本发明专利技术公开了一种未知病毒程序的识别方法,包括:获取待检测程序的行为数据;根据获得的所述待检测程序的行为数据以及预置的典型病毒程序的行为数据,判断所述待检测程序是否为病毒程序。本发明专利技术不仅仅能识别已知病毒程序,也可以相当准确的识别多数的未知病毒程序。本发明专利技术还进一步比较行为结果以及行为与结果之间的关系,故可以实现未知病毒程序的精确识别,提高未知病毒程序识别的准确度和效率。本发明专利技术还提供了一种未知病毒程序的清除方法,不仅可以清除病毒程序,并且可以根据所述病毒程序的行为,建立并执行所述病毒程序的逆行为操作,故可以实现对被病毒程序破坏的数据的恢复。
【技术实现步骤摘要】
本专利技术涉及一种,特别是涉及一种对于未知病毒程序的识别方法以及清除该病毒程序的方法。
技术介绍
通常的反病毒程序中,对于病毒程序的识别通常采用特征代码扫描技术。反病毒程序由两部分组成一部分是病毒程序代码库,含有经过特别选定的各种计算机病毒程序的特征代码串;另一部分是利用该代码库对待检测程序进行扫描的扫描程序和清除程序。通过查找待检测程序中是否存在病毒程序代码库中的特征代码串来判断待检测程序是否为病毒程序。病毒程序扫描程序能识别的计算机病毒程序的数目完全取决于病毒程序代码库内所含病毒程序的特征代码串的数量有多少。显而易见,所述病毒程序代码库中病毒程序代码特征代码串的数量越多,扫描程序能识别出的病毒程序就越多。特征码查毒方案实际上是人工查毒经验的简单表述,它再现了人工辨识病毒程序的一般方法,采用了“同一病毒程序或同类病毒程序的某一部分代码相同”的原理,也就是说,如果病毒程序及其变种、变形病毒程序具有同一性,则可以对这种同一性进行描述,并通过对程序体与描述结果(亦即“特征码”)进行比较来查找病毒程序。但是并非所有病毒程序都可以描述其特征码,很多病毒程序都难以描述,甚至无法用特征码进行描述。并且特征码识别方法需要技术人员预先分析得出病毒程序的特征码,所以实际上只能识别已知病毒程序,对未知病毒程序不能进行有效的识别和清除。申请号为01117726.8号的中国专利技术专利公开了一种采用病毒程序行为感染实验法诊断病毒程序的方法。该方法是指先运行待检测程序,再运行足够多的确切知道不带毒的正常程序作为诱饵,然后观察这些正常程序的长度和校验和,如果发现有的程序长度增长,或者校验和发生变化等情况,就可以判断出该待检测程序是否为病毒程序。当然,为了保证本计算机系统的安全,一般都会利用程序模拟一个CPU,它可以像真正CPU一样取值,译码,执行,以及模拟一段代码在真正CPU上运行得到的结果。但是由于所述的病毒程序行为感染分析法需要模拟一个CPU,甚至整个操作系统,以及需要采用足够多的诱饵诱发待检测程序,所以会导致所述方法占用较大的系统空间以及识别病毒程序的效率低下。
技术实现思路
鉴于上述问题,本专利技术要解决的技术问题是提供一种不仅仅能识别已知病毒程序,也可以识别未知病毒程序的未知病毒程序的识别方法以及清除方法。为解决上述技术问题,本专利技术提出了一种未知病毒程序的识别方法,包括获取待检测程序的行为数据;根据获得的所述待检测程序的行为数据或行为数据集合以及预置的病毒程序的行为数据或者行为数据集合,判断所述待检测程序是否为病毒程序。所述方法还包括建立经验库,用于存储病毒程序的行为数据或者行为数据的集合,以及存储病毒程序从行为数据到结果数据的过程表达式,所述过程表达式包括行为数据和结果数据以及从行为到结果的对应关系数据;以及,将获得的所述待检测程序的行为数据或行为数据集合与所述经验库中的行为数据进行比较,得到所述行为数据或者行为数据集合导致的操作结果数据。所述方法还包括建立原则库,用于存储病毒程序的破坏性操作结果数据;以及,比较行为数据或者行为数据集合导致的操作结果数据以及所述原则库中的破坏性操作结果数据,判断所述待检测程序是否为病毒程序。所述方法还可以只包括建立经验库,用于存储病毒程序从行为到结果的过程表达式,所述过程表达式包括病毒程序的行为数据或行为数据集合、结果数据、从行为到结果的对应关系数据以及结果数据的各种排列组合的集合;以及,将获得的所述待检测程序的行为数据或行为数据集合与所述经验库中的行为数据或行为数据集合进行比较,得到所述行为数据或者行为数据集合导致的操作结果数据;以及,将所述操作结果数据与所述经验库中的结果数据、以及结果数据的各种排列组合的集合进行比较,判断所述待检测程序是否为病毒程序。所述方法还包括对所述待检测程序进行特征码识别,判断所述待检测程序是否为病毒程序。所述方法还包括将获得的所述待检测程序的行为数据或行为数据集合按照经验库中行为数据或者行为数据集合的顺序进行排列。本专利技术可以按照下述步骤获取待检测程序的行为数据获得已知病毒程序的破坏性行为数据;根据所述破坏性行为数据设置对应的控制处理程序;使控制处理程序获得对所述破坏性行为数据操作的控制权;待检测程序的破坏性行为数据调用相应的控制处理程序,由所述控制处理程序记录所述待检测程序的行为数据。所述方法还包括如果所述待检测程序被判定为病毒程序,则将所述待检测程序的行为数据存储至所述经验库中的行为信息中,将所述待检测程序行为对应的结果数据存储至所述经验库中的结果信息中,并建立所述待检测程序的行为数据和结果数据之间的对应关系。