定任何一个实施例或者所有实施例的范围界限。其唯一的目的是，在下面更加详细地对本专利技术进行描述之前，以简化的形式来提出一个或多个实施例。为了完成前述事项，所述一个或多个实施例包括了权利要求中所描述并且具体指出的特征。附图说明并入此说明书并构成此说明书的一部分的附图图示了本专利技术的一个或多个示例性实施例，并且，与详细说明一起用来解释这些实施例的原理和实现过程。在附图中：图1示出了根据一个示例性实施例的恶意软件保护系统的示意图；图2示出了根据另一个示例性实施例的恶意软件保护系统的操作示意图；图3示出了根据另一个示例性实施例的恶意软件保护系统的操作示意图；图4A-4E示出了根据多个示例性实施例的恶意软件保护系统的操作算法；图5示出了根据一个示例性实施例的计算机系统的示意图。具体实施方式在此围绕用于保护计算机免遭恶意软件侵害的系统、方法和计算机程序产品来描述本专利技术的示例性实施例。那些本领域的普通技术人员将意识到以下描述仅仅是说明性的而并非意图以任何方式进行限定。受益于此公开内容，本领域技术人员可以容易地想到其它实施例。现在进行详细地介绍以实现附图中所图示的本专利技术的示例性实施例。所有的附图以及随后的描述中都尽可能使用相同的附图标记来表示相同的或者相似的项目。图1示出了根据一个示例性实施例的恶意软件保护系统100的示意图。系统100可由在个人计算机或者网络服务器上所配置的软件应用程序来实现，在下面的图5中对其进行了更为详细地描述。在一个示例性实施例中，系统100包括了反病毒模块120，其执行软件对象110的反病毒检查，所述软件对象110包括对象111，112和113，例如系统和程序文件、脚本及其它在部署有系统100的个人计算机或者服务器上运行的可执行程序代码。软件对象110中的对象112是恶意的。在一个示例性实施例中，反病毒模块120可以是程序模块，其使用驱动器来与其上部署有系统100的计算机的操作系统的核心进行交互。反病毒模块120可以使用不同的恶意软件检测技术，例如签名检查(signalcheck)，或者试探和行为分析(heuristicandbehavioralanalysis)，或者其它用于对象110分析的方法。签名检查是以被分析对象110的字节代码与存储在恶意软件签名中的不同的恶意对象代码之间的比较为基础的。在搜索恶意对象时，试探分析使用了分析引擎，该分析引擎灵活地运用了设定模式(setpattern)，例如利用模糊逻辑来描述的模式。在特定情况中，行为分析是以对系统事件的观察为基础的。对于恶意对象的确定是以其在系统中的行为在对恶意软件行为所设定规则的框架内为基础的。在对于对象110进行反病毒检查期间，反病毒模块120也可以检查在这些对象的执行期间所启动的进程和线程。在对象110和相关进程以及线程的分析期间，反病毒模块120可以使用包含在反病毒数据库121中的恶意软件签名和行为签名。恶意本文档来自技高网...

【技术保护点】
一种用于计算机恶意软件防护的方法，所述方法包括：识别存储在定期更新可核查事件数据库中的可核查事件列表，所述可核查事件列表识别在应当被监控的计算机上的一个或多个软件对象的执行活动，所述执行活动至少包括由所述一个或多个软件对象进行的文件的创建、更改或者删除事件，系统注册表的参数和值的创建、更改或者删除事件，以及网络连接事件；对所述计算机上的所述一个或多个软件对象的执行事件进行监控；基于所述可核查事件数据库中的所述可核查事件列表，在单独的文件中，识别并记录被监控的所述一个或多个软件对象的事件日志、注册表事件日志以及网络事件日志，包括识别由所述被监控的一个或多个软件对象所创建的任何文件；识别父和子进程与由所述被监控的软件对象所生成的执行线程之间的关系；对所述计算机上的所述被监控的一个或多个软件对象执行恶意软件检查，包括在执行所述被监控的一个或多个软件对象期间所生成的所有进程和线程；如果基于检测到在执行所述对象期间生成的恶意进程或线程从而由所述恶意软件检查确定了对象是恶意的，那么从存储在所述可核查事件数据中的所述文件事件日志、注册表事件日志和网络事件日志中识别一个或多个与所述恶意对象相关联的文件事件、注册表事件以及网络连接事件，并且进一步识别一个或多个被由所述恶意对象所生成的识别的父和子进程以及执行线程所建立的网络连接以及由每个父和子进程以及执行线程所创建的每个文件；通过删除由所述恶意对象所创建的所有被识别的文件以及由每个父和子进程以及执行线程所创建的每个文件，对与所述恶意对象相关联的一个或多个文件事件执行回退操作；对与所述恶意对象相关联的一个或多个注册表事件执行回退操作；终止与所述恶意对象相关联的一个或多个网络连接，并且进一步终止由所述恶意对象所生成的父和子进程以及执行线程所建立的一个或多个被识别的网络连接。...

