[发明专利]一种防范感染式病毒感染的方法和装置有效
| 申请号: | 201210559448.8 | 申请日: | 2012-12-21 |
| 公开(公告)号: | CN103353930A | 公开(公告)日: | 2013-10-16 |
| 发明(设计)人: | 刘佳男;奚振弟;李柏松 | 申请(专利权)人: | 北京安天电子设备有限公司 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56 |
| 代理公司: | 暂无信息 | 代理人: | 暂无信息 |
| 地址: | 100080 北京市海淀区*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 防范 感染 病毒感染 方法 装置 | ||
1.一种防范感染式病毒感染的方法,其特征在于,包括:
遍历当前系统的所有进程以及监视系统新创建的进程;
获取系统中所有进程信息,对运行中的进程进行过滤;
对安全策略中的函数进行hook处理,记录或备份所述函数调用前的相关文件信息;
监视过滤后的进程,若所述进程调用已被hook的函数,则对所述函数信息进行权值处理,当所监视的进程结束时将与所述进程相关的文件信息进行权值处理;
对所述进程的函数信息和文件信息的权值计算和值,按照安全策略中的约定数值范围,输出所述和值相应的感染式恶意代码的进程的判定结果。
2.如权利要求1所述的方法,其特征在于,所述进程信息包括:所述进程的当前程序的窗口信息、所述进程的映像文件的完整路径,以及所述映像文件信息。
3.如权利要求1所述的方法,其特征在于,对运行中的进程进行过滤具体为排除掉白名单列表中的进程。
4.如权利要求1所述的方法,其特征在于,对运行中的进程进行过滤具体为排除掉根据所获取的进程信息判断为受信的进程。
5.如权利要求1所述的方法,其特征在于,对所述进程的函数信息和文件信息的权值计算和值之后,根据所述函数信息和文件信息确定修正值,计算所述和值与修正值的修正和值,按照安全策略中的约定数值范围,输出所述修正和值相应的感染式恶意代码的进程的判定结果。
6.如权利要求1所述的方法,其特征在于,所述判断结果包括:不是感染式恶意代码的进程,不提示;可能是感染式恶意代码的进程,进行提示;确定是感染式恶意代码的进程,还原被感染程序的状态,提示对恶意代码进行处理。
7.一种防范感染式病毒感染的装置,其特征在于,包括:
进程单元,用于遍历当前系统的所有进程以及监视系统新创建的进程;
过滤单元,用于获取系统中所有进程信息,对运行中的进程进行过滤;
hook单元,用于对安全策略中的函数进行hook处理,记录或备份所述函数调用前的相关文件信息;
监视单元,用于监视过滤后的进程,若所述进程调用已被hook的函数,则记录所述函数信息,当所监视的进程结束时,记录与所述进程相关的文件信息;
权值单元,用于对所述函数信息和文件信息进行权值处理;
判定单元,用于对权值单元处理后的函数信息和文件信息的权值计算和值,按照安全策略中的约定数值范围,输出所述和值相应的感染式恶意代码的进程的判定结果。
8.如权利要求7所述的装置,其特征在于,还包括:
修正单元,用于对所述进程的函数信息和文件信息的权值计算和值之后,根据所述函数信息和文件信息确定修正值,计算所述和值与修正值的修正和值,按照安全策略中的约定数值范围,输出所述修正和值相应的感染式恶意代码的进程的判定结果。
9.如权利要求7所述的装置,其特征在于,还包括:
报警单元,用于对判断结果进行提示:不是感染式恶意代码的进程,不提示;可能是感染式恶意代码的进程,进行提示;确定是感染式恶意代码的进程,还原被感染程序的状态,提示对恶意代码进行处理。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京安天电子设备有限公司,未经北京安天电子设备有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201210559448.8/1.html,转载请声明来源钻瓜专利网。
- 上一篇:非法入侵抓拍记录仪
- 下一篇:一种转台台面受力变形分析方法
