专利名称:一种病毒在线实时处理系统及其方法
技术领域:
本发明涉及网络安全领域,特别是涉及Windows操作系统平台下一种针 对偷盗用户账号密码病毒的在线实时处理系统及其方法。
背景技术:
现有的病毒处理技术都是在用户端运行,病毒处理技术大致包括固定或 者浮动特征串、虚拟机技术及注册表监控技术。
固定或者浮动特征串病毒处理技术,是通过在文件的固定偏移位置或一个 浮动范围内偏移的位置寻找一组固定的数据,以此作为病毒依据进行病毒判 断。该处理技术的缺陷是,病毒采用加密压縮自身方式或者把源代码重新组合 编译,就产生新的病毒文件,故该査毒方式不能发现新的病毒文件,从而也就 不能有效杀灭新病毒。
采用固定或者浮动特征串病毒处理技术的杀毒软件较多,如目前市场上的 瑞星杀毒软件、江民杀毒软件、金山杀毒软件、赛门铁克杀毒软件等软件。
虚拟机病毒处理技术,是通过模拟操作系统和CPU(Center Processing Unit,中央处理器),在引擎控制下将程序文件加载运行,记录程序文件的行为, 对有破坏行为的程序进行报毒。该处理技术的缺陷是,因模拟的操作系统和 CPU并非真实的操作系统和CPU,病毒总能找到发现在虚拟环境中运行的方 法,从而停止运行,造成虚拟机引擎无法发现程序的破坏行为。
例如,中国专利申请CN03811842.4公开了一种变形病毒计算机检测方法,
该方法首先分析计算机病毒的执行,以开发该病毒的寄存器签名;寄存器签名 指定了当使用一组给定的输入进行执行时,病毒所产生的一组输出;病毒检测 系统(Virus Detection System, VDS)拥有寄存器签名的数据库;VDS检测可能 包含计算机病毒的文件,并识别文件中的潜在入口点;VDS使用拥有初始状 态的虚拟机来在每个入口点模拟相对少量的指令。当模拟每个潜在入口点时, VDS构建了一个寄存器表,用于跟踪虚拟寄存器的子集的状态。 一旦VDS到
达模拟断点,它将结合考虑寄存器签名来分析寄存器表,以确定文件是否包含
病毒。该发明给出了变形病毒的有效处理方法,但该方法为了保证效率只能虚 拟寄存器等部分环境,无法保证所虚拟的环境是真实的,这样,病毒完全可以
发现是在虚拟的环境中运行,从而停止运行。特别的是,这种方法不涉及病毒 程序对用户信息安全的行为分析,所以不能有效发现偷账号密码的病毒。
注册表监控病毒处理技术,是通过单一的注册表进行监控,以程序对关键 注册表项的修改作为判定依据,因为绝大多数的木马病毒程序通过注册表启动 项启动自身,故把木马病毒程序使用过的注册表启动项的名称作为特征。该处 理技术的缺陷是,木马病毒程序很容易变换注册表项的名称,所以采用该处理 技术并不能有效地处理木马病毒程序。
由于上述三种病毒处理技术在进行病毒在线实时处理方面存在一定的局 限性,因此,亟待提出一种病毒处理技术来解决目前病毒的在线实时处理。
发明内容
本发明所要解决的技术问题在于提供一种病毒在线实时处理系统及其方 法,用于有效杀灭偷盗用户账号密码病毒,以保障用户网络上的账号密码安全。
为了实现上述目的,本发明提供了一种病毒在线实时处理系统,包括用户 终端和网站服务器,其特征在于,还包括 一设置于所述用户终端上的进程监
控模块及一病毒分析服务器;
由所述进程监控模块通过一病毒可疑文件判定算法对运行于所述用户终 端上的进程进行可疑文件判断,选择出可疑文件并通过网络上传至所述网站服
务器;
由所述网站服务器对该可疑文件分配给所述病毒分析服务器进行病毒分 析,并根据病毒分析结果对可疑文件进行病毒判断,当可疑文件为病毒时,向 所述用户终端发出病毒警示消息并发送病毒清除方法。
所述的病毒在线实时处理系统,其中,所述进程进行可疑文件判断采用的
依据包括已知晓的病毒家族特征串和/或已知晓的病毒技巧特征。
