[发明专利]一种计算机病毒自动防护方法

权利要求书

1.一种计算机病毒自动防护方法，其特征是以人体免疫系统为模型，构建防护程序安装于计算机中，所述防护程序通过监视新程序、工程逆向、判断扩散性复制语句并获取复制目标路径、自动创建高权限抗体文件夹，模拟人体免疫系统中的BCR同源判断、MHC II提呈肽段、B细胞释放抗体的过程，实现计算机对病毒程序的免疫，所述防护程序的运行环境为单机，操作系统为Windows2000及之后版本的所有Windows系统，包括以下步骤：

1)监视新程序：防护程序对注册表进行设置，将任何COM、EXE程序以所述防护程序作为打开方式，打开COM、EXE程序时即激活防护程序，通过Command启动参数获知所打开程序的文件路径名称，保存于变量filepath中，随后防护程序通过调用Windows系统自带的Wintrust.dll判断新运行的COM、EXE程序是否拥有合法的、未被篡改的、未过期的数字签名，若通过则释放运行；若不通过则暂时滞留程序，作为可疑程序不允许该COM、EXE程序运行，随后将该挂起的COM、EXE程序的程序路径通过DDE消息在防护程序内部传递，进入下一处理流程；

2)工程逆向：设置脱壳程序供防护程序调用，防护程序将接收的filepath作为启动参数，调用外部脱壳程序，脱壳程序返回可疑程序被解壳另存的地址至防护程序，所述地址保存于变量UnpackedPath中，防护程序将变量UnpackedPath记载的可疑程序的OPCODE码与对应的汇编码进行转换，实现对可疑程序的反汇编，反汇编结果自动临时存储，防护程序在反汇编结果中自动搜索所有的“CALL DWORD PTR[XXXXXXX]”语句，即搜索被脱壳的可疑程序的反汇编代码中所有的调用子过程语句，其中[XXXXXXX]表示汇编代码，每搜索到一处“CALL DWORD PTR[XXXXXXX]”语句，自动在这一句汇编指令上方直到上一句“CALL DWORD PTR[XXXXXXX]”区间中寻找“Push”语句，若在两个调用子过程语句区间内，发现连续两次的Push语句，则确定所发现的两个Push语句和第一个搜索到的“CALL DWORD PTR[XXXXXXX]”语句共同组成复制语句；防护程序对所述两个push语句的地址分别进行记录，将这两条Push语句分别进行Push目标地址定位，随后根据push目标地址确定与地址对应的可疑程序的16进制编码数据，并将16进制数据转换为Unicode码的明文形式，获取所述Unicode码并将其按照在可疑程序中的顺序依次保存在数组push(n)中；

防护程序进行判断，若返回的数组push(n)均为标准的程序文件路径格式，则判定搜索到的复制语句是在进行程序文件复制；在进行上述截取疑似复制命令的调用子过程调用语句-转换目标地址为16进制并进一步转换为Unicode码-判断是否为复制语句的过程中，遍历检索可疑程序的反汇编代码，总结出所有遇到的复制语句；保存push(n)，进行下一步处理；

3)扩散性复制判断：定义一个初始值为0的分数变量Count，push(n)数组中，每两个Push目标地址的字符，前一个为原始路径，后一个为复制的目标路径；每出现一次原始路径为可疑程序的自我路径，Count+10，每出现一次目标路径为可移动设备或局域网存储，属于明显扩散传播复制，Count+40；每出现一次目标路径为Windows系统目录，属于系统内部驻留，Count+5；

若Count高于100，按100分计算；

设置扩散性复制的阈值，阈值与防护程序的安全级别对应，阈值越小则防护的安全级别越高，若Count高于阈值小于100，则判为有扩散性复制；反之，Count小于阈值则为无扩散性复制，解除对所涉及的可疑程序的冻结，允许其运行；

被判为有扩散性复制的程序随即进入下一步处理；

4)同名高权限文件夹创建：防护程序进行创建文件夹操作，在该具备扩散性复制的程序的所有扩散性复制目标路径创建文件夹，所述文件夹与可疑程序的复制目标路径的文件同名，通过VB中修改文件属性的方法设置文件夹为隐藏，并通过advapi32和Kernel32的API调用，临时建立计算机的系统权限用户“SysUser”，将刚刚建立的隐藏文件夹设置为“SysUser”权限，即系统用户权限；

5)病毒出错退出：执行完步骤4)，解除对滞留可疑程序的冻结，允许其运行，则具有扩散性复制的可疑程序进行执行到文件复制指令时，便遇上步骤4)创建的同名文件夹，也就是高权限抗体文件夹，出现RuntimeError错误，弹出各类出错对话框，在弹出出错对话框后，可疑程序由于微软操作系统的特性，出错并被操作系统结束；

经过以上步骤，实现计算机对病毒程序的自动防护。