专利名称:一种区分有害程序行为的方法
技术领域:
本发明涉及一种计算机病毒、攻击防护方法,特别是对于未知程序的一种区分有害程序行为的方法。
背景技术:
一直以来,对计算机病毒的入侵和反入侵的斗争都在激烈地进行着,随着计算机越来越广泛地使用,这种斗争的激烈程度也上升到一个新的高度。经过长期的斗争实践,人们总结出许多的具体方法来防止对计算机病毒的入侵,研制出许多相应的防范产品。这些产品大体上可以分为两类,一类是对入侵病毒进行隔离,例如防火墙,通过对通讯端口、协议等进行限制来防止入侵病毒的进入;另一类是对可能形成入侵的染病毒文件进行搜寻,例如杀毒软件,利用可能形成入侵染病毒文件的代码特征,通过扫描发现并清除有害染病毒文件。这两类产品虽然在反病毒入侵的斗争中起了不少的作用,但都具有一些无法克服的缺点,它们分别是(一)防火墙虽然能够阻断一些非法病毒或黑客的入侵,但防火墙的监控对象为主要端口和协议,需要由用户自己设置要么允许通过、要么不允许通过。其主要缺陷,1.要求用户对系统非常熟悉,才能对它进行有效设置;2.由于监控颗粒太大,对于网络应用中必须用到的端口和协议基本无法设置,如果允许通过,则可能导致病毒或黑客入侵发生;若不允许通过,则可能又直接影响网络的正常运行。
(二)利用病毒特征码的杀毒软件将永远滞后于病毒的发展,因为只有捕获到病毒样本后,才能提取到病毒的特征码,这使得这种杀毒软件对新出现的未知病毒入侵无法防范,用户即使装备了杀毒软件,也会再次受到该病毒的攻击伤害,只有通过升级、更新病毒数据库才可以解决,而这种解决是滞后于病毒发生的。
发明内容
本发明就是为了解决上述问题,其目的在于提供一种能够有效保护计算机免受未知程序中的病毒、木马等攻击的基于对程序动作行为特征的区分有害程序行为的方法。
本发明的区分有害程序行为的方法,可以应用于基于程序行为方式的病毒防护实时监控系统中;对于已经存储于程序行为知识库中的合法的已知程序,通过将其动作行为与程序行为识别库存储的该程序的合法动作行为进行对比,来判断已知程序是否受到攻击;但对于没有存储于程序行为知识库的未知程序,则通过监控并记录未知程序的动作行为,并与病毒攻击识别规则库中存储的有害程序攻击行为特征作比较,从而识别有害的程序行为,并及时拦截有害程序对系统的攻击。
基于病毒攻击识别规则库,所述病毒攻击识别规则库记录了多种病毒、木马及有害程序的攻击行为特征,每一记录对应一类病毒,每一类病毒对应一个动作集,该动作集包括一系列动作及其之间特定的关联关系。
本发明的有害程序行为的方法包括如下步骤1.1)对未知程序的动作行为进行监控并记录;
1.2)将该程序被记录的动作行为作为一个整体,与所述病毒攻击识别规则库进行比较;1.3)根据比较结果区分有害程序行为;是,则向用户报警或阻止该程序继续运行;否,则程序继续运行并返回步骤1.1)。
本发明的区分有害程序行为的方法中,所述被记录的动作行为包括动作类型、动作发生时间和调用者。
本发明的区分有害程序行为的方法中,所述监控并记录的动作行为包括监控动作,指该动作可能影响计算机安全、需要对其进行实时监控;危险动作,该动作首先是一个监控动作,在程序运行中,该动作可能威胁计算机安全;此外所述动作行为还包括,非监控动作,不影响计算机安全无需进行监控的动作。
本发明的区分有害程序行为的方法,截获程序运行时影响计算机安全的每一个监控动作和危险动作,并与攻击识别规则库中记录的攻击行为特征进行比较。
本发明的区分有害程序行为的方法中,所述关联关系包括前后动作之间的时间关系及调用和被调用关系。
本发明的区分有害程序行为的方法中,所述攻击识别规则库,包括病毒规则一a)运行于用户层RING3的程序,转入系统核心层RING0运行。
