专利名称:一种防止计算机病毒反复感染系统的方法及系统的制作方法
技术领域:
本发明属于计算机防御技术领域,具体涉及一种防止计算机病毒反复感染系统的方法及系统。
背景技术:
计算机病毒,是编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码,具有破坏性,复制性和传染性。它一直是计算机安全领域的一个重要话题,随着反病毒技术的发展,计算机病毒也发展了各种技术来对抗反病毒产品。其中,一种对抗反病毒产品的重要方法就是通过将恶意代码注入到系统重要进程中,这部分代码在系统进程空间中执行。所谓进程,是指在内存中正在运行的一个应用程序,进程是程序在计算机上的一 次执行活动。当你运行一个程序,你就启动了一个进程。显然,程序是死的(静态的),进程是活的(动态的)。进程可以分为系统进程和用户进程,凡是用于完成操作系统的各种功能的进程就是系统进程,它们就是处于运行状态下的操作系统本身;用户进程就是所有由你启动的进程。如果计算机病毒将恶意代码注入到系统重要进程中,就很难安全可靠的从内存中将其清除,因为关闭系统进程将直接影响系统正常运行。由于很难安全可靠的从内存中清除其恶意代码,目前反病毒产品的应对策略是先清除该病毒对应的其他恶意模块,包括文件、注册表和恶意进程等,然后重启系统来达到最终清除病毒的目的。但是这种清除策略的有效性很差,主要原因在于计算机病毒往往可以通过注入到系统进程中的恶意代码对其他恶意模块进行监控,当发现其他病毒模块被清除,会重新释放出这些模块和进程,从而实现再生的能力。而且对于企业用户而言,某些重要服务器的重启会带来严重的业务中断,因此急需一种更为有效的清除方法。
发明内容
为了解决上述问题,本发明的目的在于提供一种防止计算机病毒反复感染系统的方法及系统,以有效防止被查杀后的病毒再生。为了实现上述发明目的,本发明采用的技术方案如下一种防止计算机病毒反复感染系统的方法,包括以下步骤扫描并清除计算机中存在的所述计算机病毒的恶意模块,并记录被清除的恶意模块的信息;根据所述被清除的恶意模块的信息生成拦截对象列表并传输给内核驱动;通过所述内核驱动阻止其他进程再次创建所述拦截对象列表中记录的恶意模块。进一步的,所述恶意模块包括文件、注册表、以及进程;所述记录被清除的恶意模块的信息,具体是记录所述文件对应的完整的文件路径名;
记录所述注册表的路径(key)和键值(Value);以及记录所述进程所对应文件的完整的文件路径名。进一步的,通过所述内核驱动阻止其他进程再次创建所述拦截对象列表中记录的恶意1 块,具体是通过所述内核驱动监控对文件、注册表和进程的所有操作,一旦发现被操作对象是记录在拦截列表中的恶意模块时,则阻止对该对象的操作。进一步的,在通过所述内核驱动阻止其他进程再次创建所述拦截对象列表中记录的恶意模块的同时,还包括以下步骤通过内核驱动拦截恶意代码注入的系统进程进行的网络连接操作。进一步的,在所述通过所述内核驱动阻止其他进程再次创建所述拦截对象列表中 记录的恶意模块之后,还包括以下步骤通过内核驱动将所述拦截对象列表注册到系统的关机回调程序中,以阻止在关机过程中因过早退出而导致计算机病毒的恶意模块再生;以及系统再次启动时将所述拦截列表删除。一种防止计算机病毒反复感染系统的系统,包括以下模块病毒扫描清除和记录模块,用于扫描并清除计算机中存在的所述计算机病毒的恶意模块,并记录被清除的恶意模块的信息;拦截列表生成模块,用于根据所述被清除的恶意模块的信息生成拦截对象列表并传输给内核驱动;恶意模块再生拦截模块,用于通过所述内核驱动阻止其他进程再次创建所述拦截对象列表中记录的恶意模块。进一步的,所述恶意模块包括文件、注册表、以及进程;所述记录被清除的恶意模块的信息,具体是记录所述文件对应的完整的文件路径名;记录所述注册表的路径(key)和键值(Value);以及记录所述进程所对应文件的完整的文件路径名。进一步的,所述恶意模块再生拦截模块,具体是通过所述内核驱动监控对文件、注册表和进程的所有操作,一旦发现被操作对象是记录在拦截列表中的恶意模块时,则阻止对该对象的操作。进一步的,还包括网络连接拦截模块,用于通过内核驱动拦截恶意代码注入的系统进程进行的网络连接操作。进一步的,还包括防止关机再生模块,用于通过内核驱动将所述拦截对象列表注册到系统的关机回调程序中,以阻止在关机过程中因过早退出而导致计算机病毒的恶意模块再生;以及拦截列表自动失效模块,用于系统再次启动时将所述拦截列表删除。本发明将将计算机病毒的恶意模块进行扫描和清除的同时,将其记录在拦截对象列表中,最后通过内核驱动阻止其他进程再次创建所述拦截对象列表中记录的恶意模块。因此,本发明可以有效的清除具有再生能力的恶意病毒;同时,对于企业级的服务器,可以在不重启系统的情况下,就能够有效的消除病毒的危害,保证数据和服务的安全。
