本发明专利技术是一种防止计算机病毒传染的方法,特别是一种能在计算机病毒未发作之前,即时切断其传染途径的方法,通过Ring0层与Ring3层的同步处理与通讯,对当前所运行的应用程序进行监控,在发现当前的操作代码可能是由计算机病毒发出时,立即拦截所有相关的操作信息,中断相关操作的运行,同时发送提示信息告知使用者,并在使用者确认后,进行相应的防毒处理,而达到在最佳的时机防堵计算机病毒入侵、扩散至其他的系统、程序或文件的目的。(*该技术在2020年保护过期,可自由使用*)
【技术实现步骤摘要】
本专利技术涉及一种,尤其涉及一种借助过程的同步对文件系统的监控,来切断计算机病毒传染途径的方法。计算机病毒是一种可执行的计算机程序,是目前计算机的一大危害,其类型依所感染的文件类型与受感染的记录区域可分为程序型病毒、启动型病毒、隐藏型病毒、变种病毒、复合型病毒、视窗病毒、恶意程序等等。和生物性病毒一样,它们会寻找宿主并依附在其上,就如同感冒病毒会以人为宿主,而计算机病毒则是会依附在某个项目上面,例如计算机的启动区域(引导区)或可执行文件。一般而言一部已受计算机病毒感染的计算机在被关闭计算机之前,大部分的计算机病毒都会活跃于存储器中。等到关闭计算机,计算机病毒就会从存储器中移除,但是它们仍会停留在受到感染的文件或磁盘中。因此当您下回使用计算机时,病毒程序就会再度启动,并依附在更多的程序中;所以,计算机病毒就像一般的生物性病毒一样,是会不断复制的。目前的防毒软件都着重在查毒和杀毒上,而没有主动切断病毒的传染途径,也就是只有在当前病毒感染和破坏了使用者的系统之后,这种软件才能起作用,因此其过程是一种被动防毒方法,使用者也无法准确把握扫毒和杀毒的最好时机,并且为了应付不断出现的新类型病毒,就需要分别开发出针对不同病毒的各种病毒模板,而且病毒在不断升级的过程中,也需要程序开发者不断地将对应的防毒模板升级,才能达到杀毒的效果,这样一来,防毒软件的开发周期将会变长,成本伴随着也提高,且使用时十分不便。附图说明图1示出了现有技术的查毒及去除方法。通常在使用者执行带有A病毒的程序或文件101后,其所使用的系统以及系统内其他应用程序或文件102便随即遭受到A病毒的感染,此时经由防毒软件103或是使用者本身的查觉,使用者就必需再以手动的方式执行扫毒程序104,也就是进行所谓的扫描(Scan)过程,从其使用的系统环境中找出所有受A病毒感染的程序或文件,再执行如KILL.EXE之类的杀毒程序,将A病毒从所有程序或文件中杀除105。这样的处理方法虽然可杀掉原来带有病毒的程序或文件,以及之后被感染的程序或文件,但是对于因病毒而造成的损失却已是无法弥补。传统的防止计算机病毒的方式是在发现计算机中的某一程序或文件被计算机病毒入侵时(此时计算机病毒已扩散入侵至其他的程序或文件中),才由使用者以手动的方式执行扫毒软件,对整个计算机系统进行扫描,再对受感染的程序或文件进行除毒;但是在此时很可能已经有部分应用程序或文件被计算机病毒破坏,而无法运行、开启,所造成的损坏是无法弥补的。本专利技术的目的在于提供一种能在计算机病毒未发作之前,即时切断其传染途径的方法,其通过低权限的系统处理程序(例如Ring3层的处理程序)与高权限的系统处理程序(例如Ring0层的处理程序)的同步作业方式,对当前所运行的应用程序进行监控,在发现被处理的文件(可以是新加入的文件或已存在于计算机中的文件)受计算机病毒感染时,立即切断该类计算机病毒的传染途径,并为应用程序注入抗体,以抵御计算机病毒的入侵,进而防止计算机病毒入侵其他的系统、程序或文件。根据本专利技术,在使用者以低权限的系统处理程序启用任何一个应用程序时,其上层的高权限的系统处理程序均会对其整个运行过程和所处理的文件进行监控,一旦使用者执行了带有计算机病毒的程序或文件,在计算机病毒正要开始传染之时,就可侦测到此程序或文件的异常,然后发出“发现病毒”的提示信息告知使用者,进行杀毒的处理,如此,计算机病毒就会在发作之前予以去除,无法传播,避免了系统及其应用程序受到计算机病毒的入侵,有关本专利技术的详细内容及技术,下面将参考附图进行说明图1是已知的扫毒、杀毒的方法示意图。图2是本专利技术的防毒技术的方块示意图。图3是本专利技术的防毒的处理方块图。图4是本专利技术在防毒处理时Ring0层的操作流程图。