本发明的区分有害程序行为的方法,其特征在于,所述攻击识别规则库,包括病毒规则二b)该程序执行修改其他程序文件的操作。
本发明的区分有害程序行为的方法,其特征在于,所述攻击识别规则库,包括远程攻击规则一c)该程序通过监听端口接受数据后,立即调用SHELL程序。
本发明的区分有害程序行为的方法,其特征在于,所述攻击识别规则库,包括远程攻击规则二d)该程序通过监听端口接收数据后,发生缓冲区溢出。
本发明的区分有害程序行为的方法,其特征在于,所述攻击识别规则库,包括远程攻击规则三e)该程序通过监听端口接收数据后,立即调用一般文件传输协议TFTP程序。
本发明的区分有害程序行为的方法,其特征在于,所述攻击识别规则库,包括邮件蠕虫规则一f)该程序由邮件系统自动生成,且该程序运行时修改注册表的自启动项,该程序无窗口、无托盘,并且立即开始发送邮件。
本发明的区分有害程序行为的方法,其特征在于,所述攻击识别规则库,包括可疑木马规则一g)该程序由邮件系统自动生成,且该程序运行时修改注册表的自启动项,该程序无窗口、无托盘,并且立即开始创建监听端口。
本发明的区分有害程序行为的方法,其特征在于所述监控动作,包括,文件操作;网络操作;创建进程、创建线程;注册表操作;窗口、托盘操作;堆栈溢出;注入线程;拦截系统API调用以及访问、修改和创建用户帐号。
本发明的区分有害程序行为的方法,其特征在于所述危险动作,包括,调用SHELL程序;修改程序文件或写程序文件;调用FTP或TFTP;创建FTP或TFTP服务;发送邮件;浏览器或邮件系统自动运行其他程序;创建大量相同线程;修改和创建用户帐号;危险网络操作;向系统注册表添加启动项;修改系统启动文件;向其他进程注入线程;堆栈溢出;应用级进程运行时自动提升为系统级进程操作;拦截系统API调用。
本发明的区分有害程序行为的方法,其特征在于所述被监控程序处于运行状态,其退出后,不再监视和记录。
本发明的区分有害程序行为的方法,其特征在于,包括如下步骤16.1)发现未知程序或进程运行;16.2)创建与该程序对应的行为的描述结构实体;16.3)捕获该程序可能危害计算机安全的监控行为和危险行为;16.4)判断其动作类型;16.5)将识别的动作记录到对应的行为描述结构实体中;16.6)对比攻击识别规则库,计算该行为描述结构实体的权值16.7)判断是否超过权值上限,否,返回步骤16.3);是,进入下一步;16.8)判定为有害程序行为。
本发明的区分有害程序行为的方法,其特征在于所述行为描述结构实体与所述攻击识别规则库的结构一致。
本发明的区分有害程序行为的方法,其特征在于所述行为是程序调用操作系统提供的API函数。
本发明的区分有害程序行为的方法,其特征在于步骤16.6)中所述权值为,由规则库提供各项行为判断标准的经验值,并对其多项行为的所述经验值进行累加后得到描述实体的权值。
本发明的区分有害程序行为的方法,其特征在于步骤16.7)中所述权值上限,由本发明提供的经验值判断,或按照用户自定义。
本发明的区分有害程序行为的方法,其特征在于判断为有害程序行为后,由用户对其是否继续执行进行判断。
本发明的区分有害程序行为的方法,其特征在于,所述攻击识别规则库,其数据结构,包括可执行PE文件的全路径、创建者的全路径、创建者的特性、创建者有无窗口、与创建者是否同一个文件、是否拷贝自身、文件有无描述、是否自启动、谁创建的自启动项、是否被创建者启动、是否自己创建启动项、是否有窗口或托盘图标、修改注册表项链表和网络动作链表。
本发明的区分有害程序行为的方法,其特征在于,所述修改注册表项链表的子数据结构,包括入口列表、键名、值名和值。