此
所提供的图片用来辅助对本发明的进一步理解,构成本申请的一部分,并不构成对本发明的不当限定,在附图中图I是本发明方法对应的流程图;图2是本发明系统对应的框图。
具体实施例方式如图I所示,本实施例公开了一种防止计算机病毒反复感染系统的方法,包括以下步骤Stepl :扫描并清除计算机中存在的所述计算机病毒的恶意模块,并记录被清除的恶意模块的信息;所述恶意模块包括文件、注册表、以及进程,所述记录被清除的恶意模块 的信息,具体是记录所述文件对应的完整的文件路径名;记录所述注册表的路径(key)和键值(Value);以及记录所述进程所对应文件的完整的文件路径名。具体的扫描和清除方法可以采用现有的很多常规方法,比如建立一个病毒数据库,扫描系统中的所有文件、注册列表、以及进程是否在其中,如在其中则将其清除。比如计算机病毒对应的恶意模块是A文件,删除A文件后就将A文件对应的完整的文件路径名记录下来。Step2 :根据所述被清除的恶意模块的信息生成拦截对象列表并传输给内核驱动;比如第I步骤中记录的恶意模块包括文件A、注册表B、以及用户进程C,此步骤就将第I步骤中记录的三则对应的信息写进一拦截对象列表中。Step3A:通过所述内核驱动阻止其他进程再次创建所述拦截对象列表中记录的恶意模块,具体是通过所述内核驱动监控对文件、注册表和进程的所有操作,一旦发现被操作对象是记录在拦截列表中的恶意模块时,则阻止对该对象的操作。比如拦截对象列表中记录了文件A、注册表B、以及用户进程C,当内核驱动发现有其他程序或者进程对其进行删除、复制、创建、修改等操作时,则内核驱动就阻止对对他们的这些操作。Step3B:通过内核驱动拦截恶意代码注入的系统进程进行的网络连接操作,可进一步防止恶意代码注入的系统进程在网络上再次下载恶意模块。Step4 :通过内核驱动将所述拦截对象列表注册到系统的关机回调程序中,以阻止在关机过程中因过早退出而导致计算机病毒的恶意模块再生;因为,在关机过程中过早停止内核驱动的监控动作,将给病毒再生机会。Step5 :系统再次启动时将所述拦截列表删除;因为病毒清除后,就没有必要一直阻止其被感染的文件操作。如图2所示,本实施例还公开了一种与上述方法对应的系统,它包括以下模块病毒扫描清除和记录模块1,用于扫描并清除计算机中存在的所述计算机病毒的恶意模块,并记录被清除的恶意模块的信息;所述恶意模块包括文件、注册表、以及进程;所述记录被清除的恶意模块的信息,具体是记录所述文件对应的完整的文件路径名;记录所述注册表的路径(key)和键值(Value);以及记录所述进程所对应文件的完整的文件路径名;拦截列表生成模块2,用于根据所述被清除的恶意模块的信息生成拦截对象列表并传输给内核驱动;
恶意模块再生拦截模块3,用于通过所述内核驱动阻止其他进程再次创建所述拦截对象列表中记录的恶意模块,具体是通过所述内核驱动监控对文件、注册表和进程的所有操作,一旦发现被操作对象是记录在拦截列表中的恶意模块时,则阻止对该对象的操作;网络连接拦截模块4,用于通过内核驱动拦截恶意代码注入的系统进程进行的网络连接操作;防止关机再生模块5,用于通过内核驱动将所述拦截对象列表注册到系统的关机回调程序中,以阻止在关机过程中因过早退出而导致计算机病毒的恶意模块再生;以及拦截列表自动失效模块6,用于系统再次启动时将所述拦截列表删除。本发明中所述的内核,是一个操作系统的核心,内核驱动负责管理系统的进程、内 存、设备驱动程序、文件和网络系统,决定着系统的性能和稳定性。本发明实质是通过内核驱动和用户层的病毒检测及清除模块配合实现,为了清除这种具有代码注入和再生能力的恶意病毒,本发明通过内核驱动实现对于文件、注册表、网络和进程操作的监控;当发现恶意模块(文件、注册表或者进程)并对其进行清除后,将所做的清除操作记录下来并传递给内核驱动,自动生成拦截列表,通过内核驱动阻止其他进程再次创建这些被清除的模块;同时被恶意代码注入的系统进程进行的可疑网络连接会被拦截。同时,内核驱动通过注册系统的关机回调,避免在关机过程中过早退出而导致病毒恶意驱动有机会再生。并且,系统再次启动后,上次的拦截列表自动失效。本发明可以有效的清除具有再生能力的恶意病毒;对于企业级的服务器,可以在不重启系统的情况下,就能够有效的消除病毒的危害,保证数据和服务的安全。以上详细描述了本发明的较佳具体实施例,应当理解,本领域的普通技术无需创造性劳动就可以根据本发明的构思做出诸多修改和变化。因此,凡本技术领域中技术人员依本发明构思在现有技术基础上通过逻辑分析、推理或者根据有限的实验可以得到的技术方案,均应该在由本权利要求书所确定的保护范围之中。
