专利名称:一种抗计算机病毒的方法
技术领域:
本发明是一种抗计算机病毒的方法。
本发明属于计算机安全领域中新兴的分支学科一一计算机病毒学。计算机病毒学是一门专门研究计算机病毒的产生、活动机制、传播机制以计算机病毒免疫和防治的科学,其目的在于研究如何防止计算机病毒的产生、抑制和传染,以讨论计算机系统的安全性等问题。
“病毒”一词来源于生物学。在生物学中,病毒是那些能够侵入动物体并给动物体带来疾病的一种微生物。其主要特点有传染性、流行性、繁殖性、表现性和针对性等。鉴于这些特点,联想到破坏计算机系统的“病毒体”,它同样具有生物病毒的一些特性。于是,人们借用了生物学中的这一术语,从而在计算机科学领域内出现了“计算机病毒”一词。
计算机病毒的定义是计算机病毒学的基本概念,即计算机病毒是隐藏在计算机系统的数据资源中,利用系统数据资源进行繁殖并生存,能影响计算机系统正常运行的并通过系统数据共享的途径进行传染的程序。
计算机病毒一般由安装、传染和表现(或破坏)三部分组成。其主要特点有1、可执行性计算机病毒和其它合法程序一样,是一种可存储并可执行的非法程序,可以直接或间接地运行,可以隐蔽在合法的可执行程序和数据文件中而不易被人们察觉和发现。它在运行时,与合法程序争夺系统资源和对系统的控制权。
2、广泛传染性传染性是指计算机病毒的再生机制。目前计算机永久性存储设备主要是磁盘,因此磁盘是计算机病毒的主要载体。病毒一旦通过载体侵入计算机系统,便与系统中的程序接在一起,并在运行这一被传染的程序时,开始传染其它程序。这样一来,它会传染到整个计算机系统或者扩散到磁盘上面。它可以传染一个个人计算机系统,一个计算机局部网络、一个大型计算机中心或者一个多用户系统。
3、潜伏性计算机病毒的潜伏性是指它具有依附于其它媒体而寄生的能力。一个编制巧妙的计算机病毒程序,可以在几周或几个月甚至几年内隐蔽在合法程序中,对其它系统进行传染,而不被人们发现。
4、可激发性计算机病毒一般都有一个或几个激发条件。一旦这些条件被满足,病毒的传染部分或表现部分就会进行活动。激发条件一般是由病毒的设计者确定的。
5、破坏性计算机病毒可分为良性的或恶性的两种,恶性病毒可以破坏系统内存和磁盘结构,毁掉部分或全部数据,并往往无法恢复,同时也可以对系统的某些数据进行篡改,使系统的输入/输出结果面目全非。事实上,无论是良性病毒还是恶性病毒,都会影响计算机系统正常运行的能力,降低其工作效率。
6、主动性计算机病毒对计算机系统的攻击是主动的,不以人的意志为转移的。
7、针对性计算机病毒并不是针对所有计算机系统的。目前主要有针对IBM公司的PC系列微机及其兼容机的,有针对APPLE公司的Ma-cintosh系列微机的,以及针对Unix操作系统的。在我国流行的病毒中,绝大部分是针对应用范围最广的IBM公司的PC系列微机及其兼容机的。
8、衍生性计算机病毒本身是一段程序,因此可以修改。一些恶作剧者对原病毒作某些设计上的修改模仿,从而生成不同于原病毒的变异体。
计算机病毒有多种分类方法,但大体可分为两大类,一类是引导型病毒,即指以计算机外部存储设备(如磁盘)引导扇区为宿主的病毒;另一类是文件性病毒,即指以计算机外部存储设备上的文件为宿主的病毒。
在计算机应用广泛的西方发达国家中,计算机病毒已经给他们的经济和社会发展造成严重损失。据不完全统计,88年一年中,美国有约9万台计算机被病毒感染,仅11月份一个月就损失了1亿多美元。近年来在我国,计算机病毒也已经迅速地蔓延各地,造成了严重危害,其传播速度之快,扩散范围之广,已超过了某些西方国家。据89年11月份《中国日报》报道,我国40多万台计算机系统中约有十分之一被病毒感染。
面对病毒的肆意横行,目前世界上许多国家都在抗病毒方面做了大量研究工作,我国也有不少单位和个人相继提出了很多对策和抗病毒产品。
抗病毒产品一般有两种,一种是对计算机系统内存进行检测和解毒,另一种是对计算机外部存储设备进行检测和解毒。
下面所提及的物理性解毒是指直接在系统外部存储设备上对发现的病毒进行切除恢复过程;逻辑性解毒是指对所发现的系统外部存储设备中的病毒,在某个系统逻辑设备中(如系统内存定义的某一区域)进行虚拟切除,而不是在系统外部存储设备上直接进行。
目前,市场上流行的计算机病毒检测和解毒产品,在处理病毒时采用的是“单个处理”技术,即把单个病毒作为基本处理单位进行物理性解除。这种方法的弱点是处理效率低,速度慢,只适应于对单个病毒感染的处理,在遇到多种病毒重复感染的情形时,其弱点尤为明显。
技术较新的产品有美国CARMEL公司90年6月推出的抗病毒软件包ANTI-VIRUS和我国公安部90年11月推出的KILL/SCAN新版本等。这类产品虽能对所发现的多种已知病毒进行连续解毒处理,但采用的抗病毒处理技术并没有新的突破,仍是以单个病毒为处理单位,即发现一个病毒,就作一次物理性解毒。参考书目见附件1。
本发明的目的是提供一种准确性高、速度快的对计算机系统磁盘病毒进行检测、解毒的方法,可提高计算机系统对抗病毒的整体能力,能从计算机系统中迅速检查出已非法侵入的病毒并清除它们,恢复被病毒篡改的计算机硬件设备及文件,使其能正常工作。