所述的病毒在线实时处理系统,其中,所述病毒分析服务器以如下分析方
式之一或组合方式对所述病毒进行分析 应用程序接口跟踪器方式;或
反病毒软件陷阱方式;或 电子银行和游戏的登录陷阱方式;或
文件、注册表监控方式;或 网络环境方式。
所述的病毒在线实时处理系统,其中,所述网站服务器包括一个或多个网 站服务器;所述病毒分析服务器包括一个或多个病毒分析服务器。
所述的病毒在线实时处理系统,其中,每个所述网站服务器连接有一个或 多个病毒分析服务器。
为了实现上述目的,本发明还提供了一种病毒在线实时处理方法,其特征 在于,包括
步骤一 ,设置于用户终端上的进程监控模块通过病毒可疑文件判定步骤对 运行于用户终端上的进程进行可疑文件判断,选择出可疑文件并通过网络上传 至网站服务器;
步骤二,通过所述网站服务器对该可疑文件分配给病毒分析服务器进行病 毒分析;
步骤三,由所述网站服务器根据所述病毒分析结果对该可疑文件进行病毒 判断,当该可疑文件为病毒时,向所述用户终端发出病毒警示消息并发送病毒 清除方法。
所述的病毒在线实时处理方法,其中,所述步骤一中的病毒可疑文件判定 步骤具体为通过判断依据对系统文件进行排除处理,选择出具有病毒潜质的 可疑文件。
所述的病毒在线实时处理方法,其中,所述判断依据包括已知晓的病毒
家族特征串和/或已知晓的病毒技巧特征。
所述的病毒在线实时处理方法,其中,所述步骤三中,以如下分析方式之
一或组合方式对该病毒进行功能分析的步骤 应用程序接口跟踪器方式;或 反病毒软件陷阱方式;或 电子银行和游戏的登录陷阱方式;或 文件、注册表监控方式;或 网络环境方式。
所述的病毒在线实时处理方法,其中,所述步骤三中,所述网站服务器采 用相同的判断依据对所述可疑文件进行病毒判断,判断依据包括进程/线程 记录、文件记录、注册表记录。
本发明提出的病毒在线实时处理系统及其方法,通过在服务器端实现任务 分析,因而大大降低了风险;本发明实时/智能的处理方式可以最及时地杀灭 病毒及其变种,保障用户网络上的账号密码的安全;并在用户使用网络上的账
号密码时,消除系统中存在具有病毒形态或采用病毒手法的活动模块和线程。 与现有技术相比,本发明还能有效解决木马病毒的破坏行为。 以下结合附图和具体实施例对本发明进行详细描述,但不作为对本发明的限定。
图1为本发明的病毒在线实时处理系统结构图; 图2为本发明的病毒在线实时处理流程示意图; 图3为本发明的一具体实施例。
具体实施例方式
请参阅图1所示,为本发明的病毒在线实时处理系统结构图。该系统结构
包括用户终端IO、设置于用户终端IO上的进程监控模块101、网站服务器
20和病毒分析服务器30以及连接用户终端10、网站服务器20的互联网络40; 其中,网站服务器20、病毒分析服务器30共同组成远程服务器200;网站服 务器20可包含一个或多个网站服务器;病毒分析服务器30可包含一个或多个 病毒分析服务器;每个网站服务器20下可连接一个或多个病毒分析服务器30。
网站服务器20,用于接收用户终端10上传的可疑文件,该可疑文件又称 为具有病毒潜质的程序或/和模块,并可对可疑文件进行过滤处理,排除正常 的应用程序文件,然后将可疑文件分派给病毒分析服务器30;网站服务器20 也可将用户终端10上传的文件不经过滤处理直接分派给病毒分析服务器30。
病毒分析服务器30则用于对可疑文件进行病毒分析。
当网站服务器20根据病毒分析服务器30的分析结果判断可疑文件为病毒 时,向用户终端10发出病毒警示消息,并向用户终端10提供清除该病毒的方
法。
终端用户在使用用户终端10时,常被病毒困扰,病毒的威胁是多方面的,
其中最大的威胁是偷盗/窃取用户账号密码(包含电子银行、在线支付方式、包
含虚拟财富的游戏)以获利,这类病麵具有三大特性
