专利名称:一种基于程序父子基因关系的病毒防御方法及系统的制作方法
技术领域:
本发明属于计算机防御技术领域,具体涉及一种基于程序父子基因关系的病毒防御方法及系统。
背景技术:
计算机病毒,是编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。计算机病毒不是天然存在的,是某些人利用计算机软件和硬件所固有的脆弱性编制的一组指令集或程序代码。它能通过某种途径潜伏在计算机的存储介质(或程序)里,当达到某种条件时即被激活,通过修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中,从而感染其他程序,对计算机资源进行破坏,所谓的病毒就是人为造成·的,对其他用户的危害性很大!其传播途径,主要是通过日常文件传递过程中夹带病毒文件。为了防止病毒给计算机系统带来破坏,现有病毒防御系统采取的措施是对下载到计算机中的文件进行黑白扫描,即是根据现有的数据库或者规则判读该文件的安全属性为病毒文件(也称黑文件)、安全文件(也称白文件)、或者未知文件(也称灰文件),黑文件直接报毒查杀,白文件允许其正常运行,灰色文件给出相应的提示由用户选择执行或者不予执行。按照现有的黑白扫描规则,每个文件黑白灰属性只与其扫描结果有关,只要该文件经过黑白扫描判定其属性为白,无论该文件是如何产生的,都允许其执行任何动作。比如文件A. exe经过扫描为灰文件,文件B. exe是A. exe创建的子文件,文件B. exe经过扫描为白文件,文件B. exe运行时仍然运行其正常运行。对于一些系统文件而言(比如cmd. exe, reg. exe, net. exe),按照现有的扫描机制,都是将其默认的白文件,即是不会阻止它们执行任何动作,包括删除系统文件、修改系统文件、创建注册表等危险动作。如果此类文件被一个未知病毒文件(其扫描结果为灰文件)创建或调用以执行删除系统文件、修改系统文件、创建注册表等危险动作,现有防御机制将无能为力。
发明内容
为了解决上述问题,本发明的目的在于提供基于程序父子基因关系的病毒防御方法及系统,以防止病毒文件调用系统文件以执行危险动作。为了实现上述发明目的,本发明所采用的技术方案如下一种基于程序父子基因关系的病毒防御方法,包括以下步骤记录灰色文件的名称、及其灰色安全属性;将所述灰色文件创建的子文件的安全属性直接标记为灰,并阻止该子文件执行预设的危险动作。
进一步的,所述记录灰色文件的名称、及其灰色安全属性,具体是将所述灰色文件的名称与其灰色安全属性记录在一进程链中。进一步的,所述预设的危险动作包括删除系统文件、修改系统文件、以及创建注册表。进一步的,在记录灰色文件的名称、及其灰色安全属性之前,还包括扫描待测文件的安全属性;若为白,则允许其运行;若为黑,则阻止其运行并查杀;若为灰,则产生提示信息由用户决定是否执行,并顺序执行后续步骤。一种基于程序父子基因关系的病毒防御系统,包括
属性记录模块,用于记录灰色文件的名称、及其灰色安全属性;子文件属性标记与防御模块,用于将所述灰色文件创建的子文件的安全属性直接标记为灰,并阻止该子文件执行预设的危险动作。进一步的,所述记录灰色文件的名称、及其灰色安全属性,具体是将所述灰色文件的名称与其灰色安全属性记录在一进程链中。进一步的,所述预设的危险动作包括删除系统文件、修改系统文件、以及创建注册表。进一步的,该系统还包括一病毒扫描模块,用于在记录灰色文件的名称、及其灰色安全属性之前,扫描待测文件的安全属性;若为白,则允许其运行;若为黑,则阻止其运行并查杀;若为灰,则产生提示信息由用户决定是否执行,并启动属性记录模块。本发明执行过程中,只要其父辈文件为灰色文件,其子文件就一定为灰文件,不再通过现有扫描系统去验证其安全属性,这将提高现有防御系统的扫描效率,这也是本发明称为基于程序父子基因关系病毒防御技术的原因。本发明执行过程中,将阻止该子文件执行预设的危险动作,从而防止病毒文件调用系统文件以执行危险动作的情况发生,进一步提高本发明的安全性能。
此
所提供的图片用来辅助对本发明的进一步理解,构成本申请的一部分,并不构成对本发明的不当限定,在附图中图I是本发明方法对应的流程图;图2是本发明系统对应的框图。
具体实施例方式如图I所示,本实施例公开了一种基于程序父子基因关系的病毒防御方法,包括以下步骤Stepl :扫描待测文件的安全属性,具体可以采用现有的杀毒软件或者病毒防御系统;若为白,则允许其运行;若为黑,则阻止其运行并查杀;