以下结合附图对本发明方法作进一步的描述。
图1、采用本发明方法对计算机系统设备中病毒的检测与解毒原理框图;
图2、采用现有方法对计算机系统设备中病毒的检测与解毒原理框图;
图3、采用本发明方法对计算机系统磁盘引导型病毒的检测与解毒框图;
图4、采用本发明方法对计算机系统磁盘文件型病毒的检测与解毒框图。
本发明采用的技术是将基本处理单位扩展成包含所有已知病毒的一个任意子集(现有单个病毒处理技术只是本处理技术的一个特例,即子集中只含有一个元素一一单个病毒),然后对发现的病毒子集进行物理上的一次性解除。
本发明方法可以应用于以下两个方面a、检测、解除已侵入计算机系统外部存储设备(主要指磁盘)中的引导型病毒;
b、检测、解除已侵入计算机系统外部存储设备中的文件型病毒。
如图1所示,本发明方法对计算机系统设备中的病毒进行检测和解除,是按下列步骤实现的a、定义一个含有所有已知病毒的病毒集;
b、定义一个初始为空集的病毒子集;
c、根据定义的病毒集,对指定的计算机设备进行检测,判断是否存在有某个已知病毒,若有,则对该病毒在逻辑上进行虚拟解除,并将该病毒增加到病毒子集中;
d、重复上述c过程,直至病毒无;
e、将含有所有刚找到病毒的病毒子集视同为一个病毒,对其在物理上进行一次性彻底解除。
用本发明方法对计算机系统磁盘引导型病毒的检测和解毒,是按下列步骤实现的a、读入指定磁盘引导扇区;
b、根据定义的病毒集,对指定磁盘的引导扇区进行检测,判断是否存在有某个引导型病毒,若有,则对该病毒在逻辑上进行虚拟解除,并将该病毒增加到病毒子集中;
c、重复上述b过程,直至病毒无;
d、将发现的病毒子集视同为一个病毒,对其在物理上进行一次性彻底解除;
e、恢复系统原有引导功能。
用本发明方法对计算机系统磁盘文件型病毒的检测和解毒,是按下列步骤实现的a、用“读/写”方式打开磁盘中的指定文件;
b、根据定义的病毒集,对指定的磁盘文件进行检测,判断是否存在有某个文件型病毒,若有,则对该病毒在逻辑上进行虚拟解除,并将该病毒增加到病毒子集中;
c、重复上述b过程,直至病毒无;
d、将发现的病毒子集视同为一个病毒,对其在物理上进行一次性彻底解除;
e、关闭文件。
如图2所示,现有方法是采用以单个病毒体为基本处理单位的抗病毒技术对已侵入计算机系统设备中的已知病毒进行检测与解除。它是按下列步骤实现的a、对指定计算机设备进行检测,判断是否存在有某个已知病毒,若有,对其在物理上进行解除;
b、重复上述a过程,直至病毒无。
在处理多种病毒重复感染中,图2所示的现有方法对每个发现的病毒都要作一次物理性解除,而物理性解除耗用时间长,因此,对多病毒的处理速度很慢;此外,每次物理性解除都有可能影响下一个病毒的检测和解除,影响磁盘引导扇区或文件的安全性。相比之下,图1所示的本发明方法对所有被发现的病毒只作一次物理性解除,因而大大提高了处理速度和准确率,增强了磁盘引导扇区或文件的安全性。
图1、图3和图4所给出的程序框图,可用汇编语言、其它中级或高级语言实现,如C语言、PASCAL语言等。
如图3所示,用本发明方法制作的检测和解除磁盘引导型病毒的产品,是按下列步骤实现的a、要求输入指定处理驱动器的盘号;
b、判断指定驱动器是否为硬盘,若是,读入该盘主引导扇区,若非,直接进入d步骤;
c、采用图1所示的本发明方法,对该硬盘主引导扇区进行检测和解毒,恢复原硬盘主引导扇区内容;
d、读入该盘DOS引导扇区;
e、再次采用图1所示的本发明方法,对该盘DOS引导扇区进行检测和解毒,恢复原盘DOS引导扇区内容。
如图4所示,用本发明方法制作的检测和解除磁盘文件型病毒的产品,是按下列步骤实现的a、要求输入指定处理磁盘文件的文件名;
b、用“读/写”方式打开指定文件;
c、采用图1所示的本发明方法,对该文件进行检测和解毒;
d、关闭文件。
附件1参考文献1、Programmer's Reference Manual for IBM Personal ComputersSteven Arnbrust,Ted Forgeron2、Programmer's Problem Solver for IBM PC,XT/ATRobert Jourdain3、Computer Viruses Background,Detection and RecoveryComputer Virus Industry Association4、Virus IpodateComputer Virus Industry Association5、Implementing Anti-Viral ProgramJohn McAfee
6、〔严峻的挑战一一计算机病毒调查报告〕陕西省公安厅鹿居正 赵来程7、〔病毒的驱除及磁盘免疫程序〕江明富 计算机世界 89.VOL28,428、〔一种计算机“病毒”的分析及其排除法〕中国科学技术大学无线电系 余东计算机世界 89.VOL 28,429、〔要从根本上防治计算机病毒〕福建省计算机学会 苏武荣计算机世界 90.2/7.3810、〔计算机解毒免疫方法〕重庆 高国明软件报 89.4/25.