本发明的区分有害程序行为的方法,其特征在于,所述网络动作链表的子数据结构,包括类型、本地端口、本地地址、远程端口、远程地址和使用协议。
本发明的优点在于,本发明区分有害程序行为的方法能够准确的检查出未知程序的有害程序行为,保护计算机免受病毒、木马等有害程序的攻击,并且与现有技术相比具有高效、准确的优点。
图1为本发明区分有害程序行为的方法的流程示意图。
具体实施例方式
下面结合附图对本发明的具体实施例进行详细说明。
本发明的区分有害程序行为的方法,是基于病毒攻击识别规则库,所述病毒攻击识别规则库记录了多种病毒、木马及有害程序的攻击行为特征,每一记录对应一类病毒,每一类病毒对应一个动作集,该动作集包括一系列动作及其之间特定的关联关系。
本发明的区分有害程序行为的方法包括如下步骤1.1)对未知程序的动作行为进行监控并记录;1.2)将该程序被记录的动作行为作为一个整体,与所述病毒攻击识别规则库进行比较;1.3)根据比较结果区分有害程序行为;是,则向用户报警或阻止该程序继续运行;否,则程序继续运行并返回步骤1.1)。
本发明的区分有害程序行为的方法中,所述被记录的动作行为包括动作类型、动作发生时间和调用者。
本发明的区分有害程序行为的方法中,所述监控并记录的动作行为包括监控动作,指该动作可能影响计算机安全、需要对其进行实时监控;危险动作,该动作首先是一个监控动作,在程序运行中,该动作可能威胁计算机安全;此外所述动作行为还包括,非监控动作,不影响计算机安全无需进行监控的动作。
本发明的区分有害程序行为的方法,截获程序运行时影响计算机安全的每一个监控动作和危险动作,并与攻击识别规则库中记录的攻击行为特征进行比较。
本发明的区分有害程序行为的方法中,所述关联关系包括前后动作之间的时间关系及调用和被调用关系。
本发明的区分有害程序行为的方法中,所述攻击识别规则库,包括病毒规则一a)运行于用户层RING3的程序,转入系统核心层RING0运行。
本发明的区分有害程序行为的方法中,所述攻击识别规则库中,包括病毒规则二b)该程序执行修改其他程序文件的操作。
如上所述病毒规则,如果某未知程序执行了前述a)或b)的操作,便可以判断该程序具有病毒攻击的行为。众所周知,上述动作是极其危险的动作,并且是绝大多数病毒程序所具有的共同特征,例如CIH病毒则具有上述两特征,其一开始执行便转入系统RING0层执行,因此凭借上述规则便可在CIH病毒刚刚开始运行时就发现,并通过本发明中下述的方法将其禁止,从而有效保护系统免受CIH病毒的攻击;并且,对于许多未知病毒程序或新生病毒,可以不再依靠病毒特征代码的检验,通过病毒动作行为的特征将其识别出来,做到了检查的准确而且执行效率提高,减少系统开销,并能做到及时发现及时拦截。
本发明的区分有害程序行为的方法中,所述攻击识别规则库中,包括远程攻击规则一c)该程序通过监听端口接受数据后,立即调用SHELL程序。
本发明的区分有害程序行为的方法,其特征在于,所述攻击识别规则库,包括远程攻击规则二d)该程序通过监听端口接收数据后,发生缓冲区溢出。
本发明的区分有害程序行为的方法中,所述攻击识别规则库中,包括远程攻击规则三e)该程序通过监听端口接收数据后,立即调用一般文件传输协议TFTP程序。
如上所述远程攻击规则c)、d)和e)均由多个动作组合而成,对于其中的单独的动作虽然无法判断上述攻击程序的目的,但是通过对多个动作行为在时间上的关系,就可以轻易判断出该程序是否具有攻击性,因此,对于具有上述行为特征的未知程序可以判断为远程攻击程序,从而将其禁止。与现有的防火墙技术相比,不但对于远程攻击的预报上更为准确,而且减少了用户麻烦,不必每次浏览新网页或发送接收邮件需要进行网络连接时,都要先接收防火墙的警报,但如果停止防火墙,系统则变得不安全。
