[发明专利]微机病毒防治的软件自保护方法

说明书

本发明涉及一种防治计算机病毒的方法，特别是一种用于微机病毒防治的软件自保护方法，其特征在于以附着在原软件上的程序段作保护性外壳，该外壳中记录了原软件的特征参数，在软件运行过程中，外壳对软件进行检查，发现有病毒侵染，则对软件进行恢复。

目前，计算机病毒泛滥成灾，现有的防治计算机病毒的方法是阅读反汇编后的病毒程序代码，了解病毒对软件的破坏过程，并且找出该病毒用于自我识别的标志段，将各种病毒的标志段组成一个标志库。当对软件进行检查时，就根据标志库中的各标志逐一扫描软件，发现匹配后，就可查明原软件感染了何种病毒，然后，根据对这种病毒对软件破坏过程的了解，施加病毒破坏过程的逆过程，从而恢复原软件。可以看出，现有病毒防治技术有三个主要缺点：1、事后性，即一个病毒已经广泛传播，造成破坏以后，才被查觉，加以研究，而此时，许多损失已无法挽回;2、重复性，即对一个新病毒以及旧病毒的变种（哪怕仅仅是文件数据区的改动或加密上的小改变）都得逐一进行针对性研究，而且，由于目前许多病毒新种及变种的代码中设计了许多反跟踪技术，可读性很差，病毒代码的阅读工作量很大，再加上有的病毒将原软件的部分内容移至它处，加密存贮，因此，要了解病毒对软件破坏的全过程以求得恢复原软件所需的逆过程就相当困难;3、时间开销大，效率低，这是因为现有技术对软件的检查和修复实际上是对标志库中标志求匹配过程，此过程须经过大量的比较、判断操作，由于病毒新种和变种的涌现，标志库的日益庞大，此过程的时间开销也越来越大，效率很低。

本发明提供的病毒防治方法就是针对现有技术的上述缺点而提出的，它的目的在于病毒的检测以及消除均由软件在运行中由自身的保护外壳完成，原软件的恢复由病毒代劳，保护外壳则根据其记录的原软件的文件长度、运行人口等特征参数，将附着在软件上的病毒成分切除，无论病毒的新种和变种，均无须阅读病毒代码进行针对性的研究，感染了病毒的软件一运行则自动将病毒消除，这样，对病毒新种来说，也即切断了其传播途径，避免新病毒造成破坏。由于病毒的消除是软件自身在运行过程中进行的，并且病毒的检测、文件的恢复过程中无现有技术中的大量比较、判别操作，因此实现这种软件自保护防治病毒方法的时间、空间开销均很小。

本发明为达到上述目的的具体方案是：在软件上附着一个程序段作保护性外壳，并且该程序段先于软件原文运行，外壳中记录有原软件文件长度、运行人口等特征参数。一个接受外壳保护后的软件，如果受到病毒感染，病毒部分则附着在外壳的外面，外观反应则表现在文件长度变长，运行人口变化以及软件部分正文内容变化等，当外壳程序得到控制运行时，外壳将记录的软件特征参数与目前磁盘上文件之现时特征参数比较，若有变化，则证明受到了病毒感染，这样，就完成了病毒的检测功能。对于任何一种病毒，为了保证在侵染软件后不至于影响原软件的运行，程序调入内存运行后，病毒在完成自身的初始化、驻留以及其它工作后，均要将其破坏的原软件内容恢复，并且将控制权交于原软件，使原软件开始运行。在接受外壳保护的软件运行中，病毒是将控制权交于外壳保护程序人口，这样，外壳程序得到控制并检测出文件受病毒感染时，内存中已有了由病毒恢复了的原被破坏的软件内容，因此，外壳只需按其记录的原软件特征参数将内存中软件的正确部分恢复磁盘上的软件中病毒破坏了的部分，就完成了软件病毒消除中最关键的原软件恢复工作，病毒程序附着在原软件后面，因此，外壳根据记录的原软件长度截短软件，就消去了病毒代码，回收了病毒占用的空间。这里，病毒的检测与消除与病毒的种类以及其对软件的具体破坏过程无关，因此，这种方法巧妙地回避了对病毒的辨识，所有病毒同样地对待。同时，这种方法还可对病毒运行破坏的内存进行恢复。这是因为病毒程序都是通过修改中断向量以取得控制，进行破坏和传播的。不管一个软件本身是否有修改中断操作，在软件调入内存运行起至外壳开始运行止，内存中是不会有对中断的修改操作的，如果有，一定是附着在外壳外面的病毒程序所为，因此，外壳还可以检查出各中断向量的变化，若有，则按软件刚调入内存时的向量地址值恢复，至于软件刚调入内存时的向量地址可由一个驻留在内存中的程序在每次执行程序调入操作时先行保留，这个程序本身也可包含在外壳中，当第一个接受外壳保护的软件运行时驻留内存，这样，即可与后面的外壳程序配合，完成内存清理功能。