[发明专利]一种计算机病毒处理方法

说明书

本发明公开了一种计算机病毒处理方法，包括安装在计算机上的病毒检测单元；接收所述病毒检测单元上传的发现病毒信息，并将该病毒进行隔离的病毒隔离单元；接收所述病毒检测单元上传的发现病毒信息并对病毒进行消除的病毒处理单元；用于确定病毒源进程并予以显示的显示单元。本发明提出的一种计算机病毒处理方法通过使用加密密钥来将加密数据解密，以将加密数据恢复为加密之前计算机系统中存在的原始数据显著提高以密码为攻击手段的计算病毒检测准确率，同时，该检测方法计算复杂度低，检测标准简单，易于维护和优化。

技术领域

本发明属于计算机通讯安全技术领域，涉及一种计算机病毒处理方法。

背景技术

计算机病毒是编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。与医学上的“病毒”不同，计算机病毒不是天然存在的，是某些人利用计算机软件和硬件所固有的脆弱性编制的一组指令集或程序代码。它能通过某种途径潜伏在计算机的存储介质(或程序)里，当达到某种条件时即被激活，通过修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中，从而感染其他程序，对计算机资源进行破坏。

某些病毒执行的加密可能涉及对病毒代码或受害文件数据执行的复杂数学或逻辑运算，使得病毒代码难以辨认，从而对病毒代码难以有时不可能进行分析和识别。

病毒有时将用于将文件的加密部分加密的密钥存储在同一个被感染文件内。然而，诸如Win32/Magistr.B之类的病毒，不将加密密钥存储在文件中，而是使用它从系统本身检索到的“计算机名”作为加密密钥。这就寄希望于计算机名未改变，对于给定计算机保持不变，并可以安全地用于将在该计算机上感染的文件中的数据解密。当防病毒系统需要纠正这样的被感染文件的(并因此需要将其一部分解密)时，它还需要访问文件在其上被感染的计算机的计算机名，以获取密钥，并能够将数据的加密的那一部分解密，以便可以将它们恢复。然而，检索密钥并使用它是非常危险的，并不总是可行的因为当防病毒系统扫描网络上的文件时，防病毒系统程序本身可能位于不同的计算机上(例如，网络服务器)，而不是位于被感染的工作站计算机本身上。相应地，防病毒系统不能总是可靠地检索到被感染的计算机的计算机名。

发明内容

本发明的目的是提供一种计算机病毒处理方法，能够准确检测出以密码猜解为攻击手段的计算机病毒。

本发明所采用的技术方案，一种计算机病毒处理方法，包括安装在计算机上的病毒检测单元；接收病毒检测单元上传的发现病毒信息，并将该病毒进行隔离的病毒隔离单元；接收病毒检测单元上传的发现病毒信息并对病毒进行消除的病毒处理单元；用于确定病毒源进程并予以显示的显示单元。

病毒检测单元扫描计算机系统以检测感染原始数据的文件的计算机病毒；

病毒处理单元判断是否将由计算机病毒加密的原始数据解密以便消除在计算机系统中检测到的计算机病毒。

本发明的特点还在于，

判断将要对加密数据进行解密时，分析加密数据以确定加密数据中的至少一个最频繁出现的加密字节；确认最频繁出现的加密字节是主导加密字节，其中，主导加密字节在加密数据的其他字节中在统计上占主导地位；基于主导加密字节和原始数据的对应的预期原始字节来计算加密密钥，其中对应的预期原始字节是一个预期在原始数据中最频繁出现的原始数据的字节；以及使用加密密钥来将加密数据解密，以将加密数据恢复为在被计算机病毒加密之前计算机系统中存在的原始数据。

解密步骤是通过对与加密方法的相反的解密方法应用加密密钥和加密数据来执行的。

当检测到病毒时，拒绝打开原始数据的文件，并利用计算机的病毒隔离单元进行病毒隔离。

病毒隔离单元对病毒隔离后同时询问对病毒要进行的下一步操作，下一步操作选择清除病毒，如果出现无法清除的现象，选择强制清除。