所述方法还包括如果所述待检测程序被判定为病毒程序,则将所述待检测程序的行为数据或者行为数据集合存储为病毒程序的行为数据或者行为数据集合。所述方法还包括如果所述待检测程序被判定为病毒程序,存储病毒程序的破坏性操作结果数据或破坏性操作结果数据排列组合后的数据集合。所述方法还包括建立有害行为库,用于存储病毒程序的行为数据或者行为数据集合。本专利技术提供的未知病毒程序的清除方法,包括获取待检测程序的行为数据;根据获得的所述待检测程序的行为数据或行为数据集合以及预置的典型病毒程序的行为数据或者行为数据集合,判断所述待检测程序是否为病毒程序;如果判定所述待检测程序是病毒程序,则清除所述待检测程序。所述未知病毒程序的清除方法,还包括如果判定所述待检测程序是病毒程序,根据获得的所述待检测程序的行为数据或行为数据集合,建立对应的逆行为操作步骤;执行所述逆行为操作步骤。与现有技术相比,本专利技术具有至少以下的优点本专利技术通过实践中总结,得出一些典型病毒程序的典型行为,获取待检测程序的行为数据,进行行为的比较,从而判断所述待检测程序是否为病毒程序。所以本专利不仅仅能识别已知病毒程序,也可以相当准确的识别多数的未知病毒程序。本专利技术通过经验库或者原则库存储病毒程序的一些信息,通过一定的比较或者逻辑分析过程,即同时考虑所述待检测程序的行为和结果,故可以实现未知病毒程序的精确识别,提高未知病毒程序识别的准确度和效率。并且所述的经验库和原则库还可以在识别未知病毒程序的过程中进行自动完善,故可以提高未知病毒程序识别的准确度和效率。本专利技术还提供了一种未知病毒程序的清除方法,不仅可以清除病毒程序,并且可以根据所述病毒程序的行为,建立并执行所述病毒程序的逆行为操作,故可以实现对被病毒程序破坏的数据的恢复,以解决虽然清除了病毒程序却不能恢复被破坏的数据的问题。附图说明下面结合附图和具体实施方式对本专利技术作进一步详细的说明。图1是本专利技术所述未知病毒程序识别方法的第一实施例的步骤流程图;图2是本专利技术所述未知病毒程序识别方法的第二实施例的步骤流程图;图3是本专利技术所述未知病毒程序识别方法中的获取待检测程序的行为数据的步骤流程图;图4是本专利技术所述未知病毒程序识别及清除方法的步骤流程图;图5是系统功能调用表的结构示意图;图6是系统功能调用程序实际存储区的示意图;图7是图5所示的系统功能调用表存储有相应的控制处理程序时的结构示意图;图8是图7所示存储实例的功能调用程序实际存储区的示意图;图9是存储有所述控制处理程序的一个独立的操作行为调用表的结构示意图;图10是将所有控制处理程序存储为另一个独立的操作行为调用表本文档来自技高网...
【技术保护点】
一种未知病毒程序的识别方法,其特征在于,包括:获取待检测程序的行为数据;根据获得的所述待检测程序的行为数据或行为数据集合以及预置的病毒程序的行为数据或者行为数据集合,判断所述待检测程序是否为病毒程序。
【技术特征摘要】
CN 2005-11-16 200510114945.71.一种未知病毒程序的识别方法,其特征在于,包括获取待检测程序的行为数据;根据获得的所述待检测程序的行为数据或行为数据集合以及预置的病毒程序的行为数据或者行为数据集合,判断所述待检测程序是否为病毒程序。2.如权利要求1所述的未知病毒程序的识别方法,其特征在于,还包括建立经验库,用于存储病毒程序的行为数据或者行为数据的集合,以及存储病毒程序从行为数据到结果数据的过程表达式,所述过程表达式包括行为数据和结果数据以及从行为到结果的对应关系数据;以及,将获得的所述待检测程序的行为数据或行为数据集合与所述经验库中的行为数据进行比较,得到所述行为数据或者行为数据集合导致的操作结果数据。3.如权利要求2所述的未知病毒程序的识别方法,其特征在于,还包括建立原则库,用于存储病毒程序的破坏性操作结果数据;以及,比较行为数据或者行为数据集合导致的操作结果数据以及所述原则库中的破坏性操作结果数据,判断所述待检测程序是否为病毒程序。4.如权利要求1所述的未知病毒程序的识别方法,其特征在于,还包括建立经验库,用于存储病毒程序从行为到结果的过程表达式,所述过程表达式包括病毒程序的行为数据或行为数据集合、结果数据、从行为到结果的对应关系数据以及结果数据的各种排列组合的集合;以及,将获得的所述待检测程序的行为数据或行为数据集合与所述经验库中的行为数据或行为数据集合进行比较,得到所述行为数据或者行为数据集合导致的操作结果数据;以及,将所述操作结果数据与所述经验库中的结果数据、以及结果数据的各种排列组合的集合进行比较,判断所述待检测程序是否为病毒程序。5.如权利要求1、2、3或4所述的未知病毒程序的识别方法,其特征在于,还包括对所述待检测程序进行特征码识别,判断所述待检测程序是否为病毒程序。6.如权利要求3或4所述的未知病毒程序的识别方法,其特征在于,包括将获得的所述待检测...
【专利技术属性】
技术研发人员:白杰,鲁征宇,李薇,
申请(专利权)人:白杰,李薇,鲁征宇,
类型:发明
国别省市:11[中国|北京]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。