下面利用本发明截获“震荡波”蠕虫的攻击,对上述远程攻击规则作以简要说明震荡波蠕虫病毒与其他蠕虫病毒不同,并不发送邮件,其工作原理为,在本地开辟后门。监听TCP 5554端口,做为FTP服务器等待远程控制命令。病毒以FTP的形式提供文件传送。黑客可以通过这个端口偷窃用户机器的文件和其他信息。病毒开辟128个扫描线程。以本地IP地址为基础,取随机IP地址,疯狂的试探连接445端口,试图利用windows操作系统中的LSASS中存在一个缓冲区溢出漏洞进行攻击,一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播,攻击失败也会造成对方机器的缓冲区溢出,导致对方机器程序非法操作,以及系统异常。
利用本发明的区分有害程序行为的方法,当已经感染了震荡波的计算机发出攻击包至使用本发明的防护系统时,本地计算机的LSASS进程溢出,溢出代码会调用GetProcAddress,就会被本发明的监控机制抓住,判断为缓冲区溢出,而且在溢出前,LSASS进程会从系统的139,445端口接收数据,这与上述d)规则所提供的规则相符;因此本发明可以准确判断出该远程攻击,于是系统调用ExitThread,将这个线程结束,从而使震荡波蠕虫无法进入下一步的动作,有效保护了本地计算机。
本发明的区分有害程序行为的方法中,所述攻击识别规则库中,包括邮件蠕虫规则一f)该程序由邮件系统自动生成,且该程序运行时修改注册表的自启动项,该程序无窗口、无托盘,并且立即开始发送邮件。
如上所述蠕虫规则,由多个动作行为构成蠕虫攻击行为特征,根据如上所述信息,便可有效的防范蠕虫攻击,并能够有效遏制蠕虫在网络上的蔓延。
本发明的区分有害程序行为的方法中,所述攻击识别规则库中,包括可疑木马规则一g)该程序由邮件系统自动生成,且该程序运行时修改注册表的自启动项,该程序无窗口、无托盘,并且立即开始创建监听端口。
根据如上所述可疑木马规则,也可以不依赖现有的防火墙系统,将其识别出来,监控方式更为简便,而且简化了用户使用的复杂程度。
下面利用本发明截获著名的反弹行木马黑洞对规则g)作以简要说明由于其属于未知程序,该进程启动即被本发明的监控系统捕获,同时该程序没有创建应用程序窗口及系统托盘区图标;并且该程序启动后会修改注册表启动项,以保证自己可以在下次用户登录时自动启动,此动作行为也是危险动作,因此也被本发明的监控系统捕获,该进程继续执行将会连接远端web服务器以获得客户端服务的地址、端口信息,以便与其建立连接进行信息传输,此连网动作被捕获后,将上述动作一同与攻击识别规则库中的规则比较,便可判断为可疑木马,并向用户报警,同时说明该非法程序的属性为可疑木马,以便用户更准确的了解信息,避免了现有防火墙系统只要发生网络动作便报警,而且需要用户对报警动作安全性的判断。
按照本发明的区分有害程序行为的方法中,所述监控动作,包括,文件操作;网络操作;创建进程、线程;注册表操作;窗口、托盘操作;堆栈溢出;注入线程;拦截系统API调用以及访问、修改和创建用户帐号。
所述危险动作,包括,调用SHELL程序;修改程序文件或写程序文件;调用FTP或TFTP;创建FTP或TFTP服务;发送邮件;浏览器或邮件系统自动运行其他程序;创建大量相同线程;修改和创建用户帐号;危险网络操作;向系统注册表添加启动项;修改系统启动文件;向其他进程注入线程;堆栈溢出;应用级进程运行时自动提升为系统级进程操作;拦截系统API调用。
本发明的区分有害程序行为的方法中,所述被监控程序处于运行状态,其退出后,不再监视和记录,因此可以释放更多的系统资源,减小系统的开销。