图5是本专利技术在防毒处理时Ring3层的操作流程图。图6是本专利技术的可执行文件的判定流程图。根据本专利技术所揭示的技术(参阅图2),在任何情况下当进行计算机中某一事件(例如使用者启动计算机中的某一应用程序,或进行一文件操作),本专利技术的防毒系统均会对此事件的整个运行过程进行监控,一旦发现当前的事件中带有计算机病毒,就会立即拦截所有与事件相关操作,此时除了提示使用者有病毒发生之外,还会对此应用程序或文件进行除毒的处理,于是计算机病毒便无法继续传播,其他的应用程序、文件就不会遭受到计算机病毒的入侵;举例来说使用者执行了一个带有A病毒的程序11,A病毒就会借此机会蕴酿开始传染,此时本专利技术的防毒系统12将会查觉A病毒的存在,立即拦截当前的所有操作121,发出提示信息告知使用者122,并同时进行除毒的处理123,于是A病毒的传染途径被切断13,计算机中的其他应用程序、文件就不会被A病毒所感染14。根据病毒的传染规律,本专利技术的防毒处理流程主要分为模块一20、模块二21、模块三22、以及模块四23等四组处理模块,请参阅图3。在模块一20中,出现一带有A病毒的事件201,在产生此事件的操作202时,将其送入Ring0层的处理程序中进行相关的操作203,于是在满足处理条件(如对文件写入操作、或是读取操作)的情况下,进入模块二21调用Ring3层的处理程序210,同时中断Ring0层的处理程序211,令其等待被唤醒,调用Ring3层的处理程序210同时转入模块三22,模块三22包括有将来自Ring0层的处理程序的参数进行分析处理220,以及在处理后去调用Ring0层的处理程序221,接着就转到模块四23,在Ring0层的处理程序被唤醒230后,根据Ring3的处理程序的返回值进行处理231,于是形成Ring0的处理程序与Ring3层的处理程序的同步通信及处理。因此,本专利技术的技术主要分为两个处理程序,其一为基于Ring0层的处理程序,其二为基于Ring3层的处理程序;其中基于Ring0层的处理程序又包含有拦截当前操作的步骤、以及被Ring3层唤醒后的步骤;所以,Ring0层的处理程序的主要任务是判断当前事件的操作是否为写入操作,在确认后,即调用Ring3层的处理程序(同时中断Ring0层的处理程序),以进一步确认当前事件的操作对可执行文件(注一)是否具有攻击性(即是否会更改原来的程序结构),如果是具有攻击性的操作,则唤醒Ring0层的处理程序,并由Ring0层的处理程序根据接收到的结果,来决定是否拒绝当前事件的操作,所以这两个程序的交替抑制和交替运行的过程,是一种同步处理、通讯的过程,Ring0层的处理程序能够处理使用者与系统之前的通讯,而Ring3层的处理程序则是保证系统与底层的通讯,两层的处理过程缺一不可。以下就结合图4、图5及图6分别对前述的处理程序作详细说明。Ring0层的拦截操作如图4所示,本专利技术采用代码判别的方式,首先启动Ring0层代码拦截当前事件的操作(步骤301、302),开始接收有关当前事件操作的参数,并判断当前事件的操作是否为一写入操作(步骤303、304),如果不是,则表明此一操作不会对系统或其他可执行程序造成恶意侵害,可以让其进行此事件的后续相关操作(步骤305),同时返回到本流程的开始部分,等待接收下一次的操作;如果判定当前的操作是写入操作,则调用Ring3层(步骤306),以执行Ring3层的处理程序,同时中断当前Ring0层的处本文档来自技高网...
【技术保护点】
一种防止计算机病毒传染的方法,包括下列步骤:以一高权限的系统处理程序接收当前的一事件;在该事件对一可执行文件作一写入操作时,调用一低权限的系统处理程序,并中断该高权限的系统处理程序;由该低权限的系统处理程序接收该高权限的系统处理 程序传来的与该事件相关的参数;在该写入操作用以修改该可执行文件,且在收到一确认信息时,唤醒该高权限的系统处理程序;自该低权限的系统处理程序传送一返回值给该高权限的系统处理程序;以及该高权限的系统处理程序根据该返回值,执行相应的该 事件。
【技术特征摘要】
【专利技术属性】
技术研发人员:林光信,陈玄同,李鹏,
申请(专利权)人:英业达股份有限公司,
类型:发明
国别省市:71[中国|台湾]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。