11、〔防治病毒刻不容缓〕福建省政府办公厅 苏武荣软件报 91.3/9.
12、〔信息库、计算机病毒战一一比核战争更现实的战争〕济南军区腾安达(摘)软件报 91.3/9.
13、ANTI-VIRUS 软件美国 CARMEL
14、KILL/SCAN 软件中国公安部15、“高级医生”(Senior Docter)软件吕东明16、“高级医生”软件研制报告吕湘秋17、“高级医生”软件技术报告吕东明18、“高级医生”技术测试报告童隆恩 沈树雍 马严19、“高级医生”科学技术成果鉴定证书涂序彥 李正男 陈振宇
权利要求
1.一种抗计算机病毒(以下简称病毒)的方法,其特征是采用以病毒集(连续的多种病毒体)为基本处理单位的抗病毒技术对所发现的多种病毒进行一次性解毒处理,其处理方法具体是a、定义一个含有所有已知病毒的病毒集;b、定义一个初始为空集的病毒子集;c、根据定义的病毒集,对指定的计算机设备进行检测,判断是否存在有某个已知病毒,若有,则对该病毒在逻辑上进行虚拟解除,并将该病毒增加到病毒子集中;d、重复上述c过程,直至病毒无;e、将含有所有刚找到病毒的病毒子集视同为一个病毒,对其在物理上进行一次性彻底解除,本发明方法可应用于下面两种情形A、对已侵入计算机系统磁盘中的引导型病毒进行检测与解除;B、对已侵入计算机系统磁盘中的文件型病毒进行检测与解除。
2.根据权利要求1所述的抗病毒的方法,其特征在于A中所述的对已侵入计算机系统磁盘中的引导型病毒进行检测与解除,是按下列步骤实现的a、读入指定磁盘引导扇区;b、根据定义的病毒集,对指定磁盘的引导扇区进行检测,判断是否存在有某个引导型病毒,若有,则对该病毒在逻辑上进行虚拟解除,并将该病毒增加到病毒子集中;c、重复上述b过程,直至病毒无;d、将发现的病毒子集视同为一个病毒,对其在物理上进行一次性彻底解除;e、恢复系统原有引导功能。
3.根据权利要求1所述的抗病毒的方法,其特征在于B中所述的对已侵入计算机系统磁盘中的文件型病毒进行检测与解除,是按下列步骤实现的a、用“读/写”方式打开磁盘中的指定文件;b、根据定义的病毒集,对指定的文件进行检测,判断是否存在有某个文件型病毒,若有,则对该病毒在逻辑上进行虚拟解除,并将该病毒增加到病毒子集中;c、重复上述b过程,直至病毒无;d、将发现的病毒子集视同为一个病毒,对其在物理上进行一次性彻底解除;e、关闭文件。
全文摘要
本发明属于计算机安全领域中新兴的分支学科——计算机抗病毒学。本发明是一种对计算机病毒进行检测和解除的方法。其主要技术特征是将基本处理单位扩展成包含所有已知病毒的一个任意子集,然后对发现的病毒子集进行物理上的一次性彻底解除。它解决了现有单个病毒处理方法存在的效率低、速度慢的技术问题。本发明可用于对计算机系统设备上的病毒进行检测和解毒。
文档编号G06F12/14GK1057348SQ9110181
公开日1991年12月25日 申请日期1991年3月27日 优先权日1991年3月27日
发明者吕东明, 吕湘秋 申请人:吕东明, 吕湘秋