本发明专利技术公开了一种用于检测和清除计算机病毒的方法和装置。所述方法包括:检测计算机基本输入输出系统,在存在病毒的情况下对其进行清除处理;和/或检测计算机硬盘的主引导记录,在存在病毒的情况下恢复默认的主引导记录;和/或检测计算机操作系统的驱动层,在存在病毒的情况下禁止加载感染病毒的驱动;和检测计算机操作系统的应用层,在存在病毒的情况下对其进行清除处理。根据本发明专利技术的实施例,采用多层检测和清除方式,从底层开始对病毒进行检测和清除处理,可以确保彻底清除存在于各层中的病毒,极大地提高了检测和清除计算机病毒的能力,保证了计算机系统的安全。
【技术实现步骤摘要】
本专利技术涉及计算机安全,具体涉及一种用于检测和清除计算机病毒的方法和装置。
技术介绍
计算机病毒是一个概括性的术语,指任何故意创建用来执行未经授权并通常是有害行为的软件程序。感染性病毒、后门程序、键盘记录器、密码盗取者、Word和Excel宏病毒、引导区病毒、脚本病毒(batch, windows shell, java等)、木马、犯罪软件、间谋软件和广 告软件等等,都是一些可以称之为计算机病毒的例子。在传统的计算机病毒查杀技术中,在应用层(Ring 3)枚举所有文件和注册表,然后与云端的病毒数据库进行对比,对存在问题的文件和注册表进行清除处理。随着Rootkit技术的发展,出现了针对内核驱动层(Ring O)的计算机病毒查杀技术,包括内核驱动的穿越技术和防回写技术。但随着木马技术的发展,这些传统的计算机病毒查杀技术已经显得黔驴技穷。Rootkit是一种特殊的病毒(恶意软件),它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit —般都和木马、后门等其他恶意程序结合使用。Rootkit通过加载特殊的驱动,修改系统内核,进而达到隐藏信息的目的。Bootkit是更高级的Rootkit,该概念最早于2005年被eEye Digital公司在他们的“BootRoot项目中提及,该项目通过感染MBR (Master Boot Record,(硬盘的)主引导记录)的方式,实现绕过内核检查和启动隐身。可以认为,所有在开机时比Windows内核更早加载,实现内核劫持的技术,都可以称之为Bootkit,例如后来的BIOS Rootkit, VBootkit,SMM Rootkit等。随着Bootkit技术的发展,目前包括木马的计算机病毒已经朝着无文件、无注册表、无模块的方向发展,只存在于计算机操作系统之外的扇区和Shellcode (填充数据冲,使传统的病毒查杀技术无的放矢,这样的病毒例如鬼影系列(1、2、3)、TLD4、以及BMWBIOS木马。因此,即使查杀了木马文件,但由于根源没有清除,导致重启后木马又复活,反复查杀,仍旧无法清除该木马。同时,MBR内的木马还会释放出恶意驱动,干扰查杀,甚至导致查杀程序无法启动。
技术实现思路
鉴于上述问题,提出了本专利技术,以便提供一种克服上述问题或者至少部分地解决上述问题的用于检测和清除计算机病毒的方法以及相应的装置。依据本专利技术的一个方面,提供了一种用于检测和清除计算机病毒的方法,包括检测计算机基本输入输出系统,在存在病毒的情况下对其进行清除处理;和/或检测计算机硬盘的主引导记录,在存在病毒的情况下恢复默认的主引导记录;和/或检测计算机操作系统的驱动层,在存在病毒的情况下禁止加载感染病毒的驱动;和检测计算机操作系统的应用层,在存在病毒的情况下对其进行清除处理。在本专利技术的实施例中,在所述检测计算机基本输入输出系统的步骤中,基于包含计算机基本输入输出系统的病毒的特征码的预先定义的第一病毒数据库,检测计算机基本输入输出系统中是否存在病毒。在本专利技术的实施例中,在所述检测计算机硬盘的主引导记录的步骤中,基于包含计算机硬盘的主引导记录的病毒的特征码的预先定义的第二病毒数据库,检测计算机硬盘的主引导记录中是否存在Bootkit病毒。