恢复被恶性代码修改的计算机系统的方法。该方法扫描计算机系统以发现恶性代码,识别该恶性代码并从数据文件中检索与该恶性代码有关的信息,其中包括至少一个命令用于使计算机系统恢复到受该恶性代码修改之前存在的状态。这至少一个命令被执行,以把计算机系统恢复到基本上为受该恶性代码修改之前存在的状态。(*该技术在2022年保护过期,可自由使用*)
【技术实现步骤摘要】
本公开内容涉及检测和去掉计算机程序,更具体地说,本公开内容涉及恢复受恶意计算机程序破坏的计算机系统。
技术介绍
计算机病毒是现今计算中的主要问题。一般地说,计算机病毒是一个程序(或某一代码单元,例如计算机响应的指令,如代码块、代码元素或代码段),它可以附着在其他程序和/或对象上,可以复制它本身,和/或可以在计算机系统上采取未经请求的或恶性的行动。尽管这里的描述涉及计算机病毒,但本公开内容可以适用于能修改计算机资源的一个或多个部分的任何类型恶性代码。从计算机病毒中恢复的一种措施可以包括去掉该计算机病毒。这可以包括禁止受感染对象中的病毒,该对象可以是例如文件、存储区、或存储介质中的引导扇区。然而,人们还已经看到新近出现的计算机病毒除了原有的受感染对象外,还通过删除或重命名文件、管理系统注册和初始化和/或创建不希望的服务和过程等装置来管理对象。已经看到,计算机病毒可以对计算机系统上现已存在的文件重新命名和/或以一个不同的文件代替它,造成计算机以不希望的方式操作。此外,病毒可以修改现有的系统配置文件,同时把它自己嵌入计算机系统。能做这两种事情的计算机病毒的一个实例是“Happy 99.Worm(快乐99.蠕虫)”病毒。这一特定类型的病毒作为一个电子邮件消息的附件传播,并使受感染的计算机把该病毒的副本附加在向外发出的电子邮件消息上。这类病毒还可以在计算机硬驱动器上放置一个或多个隐藏文件和/或改变Windows的注册文件。例如,“快乐99.蠕虫”病毒把文件“Wsock32.dll重命名为“Wsock32.ska”并将原“Wsock32.dll”文件替换为它的新版本。“快乐99.蠕虫”病毒还在计算机系统上创建若干其他文件,包括“Ska.exe”,并在Windows注册文件中添加一行,指示该计算机在启动时运行“Ska.exe”文件。只是简单地禁止或去掉病毒代码而不去恢复或正确地重命名文件等和/或去掉不希望的服务或过程,将不能有效地恢复该计算系统。就是说,恢复已被病毒附着的对象可能并不总是足够的,特别是如果已由计算机病毒创建或修改了若干其他对象的话。因为每个病毒可能影响一个计算机系统的不同部分,特定的处理是需要的,而且可能需要对任何数量的对象进行若干个与操作系统有关的操作。所以,需要一种对受感染计算机系统的完全补救,以恢复所有受影响的对象。
技术实现思路
本公开内容涉及一种恢复被恶性代码修改的计算机系统的方法,包含扫描计算机系统以发现恶性代码,识别该恶性代码,从数据文件中检索与该恶性代码有关的信息,其中包括至少一个命令用于使计算机系统恢复到受该恶性代码修改之前存在的状态,以及执行这至少一个命令以把计算机系统恢复到基本上为受该恶性代码修改之前存在的状态。执行这至少一个命令的步骤可以包括读、写和删除数据三种之一。执行这至少一个命令的步骤还可以包括重命名和删除对象二者中的至少一个。本公开内容还涉及存储介质,其中包括计算可执行代码用于恢复被恶性代码修改的计算机系统,该存储介质中包含扫描计算机系统以发现恶性代码的代码,识别该恶性代码的代码,从数据文件中检索与该恶性代码有关的信息的代码,该信息中包括至少一个用于使计算机系统恢复为受该恶性代码修改之前状态的命令,以及执行这至少一个命令以把计算机系统恢复到基本上是受该恶性代码修改之前存在的状态的代码。本公开内容还涉及在传输介质中实现的计算机数据信号,其中包括计算机可执行指令用恢复被恶性代码修改的计算机系统,该计算机数据信号包含扫描计算机系统以发现恶性代码的数据信号部分,识别该恶性代码的数据信号部分,从数据文件中检索与该恶性代码有关的信息的数据信号部分,该信息中包括至少一个用于使计算机系统恢复为受该恶性代码修改之前状态的命令,以及执行这至少一个命令以把计算机系统恢复到基本是受该恶性代码修改之前存在的状态的数据信号部分。