若为灰,顺序执行Step2。St印2 :产生提示信息由用户决定是否执行,并顺序执行Step3。Step3 :记录灰色文件的名称、及其灰色安全属性,具体可以是将所述灰色文件的名称与其灰色安全属性记录在一进程链中。Step4 :将所述灰色文件创建的子文件的安全属性直接标记为灰,并阻止该子文件执行预设的危险动作,所述预设的危险动作包括删除系统文件、修改系统文件、以及创建注
ΠΠ中雄
册衣寸。本实施例还公开了一种基于程序父子基因关系的病毒防御系统,其包括病毒扫描模块1,用于在记录灰色文件的名称、及其灰色安全属性之前,扫描待测文件的安全属性;若为白,则允许其运行;若为黑,则阻止其运行并查杀;
若为灰,则产生提示信息由用户决定是否执行,并启动属性记录模块2 ;属性记录模块2,用于记录灰色文件的名称、及其灰色安全属性,具体可是将所述灰色文件的名称与其灰色安全属性记录在一进程链中;子文件属性标记与防御模块3,用于将所述灰色文件创建的子文件的安全属性直接标记为灰,并阻止该子文件执行预设的危险动作,所述预设的危险动作包括删除系统文件、修改系统文件、以及创建注册表等。例如文件A. exe经过扫描为灰文件,文件B. exe是A. exe创建的子文件;由于文件B. exe是文件A. exe的子文件,那么文件B. exe将直接被标记为灰色文件,即是文件B. exe是系统文件也将被标记为灰,因此,系统将不会对其直接放行。一旦文件B. exe执行包括删除系统文件、修改系统文件、以及创建注册表等危险动作,将被阻止执行,进而防止可能是病毒的文件A. exe调用一个系统白文件执行破坏动作,进一步提高现有病毒防御的安全性。以上详细描述了本发明的较佳具体实施例,应当理解,本领域的普通技术无需创造性劳动就可以根据本发明的构思做出诸多修改和变化。因此,凡本技术领域中技术人员依本发明构思在现有技术基础上通过逻辑分析、推理或者根据有限的实验可以得到的技术方案,均应该在由本权利要求书所确定的保护范围之中。
权利要求
1.一种基于程序父子基因关系的病毒防御方法,其特征在于包括以下步骤 记录灰色文件的名称、及其灰色安全属性; 将所述灰色文件创建的子文件的安全属性直接标记为灰,并阻止该子文件执行预设的危险动作。
2.根据权利要求I所述的基于程序父子基因关系的病毒防御方法,其特征在于,所述记录灰色文件的名称、及其灰色安全属性,具体是 将所述灰色文件的名称与其灰色安全属性记录在一进程链中。
3.根据权利要求I所述的基于程序父子基因关系的病毒防御方法,其特征在于 所述预设的危险动作包括删除系统文件、修改系统文件、以及创建注册表。
4.根据权利要求I所述的基于程序父子基因关系的病毒防御方法,其特征在于,在记录灰色文件的名称、及其灰色安全属性之前,还包括 扫描待测文件的安全属性; 若为白,则允许其运行; 若为黑,则阻止其运行并查杀; 若为灰,则产生提示信息由用户决定是否执行,并顺序执行后续步骤。
5.一种基于程序父子基因关系的病毒防御系统,其特征在于包括 属性记录模块,用于记录灰色文件的名称、及其灰色安全属性; 子文件属性标记与防御模块,用于将所述灰色文件创建的子文件的安全属性直接标记为灰,并阻止该子文件执行预设的危险动作。
6.根据权利要求5所述的基于程序父子基因关系的病毒防御系统,其特征在于,所述记录灰色文件的名称、及其灰色安全属性,具体是 将所述灰色文件的名称与其灰色安全属性记录在一进程链中。
7.根据权利要求5所述的基于程序父子基因关系的病毒防御系统,其特征在于 所述预设的危险动作包括删除系统文件、修改系统文件、以及创建注册表。
8.根据权利要求5所述的基于程序父子基因关系的病毒防御系统,其特征在于,该系统还包括一病毒扫描模块,用于在记录灰色文件的名称、及其灰色安全属性之前,扫描待测文件的安全属性; 若为白,则允许其运行; 若为黑,则阻止其运行并查杀; 若为灰,则产生提示信息由用户决定是否执行,并启动属性记录模块。
全文摘要
本发明属于计算机防御技术领域,具体公开了一种基于程序父子基因关系的病毒防御方法及系统。该方法包括以下步骤记录灰色文件的名称、及其灰色安全属性;将所述灰色文件创建的子文件的安全属性直接标记为灰,并阻止该子文件执行预设的危险动作。该系统包括对应的属性记录模块,用于记录灰色文件的名称、及其灰色安全属性;子文件属性标记与防御模块,用于将所述灰色文件创建的子文件的安全属性直接标记为灰,并阻止该子文件执行预设的危险动作。采用本发明,可有效防止病毒文件调用系统文件以执行危险动作的情况发生,进一步提高本发明的安全性能。
文档编号G06F21/22GK102737203SQ20121024472
公开日2012年10月17日 申请日期2012年7月13日 优先权日2012年7月13日
发明者孙明焱, 杨振辉, 祁伟, 苏文杰 申请人:珠海市君天电子科技有限公司