在本专利技术的实施例中,在所述检测计算机操作系统的驱动层的步骤中,基于包含计算机操作系统的驱动层的病毒的特征码的预先定义的第三病毒数据库,检测计算机操作系统的驱动层中是否存在Rootkit病毒。 在本专利技术的实施例中,在所述检测计算机操作系统的应用层的步骤中,基于包含计算机操作系统的应用层的病毒的特征码的预先定义的第四病毒数据库,检测计算机操作系统的应用层中是否存在病毒。在本专利技术的实施例中,检测是否存在病毒的步骤包括基于病毒的特征码,对待检测的文件进行定位处理和匹配处理,在待检测的文件与病毒的特征码匹配的情况下,判定该待检测的文件感染了该病毒。在本专利技术的实施例中,所述基于包含计算机硬盘的主引导记录的病毒的特征码的预先定义的第二病毒数据库、检测计算机硬盘的主引导记录中是否存在Bootkit病毒的步骤包括基于所述预先定义的第二病毒数据库,利用启发式检测来检测计算机硬盘的主引导记录中是否存在Bootkit病毒。在本专利技术的实施例中,所述预先定义的第一病毒数据库、预先定义的第二病毒数据库、预先定义的第三病毒数据库、预先定义的第四病毒数据库存储于所述计算机本地,并且/或者存储于远程的服务器。在本专利技术的实施例中,所述在存在病毒的情况下恢复默认的主引导记录步骤中,利用存储于所述计算机本地或者远程的服务器的默认的主引导记录替换感染病毒的主引导记录。根据本专利技术的另一方面,提供了一种用于检测和清除计算机病毒的装置,包括第一检测和清除模块,用于检测计算机基本输入输出系统,在存在病毒的情况下对其进行清除处理;和/或第二检测和清除模块,用于检测计算机硬盘的主引导记录,在存在病毒的情况下恢复默认的主引导记录;和/或第三检测和清除模块,用于检测计算机操作系统的驱动层,在存在病毒的情况下禁止加载感染病毒的驱动;和第四检测和清除模块,用于检测计算机操作系统的应用层,在存在病毒的情况下对其进行清除处理。在本专利技术的实施例中,所述第一检测和清除模块基于包含计算机基本输入输出系统的病毒的特征码的预先定义的第一病毒数据库,检测计算机基本输入输出系统中是否存在病毒。在本专利技术的实施例中,所述第二检测和清除模块基于包含计算机硬盘的主引导记录的病毒的特征码的预先定义的第二病毒数据库,检测计算机硬盘的主引导记录中是否存在Bootkit病毒。在本专利技术的实施例中,所述第三检测和清除模块基于包含计算机操作系统的驱动层的病毒的特征码的预先定义的第三病毒数据库,检测计算机操作系统的驱动层中是否存在Rootkit病毒。在本专利技术的实施例中,所述第四检测和清除模块基于包含计算机操作系统的应用层的病毒的特征码的预先定义的第四病毒数据库,检测计算机操作系统的应用层中是否存在病毒。在本专利技术的实施例中,所述第一检测和清除模块、所述第二检测和清除模块、所述第三检测和清除模块、以及所述第四检测和清除模块基于病毒的特征码,对待检测的文件进行定位处理和匹配处理,在待检测的文件与病毒的特征码匹配的情况下,判定该待检测·的文件感染了该病毒。在本专利技术的实施例中,所述第二检测和清除模块基于所述预先定义的第二病毒数据库,利用启发式检测来检测计算机硬盘的主引导记录中是否存在Bootkit病毒。在本专利技术的实施例中,所述预先定义的第一病毒数据库、预先定义的第二病毒数据库、预先定义的第三病毒数据库、预先定义的第四病毒数据库存储于所述计算机本地,并且/或者存储于远程的服务器。在本专利技术的实施例中,所述第二检测和清除模块利用存储于所述计算机本地或者远程的服务器的默认的主引导记录替换感染病毒的主引导记录。根据本专利技术的又一方面,还提供了一种用于检测和清除计算机病毒的系统,包括上述用于检测和清除计算机病毒的装置、以及存储于所述计算机本地并且/或者存储于远程的服务器中的预先定义的病毒数据库,所述预先定义的病毒数据库包括上述预先定义的第一病毒数据库、预先定义的第二病毒数据库、以及预先定义的第三病毒数据库中的一个或者多个,并且包括上述预先定义的第四病毒本文档来自技高网...