本发明的区分有害程序行为的方法,包括如下步骤16.1)发现未知程序或进程运行;16.2)创建与该程序对应的行为的描述结构实体;16.3)捕获该程序可能危害计算机安全的监控行为和危险行为;16.4)判断其动作类型;16.5)将识别的动作记录到对应的行为描述结构实体中;16.6)对比攻击识别规则库,计算该行为描述结构实体的权值
16.7)判断是否超过权值上限,否,返回步骤16.3);是,进入下一步;16.8)判定为有害程序行为。
本发明的区分有害程序行为的方法中,所述行为描述结构实体与所述攻击识别规则库的结构一致。
本发明的区分有害程序行为的方法中,所述行为是程序调用操作系统提供的API函数。
本发明的区分有害程序行为的方法,其中步骤16.6)中所述权值为,由规则库提供各项行为判断标准的经验值,并对其多项行为的所述经验值进行累加后得到描述实体的权值。
本发明的区分有害程序行为的方法,其中步骤16.7)中所述权值上限,由本发明提供的经验值判断,或按照用户自定义。许多对计算机程序有较深了解的用户经常需要一些自己设计或其他没有正式来源的程序,而这些程序很有可能是为了改善系统性能或提高系统易用性,因此,这些未知程序会执行很多监控动作或危险动作,与攻击识别规则库的规则相符合,如果由本发明的方法直接将该程序判断为有害程序,然后禁止执行,也会给上述这一部分用户带来麻烦,因而,本发明还提供了按照用户自定义某一程序的权值的设置,即,虽然判断为有害程序行为后,但由用户决定否继续执行该程序。
本发明的区分有害程序行为的方法中,所述攻击识别规则库,其中,每一记录的数据结构实体为struct UnknowPEFileInMem{
Char WeighofDanger;//危险权值Char FileName[MAX_PATH];//新创建的PE文件的全路径Char CreatorName[MAX_PATH];//创建者的全路径Char CharacterOfCreator;/创建者的特性Char NoWindowOfCreator;//创建者有无窗口Char SameAsCreator;//与创建者是同一个文件Char CopySelf;//拷贝自身,对于创建者是CopySelf,对于被复制的文件是SameAsCreator,//以次来区分两者Char FileDescription;//文件有无描述Char AutoRun;//是否自启动Char WhoWriteAutoRun;//谁创建的自启动项BOOLEAN RunByCreator;//是否被创建者启动BOOLEAN RunBySelf;//是否自己创建启动项BOOLEAN bCreateWindow;//是否有窗口或托盘图标LIST_ENTRY RegList;//修改注册表项链表LIST_NET ListNetAction;//网络动作链表}上述创建者的特性“CharacterOfCreator”的具体数据记录及描述是-1未知程序;0其它已知程序;1邮件系统;2网络浏览器;3网络交流系统(如QQ、MSN等);
上述谁创建的自启动项“WhoWriteAutoRun”的具体数据记录及描述是0未知;1自己;2创建者;3.自己,创建者都会写其中修改注册表项链表的子数据结构实体为。
struct REG_DATA{LIST_ENTRY List;//入口列表char Key[];//键名char ValueName[];//值名char Value[];//值}其中网络动作链表的子数据结构实体为struct LIST_NET{int type;//类型short lport;//本地端口IPADDR lipaddr;//本地IP地址short dport;//远程端口IPADDR dipaddr;//远程IP地址short protoco1;//使用协议};
