[发明专利]用于保护计算机系统免遭恶意对象活动侵害的系统和方法

说明书

本申请是分案申请，其原申请的中国国家申请号为201210050079.X，发明名称为“用于保护计算机系统免遭恶意对象活动侵害的系统和方法”。

技术领域

本发明所公开的内容总体上涉及计算机安全领域，并且，具体地说，涉及用于保护计算机系统免遭恶意对象的文件、注册表、系统和网络活动侵害的系统、方法和计算机程序产品。

背景技术

当前计算机技术的发展已经达到了很高的水平。随着计算机技术的发展，数字数据的数量以更快节奏的速率在增长。与此同时，数字数据是易损的并且需要防范恶意对象比如病毒、特洛伊木马、蠕虫、间谍软件及其他类型的恶意软件的侵害。

使用反病毒系统来保护信息免受恶意软件的侵害，该反病毒系统的基本任务是阻止恶意对象的危险活动。但情况是：反病毒系统不能以及时的方式来阻止恶意的活动。这种情况出现在，例如，新型的恶意软件出现的时候，反病毒系统的可用方法无法将其检测出来，因为这些系统对新的恶意软件一无所知。另一种情况也可能是：恶意软件利用操作系统的弱点或者反病毒系统自身的不足之处来绕过反病毒系统。

已经侵入到计算机系统中的恶意软件可以展现出不同类型的恶意活动：文件活动、注册表活动、系统活动以及网络活动。在恶意的文件活动期间，恶意对象可对文件执行不同的操作，比如移除、更改、或者新文件的创建。恶意注册表活动典型地包括注册表参数和值的创建、修改或者移除。关于注册表活动的许多情况都是已知的，例如，恶意对象更改了注册表的参数以便加载操作系统时引起恶意软件的自动启动(auto-launch)。当恶意软件在计算机系统中开始或者停止进程的时候，或者当它在系统或者程序进程中启动新的执行线程的时候，可能发生恶意的系统活动。恶意的网络活动典型地包括由恶意对象来创建新的网络连接。

利用这些恶意的活动，恶意软件可以侵入到计算机系统中，并且可以获取其上所存储的数据。因此，需要检测出恶意的活动，并且对恶意活动所损坏、修改或者移动的数据进行恢复。

发明内容

本文公开了用于保护计算机免遭恶意对象的文件、注册表、系统和网络活动侵害的系统、方法和计算机程序产品。在一个示例性实施例中，所述系统包括反病毒数据库，以及可核查事件数据库，其中反病毒数据库包含与已知恶意对象有关的信息，可核查事件数据库包含可核查事件的列表，该可核查事件至少包括文件的创建、更改或者删除事件，系统注册表的创建、更改或者删除事件，以及由在计算机上所执行的进程进行的网络访问事件。所述系统还包括数据收集模块，其可操作地用于监控计算机上一个或多个进程的执行事件；基于包含在可核查事件数据存储器中的可核查事件的列表，识别被监控事件中的可核查事件；并且在存储器所包含的单独的文件、注册表以及网络事件日志中记录所识别出的可核查事件。

所述系统还包括反病毒模块，其经配置以：使用包含在反病毒数据库中的关于已知恶意对象的信息，对计算机上的一个或多个软件对象执行恶意软件检查。如果确定了对象是恶意的，那么反病毒模块从网络事件日志中识别一个或多个与所述恶意对象相关联的网络事件，并且终止由所述恶意对象所建立的一个或多个网络连接。所述系统还包括恢复模块，其经配置以：如果确定了对象是恶意的，那么从文件和注册表事件日志中识别一个或多个与所述恶意对象相关联的文件和注册表事件，并且对与所述恶意对象相关联的文件事件以及注册表事件执行回退操作(rollback)。

在一个示例性实施例中，用于保护计算机免遭恶意软件侵害的方法包括：对计算机上一个或多个进程的执行事件进行监控；识别被监控事件之中的可核查事件，其中可核查事件包括文件的创建、更改或者删除事件，系统注册表的创建、更改或者删除事件，以及由在计算机上所执行的进程进行的网络访问事件；在单独的文件、注册表以及网络事件日志中记录所识别出的可核查事件；对计算机上的一个或多个软件对象执行恶意软件检查；如果确定了对象是恶意的，那么从文件、注册表和网络事件日志中识别与所述恶意对象相关联的事件；对与所述恶意对象相关联的文件事件执行回退操作；对与所述恶意对象相关联的注册表事件执行回退操作；终止与所述恶意对象相关联的网络连接。

上述示例性实施例的简要概括用于提供对于本发明的基本理解。这个概括并非对本发明所有关注方向的广泛概述，并且其既非意图确定所有实施例的关键或者决定因素，也非意图划定任何一个实施例或者所有实施例的范围界限。其唯一的目的是，在下面更加详细地对本发明进行描述之前，以简化的形式来提出一个或多个实施例。为了完成前述事项，所述一个或多个实施例包括了权利要求中所描述并且具体指出的特征。