专利名称:一种计算机病毒自动防护方法
一种计算机病毒自动防护方法技术领域
本发明属于计算机技术领域,涉及计算机病毒防护,采用人体免疫系统对细菌和 病毒的免疫方法模型实现计算机对病毒程序的自我防护,为一种计算机病毒自动防护方 法。
背景技术:
目前全球范围内杀毒软件大多使用“特征码”杀毒技术。“特征码”杀毒技术在病 毒不断增多的当今网络环境中,缺点显露病毒库不断膨胀;需要定期联网更新;始终滞后 于病毒;用户时常感染新病毒。
现有的多种杀毒软件的技术及缺陷如下
权利要求
1. 一种计算机病毒自动防护方法,其特征是以人体免疫系统为模型,构建防护程序安 装于计算机中,所述防护程序通过监视新程序、工程逆向、判断扩散性复制语句并获取复制 目标路径、自动创建高权限抗体文件夹,模拟人体免疫系统中的BCR同源判断、MHC II提呈 肽段、B细胞释放抗体的过程,实现计算机对病毒程序的免疫,所述防护程序的运行环境为 单机,操作系统为WindoWS2000及之后版本的所有Windows系统,包括以下步骤1)监视新程序防护程序对注册表进行设置,将任何COM、EXE程序以所述防护程序作 为打开方式,打开COM、EXE程序时即激活防护程序,通过Command启动参数获知所打开程 序的文件路径名称,保存于变量fil印ath中,随后防护程序通过调用Windows系统自带的 Wintrust. dll判断新运行的COM、EXE程序是否拥有合法的、未被篡改的、未过期的数字签 名,若通过则释放运行;若不通过则暂时滞留程序,作为可疑程序不允许该COM、EXE程序运 行,随后将该挂起的C0M、EXE程序的程序路径通过DDE消息在防护程序内部传递,进入下一 处理流程;2)工程逆向设置脱壳程序供防护程序调用,防护程序将接收的fil印ath作为启动参 数,调用外部脱壳程序,脱壳程序返回可疑程序被解壳另存的地址至防护程序,所述地址保 存于变量UnpackedPath中,防护程序将变量UnpackedPath记载的可疑程序的OPCODE码与 对应的汇编码进行转换,实现对可疑程序的反汇编,反汇编结果自动临时存储,防护程序在 反汇编结果中自动搜索所有的“CALL DWORD PTR[XXXXXXX] ”语句,即搜索被脱壳的可疑程 序的反汇编代码中所有的调用子过程语句,其中[XXXXXXX]表示汇编代码,每搜索到一处 "CALL DWORD PTR[XXXXXXX] ”语句,自动在这一句汇编指令上方直到上一句“CALL DWORD PTR[XXXXXXX] ”区间中寻找“Push”语句,若在两个调用子过程语句区间内,发现连续两次的 Push语句,则确定所发现的两个Push语句和第一个搜索到的“CALL DWORD PTR[XXXXXXX],, 语句共同组成复制语句;防护程序对所述两个push语句的地址分别进行记录,将这两条 Push语句分别进行Push目标地址定位,随后根据push目标地址确定与地址对应的可疑程 序的16进制编码数据,并将16进制数据转换为Unicode码的明文形式,获取所述Unicode 码并将其按照在可疑程序中的顺序依次保存在数组push (η)中;防护程序进行判断,若返回的数组push (η)均为标准的程序文件路径格式,则判定搜 索到的复制语句是在进行程序文件复制;在进行上述截取疑似复制命令的调用子过程调用 语句-转换目标地址为16进制并进一步转换为Unicode码-判断是否为复制语句的过程 中,遍历检索可疑程序的反汇编代码,总结出所有遇到的复制语句;保存push (η),进行下 一步处理;3)扩散性复制判断定义一个初始值为0的分数变量Count,push(η)数组中,每两个 Push目标地址的字符,前一个为原始路径,后一个为复制的目标路径;每出现一次原始路 径为可疑程序的自我路径,Coimt+10,每出现一次目标路径为可移动设备或局域网存储,属 于明显扩散传播复制,Count+40 ;每出现一次目标路径为Windows系统目录,属于系统内部 驻留,Count+5 ;若Count高于100,按100分计算;设置扩散性复制的阈值,阈值与防护程序的安全级别对应,阈值越小则防护的安全级 别越高,若Count高于阈值小于100,则判为有扩散性复制;反之,Count小于阈值则为无扩 散性复制,解除对所涉及的可疑程序的冻结,允许其运行;被判为有扩散性复制的程序随即进入下一步处理;4)同名高权限文件夹创建防护程序进行创建文件夹操作,在该具备扩散性复制的程 序的所有扩散性复制目标路径创建文件夹,所述文件夹与可疑程序的复制目标路径的文件 同名,通过VB中修改文件属性的方法设置文件夹为隐藏,并通过adVapi32和Kerne132的 API调用,临时建立计算机的系统权限用户“Sysher”,将刚刚建立的隐藏文件夹设置为 “Sysher”权限,即系统用户权限;5)病毒出错退出执行完步骤4),解除对滞留可疑程序的冻结,允许其运行,则具有扩 散性复制的可疑程序进行执行到文件复制指令时,便遇上步骤4)创建的同名文件夹,也就 是高权限抗体文件夹,出现RimtimeError错误,弹出各类出错对话框,在弹出出错对话框 后,可疑程序由于微软操作系统的特性,出错并被操作系统结束;经过以上步骤,实现计算机对病毒程序的自动防护。
2.根据权利要求1所述的一种计算机病毒自动防护方法,其特征是步骤幻中,通过 遍历计算机硬盘盘符名或者Kerne132API判断出复制目标中的可移动存储器、网络存储机 制。
3.根据权利要求1或2所述的一种计算机病毒自动防护方法,其特征是步骤4)执行防 护程序删除经过脱壳的可疑程序临时文件。
全文摘要
一种计算机病毒自动防护方法,以人体免疫系统为模型,构建防护程序安装于计算机中,所述防护程序通过监视新程序、工程逆向、判断扩散性复制语句并获取复制目标路径、自动创建高权限抗体文件夹,模拟人体免疫系统中的BCR同源判断、MHC II提呈肽段、B细胞释放抗体的过程,实现计算机对病毒程序的免疫,本发明与现有技术相比无病毒库,无需手动扫描,无需联网更新病毒库,针对计算机恶意程序自动制造抗体,有效拦截计算机恶意程序,使计算机对病毒具备主动防御能力。经测试,对所测病毒的拦截率可达到99.7%以上。
文档编号G06F21/00GK102034047SQ20101059823
公开日2011年4月27日 申请日期2010年12月21日 优先权日2010年12月21日
发明者姚志浩 申请人:姚志浩