【技术特征摘要】
1.一种用于计算机恶意软件防护的方法，所述方法包括：识别存储在定期更新可核查事件数据库中的可核查事件列表，所述可核查事件列表识别在应当被监控的计算机上的一个或多个软件对象的执行活动，所述执行活动至少包括由所述一个或多个软件对象进行的文件的创建、更改或者删除事件，系统注册表的参数和值的创建、更改或者删除事件，以及网络连接事件；对所述计算机上的所述一个或多个软件对象的执行事件进行监控；基于所述可核查事件数据库中的所述可核查事件列表，在单独的文件中，识别并记录被监控的所述一个或多个软件对象的事件日志、注册表事件日志以及网络事件日志，包括识别由所述被监控的一个或多个软件对象所创建的任何文件；识别父和子进程与由所述被监控的软件对象所生成的执行线程之间的关系；对所述计算机上的所述被监控的一个或多个软件对象执行恶意软件检查，包括在执行所述被监控的一个或多个软件对象期间所生成的所有进程和线程；如果基于检测到在执行所述对象期间生成的恶意进程或线程从而由所述恶意软件检查确定了对象是恶意的，那么从存储在所述可核查事件数据中的所述文件事件日志、注册表事件日志和网络事件日志中识别一个或多个与所述恶意对象相关联的文件事件、注册表事件以及网络连接事件，并且进一步识别一个或多个被由所述恶意对象所生成的识别的父和子进程以及执行线程所建立的网络连接以及由每个父和子进程以及执行线程所创建的每个文件；通过删除由所述恶意对象所创建的所有被识别的文件以及由每个父和子进程以及执行线程所创建的每个文件，对与所述恶意对象相关联的一个或多个文件事件执行回退操作；对与所述恶意对象相关联的一个或多个注册表事件执行回退操作；终止与所述恶意对象相关联的一个或多个网络连接，并且进一步终止由所述恶意对象所生成的父和子进程以及执行线程所建立的一个或多个被识别的网络连接。2.根据权利要求1的方法，其中执行文件事件的回退操作包括：基于所述识别出的与所述恶意对象相关联的文件事件，识别由所述恶意对象所更改或者删除的一个或多个文件；以及从可信的备份中恢复至少部分的所述被更改和删除的文件。3.根据权利要求1的方法，其中执行注册表事件的回退操作包括：基于所述识别出的与所述恶意对象相关联的注册表事件，识别由所述恶意对象所创建、更改或者删除的一个或多个注册表参数和值；删除由所述恶意对象所创建的新的注册表参数和值；以及从可信的备份中恢复被更改或者删除的注册表参数和值。4.根据权利要求1的方法，其中更进一步地包括：从所述文件事件日志、注册表事件日志中识别与一个或多个相关的父和子进程以及由所述恶意对象所生成的执行线程相关联的一个或多个文件事件和注册表事件。5.根据权利要求4的方法，更进一步的包括：识别一个或多个被所述父和子进程以及由所述恶意对象所生成的执行线程所创建、更改或者删除的系统和非系统文件；从可信的备份中恢复至少部分的所述被更改的系统和非系统文件或者被删除的系统和非系统文件；删除所有识别出的被所述父和子进程以及由所述恶意对象所生成的执行线程所创建的新的非系统文件。6.根据权利要求4的方法，更进一步的包括：识别一个或多个被所述父和子进程以及由所述恶意对象所生成的执行线程所创建、更改或者删除的注册表参数和值；删除一个或多个识别出的被所述父和子进程以及由所述恶意对象所生成的执行线程所创建的新的注册表参数和值；以及从可信的备份中恢复被更改或者删除的注册表参数和值。7.根据权利要求1的方法，更进一步的包括：识别至少一个由所述恶意对象所生成的线程或进程，所述恶意对象执行在所述计算机的安全对象或进程中并创建网络连接；8.根据权利要求7的方法，其中，如果所述安全对象或进程是所述计算机的系统文件，则终止所述网络连接，并且利用从备份数据库中所获得的文件的备份副本来恢复所述系统。9.一种用于计算机恶意软件防护的系统，其中所述计算机具有处理器和存储器，所述系统至少包括以下被加载到所述计算机的所述存储器中并可由所述计算机的所述处理器执行的软件模块：反病毒数据库，其包含与已知恶意对象有关的信息；定...

【专利技术属性】
技术研发人员：米哈伊尔·A·帕夫柳席奇卡，弗拉季斯拉夫·V·马蒂嫩科，尤里·G·斯洛博迪亚努克，
申请(专利权)人：卡巴斯基实验室封闭式股份公司，
类型：发明
国别省市：俄罗斯,RU