(1) 至少表现为一个单独的内存模块或者一个单独的线程;
(2) 是已知病毒的变种(加壳或者重新编译后的病毒);
(3) 新编写的,但是病毒采用的密码窃取方式是已知的。 依据病毒的三大特性,终端用户在用户终端10的操作系统中设置了用于
监控进程的进程监控模块101。当用户终端10上的一个新的进程被运行后, 进程监控模块101对该新的进程的所有模块和其他系统进程的所有模块进行 技术分析。进程监控模块101通过"病毒可疑文件判定方法"对进程的模块进 行技术分析。
通过进程监控模块101来选择具有病毒潜质的程序和模块,即当用户运行 一个新的程序时,主引擎被激活,采用病毒文件判定算法对该程序和模块进行 判定。
在进程监控模块101对进程的模块进行技术分析的过程中,"病毒可疑文 件判定方法"根据判定依据首先进行系统文件排除,从系统文件中选择出具有 病毒潜质的程序和模块,然后再通过互联网络40将具有病毒潜质的程序和模 块对应的可疑文件上传/发送给远程服务器200。远程服务器200负责在预定的 时间内做出判断/裁决;如果判断可疑文件为病毒,则向用户终端10发出病毒 警示消息,并向用户终端10提供清除该病毒的方法。
"病毒文件判定方法"采用的判定依据包括已知晓的病毒家族特征串、 已知晓的病毒技巧特征。
已知晓的病毒家族特征串,是指基于已经出现的病毒的技术分析,寻找出 的同一个家族病毒的静态数据的共性。
已知晓的病毒技巧特征,是指基于已经出现的病毒的技术分析,寻找出的 病毒使用的达到病毒偷盗、传播自身等特殊行为所采用的编程技巧。
例如,灰鸽子病毒,其总是在内存数据段存在"Huigezi"标志,该标志 属于已知晓的病毒家族特征串。
又如,高波病毒,其总是在内存数据段存在一组国外杀毒软件的列表。该
列表也属于已知晓的病毒家族特征串。
偷密码的病毒通常采用SetWindowsHookEx来获取键盘输入,盗取密码。 SetWindowsHookEx就是己知哓的病毒技巧特征。
要排除的系统文件包括系统保护的文件、常用应用软件,比如,Office 办公套件、主流多媒体工具、主流杀毒软件、主流下载工具软件、主流游戏软 件等等。
具有病毒潜质的程序和模块具有如下特征
1) 家族特征,病毒家族不同,特征亦不同;
2) 简单行为,注册表启动项操作、文件复制自身,修改可运行程序、网络 发送包含程序自身的邮件。
请参阅图2所示,为本发明的病毒在线实时处理流程示意图。结合图1 所示,该病毒在线实时处理流程包括如下步骤-
步骤201,用户终端10通过进程监控模块101对进程监控,并将发现的 可疑文件通过网络40上传至网站服务器20;
步骤202,网站服务器20接收可疑文件,并对其进行过滤处理,过滤掉 正常的应用程序文件,再将可疑文件分派给病毒分析服务器30;
步骤203,病毒分析服务器30对可疑文件进行病毒分析,网站服务器20 根据病毒分析服务器30的分析结果对可疑文件进行病毒判断,并当可疑文件 为病毒时,向用户终端10发出病毒警示消息,并向用户终端10提供清除该病 毒的方法。
步骤203中,网站服务器20根据病毒分析服务器30的进程/线程记录返 回清除进程/线程的方法;或根据病毒分析服务器30的文件记录返回清除文件 的方法;或根据病毒分析服务器30的注册表记录给出注册表清除方法,对可 疑文件进行病毒判断。
对不同类型的病毒进行判断时采用的标准或依据皆相同,包括进程/线 程记录、文件记录、注册表记录。
病毒分析服务器30通过如下分析方法之一进行病毒分析
1) API(Application Programming Interface,应用程序接口)跟踪器;
2) 反病毒软件陷阱;
3) 各家电子银行和各款游戏的登录陷阱;
4) 文件、注册表监控;