【技术保护点】
一种用于检测和清除计算机病毒的方法,包括:检测计算机基本输入输出系统,在存在病毒的情况下对其进行清除处理;和/或检测计算机硬盘的主引导记录,在存在病毒的情况下恢复默认的主引导记录;和/或检测计算机操作系统的驱动层,在存在病毒的情况下禁止加载感染病毒的驱动;和检测计算机操作系统的应用层,在存在病毒的情况下对其进行清除处理。
【技术特征摘要】
1.一种用于检测和清除计算机病毒的方法,包括 检测计算机基本输入输出系统,在存在病毒的情况下对其进行清除处理;和/或 检测计算机硬盘的主引导记录,在存在病毒的情况下恢复默认的主引导记录;和/或 检测计算机操作系统的驱动层,在存在病毒的情况下禁止加载感染病毒的驱动;和 检测计算机操作系统的应用层,在存在病毒的情况下对其进行清除处理。2.如权利要求I所述的方法,其中在所述检测计算机基本输入输出系统的步骤中,基于包含计算机基本输入输出系统的病毒的特征码的预先定义的第一病毒数据库,检测计算机基本输入输出系统中是否存在病毒。3.如权利要求I所述的方法,其中在所述检测计算机硬盘的主引导记录的步骤中,基于包含计算机硬盘的主引导记录的病毒的特征码的预先定义的第二病毒数据库,检测计算机硬盘的主引导记录中是否存在Bootkit病毒。4.如权利要求I所述的方法,其中在所述检测计算机操作系统的驱动层的步骤中,基于包含计算机操作系统的驱动层的病毒的特征码的预先定义的第三病毒数据库,检测计算机操作系统的驱动层中是否存在Rootkit病毒。5.如权利要求I所述的方法,其中在所述检测计算机操作系统的应用层的步骤中,基于包含计算机操作系统的应用层的病毒的特征码的预先定义的第四病毒数据库,检测计算机操作系统的应用层中是否存在病毒。6.如权利要求2-5中的任一项所述的方法,其中检测是否存在病毒的步骤包括基于病毒的特征码,对待检测的文件进行定位处理和匹配处理,在待检测的文件与病毒的特征码匹配的情况下,判定该待检测的文件感染了该病毒。7.如权利要求3所述的方法,其中所述基于包含计算机硬盘的主引导记录的病毒的特征码的预先定义的第二病毒数据库、检测计算机硬盘的主引导记录中是否存在Bootkit病毒的步骤包括基于所述预先定义的第二病毒数据库,利用启发式检测来检测计算机硬盘的主引导记录中是否存在Bootkit病毒。8.如权利要求1-5中的任一项所述的方法,其中所述预先定义的第一病毒数据库、预先定义的第二病毒数据库、预先定义的第三病毒数据库、预先定义的第四病毒数据库存储于所述计算机本地,并且/或者存储于远程的服务器。9.如权利要求I所述的方法,其中所述在存在病毒的情况下恢复默认的主引导记录步骤中,利用存储于所述计算机本地或者远程的服务器的默认的主引导记录替换感染病毒的主引导记录。10.一种用于检测和清除计算机病毒的装置(200),包括 第一检测和清除模块(201),用于检测计算机基本输入输出系统,在存在病毒的情况下对其进行清除处理;和/或 第二检测和清除模块(203),用于检测计算机硬盘的主引导记录,在存在病毒的情况...
【专利技术属性】
技术研发人员:邵坚磊,姚彤,马贞辉,
申请(专利权)人:北京奇虎科技有限公司,奇智软件北京有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。