一种电脑安全防护方法和系统技术方案

本发明专利技术公开了一种电脑安全防护方法和系统。所述电脑安全防护方法，包括生成与安全的可执行模块对应的特征码和分类标识码，在客户机划分社会区、系统区和工作区，当客户机运行进程或线程时，计算该进程或线程的特征码，并按照进程或线程的特征码是否已知、是否访问了安全网址以外的网址以及所在目录，将进程或线程被标记为工作属性或社会属性，从而具有对客户机资源的不同权限。本发明专利技术使客户机无须依靠病毒库和软件行为识别，即可运行未知的可执行模块，而不对操作系统和应用程序数据造成破坏。

【技术实现步骤摘要】

本专利技术涉及一种电脑安全防护方法和系统。
技术介绍
为因应层出不穷的病毒木马，目前不论采用被动防御还是主动防御的技术，病毒 库均越来越庞大。即使这样也不能完全禁止未知病毒木马对电脑系统的破坏。由于电脑程 序的多样性、复杂性和不断变化的特性，决定了主动防御技术只能识别部分程序，无法对所 有程序或模块进行身份识别，这样还是要依靠病毒库和软件行为进行识别，这样就为未知 病毒的活动提供了入侵的机会。
技术实现思路
本专利技术所要解决的技术问题是提供一种电脑安全防护方法和系统，使得无须依靠 病毒库和软件行为识别，即可运行未知的可执行模块，而不对操作系统和安全的应用程序 数据造成破坏。为解决上述技术问题，本专利技术的技术方案如下一种电脑安全防护方法，包括以下步骤在中心服务器生成与安全的可执行模块对应的特征码和分类标识码，该分类标识 码包括类型码和产品名称码；在客户机建立社会区、系统区和工作区，该社会区包括在客户机磁盘上建立的指 定目录，以及在注册表建立的指定分支；该系统区包括操作系统目录；该工作区包括除系 统区和社会区外的目录和注册表；客户机运行进程或线程时，计算该进程或线程的特征码，如是第一次执行，且本地 没有匹配的特征码，则通过该特征码在中心服务器中检索，如中心服务器存在与该特征码 对应的产品名称码，则下载该产品名称码对应的所有特征码，加入本地模块特征库；对于客户机运行的进程或线程，判断以下条件是否均成立加载的可执行模块的特征码均为本地模块特征库中的特征码；没有访问安全网址以外的网址；进程或线程不在社会区的指定目录；若均成立，则进程或线程被标记为工作属性被标记为工作属性的进程或线程，可 以对系统区和工作区进行所有操作，对社会区只有操作系统进程才可以访问；否则，进程或线程被标记为社会属性被标记为社会属性的进程或线程，除进程或 线程所在目录外，看不到工作区任何信息，而且对社会区以外的注册表和磁盘操作，被重定 向到社会区的指定分支和指定目录。所述生成与安全的可执行模块对应的特征码的步骤包括判断可执行模块的格 式，并计算校验和；计算可执行模块的长度指示。所述电脑安全防护方法还可进一步包括自动将被标记为工作属性的进程或线程产生的新的可执行模块的特征码加入到本地模块特征库。所述电脑安全防护方法还可进一步包括禁止标记为社会属性的进程或线程加载 驱动。所述电脑安全防护方法还可进一步包括标记为社会属性的进程或线程全局应用 钩子调用时返回失败。所述电脑安全防护方法还可进一步包括标记为社会属性的进程或线程远程线程 注入时返回失败；所述电脑安全防护方法还可进一步包括禁止标记为社会属性的进程或线程终止 被标记为社会属性的进程以外的进程，以及直接读写磁盘和内存。