5) 网络环境。
API跟踪器病毒分析方法操作系统都会给应用程序分配若干接口,该接
口称为应用程序接口 API,要获取系统某些服务,普通应用程序只能调用这些 应用程序接口API。 Windows下的木马、蠕虫进入网络、窃取文件、窃取密码 等操作都要通过系统提供的应用程序接口 API,对于这些具有关键/主要作用 的应用程序接口API, API跟踪器从系统级拦截,分析输入参数,以记录程序 的行为,从而根据记录的程序行为进行病毒分析。
例如盗窃"传奇游戏"密码的木马病毒,会频繁调用FindWindow来搜 索"传奇游戏"的客户端,输入参数是"传奇游戏客户端",盗窃"传奇游戏" 密码的木马病毒已有上千变种,这些变种病毒和其他盗窃密码的木马病毒也采 用上述方法盗取密码。
API跟踪器杀毒过程通过对目标进程进行远程注入线程,运行跟踪代码。 由于在操作系统和应用程序间加入一段判断分析程序,运行速度降低,系统性 能下降;由于要修改操作系统的代码,因此采用API跟踪器存在系统崩溃的风 险。
反病毒软件陷阱病毒分析方法病毒为了对付杀毒软件,会在启动后终止 杀毒软件。利用病毒这一个特性,在系统中创建若千程序,进程名称采用反病 毒软件,如果发现该进程被目标程序终止,那么目标程序是可疑程序。如果相 应的文件也被删除,则目标程序的可疑度更高。
登陆陷阱病毒分析方法木马病毒为偷盗银行账号,会在用户登录电子银 行和游戏的时候进行操作。在系统中,启动若干仿造的游戏和电子银行的登陆 程序,则病毒程序会误认为用户要登陆游戏或者电子银行。如果仿造的登陆程 序收到目标程序发送的取输入框文本的消息,或者发现增加了目标程序的模 块、线程,则该目标程序是可疑程序。
文件、注册表监控病毒分析方法采用文件、注册表驱动程序,在底层监
控目标程序运行后的所有文件、注册表操作,这样可以确保任何木马病毒(包 括驱动级)的文件、注册表操作都在监控之列。
网络环境病毒分析方法木马病毒、蠕虫病毒都需要通过网络环境传播和 传送窃取的信息。病毒分析服务器通过架设邮件收发服务器,组成局域网提供
可写目录。例如让病毒发送的邮件发送到指定位置进行分析;如果可写目录 里面写入程序自身就是病毒行为。
上述五种病毒分析方法皆适用于Windows下的木马病毒、蠕虫病毒。 病毒分析服务器30的硬盘不可写,当完成一个任务后会重新启动,故, 病毒分析服务器30始终保持一个恒定的硬盘空间;病毒分析服务器30的使用
数量可随着任务量的上升而增加。
请参阅图3所示,为本发明的一具体实施例。结合图1所示,用户终端 10通过其设置的进程监控模块101对进程监控,并将可疑文件通过网络40上 传至网站服务器20,网站服务器20通过网络40接收用户终端10上传的可疑 文件,并对可疑文件进行过滤处理,排除正常的应用程序文件,再分派给病毒 分析服务器30;病毒分析服务器30对可疑文件进行病毒分析。其中病毒分析 服务器30可为多个。
下面结合图1所示,以Trojan.PSW.QQthief.c为例进一步说明本发明进行
病毒在线实时处理的过程-
1,目标程序在用户终端运行后,进程监控模块进行进程监控得到关于目 标程序运行的通知;
2,打开目标程序进程的内存空间,遍历程序代码和数据段,找到下列字 符串集合
kav9x.exe、 kavsvc9x.exe、 kavsvcui.exe、 kav32.exe、 smenu.exeravmon.exe、 rfW.exe、 passwordguard.exe、 vpc32.exe、 iparmor.exe、 watcher.exe;
天网防火墙、金山毒霸、kingsoft、密码防盗专家、反黑王、杀毒王、ravmon、 瑞星杀毒、kingsoft antivirus mail monitor proxy、瑞星个人防火墙、瑞星个人防 火墙2004、金山网镖、实时监视、江民杀毒软件kv2004、简洁操作台、江民 黑客防火墙。