综上所述,本发明的区分有害程序行为的方法,能够准确的检查出未知程序的有害程序行为,保护计算机免受病毒、木马等有害程序的攻击,并且与现有技术相比具有高效、准确的优点。
通过上述的说明内容,相关工作人员完全可以在不偏离本项发明技术思想的范围内,进行多样的变更以及修改。因此,本项发明的技术性范围并不局限于说明书上的内容,必须要根据权利范围来确定其技术性范围。
权利要求
1.一种区分有害程序行为的方法,其特征在于该方法是基于病毒攻击识别规则库,所述病毒攻击识别规则库记录了多种病毒、木马及有害程序的攻击行为特征,每一记录对应一类病毒,每一类病毒对应一个动作集,该动作集包括一系列动作及其之间特定的关联关系,并且所述区分有害程序行为的方法包括如下步骤,1.1)对未知程序的动作行为进行监控并记录;1.2)将该程序被记录的动作行为作为一个整体,与所述病毒攻击识别规则库进行比较;1.3)根据比较结果区分有害程序行为;是,则向用户报警或阻止该程序继续运行;否,则程序继续运行并返回步骤1.1)。
2.按照权利要求1所述区分有害程序行为的方法,其特征在于,所述被记录的动作行为包括动作类型、动作发生时间和调用者。
3.按照权利要求1所述区分有害程序行为的方法,其特征在于,所述监控并记录的动作行为包括,监控动作,指该动作可能影响计算机安全、需要对其进行实时监控;危险动作,该动作首先是一个监控动作,在程序运行中,该动作可能威胁计算机安全;此外所述动作行为还包括,非监控动作,不影响计算机安全无需进行监控的动作。
4.按照权利要求3所述区分有害程序行为的方法,其特征在于截获程序运行时影响计算机安全的每一个监控动作和危险动作,并与攻击识别规则库中记录的攻击行为特征进行比较。
5.按照权利要求1所述区分有害程序行为的方法,其特征在于,所述关联关系包括前后动作之间的时间关系及调用和被调用关系。
6.按照权利要求1所述区分有害程序行为的方法,其特征在于,所述攻击识别规则库,包括病毒规则一a)运行于用户层RING3的程序,转入系统核心层RING0运行。
7.按照权利要求1所述区分有害程序行为的方法,其特征在于,所述攻击识别规则库,包括病毒规则二b)该程序执行修改其他程序文件的操作。
8.按照权利要求1所述区分有害程序行为的方法,其特征在于,所述攻击识别规则库,包括远程攻击规则一c)该程序通过监听端口接受数据后,立即调用SHELL程序。
9.按照权利要求1所述区分有害程序行为的方法,其特征在于,所述攻击识别规则库,包括远程攻击规则二d)该程序通过监听端口接收数据后,发生缓冲区溢出。
10.按照权利要求1所述区分有害程序行为的方法,其特征在于,所述攻击识别规则库,包括远程攻击规则三e)该程序通过监听端口接收数据后,立即调用一般文件传输协议TFTP程序。
11.按照权利要求1所述区分有害程序行为的方法,其特征在于,所述攻击识别规则库,包括邮件蠕虫规则一f)该程序由邮件系统自动生成,且该程序运行时修改注册表的自启动项,该程序无窗口、无托盘,并且立即开始发送邮件。
12.按照权利要求1所述区分有害程序行为的方法,其特征在于,所述攻击识别规则库,包括可疑木马规则一g)该程序由邮件系统自动生成,且该程序运行时修改注册表的自启动项,该程序无窗口、无托盘,并且立即开始创建监听端口。
13.按照权利要求3所述区分有害程序行为的方法,其特征在于所述监控动作,包括,文件操作;网络操作;创建进程、创建线程;注册表操作;窗口、托盘操作;堆栈溢出;注入线程;拦截系统API调用以及访问、修改和创建用户帐号。