根据本专利技术的另一方面，提供一种电脑安全防护系统，包括中心服务器，其生成与安全的可执行模块对应的特征码和分类标识码，该分类标 识码包括类型码和产品名称码；电脑安全防护客户端，其在客户机建立社会区、系统区和工作区，该社会区包括在 客户机磁盘上建立的指定目录，以及在注册表建立的指定分支；该系统区包括操作系统目 录；该工作区包括除系统区和社会区外的目录和注册表；当客户机运行进程或线程时，所述电脑安全防护客户端计算该进程或线程的特征 码，如是第一次执行，且本地没有匹配的特征码，则通过该特征码在中心服务器中检索，如 中心服务器存在与该特征码对应的产品名称码，则下载该产品名称码对应的所有特征码， 加入本地模块特征库；对于客户机运行的进程或线程，所述电脑安全防护客户端判断以下条件是否均成 立加载的可执行模块的特征码均为本地模块特征库中的特征码；没有访问安全网址以外的网址；进程或线程不在社会区的指定目录；若均成立，则进程或线程被标记为工作属性被标记为工作属性的进程或线程，可 以对系统区和工作区进行所有操作，对社会区只有操作系统进程才可以访问；否则，进程或线程被标记为社会属性被标记为社会属性的进程或线程，除进程或 线程所在目录外，看不到工作区任何信息，而且对社会区以外的注册表和磁盘操作，被重定 向到社会区的指定分支和指定目录。本专利技术的一种电脑安全防护方法和系统，把客户机资源分为系统区、工作区和社 会区，通过给被标记为不同运行属性的进程或线程设置对这三个区的不同访问权限，实现 工作区和社会区的隔离。对于大量的未知可执行模块，在运行时都会标记为社会属性，被标 记为社会属性的进程或线程，只能对系统区和当前目录进行只读操作，所有其他对社会区 以外的操作全部重定向到社会区操作，由于看不到工作区信息，达到了社会区跟工作区数 据的隔离。同时对系统有破坏的操作被屏蔽。因此，即使是有大量病毒程序，也不会对工作 区数据造成任何损坏或工作区数据的泄露，达到彻底屏蔽病毒木马的效果。对于安全级别 要求比较高的环境，还可以完全禁止社会属性进程或线程运行，这样可以避免有病毒木马 利用该机器对远程机器进行攻击。附图说明图1是本专利技术的电脑安全防护客户端的防护流程图。 具体实施例方式下面根据附图，给出本专利技术的较佳实施例，并予以详细描述，使能更好地理解本发 明的功能、特点。本专利技术的电脑安全防护系统包括中心服务器和电脑安全防护客户端。中心服务器生成与安全的可执行模块对应的特征码，并把这些特征码收集起来， 作为可执行模块标识的一部分，加入中心模块特征库。可执行模块文件的格式包括com、MZ、NE、LE、PE，绝大部分可执行模块是PE格式 的。相应的特征码构造方法如下1.计算校验和对于com、MZ格式的可执行模块，一般对整个文件计算校验和；对于NE、LE格式的可执行模块，只对DOS头和对应的NE头、LE头进行校验和计 算；对于PE格式的可执行模块，只对DOS头和对应的PE头和节表进行校验和计算。2.计算可执行模块的长度指示若可执行模块的实际长度不超过2个字节，则以可执行模块的实际长度作为该可 执行模块的长度指示；否则，通过将可执行模块的实际长度跟双字节的无符号整数相除，从 而获取2个字节的余数，以该余数作为该可执行模块的长度指示。计算的校验和、长度指示均为2个字节，它们一起构成4个字节的可执行模块的特 征码。例如，对于可执行模块qq.exe，其特征码为10110000000000000000011100000000。本领域的技术人员应当理解，上述特征码可采用其他方法构造，只要可执行模块 能与该特征码唯一对应。为了在中心服务器对可执行模块进行分类管理且便于电脑安全防护客户端下载 跟当前电脑相关的特征码，每个可执行模块的可执行模块标识除了 4个字节的特征码外， 还有4个字节的分类标识码，由中心服务器生成，该分类标识码包括类型码和产品名称码。类型码考虑到512个类型应该足以给可执行模块分类，因此安排8个位。例如， 可以以00110000表示即时通信类型。产品名称码考虑到产品的多样性，每个类型安排24位用于表示产品名称。例如， 可以以000000000000000000110001表示腾讯即时通信产品。所以，每个可执行模块标识包含8个字节，其中4个字节是分类标识码，另外4个 字节是特征码。上述特征码和分类标识码的生成方法也适用于安全性未定的可执行模块。客户端安装完毕后，在首次运行时会对当前操作系统版本和已安装应用软件进行 扫描。对于操作系统，直接本文档来自技高网...

