[发明专利]一种防范感染式病毒感染的方法和装置

说明书

技术领域

本发明涉及计算机网络安全技术领域,尤其是涉及一种防范感染式病毒感染的方法和装置。

背景技术

随着互联网的发展,恶意代码对计算机用户的威胁表现的也越来越严重。近年，单纯感染式恶意代码的数量在逐渐减少，但并不意味着感染式恶意代码的威胁在逐渐降低，相反随着当前的恶意代码的综合性的增强，恶意代码的分类也越来越模糊，一个恶意代码往往具有多种恶意代码类型的特性。由于感染式恶意代码具有强大的传播能力和隐藏能力，依然一直被恶意代码的编写者所使用。

当前对感染式恶意代码的防范技术主要通过hips(Host-based Intrusion Prevention System)和安全软件的防火墙对其进行拦截；杀毒软件和专杀工具对被感染文件的检测和修复。并没有专门针对感染式恶意代码的防范工具。由于hips和安全软件的防火墙用于恶意代码的防范需要专业的技术知识作为支撑，而杀毒软件和专杀工具的修复又是在感染式恶意代码感染其他文件后的补救性工作。鉴于上面的原因，提出一种可以在感染式恶意代码在感染其他文件以前对其进行防范，也可以使非专业用户能够清晰明确的完成用户需要介入的操作就可以实现对感染式恶意代码感染的防范的方法可以有效降低感染式恶意代码对互联网和用户主机的危害程度。

发明内容

本发明针对在windows平台下,感染式病毒在运行后感染其他文件时,通过底层驱动在系统添加一个主流内存的服务。此服务对所有进程的一些关键函数进行监控和hook，而后通过加权机制对监控和hook的结果进行计算。通过计算结果对判定为正在进行感染其他文件的程序进行处理，以达到防范对其他文件感染的目的。

本发明提供了一种防范感染式病毒感染的方法，包括：

遍历当前系统的所有进程以及监视系统新创建的进程；

获取系统中所有进程信息，对运行中的进程进行过滤；

对安全策略中的函数进行hook处理，记录或备份所述函数调用前的相关文件信息；

监视过滤后的进程，若所述进程调用已被hook的函数，则对所述函数信息进行权值处理，当所监视的进程结束时将与所述进程相关的文件信息进行权值处理；

对所述进程的函数信息和文件信息的权值计算和值，按照安全策略中的约定数值范围，输出所述和值相应的感染式恶意代码的进程的判定结果。

本发明还提供了一种防范感染式病毒感染的装置，包括：

进程单元，用于遍历当前系统的所有进程以及监视系统新创建的进程；

过滤单元，用于获取系统中所有进程信息，对运行中的进程进行过滤；

hook单元，用于对安全策略中的函数进行hook处理，记录或备份所述函数调用前的相关文件信息；

监视单元，用于监视过滤后的进程，若所述进程调用已被hook的函数，则记录所述函数信息，当所监视的进程结束时，记录与所述进程相关的文件信息；

权值单元，用于对所述函数信息和文件信息进行权值处理；

判定单元，用于对权值单元处理后的函数信息和文件信息的权值计算和值，按照安全策略中的约定数值范围，输出所述和值相应的感染式恶意代码的进程的判定结果。

本发明通过各种信息对进程白名单的选定，以及进程在实际运行过程中对进程的信息判断，保证被监控计算机的运行效率，减少对进程的监控。

权值提取的依据是根据对大量感染式病毒的分析，发现感染式病毒的一些常见、通用的运行方法等。权值的计算是通过对大量感染式恶意代码的分析，总结其运行过程中常见连贯行为具有高度的可疑性。

权值处理部分应有主程序调用，权值处理部分返回结果给主程序。

本发明通过进程的白名单过滤功能，保证计算机能够稳定、正常的运行。

可以有效的监控感染式恶意代码的运行，根据监控感染式恶意代码的运行状态，判断恶意代码的运行进度，并加以恢复。

通过对感染式恶意代码的多种感染方式进行监控可以对多种类型的感染式病毒进行有效的防范。既可以对全盘感染式的恶意代码进防范，也可以对只感染指定程序的感染式恶意代码以及其他的各种类型进行有效的防范。

附图说明

为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明防范感染式病毒感染的方法流程图；

图2为本发明防范感染式病毒感染的方法实施例流程图；