14.按照权利要求3所述区分有害程序行为的方法,其特征在于所述危险动作,包括,调用SHELL程序;修改程序文件或写程序文件;调用FTP或TFTP;创建FTP或TFTP服务;发送邮件;浏览器或邮件系统自动运行其他程序;创建大量相同线程;修改和创建用户帐号;危险网络操作;向系统注册表添加启动项;修改系统启动文件;向其他进程注入线程;堆栈溢出;应用级进程运行时自动提升为系统级进程操作;拦截系统API调用及访问。
15.按照权利要求1所述区分有害程序行为的方法,其特征在于所述被监控程序处于运行状态,其退出后,不再监视和记录。
16.按照权利要求1所述区分有害程序行为的方法,其特征在于,包括如下步骤16.1)发现未知程序或进程运行;16.2)创建与该程序对应的行为的描述结构实体;16.3)捕获该程序可能危害计算机安全的监控行为和危险行为;16.4)判断其动作类型;16.5)将识别的动作记录到对应的行为描述结构实体中;16.6)对比攻击识别规则库,计算该行为描述结构实体的权值16.7)判断是否超过权值上限,否,则返回步骤16.3);是,则进入下一步;16.8)判定为有害程序行为。
17.按照权利要求16所述区分有害程序行为的方法,其特征在于所述行为描述结构实体与所述攻击识别规则库的结构一致。
18.按照权利要求16所述区分有害程序行为的方法,其特征在于所述行为是程序调用操作系统提供的API函数。
19.按照权利要求16所述区分有害程序行为的方法,其特征在于步骤16.6)中所述权值为,由规则库提供各项行为判断标准的经验值,并对其多项行为的所述经验值进行累加后得到描述实体的权值。
20.按照权利要求16所述区分有害程序行为的方法,其特征在于步骤16.7)中所述权值上限,由本发明提供的经验值判断,或按照用户自定义。
21.按照权利要求16所述区分有害程序行为的方法,其特征在于判断为有害程序行为后,由用户对其是否继续执行进行判断。
22.按照权利要求1或16所述区分有害程序行为的方法,其特征在于,所述攻击识别规则库,其数据结构,包括可执行PE文件的全路径、创建者的全路径、创建者的特性、创建者有无窗口、与创建者是否同一个文件、是否拷贝自身、文件有无描述、是否自启动、谁创建的自启动项、是否被创建者启动、是否自己创建启动项、是否有窗口或托盘图标、修改注册表项链表和网络动作链表。
23.按照权利要求22所述区分有害程序行为的方法,其特征在于,所述修改注册表项链表的子数据结构,包括入口列表、键名、值名和值。
24.按照权利要求22所述区分有害程序行为的方法,其特征在于,所述网络动作链表的子数据结构,包括类型、本地端口、本地地址、远程端口、远程地址和使用协议。
25.按照权利要求1所述区分有害程序行为的方法,其特征在于将所述方法应用于基于程序行为方式的病毒防护实时监控系统中,监控可能是有害程序的未知程序所执行的监控动作和危险动作,并及时拦截有害程序对系统的攻击。
全文摘要
本发明涉及了一种区分有害程序行为的方法,其特征在于,使用了基于状态动作集的病毒攻击识别库,包括如下步骤1.1)对未知程序的动作行为进行监控并记录;1.2)将该程序被记录的动作行为作为一个整体,与所述病毒攻击识别规则库进行比较;1.3)根据比较结果区分有害程序行为;是,则向用户报警或阻止该程序继续运行;否,则程序继续运行并返回步骤1.1)。运用本发明的方法,不依赖病毒代码特征,而是对未知程序动作行为进行分析,判断是否为有害程序行为,因此,该方法具有高效、准确的优点,并且能对新生的攻击程序提前做出警报。
文档编号G06F1/00GK1801030SQ200410103148
公开日2006年7月12日 申请日期2004年12月31日 优先权日2004年12月31日
发明者刘旭 申请人:福建东方微点信息安全有限责任公司