专利名称:一种针对具有数字签名信息的病毒文件的防御方法及系统的制作方法
技术领域:
本发明属于病毒防御技术领域,具体涉及一种针对具有数字签名信息的病毒文件的防御方法及系统。
背景技术:
计算机病毒,是编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。计算机病毒不是天然存在的,是某些人利用计算机软件和硬件所固有的脆弱性编制的一组指令集或程序代码。它能通过某种途径潜伏在计算机的存储介质(或程序)里,当 达到某种条件时即被激活,通过修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中,从而感染其他程序,对计算机资源进行破坏,所谓的病毒就是人为造成的,对其他用户的危害性很大!其传播途径,主要是通过日常文件传递过程中夹带病毒文件。文件数字签名,包括签名人姓名、版本、序列号、签名算法、签名的有效日期、终止日期等信息。统一由微软认证签发,其签发非常严格,对于验证文件的安全性非常重要,判断一个文件是否具有数字签名信息,是现有很多反病毒软件的一种常见措施。目前的反病毒软件,一旦发现文件具有有效数字签名,就会对其放行。根据上述规律,一些病毒制造者开始盗用一些合法的数字签名信息,将其加载到病毒文件上,以逃过防毒软件的查杀,从而进入到用户电脑系统中。
发明内容
为了解决上述问题,本发明的目的在于提供针对具有数字签名信息的病毒文件的防御方法及系统,以防止曾被盗用过的数字签名信息,继续被病毒文件利用。为实现上述目的,本发明采用的技术方案如下一种针对具有数字签名信息的病毒文件的防御方法,包括以下步骤获取待测文件的数字签名信息;查询所述数字签名信息中的签名人名称是否在黑名单数据库中,若在,则发出病毒报警提示,所述黑名单数据库中预存储有曾被病毒盗用过数字签名信息的签名人名称。进一步的,在所述获取待测文件的数据签名信息之前还包括判断待测文件是否具有数字签名信息,若有则顺序执行后续步骤。进一步的,在判断待测文件是否具有数字签名信息之前还包括根据已有的病毒数据库,判断待测文件的性质;若为病毒文件,则发出报警提示;若为安全文件,则直接放行;若为未知文件,则顺序执行后续步骤。一种针对具有数字签名信息的病毒文件的防御系统,包括以下模块
数字签名信息获取模块,获取待测文件的数字签名信息;查询检测模块,查询所述数字签名信息中的签名人名称是否在黑名单数据库中,若在,则发出病毒报警提示;黑名单数据库,其中预存储有曾被病毒盗用过数字签名信息的签名人名称。进一步的,该系统还包括一判断模块,用于在执行数字签名信息模块之前,判断待测文件是否具有数字签名信息,若有则执行后续模块。进一步的,该系统还包括一前置检测模块,用于执行判断模块之前,根据已有的病毒数据库,判断待测文件的性质;若为病毒文件,则发出报警提示;若为安全文件,则直接放行;若为未知文件,则顺序执行后续模块。进一步的,该系统还包括一更新模块,用于向所述黑名单数据库中添加或删除签名人名称。本发明将曾被盗用过数字签名信息的签名人名称收集起来建立一个黑名单数据库,通过查询待测文件的数字签名信息中的签名人名称是否在黑名单数据库中,以判断是否为病毒文件,从而防止曾被盗用过的数字签名信息,继续被病毒文件利用,进一步提高病毒防御的安全性能。
此
所提供的图片用来辅助对本发明的进一步理解,构成本申请的一部分,并不构成对本发明的不当限定,在附图中图I是本发明方法对应的流程图;图2是本发明系统对应的框图。
具体实施例方式如图I所示,本实施例公开了一种针对具有数字签名信息的病毒文件的防御方法,包括以下步骤Stepl :根据已有的病毒数据库,判断待测文件的性质;具体可以采用很多常规的方法,比如在本地病毒数据库中或者在云端服务器上进行查询验证,在本地或者云端数据库中设置病毒数据库,该病毒数据中包括已经活动验证的病毒文件名称和安全文件名称,如果待测文件已经活得过验证,则可以直接得出黑白结论,所谓的黑即是病毒文件,所谓的白是指安全文件,没有在数据库中的为未知文件;若为病毒文件,则发出报警提示;若为安全文件,则直接放行;若为未知文件,则顺序执行后续步骤;Step2 :判断待测文件是否具有数字签名信息;具体可以检测该文件是否带有数字签名证书,或者检测该文件运行过程是否向注册表写入数字证书;若无,则启用其他常规检测手段,比如常见的病毒库扫描等;若有,则顺序执行后续步骤。
