[发明专利]计算机安全防护方法及计算机安全防护工具

权利要求书

1.一种计算机安全防护方法，包括启动对计算机系统的安全检测；其特征在于还包括以下步骤：

对于未检测到恶意程序的情况，进行计算机系统状态保存；对于检测到恶意程序的情况，还原已保存的系统状态。

2.根据权利要求1所述的计算机安全防护方法，其特征在于对计算机系统进行安全检测之前，还包括：

实时监控并暂停对计算机系统磁盘分区的任一修改；

提取所述磁盘分区被修改地址的原有数据并写入当前磁盘数据保护区，并在与当前磁盘数据保护区对应的磁盘状态修改日志中记录磁盘分区修改信息；

对所述磁盘分区执行所述修改。

3.根据权利要求2所述的计算机安全防护方法，其特征在于进行计算机系统状态保存具体为：

停止实时监控；

清空当前磁盘数据保护区中的数据和对应的磁盘状态修改日志的记录；

启动实时监控。

4.根据权利要求2所述的计算机安全防护方法，其特征在于进行计算机系统状态保存具体为：

停止实时监控；

新建空的磁盘状态修改日志和磁盘数据保护区，并设置为当前磁盘数据保护区和对应的磁盘状态修改日志；

启动实时监控。

5.根据权利要求2所述的计算机安全防护方法，其特征在于还原已保存的系统状态具体为：

停止实时监控；

根据磁盘状态修改日志，将当前磁盘数据保护区中的数据逐一覆盖到磁盘分区的对应地址；

启动实时监控。

6.根据权利要求2所述的计算机安全防护方法，其特征在于还原已保存的系统状态具体为：

停止实时监控；

进行磁盘数据保护区的选择；

根据对应的磁盘状态修改日志，将所选择的磁盘数据保护区中的数据逐一覆盖到磁盘分区的对应地址；

启动实时监控。

7.根据权利要求1-6任一所述的计算机安全防护方法，其特征在于实时、达到预设时刻和/或手动触发时，对计算机系统进行安全检测。

8.根据权利要求1-6任一所述的计算机安全防护方法，其特征在于对计算机系统进行安全检测具体为：

扫描任一检测对象的特征码和特征行为序列，并将扫描结果与规则库中预存的恶意程序规则进行匹配。

9.一种计算机安全防护工具，包括安全检测模块，其特征在于还包括：

保存/还原模块，与所述安全检测模块连接，用于在未检测到恶意程序的情况下进行计算机系统状态保存；以及在检测到恶意程序的情况下，还原已保存的系统状态。

10.根据权利要求9所述的计算机安全防护工具，其特征在于所述安全检测模块包括：

特征码单元，用于保存、更新已知恶意程序的特征码；

特征行为序列单元，用于保存、更新未知恶意程序的特征行为序列；

扫描匹配单元，分别与所述特征码单元和所述特征行为序列单元连接，用于对计算机系统进行扫描，并将每一被扫描对象与所述特征码单元和所述特征行为序列单元中数据的匹配或者不匹配结果发送给所述保存/还原模块。

11.根据权利要求9或10所述的计算机安全防护工具，其特征在于所述保存/还原模块与磁盘数据保护区连接，用于写入磁盘分区被修改地址的原有数据；所述磁盘数据保护区独立于计算机系统磁盘分区，包括一个或者多个区域，其中一个为当前磁盘数据保护区。

12.根据权利要求11所述的计算机安全防护工具，其特征在于所述保存/还原模块包括：

系统状态监控单元，与所述磁盘数据保护区连接，用于实时监控对计算机系统磁盘分区的任一修改，提取所述磁盘分区被修改地址的原有数据写入当前磁盘数据保护区，并在当前磁盘状态修改日志中记录磁盘分区修改信息；

磁盘状态修改日志单元，与所述系统状态监控单元连接，用于保存与所述磁盘数据保护区对应的磁盘状态修改日志；并在与当前磁盘数据保护区对应的磁盘状态修改日志中记录磁盘分区修改信息，作为还原所保存的系统状态的根据；

状态保存单元，分别与安全检测模块、系统状态监控单元、磁盘状态修改日志单元、磁盘数据保护区连接，用于根据所述安全检测模块发送的不匹配结果，停止和启动所述系统状态监控单元的实时监控，并设置或者清空当前磁盘数据保护区和对应的磁盘状态修改日志，实现计算机系统状态保存；

状态还原单元，分别与安全检测模块、系统状态监控单元、磁盘状态修改日志单元、磁盘数据保护区连接，用于根据安全检测模块发送的匹配结果，停止和启动所述系统状态监控单元的实时监控，并根据对应的磁盘状态修改日志，将当前或者所选择磁盘数据保护区中的数据逐一覆盖到磁盘分区的对应地址，实现计算机系统状态的还原。