进程监控模块判定目标程序为可疑程序,首先暂停该目标程序运行,并提 示用户进行上传。
3,用户终端上传目标程序至网站服务器后,网站服务器把目标程序分配 给一个病毒分析服务器进行病毒分析;
4,病毒分析服务器采用API跟踪器加载运行程序,得到如下信息 41)每隔10毫秒,调用FindWindowAPI,输入参数是"登录QQ游戏"和"欢迎您来到QQ游戏"。
42) 调用FindFirstFileFindNextFile枚举文件路径,使用CopyFile复制程 序自身;
43) 病毒分析服务器中的仿造的杀毒软件程序kav9x.exe、 kavsvc9x.exe、 kavsvcui.exe、 kav32.exe passwordguard.exe,瑞星杀毒、江民杀毒软件全部被 终止掉。
44) 释放 ECQ.dll到系统目录,并添加在注册表 HKEY一LOCAL—MACfflNE\Software\Microsoft\Windows\GurrentVersion\Explor er\ShellExecuteHooks 。
因此,程序可以SEH(Shdl Execute Hooks,外壳挂接执行)方式注入到 explorer.exe中。SEH为微软IE(Intemet Explorer)网络浏览器在启动的时候加载 的扩展库,这些库可以由用户编写,提供给用户修改IE功能的机会,病毒会 利用这个方法,让IE把病毒程序加载起来。
5,调用FindWindow API,输入参数是"应用程序访问网络"或者"瑞 星提示"。
程序这样做目的在于如果找到,说明防火墙拦截了要访问网络的程序; 病毒搜索定位复选框,替代用户选择"允许",替代用户点击"确定"按钮。 这样病毒发送携带有密码的邮件时,用户很难发现,使防火墙失效。
6,将仿造的登陆程序的标题设置为"欢迎您来到QQ游戏",让目标程 序找到,然后收到来自目标程序取得编辑框文本的消息。
因此,病毒分析服务器从文件和注册表监控中取得新增加的文件和注册表 记录,通知网站服务器,网站服务器根据病毒分析服务器返回的分析处理结果 判断目标程序为病毒,回传给用户终端,同时将记录加入数据库。
用户终端的进程监控模块向用户报毒,得到用户允许后,终止目标进程, 备份相关文件和注册表设置信息,刪除与病毒相关文件和注册表数据。
为了减低网络资源的消耗,用户终端首先上传程序文件的MD5值,网站 服务器如果在数据库中发现相应资料,不再上传真实程序文件,直接向用户终 端发送解决方案。特别在恶性病毒爆发期,这种方式可以大大降低网络流量。 其中,MD5的全称是Message-Digest Algorithm 5,即信息-摘要算法5,该算 法源于90年代初,经MD2、 MD3和MD4发展而来。MD5算法将任意长度
的"字节串"变换成一个128bit的大整数,并且它是一个不可逆的字符串变换
算法,比如,要上传的文件是1M,文件的MD5值只是16个字节,要知道该 文件是否已经处理,只要比较这个MD5值即可。
本发明实时/智能的处理方式可以最及时地杀灭病毒及其变种,保障用户 网络上的账号密码的安全;在用户使用网络上的账号密码时,消除系统中存在 具有病毒形态或采用病毒手法的活动模块和线程。
当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情 况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但 这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
