[发明专利]一种计算机恶意代码处理方法和系统

说明书

技术领域

本发明涉及信息安全领域，特别是涉及一种计算机恶意代码处理方法和系统，尤其是涉及到一种检查计算机程序文件中是否包含有计算机恶意代码，以及从包含计算机恶意代码的计算机程序文件中提取恶意代码特征码的方法和系统。

背景技术

随着计算机的普及和互联网的飞速发展，计算机恶意代码(广义上，一般也可以叫计算机病毒)的威胁越来越严重，计算机恶意代码的数量增长迅速，其传播性、危害性、隐藏性等等也在不断提高，从而使反计算机恶意代码的工作面临着巨大的挑战。

现有的广泛应用的反计算机恶意代码技术是静态的模式匹配技术，其在可能包含恶意代码的计算机程序文件出现后进行人工分析，确定文件是否包含恶意代码，如果包含恶意代码就从计算机程序文件中提取恶意代码的特征码，然后把新的恶意代码的特征码升级给恶意代码特征码库来提供给用户查杀计算机程序中的恶意代码。这些分析和提取恶意代码特征码的工作都要由人工来完成。其中，有许多包含恶意代码的计算机程序文件，他们的文件外表是千差万别的，不能直接看出文件是包含什么恶意代码的计算机程序文件，不得不通过人工一个一个计算机程序文件去分析其是否包含恶意代码，然后基于这个计算机程序文件提取所包含的恶意代码，生成恶意代码特征码，加入到恶意代码特征码库来提供给用户查杀计算机程序中的恶意代码。然而，现有的很多计算机恶意代码具有多种变种，在运行时具有很多相同或者相似的代码信息。如威金病毒(Viking)，灰鸽子后门病毒(Huigezi、Gpigeon)，Banker盗取银行密码病毒等等，这些数量众多的变种恶意代码运行时具有相同或者相似的代码信息。如威金病毒家族，其运行时具有三个相同或者相似的代码信息：1)都会感染Windows程序；2)把原始文件捆绑在恶意代码的后面；3)从网上下载数个盗取密码的恶意程序，并通过局域网传播。尽管威金病毒家族的变种很多，但基本行为就是这三个方面，但是而对于每一个恶意代码及其变种，都不得不通过人工重复多次进行分析，才能得到恶意代码及其变种的恶意代码特征码，使得工作效率降低，并影响到恶意代码特征码库的更新速度。

中国专利授权公告号为CN1235108C的发明专利公开了一种计算机病毒检测和识别方法，其通过模拟生物免疫系统，将免疫原理应用于反计算机病毒的特征代码法，结合行为监测法等计算机病毒检测和识别方法，通过监控计算机系统来检测和发现计算机病毒并获得病毒样本，然后在学习识别阶段通过使用变异进化以及样本文本分析来获得病毒特征码。该发明具有检测一些已知恶意代码和未知恶意代码的能力，但该发明没有对监测和发现计算机恶意代码的过程中，感染计算机恶意代码的文件运行时的代码信息进行充分的收集并加以分析和利用，割裂被包含计算机恶意代码的计算机程序文件和恶意代码及其变种之间的在运行过程中的联系，其还是一种基于单一文件的恶意代码特征码提取方法，同样不能提高工作效率，并影响到恶意代码特征码库的更新速度。同时，该发明由于它无法直接生成准确的恶意代码特征码，需要不断的变异和进化，这必然导致在生成特征码时需要重复的比对，从而增加了系统的开销，而且，其中的自体文件库，需要囊括所有正常文件的代码集合，实现的难度很大，实用性很小。

发明内容

本发明所要解决的技术问题在于提供一种计算机恶意代码处理方法和系统，以提高恶意代码分析的工作效率，降低系统开销和实现难度。

为实现上述目的，本发明提供了一种计算机恶意代码处理方法，包括下列步骤：

步骤A，读取可能包含恶意代码的计算机程序文件并运行，采集所述计算机程序文件运行时的与恶意代码相关联的代码信息；

步骤B，将所述代码信息进行信息组合，与恶意代码知识库中的恶意代码知识比较匹配，分析所述计算机程序文件是否包含恶意代码。

所述的计算机恶意代码处理方法，在步骤A与步骤B之间还可以包括下列步骤：

隔离所述采集代码信息的计算机运行环境。

所述读取可能包含恶意代码的计算机程序文件并运行，可以是：

复制可能包含恶意代码的计算机程序文件，并运行所述计算机程序文件。

所述步骤A还可以包括下列步骤：

将所述代码信息与所述计算机程序文件的文件代码的数据地址相对应，生成编码数据。

所述将代码信息与计算机程序文件的文件代码的数据地址相对应，可以是：

根据所述代码信息，记录与所述代码信息相对应的计算机程序文件的文件代码的数据地址，并将所述数据地址转化为地址文本，建立所述代码信息与数据地址的关联。

所述生成编码数据，可以是：