【技术保护点】
一种电脑安全防护方法，包括以下步骤：（１－１）在中心服务器生成与安全的可执行模块对应的特征码和分类标识码，该分类标识码包括类型码和产品名称码；（１－２）在客户机建立社会区、系统区和工作区，该社会区包括在客户机磁盘上建立的指定目录，以及在注册表建立的指定分支；该系统区包括操作系统目录；该工作区包括除系统区和社会区外的目录和注册表；（１－３）客户机运行进程或线程时，计算该进程或线程的特征码，如是第一次执行，且本地没有匹配的特征码，则通过该特征码在中心服务器中检索，如中心服务器存在与该特征码对应的产品名称码，则下载该产品名称码对应的所有特征码，加入本地模块特征库；（１－４）对于客户机运行的进程或线程，判断以下条件是否均成立：加载的可执行模块的特征码均为本地模块特征库中的特征码；没有访问安全网址以外的网址；进程或线程不在社会区的指定目录；若均成立，则进程或线程被标记为工作属性：被标记为工作属性的进程或线程，可以对系统区和工作区进行所有操作，对社会区只有操作系统进程才可以访问；否则，进程或线程被标记为社会属性：被标记为社会属性的进程或线程，除进程或线程所在目录外，看不到工作区任何信息，而且对社会区以外的注册表和磁盘操作，被重定向到社会区的指定分支和指定目录。...

【技术特征摘要】
一种电脑安全防护方法，包括以下步骤(1 1)在中心服务器生成与安全的可执行模块对应的特征码和分类标识码，该分类标识码包括类型码和产品名称码；(1 2)在客户机建立社会区、系统区和工作区，该社会区包括在客户机磁盘上建立的指定目录，以及在注册表建立的指定分支；该系统区包括操作系统目录；该工作区包括除系统区和社会区外的目录和注册表；(1 3)客户机运行进程或线程时，计算该进程或线程的特征码，如是第一次执行，且本地没有匹配的特征码，则通过该特征码在中心服务器中检索，如中心服务器存在与该特征码对应的产品名称码，则下载该产品名称码对应的所有特征码，加入本地模块特征库；(1 4)对于客户机运行的进程或线程，判断以下条件是否均成立加载的可执行模块的特征码均为本地模块特征库中的特征码；没有访问安全网址以外的网址；进程或线程不在社会区的指定目录；若均成立，则进程或线程被标记为工作属性被标记为工作属性的进程或线程，可以对系统区和工作区进行所有操作，对社会区只有操作系统进程才可以访问；否则，进程或线程被标记为社会属性被标记为社会属性的进程或线程，除进程或线程所在目录外，看不到工作区任何信息，而且对社会区以外的注册表和磁盘操作，被重定向到社会区的指定分支和指定目录。2.如权利要求1所述的方法，所述生成与安全的可执行模块对应的特征码的步骤包括(2-1)判断可执行模块的格式，并计算校验和 若可执行模块为com、MZ格式，则对整个文件计算校验和； 若可执行模块为NE、LE格式，则只对DOS头和对应的NE头、LE头计算校验和； 若可执行模块为PE格式，则只对DOS头和对应的PE头和节表计算校验和； (2-2)计算可执行模块的长度指示若可执行模块的实际长度不超过2个字节，则以该实际长度作为该可执行模块的长度 指示；否则，将该实际长度跟双字节的无符号整数相除，获取2个字节的余数，以该余数作为 该可执行模块的长度指示。3.如权利要求1所述的方法，进一步包括自动将被标记为工作属性的进程或线程产生 的新的可执行模块的特征码加入到本地模块特征库。4.如权利要求1所述的方法，进一步包括禁止标记为社会属性的进程或线程加载驱动。5.如权利要求1所述的方法，进一步包括标记为社会属性的进程或线程全局应用钩子 调用时返回失败。6.如权利要求1所述的方法，进...

【专利技术属性】
技术研发人员：胡志水，
申请(专利权)人：上海置水软件技术有限公司，
类型：发明
国别省市：31[中国|上海]