Step3 :获取待测文件的数字签名信息;Step4:查询所述数字签名信息中的签名人名称是否在黑名单数据库中,所述黑名单数据库中预存储有曾被病毒盗用过数字签名信息的签名人名称,此处所述的黑名单数据库是通过大量的病毒采集 分析得来,或者是其他一些收集举报措施得来;若在,则发出病毒报警提示;若不在,则启用其他常规检测手段,比如常见的病毒库扫描等。如图2所示,本实施例还公开了一种针对具有数字签名信息的病毒文件的防御系统,包括以下模块前置检测模块1,用于执行判断模块之前,根据已有的病毒数据库,判断待测文件的性质;若为病毒文件,则发出报警提示;若为安全文件,则直接放行;若为未知文件,则顺序执行后续1吴块;判断模块2,用于在执行数字签名信息模块之前,判断待测文件是否具有数字签名信息,若有则执行后续模块;数字签名信息获取模块3,获取待测文件的数字签名信息;查询检测模块4,查询所述数字签名信息中的签名人名称是否在黑名单数据库中,若在,则发出病毒报警提示;黑名单数据库5,其中预存储有曾被病毒盗用过数字签名信息的签名人名称。更新模块6,用于向所述黑名单数据库中添加或删除签名人名称。本实施例将曾被盗用过数字签名信息的签名人名称收集起来建立一个黑名单数据库,通过查询待测文件的数字签名信息中的签名人名称是否在黑名单数据库中,以判断是否为病毒文件,从而防止曾被盗用过的数字签名信息,继续被病毒文件利用,进一步提高病毒防御的安全性能。以上详细描述了本发明的较佳具体实施例,应当理解,本领域的普通技术无需创造性劳动就可以根据本发明的构思做出诸多修改和变化。因此,凡本技术领域中技术人员依本发明构思在现有技术基础上通过逻辑分析、推理或者根据有限的实验可以得到的技术方案,均应该在由本权利要求书所确定的保护范围之中。
权利要求
1.一种针对具有数字签名信息的病毒文件的防御方法,其特征在于,包括以下步骤 获取待测文件的数字签名信息; 查询所述数字签名信息中的签名人名称是否在黑名单数据库中,若在,则发出病毒报警提示,所述黑名単数据库中预存储有曾被病毒盗用过数字签名信息的签名人名称。
2.根据权利要求I所述的防御方法,其特征在于,在所述获取待测文件的数据签名信息之前还包括 判断待测文件是否具有数字签名信息,若有则顺序执行后续步骤。
3.根据权利要求2所述的防御方法,其特征在于,在判断待测文件是否具有数字签名信息之前还包括 根据已有的病毒数据库,判断待测文件的性质; 若为病毒文件,则发出报警提示; 若为安全文件,则直接放行; 若为未知文件,则顺序执行后续步骤。
4.一种针对具有数字签名信息的病毒文件的防御系统,其特征在于,包括以下模块 数字签名信息获取模块,获取待测文件的数字签名信息; 查询检测模块,查询所述数字签名信息中的签名人名称是否在黑名单数据库中,若在,则发出病毒报警提示; 黑名单数据库,其中预存储有曾被病毒盗用过数字签名信息的签名人名称。
5.根据权利要求4所述的防御系统,其特征在于,该系统还包括 判断模块,用于在执行数字签名信息模块之前,判断待测文件是否具有数字签名信息,若有则执行后续模块。
6.根据权利要求5所述的防御系统,其特征在于,该系统还包括 前置检测模块,用于执行判断模块之前,根据已有的病毒数据库,判断待测文件的性质; 若为病毒文件,则发出报警提示; 若为安全文件,则直接放行; 若为未知文件,则顺序执行后续模块。
7.根据权利要求4所述的防御系统,其特征在于,该系统还包括 更新模块,用于向所述黑名単数据库中添加或删除签名人名称。
全文摘要
本发明属于病毒防御技术领域,具体公开了一种针对具有数字签名信息的病毒文件的防御方法及系统。该方法包括以下步骤获取待测文件的数字签名信息;查询所述数字签名信息中的签名人名称是否在黑名单数据库中,若在,则发出病毒报警提示,所述黑名单数据库中预存储有曾被病毒盗用过数字签名信息的签名人名称。该系统是包括对应的数字签名信息获取模块和查询检测模块。本发明将曾被盗用过数字签名信息的签名人名称收集起来建立一个黑名单数据库,通过查询待测文件的数字签名信息中的签名人名称是否在黑名单数据库中,以判断是否为病毒文件,从而防止曾被盗用过的数字签名信息,继续被病毒文件利用,进一步提高病毒防御的安全性能。
文档编号G06F21/00GK102799824SQ20121024440
公开日2012年11月28日 申请日期2012年7月13日 优先权日2012年7月13日
发明者苏文杰, 祁伟 申请人:珠海市君天电子科技有限公司