权利要求
1.一种防止计算机病毒反复感染系统的方法,其特征在于包括以下步骤 扫描并清除计算机中存在的所述计算机病毒的恶意模块,并记录被清除的恶意模块的信息; 根据所述被清除的恶意模块的信息生成拦截对象列表并传输给内核驱动; 通过所述内核驱动阻止其他进程再次创建所述拦截对象列表中记录的恶意模块。
2.根据权利要求I所述的防止计算机病毒反复感染系统的方法,其特征在于 所述恶意模块包括文件、注册表、以及进程; 所述记录被清除的恶意模块的信息,具体是 记录所述文件对应的完整的文件路径名; 记录所述注册表的路径(key)和键值(Value);以及 记录所述进程所对应文件的完整的文件路径名。
3.根据权利要求I所述的防止计算机病毒反复感染系统的方法,其特征在于,通过所述内核驱动阻止其他进程再次创建所述拦截对象列表中记录的恶意模块,具体是 通过所述内核驱动监控对文件、注册表和进程的所有操作,一旦发现被操作对象是记录在拦截列表中的恶意模块时,则阻止对该对象的操作。
4.根据权利要求I所述的防止计算机病毒反复感染系统的方法,其特征在于,在通过所述内核驱动阻止其他进程再次创建所述拦截对象列表中记录的恶意模块的同时,还包括以下步骤 通过内核驱动拦截恶意代码注入的系统进程进行的网络连接操作。
5.根据权利要求I所述的防止计算机病毒反复感染系统的方法,其特征在于,在所述通过所述内核驱动阻止其他进程再次创建所述拦截对象列表中记录的恶意模块之后,还包括以下步骤 通过内核驱动将所述拦截对象列表注册到系统的关机回调程序中,以阻止在关机过程中因过早退出而导致计算机病毒的恶意模块再生;以及系统再次启动时将所述拦截列表删除。
6.一种防止计算机病毒反复感染系统的系统,其特征在于包括以下模块 病毒扫描清除和记录模块,用于扫描并清除计算机中存在的所述计算机病毒的恶意模块,并记录被清除的恶意模块的信息; 拦截列表生成模块,用于根据所述被清除的恶意模块的信息生成拦截对象列表并传输给内核驱动; 恶意模块再生拦截模块,用于通过所述内核驱动阻止其他进程再次创建所述拦截对象列表中记录的恶意|旲块。
7.根据权利要求I所述的防止计算机病毒反复感染系统的系统,其特征在于 所述恶意模块包括文件、注册表、以及进程; 所述记录被清除的恶意模块的信息,具体是 记录所述文件对应的完整的文件路径名; 记录所述注册表的路径(key)和键值(Value);以及 记录所述进程所对应文件的完整的文件路径名。
8.根据权利要求I所述的防止计算机病毒反复感染系统的系统,其特征在于所述恶意模块再生拦截模块,具体是通过所述内核驱动监控对文件、注册表和进程的所有操作,一旦发现被操作对象是记录在拦截列表中的恶意模块时,则阻止对该对象的操作。
9.根据权利要求I所述的防止计算机病毒反复感染系统的系统,其特征在于还包括 网络连接拦截模块,用于通过内核驱动拦截恶意代码注入的系统进程进行的网络连接操作。
10.根据权利要求I所述的防止计算机病毒反复感染系统的方法,其特征在于还包括 防止关机再生模块,用于通过内核驱动将所述拦截对象列表注册到系统的关机回调程序中,以阻止在关机过程中因过早退出而导致计算机病毒的恶意模块再生;以及拦截列表自动失效模块,用于系统再次启动时将所述拦截列表删除。
全文摘要
本发明属于计算机防御技术领域,具体公开了一种防止计算机病毒反复感染系统的方法及系统。该方法包括以下步骤扫描并清除计算机中存在的所述计算机病毒的恶意模块,并记录被清除的恶意模块的信息;根据所述被清除的恶意模块的信息生成拦截对象列表并传输给内核驱动;通过所述内核驱动阻止其他进程再次创建所述拦截对象列表中记录的恶意模块。本发明系统所对应的模块包括病毒扫描清除和记录模块、拦截列表生成模块、以及恶意模块再生拦截模块。本发明可以有效的清除具有再生能力的恶意病毒;同时,对于企业级的服务器,可以在不重启系统的情况下,就能够有效的消除病毒的危害,保证数据和服务的安全。
文档编号G06F21/56GK102867146SQ20121035075
公开日2013年1月9日 申请日期2012年9月18日 优先权日2012年9月18日
发明者陶智飞, 李容, 叶进, 陈睿 申请人:珠海市君天电子科技有限公司