权利要求
1、一种病毒在线实时处理系统,包括用户终端和网站服务器,其特征在于,还包括一设置于所述用户终端上的进程监控模块及一病毒分析服务器;由所述进程监控模块通过一病毒可疑文件判定算法对运行于所述用户终端上的进程进行可疑文件判断,选择出可疑文件并通过网络上传至所述网站服务器;由所述网站服务器对该可疑文件分配给所述病毒分析服务器进行病毒分析,并根据病毒分析结果对可疑文件进行病毒判断,当可疑文件为病毒时,向所述用户终端发出病毒警示消息并发送病毒清除方法。
2、 根据权利要求1所述的病毒在线实时处理系统,其特征在于,所述进 程进行可疑文件判断采用的依据包括已知晓的病毒家族特征串和/或已知晓 的病毒技巧特征。
3、 根据权利要求1或2所述的病毒在线实时处理系统,其特征在于,所 述病毒分析服务器以如下分析方式之一或组合方式对所述病毒进行分析应用程序接口跟踪器方式;或 反病毒软件陷阱方式;或 电子银行和游戏的登录陷阱方式;或 文件、注册表监控方式;或 网络环境方式。
4、 根据权利要求1所述的病毒在线实时处理系统,其特征在于,所述网 站服务器包括一个或多个网站服务器;所述病毒分析服务器包括一个或多个病 毒分析服务器。
5、 根据权利要求l、 2或4所述的病毒在线实时处理系统,其特征在于, 每个所述网站服务器连接有一个或多个病毒分析服务器。
6、 一种病毒在线实时处理方法,其特征在于,包括 步骤一,设置于用户终端上的进程监控模块通过病毒可疑文件判定步骤对运行于用户终端上的进程进行可疑文件判断,选择出可疑文件并通过网络上传 至网站服务器;步骤二,通过所述网站服务器对该可疑文件分配给病毒分析服务器进行病 毒分析;步骤三,由所述网站服务器根据所述病毒分析结果对该可疑文件进行病毒 判断,当该可疑文件为病毒时,向所述用户终端发出病毒警示消息并发送病毒 清除方法。
7、 根据权利要求6所述的病毒在线实时处理方法,其特征在于,所述步骤一中的病毒可疑文件判定步骤具体为通过判断依据对系统文件进行排除处理,选择出具有病毒潜质的可疑文件。
8、 根据权利要求7所述的病毒在线实时处理方法,其特征在于,所述判 断依据包括已知晓的病毒家族特征串和/或已知晓的病毒技巧特征。
9、 根据权利要求6、 7或8所述的病毒在线实时处理方法,其特征在于, 所述步骤三中,以如下分析方式之一或组合方式对该病毒进行功能分析的步骤应用程序接口跟踪器方式;或 反病毒软件陷阱方式;或 电子银行和游戏的登录陷阱方式;或 文件、注册表监控方式;或 网络环境方式。
10、 根据权利要求6、 7或8所述的病毒在线实时处理方法,其特征在于, 所述步骤三中,所述网站服务器采用相同的判断依据对所述可疑文件进行病毒 判断,判断依据包括进程/线程记录、文件记录、注册表记录。
全文摘要
本发明公开了一种病毒在线实时处理系统及其方法,该系统包括用户终端,还包括设置于用户终端上的进程监控模块、网站服务器及病毒分析服务器;进程监控模块通过病毒可疑文件判定算法对运行于用户终端上的进程进行可疑文件判断,选择出可疑文件并通过网络上传至网站服务器;网站服务器把该可疑文件分配给病毒分析服务器进行病毒分析,并根据病毒分析结果对可疑文件进行病毒判断,当可疑文件为病毒时,向所述用户终端发出病毒警示消息并发送病毒清除方法。本发明实时/智能的处理方式能够最及时地杀灭病毒及其变种,保障用户网络上的账号密码的安全;并在用户使用网络上的账号密码时,消除系统中存在具有病毒形态或采用病毒手法的活动模块和线程。
文档编号H04L29/06GK101098226SQ20061008944
公开日2008年1月2日 申请日期2006年6月27日 优先权日2006年6月27日
发明者马贞辉 申请人:飞塔信息科技(北京)有限公司