附图说明通过参考下文中的详细描述并结合附图加以考虑,本公开内容将得到更好的理解,因此人们将更容易得到对本公开内容以及它的许多伴随的优点的更完全的理解,这些附图是图1显示一个示例计算机系统,对它可以应用根据本公开内容的一个实施例的系统和方法以恢复受恶性代码破坏的计算机系统。图2显示一个过程流程图,该过程用于根据本公开内容的一个实施例恢复受恶性代码破坏的计算机系统。图3A显示一个数据库,其中包括针对病毒的恢复命令数据文件;以及图3B显示根据本公开内容的一个实施例来自恢复命令数据文件之一的命令。具体实施例方式在描述图中所示本公开内容优选实施例时,为了清楚而使用特定的术语。然而,本公开内容不限于如此选择的特定术语。应该理解,每个特定术语包括以类似方式操作的所有的技术等效物。图1是一个计算机系统102的实例方框图,本公开内容的恢复系统和方法可以应用于该系统。计算机系统102可以是能运行检测计算机病毒的软件的标准PC、膝上计算机、主机等。计算机系统102还能运行根据本公开内容的软件以把计算机系统102恢复到在该系统中放入病毒之前存在的状态。如图所示,计算机系统102可以包括中央处理单元(CPU)2、存储器4、时钟电路6、打印机接口8、显示单元10、LAN数据传输控制器12、LAN接口14、网络控制器16、内部总线18以及一个或多个输入设备20,如键盘和鼠标器。当然,计算机系统102可以不包括所述每个部件和/或可以包括未示出的附加部件。CPU2控制系统102的操作,并能运行存储在存储器4中的应用。存储器4可以包括例如RAM、ROM、可卸CDROM、DVD等。存储器4还可以存储为执行应用所必须的各类数据。以及为CPU使用而保留的工作区。时钟电路6可以包括一个电路以产生指示当前时间的信息,而且可以被编程为能递减计数预先确定的或设置的时间量。LAN接口14允许网络(未画出)(它可以是LAN)和LAN数据传输控制器12之间的通信。LAN数据传输控制器12使用预先确定的协议组与该网络上的其他设备交换信息和数据。计算机系统102还可以能够经由路由器(未画出)与其他网络通信。计算机系统102还可以能够使用网络控制器16经由公共交换电话网(PSTN)与其他设备通信。计算机系统102还可以访问WAN(广域网)和例如因特网。内部总线18可能实际上由多个总线构成,它允许与其相连的每个部件之间的通信。计算机系统102能利用为认识和识别计算机病毒而设计的一种或多种扫描程序来扫描存储器4的一个或多个部分以发现计算机病毒。例如,扫描程序可以检测病毒的已知签名,或可以使用启发式的逻辑来检测病毒。本公开内容的系统和方法可以作为计算机可执行代码来实现,该代码本身被存储在存储器4或存储在其他地方并可由计算机系统102访问。该计算机可执行代码可以被存储在与计算机系统102通信的远程站点并在那里执行,以远程修理/恢复计算机系统102。这里描述的方法和系统能够恢复受计算机病毒破坏的计算机系统。根据一个实施例,多个针对病毒的恢复命令数据文件(见图3A)可由计算机系统102访问。如图3B中所示,每个恢复命令数据文件包含命令或系统补救指令,用于恢复受特定病毒破坏的被感染计算机系统。因为一些病毒可能以不同的方式影响不同的操作系统,这些命令可以根据不同操作系统的要求进行分类。这些命令用于恢复文件名、系统注册设置和/或其他操作系本文档来自技高网...
【技术保护点】
恢复由恶性代码修改的计算机系统的方法,包含: 扫描计算机系统以发现恶性代码;识别该恶性代码;从数据文件中检索与该恶性代码有关的信息,包括至少一个命令用于把该计算机系统恢复为被恶性代码修改之前存在的状态;以及执 行这至少一个命令把该计算机系统恢复到基本上为被恶性代码修改之前存在的状态。
【技术特征摘要】
...
【专利技术属性】
技术研发人员:塔拉斯马利万处克,莫什达兹,奥弗罗兹奇尔德,
申请(专利权)人:计算机联合思想公司,
类型:发明
国别省市:US[美国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。